Dziś zaczynamy pozytywną informacją – unijne artykuły 11 i 13 zostały odrzucone! Dalej nowe ataki na IoT, obowiązkowy wyciek danych, torrenty, Fortnite i błąd w systemie rezerwacji lotniczych.
1. Nowe unijne dyrektywy nie wyczyszczą wyników Google
Dobre wieści dla śledzących losy unijnych artykułów 11 i 13. Dyskusyjne nakazy restrykcyjnego filtrowania treści wgrywanych do sieci mogły – pod pretekstem ochrony praw autorskich – znacząco utrudnić europejskim internautom dostęp do wielu zasobów online. Tymczasem aż 11 krajów odrzuciło obecne brzmienie artykułów, a planowane na wczoraj ostateczne głosowanie w sprawie ich przyjęcia się nie odbyło. Przygotowując się do ich ewentualnego wprowadzenia Google testowało nowy, spełniający unijne wymogi algorytm wyszukiwania, po zastosowaniu którego wyniki nie zawierały m.in. tytułów, grafik ani aktualnych informacji. Cytując pracownika Google: “wyniki wyszukiwania wyglądają jak strona, która nie wczytała się prawidłowo”. Treści zwracane przez wyszukiwarkę musiałaby bowiem przejść filtr “własności praw autorskich”, który w uproszczeniu dopuszcza kompletny wynik jedynie dla pierwszego lub zastrzeżonego miejsca wystąpienia danej treści (obrazka, tekstu, utworu) w sieci. Generowałoby to duży problem związany z niemożliwością cytowania/przytaczania/wykorzystywania cudzych treści, na których swe działanie opiera ogromna część internetowego biznesu, ale też osób i organizacji działających non profit. Wydaje się, że chwilowo tego unikniemy.
Źródło newsa [EN]
2. Ekologiczne, ale dziurawe: trzy podatności w ładowarkach samochodów
Firma Schneider Electric EVlink Parking załatała trzy różne błędy w produkowanych ładowarkach samochodów elektrycznych, pozwalające wstrzymać ich działanie. Jeden z błędów dawał dostęp do webowego interfejsu urządzenia, pozwalając w nim wprowadzać znaczne zmiany, włącznie z wywoływaniem i aktywacją innych podatności bezpieczeństwa. Inny dawał atakującym uprzywilejowany dostęp do maszyny, dzięki czemu mogli przełączać ją w tryb rezerwacji i blokować dostęp podjeżdżającym klientom. Następnie przestępcy mogli podjechać własnym samochodem / podstawić własny port symulujący gniazdo pojazdu i podczas jego ładowania wyłączyć zabezpieczenie chroniące sam kabel. Dzięki temu można było przerwać ładowanie i zwyczajnie ukraść odbezpieczony element. Aż chciałoby się napisać, że razem z technologią ewoluują umiejętności złomiarzy – kradzież takiego kabla to jednak wyższa szkoła jazdy niż wycięcie kolejowej szyny. A już zupełnie poważnie: wzrost popularności ładowarek na pewno przyniesie kolejne próby ich hakowania, dlatego przed producentami duże wyzwanie. Jeśli z takich korzystacie, a któraś jest ciągle niedostępna, to na wszelki wypadek warto podjechać na inną.
Źródło newsa [EN]
3. Rośnie ryzyko cyberataków na systemy zarządzania budynkami
Kilka lat temu inteligentne budynki mogły się wydawać egzotyczną odmianą rosnącego trendu IoT. Dziś stają się normą. Dostawcy oferują kolejne, coraz bardziej złożone komponenty domowych systemów, a deweloperzy celujący w zamożniejszych klientów budują kolejne “inteligentne” osiedla. Niestety to, co dla użytkownika i mieszkańca zwyczajnie wygodne, może nie być równocześnie całkowicie dla niego bezpieczne. Eksperci znaleźli dwie luki w systemie Building Automation Systems (BAS), a konkretnie jego programowalnym kontrolerze logicznym. Wśród nich była m.in. luka w szyfrowaniu haseł użytkowników pozwalała agresorom wykorzystywać ich dane do faktycznego zarządzania systemem. Wykorzystując ją do swoich działań cyberprzestępcy mogą m.in. sabotować systemy klimatyzacyjne doprowadzając np. do przegrzewania i awarii serwerów w centrach danych lub też wyłączać fizyczne zabezpieczenia dostępu do konkretnych budynków czy pomieszczeń i … bez problemu tam wchodzić pod nieobecność prawnych właścicieli i lokatorów. Alarmujący wydaje się fakt, że większych i mniejszych błędów w systemach BAS specjaliści wykrywają sporo, ale producenci nie aktualizują usterek nawet przez kilka lat od wpłynięcia zgłoszenia. Cóż, zapewne do czasu jakiegoś wyjątkowo spektakularnego cyberataku.
