Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

RAMpage zagraża urządzeniom z Androidem

Recommended Posts

Niemal wszystkie urządzenia z Androidem sprzedane po roku 2012 są podatne na atak RAMpage. To odmiana znanego od co najmniej 3 lat ataku Rowhammer. Atak pozwala napastnikowi na przejęcie całkowitej kontroli nad urządzeniem ofiary.
Rowhammer wykorzystuje fakt, że współczesne układy pamięci są bardzo gęsto upakowane. Dzięki wielokrotnie powtarzanym operacjom odczytu/zapisu w jednym obszarze pamięci, można doprowadzić do przeskoczenia bitu w innym obszarze, do którego nie ma się dostępu. W ten sposób złośliwy proces może wpłynąć na zawartość pamięci w innym procesie. Wykazano na przykład, że dzięki atakowi Rowhammer możliwe jest uzyskanie praw roota przez aplikację, która została uruchomiona z prawami użytkownika.

RAMpage to odmiana Rowhammera wyspecjalizowana w atakowaniu podsystemu pamięci systemu Android. Narażone na atak są wszystkie urządzenia z Androidem, które korzystają z układów LPDDR2, LPDDR3 lub LPDDR4 i zostały wyprodukowane w roku 2012 lub później. Zdaniem ekspertów, z urządzeń tych łatwo jest ukraść poufne informacje. Na razie nie istnieją żadne łaty, które chroniłyby Androida przed tym atakiem. Eksperci, którzy odkryli RAMpage, przygotowali bezpłatne narzędzie GuardiON, które zabezpiecza Androida. Udostępnili też aplikację, dzięki której możemy sprawdzić, czy nasze urządzenie jest podatne na atak.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Amazon poinformował, że jego chmura obliczeniowa AWS odparła jeden z najpotężniejszych ataków DDoS w historii. Do ataku doszło w lutym. W szczytowym momencie napastnicy wygenerowali ruch dochodzących do 2,3 terabitów na sekundę. Poprzedni najpotężniejszy atak w szczytowym momencie generował 1,7 Tbit/s.
      Lutowy atak był o 44% potężniejszy niż jakikolwiek wcześniej doświadczony przez Amazon Web Srvices. Chmura Amazona obsługuje wiele witryn internetowych. Nie zdradzono jednak, która z nich była celem ataku.
      Przedstawiciele Amazona poinformowali, że przez 3 dni po ataku w AWS obowiązywał stan podwyższonego alertu. Jak dowiadujemy się z oświadczenia prasowego, mieliśmy do czynienia z atakiem, który Amazon określił mianem „CLDAP reflection”. Najprawdopodobniej, chociaż Amazon nie mówi tego wprost, napastnik wykorzystał błędy konfiguracyjne w protokole CLDAP w serwerze strony trzeciej, który pozwolił mu na zwiększenie siły ataku.
      Ataki DDoS i związane z tym zakłócenia pracy infrastruktury informatycznej, mogą być bardzo kosztowne dla ofiary. Specjaliści oceniają, że sama tylko Wielka Brytania może tracić na takich atakach około 1 miliarda funtów rocznie. Dużym problemem jest fakt, że tego typu ataku są łatwe i tanie do przeprowadzenia.
      Firma Kaspersky informuje, że w I kwartale bieżącego roku doszło do znaczącego wzrostu liczby i jakości ataków DDoS. Nie tylko jest ich obecnie dwukrotnie więcej niż przed rokiem, ale 80% z nich trwa dłużej.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Przed kilkoma dniami doszło do wielkiego atak na 1,3 miliona witryn korzystających z oprogramowania WordPress. Przestępcy próbowali ukraść pliki konfiguracyjne oraz informacje potrzebne do logowania do bazy danych. Nieudana próba ataku została przeprowadzona na stare luki XSS w pluginach i skórkach do WordPressa.
      Jak poinformowali specjaliści z firmy Wordfence, którzy powstrzymali napastników, przestępcy chcieli pobrać pliki wp-config.php. Ich zdobycie pozwoliłoby im na uzyskanie dostępu du baz danych. Pomiędzy 29 a 31 maja zaobserwowano i zablokowano ponad 130 milionów prób ataku skierowanych przeciwko 1,3 milionowi witryn. Szczyt nastąpił 30 maja. W tym dniu dokonano 75% wszystkich prób nielegalnego zdobycia danych, usiłując wykorzystać dziury w pluginach i skórkach na platformach WordPress, czytamy w wydanym komunikacie.
