Diqee 360: Рецепты - ХЛЕБОПЕЧКА.РУ - домашние хлебопечки и мультиварки. Рецепты, отзывы, инструкции, форум.

Можно ли взломать робот пылесос?

Покупая робот-пылесос, его владельцу нужно понимать, с чем придется иметь дело. Такие устройства обычно имеют встроенную веб-камеру, которая используется для построения карты помещения, также они управляются через смартфон, соответственно, они подключаются к интернету. Теоретически, злоумышленник может подключиться к устройству дистанционно, и наблюдать за происходящем в квартире. Как он воспользуется этой информацией, вопрос другой, главное, что в теории такая вероятность есть. 

Насколько это реально

В интернете есть много информации на этот счет. Например, есть информация об уязвимости пылесосов Diqee 360. У них присутствовала уязвимость в прошивке, позволяющая выполнить атаку на пылесос, по итогам которой управление роботов перейдет в руки этого мошенника. Так как пылесос считается IoT-устройством, теоретически он может стать частью ботнета для выполнения DDOS-атаки на сторонние сервера. Для некоторых видов уязвимостей не нужно даже находиться в непосредственной близости у пылесоса, для других уязвимостей нужно иметь непосредственный доступ к роботу — это уже сложнее.

Если говорить не о компаниях, которые могут использовать роботизированную технику, а о частных лицах, то тут переживать нет смысла. Производители пылесосов не отрицают, что для нормальной работы устройства необходимо выполнить идентификации, в процессе которой аккаунт пользователя будет привязан и к личной почте, и к смартфону. Чтобы получить возможность управлять пылесосом на расстоянии, придется взломать слишком много аккаунтов – даже если это и можно сделать, то специалисты попросят за услугу слишком много средств, поэтому это будет просто невыгодно для мошенников.

Также никто не отрицает, что роботы-пылесосы вынуждены собирать определенную информацию. Различные разоблачающие статьи про то, что производители скрывают данный факт, рассчитаны на наивных людей. Роботы собирают информацию об интернет сети, данные про расположение предметов в доме, что нужно для построения карты, информацию о заданном режиме уборки по графику. Передача всех указанных данных передается по защищенному каналу.

Уровень защиты этого канала можно сравнить с защитой банковский транзакций. Там используются точно такие же методы шифрования, справиться с которым простой злоумышленник точно не сможет, а профессионалы вряд ли будут так стараться ради ограбления рядового пользователя. Также важно учитывать, что далеко не все устройства, особенно если им уже много лет, в принципе наделены функцией подключения к сети.

Пользователей роботов-пылесосов интересует вопрос о взломе хранилища, где размещены приватные данные. Регулярные процедуры между смартфоном пользователя и непосредственно самим пылесосом выполняются через данные, хранимые на облачных серверах компании. Как сказано выше, взлом таких серверов явно не под силу обычным мошенникам.

Успокоить пользователей может тот факт, что даже теоретический взлом робота-пылесоса не принесет никакой опасности. Можно разобрать отдельные факторы опасности по пунктам:

1. Что будет, если мошенник получит доступ к камере робота-пылесоса? В теории он сможет получить трансляцию того, как пылесос проходит по помещению в процессе уборки. Что он может из этого извлечь? Он увидит расположение мебели, поймет, есть ли в доме хозяева, живут ли животные, которые могут защитить дом при вторжении. Есть опасность в том, что таким образом можно оценить, насколько семья богата, но чтобы попасть в квартиру, нужно получить доступ к домофону, взломать замки и при этом сделать это в правильное время.
2. Что будет, если мошенник сможет управлять пылесосом? Он сможет начать уборку или остановить ее, может изменить режим работы. Насколько серьёзно такое вредительство ударит по дому — каждый решает сам.
3. Могут ли они взломать другие устройства или обрушить домашнюю сеть? Несмотря на то, что зафиксирован случай заражения компьютера через кофе-машину, это был случай атаки на серьёзную компанию. Работали над взломом профессионалы, и цели у них были более амбициозные, чем ограбление дома.

Специалисты считают, что полученную информацию злоумышленники никак использовать не могут. Они могут в теории извлечь схематичную карту помещения, но понять, где какой предмет находится, сможет только хозяин квартиры. Если преступник заранее не будет знать, в какой именно квартире находится пылесос, где лежат деньги и прячут ключи от сейфа, риск ограбления после такой разведки минимален.

Как защитить устройство от взлома?

Само устройство особенно защищать не нужно – меры, которые приняли для этого разработчики, в полной мере обеспечивают безопасность устройства. Из основных рекомендаций: можно придумать более сложный пароль для электронной почты и домашнего интернета, периодически менять его и хранить в строгом секрете, давая только домочадцам и проверенным друзьям.

Всерьез переживать о том, что кто-то может взломать робот-пылесос и тем более воспользоваться этим, не нужно. Уровень защиты у современных роботов-пылесосов является достаточным для того, чтобы пользователи не переживали за сохранность своей приватности. Сама процедура взлома слишком сложная, а потенциально полученные данные не так ценны, как это может казаться.

запись цифровых сертификатов в микросхемы на этапе производства / Хабр

Программатор G-Shield (GPW-01)

GlobalSign объявила о технологическом партнёрстве со стартапом Big Good Intelligent Systems, который выпустил продукт под названием G-Shield. Это сервер регистрации плюс программатор чипов для физической записи цифровых сертификатов на микросхемы: Big Good называет такие микросхемы «крипточипами» (HVCA Module / ECDH Crypto Chip).

Идея в том, что производитель физически защищает устройства с момента появления, то есть прямо на этапе производства.

Платформа G-Shield

включает в себя сервер регистрации (Enroll Server) и программатор чипов GPW-01. Он работает автоматически, выполняя задачи, поступающие сервера.

Технические характеристики

• Параллельная работа множества программаторов со взаимным подключением.
  
• Размер: 310×115×35 мм
  
• ЖК-экран: 3,5 дюйма, разрешение 320×480 пикселей
  
• Процессор и память: ARM V8 четырёхъядерный Cortex A53 1,2 ГГц, 1 ГБ SDRAM
  
• Питание: AC 100 В − 240 В 50/60 ГЦ
  
• ОС: Linux 3.x
  
• Порты: четыре порта I2C
  
• Разъёмы для чипов: четыре

Для обслуживания сертификатов используется платформа

IoT Identity Platform

от GlobalSign с программными интерфейсами RESTful API. Это гибкая и масштабируемая платформа на инфраструктуре открытых ключей (PKI), способная обрабатывать запросы от миллиардов устройств IoT.

Физическая интеграция сертификатов особенно актуальна для устройств Интернета вещей. Big Good собирается внедрять эти крипточипы в собственные устройства для умного дома, но также предлагает крипточипы другим производителям.

Первым внедрит систему в свой производственный цикл Realtek Semiconductor — известный производитель микросхем для телекоммуникационного оборудования, компьютерной периферии и мультимедийных приложений. Микросхемы Realtek используются во многих компьютерах, ноутбуках и планшетах: это сетевые контроллеры, микросхемы PHY, контроллеры доступа к сети, контроллеры мультимедийного шлюза, беспроводных LAN, а также кодеки High Definition Audio, контроллеры кард-ридеров, генераторы синхроимпульсов и контроллеров LCD.

Сейчас Realtek Semiconductor вместе с Big Good и GlobalSign изучают, как лучше всего интегрировать технологию на конвейер.

Физическое внедрение цифровых сертификатов на этапе производства — логичное решение для защиты устройств IoT в условиях, когда злоумышленник способен не только перехватить и подменить трафик, но и получить физический доступ к этим устройствам.

Слабая защита IoT — одна из самых больших проблем в индустрии. Достаточно посмотреть новости:

Всего этого можно было избежать за счёт грамотной реализации шифрования, в том числе запрограммировав крипточип с цифровым сертификатом на этапе производства.

