Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Niebezpieczny port Thunderbolt

Recommended Posts

Wiele najnowocześniejszych laptopów oraz coraz więcej komputerów stacjonarnych jest znacznie bardziej narażonych na atak za pośrednictwem urządzeń peryferyjnych niż dotychczas sądzono. Jak wynika z badań przeprowadzonych na University of Cambridge, napastnik może w ciągu kilku sekund przełamać zabezpieczenia maszyny, jeśli tylko zyska dostęp do takich urządzeń jak ładowarka czy stacja dokująca.

Dziury znaleziono w komputerach z portem Thunderbolt, pracujących pod kontrolą Windows, Linuksa, macOS-a i FreeBSD. Narażonych jest coraz więcej modeli komputerów.

Naukowcy z Cambridge i Rice University stworzyli otwartoźródłową platformę Thunderclap, która służy im do testowania bezpieczeństwa urządzeń peryferyjnych i ich interakcji z systemem operacyjnym. Pozwala ona podłączać się do komputerów za pomocą portu USB-C obsługującego interfejs Thunderbolt i sprawdzać, w jaki sposób napastnik może dokonać ataku na system. Okazuje się, że w ten sposób bez większego problemu można przejąć całkowitą kontrolę nad maszyną.

Ataku można dokonać nie tylko za pomocą zewnętrznych kart graficznych czy sieciowych, ale również za pomocą tak pozornie niewinnych urządzeń jak ładowarka czy projektor wideo.

Urządzenia zewnętrzne mają bezpośredni dostęp do pamięci (DMA), co pozwala im ominąć zabezpieczenia systemu operacyjnego. To bardzo kuszący sposób na przeprowadzenie ataku. Jednak współczesne systemy komputerowe korzystają z mechanizmu IOMMU (input-output memory managemen units), który ma chronić przed atakami DMA poprzez udzielanie dostępu do pamięci tylko zaufanym urządzenim, a dostęp ten jest ograniczony do tych obszarów pamięci, które nie zawierają wrażliwych danych. Jednak, jak dowiedli naukowcy, IOMMU jest wyłączony w wielu systemach, a tam, gdzie jest włączony, jego zabezpieczenia mogą zostać przełamane.

Wykazaliśmy, że obecnie IOMMU nie gwarantuje pełnej ochrony i doświadczony napastnik może poczynić poważne szkody, mówi Brett Gutstein, jeden z autorów badań.

Po raz pierwszy tego typu błędy odkryto w 2016 roku. Naukowcy poinformowali o problemie takie firmy jak Intel, Apple i Microsoft, a te przygotowały odpowiednie poprawki. Wielu twórców oprogramowania i sprzętu komputerowego wydało w ostatnich latach łaty.

Jednak najnowsze badania pokazują, że sytuacja nie uległa zmianie. A pogarsza ją rosnąca popularność takich interfejsów jak Thunderbolt 2, który pozwala podłączać do tego samego portu zasilacze, urządzenia wideo i inne urządzenia zwenętrzne. To znakomicie zwiększyło ryzyko ataku DMA.

