CIO
2.6K views | +2 today
Follow
Your new post is loading...
Your new post is loading...
Scooped by Pál Kerékfy
Scoop.it!

Amikor a hóhért akasztják

Amikor a hóhért akasztják | CIO | Scoop.it
Ran malware on own phones as test, uploading all their WhatsApp messages, other data.
Pál Kerékfy's insight:

A (feltehetőleg állami) “rossz fiúk” a mobiltelefonos támadó eszközüket saját magukon tesztelték. Az információk védelme területén “normális” módon gondatlanul jártak el. Így jutottak izgalmas részletekhez a kutatók. A WhatsApp-beszélgetésekből kiderültek árak, megoldási ajánlatok és más érdekes részletek.

 

Mint már máshonnan is tudjuk, a rosszindulatú szoftverek fejlesztése “rendes” üzlet. “These messages also revealed many potential 0-days that a buyer could purchase along with their cost, effectiveness, and seller guarantee for both mobile and desktop operating systems.” Még garanciát is adnak! Az egyik ajánlattevő “zero-click” megoldást kínál iOS-re: az áldozatnak meg se kell nyitnia semmit, az iMessage automatikusan telepíti a támadó kódot. Szuper!

 

Műszaki szempontból is érdekes a cikk, de abba nem akarok itt belemenni. Akit érdekel, olvassa el!

 

#Lookout #WhatsApp #iOS #Android #security #mobile #surveillance #intelligence_agency #malware #iMessage #zero-day #zero-click

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Researchers find potentially lethal car hack with no quick fix

Researchers find potentially lethal car hack with no quick fix | CIO | Scoop.it

Security researchers have discovered a vendor-neutral and stealthy smart car hack that can drastically affect the performance and function of the vehicle. 

The hack is believed to affect all smart cars and could enable an attacker to turn off safety features, such as airbags, ABS brakes and power-steering or any of a vehicle’s computerised components connected to its controller area network (Can) bus.

Pál Kerékfy's insight:

Úgy tűnik, hogy sikerült egy durva hibát találni az ISO 11898 (1993) szabványban, és a kijavítása évekbe kerül majd. Mi a probléma? Egy nagyon egyszerű hibaelhárítási megoldás, ami egyszerűen kikapcsolja azt a részegységet, ami hibásan kommunikál a többivel. Hogyan zajlik a támadás? Fizikailag hozzá kell férni az autóhoz, és rá kell kapcsolni a belső hálózatára egy kis eszközt, ami hibás üzeneteket ad le valamelyik egység (pl.: ABS, légzsák) nevében, ami miatt az adott egységet a rendszer leválasztja.

 

Ez így nem tűnik nagy bajnak, hiszen hozzá kell férni az autóhoz. Tényleg nem nagy gond, de egyre nagyobb lesz, ha növekszik az autók megosztott használata (és az bizony növekszik).

Valójában nem is kell az autót fizikailag megbabrálni. Itt jönnek képbe az autók szórakoztató elektronikai rendszerei. Ezekben elég sok hiba (sérülékenység) van, viszonylag könnyen támadhatók.

 

Sajnos minden össze van kötve az autókban, így akár egy zeneletöltéssel is be lehet jutni a fékhez vagy a kormányműhöz. (Ezt már bemutatták élesben 2015-ben: http://www.scoop.it/t/cloud-by-pal-kerekfy/p/4067330644/2016/08/12/hackers-remotely-kill-a-jeep-on-the-highway-with-me-in-it )

 

A 2015-ös támadáshoz képest az az újdonság, hogy ehhez nem kell sokat tudni az autó belsejéről, mert a szabványt eléggé egységesen implementálták a gyártók.

 

A javításhoz először egy új szabvány kibocsátása kell (ez hosszú idő), utána ezt be kell vezetniük az autógyártóknak. Ez is hosszú idő, és nem visszamenőleges.

 

Technikai részletek: https://www.hackers-arise.com/single-post/2017/08/04/Automobile-Hacking-Part-1-The-CAN-Protocol

#ISO11898 #smartcar #ComputerWeekly @ComputerWeekly #security

more...
No comment yet.