Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Niebezpieczny port Thunderbolt

Recommended Posts

Wiele najnowocześniejszych laptopów oraz coraz więcej komputerów stacjonarnych jest znacznie bardziej narażonych na atak za pośrednictwem urządzeń peryferyjnych niż dotychczas sądzono. Jak wynika z badań przeprowadzonych na University of Cambridge, napastnik może w ciągu kilku sekund przełamać zabezpieczenia maszyny, jeśli tylko zyska dostęp do takich urządzeń jak ładowarka czy stacja dokująca.

Dziury znaleziono w komputerach z portem Thunderbolt, pracujących pod kontrolą Windows, Linuksa, macOS-a i FreeBSD. Narażonych jest coraz więcej modeli komputerów.

Naukowcy z Cambridge i Rice University stworzyli otwartoźródłową platformę Thunderclap, która służy im do testowania bezpieczeństwa urządzeń peryferyjnych i ich interakcji z systemem operacyjnym. Pozwala ona podłączać się do komputerów za pomocą portu USB-C obsługującego interfejs Thunderbolt i sprawdzać, w jaki sposób napastnik może dokonać ataku na system. Okazuje się, że w ten sposób bez większego problemu można przejąć całkowitą kontrolę nad maszyną.

Ataku można dokonać nie tylko za pomocą zewnętrznych kart graficznych czy sieciowych, ale również za pomocą tak pozornie niewinnych urządzeń jak ładowarka czy projektor wideo.

Urządzenia zewnętrzne mają bezpośredni dostęp do pamięci (DMA), co pozwala im ominąć zabezpieczenia systemu operacyjnego. To bardzo kuszący sposób na przeprowadzenie ataku. Jednak współczesne systemy komputerowe korzystają z mechanizmu IOMMU (input-output memory managemen units), który ma chronić przed atakami DMA poprzez udzielanie dostępu do pamięci tylko zaufanym urządzenim, a dostęp ten jest ograniczony do tych obszarów pamięci, które nie zawierają wrażliwych danych. Jednak, jak dowiedli naukowcy, IOMMU jest wyłączony w wielu systemach, a tam, gdzie jest włączony, jego zabezpieczenia mogą zostać przełamane.

Wykazaliśmy, że obecnie IOMMU nie gwarantuje pełnej ochrony i doświadczony napastnik może poczynić poważne szkody, mówi Brett Gutstein, jeden z autorów badań.

Po raz pierwszy tego typu błędy odkryto w 2016 roku. Naukowcy poinformowali o problemie takie firmy jak Intel, Apple i Microsoft, a te przygotowały odpowiednie poprawki. Wielu twórców oprogramowania i sprzętu komputerowego wydało w ostatnich latach łaty.

Jednak najnowsze badania pokazują, że sytuacja nie uległa zmianie. A pogarsza ją rosnąca popularność takich interfejsów jak Thunderbolt 2, który pozwala podłączać do tego samego portu zasilacze, urządzenia wideo i inne urządzenia zwenętrzne. To znakomicie zwiększyło ryzyko ataku DMA.