      Badacze połączyli te ataki z działaniem tej samej grupy, która 28 kwietnia próbowała wstrzyknąć na witryny złośliwy kod JavaScript. Jego zadaniem było przekierowywanie użytkownika z uprawnieniami administratora na złośliwą witrynę, z której można było dokonać ataku. Oba ataki udało się połączyć dzięki temu, że zarówno w kwietniu jak i maju przestępcy korzystali z tej samej puli 20 000 adresów IP.
      Eksperci przypominają właścicielom witryn, że jeśli ich strona padła ofiarą ataku, należy natychmiast zmienić hasła dostępu oraz klucze uwierzytelniające. Jeśli konfiguracja twojego serwera pozwala na uzyskanie zdalnego dostępu do bazy danych, napastnik, który zdobył taki dostęp może z łatwością dodać konto administratora, uzyskać dostęp do poufnych informacji lub w ogóle zlikwidować twoją witrynę. Nawet jeśli twój serwer nie pozwala na zdalny dostęp do bazy danych, to jeśli napastnik zdobył klucze uwierzytelniające, może ich użyć do ominięcia kolejnych zabezpieczeń, czytamy w oświadczeniu.
      Osoby korzystające z WordPressa powinny też upewnić się, czy wykorzystują najnowsze wersje dodatków i czy na bieżąco łatają pojawiające się dziury. Warto przypomnieć, że przed kilkoma tygodniami znaleziono dwie dziury w pluginie Page Builder. Plugin ten jest zainstalowany na milionie witryn, a zanlezione dziury pozwalają przestępcom na przejęcie kontroli nad witryną.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Grupa hakerska Shiny Hunters włamała się na GitHub-owe konto Microsoftu, skąd ukradła 500 gigabajtów danych z prywatnych repozytoriów technologicznego giganta. Dane te zostały następnie upublicznione na jednym z hakerskich forów. Nic nie wskazuje na to, by zawierały one jakieś poufne czy krytyczne informacje.
      Ataku dokonali ci sami przestępcy, którzy niedawno ukradli dane 91 milionów użytkowników największej indonezyjskiej platformy e-commerce Tokopedii i sprzedali je za 5000 USD. Jak mówią eksperci, Shiny Hunters zmienili w ostatnim czasie taktykę.
      Na dowód dokonania ataku na konto Microsoftu hakerzy dostarczyli dziennikarzom zrzut ekranowy, na którym widzimy listę prywatnych plików developerów Microsoftu. Początkowo przestępcy planowali sprzedać te dane, ale w końcu zdecydowali się udostępnić je publicznie.
      Jako, że w ukradzionych danych znajduje się m.in. tekst i komentarze w języku chińskim, niektórzy powątpiewają, czy rzeczywiście są to pliki ukradzione Microsoftowi. Jednak, jak zapewniają redaktorzy witryny Hack Read, ukradziono rzeczywiście pliki giganta z Redmond. Przedstawiciele Shiny Hunters informują, że nie mają już dostępu do konta, które okradli. Microsoft może zatem przeprowadzić śledztwo i poinformować swoich klientów o ewentualnych konsekwencjach ataku. Sama firma nie odniosła się jeszcze do informacji o włamaniu.
      GitHub to niezwykle popularna platforma developerska używana do kontroli wersji, z której korzysta 40 milionów programistów z całego świata. W październiku 2018 roku została ona zakupiona przez Microsoft za kwotę 7,5 miliarda dolarów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      W chipsetach Intela używanych od ostatnich pięciu lat istnieje dziura, która pozwala cyberprzestępcom na ominięcie zabezpieczeń i zainstalowanie szkodliwego kodu takiego jak keyloggery. Co gorsza, luki nie można całkowicie załatać.