Криптографический модуль HVCA от Big Good со встроенным цифровым сертификатом

Характеристики криптомодуля IoT

• Алгоритмы PKI: ECDSA (FIPS186-3), ECDH (FIPS SP800-56A)
  
• Стандарт эллиптических кривых NIST P-256
  
• Алгоритм хеширования SHA-256 с опцией HMAC
  
• Длина ключа 256 бит
  
• Хранение до 16 ключей
  
• Уникальный 72-битный серийный номер
  
• Встроенный генератор случайных чисел
  
• 10 КБ EEPROM для хранения ключей, сертификатов и данных
  
• Опции журналирования, защита от внешнего вмешательства
  
• Один пин GPIO
  
• Стандартный интерфейс I2C 1 МГц
  
• Питание от 2,0V до 5,5V Supply Voltage Range
  
• Энергопотребление в спящем режиме менее 150 нА

Очевидно, что в защите нуждаются не только гаджеты для умного дома, но и медицинские импланты, промышленные приборы и другие устройства Интернета вещей.

Платформа управления цифровыми сертификатами GlobalSign с аппаратной поддержкой крипточипа Big Good поддерживает полный жизненный цикл идентификации устройства, от начальной подготовки сертификатов (которые прошиваются во время производства или локально при деплое) до управления жизненным циклом сертификатов с окончательным завершением их действия, включая вывод из эксплуатации или передачу права собственности.

Если у каждого устройства или конечной точки есть уникальный идентификатор, то при выходе в интернет они проходят аутентификацию, а затем на протяжении всей своей жизни доказывают свою целостность и могут безопасно общаться с другими устройствами, службами и пользователями.

Служба IoT Edge Enroll предоставляет гибкий и масштабируемый способ развёртывания этой системы и её поддержания с дополнительными функциями, такими как Registration Authority (RA) и расширенная поддержка протоколов. GlobalSign выдаёт сертификаты со скоростью более 3000 в секунду, что является рекордом среди регистрационных центров.

Безопасность по дизайну

— принцип разработки программного обеспечения, которое с самого начала проектируется так, чтобы обеспечить максимальную безопасность. Этот принцип можно расширить и на разработку оборудования.

Таким образом, сегодня цифровые сертификаты используются не только для для защиты веб-сайтов и подписи компьютерных программ, но и для обеспечения аутентичности физических устройств. Прошивка выполняется непосредственно на конвейере производителя микросхем.

«По мере развития технологий IoT важно, чтобы безопасность частью дизайна с самого начала, — говорит Роджер Ву, главный исполнительный директор Big Good Intelligent Systems. — Безопасность должна начинаться на уровне компонентов (чипов) и поддерживаться сильной, стабильной и безопасной инфраструктурой PKI на уровне устройств, шлюзов и облаков».

---

10 вещей, которые, вы не поверите, могут шпионить за вами (и делают это): bdsmn — LiveJournal

#слежка, #шпионаж, #большой_брат, #технологии, #гаджеты

Когда мы думаем о методах, которые правительства и крупные корпорации используют для слежки за нами, мы часто думаем о компьютерах, смартфонах и, возможно, камерах наблюдения. Как вы поймёте, это едва ли единственные вещи, которые можно использовать, чтобы следить за нами.

На первый взгляд безобидные предметы, такие как зубные щетки, наушники и детские игрушки, можно превратить в мощные шпионские устройства. Это не должно быть сюрпризом, учитывая, что каждый производитель хочет подключить свои продукты к Интернету в наши дни. Большой Брат (или, по крайней мере, большой бизнес) следит за вами.

10. Робот-пылесос

Робот-пылесос может быть довольно удобным, но он также может шпионить за вами. Например, Roomba iRobot i7+ был пойман на шпионаже, как и Dongguan Diqee 360.

IRobot i7+ способен создать карту вашего дома, когда он убирается. Roomba говорят, что пылесос должен создать карту вашего дома, чтобы он мог ориентироваться. Карта также может быть полезна, если вы хотите заказать пылесосу уборку определённой комнаты. Однако Roomba сообщили, что iRobot i7+ также делится картой вашего дома с другими интеллектуальными устройствами. Почему пылесосу нужно делиться картой вашего дома?

Ну, Roomba не объяснили, но вы можете догадаться, почему, учитывая, что пылесос был разработан совместно с Google, королём шпионажа. Хотя Google настаивают на том, что совместное использование просто позволяет роботу интегрироваться со своим цифровым помощником Google, трудно представить, что они каким-то образом не зарабатывают на этом.

Один робот-пылесос, который явно шпионит за нами – это изготовленный в Китае Dongguan Diqee 360. В пылесосе есть Wi-Fi и камеры ночного видения с возможностью поворота на 360 градусов. Хуже того, хакеры могут взломать камеры Diqee 360, чтобы шпионить за вами, когда Dongguan сам не делает этого.

9. Автомобили

Наши машины шпионят за нами, и мы говорим не только об умных, самостоятельных моделях; мы имеем в виду обычные автомобили. Они могут быть не умными, но и не глупыми.

Почти каждое произведённое сегодня транспортное средство содержит регистратор данных о событиях (EDR). EDR записывает информацию о транспортном средстве, включая его местоположение, среднюю скорость, состояние дороги и предпочтительный маршрут его владельца. Эта информация автоматически отправляется обратно автопроизводителю.

Автопроизводители говорят, что они используют эти данные для изучения поведения своих транспортных средств во время аварий и предлагают улучшения. Эта информация также передаётся правоохранительным органам для выявления причин несчастных случаев. Однако это не означает, что автопроизводители не будут использовать эту информацию для других целей.

С одной стороны, мы даже не знаем, сколько автопроизводителей собирают информацию об автомобилях. Мы также не знаем, кому принадлежит информация. Это владелец машины или производитель? Кроме того, большинство владельцев автомобилей даже не знают, что их отслеживают. Автопроизводители и продавцы тоже не очень заинтересованы в раскрытии этой информации. Так что шпионаж продолжается.

8. Наушники

Вам может быть интересно, как наушники могут шпионить за нами. Ну, это в основном микрофоны. Наушники и микрофоны работают одинаково. Просто наушники преобразуют электрические сигналы в звук, а микрофоны преобразуют звук в электрические сигналы.

Интересно, что они могут быть легко преобразованы, чтобы работать наоборот. Наушники можно превратить в микрофоны, просто подключив их к специальному разъёму для микрофона на вашем компьютере или к одному разъёму для наушников и микрофона в телефонах и ноутбуках. Поговорите с ними, и они станут микрофонами.

Эта технология может быть использована для превращения наушников в шпионские микрофоны, если какая-либо корпорация, правоохранительные органы или правительственное шпионское агентство ещё этого не делают. Исследователи из Университета Бен-Гуриона в Израиле даже создали вредоносное ПО, превращающее наушники в микрофоны, чтобы шпионить за людьми.

Вредоносное ПО, которое они назвали Speake(a)r, работает путём преобразования выходных разъёмов компьютера во входные разъёмы. Наушники можно использовать для прослушивания разговора человека, когда они подключены к компьютеру.

7. Зубные щётки

Зубные щётки медленно переходят от тупых пластиковых стержней с мягкой щетиной к гаджетам. И, как и в случае с другими гаджетами в наши дни, они подключены к Интернету, чтобы шпионить за нами. В 2014 году Oral B выпустили интеллектуальную зубную щётку, которая подключается к специализированным приложениям для Android и iOS через Bluetooth.

Зубная щётка записывает каждый ход щётки и представляет его пользователю в конце каждого сеанса чистки. Зубная щётка предлагает советы о том, как пользователь может улучшить свои привычки чистки и даже может отправить информацию стоматологу. Говоря о стоматологах, они также могут использовать эту информацию для создания программ чистки для своих пациентов.

Примерно в то же время Kolibree выпустили аналогичную зубную щётку. Они утверждали, что она поможет пользователям «перехитрить своего дантиста». Они также добавили, что пользователи могут делиться своей информацией о чистке с «дантистами и семьёй». Почему мы должны делиться своей информацией о чистке с нашей семьёй? Кроме того, были опасения, что зубная щётка может быть использована для отправки информации рекламодателям стоматологической продукции.

