Cele mai mari 5 eșecuri ale securității IoT din 2018

0
15

Cu ubicuitatea telefoanelor inteligente, difuzoarelor inteligente și dispozitivelor conectate fără fir în întreaga lume, defectele de proiectare și vulnerabilitățile de securitate mai ușor de suprafață. De exemplu, 2018 a observat un spectru de eșecuri de securitate IoT, variind de la probleme cu implementarea furnizorilor, actorii de stat care cooperează cu produse legitime, furnizorii de servicii vândut în mod direct date unor terțe părți cu practici de securitate neglijabile și eșecuri în cascadă de la recunoașterea vocii. 19659002] Vulnerabilitatea SirenJack scoate în evidență deficiențele de securitate prin obscuritate

Multe sisteme de difuzare de urgență în vigoare astăzi au fost proiectate în anii 1980, fără a se aștepta ca actorii rău intenționați să încerce să comande sistemele. Deși alerta a unei amenințări cu rachete balistice transmise în Hawaii pe 13 ianuarie a fost rezultatul erorii umane, cele 38 de minute dintre această alertă difuzată și retragerea au provocat panică și anxietate, mai ales că Coreea de Nord testează rachete a descoperit o vulnerabilitate în sistemele de difuzare de urgență produse de Acoustic Technology Inc. (ATI), ceea ce a permis ca pachetele de comandă să fie difuzate peste aer pentru a fi capturate, modificate și replayate. ATI a implementat un patch pentru a rezolva problema, deși nu este clar dacă toate sistemele afectate au fost patch-uri înainte de fereastra de publicare de 90 de zile sau dacă toate sistemele vulnerabile au fost patch-uri. În mod ciudat, declarația publică a ATI cu privire la vulnerabilitate a susținut că cercetarea de la Bastille este "în mare parte teoretică" și "este împotriva legii", deși declarația ATI subliniază sistemele de comunicații de siguranță publică ca fiind scutite de statutul pe care l-au citat

Atacatorii din Rusia co-optează pentru implantul LoJack pentru a obține controlul dispozitivului

Software-ul popular de securitate al dispozitivului LoJack – anterior cunoscut sub numele de Computrace – a fost folosit de grupul de spionaj spaniol sponsorizat de stat "Fancy Bear". LoJack cere producătorilor de computere să introducă un dropper în BIOS care să permită software-ului să persiste în instalațiile Windows, deși Fancy Bear a reușit să redirecționeze dropper-ul în Windows pe serverele pe care le controlează care se impersonează infrastructura lui LoJack. Natura legitimă a lui LoJack ca utilitate anti-furt a determinat programele antivirus să ignore atacul, făcându-l o țintă atractivă pentru Fancy Bear

SEE: Enterprise IoT research: Utilizări, strategie și securitate Tech Pro Research)

În timp ce descoperirea din mai se bazează pe o schimbare în interiorul Windows, un al doilea atac atribuit lui Fancy Bear a fost descoperit în septembrie . Acest atac, numit LoJax, patch-uri de date UEFI în computer, făcând atacul persistă în întreaga instalații Windows și hard disk-uri. Deși acest rootkit a fost descoperit în 2018, se pare că a funcționat cel puțin din 2004. În opinia ESET, LoJax este primul caz al unui rootkit al UEFI înregistrat ca fiind activ în sălbăticie.

Actorii de stat ascund malware-ul în routere, nedetectat de ani de zile

VPNFilter descris de cercetatorii de la Cisco Talos ca "[possessing] capabilitati pe care le-am asteptat intr-o platforma de colectare a informatiilor, cum ar fi colectarea de fisiere, executia comenzilor, managementul ", a fost gasit in routerele fabricate de ASUS, D-Link, Huawei, Linksys, MikroTik, Netgear, TP- Link, Ubiquiti, UPVEL si ZTE, precum si dispozitivele NAS de catre QNAP

au compromis dispozitivele din 54 de țări, cu dovezi ale primei infecții care datează din 2016. Serviciul de securitate al Ucrainei a chemat Rusia ca inițiator al atacului. Rapoartele inițiale au indicat că restabilirea ruterului a fost suficientă pentru a elimina infecția, dar alte actualizări au constatat că nu sunt suficiente recomandând utilizatorilor să refacă și firmware-ul. Este cunoscut faptul că malware-ul are coduri pentru a viza sistemele de control care utilizează SCADA, dar scopurile atacatorilor rămân necunoscute.

În mod similar, malware-ul Slingshot a fost descoperit a fi inactiv în routere timp de șase ani de colectare a informațiilor, de persistență și de exfiltrarea datelor. Cercetătorii seculiști au subliniat asemănările dintre Slingshot și exploatarea "" Chimay Red publicată de WikiLeaks, ca parte a "vulnerabilităților" "Vault 7" pe care WikiLeaks pretinde că au provenit de la CIA.

LocațiaSmart a scos de la distanță toate datele de localizare ale tuturor telefoanelor mobile din SUA

Un demo de produs nesecurizat de la firma de localizare geolocation LocationSmart a permis orice utilizator să caute locația oricărui telefon mobil fără a fi nevoie să furnizeze o parolă sau orice alte acreditări pentru orice telefon de pe cele patru mari transportatori din SUA, precum și US Cellular, precum și transportatorii canadieni Bell, Rogers și Telus. Această vulnerabilitate a fost identificată după ce Securus – o companie care furnizează instrumente de urmărire a smartphone-urilor pentru aplicarea legii din SUA – a fost hacked. Furnizorul de date backend al acelei companii a fost LocationSmart, conform unui raport ZDNet .

Pentru a face lucrurile să se înrăutățească, operatorii de telefonie mobilă au vândut aceste date de identificare către SiteSmart. Verizon a fost primul care a promis să oprească partajarea datelor, cu AT & T, Sprint și T-Mobile urmând la scurt timp după aceea

Amazon Echo înregistrat la întâmplare și a trimis o conversație a cuplului Portland

Un cuplu din Portland a afirmat că Echo speaker inteligent a înregistrat o conversație și la transmis unei persoane din lista lor de contacte – un angajat al cuplului – din Seattle. Raportul original este suspect, deși Amazon a confirmat CNET că incidentul a avut loc conform descrierii .

Modelul aparatului Echo Dot fotografiat în portul original este capabil să emită sunet la un difuzor extern printr-un mod 3.5 mm cablu audio. Dacă un difuzor a fost atașat la butonul Echo Dot, dar oprit, microfonul din unitatea Echo Dot ar fi activ, deși ar fi fost imposibil pentru proprietari să audă un mesaj audio prin difuzor. Raportul original nu menționează această posibilitate, de asemenea, raportul nu reușește să identifice în mod corect dispozitivul ca un Echo Amazon.

În ciuda acestui fapt, Amazon are o problemă Alexa. New York Times, tehnicianul de știri Farhad Manjoo a scris în februarie despre un incident în care sonorul lui Echo a strigat "ca un copil țipând într-un vis de film de groază". De asemenea, Amazon a făcut schimbări la felul în care Alexa operează în martie, după o serie de rapoarte care indică faptul că dispozitivele de tip Alexa au râs la întâmplare, par a fi nepromptate

Vezi și

 metamorworksistock-926502948.jpg

Imagine: Getty Images / iStockphoto
                                        

Source link

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here