فریمورهای جدید اینتل حاوی Backdoorsهای پیش پا افتاده ای است

محققان روش جدیدی برای شکست دادن روند تأیید بوت برای بعضی از سیستم های مبتنی بر اینتل پیدا کرده اند، اما این روش همچنین می تواند روی سیستم عامل های دیگر تاثیر بگذارد و می تواند برای سازش با ماشین ها به صورت یکنواخت و مداوم استفاده شود.

محققان پیتر بوش و ترامپل هادسون، حمله اتمام زمان (TOCTOU) را به ویژگی گارد بوت گارد از رابط مرجع مجتمع مجتمع مجتمع انعطاف پذیر (UEFI) اینتل در کنفرانس هک کنفرانس در آمستردام ارائه دادند. .

بوت گارد فناوری است که در میکرو آرشیو نسل چهارم Intel Core 4 نیز شناخته می شود که همچنین به نام Haswell شناخته می شود و به این معناست که اطمینان حاصل شود که نرمافزار سطح پایین (UEFI) از نظر بدنی اصلاح نشده است. این کار را با بررسی اینکه ماژول های سیستم عامل لود شده با استفاده از کلیدهای قابل اعتماد که هر بار که کامپیوتر شروع می شوند متعلق به اینتل یا سازنده کامپیوتر است، به صورت دیجیتالی امضا شده اند.

بوش، دانشجوی مستقل و دانشجوی علوم رایانه ای در دانشگاه لیدن در هلند، در حالی که تلاش می کرد راهی برای استفاده از نرم افزار منبع باز Coreboot در لپ تاپ خود پیدا کند، در انهدام پرونده تأیید بوت گارد کشف کرد. به طور خاص، او متوجه شد که پس از تایید سیستم سیستم عامل و ایجاد یک کپی معتبر در حافظه پنهان، بعد از آن، ماژول ها را از کپی اصلی که در تراشه حافظه Serial Peripheral Interface (SPI) خوانده می شود، می پردازد - تراشه ای که کد UEFI را ذخیره می کند .

این رفتار درست نیست، زیرا سیستم تنها پس از اتمام بررسی های رمزنگاری، تنها بر روی کپی تایید تکیه می کند. این باعث شد که بوش فکر کند ممکن است برای مهاجم یک فرصت برای تغییر کد سیستم عامل پس از تأیید صحت داشته باشد و قبل از اینکه آن را از حافظه SPI دوباره خواند. او یافته های خود را و پیاده سازی اثبات اولیه از Trammell Hudson، یکی از محققان سخت افزار و یکپارچه شناخته شده که کار قبلیش شامل حملات Thunderstrike علیه فناوری Thunderbolt اپل بود، به دست آورد.

هادسون یافته های بوش را تایید کرد و با همکاری یک حمله که شامل اتصال دستگاه برنامه نویسی به تراشه حافظه فلش برای پاسخ دادن با کد مخرب بود، هنگامی که CPU تلاش می کند که ماژول های نرم افزار را از حافظه SPI به جای کپی معتبر تجدید نظر کند. نتیجه اینست که کد مخرب و بدون علامت با موفقیت اجرا می شود، چیزی که Boot Guard برای جلوگیری از آن طراحی شده است.

در حالی که این حمله نیاز به باز کردن پرونده لپ تاپ برای اتصال اتصالات اتصال به تراشه دارد، راه هایی برای ایجاد آن دائمی است، مانند جایگزینی تراشه SPI با یک سرکش که تقلید UEFI است و همچنین کد مخرب را ارائه می دهد. در حقیقت، هادسون قبلا چنین تراشه ای شبیه ساز طراحی کرده است که دارای ابعاد مشابهی با یک تراشه واقعی فلش SPI است و اگر بخشی از پوشش پلاستیکی به آن اضافه شود، می تواند به راحتی به عنوان یکی از بازرسی های بصری منتقل شود.