Źródło newsa [EN]
4. Build Your Own Botnet – potencjalnie groźne środowisko open source
Specjaliści bezpieczeństwa przechwycili prawdopodobnie pierwszy atak wykorzystujący otwarte środowisko BYOB. Tym samym narzędzia utworzonego w dobrej wierze (testowania i wzmacniania obronności przed atakami) środowiska zostały wykorzystane wbrew intencjom jego autorów.
BYOB nie wymaga fachowej wiedzy i bazuje na coraz popularniejszych, przejrzystych modułach plug-and-play, pozwala więc zaprojektować i przeprowadzić własny cyberatak nawet zupełnym nowicjuszom. Ofiary tej wykrytej infekcji otrzymały wiadomości mailowe z załącznikiem w HTML. W jego treści umieszczono link do phishingowej witryny udającej ekran logowania Office 365 oraz złośliwy skrypt automatycznie pobierający inne zagrożenia na komputer nieświadomego użytkownika. Trudno zakładać, by twórcy BYOB oddając internautom gotową platformę do tworzenia botnetów w swojej naiwności nie przewidzieli takiego rozwoju sytuacji. Czy usługa pozostanie więc ogólnodostępna? Czas pokaże.
Źródło newsa [EN]
Producent wykrył i załatał dwie podatności znalezione w dodatkowych funkcjonalnościach platformy. Pierwszy błąd dotyczył biblioteaki PEAR Archive_Tar, pozwalając na zdalne wykonanie kodu poprzez błędną deserializację złośliwego archiwum TAR. Druga usterka wykorzystywała sposób,w jaki jądro Drupala przetwarza uniwersalne identyfikatory zasobów (ang. Uniform Resource Identifier, URI) 'phar://’ podczas operacji na plikach. Użytkownik musiał przekazać specjalnie przygotowany ciąg znaków do podatnego na atak skryptu, by aktywować podatność i móc zdalnie wykonywać złośliwy kod pozwalający m.in. kasować dane użytkownika. To pierwsze w 2019 r. aktualizacje Drupala, więc jeżeli wasz biznes wykorzystuje strony działające w tej technologii doradzamy szybki update!
Źródło newsa [EN]
6. Błędy bezpieczeństwa Fortnite pozwalały przejmować konta graczy
Szereg podatności w bijącej rekordy popularności sieciowej strzelance Fortnite pozwalał nieuprawnionym osobom na przejmowanie kont graczy. Zgłoszone producentowi luki pozwalały m.in. podglądać zawartość konta, a także podsłuchiwać i nagrywać rozmowy graczy – również te prowadzone poza grą (np. z domownikami), ale odbywane przy włączonej aplikacji. By przejąć konto nieostrożnego gracza wystarczyło skłonić go do kliknięcia w złośliwy link, kierując na starszą subdomenę gry, podatną na ataki typu SQL injection wykonywane za pomocą techniki cross-site-scripting (XSS). Dodatkowo mechanizm pojedynczego logowania do wszystkich usług związanych z aplikację (tzw. single sign-on – SSO) zawierał parametr przekierowań mogący skierować użytkowników na dowolną domenę zawierającą “*.epicgames.com”. To naturalnie nie pierwsze wykryte luki i ataki (tym razem jedynie potencjalne) na aplikację, która przyniosła już ponad 1 mld dolarów przychodu z samych mikropłatności. Producent standardowo doradza graczom zmianę haseł na silniejsze.
Źródło newsa [EN]
7. Wirus Fake Movie: kolejny powód, by omijać pliki z torrentów
Mimo prawnych batalii właścicieli praw autorskich z serwisami bezpłatnie udostępniającymi torrenty, te ostatnie wciąż nieźle funkcjonują. Tak przynajmniej uważają cyberprzestępcy, którzy wciąż wykorzystują apetyt internautów na gry, programy i multimedia dostępne bez opłat. W serwisie The Pirate Bay pojawił się złośliwy program udający plik wideo z zeszłorocznym filmem “Dziewczyna w sieci pająka”. Jego pobranie i uruchomienie aktywowały rzeczywiste rozszerzenie pliku (.lnk) wykonując komendę PowerShell. W efekcie wirus modyfikował wyniki wyszukiwania hasła m.in. w Google, Wikipedii czy popularnym rosyjskim Yandex.
