4 апреля 2014

Новости недели: от угона Tesla до пятилетнего хакера

Новости

Последний рабочий день вот-вот закончится, а значит, время для нашего традиционного новостного дайджеста. Как всегда, предлагаем вашему вниманию самые интересные события из мира информационной безопасности последних дней, о которых не успели рассказать в течение недели: угон электромобиля Tesla, жестокие разборки ботнетов, пятилетний взломщик Xbox и другие новости.

Новости недели

Основателя Mt.Gox вызвали в суд

Сериал «Куда пропали 850 тысяч биткоинов?» уже, конечно, порядком поднадоел, но желание досмотреть до финала и узнать, что же все-таки случилось с биржей Mt.Gox, каждый раз оказывается сильнее здравого смысла. Очередная «серия» не преподнесла ничего нового, но чуточку приблизила историю к развязке. Марка Карпелеса, основателя и руководителя опальной биткоин-биржи, вызвали в техасский суд. Там предпринимателю придется ответить на вопросы юристов, которые представляют интересы пользователей, чьи кошельки оказались заморожены еще в начале года. Возможно, после встречи в суде, которая должна состояться 17 апреля, история станет чуть менее запутанной. Узнаем через пару недель.

«Умные» телевизоры Philips сваляли дурака

Ряд моделей смарт-телевизоров Philips оказались подвержены уязвимости, благодаря которой злоумышленник может получить удаленный доступ к устройству, подключившись к нему по Wi-Fi. Суть бреши проста до безобразия: встроенный в телевизоры софт Miracast, отвечающий за отображение на экране содержимого с подключенных устройств, по умолчанию снабжен простым паролем, одинаковым на всех моделях. В результате несложных действий можно перехватить управление телевизором, просматривать содержимое подключенных накопителей и даже похитить cookie-файлы, что дает возможность получить данные о посещенных владельцем устройства сайтах. Для наглядности авторы открытия из компании ReVuln записали прекрасное демонстрационное видео:

Узнал пароль — угнал автомобиль

Одно из самых интересных выступлений на проходившей на этой неделе в Азии конференции Black Hat принадлежало эксперту Нитешу Дханджани, который рассказал про угон автомобиля Tesla Model S. Вернее, не сам угон, а действия, которые могут значительно облегчить процесс кражи автомобиля. Дело в том, что Tesla Motors оснащает свои электрокары модулем, позволяющим владельцу удаленно производить действия с машиной при помощи смартфона или специального веб-сайта. Для доступа к этому функционалу требуется пароль, которым каждый владелец Tesla обязан защитить свою учетную запись. Проблема же заключается в том, что система авторизации не блокирует аккаунт после определенного количества неудачных попыток ввода пароля, а значит, злоумышленник имеет возможность узнать пароль простым перебором. Конечно, наличие пароля не позволит завести автомобиль, однако узнать его местоположение и открыть двери можно будет без особых сложностей. А там и до угона недалеко.

Apple закрыла 27 дыр в Safari

Компания Apple выпустила патч для браузера Safari, закрывающий аж 27 уязвимостей. Интересно, что лишь только одна из них НЕ позволяла выполнять на атакуемом компьютере произвольный код. Проще говоря, 26 брешей давали возможность злоумышленникам устанавливать в систему жертвы вредоносное ПО. К слову, больше половины закрытых дыр были найдены с помощью экспертов из Google Chrome Security Team. Примечательно также то, что мобильная модификация получила свое обновление значительно раньше.

Эксперты оценили масштаб фишинга

На этой неделе исследователи из «Лаборатории Касперского» опубликовали внушительный отчет, посвященный фишингу как финансовой киберугрозе. Речь в нем идет о том, как, чем и почему фишинг повлиял на рынок интернет-банкинга, платежных систем и онлайн-коммерции в 2013 году. Эксперты провели по-настоящему гигантскую работу, результатом которой стал интересный аналитический материал с не менее интересными цифрами. Очень рекомендуем к ознакомлению.

Битва ботнетов

Специалисты компании RSA обнаружили, что как минимум с августа прошлого года конкурирующие между собой ботнеты Cutwail и ZeuS находятся в состоянии непрерывной войны друг с другом. Выражается это противостояние в регулярных взаимных DDoS-атаках на командные серверы друг друга, цель которых — снизить эффективность работы сети. Cutwail и ZeuS — одни из крупнейших и мощнейших на сегодняшний день ботнетов — сетей инфицированных компьютеров, используемых злоумышленниками для рассылки спама и вредоносного ПО. В частности, ботнет Cutwail насчитывает не менее 1,5 млн компьютеров, способных рассылать 50 млн спам-сообщений в минуту.

Пятилетний геймер нашел уязвимость в Xbox

Ну и напоследок — небольшой курьез. Кристофер фон Хассель из США обнаружил способ, благодаря которому можно зайти в чужую учетную запись сервиса Xbox Live, даже не зная пароля от нее. Эта новость едва ли кого-то удивила, если бы не один нюанс: Кристоферу всего пять лет от роду. Пожелав поиграть в консоль, паренек столкнулся с типичной проблемой: вход в учетную запись отца был запаролен. Введя неверный пароль, маленький геймер увидел на экране второе окошко, в котором снова предлагалось набрать пароль. Заполнив поле одним-единственным пробелом, мальчик с удивлением для себя мгновенно авторизовался в аккаунте отца и, по собственному признанию в интервью одному из телеканалов, «занервничал, потому что подумал, что папа узнает». В результате этой истории Microsoft не только пофиксила очевидную уязвимость, но и официально поблагодарила пятилетнего хакера, а также внесла его имя в свой список security-исследователей.

Такими были новости прошедших дней. Хорошего пятничного вечера, приятных выходных и до встречи на следующей неделе.