Zero Day Weekly: Chase 2-auth shame, Apple-ის იძულებითი განახლება, გერმანული APT კოშმარი

  • Sep 26, 2023

უსაფრთხოების მნიშვნელოვანი სიახლეების კოლექცია 2014 წლის 26 დეკემბერს დასრულებული კვირისთვის. მოიცავს საწარმოს, დაპირისპირებებს, მოხსენებებს და სხვა.

zero-day-weekly.jpg

Კეთილი იყოს თქვენი მობრძანება ნულოვანი დღის კვირა უსაფრთხოებაში, 2014 წლის 26 დეკემბერს დასრულებული კვირის უსაფრთხოების ახალი ამბების ჩვენი მიმოხილვა. მოიცავს საწარმოს, დაპირისპირებებს, მოხსენებებს და სხვა.

ამ კვირაში Apple-მა აიძულა თავისი პირველი ავტომატური უსაფრთხოების განახლება, JPMorgan Chase-ის დარღვევა. ორფაქტორიანი ავტორიზაციის ჩაშლის შედეგად, APT-მ გამოიწვია საშინელი ფიზიკური დაზიანება გერმანული რკინის ქარხანაში, Staples-ს დაესხნენ თავს და მეტი.

  • Apple ავრცელებს პირველ ავტომატურ პატჩს NTP ხარვეზის გამოსასწორებლად. ორშაბათს Apple-მა პირველად გამოიყენა უსაფრთხოების ავტომატური განახლების მექანიზმი NTP-ში ან ქსელის დროის პროტოკოლში კრიტიკული დაუცველობის გამოსწორების გამოსაყენებლად, რომელიც აღმოაჩინა Google-ის ინჟინერმა. "უნიქსზე დაფუძნებული სისტემებისთვის, მათ შორის OS X-ის ჩათვლით, უსაფრთხოების საფრთხის გათვალისწინებით, ჩვენ გამოვიყენეთ უსაფრთხოების ავტომატური ფუნქცია. განაახლეთ OS X სისტემები და დაიცავით ჩვენი მომხმარებლები რაც შეიძლება სწრაფად“, - თქვა Apple-ის სპიკერმა ბილ ევანსმა ელფოსტით განცხადება. ამ განცხადებაში ევანსმა NTP შეცდომას უწოდა "კრიტიკული" ხარვეზი.
  • JPMorgan Chase ჰაკი შეიძლებოდა თავიდან აეცილებინა, თუ გამოყენებული იქნებოდა ორფაქტორიანი ავთენტიფიკაცია, ეს გამოვლინდა. როგორც ჩანს, JPMorgan-ის უსაფრთხოების გუნდმა უგულებელყო მისი ერთ-ერთი ქსელის სერვერის განახლება ორმაგი პაროლის სქემით. ჩეიზის შეტევის შედარებით მარტივი ბუნება - რომლის დეტალები ადრე არ იყო ცნობილი - დარღვევას ახალ შუქზე აყენებს.

#sonyhack#PS4ბრუნდება@Sony ხვალ დავაბრუნებ შენს PS4-ს. ყველაზე ცუდი შობა ოდესმე. ბევრი დრო გქონდა ამ თავდასხმისთვის მოსამზადებლად.

-- Bee Pee (@BPkillinEM) 2014 წლის 26 დეკემბერი

  • კიმ დოტკომმა შეაჩერა Sony Playstation-ის შეტევა შობის დღეს. 25 დეკემბერს ჰაკერული ეკიპაჟი Lizard Squad კიდევ ერთხელ ჩამოაგდეს Sony Playstation და XBox Live ქსელებში, მას შემდეგ, რაც ამის შესახებ Twitter-ის მიმდევრები გააფრთხილეს. Lizard Squad-მა სონის PlayStation ქსელი ადრე ორჯერ, ამ წლის აგვისტოში და სექტემბერში გააუქმა, სხვა დიდ ვებსაიტებზე სხვა წარმატებულ თავდასხმებთან ერთად. ამჯერად კიმ დოტკომი შესთავაზა Lizard Squad "3000 @MegaPrivacy პრემიუმ ვაუჩერი @LizardMafia-სთვის, თუ ისინი დაუყოვნებლივ შეწყვეტენ XBOX Live-ზე და PSN-ზე თავდასხმას." იმუშავა. განახლება: იმის გამო, რომ ქსელი მაღლა და ქვევით არის პირველი შეტევის შემდეგ, ბევრი ჯერ კიდევ ფიქრობს, რომ ის თავდასხმის ქვეშაა.

