[Информационная безопасность] Security Week 09: инфосек-драма вокруг Nurserycam
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
На прошлой неделе получил развитие вялотекущий скандал вокруг Footfallcam, британского производителя специализированных веб-камер. Издание The Register в своем материале приводит предысторию: все началось с сообщений нидерландского исследователя OverSoftNL, в которых он еще в начале февраля описал серьезные проблемы с безопасностью устройств этой компании.
Как выяснил эксперт, камера Footfallcam, предназначенная для подсчета проходящих мимо людей, построена на плате Raspberry Pi. Анализ прошивки показал не только «забытые» разработчиком отладочные файлы (и один музыкальный трек), но и фиксированный пароль доступа к Wi-Fi-сети стандартного пользователя ОС Raspbian с паролем по умолчанию, а также включенный доступ по протоколу SSH. Иными словами, после добавления в корпоративную сеть устройство представляло собой огромную дыру в безопасности. Но это был не единственный продукт производителя со странным подходом к защите.
Драма началась в процессе приватного общения исследователя c производителем. Представители Footfallcam запросили у OverSoftNL и его компании услуги пентестинга, но после предварительной оценки стоимости исследователя публично обвинили в вымогательстве и пообещали заявить в полицию. Здесь к истории подключился другой исследователь, Эндрю Тирни (Andrew Tierney), который 14 февраля опубликовал обзор проблем в другом устройстве того же производителя. На этот раз речь шла о камерах Nurserycam. Их устанавливают в детских садах, а родителям предлагается скачать приложение, через которое они могут получить доступ к видео в потоковом режиме.
Утилита накладывает ряд ограничений на доступ, чтобы его могли получить только родители и только в определенное время. Как выяснилось, Nurserycam не только общается с приложением по незащищенному протоколу HTTP, но авторизованным родителям для доступа к веб-камере выдается пароль администратора, который не меняется. Хотя пароли напрямую не демонстрировались в приложении, их было легко вытащить из потока данных. Производитель веб-камер и в этом случае пытался проигнорировать актуальные проблемы, назвав админский доступ «приманкой для хакеров». Одновременно произошли некоторые изменения в API для работы с камерами, которые, впрочем, ничего не исправили.
Финальным аккордом истории стала утечка пользовательских данных, предположительно произошедшая в результате взлома серверов компании. О ней стало известно 22 февраля: в открытый доступ попали сведения о 12 000 клиентов Nurserycam, включая пароли открытым текстом. Судя по анализу уязвимостей, можно говорить о многолетнем игнорировании базовых средств защиты пользовательских данных. На это также указывают свидетельства клиентов Nurserycam: несколько лет назад кто-то обнаружил, что прямой доступ к любым видеопотокам можно получить, перебирая цифры в URL, а архив записей какое-то время лежал на FTP без пароля.
Помимо прочего, эта история — пример отвратительной коммуникации между специалистами по безопасности и вендором. Информацию об уязвимостях выложили в открытый доступ до того, как производитель смог на нее отреагировать. Но и он сделал все возможное для такого исхода, вместо конструктивного общения рассылая угрозы и атакуя исследователей публично с фейковых аккаунтов в Twitter. Все, что могло пойти не так, пошло не так.
Что еще произошло
Эксперты вновь сообщают об опасности навыков (по сути, стороннего софта) для умных колонок Amazon Alexa (новость, исследование). Ряд прорех в защите позволяет в теории использовать навыки для фишинговых атак на пользователей и прочего. Представители Amazon (впрочем, как и в других подобных случаях) отрицают возможность вредоносных атак на умные голосовые устройства.
Специалисты «Лаборатории Касперского» опубликовали свежее исследование о деятельности группировки Lazarus, частично связанное с недавней атакой на исследователей по безопасности.
В другом отчете «Лаборатории Касперского» освещают эволюцию сталкерского ПО для неправомерной слежки за людьми.
В Индии обнаружена масштабная утечка данных о прошедших тест на коронавирус.