6. Alexa

Цифровой помощник Amazon, Alexa, шпионит за вами. Возможно, вы этого не знаете, но в настоящее время Amazon использует тысячи людей для просмотра голосовых команд, которые пользователи сообщают Alexa. Рецензенты работают по девять часов в день, в течение которых они анализируют более 1000 звуковых команд каждый.

Эти рецензенты слушали голосовые команды, которые пользователи никогда не думали, что Alexa или даже другой человек могут услышать. Они слушали банковские реквизиты, частные разговоры, которые явно не были адресованы Alexa, и, по крайней мере, один раз, женщину, поющую в душе.

Два рецензента однажды прослушали то, что, по их мнению, было сексуальным насилием, и сообщили об этом Amazon. Высокопоставленные лица отметили, что вмешиваться не было их обязанностью. Некоторые из этих записей происходили, когда Alexa была выключена, указывая на то, что Alexa либо включалась сама, либо когда слышала что-то, похожее на приказ о включении. Всё это создало опасения по поводу конфиденциальности и шпионажа со стороны Alexa.

Однако Amazon не называют это шпионажем. Они говорят, что рассматривают голосовые команды только для улучшения Alexa. Amazon пояснили: «Мы используем ваши запросы к Alexa для обучения наших систем распознавания речи и понимания естественного языка». Однако компания никогда не упоминала, что люди – а не какой-то искусственный интеллект – были вовлечены в обучение Alexa.

Хотя Amazon утверждают, что команды анализируются анонимно, мы знаем, что это не всегда так. Проверенные записи часто содержат имя пользователя, номер учётной записи и серийный номер продукта, которых может быть достаточно для идентификации личности.

5. Светодиодные фонари

Хотите верьте, хотите нет, 171 единица светодиодного освещения в терминале B международного аэропорта Ньюарк Либерти в Нью-Джерси – больше, чем просто освещение. Они оснащены датчиками и подключены к восьми видеокамерам для наблюдения за людьми внутри и вокруг терминала.

Терминал обслуживается Портовым управлением Нью-Йорка и Нью-Джерси. Они говорят, что камеры используются только для распознавания длинных очередей в аэропорту, номерных знаков транспортных средств и подозрительной активности. Тем не менее, мы все знаем, что система может быть использована для большего. Дирекция порта хранит любую информацию, собранную фонарями, и может передать её полиции по запросу.

4. Домашние камеры безопасности

Камеры безопасности должны ловить людей, пытающихся ограбить наши дома. Однако мы обнаружили, что они могут – и действительно делают – шпионить за нами. Опасения, что за ними будут наблюдать камеры видеонаблюдения, вызвали обеспокоенность в отношении конфиденциальности среди владельцев и потенциальных владельцев таких устройств. Пользователи стали настолько параноидально смотреть на камеры слежения, что появился стартап на камеру, которая поворачивается лицом к стене, когда вы дома.

Были высказаны опасения по поводу шпионажа, потому что камеры безопасности могут тайно снимать видео, изображения и аудио, которые загружаются в облако. Аудио-возможности наиболее известны, поскольку эти камеры могут записывать разговоры, которые должны быть приватными и конфиденциальными.

Есть также недостаток в способе обработки загруженных данных, потому что один из супругов может использовать их, чтобы шпионить за своей второй половинкой, находясь вдали от дома. Правоохранительные органы также могут приказать поставщику облачных услуг передать записи без вашего согласия.

На данный момент мы поймали Ring, производителя камер безопасности и дверных звонков и дочернюю компанию Amazon, которые шпионили за людьми с помощью своих камер. Ring говорят, что они не шпионят за пользователями, а используют только записанные видео для улучшения распознавания объектов – то, что Amazon говорили об Alexa. Тем не менее, их рецензенты видели частные видео людей, целующихся, крадущих и стреляющих из оружия.

3. Игрушки

Дети часто разговаривают со своими игрушками, как будто они люди, и в процессе могут раскрыть личную информацию. Это постепенно становится проблемой с появлением умных игрушек, оснащённых камерами и микрофонами. Эти камеры и микрофоны иногда отправляют информацию на серверы, которыми управляет производитель игрушек.

Genesis, производитель игрушек в Гонконге и Лос-Анджелесе, был пойман на том, что шпионил за детьми с помощью куклы My Friend Cayla. Кукла транскрибировала разговор с текстом и отправляла его третьим лицам. Любопытно, что когда дети спрашивали игрушку: «Ты умеешь хранить секреты?», она всегда отвечала: «Я обещаю никому не говорить; это только между нами».

Хакеры также могут взломать эти игрушки, чтобы шпионить за детьми, красть фотографии, видео- и аудиозаписи или определять координаты GPS, которые могут выявить местонахождение ребёнка. The Smart Toy Bear от Fisher-Price (дочерняя компания Mattel) также оказался уязвимым для хакеров после того, как исследователи из Университета Индианы обнаружили уязвимость в системе безопасности, которая позволила им получить доступ к камере.

2. Компьютерные мыши

Все знают, что их компьютер шпионит за ними, но большинство людей, похоже, игнорируют шпионские возможности периферийных устройств, таких как клавиатура и мышь. Да, эта безобидно выглядящая мышь может быть использована для того, чтобы следить за вами. Это случилось в Сингапуре.

В 2012 году сообщалось, что сингапурские работодатели шпионили за своими работниками с помощью различных устройств, в том числе калькуляторов, будильников и компьютерных мышей. Мыши-шпионы выглядели и работали как обычные мыши, за исключением того, что они были оснащены микрофонами и встроенной SIM-картой. Работодатель звонит мышке по телефону и начинает запись любого разговора в пределах 10 метров.

1. Умные часы и фитнес-трекеры

Умные часы, фитнес-трекеры и аналогичные умные носимые устройства – это ещё одна категория шпионских гаджетов, которые постепенно появляются. Эти гаджеты настолько умны, что могут использовать несколько источников информации для идентификации владельца. Они также могут определить, идёт ли владелец, бежит или просто садится в машину, поезд или автобус.

Это совсем не удивительно, когда вы понимаете, что эти носимые устройства могут также отслеживать движения рук пользователя, чтобы определить, вводят ли они конфиденциальную информацию, такую как пин-коды или пароли. Носимые устройства могут правильно определить номер или шаблон пин-кода, используемые для разблокировки сотового телефона в 64% случаев, PIN-код банкомата в 87% случаев и пароли от компьютеров в 96% случаев.

Специально для читателей моего блога Muz4in.Net
http://muz4in.net/news/10_veshhej_kotorye_vy_ne_poverite_mogut_shpionit_za_vami_i_delajut_ehto/2019-05-02-48945

запись цифровых сертификатов в микросхемы на этапе производства

Программатор чипов G-Shield: запись цифровых сертификатов в микросхемы на этапе производства

---

27 мая 2019, 11:07

Программатор G-Shield (GPW-01) GlobalSign объявила о технологическом партнёрстве со стартапом Big Good Intelligent Systems, который выпустил продукт под названием G-Shield. Это сервер регистрации плюс программатор чипов для физической записи цифровых сертификатов на микросхемы: Big Good называет такие микросхемы «крипточипами» (HVCA Module / ECDH Crypto Chip). Идея в том, что производитель физически защищает устройства с момента появления, то есть прямо на этапе производства. Платформа G-Shield включает в себя сервер регистрации (Enroll Server) и программатор чипов GPW-01. Он работает автоматически, выполняя задачи, поступающие сервера.