საშობაო სასწაული. Როგორ @MegaPrivacy გადაარჩინა @Xbox & @Სათამაშო სადგური დან @LizardMafia თავდასხმა. ისიამოვნეთ თქვენი თამაშებით! :-) pic.twitter.com/qoaZ33eqCi

-- Kim Dotcom (@KimDotcom) 2014 წლის 26 დეკემბერი

  • ახლად აღმოჩენილი დაუცველობა აყენებს რისკის ქვეშ 12 მილიონი როუტერი მთელ მსოფლიოში სახლებში, მცირე ბიზნესში და კორპორატიულ გარემოში. Misfortune Cookie დაუცველობა საშუალებას აძლევს თავდამსხმელს დისტანციურად აიღოს კარიბჭე მოწყობილობა ადმინისტრატორის პრივილეგიებით, ქსელის უსაფრთხოების გამყიდველის Check Point Software Technology, Inc. პრობლემის მასშტაბები უპრეცედენტოა, თქვა შაჰარ ტალმა, Check Point-ის მავნე პროგრამებისა და დაუცველობის კვლევის მენეჯერმა.
  • სამხრეთ კორეის ატომური სადგური გატეხეს: სამხრეთ კორეაში ატომური ელექტროსადგურის კომპიუტერები დაზიანდა, მაგრამ ქარხნის ოპერატორმა განაცხადა კრიტიკული მონაცემები არ გაჟონა. ჰაკერმა შეძლო წვდომა გეგმებზე, იატაკის რუკებსა და ქარხნის სხვა ინფორმაციას.
  • გერმანული რკინის ქარხანა ფიზიკურად დაზიანდა ჰაკერული თავდასხმის დროს. გერმანიის ფედერალურმა სააგენტომ დეტალურად აღწერა, თუ როგორ დააზიანა APT-ის შეტევამ ფიზიკურად რკინის ქარხანა. BSI (Bundesamt für Sicherheit in der Informationstechnik) გამოავლინა, რომ თავდამსხმელები იყენებდნენ შუბის ფიშინგს და სოციალურ ინჟინერიას რკინის ქარხნის საოფისე ქსელში შესვლა, შემდეგ საწარმოო ქსელებზე წვდომა. ამან გამოიწვია ინციდენტი, როდესაც ღუმელის გამორთვა ვერ მოხერხდა და გამოიწვია „სისტემის მასიური დაზიანება“.
  • კავები აღიარა დაახლოებით 1.16 მილიონი გადახდის ბარათი შესაძლოა დაზარალდეს გასული წლის შემოდგომაზე დარღვევით. გამომძიებლები თვლიან, რომ მავნე პროგრამამ შეაღწია Staples-ის POS სისტემებში 113-ზე მისი 1400-ზე მეტი საცალო ადგილიდან ქვეყნის მასშტაბით. ტრანზაქციის მონაცემები, რომელიც სავარაუდოდ გატეხილია, მოიცავს ბარათის მფლობელის სახელებს, გადახდის ბარათის ნომრებს, ვადის გასვლის თარიღებს და ბარათის დამადასტურებელ კოდებს.
  • ხარვეზი MacBook EFI-ში საშუალებას აძლევს ჩატვირთვის ROM მავნე პროგრამას: პროგრამისტი/ჰაკერი Trammell Hudson წარმოადგენს კვლევას on Apple EFI firmware ინფიცირების გზები გარე Thunderbolt პორტის გამოყენებით. თავდამსხმელები ნერგავენ მუდმივი ჩატვირთვის ROM მავნე პროგრამას MacBook Thunderbolt პორტების მეშვეობით. ჰადსონი ამბობს, რომ ის არის "... თითქმის ორი წელია კონტაქტში ვიყავი Apple-ის უსაფრთხოების გუნდთან Option ROM-ისა და Thunderbolt-ის საკითხებთან დაკავშირებით.
  • შარლატანები: კონფიდენციალურობის მომგებიანთა ახალი ტალღა: მარტივი გზაა ინტერნეტის დათვალიერების ანონიმურობისა და კონფიდენციალურობის პირობებში? არც ისე სწრაფად. 2014-მა კონფიდენციალურობა ბიზნესად აქცია - და წარმოშვა არაკეთილსინდისიერი შარლატანების დიდი რაოდენობა, რომელთაც სურთ შეშინებული საზოგადოების კაპიტალიზაცია. ამ შარლატანების ისტორიები და ტყუილები და დაფინანსების თაღლითები, რომლებსაც ისინი ჯერ კიდევ ართმევენ თავს, შემზარავია.
  • ფიშინგის ხელმძღვანელობით APT იპარავს მილიონებს ბანკებიდან: ჯგუფმა მოიპარა 25 მილიონი აშშ დოლარი რუსეთსა და ყოფილ საბჭოთა ქვეყნებში მრავალი ფინანსური ინსტიტუტის ინფრასტრუქტურის გატეხვით, ასევე აშშ და ევროპული საცალო POS სისტემები. რუსული ფირმის Group-IB და ჰოლანდიური უსაფრთხოების ფირმა Fox-IT-ის მკვლევარები ჯგუფს Anunak-ს უწოდებენ, მის ხელსაწყოებში არსებული პირველადი მავნე პროგრამის მიხედვით.
პიკასა

