Echelon Eyes

Киберриски откуда не ждали: водонагреватель вскрыл проблемы «умного» дома Портал Arstechnica рассказал познавательную историю, как подтекающий кран с горячей водой открыл новый ландшафт для кибератак. Все началось с того, как старший репортер по технологиям Arstechnica Кевин Перди переехал в новый дом, где был установлен проточный водонагреватель Rinnai. Особенности его устройства в том, что экономно расходует энергию, однако медленно нагревает воду: чтобы принять душ приходилось минутами ждать появления теплой воды. Это сильно раздражало владельца, и он решил слегка модернизировать нагреватель. Обследовав прибор, Перди обнаружил на нем наклейку, которая гласила, что «для работы рециркуляции необходимо установить модуль Wi-Fi Control-R. Рециркуляция означает, что водонагреватель начнет всасывать воду и нагревать ее по требованию, а не ждать необходимого давления в трубах. Чтобы добиться этого, производитель Rinnai предложил установить на смартфон приложение, с помощью которого можно подключиться к модулю через сервер. В итоге с помощью приложения водонагреватель заработал как надо. Правда при приеме ванной Кевину приходилось вытаскивать телефон всякий раз, когда хотелось добавить горячей воды, поэтому находчивый пользователь решил автоматизировать этот процесс. «Я нашел неофициальный компонент Rinnai и установил его, и тогда у меня появился настоящий контроль. Я мог настроить рециркуляцию на любой график, который захочу, запускаемый чем угодно и при любой температуре», - пишет Перди. Своими идеями по улучшению водонагревателя мужчина решил поделиться с программистами Rinnai. Специалист по интеграции Брэд Барбур признал, что первая версия официального приложения Rinnai «Control-R» «оставила большой пробел» в функциях и удобстве. Барбур, желая разработать собственное решение, начал следить за сетевым трафиком приложения, чтобы понять, можно ли добиться большего. Однако, копаясь в недокументированных вызовах API, Барбур наткнулся на настоящее открытие: чтобы получить информацию о работе устройства или изменить его настройки достаточно было только адреса электронной почты, указанного при регистрации в приложении. «Я думал, что это безумие, пока к нам не обратился другой пользователь GitHub, и мы не начали сотрудничать и не пришли к такому же выводу. Вы могли бы управлять любым подключенным водонагревателем Rinnai, если бы знали адрес электронной почты зарегистрированной учетной записи», — написал Барбур. Дальнейшее изучение проблемы показало, что технологии, которые использует система, — AWS Cognito, App Sync/Graph QL и CloudFront — были настроены так, чтобы разрешить чтение и настройку без необходимости использования токенов или ключей доступа. Таким образом, любой человек, всего лишь зная адрес электронной почты, мог бы удаленно устанавливать температуру водонагревателя, переводить устройство в режим рециркуляции (когда он потребляет много газа), видеть домашний адрес, указанный при регистрации в Control-R, и прочие данные. Примечательно, что Rinnai не выпускала никаких рекомендаций по безопасности или уведомлений об уязвимостях в своем API. На соответствующие письма Кевина Перди были даны ответы, не вносящие ясности в ситуацию. Согласно вице-президенту по исследованиям безопасности в Checkmarx и руководителю проекта безопасности API в Open Worldwide Application Security Project (OWASP) Эрезу Ялону, «проблема контроля доступа — безусловно, самая серьезная проблема в безопасности API». Причем Ялон уверен, что «для интернета вещей и умной бытовой техники ситуация ничем не отличается, а иногда даже хуже». Источник: https://arstechnica.com/gadgets/2024/05/how-i-upgraded-my-water-heater-and-discovered-how-bad-smart-home-security-can-be/ #интернетвещей #умныйдом

