A próxima conferência dupla do Black Hat / DEF CON foi realizada em Las Vegas na semana passada. Se o primeiro evento avança suavemente em direção a uma rivalidade nos negócios, o segundo ainda é a melhor conferência para hackers (principalmente no bom sentido da palavra), para quem encontrar fragilidades em hardware e software continua a ser principalmente uma arte e somente depois disso - uma maneira de ganhar dinheiro pela vida. Em um resumo baseado nessas duas conferências no ano passado,
falamos sobre vulnerabilidades nos processadores VIA C3 herdados, ataques da cadeia de suprimentos em computadores Apple e sobre invasão de um adaptador Wi-Fi SD desnecessário.
A agenda deste ano incluiu ataques a impressoras, telefones de escritório e tablets infantis, um desvio de meia volta do sistema de reconhecimento de rosto do Apple FaceID e (quem pensaria) um criptografador de ransomware na câmera da Canon. Mais dois, digamos, um projeto de arte: cabos para o iPhone com porta traseira e trapaça em uma bicicleta ergométrica inteligente. Por fim, um estudo interessante sobre o uso do GDPR para roubar informações pessoais de outra pessoa. Espere, mas o GDPR é legislação destinada a proteger dados pessoais? Bem, nós pensamos isso também.
Hacking de impressoras, telefones de escritório e tablets infantis
Vamos começar com um estudo relativamente chato. Os especialistas do NCC Group
encontraram muitas vulnerabilidades em impressoras de escritório fabricadas pela HP, Ricoh, Xerox, Lexmark, Kyocera e Brother. A magnitude do problema pode ser avaliada pelo exemplo de um
relatório para impressoras HP: existem vulnerabilidades no protocolo de impressão em rede IPP, estouro de buffer no servidor da Web incorporado e erros que levam a ataques de script entre sites. As vulnerabilidades mais perigosas permitem que você organize um ataque de negação de serviço ou execute código arbitrário com consequências incompreensíveis.
Um
incidente ocorreu no ano passado, mostrando o que acontece com as impressoras a) desprotegidas eb) acessíveis pela Internet. Em 50 mil dispositivos, um "ativista" anônimo imprimiu uma ligação para se inscrever em um odioso YouTube. No estudo do NCC Group, há uma dica de ataques
menos estúpidos e mais perigosos, quando a impressora pode se tornar um ponto de entrada para um novo ataque à rede corporativa.
Mas e se você não usar impressoras, mas telefones de escritório? Esta opção foi
investigada por um representante da McAfee. Ele encontrou um firmware de dez anos nos telefones VoIP da Avaya. Entre outras coisas, o cliente dhclient usado nos telefones tinha uma vulnerabilidade conhecida
desde 2009 . Esse problema pode causar estouros de buffer se o parâmetro da máscara de sub-rede for muito longo para passar ao cliente DHCP e, novamente, existe um risco teórico de execução arbitrária de código. Portanto, a abordagem "trabalhe - não toque" não é aplicável mesmo no caso de dispositivos relativamente simples como um telefone do escritório. Embora a vulnerabilidade no dhclient seja explorada se você tiver acesso à rede local, ainda vale a pena rolar o patch nos aparelhos telefônicos. Precisa tocar!
Um estudo com os tablets infantis LeapFrog LeadPad Ultimate revelou vulnerabilidades na infância. Os especialistas da Chekmarx mostraram como você pode localizar dispositivos usando ferramentas prontamente disponíveis e interceptar tráfego. O problema mais sério é causado pelo aplicativo adicional Pet Chat, que permite que os pais se comuniquem com seus filhos (ou filhos se comuniquem) usando um conjunto de frases "cabeadas" no tablet. Para estabelecer uma conexão, o tablet cria um ponto de acesso aberto chamado Pet Chat. A localização geográfica de um determinado número de tablets foi encontrada em bancos de dados abertos de pontos de acesso Wi-Fi. A autorização do par "smartphone dos pais - tablet da criança" não é fornecida, para que qualquer pessoa dentro do alcance da rede sem fio possa se conectar ao dispositivo. Devemos prestar homenagem ao fabricante: o problema foi resolvido rapidamente removendo o aplicativo do acesso público. Ah, sim, em qualquer caso, o tablet se comunicou com os servidores do fabricante via HTTP, o que permitiu um ataque do tipo "man-in-the-middle":
Óculos com fita isolante, um trojan na câmera, um cabo para iPhone com uma surpresaVamos passar para tópicos mais interessantes, embora talvez menos práticos, para apresentações no Black Hat / DEF CON. Pesquisadores da empresa Tencent mostraram (
noticiário , outra
notícia sobre Habré) uma maneira de ignorar parcialmente o sistema de reconhecimento facial FaceID nos smartphones da Apple. O FaceID está bem protegido contra tentativas de desbloqueio usando a foto do proprietário ou se, por exemplo, você levar o telefone para uma pessoa adormecida. Para isso, é criado um modelo tridimensional da face e o movimento dos olhos é monitorado. Mas se o usuário usa óculos, não é criado um modelo 3D detalhado para essa parte do rosto - presumivelmente para evitar problemas de reconhecimento. Nesse caso, o iPhone ainda verifica se os olhos da pessoa estão abertos, identificando os alunos com a câmera. Mas como a qualidade do reconhecimento é intencionalmente prejudicada, o “detector de olhos abertos” foi contornado com fita isolante: um quadrado claro sobre fundo escuro, colado nas lentes, é identificado pelo telefone como pupilas.