Przykładowo w Google wskazane przez cyberprzestępców treści mogły ukazywać się w topowych wynikach wyszukiwania mimo, że nie były związane ze sprawdzanym hasłem. Aby uchronić się przed wykryciem, wirus wyłączał domyślną usługę Windows Defender modyfikując odpowiednie wpisy rejestru systemu. Dodatkowo w przypadku wykrycia Firefoxa zagrożenie samo instalowało dodatek “Firefox protection”, z kolei Chrome’a hakowało modyfikując jego wewnętrzną usługę Media Router. Po co to wszystko? Wydaje się, że celem przestępców jest wyłudzanie kryptowalut maskowanych jako datki wspierające działanie wybranych stron – to z takich darowizn utrzymuje się m.in. Wikipedia, na którą zagrożenie wstawiało fałszywy baner informujący, że teraz można wspierać serwis również wpłatami w kryptowalutach.
Źródło newsa [EN]
8. 22 mln cudzych haseł poczty do wzięcia w serwisie MEGA
Haveibeenpwned.com to popularna witryna pozwalająca sprawdzić, czy dostęp do naszej skrzynki mailowej nie został przez kogoś bezprawnie zawłaszczony. Po lekturze koniecznie sprawdźcie w niej swoje najczęściej używane adresy – zwłaszcza firmowe… bo kilka dni temu w bazie serwisu pojawiła się największa jak dotąd paczka wykradzionych danych. W przeszło 87 gigabajtach informacji zawarto 773 miliony unikalnych adresów mailowych i 22 mln pocztowych haseł, z których część została “zdehashowana”, czyli skonwertowana do zwyczajnego tekstu. W pakiecie zauważonym i cały czas dostępnym na różnych hakerskich formach zebrano dane wykradzione z ponad 2000 różnych baz. Jeżeli na zapytanie o swoje adresy we wspomnianej usłudze zobaczycie komunikat “Oh no — pwned!” może to oznaczać, że Wasze dane również trafiły do wspomnianej paczki wciąż hostowanej w serwisie wymiany plików MEGA. Tak czy inaczej – warto zmienić hasło od razu.
Źródło newsa [EN]
9. Błąd systemu rezerwacji biletów lotniczych problemem 141 przewoźników
Blisko połowa światowych przewoźników (m.in. Lufthansa) mogła zostać dotknięta krytyczną podatnością systemów bezpieczeństwa w systemie Amadeus służącym do rezerwacji biletów online. Pozwalała ona zdanie modyfikować m.in. dane dotyczące podróży i punktów w programie lojalnościowym przewoźnika, w efekcie przyznając przestępcom znaczne benefity. Po zamówieniu lotu w niechronionym szyfrowaniem mailu pasażer otrzymywał unikalny numer PNR (Passenger Name Record) oraz link do sprawdzania statusu rezerwacji. Wystarczyło jednak zmienić wartość parametru „RULE_SOURCE_1_ID” zawartego w linku, a system wyświetlał dane osobowe i szczegóły podróży innych pasażerów. Wykorzystując te informacje (np. numer lotu i nazwisko pasażera), przestępca może uzyskać dostęp do konta ofiary w systemie obsługi klienta i wprowadzić na nim praktycznie dowolne zmiany – od zmiany miejsca w samolocie i preferencji dotyczących posiłków, przez odbiór punktów z programu lojalnościowego po zmianę adresu email i nr telefonu, aż po odwołanie lub zmianę lotu. Izraelski przewoźnik ELAL, na którego systemie sprawdzono i dowiedziono skuteczności ataku już podjął kroki w celu zwiększenia poziomu ochrony, podobnie jak dostawca systemu Amadeus, któremu zgłoszono podatność.
Źródło newsa [EN]
10. Brak aktualizacji oprogramowania pozwala zdalnie kontrolować dźwig
Eksperckie testy przeprowadzone w 14 miejscach na świecie dowiodły, że dźwigi, podnośniki i inne maszyny przemysłowe wielu wiodących producentów mogą łatwo paść ofiarami cyberataków. Problematyczny jest praktycznie niechroniony protokół komunikacji tych maszyn oparty na falach radiowych, którymi systemy urządzeń przemysłowych mogą nadawać i odbierać komendy. Komunikat taki łatwo jest przechwycić i zmodyfikować, a wstrzykując w przechwyconą transmisję własne komendy nawet przejąć całkowitę kontrolę nad maszyną, która otrzyma zmieniony przekaz. Można ją również całkowicie unieruchomić, bombardując system komendą “awaryjnego zatrzymania” aż do wywołania stanu permanentnej odmowy usługi (denial-of-service tj. DoS). Istnieje też możliwość “sklonowania” kontrolera i sparowania go z urządzeniem, wyłączając dostęp oryginalnego nadajnika. W ten sposób można zupełnie zdalnie zarządzać maszyną, ignorującą już komendy zdezorientowanego operatora. Ataki tego typu mogą wiązać się z pewnymi kosztami np. zakupem certyfikowanego tylko w danym kraju kontrolera, ale raczej nie przeszkodzą one przestępcom planującym atak na konkretną firmą lub infekcję wykorzystującą jej urządzenia.
Źródło newsa [EN]