پیامدهای حملات TOCTOU چیست؟

اینتل بوت گارد و ویژگی های بوت امن ایجاد شده است برای جلوگیری از مهاجمان از تزریق نرم افزارهای مخرب به UEFI و یا سایر اجزای بارگذاری شده در طول فرایند بوت شدن مانند سیستم عامل bootloader OS یا هسته. چنین برنامه های بدافزار برای مدت زمان طولانی وجود داشته و به عنوان rootkits boot یا bootkits نامگذاری شده اند و مهاجمان از آنها استفاده می کنند، زیرا آنها بسیار پایدار و سخت برای حذف هستند. به همین دلیل است که آنها بعد از هر بار راه اندازی مجدد سیستم عامل را دوباره آلوده می کنند تا هر برنامه آنتی ویروس فرصتی برای شروع و شناسایی آنها داشته باشد.

در نوع مبادله تراشه، حمله هادسون و بوش به عنوان یک بوت کیت پایدار سخت افزاری عمل می کند. این می تواند مورد استفاده قرار گیرد برای سرقت رمزهای رمزگذاری دیسک و سایر اطلاعات حساس از سیستم و برای شناسایی بدون باز کردن دستگاه و بررسی دقیق مادربرد آن بسیار سخت است.

حتی اگر چنین حملات فیزیکی نیازمند یک رویکرد هدفمند باشد و هرگز تهدیدی گسترده نخواهد بود، آنها می توانند خطرات جدی را برای کسب و کار و کاربران که دسترسی به اطلاعات ارزشمند دارند، ایجاد کنند.

چنین مصالحه فیزیکی می تواند به روش های مختلفی اتفاق بیافتد، به عنوان مثال در یک سناریوی نوعی شیطانی که در آن یک هدف ارزشمند مانند مدیر عامل شرکت، به یک کشور خارجی سفر می کند و لپ تاپ خود را در اتاق هتل خود بی نظیر نگه می دارد. بوش به CSO می گوید که تعویض تراشه حافظه SPI با یک ریشخند طراحی شده برای اجرای این حمله 15 تا 20 دقیقه برای یک مهاجم با تجربه با تجهیزات مناسب می گیرد.

احتمال دیگری نیز این است که حملات زنجیره تامین یا به اصطلاح «روش ممنوعیت» که در آن حمل و نقل کامپیوترها از طریق حمل و نقل متوقف می شود، به طور مثال توسط سازمان اطلاعاتی، پشتیبانی می شوند و سپس مجددا مجددا برای پنهان کردن هرگونه سوء استفاده می شوند. اسناد منتشر شده توسط ادوارد اسنودن نشان داد که NSA از این تکنیک ها استفاده می کند و احتمالا نه تنها سازمان اطلاعاتی برای انجام این کار است.

بعضی از دستگاه ها دارای مهر و موم و یا مکانیزم خاصی هستند، اما کسی که با منابع و دانش مناسب می تواند به راحتی از این دفاع دفاع کند، بوش به CSO می گوید.

کارکنان مضر همچنین می توانند از این تکنیک در لپ تاپ های مورد استفاده خود استفاده کنند تا کنترل های دسترسی را دور بزنند و امتیازات مدیر را به دست بیاورند و یا پس از ترک شرکت از دسترسی به داده های شرکت و شبکه استفاده کنند. چنین سازمانی می تواند کامپیوتر را از بین برده و دوباره استفاده کند.

در طول سالهای جاسوسی اقتصادی چندین مورد وجود دارد که کارکنان برای شرکت های مختلف به سرقت اسرار تجاری دست زده اند و آنها را به دولت های خارجی یا رقبا منتقل می کنند.

کاهش چیست؟

این دو محقق در ماه ژانویه اینتل را از یافته های خود مطلع ساختند و به CSO می گویند که چیپمبر این مسئله را به طور جدی مورد رسیدگی قرار داده و به شدت به آن اهمیت داده است. این شرکت در حال حاضر دارای تکه هایی برای پیاده سازی مرجع UEFI خود یعنی Tianocore است که با فروشندگان BIOS و سازندگان کامپیوتر مشترک است. محققان هنوز رفع نشده اند، اما حداقل بر اساس توصیف آنها به نظر جامع هستند و باید از حملات مشابه در آینده جلوگیری کنند.