Ok, este é um estudo interessante, mas, na prática, é um pouco mais fácil desbloquear o telefone de outra pessoa. É necessário esgueirar-se na pessoa adormecida e colocar-lhe óculos com fita isolante. Ou não assumir o cenário mais agradável em que uma pessoa está inconsciente. De qualquer forma, vale a pena reforçar o algoritmo de reconhecimento: mesmo que por algum motivo seja impossível construir um modelo 3D com óculos, é aconselhável nessa situação melhorar a qualidade da análise de imagem de uma câmera convencional.
A Check Point Software
invadiu a Canon EOS 80D. Por que uma câmera? Porque eles poderiam! No total, seis vulnerabilidades foram descobertas na câmera, e a mais séria delas está presente no protocolo PTP para comunicação com um computador. Como se viu, quando conectado a um PC, você pode iniciar uma atualização de firmware do dispositivo sem confirmação do usuário. Através de flashes forçados, os pesquisadores conseguiram instalar um trojan de ransomware real na câmera: ele criptografa as fotos no cartão de memória e exibe a demanda de resgate na tela. A Canon lançou um
boletim informativo para proprietários de câmeras (no qual, por algum motivo, não há link direto para a nova versão do firmware). O relatório diz que não há vítimas reais e é recomendável não conectar a câmera a computadores questionáveis. De fato, a quem ocorreria atacar uma câmera?
Vice
escreveu sobre um ativista que estava distribuindo (e vendendo por US $ 200) cabos para iPhone caseiros com um backdoor interno no Black Hat. A vítima desse cabo, no entanto, não é o telefone, mas o computador ao qual o dispositivo está conectado para sincronização (a sincronização, se houver, também funciona). O backdoor é um ponto de acesso Wi-Fi e, aparentemente, um emulador de teclado. No início do artigo, usamos o termo "hackers" em seu significado positivo, mas esse experimento, por assim dizer, está no limite inferior do positivo. O criador do cabo permaneceu anônimo, vendeu cabos usando marcadores na área da conferência. E ele vendeu com sucesso todas as duzentas peças.
Finalmente, o site de notícias The Register
foi homenageado por uma apresentação do estudante da Universidade de Oxford James Pavur. Ele conduziu um experimento social, enviando para 150 empresas o requisito de fornecer informações de acordo com as normas da legislação europeia GDPR. A lei concede aos usuários o direito de receber informações sobre si mesmos de empresas que coletam e processam dados pessoais. Uma nuance importante da história é que James não solicitou informações sobre si mesmo, mas sobre sua noiva. Das 150 empresas pesquisadas, 72% responderam à solicitação.
Desses, 84% admitiram ter informações sobre a noiva do pesquisador. Como resultado, recebemos um número de segurança social, data de nascimento, nome de solteira, número do cartão de crédito e parcialmente o endereço de residência. Uma empresa que coleta informações sobre senhas vazadas enviou uma lista de senhas para o endereço de email. E isso apesar do fato de que nem todas as empresas concordaram em fornecer dados: em 24% dos casos, o endereço de e-mail e o número de telefone da vítima (voluntária) foram suficientes para a identificação, em 16% dos casos foi necessária uma verificação de identificação (forjada facilmente) e outros 3% das empresas apenas excluiu todos os dados sem fornecê-los. Este experimento não tem como objetivo refutar os benefícios do RGPD. Em vez disso, mostra que as empresas nem sempre estão prontas para cumprir suas novas obrigações e ainda não existem métodos geralmente aceitos para identificar usuários. Mas seria necessário: caso contrário, as tentativas de seguir a lei levam ao efeito completamente oposto.
Material bônus: O pesquisador Brad Dixon encontrou uma maneira de enganar uma bicicleta ergométrica com gamificação embutida (
artigo em Vice,
site do projeto). Os simuladores Zwift permitem transformar uma bicicleta real em uma versão de sala para exercícios em casa, substituindo a roda traseira por um módulo que fornece a carga. O simulador vem com software para passeios de bicicleta virtuais, com recordes e competição. O Zwift identifica trapaceiros simples (parafusando uma chave de fenda em um simulador), então Dixon teve que burlar a proteção usando métodos não triviais: interceptar sinais de sensores, imitar tráfego plausível e assim por diante. Como resultado, o pedal do acelerador (vá muito rápido) e o controle de cruzeiro (vá a uma velocidade constante, alterando levemente os dados falsos dos sensores) foram adicionados ao simulador. “Agora você tem a oportunidade, sem interromper seu treinamento, de tomar uma cerveja ou outra coisa”, comentou o autor do estudo.
Isenção de responsabilidade: as opiniões expressas neste resumo podem não coincidir com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.