Россиян предупреждают о новом виде мошенничества Компания SafeTech сообщила о новой мошеннической кампании, в которой мошенники предлагают доверчивым гражданам якобы пройти флюорографию в одной из ближайших поликлиник за счет средств обязательного медицинского страхования. В конечном итоге злоумышленники убеждают жертв сообщить свои платежные данные или даже могут похитить аккаунт в «Госуслугах». Помощник министра здравоохранения России Алексей Кузнецов призвал россиян был длительными и не сообщать неизвестным лицам никакие коды из смс. «При реальном звонке из поликлиники с приглашением пройти диспансеризацию или профосмотр, посетить врача в рамках диспансерного наблюдения у пациента не спрашивают какие-либо коды из смс. Для записи на прием они не требуются», - пояснил Кузнецов. Просить сообщить одноразовый код-пароль может только киберпреступник, чтобы использовать его для списания средств со счета жертвы или получить доступ на портал госуслуг от имени пострадавшего, что дает злоумышленнику сразу ряд возможностей – от оформления микрозаймов до получения сведений о доходах человека и прочей конфиденциальной информации, доступной на «Госуслугах». Напоминаем, что для борьбы с мошенниками с 1 марта 2025 года в России будет действовать закон, позволяющий россиянам установить запрет на выдачу им кредитов банками и займов микрофинансовыми организациями. Источник: https://ria.ru/20240520/moshennichestvo-1947123294.html #мошенничество #социальнаяинженерия

Gentoo и NetBSD запрещают код, написанный ИИ, а Debian пока нет Проект Debian решил не присоединяться к Gentoo Linux и NetBSD и отказываться от программного кода, созданного с помощью инструментов ИИ, таких как Copilot от Github. Первым проектом FOSS, запрещающим код, созданный большими языковыми моделями, был Gentoo, который в середине апреля издал политику, запрещающую ИИ-код. На этой неделе проект NetBSD обновил свои рекомендации по внесению изменений в похожем ключе. Примечательно, что в случае NetBSD «код, созданный с помощью большой языковой модели или аналогичной технологии», «предположительно является испорченным кодом и не должен использоваться без предварительного письменного разрешения». Таким образом, хотя данная политика может технически разрешить участие ИИ в будущем, за ним необходим человеческий надзор. Между тем, Gentoo Linux более прямо говорит о полном запрете инструментов искусственного интеллекта. Этически опасения Gentoo подчеркивают, что коммерческие проекты ИИ «часто допускают вопиющие нарушения авторских прав при обучении своих моделей», нещадно используют природные ресурсы и что программы, написанные с помощью ИИ-моделей, расширяют возможности мошенников. Такие решения известных проектов FOSS показывают, что для достижения наилучших результатов нам по-прежнему нужна квалифицированная работа отдельных людей, а не машин. Впрочем, до сих пор существует ветка, в которой обсуждается использование контента, созданного искусственным интеллектом, в проекте Debian. Как отмечает портал The Register, разработчики тонут в коде, который полностью написан вручную десятками тысяч людей на протяжении десятилетий. Кодовая база любой современной ОС общего назначения уже слишком велика, чтобы один человек мог ее прочитать, переварить и изменить в целом. Например, в Debian 12 содержится более 1,3 млрд строк кода, это 116 ГБ. В то же время, если дополнять этот код возьмется большая языковая модель, то невозможно застраховаться от плагиата, поскольку нейросеть, обученная на других открытых проектах, может предлагать разработчику взятые из них строки, при этом сам разработчик сознательно ничего не копировал. Таким образом, это создаст проблемы владению дистрибутивом Linux. Другой вопрос: если чат-бот скопировал в коде уязвимости, кто будет виноват? Программист, который предоставил код, даже если он не писал его сам? Программист, который писал код, предложенный чат-ботом? Разработчик чат-бота? Между тем, владелец Github, Microsoft, не передает исходный код какой-либо из своих собственных операционных систем в обучающие данные ИИ-моделей. Экологическая проблема, описанная Gentoo Linux, заключается в потребности новых мощных процессоров и приводит к быстрому устареванию предыдущих моделей, которые отправляются в утиль. Кроме того, ИИ потребляет неслыханные объемы электроэнергии и воды для охлаждения. Наконец, этический аспект использования ИИ – это вымещение им с работы дорогих и капризных сотрудников-людей. Наконец, The Register упоминает смешные прозвища, которые известные исследователи дали искусственному интеллекту, например, «галлюцинаторное недопонимание» или «стохастический попугай», что лишь подчеркивает известный факт о том, что искусственный интеллект не является никаким интеллектом, а вся его деятельность – это лишь экстраполяция данных, созданных человеком. Всю ситуацию как никуда лучше описывает язвительное наблюдение автора cURL Дэниела Штернберга: «I в LLM означает интеллект». Источник: https://www.theregister.com/2024/05/18/distros_ai_code/ #ИИ #код #Linux