مشکل این است که توزیع تکه های UEFI هرگز فرآیند آسان نیست. اینتل سهام UEFI خود را با فروشندگان UEFI / BIOS که قراردادهایی با تولیدکنندگان مختلف PC دارد، به اشتراک میگذارد. سپس آن OEM ها سفارشی های سیستم عامل خود را قبل از اینکه آنها را در داخل محصولات خود حمل کنند، تنظیم می کنند. این بدان معنی است که هر گونه اصلاح بعدی نیاز به همکاری و هماهنگی از طرف همه طرفهای درگیر دارد، نه به کاربران نهایی که نیاز دارند تا به اندازه کافی برای نصب و به روز رسانی UEFI نصب شوند.

تکه هایی برای آسیب پذیری های بحرانی و Spectre که باعث آسیب به CPU های اینتل نیز شد، نیاز به به روز رسانی UEFI داشت و چند ماه بعد برای برخی از فروشندگان PC آنها را برای محصولات آسیب دیده خود منتشر کرد. بسیاری از مدل ها هرگز تکه ها را به شکل به روز رسانی UEFI دریافت نکرده اند، زیرا تولید کنندگان دیگر از آنها پشتیبانی نمی کنند.

دو محقق قصد دارد کد مدرک مفهومی خود را در ماه های بعد به عنوان بخشی از یک ابزار به نام SPISpy منتشر کند که امیدوار است به دیگر محققان و اشخاص علاقه مند کمک کند تا بررسی کنند که آیا ماشین های خود آسیب پذیر هستند و به بررسی مسائل مشابه در سیستم عامل های دیگر .

بوش می گوید: "من واقعا می خواهم صنعت را در جهت باز کردن منبع به سیستم عامل خود ببینم تا بررسی صحت و امنیت آن آسان تر شود."

باج خواهی یک هکر برای پاک نکردن اطلاعات سایت Git

صدها نفر از توسعه دهندگان، مخازن کد منبع Git را پاک کرده و با تقاضای جبران جایگزین کرده اند.

حملات آغاز شده در اوایل امروز، به نظر می رسد در سراسر خدمات میزبانی Git (GitHub، Bitbucket، GitLab) هماهنگ شده است، و هنوز مشخص نیست که چگونه آنها اتفاق می افتد.

چیزی که شناخته شده این است که هکر تمام کد منبع و دستورات اخیر را از مخزن Git vitcims حذف می کند و یک یادداشت جبران ناپذیر را پشت سر می گذارد که خواستار پرداخت 0.1 بیت کوین (~ ​​570 دلار) است.

هکر ادعا می کند که تمام کد منبع در یکی از سرورهای خود بارگیری و ذخیره می شود و قربانی ده روز به پرداخت جبران خسارت می پردازد؛ در غیر این صورت، آنها کد را عمومی می کنند.

برای بازیابی کد های از دست رفته خود و جلوگیری از نشت آن: ارسال 0.1 Bitcoin (BTC) به آدرس Bitcoin ما ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA و با ما تماس بگیرید با ایمیل در admin@gitsbackup.com با ورود به سیستم Git خود و اثبات پرداخت. اگر مطمئن نیستید که اطلاعات خود را داشته باشید، با ما تماس بگیرید و ما یک مدرک برای شما ارسال خواهیم کرد. کد شما در سرورهای ما دانلود و پشتیبان گیری می شود. اگر ما در 10 روز آینده پرداخت شما را دریافت نکنیم، کد شما را به صورت عمومی و یا از موارد دیگر استفاده می کنیم.

پرداخت در آدرس ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA بیتکوین، که، در زمان نوشتن، تا هر گونه وجوه دریافت نکرده درخواست شده است.

