На прошлой неделе получил развитие вялотекущий скандал вокруг Footfallcam, британского производителя специализированных веб-камер. Издание The Register в своем материале приводит предысторию: все началось с сообщений нидерландского исследователя OverSoftNL, в которых он еще в начале февраля описал серьезные проблемы с безопасностью устройств этой компании.
Как выяснил эксперт, камера Footfallcam, предназначенная для подсчета проходящих мимо людей, построена на плате Raspberry Pi. Анализ прошивки показал не только «забытые» разработчиком отладочные файлы (и один музыкальный трек), но и фиксированный пароль доступа к Wi-Fi-сети стандартного пользователя ОС Raspbian с паролем по умолчанию, а также включенный доступ по протоколу SSH. Иными словами, после добавления в корпоративную сеть устройство представляло собой огромную дыру в безопасности. Но это был не единственный продукт производителя со странным подходом к защите.
Драма началась в процессе приватного общения исследователя c производителем. Представители Footfallcam запросили у OverSoftNL и его компании услуги пентестинга, но после предварительной оценки стоимости исследователя публично обвинили в вымогательстве и пообещали заявить в полицию. Здесь к истории подключился другой исследователь, Эндрю Тирни (Andrew Tierney), который 14 февраля опубликовал обзор проблем в другом устройстве того же производителя. На этот раз речь шла о камерах Nurserycam. Их устанавливают в детских садах, а родителям предлагается скачать приложение, через которое они могут получить доступ к видео в потоковом режиме.
Утилита накладывает ряд ограничений на доступ, чтобы его могли получить только родители и только в определенное время. Как выяснилось, Nurserycam не только общается с приложением по незащищенному протоколу HTTP, но авторизованным родителям для доступа к веб-камере выдается пароль администратора, который не меняется. Хотя пароли напрямую не демонстрировались в приложении, их было легко вытащить из потока данных. Производитель веб-камер и в этом случае пытался проигнорировать актуальные проблемы, назвав админский доступ «приманкой для хакеров». Одновременно произошли некоторые изменения в API для работы с камерами, которые, впрочем, ничего не исправили.
Финальным аккордом истории стала утечка пользовательских данных, предположительно произошедшая в результате взлома серверов компании. О ней стало известно 22 февраля: в открытый доступ попали сведения о 12 000 клиентов Nurserycam, включая пароли открытым текстом. Судя по анализу уязвимостей, можно говорить о многолетнем игнорировании базовых средств защиты пользовательских данных. На это также указывают свидетельства клиентов Nurserycam: несколько лет назад кто-то обнаружил, что прямой доступ к любым видеопотокам можно получить, перебирая цифры в URL, а архив записей какое-то время лежал на FTP без пароля.
Помимо прочего, эта история — пример отвратительной коммуникации между специалистами по безопасности и вендором. Информацию об уязвимостях выложили в открытый доступ до того, как производитель смог на нее отреагировать. Но и он сделал все возможное для такого исхода, вместо конструктивного общения рассылая угрозы и атакуя исследователей публично с фейковых аккаунтов в Twitter. Все, что могло пойти не так, пошло не так.
Эксперты вновь сообщают об опасности навыков (по сути, стороннего софта) для умных колонок Amazon Alexa (новость, исследование). Ряд прорех в защите позволяет в теории использовать навыки для фишинговых атак на пользователей и прочего. Представители Amazon (впрочем, как и в других подобных случаях) отрицают возможность вредоносных атак на умные голосовые устройства.
Специалисты «Лаборатории Касперского» опубликовали свежее исследование о деятельности группировки Lazarus, частично связанное с недавней атакой на исследователей по безопасности.
В другом отчете «Лаборатории Касперского» освещают эволюцию сталкерского ПО для неправомерной слежки за людьми.
В Индии обнаружена масштабная утечка данных о прошедших тест на коронавирус.