Podstawowym sposobem ochrony jest instalowanie poprawek dostarczonych przez Apple'a, Microsoft i innych. Trzeba też pamiętać, że sprzęt komputerowy jest wciąż słabo chroniony przed złośliwymi urządzeniami podłączanymi do portu Thunderbolt, więc użytkownicy nie powinni podłączać doń urządzeń, których pochodzenia nie znają lub którym nie ufają, mówi Theodore Markettos.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Grupa Thallium od miesięcy była na celowniku specjalistów z microsoftowych Digital Crimes Unit i Threat Intelligencje Center. W końcu 18 grudnia koncern z Redmond złożył do sądu wniosek przeciwko grupie. Tydzień później sąd wydał zgodę na przejęcie przez firmę ponad 50 domen wykorzystywanych przez hakerów.
      Thallium to cyberprzestępca grupa powiązana z rządem Korei Północnej, która wykorzystywała wspomniane domeny do przeprowadzania ataków. Wyspecjalizowała się w przeprowadzaniu precyzyjnych ataków phishingowych za pomocą e-maili. Przestępcy najpierw zbierali o ofierze jak najwięcej informacji, a następnie wysyłali do niej wiarygodnie wyglądający e-mail, którego zadaniem bylo skłonienie odbiorcy do wizyty na złośliwej witrynie.
      Jak poinformowali przedstawiciele Microsoftu, grupa brała na cel pracowników administracji rządowej, think-tanków, uczelni wyższych, członków organizacji działających na rzecz praw człowieka i pokoju oraz osoby pracujące nad problemami związanymi z rozprzestrzenianiem broni jądrowej. Jej ofiarami padali mieszkańcy USA, Japonii i Korei Południowej.
      Microsoft nie po raz pierwszy stosuje podobną taktykę do zwalczania grup cyberprzestępczych. Wcześniej przejmował domeny rosyjskich, chińskich i irańskich hakerów.
      Oczywiście przejęcie domen nie rozbija grupy hakerskiej. Jednak na jakiś czas zmniejsza lub paraliżuje jej aktywność, a specjaliści ds. bezpieczeństwa, analizując dane znalezione w przejętych domenach, mogą lepiej poznać taktykę cyberprzestępców.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Firma LifeLabs, największy kanadyjski dostawca usług laboratoryjnych, przyznała, że zapłaciła hakerom za zwrot danych 15 milionów klientów. Dnia 1 października firma poinformowała władze o cyberataku na bazę danych. Znajdowały się w niej nazwiska, adresy, adresy e-mail, loginy, hasła, numery w systemie opieki zdrowotnej oraz wyniki testów laboratoryjnych.
      Dyrektor wykonawczy firmy, Charles Brown, przyznał, że firma odzyskała dane dokonując płatności. Zrobiliśmy to we współpracy z ekspertami oraz po negocjacjach z cyberprzestępcami. Nie ujawniono, ile zapłacono złodziejom.
      Dotychczasowe śledztwo wykazało, że przestępcy uzyskali dostęp do testów wykonanych w roku 2016 i wcześniej przez około 85 000 osób. Dane dotyczące numerów w systemie opieki zdrowotnej również pochodziły z roku 2016 i lat wcześniejszych. Obecnie nie ma podstaw, by przypuszczać, że przestępcy przekazali te informacje komuś innemu.
      Teraz przedsiębiorstwo zaoferowało swoim klientom 12-miesięczny bezpłatny monitoring kradzieży danych osobowych oraz ubezpieczenie przed takim wydarzeniem.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Powiązani z chińskim rządem hakerzy z grupy APT41 włamali się do sieci wielkich firm telekomunikacyjnych, by móc podsłuchiwać rozmowy prowadzone przez światowych liderów. Eksperci z firmy FireEye Mandiant twierdzą, że hakerzy zainfekowali sieci narzędziem o nazwie MessageTap.
      Złośliwy kod został po raz pierwszy zauważony na linuksowych serwerach telekomunikacyjnych obsługujących SMS-y. Jego zadaniem było wyszukiwanie i kradzież treści wysyłanych przez osoby, którymi interesują się chińskie służby. Jak informuje FireEye, na celownik wzięto konkretne numery telefonów i numery IMSI. Wiadomości je zawierające były przechowywane w pliku CSV.
      Kradzione były też SMS-y zawierające słowa kluczowe związane z geopolityką. Były to na przykład treści zawierające interesujące Chińczyków nazwiska polityków, nazwy organizacji wojskowych i wywiadowczych oraz ruchów politycznych, czytamy w komunikacie FireEyer.