سکه های مرگ و میر و شمارش

جستجوی GitHub نشان می دهد که تا کنون حداقل 392 مخزن GitHub مورد استفاده قرار گرفته اند.

با توجه به BitcoinAbuse.com، یک وبسایت که آدرسهای بیت کوین را برای فعالیت مشکوک مورد استفاده قرار می دهد، امروزه 27 گزارش سوء استفاده برای این آدرس وجود دارد، زمانی که ابتدا در پایگاه داده سایت نمایش داده شد. همه گزارش های سوء استفاده شامل یک یادداشت جبران خسارت است، که نشان می دهد آدرس Bitcoin در یک حمله هماهنگ شده با هدف حساب Git مورد استفاده قرار می گیرد.

برخی از کاربران که قربانی این هکر شده اند مجاز به استفاده از کلمه عبور ضعیف برای حساب های GitHub، GitLab و Bitbucket خود هستند و فراموش کردن حذف برچسب های دسترسی برای برنامه های قدیمی که ماه ها استفاده نکرده اند - که هر دو روش بسیار رایج هستند که حساب های آنلاین معمولا به خطر می افتد.

با این حال، تمام شواهد نشان می دهد که هکر کل اینترنت را برای فایل های پیکربندی Git اسکن کرده است، اعتبار های استخراج شده، و سپس از این logins ها برای دسترسی و دفع حساب در سرویس های میزبانی وب Git استفاده می کند.

کتی وانگ، مدیر امنیت برای GitLab، در یک ایمیل به ZDNet، اذعان کرد که این امر دلیل اصلی یک حساب کاربری است که کاربر را به زودی در StackExchange گزارش می دهد.

ما منبع را بر اساس یک بلیط پشتیبانی شده توسط استفان گابوف دیروز شناسایی کردیم و بلافاصله موضوع را بررسی کردیم. ما حسابهای کاربری تحت تأثیر را شناسایی کرده ایم و همه این کاربران اطلاع داده شده اند. در نتیجه تحقیقات ما شواهد قوی وجود دارد که حسابهای آسیب دیده دارای رمزهای حساب ذخیره شده در متن ساده در استقرار یک مخزن مرتبط هستند. ما به شدت از استفاده از ابزارهای مدیریت رمز عبور برای ذخیره کلمات عبور به شیوه ای ایمن تر استفاده می کنیم و هر کدام که ممکن است امکان احراز هویت دو عامل را فراهم کنیم، هر دو از این مسئله جلوگیری می کنند

Atlassian، شرکتی که Bitbucket دارد، به درخواست درخواست نظر پاسخ نداده است، اما آنها شروع به اطلاع رسانی به مشتریانی کردند که اعتقاد دارند که هکرها دسترسی غیر قانونی را دریافت کرده اند، و همچنین شروع به ارسال هشدارهای امنیتی به حساب هایی که تلاش های ورود به سیستم ناموفق بوده است.

راهی برای بازپس گرفتن

خبر خوب این است که پس از حادثه از طریق پرونده قربانی، اعضای جلسه امنیتی StackExchange متوجه شدند که هکرها در واقع حذف نمیکنند، اما در حقیقت، هکرهای Git commit را تغییر میدهد، به این معنا که در برخی موارد ممکن است مرتکب شده باشد.

دستورالعمل در مورد نحوه بازیابی مخازن Git منگل در این صفحه موجود است.

در توییتر، چندین شخصیت مهم در جامعه توسعه دهنده، در حال حاضر قربانیان را برای تماس با تیم های پشتیبانی در GitHub، GitLab، یا Bitbucket، قبل از پرداخت هرگونه تقاضای پس انداز، می خواهند، زیرا ممکن است راه های دیگری برای بازیابی حذف رپو نیز وجود داشته باشد.

به احتمال زیاد، مخزن Git نیز به خطر افتاده است، که بدون شک تحقیقات طولانی در شرکت هایی که ممکن است کد اختصاصی خود را به طور بالقوه به یک سرور از راه دور متصل کرده اند، باعث شود.