Технические характеристики

• Параллельная работа множества программаторов со взаимным подключением.
• Размер: 310×115×35 мм
• ЖК-экран: 3,5 дюйма, разрешение 320×480 пикселей
• Процессор и память: ARM V8 четырёхъядерный Cortex A53 1,2 ГГц, 1 ГБ SDRAM
• Питание: AC 100 В − 240 В 50/60 ГЦ
• ОС: Linux 3.x
• Порты: четыре порта I2C
• Разъёмы для чипов: четыре

Для обслуживания сертификатов используется платформа IoT Identity Platform от GlobalSign с программными интерфейсами RESTful API. Это гибкая и масштабируемая платформа на инфраструктуре открытых ключей (PKI), способная обрабатывать запросы от миллиардов устройств IoT. Физическая интеграция сертификатов особенно актуальна для устройств Интернета вещей. Big Good собирается внедрять эти крипточипы в собственные устройства для умного дома, но также предлагает крипточипы другим производителям. Первым внедрит систему в свой производственный цикл Realtek Semiconductor — известный производитель микросхем для телекоммуникационного оборудования, компьютерной периферии и мультимедийных приложений. Микросхемы Realtek используются во многих компьютерах, ноутбуках и планшетах: это сетевые контроллеры, микросхемы PHY, контроллеры доступа к сети, контроллеры мультимедийного шлюза, беспроводных LAN, а также кодеки High Definition Audio, контроллеры кард-ридеров, генераторы синхроимпульсов и контроллеров LCD. Сейчас Realtek Semiconductor вместе с Big Good и GlobalSign изучают, как лучше всего интегрировать технологию на конвейер. Физическое внедрение цифровых сертификатов на этапе производства — логичное решение для защиты устройств IoT в условиях, когда злоумышленник способен не только перехватить и подменить трафик, но и получить физический доступ к этим устройствам. Слабая защита IoT — одна из самых больших проблем в индустрии. Достаточно посмотреть новости: Всего этого можно было избежать за счёт грамотной реализации шифрования, в том числе запрограммировав крипточип с цифровым сертификатом на этапе производства. Криптографический модуль HVCA от Big Good со встроенным цифровым сертификатом

Характеристики криптомодуля IoT

• Алгоритмы PKI: ECDSA (FIPS186-3), ECDH (FIPS SP800-56A)
• Стандарт эллиптических кривых NIST P-256
• Алгоритм хеширования SHA-256 с опцией HMAC
• Длина ключа 256 бит
• Хранение до 16 ключей
• Уникальный 72-битный серийный номер
• Встроенный генератор случайных чисел
• 10 КБ EEPROM для хранения ключей, сертификатов и данных
• Опции журналирования, защита от внешнего вмешательства
• Один пин GPIO
• Стандартный интерфейс I2C 1 МГц
• Питание от 2,0V до 5,5V Supply Voltage Range
• Энергопотребление в спящем режиме менее 150 нА

Очевидно, что в защите нуждаются не только гаджеты для умного дома, но и медицинские импланты, промышленные приборы и другие устройства Интернета вещей. Платформа управления цифровыми сертификатами GlobalSign с аппаратной поддержкой крипточипа Big Good поддерживает полный жизненный цикл идентификации устройства, от начальной подготовки сертификатов (которые прошиваются во время производства или локально при деплое) до управления жизненным циклом сертификатов с окончательным завершением их действия, включая вывод из эксплуатации или передачу права собственности. Если у каждого устройства или конечной точки есть уникальный идентификатор, то при выходе в интернет они проходят аутентификацию, а затем на протяжении всей своей жизни доказывают свою целостность и могут безопасно общаться с другими устройствами, службами и пользователями. Служба IoT Edge Enroll предоставляет гибкий и масштабируемый способ развёртывания этой системы и её поддержания с дополнительными функциями, такими как Registration Authority (RA) и расширенная поддержка протоколов. GlobalSign выдаёт сертификаты со скоростью более 3000 в секунду, что является рекордом среди регистрационных центров. Безопасность по дизайну — принцип разработки программного обеспечения, которое с самого начала проектируется так, чтобы обеспечить максимальную безопасность. Этот принцип можно расширить и на разработку оборудования. Таким образом, сегодня цифровые сертификаты используются не только для для защиты веб-сайтов и подписи компьютерных программ, но и для обеспечения аутентичности физических устройств. Прошивка выполняется непосредственно на конвейере производителя микросхем. «По мере развития технологий IoT важно, чтобы безопасность частью дизайна с самого начала, — говорит Роджер Ву, главный исполнительный директор Big Good Intelligent Systems. — Безопасность должна начинаться на уровне компонентов (чипов) и поддерживаться сильной, стабильной и безопасной инфраструктурой PKI на уровне устройств, шлюзов и облаков».

10 устройств, которые, как ни трудно в это поверить, шпионят за вами

Мы живём в антиутопии.

Мы живём в мире продвинутых технологий, где дома и даже автомобили становятся всё более автономными, самостоятельно принимая решения и адаптируясь к условиям.

Но знаете ли вы, что некоторые устройства за нами шпионят? Не только смартфоны и смарт-часы, но даже и пылесосы могут узнавать о нас кое-какую информацию и делиться ею с другими девайсами.

Вот 10 шпионящих устройств, о которых вы не догадывались:

1. Алекса.

Всё больше людей держат дома смарт-колонки — Amazon Echo, Google Home и т. д. Нам кажется, что все разговоры с такими устройствами остаются приватными, но это не вполне так.

Amazon содержит по всему миру тысячи сотрудников, чья основная задача — слушать разговоры и голосовые команды, записанные Алексой, голосовым помощником системы Amazon Echo. Они слушают записи из домов, офисов и общественных мест, затем транскрибируют их, анализируют и используют для «устранения недостатков ПО».

Хотя сами записи анонимны, они привязаны к номеру аккаунта или девайса, так что теоретически пользователя можно вычислить. А ещё сотрудники слышат много странных вещей: пение в душе и даже крики о помощи (!). Политика Amazon запрещает вмешиваться в происходящее.

2. Роботы-пылесосы.

Роботы-пылесосы очень удобны тем, что самостоятельно ездят по дому и собирают пыль. Но и эти полезные устройства могут нарушать нашу конфиденциальность.

Например, Google совместно с iRobot создаёт трёхмерную карту вашего жилища, которой робот потом делится с другими смарт-устройствами. Производители говорят, что эти данные надёжно защищены, но можно ли им доверять?

А китайский робот-пылесос Dongguan Diqee 360 оснащён Wi-Fi и встроенной камерой ночного видения на 360 градусов. Хотя сама компания не собирает никаких данных о жилище пользователя, если хакер взломает такой пылесос, он узнает всю планировку дома.

3. Автомобили.

Большинство современных машин оснащены регистратором — аналогом «чёрного ящика» в самолёте. Это модуль, который постоянно записывает различные параметры работы автомобиля: число оборотов двигателя, скорость машины, процент от полной мощности, торможение, дорожные условия, предпочитаемый маршрут и т. д. Регистратор также записывает последние секунды перед столкновением, чтобы впоследствии производитель мог определить степень вины водителя.

Все эти данные используются автопроизводителями для анализа ДТП и поведения водителей. В случае аварии производители могут предоставить информацию о вашем вождении властям, что будет использовано против вас в суде. По оценкам специалистов, около 64% всех моделей начиная с 2005 года оснащены регистратором.

4. Игрушки.

Многие современные игрушки содержат микрочипы, которые отслеживают поведение пользователя для дальнейшего усовершенствования товара. Но больше всего тревожит то, что некоторые игрушки оснащены блютус-девайсами, которые подключаются к серверу и отправляют туда данные о взаимодействии с пользователем.

Именно так было с говорящей куклой My Friend Cayla, что вызвало скандал в Германии в 2017 году. Производитель утверждал, что держит все собранные данные под контролем, хотя «абсолютную безопасность» гарантировать невозможно. При этом оказалось, что любое блютус-устройство можно подключить к кукле с расстояния до 10 метров и подслушивать пользователя, который с ней играет.

5. Веб-камеры.

Да, веб-камера — очень распространённый способ сбора персональных данных, но зато от неё довольно легко защититься. Заклеивайте веб-камеру кусочком непрозрачного скотча или пластыря, когда она не используется. Так делает, например, бывший директор ФБР Джемс Коми.

Хакеры, получившие доступ к веб-камере, снимают пользователя на видео без его ведома. Эти видео могут потом использоваться для шантажа.

6. Смарт-часы и фитнес-браслеты.