Новый банковский троян для Android имитирует обновление Google Play Зловред был обнаружен командой Cyble Research and Intelligence Labs (CRIL). В свежем отчете исследователи описали сложное вредоносное ПО, включающее в себя набор функций, включая оверлей-атаки (когда троян накладывает собственные окна поверх другой программы), кейлоггинг и возможности запутывания. Трояну дали название Antidot, поскольку такая строка содержится в его исходном коде. Antidot выдает себя за обновление приложение Google Play и после установки отображает поддельную страницу обновления Google Play. Исследователи Cyble заметили, что фейковая страница обновления была создана на разных языках, включая немецкий, французский, испанский, русский, португальский, румынский и английский. То есть вредоносное ПО нацелено на пользователей Android в разных регионах. На странице поддельного обновления кнопка «Продолжить» («Continue») перенаправляет пользователя к настройкам специальных возможностей Android-устройства. Как только пользователь предоставляет доступ к службе, вредоносная программа отправляет на сервер первое «пинг-сообщение» вместе с данными в кодировке Base64, которые содержат следующее: название вредоносного приложения, версию пакета разработки программного обеспечения (SDK), модель и производителя телефона, язык и код страны, список установленных пакетов приложений. В фоновом режиме троян инициирует связь с сервером управления и контроля, принадлежащем злоумышленникам. Помимо HTTP-соединения, Antidot устанавливает соединение WebSocket с помощью библиотеки Socket.io, обеспечивая двустороннюю связь между сервером и клиентом в режиме реального времени. Зловред поддерживает связь между сервером и клиентом посредством сообщений «пинг-понг». После того как сервер сгенерирует идентификатор бота, троян отправляет на сервер статистику бота и получает команды. Вредоносная программа включает в общей сложности 35 команд, в том числе: виртуальные сетевые вычисления (VNC), кейлоггинг, оверлей-атака, запись экрана, переадресация звонков, сбор контактов и СМС, выполнение USSD-запросов, блокировка и разблокировка устройства. «Использование Antidot обфускации строк, шифрования и стратегического развертывания поддельных страниц обновлений демонстрирует целенаправленный подход, направленный на уклонение от обнаружения и максимизацию его охвата в различных языковых регионах», — пишут исследователи Cyble. Чтобы снизить риски ошибочной загрузки на свое устройство трояна Antidot, исследователи рекомендуют устанавливать ПО только из официальных магазинов приложений, использовать надежный антивирус, применять многофакторную аутентификацию, не переходить по сомнительным ссылкам и др. Источник: https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates/ #троян #вредоносноеПО