      firma ostrzega, że chińscy hakerzy zintensyfikowali swoje działania od roku 2017, gdy przekonali się, że ich działania pozwalają na zdobycie wielu poufnych informacji. W roku 2019 sama grupa APT41 zaatakowała cztery telekomy, a inne grupy powiązane z Pekinem wzięły na cel kolejne przedsiębiorstwa telekomunikacyjne.
      Poza operatorami telekomunikacyjnymi celem APT41 były też inne organizacje, takie jak firmy turystyczne czy zakłady opieki zdrowotnej, które posiadają informacje na temat interesujących osób, stwierdzają specjaliści FireEye. Jednocześnie zapewniono, że sprzęt, do którego włamali się Chińczycy nie został wyprodukowany przez Huawei.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Specjaliści z google'owskiego Project Zero poinformowali o znalezieniu licznych złośliwych witryn, które atakują użytkowników iPhone'ów wykorzystując w tym celu nieznane wcześniej dziury. Wiadomo, że witryny te działają od co najmniej 2 lat i każdego tygodnia są odwiedzane tysiące razy. Wystarczy wizyta na takiej witrynie, by doszło do ataku i instalacji oprogramowania szpiegującego, stwierdzają specjaliści.
      Przeprowadzona analiza wykazała, że ataki przeprowadzane są na 5 różnych sposobów, a przestępcy wykorzystują 12 różnych dziur, z czego 7 znajduje się w przeglądarce Safari. Każdy z ataków pozwala na uzyskanie uprawnień roota na iPhone, dzięki czemu może np. niezauważenie zainstalować dowolne oprogramowanie. Przedstawiciele Google'a zauważyli, że ataki służyły głównie do kradzieży zdjęć i informacji, śledzenia lokalizacji urządzenia oraz kradzież haseł do banku. Wykorzystywane przez przestępców błędy występują w iOS od 10 do 12.
      Google poinformowało Apple'a o problemie już w lutym. Firmie z Cupertino dano jedynie tydzień na poprawienie błędów. Tak krótki czas – zwykle odkrywcy dziur dają twórcom oprogramowania 90 dni na przygotowanie poprawek – pokazuje jak poważne były to błędy. Apple zdążyło i sześć dni później udostępniło iOS 12.1.4 dla iPhone'a 5S oraz iPad Air.
      AKTUALIZACJA:
      Z medialnych doniesień wynika, że za atakiem stoją chińskie władze, a ich celem była głównie mniejszość ujgurska. W ramach tej samej kampanii atakowano też urządzenia z systemem Android i Windows, jednak przedstawiciele Project Zero poinformowali jedynie o atakach na iOS-a. Google nie odniósł się do najnowszych rewelacji. Microsoft oświadczył, że bada doniesienia o ewentualnych dziurach.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Platforma HackerOne poinformowała, że liczba etycznych hakerów, którzy zostali milionerami dzięki znalezionym przez siebie i zgłoszonym błędom, wzrosła do sześciu osób.
      HackerOne to jedna z pierwszych i największa obecnie firma, która postanowiła połączyć model współpracy społecznościowej pomiędzy badaczami, hakerami i firmami zainteresowanymi bezpieczeństwem z programem wypłacania nagród pieniężnych za zgłoszone dziury. Obecnie z HackerOne współpracuje około 200 000 badaczy ds. bezpieczeństwa, którzy odkryli dotychczach 72 000 dziur w ponad 1000 programach.
      HackerOne jest finansowana przez firmy i fundusze inwestycyjne oraz prywatnych inwestorów. To właśnie z tej platformy korzystał w 2016 roku amerykański Departament Obrony, który ogłosił za jej pośrednictwem konkurs „Hack the Pentagon”. Jego uczestnicy znaleźli i załatali 138 dziur w witrynach Departamentu Obrony i otrzymali w sumie 70 000 dolarów nagrody. Sukces tej inicjatywy spowodował, że w kolejnych latach pojawiły się takie programy jak „Hack the Army” oraz „Hack the Air Force”.
      W marcu bieżącego roku 19-letni Argentyńczyk Santiago Lopez został pierwszym etycznym hakerem, który na swojej działalności zarobił ponad 1 milion dolarów. Teraz HackOne informuje, że w ciągu kolejnych pięciu miesięcy barierę miliona dolarów na koncie przekroczyli kolejni hakerzy. Milionerami zostali Mark Litchfield z Wielkiej Brytanii, Frans Rosen ze Szwecji, Nathaniel Wakelam z Australii, ron Chan z Hongkongu oraz Tommy DeVoss z USA.

      « powrót do artykułu
×
×
  • Create New...