В мае 2018 года Лаборатория Касперского предупредила пользователей об опасности смарт-часов и фитнес-браслетов. По данным российской компании, эти девайсы составляют «поведенческий профиль» пользователя, позволяющий выделить его из миллионов других. Уникальный профиль составляется на основе данных акселерометра и гироскопа.

Если эти данные попадут в руки злоумышленников, они смогут с точностью 80–90% вычислить такую личную информацию, как ПИН-коды, пароли и защитные фразы. Поскольку каждый человек движется индивидуально, по показаниям акселерометра и гироскопа можно вычислить движения пальцев при наборе пароля. Так что носите смарт-часы не на той руке, которой набираете!

7. Зубные щётки.

Многие современные зубные щётки подключаются к мобильным устройствам, чтобы вести учёт ваших гигиенических процедур. Но смарт-щётка Oral B идёт ещё дальше, позволяя вашему стоматологу шпионить за вами!

Новая щётка Oral B Bluetooth 4.0, управляемая приложением, не только следит, чтобы вы как следует чистили зубы, но и отправляет информацию стоматологу. Каждое движение щётки записывается и отправляется дантисту, который в реальном времени даёт вам советы. Жутковато, да?

8. Наушники.

Группа израильских учёных разработала код, который позволяет записывать звук, даже если устройство не оснащено микрофоном. Этот код превращает наушник в микрофон: динамики реагируют на колебания воздуха, преображая их в электромагнитный сигнал.

Этот код, названный SPEAKE(a)R, гарантирует, что даже при выключенном микрофоне разговоры пользователя всё равно можно будет записать.

9. Домашние камеры видеонаблюдения.

Люди устанавливают у себя дома камеры для большей безопасности. Когда вы можете увидеть, что происходит снаружи, не выходя из комнаты, это утешает. Однако доступ к камерам могут получить и хакеры.

Например, в январе в Америке случилась громкая история: хакер взломал систему безопасности Nest и через неё вёл разговоры с ребёнком в доме. Он также мог менять температуру в доме и наблюдать за семьёй несколько месяцев, пока не был раскрыт.

Эксперты советуют использовать двухфакторную аутентификацию, чтобы всякий раз, когда кто-то пытается войти в систему, вам приходило сообщение на телефон или почту.

10. Светодиодные лампы.

Да, технический прогресс дошёл до того, что власти могут подсматривать за нами через обычные светодиодные лампы!

Новая система наблюдения в терминале B международного аэропорта Ньюарк состоит из 171 светодиодной лампы, группы датчиков и восьми видеокамер, которые собирают данные по всему терминалу и отправляют их в специальную программу. Программа анализирует время ожидания в очередях, распознаёт автомобильные номера и даже выявляет подозрительную деятельность. А дирекция аэропорта может использовать эту информацию для профилактики преступности и даже передавать её властям.

А вы пользуетесь какими-нибудь смарт-устройствами?

недостатков умных пылесосов Diqee 360 ​​позволяют хакерам шпионить за их владельцами

Исследователи безопасности из Positive Technologies опубликовали подробности о двух уязвимостях, затрагивающих умные пылесосы Dongguan Diqee 360.

Две уязвимости позволяют злоумышленнику запустить вредоносный код на устройстве с правами суперпользователя и эффективно захватить вакуум.

«Как и любое другое устройство IoT, эти роботы-пылесосы могут быть объединены в бот-сеть для DDoS-атак», — сказала Ли-Энн Галлоуэй, руководитель направления устойчивости к кибербезопасности в Positive Technologies.

«Но это даже не худший сценарий, по крайней мере, для владельцев», — добавляет она. «Поскольку в пылесосе есть Wi-Fi, веб-камера с ночным видением и навигация, управляемая смартфоном, злоумышленник может тайно шпионить за владельцем».

Технические подробности опубликованы сегодня

Две уязвимости: CVE-2018-10987 и CVE-2018-10988. Первый можно эксплуатировать удаленно, а второму нужен физический доступ к устройству.

Первую ошибку может использовать только аутентифицированный злоумышленник, но Positive Technologies сообщает, что все устройства Diqee 360 ​​поставляются с паролем по умолчанию 888888 для учетной записи администратора, который меняют очень немногие пользователи и который злоумышленники могут включить в свою цепочку эксплойтов.

Злоумышленник, прошедший проверку подлинности, может отправить специально созданный UDP-пакет и выполнять команды на пылесосе от имени пользователя root. Ошибка в функции REQUEST_SET_WIFIPASSWD (UDP-команда 153). Созданный UDP-пакет запускает «/mnt/skyeye/mode_switch.sh %s», а злоумышленник контролирует переменную %s.

Вторая уязвимость, требующая физического доступа, может быть использована для замены прошивки устройства вредоносной версией и требует только установки карты microSD в пылесос.

Процесс обновления прошивки, встроенный в прошивку, запускается при загрузке и пытается найти папку обновления на карте microSD. Он выполняет код без цифровой подписи от имени пользователя root по пути /mnt/sdcard/$PRO_NAME/upgrade.sh или /sdcard/upgrage_360/upgrade.sh.

Обнаружение двух уязвимостей принадлежит исследователям Positive Tehcnologies Леониду Кролле и Георгию Зайцеву.

Positive Technologies предупреждает, что эти две уязвимости могут затронуть и другие устройства Dongguan, использующие тот же уязвимый код.Это могут быть видеорегистраторы, камеры наблюдения и умные дверные звонки, продаваемые одной и той же компанией.

Нет информации о патчах

«Positive Technologies следовала практике ответственного раскрытия информации и предупредила компанию об этих уязвимостях, что дало время для исправления недостатков», — сообщил сегодня представитель Bleeping Computer в электронном письме.

«Positive Technologies также официально представила информацию об уязвимостях (см. CVE-2018-10987 и CVE-2018-10987) и обсудила результаты на своем форуме безопасности PHDays в мае 2018 года», — добавил представитель.«У Positive Technologies нет информации о том, устранены ли уязвимости на сегодняшний день».

Представитель Dongguan не ответил на запрос о комментариях до публикации этой статьи относительно наличия каких-либо исправлений.

Это уже второй раз, когда исследователи безопасности обнаруживают ошибку в микропрограмме интеллектуального пылесоса, которая позволяет злоумышленнику завладеть устройством и шпионить за его владельцем. Исследователи Check Point обнаружили аналогичную ошибку, затрагивающую умную бытовую технику LG.В видео, опубликованном в прошлом году, Check Point продемонстрировала ошибку и показала, как они использовали ее, чтобы захватить умный пылесос с камерой и шпионить за его владельцем.

Эксперты выявили опасные недостатки в роботизированных умных пылесосах Dongguan Diqee 360Вопросы безопасности

Компания Positive Technologies обнаружила две уязвимости, затрагивающие умные пылесосы Dongguan Diqee 360, которые можно использовать для видеонаблюдения.

Исследователи безопасности из Positive Technologies обнаружили две уязвимости в интеллектуальных пылесосах Dongguan Diqee 360, которые злоумышленник может использовать для запуска вредоносного кода на устройстве с правами суперпользователя.

Недостатки, вероятно, затрагивают умные пылесосы, производимые компанией, а также продаваемые под другими брендами. Эксперты полагают, что проблема может затронуть и другие устройства Dongguan, включая видеорегистраторы, камеры наблюдения и умные дверные звонки.

«Как и любое другое устройство IoT, эти роботы-пылесосы могут быть собраны в ботнет для DDoS-атак, но это даже не самый худший сценарий, по крайней мере, для владельцев. Поскольку в пылесосе есть Wi-Fi, веб-камера с ночным видением и навигация, управляемая смартфоном, злоумышленник может тайно шпионить за владельцем», — говорится в сообщении, опубликованном Positive Technologies.

Две уязвимости были отслежены как CVE-2018-10987 и CVE-2018-10988, первая может быть использована удаленным злоумышленником, а второй требуется физический доступ к устройству.

Первую ошибку может использовать только аутентифицированный злоумышленник, но Positive Technologies сообщает, что все устройства Diqee 360 ​​поставляются с паролем по умолчанию 888888 для учетной записи администратора, который меняют очень немногие пользователи и который злоумышленники могут включить в свою цепочку эксплойтов.

