Новости на русском языке , подробности на английском языке 
Когда мы не смотрим, игрушки оживают и начинают делать гадости — студия Pixar не стала бы делать такой мультфильм, но реальность оказалась менее разборчивой.
Британская организация по защите прав потребителей Which? Я проверил несколько интерактивных игрушек известных брендов и обнаружил, что почти у всех из них возникла одна и та же проблема.
Сообразительный злоумышленник может легко их взломать, использовать для подслушивания того, что происходит в семье, поговорить с ребенком от имени его колоритного друга или даже попытаться проникнуть в домашнюю сеть.
На этот раз в исследование вошли Furby Connect, I-Que Intelligent Robot, CloudPets и Toy-fi Teddy, а также ряд других моделей.
Их производители, похоже, забыли, что Bluetooth работает в радиусе 10 метров: если родитель может подключиться к игрушечному роботу через незащищенное приложение, что помешает злоумышленнику, стоящему за стеной на улице, загрузить то же приложение и поздороваться с ним? ? Кстати, возможности издевательства над игрушкой этим не ограничиваются.
Если в доме установлена, например, система голосового управления, то уязвимый робот, оставленный рядом с микрофоном, может под руководством злоумышленника разместить заказ на Amazon. А сделав установку, способную ездить по улицам, сканируя территорию на предмет незащищенных игрушек в активном состоянии, можно поставить эксплуатацию бага на поток.
В общем, возможностей очень много.
Тем не менее производители игрушек – по крайней мере те, кто как-либо прокомментировал эту историю – посчитали проблему не заслуживающей внимания.
Говорят, что усилия взломать игрушку не стоят той информации, которую можно получить с ее помощью.
Ответ настолько беспомощен, что я даже не хочу его анализировать.
Всего за несколько десятилетий именитым производителям под давлением родителей и возмущенной общественности пришлось прекратить выпуск игрушек со свинцовой краской или мелкими деталями, которые неуемное любопытство побуждает людей совать в ноздри или уши.
Но они явно еще не доросли до того, чтобы защитить Bluetooth-соединение хотя бы паролем или серийным номером игрушки.
Данные Uber были украдены.
И уже давно.
Новости на русском языке , подробнее на английском языке Как мы узнали на этой неделе, год назад у Uber была украдена огромная база данных с именами клиентов, номерами телефонов и адресами электронной почты.
Оказалось, что в целях оптимизации эти данные хранились не где-нибудь, а на GitHub и Amazon S3. В результате злоумышленники похитили данные около 57 миллионов пользователей, в том числе 600 тысяч водительских прав.
В Uber заявили, что более конфиденциальные данные пользователей, такие как номера их кредитных карт и даты рождения, остались нетронутыми, поскольку они хранились в собственной инфраструктуре компании.
В итоге Uber заплатил ворам 100 000 долларов за уничтожение данных.
Но никто не может дать гарантий, что информация действительно была удалена, а не продана кому-то другому.
Сумма, конечно, немалая, но, с другой стороны, если бы вступил в силу европейский закон о защите данных (GDPR), Uber оштрафовали бы на пару миллионов.
Зарубежные аналитики склонны винить в утечке несовершенные законы, которые недостаточно наказывают компании за скупость и небрежность в организации хранения данных.
Это, конечно, так, но одни только карательные меры ситуацию не исправят; необходим системный подход к защите облачных данных.
Как потопить корабль
Новости на русском языке , подробнее на английском языке
Компания Pen Test Partners придумала по-настоящему креативный способ потопить корабль, используя хакерские навыки.
Взломать навигационную систему корабля и разбить его о скалы сложно: там надежная защита.
Но обмен сообщениями между портом и судами, особенно в части распределения грузов, далеко не безопасен.
Как правило, злоумышленников в первую очередь интересуют заказы на перемещение контейнеров в самом порту: подменив их, груз можно отправить по другому маршруту – иными словами, украсть.
Но если вы перехватите запросы BAPLIE EDIFACT, с помощью которых создаются планы погрузки и размещения груза в трюме корабля, то перед вами откроется увлекательная игра 3D-тетрис с реальным грузом.
Чтобы просто возиться, можно перепутать обозначения всех грузов, чтобы погрузка и разгрузка занимали не несколько часов, а много дней.
Хотя это обернется миллионными убытками для компании-перевозчика.
А если вас одолевает кровожадность, вы можете изменить центр тяжести и вес самого крупного груза так, чтобы он размещался не в трюме, как положено, а на палубе.
В некоторых портах перед погрузкой проводится контрольное взвешивание, но не во всех.
Поскольку грузы поднимают краны, а не люди, обман имеет все шансы не быть обнаруженным.
В результате корабль вполне может перевернуться.
Транспортное судно, затонувшее при выходе из порта, вряд ли приведет к жертвам, но уж точно обойдется в копеечку как самому порту, так и всем грузоперевозчикам, которые не смогут дойти до пункта назначения.
Итак, в поиске решения заинтересованы не только специалисты по информационной безопасности.
Древности
Джоши
Очень опасный стелс-вирус, длиной 4086 байт (9 секторов).
Заражает загрузочный сектор дискет и MBR жесткого диска при доступе к ним (int 13h, ah=2, 3, 4, 0Ah, 0Bh).
Появляется 5 января: отображает сообщение: «Туре: С Днем Рождения, Джоши!» и ждет фразы «С Днем Рождения, Джоши!» для ввода с клавиатуры.
Изменяет векторы прерываний 8, 9, 13h, 21h. Отказ от ответственности: Данная колонка отражает лишь личное мнение ее автора.
Она может совпадать, а может и не совпадать с позицией «Лаборатории Касперского».
Это зависит от вашей удачи.
Теги: #информационная безопасность #кибербезопасность #уязвимости #Uber #порт #персональные данные #корабли #умные игрушки
-
Все О Тестировании Видеоигр
19 Oct, 24 -
Обзор Dell Vostro Серии V3300-Cto
19 Oct, 24 -
Я Трачу Месяц На Услуги Доступа В Интернет
19 Oct, 24