      Jak poinformowała firma Positive Technologies, błąd jest zakodowany w pamięci ROM, z której komputer pobiera dane podczas startu. Występuje on na poziomie sprzętowym, nie można go usunąć. Pozwala za to na przeprowadzenie niezauważalnego ataku, na który narażone są miliony urządzeń.
      Na szczęście możliwości napastnika są dość mocno ograniczone. Przeprowadzenie skutecznego ataku wymaga bowiem bezpośredniego dostępu do komputera lub sieci lokalnej, w której się on znajduje. Ponadto przeszkodę stanowi też klucz kryptograficzny wewnątrz programowalnej pamięci OTP (one-time programable). Jednak jednostka inicjująca klucz szyfrujący jest również podatna na atak.
      Problem jest poważny, szczególnie zaś dotyczy przedsiębiorstw, które mogą być przez niego narażone na szpiegostwo przemysłowe. Jako, że błąd w ROM pozwala na przejęcie kontroli zanim jeszcze zabezpieczony zostanie sprzętowy mechanizm generowania klucza kryptograficznego i jako, że błędu tego nie można naprawić, sądzimy, że zdobycie tego klucza jest tylko kwestią czasu, stwierdzili przedstawiciele Positive Technologies.
      Błąd występuję w chipsetach Intela sprzedawanych w przeciągu ostatnich 5 lat. Wyjątkiem są najnowsze chipsety 10. generacji, w której został on poprawiony.
      Intel dowiedział się o dziurze jesienią ubiegłego roku. Przed kilkoma dniami firma opublikowała poprawkę, która rozwiązuje problem. Firma przyznaje, że programowe naprawienie dziury jest niemożliwe. Dlatego też poprawka działa poprzez poddanie kwarantannie wszystkich potencjalnych celów ataku.
      Dziura znajduje się w Converged Security Management Engine (CSME), który jest odpowiedzialny za bezpieczeństwo firmware'u we wszystkich maszynach wykorzystujących sprzęt Intela.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Podczas niedawnego panelu dyskusyjnego nt. bezpieczeństwa wojskowych sieci komputerowych dowiedzieliśmy się, że NATO mogło przeprowadzić konwencjonalny atak w odpowiedzi na cyberatak robaka WannaCry. Generał-major Jürgen Setzer, odpowiedzialny w Bundeswerze za bezpieczeństwo cyfrowe, przyznał, że sekretarz generalny NATO nie odrzucił idei ataku zbrojnego w odpowiedzi na cyberatak.
      W ubiegłym roku sekretarz generalny NATO mówił, że atak WannaCry z 2017 roku, na którym szczególnie ucierpiały szpitale w Wielkiej Brytanii, mógł być powodem do użycia sił NATO, stwierdził Setzer.
      Generał dodał, że takie stanowisko sekretarza generalnego oznacza, iż kwestia odpowiedzi zbrojnej na cyberatak nie powinna być ściśle określona. Fakt, że przeciwnik przeprowadził cyberatak nie powinien oznaczać, że zaatakowany może odpowiedzieć wyłącznie w ten sam sposób.
      Jeśli mówimy o cyberbezpieczeństwie, to nie znaczy, że na cyberatak musimy odpowiadać w ten sam sposób. To już ryzyko napastnika, który nie wie gdzie leży granica i czy cyberatak jest już jej przekroczeniem, dodał Setzer.
      W prawie międzynarodowym od co najmniej 180 lat stosuje się zasadę koniecznej i proporcjonalnej odpowiedzi na atak Pomiędzy atakiem, a odpowiedzią nań musi istnieć pewna równowaga. Kwestia tego, czym jest proporcjonalna odpowiedź, wciąż pozostaje przedmiotem sporów. A obecnie sprawę komplikuje fakt, że atak może być też przeprowadzony za pomocą sieci komputerowych. Wydaje się, że przeważa opinia o możliwości odpowiedzi zbrojnej na cyberatak.
      Już w 2011 roku informowaliśmy, że Pentagon przygotowuje swoją pierwszą strategię obrony cyberprzestrzeni i nie wyklucza odpowiedzi militarnej na cyberatak.
      Za atakiem WannaCry najprawdopodobniej stała Korea Północna. Atak został powstrzymany przez byłego hakera Marcusa Hutchinsa, który później został aresztowany w USA. Zanim jednak Hutchins go powstrzymał, robak zdążył narobić poważnych szkód w 150 krajach.

      « powrót do artykułu
×
×
  • Create New...