Podstawowym sposobem ochrony jest instalowanie poprawek dostarczonych przez Apple'a, Microsoft i innych. Trzeba też pamiętać, że sprzęt komputerowy jest wciąż słabo chroniony przed złośliwymi urządzeniami podłączanymi do portu Thunderbolt, więc użytkownicy nie powinni podłączać doń urządzeń, których pochodzenia nie znają lub którym nie ufają, mówi Theodore Markettos.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      US Army ogłosiła termin rozpoczęcia trzeciej edycji „Hack the Army”. Hakerskie zawody, w czasie których można będzie atakować sieć należącą do armii i zarobić na tym pieniądze, rozpocznie się 14 grudnia i potrwa do 28 stycznia lub do czasu, aż wszystkie przeznaczone na nagrody pieniądze zostaną rozdysponowane. Na razie nie wiadomo, ile pieniędzy przeznaczono na tegoroczną edycję zawodów. W roku 2019 rozdysponowano 275 000 USD.
      W bieżącym roku atakować można będzie cele w całej domenie army.mil, ale US Army zastrzega, że nagrody wypłaci tylko za znalezienie określonych kategorii błędów. Hakerzy będą mogli też atakować usługi uwierzytelniania oraz wirtualne sieci prywatne (VPN) należące do wojska.
      Projekt „Hack the Army” prowadzony jest przez US Army, Defense Digital Services, Army Cyber Command oraz firmę HackerOne. To jeden z wielu podobnych projektów prowadzonych przez amerykańskie siły zbrojne, w ramach których hakerzy mogą zdobywać pieniądze atakując wojskowe sieci i oprogramowanie. Pentagon stara się rozszerzać zakres takich programów, by w ten sposób wyłapywać luki w zabezpieczeniach. Na razie najdalej poszły US Air Force, które wprost ogłosiły, że chcą prowadzić tak dużo podobnych projektów, by hakerzy mogli utrzymywać się wyłącznie z nagród zdobywanych w takich zawodach. Będą mogli w ich ramach atakować nawet satelity.
      Firma HackerOne stworzyła platformę do współpracy z hakerami, która uzyskała odpowiednie certyfikaty bezpieczeństwa. Dzięki temu firma może organizować zawody takie, jak opisywane powyżej.
      Wszyscy uczestnicy „Hack the Army” zostaną najpierw sprawdzeni, a po pozytywnym przejściu weryfikacji otrzymają oficjalną zgodę na atakowanie army.mil i innych elementów sieci wojskowej. Będą przy tym musieli używać VPN, która będzie zapisywała i śledziła ich działania.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      FBI wydało oficjalne ostrzeżenie przed atakami, jakie na prywatne i rządowe cele w USA przeprowadza elita irańskich hakerów powiązanych z rządem w Teheranie. W ostrzeżeniu nie pada nazwa grupy, jednak dziennikarze nieoficjalnie dowiedzieli się, że chodzi o grupę zwaną Fox Kitten lub Parasite, która jest od dłuższego czasu obserwowana przez międzynarodową społeczność zajmującą się cyberbezpieczeństwem.
      Grupa ta to elitarny zespół, którego zadaniem jest przygotowanie pola pod działania innych irańskich organizacji hakerskich. Fox Kitten przygotowują „przyczółki”, z których mogą działać takie grupy jak APT33 (Shamoon), Oilrig (APT34) czy Cnafer.
      Fox Kitten atakują najbardziej zaawansowany sprzęt sieciowy, wykorzystując najnowsze odkryte w nim dziury. Do ataków dochodzi bardzo szybko po odkryciu luk. Hakerzy liczą na to, że właściciele urządzeń nie zdążyli ich jeszcze załatać. Jako, że mówimy o kosztownym sprzęcie, to oczywistym jest, że to sprzęt działający w sieciach rządowych oraz dużych prywatnych firm. Po udanym ataku na urządzeniu instalowane są tylne drzwi, przez które inni mogą kontynuować ataki.
      Wiadomo, że Fox Kitten stosują taką taktykę co najmniej od roku, kiedy to zaatakowali servery VPN firm Fortinet, Pulse Secure, Palo Alto Networks oraz Citrix. FBI ostrzega przed powtórzeniem tych ataków oraz przed możliwymi atakami na BIG-IP firmy F5 Networks, w którym odkryto luki.
      Już teraz wiadomo, że w ubiegłym tygodniu agenci FBI zostali wezwani do dwóch amerykańskich firm, w których doszło do udanych ataków przeprowadzonych przez Fox Kitten.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Grupa Thallium od miesięcy była na celowniku specjalistów z microsoftowych Digital Crimes Unit i Threat Intelligencje Center. W końcu 18 grudnia koncern z Redmond złożył do sądu wniosek przeciwko grupie. Tydzień później sąd wydał zgodę na przejęcie przez firmę ponad 50 domen wykorzystywanych przez hakerów.