В свитчах Cisco Nexus 3000 и Nexus 9000 нашли (и закрыли) критическую уязвимость, которую оценили на 9,8 балла по шкале CvSS, — она давала возможность удаленно получить root-права.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Интернет-маркетинг, Законодательство в IT, Патентование, Копирайт] Парсинг общедоступных данных запрещен с 1 марта
- [Информационная безопасность, Разработка веб-сайтов, Google Chrome, Браузеры] Разработчики Chrome внедряют принудительное открытие сайтов через HTTPS
- [Информационная безопасность, Контекстная реклама, Управление продажами] ИБ-исследователь раскритиковал LastPass за 7 встроенных трекеров для Android
- [Информационная безопасность] Особенности подготовки и прохождения международных аудитов безопасности
- [Информационная безопасность, Серверное администрирование] В даркнете продают базу данных 21 млн пользователей популярных VPN-сервисов
- [Информационная безопасность, Глобальные системы позиционирования, Геоинформационные сервисы, Законодательство в IT, DIY или Сделай сам] Подавление спутниковой навигации на Кремлевской набережной незаконно
- [Информационная безопасность, Беспроводные технологии, Разработка систем связи, Разработка для интернета вещей, Интернет вещей] Интернет вещей по-русски. Процедура активации OpenUNB
- [Информационная безопасность, PHP] Бэкдор в 1С-Битрикс: под угрозой сотни сайтов
- [Информационная безопасность, Разработка под Android, Социальные сети и сообщества] Вышло приложение Fake Contacts для замусоривания адресной книги Android
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_nurserycam, [url=https://torrents-local.xyz/search.php?nm=%23_blog_kompanii_«laboratorija_kasperskogo»&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_blog_kompanii_«laboratorija_kasperskogo» (
Блог компании «Лаборатория Касперского»
)[/url], #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:33
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
На прошлой неделе получил развитие вялотекущий скандал вокруг Footfallcam, британского производителя специализированных веб-камер. Издание The Register в своем материале приводит предысторию: все началось с сообщений нидерландского исследователя OverSoftNL, в которых он еще в начале февраля описал серьезные проблемы с безопасностью устройств этой компании. Как выяснил эксперт, камера Footfallcam, предназначенная для подсчета проходящих мимо людей, построена на плате Raspberry Pi. Анализ прошивки показал не только «забытые» разработчиком отладочные файлы (и один музыкальный трек), но и фиксированный пароль доступа к Wi-Fi-сети стандартного пользователя ОС Raspbian с паролем по умолчанию, а также включенный доступ по протоколу SSH. Иными словами, после добавления в корпоративную сеть устройство представляло собой огромную дыру в безопасности. Но это был не единственный продукт производителя со странным подходом к защите. Драма началась в процессе приватного общения исследователя c производителем. Представители Footfallcam запросили у OverSoftNL и его компании услуги пентестинга, но после предварительной оценки стоимости исследователя публично обвинили в вымогательстве и пообещали заявить в полицию. Здесь к истории подключился другой исследователь, Эндрю Тирни (Andrew Tierney), который 14 февраля опубликовал обзор проблем в другом устройстве того же производителя. На этот раз речь шла о камерах Nurserycam. Их устанавливают в детских садах, а родителям предлагается скачать приложение, через которое они могут получить доступ к видео в потоковом режиме. Утилита накладывает ряд ограничений на доступ, чтобы его могли получить только родители и только в определенное время. Как выяснилось, Nurserycam не только общается с приложением по незащищенному протоколу HTTP, но авторизованным родителям для доступа к веб-камере выдается пароль администратора, который не меняется. Хотя пароли напрямую не демонстрировались в приложении, их было легко вытащить из потока данных. Производитель веб-камер и в этом случае пытался проигнорировать актуальные проблемы, назвав админский доступ «приманкой для хакеров». Одновременно произошли некоторые изменения в API для работы с камерами, которые, впрочем, ничего не исправили. Финальным аккордом истории стала утечка пользовательских данных, предположительно произошедшая в результате взлома серверов компании. О ней стало известно 22 февраля: в открытый доступ попали сведения о 12 000 клиентов Nurserycam, включая пароли открытым текстом. Судя по анализу уязвимостей, можно говорить о многолетнем игнорировании базовых средств защиты пользовательских данных. На это также указывают свидетельства клиентов Nurserycam: несколько лет назад кто-то обнаружил, что прямой доступ к любым видеопотокам можно получить, перебирая цифры в URL, а архив записей какое-то время лежал на FTP без пароля. Помимо прочего, эта история — пример отвратительной коммуникации между специалистами по безопасности и вендором. Информацию об уязвимостях выложили в открытый доступ до того, как производитель смог на нее отреагировать. Но и он сделал все возможное для такого исхода, вместо конструктивного общения рассылая угрозы и атакуя исследователей публично с фейковых аккаунтов в Twitter. Все, что могло пойти не так, пошло не так. Что еще произошло Эксперты вновь сообщают об опасности навыков (по сути, стороннего софта) для умных колонок Amazon Alexa (новость, исследование). Ряд прорех в защите позволяет в теории использовать навыки для фишинговых атак на пользователей и прочего. Представители Amazon (впрочем, как и в других подобных случаях) отрицают возможность вредоносных атак на умные голосовые устройства. Специалисты «Лаборатории Касперского» опубликовали свежее исследование о деятельности группировки Lazarus, частично связанное с недавней атакой на исследователей по безопасности. В другом отчете «Лаборатории Касперского» освещают эволюцию сталкерского ПО для неправомерной слежки за людьми. В Индии обнаружена масштабная утечка данных о прошедших тест на коронавирус. В свитчах Cisco Nexus 3000 и Nexus 9000 нашли (и закрыли) критическую уязвимость, которую оценили на 9,8 балла по шкале CvSS, — она давала возможность удаленно получить root-права. =========== Источник: habr.com =========== Похожие новости:
Блог компании «Лаборатория Касперского» )[/url], #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:33
Часовой пояс: UTC + 5