Sony-ის ჰაკერული კვირის მიმოხილვა: Sony მიდის სრულ დერპში

ერთი კვირის წინ Sony ღიად სცადა სონის გაჟონილი დოკუმენტების მედია გაშუქების გაჩუმება („ჟურნალისტებს უბრძანა, შეწყვიტონ გაჟღენთილი დოკუმენტების გაშუქება, გაანადგურონ რაც ჰქონდათ მფლობელობაში და დაელოდეთ სანამ მიიღებენ შემდგომ მითითებებს იმის შესახებ, თუ რა იყო/არა იყო „საჯარო ინტერესი“. სონი").

ამ კვირაში სტუდიამ ტვიტერს სასაცილო საფრთხე შეუქმნა. შემდეგ Sony დაემუქრა Twitter-ის მომხმარებელს ეკრანის ანაბეჭდების გამოქვეყნებისთვის მცირე წარმატებით, მაშინ Sony ტვიტერს უჩივლით დაემუქრა. TechDirt ლურსმნებს ის ამბობს, "ჩვენ უკვე განვიხილეთ, თუ რამდენად ცუდი იყო Sony-ს კომპიუტერული უსაფრთხოების სტრატეგია - და ახლა, როგორც ჩანს, მისი იურიდიული სტრატეგია ერთნაირად მოკვდა".

როგორც გახსოვთ, გასულ კვირას FBI-მ ოფიციალურად დაადანაშაულა ჩრდილოეთ კორეა Sony-ის ჰაკერების ჩადენაში. მალევე, ჩრდილოეთ კორეამ უარი თქვა და შესთავაზა აშშ-ს ამ საკითხზე ერთობლივი გამოძიება - შეთავაზება, რომელიც იყო სწრაფად უარყო აშშ-მა.

იმავდროულად, დარტყმა infosec-ის თემებიდან, რომლებიც FBI-ჩრდილოეთ კორეის ბრალის თამაშს სენანიგანს უწოდებდნენ, კრიტიკულ მასას მიაღწია.

მარკ როჯერსმა (Cloudflare, DEF CON) დაწერა პატივცემული infosec პროფესიონალების გუნდი, რომლებიც ფიქრობენ, რომ ჩრდილოეთ კორეის კუთხე არის BS. არა, ჩრდილოეთ კორეამ არ გატეხა Sony, ემატება მკვლევართა გუნდს, რომლებიც არ ყიდულობენ მას.