#МемыПроИБ

Bloomberg обрисовал расстановку мировых сил в гонке полупроводников Компьютерные чипы — это двигатель цифровой экономики, и их растущие возможности позволяют использовать такие технологии, как генеративный искусственный интеллект, которые обещают преобразовать многие отрасли. Их решающая роль была подчеркнута, когда пандемия коронавируса нарушила производство чипов в Азии, повергнув глобальные цепочки поставок технологий в хаос. Поэтому неудивительно, что эти устройства сейчас являются предметом ожесточенной конкуренции между мировыми экономическими сверхдержавами. США уже инвестировали 32,8 из 39 млрд долларов, выделенных на прямое финансирование производителей полупроводников. Кроме того, США планируют серьезные меры поддержки, которые выражаются в налоговых льготах и грантах. США направит 39 млрд долларов на гранты таким компаниям, как Intel, TSMC, Samsung, Micron Technology, Secure Enclave Program, GlobalFoundries и другим. После введения экспортного контроля, американские чиновники также требуют от других стран ограничить торговлю с Китаем. Сам же Китай становится лидером по объему запланированных вложений в отрасль – 142 млрд долларов. Тем не менее, пока производство китайских чипов находится в зависимости от американских технологий. США пытаются закрыть лазейки для обхода технологического эмбарго, онднако компания Huawei строит целую секретную сеть производств по всему Китаю под именем других компаний, чтобы обойти американские санкции. Евросоюз планирует вложить 46,3 млрд долларов в расширение производственных мощностей, в планах – удвоить долю производства до 20% мирового рынка к 2023 году. Главным драйвером полупроводниковой промышленности в ЕС является Германия, за ней следуют Испания, Италия, Франция и Нидерланды. В феврале Индия одобрила инвестиции, обеспеченные государственным фондом в размере 10 миллиардов долларов, включая заявку Tata Group на строительство первого в стране крупного предприятия по производству чипов. В Саудовской Аравии Государственный инвестиционный фонд рассматривает «крупные инвестиции», размер которых не указывается. Денежные вливания должны дать толчок развитию полупроводниковой промышленности и диверсифицировать экономику, зависящую от ископаемого топлива. Япония также является крупным игроком в гонке технологий и профинансирует отрасль 23,5 млрд долларами. В планах – строительство двух заводов TSMC и японского предприятия Rapidus, которое планирует массово производить 2-нанометровые чипы в 2027 году в партнерстве с бельгийским научным центром Imec и IBM. Источник: https://www.bloomberg.com/news/articles/2024-05-15/nvidia-tsmc-samsung-and-intel-how-chip-war-puts-nations-in-tech-arms-race #полупроводники

Большие языковые модели могут применять для обнаружения стеганографии Китайские ученые исследовали проблему стеганографии, скрытой в текстах, которая вышла на новый уровень с развитием генеративного искусственного интеллекта (ИИ). Бороться с этой угрозой предлагается также с помощью ИИ, который мог бы проводить мощный лингвистический стегоанализ для обнаружения стеганографических сообщений. Существующие методы, по мнению исследователей, ограничиваются поиском различий распределения между стеганографическими текстами и обычными текстами с точки зрения символической статистики. Однако что-то обнаружить таким способом весьма сложно, и в реальных сценариях этот подход мало чем может помочь. Более действенный метод изложен в статье под названием «На пути к стегоанализу следующего поколения: LLM раскрывают возможности обнаружения стеганографии» («Towards Next-Generation Steganalysis: LLMs Unleash the Power of Detecting Steganography») за авторством исследователей Кафедры электронной инженерии Университета Цинхуа и Лаборатории Чжунгуаньцунь. В статье предлагается использовать человеческие возможности обработки текста больших языковых моделей. Человеческое восприятие в комбинации с традиционным статистическим анализом, согласно ученым, должно стать ключом к построению практического стегоанализа. «Результаты обширных экспериментов показывают, что генеративные большие языковые модели демонстрируют значительные преимущества в лингвистическом стегоанализе и демонстрируют тенденции производительности, отличные от традиционных подходов, - говорится в научной статье. – Результаты также показывают, что LLM значительно превосходят существующие базовые показатели, а способность LLM не зависеть от предметной области позволяет обучать общую модель стегоанализа». Исходный код и готовые обученные модели для поиска лингвистической стеганографии, доступны на GitHub. Источник: https://arxiv.org/pdf/2405.09090v1 #ИИ #стеганография