هکرها یک تن اطلاعات از یک کمپانی فناوری اطلاعات دزدیدند!

هکرها از یک شرکت بزرگ فناوری اطلاعات آلمان با اطلاعات سرقت رفته در برخی از بزرگترین شرکت های دنیا، گزارش مادربرد را تهدید می کنند.

هکرها یک وبسایت ایجاد کردند که در آن ادعا کرد که "از اطلاعات 516 گیگابایتی اطلاعات مالی و خصوصی در مورد همه مشتریان" از ارائه دهنده خدمات فناوری اطلاعات Citycomp به سرقت رفته است. این شرکت مدعی است که برخی از مشتریان قابل توجه در کتابهایش، از جمله اوراکل، ایرباس، هوگو بای، پورشه و فولکس واگن هستند.

مایکل بارچ، مدیر اجرایی شرکت امنیتی Cyber ​​Security دورتور که Citycomp اعلام کرد مجاز به صحبت در مورد حمله بود، به مادربورد اطمینان داد که این هک اتفاق افتاده است.

بارتس گفت: "Citycomp هک شده و تهدید شده است و حمله ادامه دارد." "ما باید مراقب باشیم زیرا کل پرونده تحت تحقیقات پلیس است و مهاجم سعی دارد تمام ترفندها را انجام دهد."

بارچچ افزود که تمام مشتریان آسیب دیده از این حمله اطلاع داده شده است و این شرکت در تلاش برای اخاذی مهاجمان نیست.

او گفت: "ما به مطالبات اخاذی رضایت دادیم و تحلیلگران ما در حال انجام تجزیه و تحلیل جامع فنی و قانونی در مورد حمله هستند. مشخص نیست چطور هکرها خواستار آن هستند.

طبق گزارش وب سایت، این پرونده ها به طور عمومی در روز 31 آوریل منتشر می شوند اما همانطور که Joseph Cox مادربرد می گوید، 31 آوریل وجود ندارد.

ککس اشاره کرد که اطلاعات دزدیده شده در دسترس نیست و کلیک بر روی فایل ها پیام های "403 ممنوع" را به دست آورد. با این حال، او توانست لیستی از فایل ها و اسامی آنها را ببیند که بسیاری از آنها نشان می دهد که فایل ها حاوی صفحات گسترده مرتبط با امور مالی هستند.

وقتی شرکت Business Insider با آن ارتباط برقرار کرد، Citycomp برای دیدگاه بلافاصله در دسترس نبود.

پسورد منیجرها می توانند مانع حمله هکرها شوند؟

دن پترسون، تهیه کننده ارشد CNET و CBS News، با الکس سیمونز، معاون شرکت مایکروسافت هویت بخش مایکروسافت، درباره تهدیدات مختلفی که امروزه در شرکت مطرح شده است صحبت کرد. شرح زیر ویرایش مصاحبه است.

الکس سیمونز: مدیران رمز عبور قطعا یک گزینه خوب هستند. در حقیقت ما آنها را به مشتریان توصیه می کنیم همیشه می گویند: "هی، اگر شما به طور کامل نمی خواهید بدون رمز عبور، یک مدیر رمز عبور دریافت کنید"، اما آنها فوق العاده راحت نیستند و بسیاری از آنها کار نمی کنند به خوبی در تمام دستگاه های مختلف خود را. این یک راه حل کامل نیست، اما قطعا بهتر از هیچ چیز نیست. مطمئنا همینطوره.

مجموعهای از اطلاعات ارزشمند در مورد شما در ابر وجود دارد. درست؟ هکرها به دنبال چندین چیز متفاوت هستند. آنها به دنبال چیزهایی هستند که می توانند از طریق پول درآورده شوند. واقعا ارزشمند است که بتوانم حساب کاربری Xbox خود را هک کنم و علامت خود را دریافت کنم زیرا شما می توانید نماد من و تمام دستاوردهای من را در بازار سیاه فروخت و کسی آن را خریداری می کند. واقعا ارزشمند است. اگر بتوانید به حساب بانکی من دست بزنید، درست است، پس ناگهان شما توانایی های بیشتری را در اختیار دارید. شما می توانید وارد شوید و پول را منتقل کنید. احتمالا همه انواع چیزهای نادرست را انجام دهید. همه این حسابها ارزش را نشان می دهند و لحظه ای که ارزش آن وجود دارد، پس ناگهان یک اقتصاد وجود دارد و هکرها می خواهند پس از آن اقتصاد را ترک کنند.