NYT-ები ახალი კვლევა უსაფრთხოების ექსპერტებს შორის სკეპტიციზმს ამატებს იმის თაობაზე, რომ ჩრდილოეთ კორეა დგას Sony-ის ჰაკერის უკან სასტიკად აღწერს თავდასხმის ატრიბუტის „საკმარის მტკიცებულებებს“, ისევე როგორც ახალ ანალიზს GOP-ის წერილებში გამოყენებული ენა, რომელიც ასკვნიდა, რომ წერილები, სავარაუდოდ, მშობლიური რუსი იყო დაწერილი სპიკერი.

აქ არის ჩრდილოეთ კორეის თეორიის უარყოფის მაჩვენებელი.

მიუხედავად იმისა, რომ ყველას ყურადღების ცენტრში მოექცა კუდის დევნა და სონის დიდი ნაკადი, რომელიც ამახინჯებს ქვეყანას. სიკვდილის ბანაკები როგორც შესანიშნავი კომედიური საკვები, სხვებმა განაგრძეს სონის დანაშაულის ერთი შეხედვით დაუსრულებელი მტკიცებულების წყაროს ყურება: GOP ფაილების გადაყრა.

ტორენტფრიკი იტყობინება იმის საპირისპიროდ, რასაც საზოგადოებას უთხრეს, MPAA-ს დიდი '80 მილიონი დოლარი' ანგარიშსწორება Hotfile-თან ტყუილი იყო. TorrentFreak-მა აღმოაჩინა, რომ „Hotfile-ის დასახლება მართლაც მხოლოდ 4 მილიონი დოლარი იყოდა 80 მილიონი დოლარი იყო მხოლოდ ყალბი რიცხვი, რომელზეც შეთანხმდნენ პრესრელიზის გულისთვის, რომელიც MPAA-ს შეეძლო გამოიყენოს სხვების დასაშინებლად.

ერთი კვირის წინ გაგახსენდება Პირას და Huffington Post იტყობინება ახლა გამოვლენილი შეთქმულების შესახებ MPAA-ს, Universal-ს, Sony-ს, Fox-ს, Paramount-ს, Warner Bros-სა და Disney-ს შორის, რათა დაედევნებინათ Google-ი, DMCA-ის ხელახალი ინტერპრეტაცია მათ სასარგებლოდ და აღორძინება SOPA.

პარტიებიც ანაწილებდნენ $585 ათასიდან 1,175 მილიონ დოლარამდე მისისიპის გენერალური პროკურორის ჯიმ ჰუდის (არასწორი და გაუმართავი შენობების საფუძველზე) გამოძიების დასაფინანსებლად Google-ის მიმართ.

Google საჩივარი შეიტანა ჰუდის წინააღმდეგ და გაუგზავნა შეტყობინება MPAA-ს შეინარჩუნოს დოკუმენტები სასამართლოში საჭიროების შემთხვევაში, ასევე ა საჯარო კამპანია ჰოლივუდის მეკობრეობის წინააღმდეგ ბრძოლას. განცხადება ჰუდმა გააკეთა New York Times მოუწოდებს „ტაიმ-აუტს“ და თქვა, რომ მოუწოდებს კომპანიას „მოლაპარაკებაზე იმ საკითხების მშვიდობიანი მოგვარების შესახებ, რომლებიც გავლენას ახდენს მომხმარებლებზე“.

გარდა ამისა, Sony-ს საშინელი ფილმი იყო საკმაოდ ფართოდ მეკობრული, მოუხერხებლად გამოშვებული არეულობა (ინტერვიუ 1 მილიონ დოლარზე ნაკლები იყო; Unbroken, Into The Woods-სა და Hobbit-ს 40 მილიონი დოლარი ევალება თითოეულს), მიუხედავად ყველა უფასო რეკლამისა, რომელიც მასზე რძილია.

@kernelfilms თქვენ ბიჭებო გჭირდებათ სერიოზული DRM დახმარება. pic.twitter.com/HwyQpHRAGM

-- ძვირადღირებული გარეგნობა (@expensivelooks) 2014 წლის 24 დეკემბერი

Იხილეთ ასევე: მუდმივად განახლებული რისკზე დაფუძნებული უსაფრთხოების პოსტი, 2014 წლის დეკემბრის Sony Hack-ის ავარია და ანალიზი.