      Thallium to cyberprzestępca grupa powiązana z rządem Korei Północnej, która wykorzystywała wspomniane domeny do przeprowadzania ataków. Wyspecjalizowała się w przeprowadzaniu precyzyjnych ataków phishingowych za pomocą e-maili. Przestępcy najpierw zbierali o ofierze jak najwięcej informacji, a następnie wysyłali do niej wiarygodnie wyglądający e-mail, którego zadaniem bylo skłonienie odbiorcy do wizyty na złośliwej witrynie.
      Jak poinformowali przedstawiciele Microsoftu, grupa brała na cel pracowników administracji rządowej, think-tanków, uczelni wyższych, członków organizacji działających na rzecz praw człowieka i pokoju oraz osoby pracujące nad problemami związanymi z rozprzestrzenianiem broni jądrowej. Jej ofiarami padali mieszkańcy USA, Japonii i Korei Południowej.
      Microsoft nie po raz pierwszy stosuje podobną taktykę do zwalczania grup cyberprzestępczych. Wcześniej przejmował domeny rosyjskich, chińskich i irańskich hakerów.
      Oczywiście przejęcie domen nie rozbija grupy hakerskiej. Jednak na jakiś czas zmniejsza lub paraliżuje jej aktywność, a specjaliści ds. bezpieczeństwa, analizując dane znalezione w przejętych domenach, mogą lepiej poznać taktykę cyberprzestępców.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Firma LifeLabs, największy kanadyjski dostawca usług laboratoryjnych, przyznała, że zapłaciła hakerom za zwrot danych 15 milionów klientów. Dnia 1 października firma poinformowała władze o cyberataku na bazę danych. Znajdowały się w niej nazwiska, adresy, adresy e-mail, loginy, hasła, numery w systemie opieki zdrowotnej oraz wyniki testów laboratoryjnych.
      Dyrektor wykonawczy firmy, Charles Brown, przyznał, że firma odzyskała dane dokonując płatności. Zrobiliśmy to we współpracy z ekspertami oraz po negocjacjach z cyberprzestępcami. Nie ujawniono, ile zapłacono złodziejom.
      Dotychczasowe śledztwo wykazało, że przestępcy uzyskali dostęp do testów wykonanych w roku 2016 i wcześniej przez około 85 000 osób. Dane dotyczące numerów w systemie opieki zdrowotnej również pochodziły z roku 2016 i lat wcześniejszych. Obecnie nie ma podstaw, by przypuszczać, że przestępcy przekazali te informacje komuś innemu.
      Teraz przedsiębiorstwo zaoferowało swoim klientom 12-miesięczny bezpłatny monitoring kradzieży danych osobowych oraz ubezpieczenie przed takim wydarzeniem.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Powiązani z chińskim rządem hakerzy z grupy APT41 włamali się do sieci wielkich firm telekomunikacyjnych, by móc podsłuchiwać rozmowy prowadzone przez światowych liderów. Eksperci z firmy FireEye Mandiant twierdzą, że hakerzy zainfekowali sieci narzędziem o nazwie MessageTap.
      Złośliwy kod został po raz pierwszy zauważony na linuksowych serwerach telekomunikacyjnych obsługujących SMS-y. Jego zadaniem było wyszukiwanie i kradzież treści wysyłanych przez osoby, którymi interesują się chińskie służby. Jak informuje FireEye, na celownik wzięto konkretne numery telefonów i numery IMSI. Wiadomości je zawierające były przechowywane w pliku CSV.
      Kradzione były też SMS-y zawierające słowa kluczowe związane z geopolityką. Były to na przykład treści zawierające interesujące Chińczyków nazwiska polityków, nazwy organizacji wojskowych i wywiadowczych oraz ruchów politycznych, czytamy w komunikacie FireEyer.
      firma ostrzega, że chińscy hakerzy zintensyfikowali swoje działania od roku 2017, gdy przekonali się, że ich działania pozwalają na zdobycie wielu poufnych informacji. W roku 2019 sama grupa APT41 zaatakowała cztery telekomy, a inne grupy powiązane z Pekinem wzięły na cel kolejne przedsiębiorstwa telekomunikacyjne.
      Poza operatorami telekomunikacyjnymi celem APT41 były też inne organizacje, takie jak firmy turystyczne czy zakłady opieki zdrowotnej, które posiadają informacje na temat interesujących osób, stwierdzają specjaliści FireEye. Jednocześnie zapewniono, że sprzęt, do którego włamali się Chińczycy nie został wyprodukowany przez Huawei.

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...