В свитчах Cisco Nexus 3000 и Nexus 9000 нашли (и закрыли) критическую уязвимость, которую оценили на 9,8 балла по шкале CvSS, — она давала возможность удаленно получить root-права.
Как выяснил эксперт, камера Footfallcam, предназначенная для подсчета проходящих мимо людей, построена на плате Raspberry Pi. Анализ прошивки показал не только «забытые» разработчиком отладочные файлы (и один музыкальный трек), но и фиксированный пароль доступа к Wi-Fi-сети стандартного пользователя ОС Raspbian с паролем по умолчанию, а также включенный доступ по протоколу SSH. Иными словами, после добавления в корпоративную сеть устройство представляло собой огромную дыру в безопасности. Но это был не единственный продукт производителя со странным подходом к защите.
Драма началась в процессе приватного общения исследователя c производителем. Представители Footfallcam запросили у OverSoftNL и его компании услуги пентестинга, но после предварительной оценки стоимости исследователя публично обвинили в вымогательстве и пообещали заявить в полицию. Здесь к истории подключился другой исследователь, Эндрю Тирни (Andrew Tierney), который 14 февраля опубликовал обзор проблем в другом устройстве того же производителя. На этот раз речь шла о камерах Nurserycam. Их устанавливают в детских садах, а родителям предлагается скачать приложение, через которое они могут получить доступ к видео в потоковом режиме.
Утилита накладывает ряд ограничений на доступ, чтобы его могли получить только родители и только в определенное время. Как выяснилось, Nurserycam не только общается с приложением по незащищенному протоколу HTTP, но авторизованным родителям для доступа к веб-камере выдается пароль администратора, который не меняется. Хотя пароли напрямую не демонстрировались в приложении, их было легко вытащить из потока данных. Производитель веб-камер и в этом случае пытался проигнорировать актуальные проблемы, назвав админский доступ «приманкой для хакеров». Одновременно произошли некоторые изменения в API для работы с камерами, которые, впрочем, ничего не исправили.
Финальным аккордом истории стала утечка пользовательских данных, предположительно произошедшая в результате взлома серверов компании. О ней стало известно 22 февраля: в открытый доступ попали сведения о 12 000 клиентов Nurserycam, включая пароли открытым текстом. Судя по анализу уязвимостей, можно говорить о многолетнем игнорировании базовых средств защиты пользовательских данных. На это также указывают свидетельства клиентов Nurserycam: несколько лет назад кто-то обнаружил, что прямой доступ к любым видеопотокам можно получить, перебирая цифры в URL, а архив записей какое-то время лежал на FTP без пароля.
Помимо прочего, эта история — пример отвратительной коммуникации между специалистами по безопасности и вендором. Информацию об уязвимостях выложили в открытый доступ до того, как производитель смог на нее отреагировать. Но и он сделал все возможное для такого исхода, вместо конструктивного общения рассылая угрозы и атакуя исследователей публично с фейковых аккаунтов в Twitter. Все, что могло пойти не так, пошло не так.
Что еще произошло
Эксперты вновь сообщают об опасности навыков (по сути, стороннего софта) для умных колонок Amazon Alexa (новость, исследование). Ряд прорех в защите позволяет в теории использовать навыки для фишинговых атак на пользователей и прочего. Представители Amazon (впрочем, как и в других подобных случаях) отрицают возможность вредоносных атак на умные голосовые устройства.
Специалисты «Лаборатории Касперского» опубликовали свежее исследование о деятельности группировки Lazarus, частично связанное с недавней атакой на исследователей по безопасности.
В другом отчете «Лаборатории Касперского» освещают эволюцию сталкерского ПО для неправомерной слежки за людьми.
В Индии обнаружена масштабная утечка данных о прошедших тест на коронавирус.
В свитчах Cisco Nexus 3000 и Nexus 9000 нашли (и закрыли) критическую уязвимость, которую оценили на 9,8 балла по шкале CvSS, — она давала возможность удаленно получить root-права.