После того, как аутентифицированный злоумышленник обнаружит вакуум в сети, получив его MAC-адрес, он отправит специально созданный пакет UDP и выполнит команды на

пылесос как root.Ошибка заключалась в функции REQUEST_SET_WIFIPASSWD (UDP-команда 153).

«Злоумышленник может обнаружить пылесос в сети, получив его MAC-адрес и отправив UDP-запрос, который, , если создан определенным образом, приводит к выполнению команды с правами суперпользователя на пылесосе». читает отчет, опубликованный экспертами.

«Уязвимость находится в функции REQUEST_SET_WIFIPASSWD (команда UDP 153). Чтобы добиться успеха, злоумышленник должен пройти аутентификацию на устройстве, что упрощается тем фактом, что многие затронутые устройства имеют комбинацию имени пользователя и пароля по умолчанию (admin:888888).

Для второй уязвимости требуется физический доступ. Злоумышленник может использовать ее для загрузки зараженной версии прошивки, вставив карту microSD в пылесос.

«Карта microSD может использоваться для использования уязвимостей в механизме обновления пылесоса. После установки карты система вакуумного обновления запускает файлы прошивки из папки upgrade_360 с правами суперпользователя, без проверки цифровой подписи. Поэтому хакер мог создать специальный скрипт, поместить его на карту microSD в папку upgrade_360, вставить эту карту и перезапустить пылесос.Этот скрипт может запускать произвольный код, например сниффер, для перехвата личных данных, отправляемых по Wi-Fi другими устройствами». говорится в сообщении.

Positive Technologies ответственно сообщила компании о недостатках умных пылесосов, дав ей время для устранения уязвимостей, к сожалению, у нее нет никакой информации о том, были ли уязвимости устранены на сегодняшний день

Пьерлуиджи Паганини

( Securi ти Дела  – Умные пылесосы, взлом)

---

Поделиться

Хакеры могли использовать недостатки в умных пылесосах Diqee 360, чтобы шпионить за владельцами | Предупреждения Cyware

• Две уязвимости отслеживаются как CVE-2018-10987 и CVE-2018-10988.
• Недостатки могут позволить злоумышленникам подслушивать, осуществлять видеонаблюдение и красть личные данные жертв.

Исследователи безопасности обнаружили уязвимости в подключенном пылесосе, которые могут позволить злоумышленникам подслушивать, вести видеонаблюдение и даже красть личные данные жертв.

По словам исследователей Positive Technologies, в пылесосах Dongguan Diqee 360 ​​были обнаружены две уязвимости — CVE-2018-10987 и CVE-2018-10988.Эти конкретные роботы-пылесосы оснащены множеством интересных функций, включая бортовую камеру, ночное видение, управление навигацией со смартфона и возможности Wi-Fi.

Как и большинство других устройств IoT, эти пылесосы потенциально могут быть захвачены и вовлечены в ботнет для DDoS-атак. Однако хакеры могут использовать многочисленные функции подключенного пылесоса, чтобы тайно шпионить за его владельцем.

Критические недостатки

Первая ошибка (CVE-2018-10987) представляет собой уязвимость удаленного выполнения кода, которая находится в функции REQUEST_SET_WIFIPASSWD (команда UDP 153) устройства.

«Злоумышленник может обнаружить пылесос в сети, получив его MAC-адрес, и отправить UDP-запрос, который при определенной обработке приводит к выполнению команды с правами суперпользователя на пылесосе», — пишут исследователи Positive Technologies. в сообщении в блоге.

Хакерам потребуется физический доступ к устройству, чтобы воспользоваться второй уязвимостью — CVE-2018-10988. Недостаток можно использовать, заменив прошивку устройства на вредоносную версию, вставив в вакуум microSD.Злоумышленник может использовать этот эксплойт для кражи незашифрованных данных, таких как фотографии, видео, электронные письма и другие данные, отправленные с других устройств в той же сети Wi-Fi, к которой подключен пылесос.

«После того, как карта вставлена, система вакуумного обновления запускает файлы прошивки из папки upgrade_360 с правами суперпользователя, без какой-либо проверки цифровой подписи», — заявили исследователи. «Поэтому хакер мог создать специальный скрипт, поместить его на карту microSD в папку upgrade_360, вставить эту карту и перезапустить пылесос.Этот скрипт может запускать произвольный код, например сниффер, для перехвата личных данных, отправляемых по Wi-Fi другими устройствами».

Безопасность IoT

Исследователи Positive Technologies уведомили китайского поставщика Dongguan Diqee об этих уязвимостях 15 марта 2018 года. Однако до сих пор неясно, были ли уязвимости устранены на сегодняшний день.

Исследователи также отметили, что эти уязвимости могут затронуть и другие устройства IoT, такие как камеры наружного наблюдения, видеорегистраторы и умные дверные звонки.

Уязвимость пылесоса может означать, что ваша подделка Roomba захватывает наблюдение – TechCrunch

Еще раз нам напоминают, что легкие удобства умного дома — это хорошо, пока кто-то не решит повернуть против вас одну из тех вещей, подключенных к Wi-Fi, которые вы пригласили.

Но вы, наверное, не думали, что это будет вакуум, не так ли?

Два исследователя из компании Positive Technologies, занимающейся корпоративной безопасностью, обнаружили уязвимости, затрагивающие линейку роботов-пылесосов Dongguan Diqee 360, и поделились подробностями об уязвимости в системе безопасности.Пылесосы, произведенные китайским производителем умных домов Diqee, оснащены Wi-Fi и 360-градусной камерой для режима, известного как «динамический мониторинг», который превращает пылесос в устройство домашнего наблюдения. Камера, вероятно, то, о чем вам нужно беспокоиться.

Уязвимость удаленного кода, известная как CVE-2018-10987, может дать злоумышленнику, который получает права системного администратора MAC-адреса устройства. Согласно отчету, уязвимость содержится в функции REQUEST_SET_WIFIPASSWD, и для ее использования требуется аутентификация, хотя обычно используется комбинация имени пользователя и пароля по умолчанию (admin/888888).

Исследователи подозревают, что уязвимость в модели робота-пылесоса Dongguan Diqee 360 ​​может повлиять на другие продукты, использующие видеомодуль, включая видеокамеры наружного наблюдения, умные дверные звонки и видеорегистраторы. Diqee также производит пылесосы, продаваемые под другими брендами, и исследователи подозревают, что эти устройства также подвержены уязвимости.

Positive Technologies отметила вторую уязвимость, известную как CVE-2018-10988, также затрагивающую модель пылесоса, хотя для взлома машины требуется физический доступ через слот для SD-карты.

Пылесос оснащен крышкой для защиты конфиденциальности — физическим барьером для камеры, который, по словам производителя, «устраняет утечку конфиденциальности из оборудования». Positive Technologies проинформировала производителя об уязвимости, хотя информации о патче пока нет. TechCrunch обратился к Diqee по поводу уязвимости, но на момент написания статьи не получил ответа.

«Как и любое другое устройство IoT, эти роботы-пылесосы могут быть объединены в ботнет для DDoS-атак, но это даже не самый худший сценарий, по крайней мере, для владельцев», — сказала руководитель отдела кибербезопасности Positive Technologies Ли-Энн Галлоуэй.

«Поскольку у пылесоса есть Wi-Fi, веб-камера с ночным видением и навигация, управляемая смартфоном, злоумышленник может тайно шпионить за владельцем и даже использовать пылесос в качестве «микрофона на колесах» для максимального потенциала наблюдения».

Исследователи сообщают о двух ошибках выполнения кода в роботах-пылесосах Diqee

Мы уже знаем, что роботы-пылесосы, как правило, с трудом убирают собачьи экскременты, но иногда им также нужно лучше справляться с очисткой своего кода.

Показательный пример: сегодня исследователи из компании Positive Technologies сообщили об обнаружении двух ошибок выполнения кода в роботах-пылесосах Dongguan Diqee 360 ​​производства китайской Diqee Intelligent (Henan) Corp., Ltd. фотографии домов пользователей и отправлять уведомления на их телефоны, как сообщается, могут быть перехвачены для осуществления видеонаблюдения, а также кражи данных и прослушивания аудио.