Миллиарды устройств под угрозой из-за дыры в Wi-Fi Исследователи обнаружили новую уязвимость, возникающую из-за конструктивного недостатка стандарта Wi-Fi IEEE 802.11. Эксплуатируя его, злоумышленники могут подслушивать сетевой трафик, заставляя жертв подключаться к менее безопасной беспроводной сети. Атака получила название SSID Confusion и связана с уязвимостью CVE-2023-52424. Проблема затрагивает все операционные системы и клиенты Wi-Fi, включая домашние сети и Mesh Wi-Fi, основанные на протоколах WEP, WPA3, 802.11X/EAP и AMPE. Метод «предполагает перевод жертв в менее безопасную сеть путем подмены имени доверенной сети (SSID), чтобы перехватывать трафик или осуществлять дальнейшие атаки, — заявили исследователи Top10VPN, изучавшие проблему вместе с учеными Левенского католического университета в Бельгии. – Успешная атака SSID Confusion также приводит к тому, что любая VPN с функцией автоматического отключения в доверенных сетях отключается, оставляя трафик жертвы незащищенным». Проблема, лежащая в основе атаки, заключается в том, что стандарт Wi-Fi не требует, чтобы имя сети (SSID или идентификатор набора служб) всегда аутентифицировалось, и что меры безопасности требуются только тогда, когда устройство решает присоединиться к определенной сети. В результате злоумышленник может организовать атаку «противник посередине» (AitM) и обманом заставить клиента подключиться к ненадежной сети Wi-Fi, а не к той, к которой он намеревался подключиться. Другими словами, даже несмотря на то, что пароли или другие учетные данные взаимно проверяются при подключении к защищенной сети Wi-Fi, нет никакой гарантии, что пользователь подключается к той сети, к которой он хочет. Есть определенные предпосылки для проведения подобной атаки: - жертва хочет подключиться к доверенной сети Wi-Fi; - доступна мошенническая сеть с теми же учетными данными аутентификации, что и первая; - злоумышленник находится в пределах досягаемости для выполнения AitM между жертвой и доверенной сетью. Меры по устранению путаницы SSID включают обновление стандарта Wi-Fi 802.11 за счет включения SSID в четырехстороннее рукопожатие при подключении к защищенным сетям, а также улучшения в защите радиомаяков. Маяки - это кадры управления, которые точка беспроводного доступа периодически передает, чтобы сообщить о своем присутствии. В них содержится такая информация, как SSID, интервал между маяками, возможности сети и т.д. Источник: https://www.top10vpn.com/research/wifi-vulnerability-ssid/ #wifi #уязвимость

В Великобритании создали магнитное ружье против самокатчиков Скотленд-Ярд, возможно, вооружится электромагнитными ружьями, чтобы глушить двигатели электросамокатов, используемых в преступлении. Председатель Совета начальников национальной полиции (NPCC) Гэвин Стивенс сказал, что оружие находится в разработке и до его массового производства еще придется подождать несколько месяцев. Устройство будет помещаться в рюкзак, напоминающий оборудование, используемое в серии фильмов «Охотники за привидениями». Стивенс считает, что магнитное ружье поможет бороться с преступностью, связанной с новыми транспортными средствами, такими как электрические велосипеды и самокаты. Устройство разрабатывается совместно с Лабораторией оборонной науки и техники, находящейся в ведомстве Министерством обороны. Оружие будет испускать электромагнитные импульсы на транспортное средство, которое офицер хочет остановить, если водитель подозревается в причастности к преступлению. Электромагнитное оружие вызывает ошибку в работе электроскутера, в результате чего в электронике транспортного средства срабатывает ложное предупреждение о перегреве, и двигатель отключается. Для применения магнитного ружья требуется прямая видимость. Полиция надеется, что устройство будет безвредным для людей и других устройств. Электросамокаты и электровелосипеды являются быстрыми и маневренными, так что, например, водитель может выскочить на тротуар, чтобы схватить мобильный телефон, а затем быстро скрыться. Неясно, планируется ли применять данное оружие к обычным гонщикам на электросамокатах, которые сделали жизнь многих городов по всему миру настоящим кошмаром. Например, Министерство транспорта Великобритании подсчитало, что в прошлом году более половины всех несчастных случаев с участием данных средств передвижения произошли в результате инцидентов, когда они использовались незаконно. Британские активисты высказывают призывы к полному запрету электроскутеров, а некоторые лондонцы утверждают, что «полиции необходимо принять больше мер, чтобы остановить этих гонщиков». Источник: https://www.theguardian.com/uk-news/article/2024/may/13/uk-police-ghostbusters-style-backpack-devices-ebike-getaways #электросамокаты