بازیکنان بطور قطع تهدید وجود دارند که با کشورهای مختلف در سراسر جهان مرتبط هستند. به عنوان مثال، بازیگران تهدیدی وجود دارند که می دانیم، به عنوان مثال، در ارتباط با دولت های ملی به عنوان مثال در چین، روسیه و دیگر مکان های مشابه است. گروه های زیادی از هکرها سازمان یافته نیز وجود دارند که فقط نوعی وابسته به آن هستند. بسیاری از زمان هایی که ایمیل دریافت می کنید می گوید "اوه، من از نیجریه هستم و من شاهزاده ای هستم و اگر شما فقط چیزهای زیر را انجام دهید، من پول خود را به شما تحویل می دهم" گروه های مرتبط هکرها، اما آنها این زنجیره های حرفه ای هستند، درست است؟ یک هکر جوان ممکن است بیرون رود و سعی کند تعداد زیادی از حسابها را خراب کند و وقتی آنها بالاخره یک خوب را پیدا کنند، آنگاه این حساب را به یک هکر بسیار با تجربه تر باز می گردانند که بعدا وارد کار می شوند و در واقع کار سختی را انجام می دهند از ورود به حساب و گسترش و گرفتن چیزها. طیف گسترده ای وجود دارد، اما آنها واقعا به این دو گروه تقسیم می شوند: دولت های ملی حمایت می شوند و نوعی از این گروه های کم اهمیت هستند.

سر رفتن حوصله یک هکر باعث هک ناسا شد

کریس رابرتز، هکر مشهور هری پاتر، اعلام کرد که او فضایی آژانس فضایی ناسا را ​​هک کرد به طوری که او خسته شد.

رابرتز در سخنرانی خود در نشست دیجیتالی عصر روز دوشنبه در استانبول، گفت: او از هک کردن و آشکار شدن شکاف های امنیتی در ساختار غول پیکر مانند ناسا لذت می برد.

وی گفت: "ما دریافتیم که امنیت ارتباطی بین سیستم های ماهواره ای و زمین به خوبی رمزگذاری نمی شود. ما می توانستیم به سیستم دسترسی داشته باشیم، با عبور از کنترل های کنترل دسترسی به ایستگاه بین المللی ناسا."

رابرتز، با تأکید بر این که سیستم سیستم بی نظیری وجود ندارد، گفت: شبکه های حمل و نقل جهانی باید به طور جدی به مسئله امنیت سایبری نزدیک شوند و باید شکاف هایی را که هکرها با آن مواجه هستند را پر کنند.

در سال 2015، اداره تحقیقات فدرال (FBI) رابرتز را به اتهام هک کردن سیستم کامپیوتری هواپیما از طریق اینترنت بی سیم در پرواز مورد بررسی قرار داد.

دادگاه تحقیقاتی FBI به دادگاه فدرال در نیویورک ادعا کرد رابرتز به خبرگزاری ها گفته است که او از سال 2011 و 2014 به 15 و 20 بار از سیستم های سرگرمی در پرواز هک شده است.

این ادعا ادعا کرد که رابرتز می گوید که او حتی می تواند کنترل های پرواز را منع کرده و هواپیما را به سمت جلو سوق دهد.

رابرتز، که پس از آن به عنوان "هواپیما هکر" شناخته شد، اصرار داشت که هک را تنها برای نشان دادن آسیب پذیری های اصلی در سیستم های کامپیوتری مورد استفاده در هواپیماهای تجاری، انجام دهد.