Обнаруженная специалистами Леонидом Кролле и Георгием Зайцевым, первая уязвимость (CVE-2018-10987) делает возможным удаленное выполнение кода, а вторая (CVE-2018-10988) позволяет выполнять произвольный код при физическом доступе к устройству.Другие интеллектуальные пылесосы, производимые Diqee, но продаваемые под другими торговыми марками, вероятно, также затронуты, как и другие устройства Интернета вещей, которые используют те же видеомодули, что и пылесосы Dongguan Diqee 360, включая камеры наружного наблюдения, цифровые видеорегистраторы и интеллектуальные дверные звонки.

«Как и любое другое устройство IoT, эти роботы-пылесосы могут быть объединены в ботнет для DDoS-атак, но это даже не самый худший сценарий, по крайней мере, для владельцев», — сказала Ли-Энн Галлоуэй, руководитель отдела кибербезопасности в Positive. Технологии, в пресс-релизе.«Поскольку у пылесоса есть Wi-Fi, веб-камера с ночным видением и навигация, управляемая смартфоном, злоумышленник может тайно шпионить за владельцем и даже использовать пылесос в качестве «микрофона на колесах» для максимального потенциала наблюдения».

CVE-2018-10987, как сообщается, существует в функции REQUEST_SET_WIFIPASSWD пылесоса (UDP-команда 153). «Атакующий может обнаружить пылесос в сети, получив его MAC-адрес и отправив запрос UDP, который, если он будет создан определенным образом, приводит к выполнению команды с правами суперпользователя на пылесосе», — говорится в пресс-релизе.Хотя актер сначала должен пройти аутентификацию, это не обязательно представляет собой сложную задачу, потому что некоторые владельцы устройств никогда не утруждают себя изменением своих стандартных комбинаций имен пользователей и паролей.

Тем временем злоумышленники могут использовать CVE-2018-1098, используя карту microSD, которая была саботирована с помощью вредоносного скрипта, помещенного в папку upgrade_360. Когда карта вставлена, механизму обновления пылесоса не удается выполнить проверку цифровой подписи при доступе к папке upgrade_360 для выполнения обновления прошивки с правами суперпользователя.Когда пылесос перезагружается, скрипт может выполнять свой произвольный код, «например, сниффер для перехвата личных данных, отправляемых по Wi-Fi другими устройствами», — говорится в отчете.

Представитель Positive Technologies сообщил SC Media, что компания «следовала практике ответственного раскрытия информации, предупредив [Diqee] 15 марта 2018 года. , 2018. У Positive Technologies нет информации о том, устранены ли уязвимости на сегодняшний день.»

В ответ на просьбу о комментарии компания Diqee Intelligent (Henan) Corp., Ltd. отправила SC Media ответ по электронной почте, отметив, что первую уязвимость можно устранить, устранив проблему с именем пользователя и паролем по умолчанию, и добавив, что пользователи «могут привязать устройство как только они его получат и изменят пароль сразу после завершения привязки и предотвратят прослушивание другими с именем пользователя и паролем по умолчанию. После модификации имя пользователя и пароль по умолчанию не действуют». Diquee также утверждает, что проблема с обновлением прошивки карты microSD была решена «путем усиления механизма безопасности.»

18-642 Защита домашних заданий #1

18-642 Безопасность домашних заданий #1

Домашнее задание: темы безопасности #1

Исследуйте и создайте репортаж об инциденте безопасности, безопасности уязвимость или другая подобная проблема в соответствии с назначенной темой. То Требования к формату сдачи немного отличаются для этого задания, поэтому пожалуйста, обратите пристальное внимание! Большинство студентов должны ожидать, что расходы будут в пределах От 30 минут до 2 часов на это задание, причем больше времени в основном потому, что вы найти тему достаточно интересной, чтобы ее стоило изучить более подробно.

• Вычислите случайное число на основе вашего имени по модулю 50 с помощью Wolfram Alpha. Это номер вашей темы
  • Используйте эту формулу со своим именем вместо имени инструктора: ((хэш[«ФилипКООПМАН»] по модулю 50)+1)
  • Подсказка: нажмите на эту ссылку,
    https://www. wolframalpha.com/input/?i=%28%28hash%5B%22PhilipKOOPMAN%22%5D+modulo+50%29%2B1%29
    изменить на свое имя, затем нажмите «ввод». Посмотрите на «Результат», чтобы получить число.
  • Это предназначено для генерации псевдослучайного числа в диапазоне: [1..50] (первые 50 пунктов в списке ниже). Преднамеренно, что остальные список исключен в этом домашнем задании.

Описание, за исключением любых ссылок/цитирований, должно охватывать следующее элементов и помещаются на ОДИН широкоформатный (соотношение сторон 16:9) слайд:

• Номер истории и название из списка (например, «#3 США Атака колониального трубопровода (2021 г.)») в качестве заголовка слайда
.
• Резюме выпуска безопасности с иллюстрацией (т.е.г., из новостной или аналитической статьи)/ Пара пунктов списка подойдет, если вы тесно в пространстве. Какой здесь заголовок? Вырезанный заголовок новости и пара абзацев новостей или другого текста — это нормально, если они выполняют свою работу. Вы уже много раз видели, как это делается на наших классных лекциях. Просто положите достаточно там, где вы можете вспомнить, что это за история, когда потребуется.
• Требование безопасности: какое требование безопасности проблема нарушается для этой системы? (Это секретность? Конфиденциальность? Конфиденциальность? конкретный.)
• Угроза: какой тип угрозы наиболее характерен для ситуации (субъект угрозы и мотивация)?
• Уязвимость: Что такое уязвимость системы и как она напали? (Это может быть техническим; это может быть просто человек/социальная инженерия)
• Способ устранения: Как проблема была устранена (или как ее можно было смягчен?)
• Стоимость: какова была стоимость, количество затронутых систем или другое последствия нападения в целом?
• Поместите свое имя и идентификатор Эндрю где-нибудь внизу слайда, чтобы мы могли держите их прямо.ТАКЖЕ, поместите НОМЕР темы безопасности в заголовок слайда или текстовое поле в верхней части слайда, чтобы мы могли организовать презентации по номеру темы.

Вы должны запланировать представить свою тему примерно через 1-2 МИНУТЫ в классе. Да, это довольно быстро, но позволит нам пройти все темы за один раз. собрание класса. Это означает, что вы должны отрепетировать презентация, которая должна следовать схеме, приведенной выше для содержания слайдов.Если вы хотите иметь письменные заметки для работы, это прекрасно.

При желании вы можете получить второй слайд с более подробными ссылками и любыми Дополнительные замечания. Однако в классе будет показан только слайд FIRST . Все, что вы хотите показать на уроке, ДОЛЖНО уместиться на одном слайде! Все студенты будет представлять это домашнее задание в классе, и вы сможете говорить только с ваш основной слайд.

Формат сдачи ДОЛЖЕН быть в формате Adobe Acrobat (.pdf) в формате ИЗОБРАЖЕНИЕ СЛАЙДА (не документ в стиле Microsoft Word; не силовая установка). «Изображение слайда» означает соотношение сторон 16×9 с крупным шрифтом. разборчиво в классе при проецировании на полный экран. В идеале только один одиночный слайд. Дополнительный второй слайд может быть включен. Это означает отсутствие отдельного именной слайд, никаких содержательных презентаций из нескольких слайдов и анимации. Это ДОЛЖЕН быть в Acrobat, чтобы инструктор мог поместить все презентации в один файл перед уроком, чтобы не тратить время на открытие нового файла для каждого презентация.Убедитесь, что файл Acrobat обрезан так, чтобы изображение существенно заполняет всю страницу. (Если вокруг слайда большие поля, никто не сможет прочитать его на экране). Например, акробат формат веб-версии слайдов курса для этого курса — это то, что мы после. Обязательно вставьте шрифты , чтобы они отображались правильно.

Темы : выберите тему, соответствующую вашему номеру посещаемости. Если ваш номер посещаемости выше, чем самый высокий номер темы, сделайте соответствующее модульная арифметика для перехода к определенному номеру темы.

1. Подмена GPS (много лет; выберите пример)
2. Вредоносное ПО для торговых точек (много лет; выберите пример; часто обозначается аббревиатурой «ПОС»)
3. Атака на колониальный трубопровод США (2021 г.)
4. Камеры видеонаблюдения ADT в Техасе (2021)
5. СЦЕНАРИЙ SRC=HTTPS :/ / MJT . XSS . ХТ ООО (2021)
6. Пароль по умолчанию для радиологических устройств GE (2020)
7. Секретный ключ обновления прошивки ЦП Intel (2020)
8. Дверной замок Ultraloq (2020)
9. Видеодомофоны Consumer Reports (2020 г.) (можно выбрать один или указать общий резюме)
10. Теми Роботы (2020)
11. Джекпоттинг банкомата (Diebold Nixdorf PRocash 2050xe) (2020)
12. Робот-пылесос Dongguan Diqee 360 ​​(2020)
13. Программа-вымогатель Minuteman III Maze (2020 г.)
14. Подмена TCAS (2020)
15. Умные лампочки Philips Hue (2020)
16. Умный замок август про (2020)
17. Служба поддержки Medtronic (2020)
18. Apex Legends в аэропорту PDX (2020)
19. Программа-вымогатель Ring Camera (2019, 2020)
20. Мошенничество с генеральным директором с голосовым дипфейком (2019)
21. GPS-трекеры на 600 000 (2019 г. )
22. Смарт-концентратор ZipaMicro Z-Wave (2019 г.)
23. Дистанционное управление автомобильными аксессуарами Blue Link (2019)
24. Инсулиновые помпы Medtronic (2019 г.)
25. Брелок Ford F-150 (2019)
26. GPS-слежение iTrack/ProTrack (2019 г.)
27. Техасская сирена торнадо (2019)
28. Скутер Xiaomi M365 (2019)
29. Считыватель Miura M010 (2018)
30. Фитнес-приложение Strava/военные (2018)
31. Вредоносная программа Triton/атака Schneider Triconex (2018 г.)
32. Ключевая технология Amazon (2018 г.)
33. Скиммер для кредитных карт магазина Aldi (2018)
34. Останов завода по производству микросхем TSMC (2018 г.)
35. Робот-пылесос Diqee (2018)
36. Пароли Satcom при коммерческих перевозках (PTP) (2018 г.)
37. Отводной замок (2018)
38. Электронные замки VingCard (2018)
39. Отчет о безопасности BMW (Keen Secuirty) (2018)
40. Volkswagen Harman MIB атака (2018)
41. Трекеры для домашних животных (Касперский) (2018)
42. Взлом карт POS-терминалов (Kaspersky) (2018)
43. Светофор I-SIG (2018)
44. CalAmp/автомобили (2018)
45. Термометр для аквариума/взлом казино (2018)
46. Гитарный усилитель Fender (2018)
47. Dell EMC VMAX (2018 г. )
48. Смарт-камера Hanwha (2018)
49. Апельсиновый червь/медицинское оборудование (2018)
50. Вредоносное ПО для банкоматов Prilex (2018 г.)
51. Аадхар (2018)
52. Школьное видеонаблюдение в Великобритании (2018)
53. ПЛК MicroLogix (2018 г.)
54. Программное обеспечение для обработки изображений Philips (2018 г.)
55. Мошенничество с бензоколонками / Россия (2018)
56. Разблокировка iPhone силами ФБР (2017/2018)
57. Умные ручки для больниц (2017 г.)
58. Управление отоплением в школах Великобритании (2017 г.)
59. Принтер Lexmark неправильно настроен (2017 г.)
60. Замки для бесключевого доступа AMAG (2017)
61. Ферби (2017)
62. Сейф для пистолета Vaultek VT20i (2017 г.)
63. Телефоны Oneplus (2017)
64. Блок реле Mercedes (безключевой доступ) (2017)
65. LogicLocker (2017)
66. Алекс взломщик казино (2017)
67. Программа-вымогатель Romantik Seehotel (2017 г. )
68. LG SmartThinQ (2017)
69. Мантистек ГК2 (2017)
70. NHS WannaCry (2017)
71. Паритетный кошелек Ethereum (2017)
72. Брикербот (2017)
73. Телевизор Самсунг (2017)
74. Визео ACR (2017)
75. Боинг 757 (2017)
76. Сокрытие взлома Uber (2017)
77. Плюшевый мишка Cloudpets (2017)
78. Круг с Диснеем (2017)
79. Шприцевой инфузионный насос Smiths Medical (2017 г.)
80. Фитбит (2017)
81. Умные замки LockState (2017)
82. Камеры Hikvision (2017)
83. Брелок для ключей Subaru (2017)
84. Механизм управления Intel (2017 г.)
85. Эквифакс (2017)
86. Рекламные объявления (2016)
87. Взлом машины для голосования (Эндрю Аппель) (2016)
88. Неистовый шкафчик на смарт-телевизорах (2016 г.)
89. Тарифная система МУНИ (2016)
90. Атака Мирай (2016)
91. Атака в Лаппеенранте (2016)
92. Радионяня Owlet (2016)
93. Левин SQL-инъекция (2016)
94. Привет Кукла Барби (2015)
95. Взлом VTech (2015)
96. Ключ прогрессивного моментального снимка (2015 г. )
97. Взлом умного холодильника Samsung (2015)
98. Кулачки Martel (2015)
99. XCodeGhost (2015)
100. Термостат Nest (2014)
101. Веб-камера Trendnet (2013 г.)
102. Туалет Satis (2013)
103. Классический Mifare (2008 г.)
104. Килок (2007)
105. Взрыв Сибирского газопровода (1982 г.)

Подсказка: вам должно быть легко найти материал, если вы введете фразу для тему и добавьте одно или несколько слов: {взлом, атака, уязвимость} к начать поиск ссылок.Как всегда, Википедия может быть хорошей отправной точкой. точка, но мы хотели бы видеть, что вы берете свой материал из основного источника, если вообще возможно. Новости и авторитетные источники онлайн-репортажей в порядке и часто единственный реальный источник, но используйте самый надежный источник, который вы можете найти за несколько минут поиска. Использование нескольких источников допустимо, если правильно процитировано. Если вы хотите использовать второй слайд ТОЛЬКО для источников, Хорошо, но оставьте саму презентацию на одном слайде.

РУБРИК:

• ДОЛЖЕН БЫТЬ В ФОРМАТЕ ACROBAT. Это 100% жесткий требование.
• Один слайд с
  • Номер темы и название темы вверху слайда
  • Сводные пули
  • Иллюстрация/изображение/фото/и т. д.
  • Нарушено требование безопасности
  • Угроза
  • Уязвимость
  • Смягчение последствий
  • Стоимость
• Ссылки (можно разместить на втором слайде, если необходимо)

---

Дополнительное чтение:

Selected Дополнительные элементы (многие другие не включены в список, см. также примеры на слайдах курса):

Если вы застряли, многие записи в списке являются частью Зала Интернета вещей Стыд.Там НАМНОГО слишком много историй, чтобы мы могли охватить их все. Что такое проблема… https://codecurmudgeon.com/wp/iot-hall-shame/

---

Уязвимые пылесосы IoT и видеорегистраторы подвергают дома риску

Интернет вещей (IoT) столкнулся с рядом уязвимостей на нескольких устройствах, последней из которых являются новые уязвимости в роботах-пылесосах Dongguan Diqee 360, которые могут позволить киберпреступникам подслушивать, вести видеонаблюдение и воровать личные данные, согласно Positive Technologies.

Исследователи Леонид Кролле и Георгий Зайцев обнаружили проблемы безопасности Dongguan Diqee 360, обнаруженные в пылесосах, которые, скорее всего, касаются не только производимых компанией, но и тех, которые продаются под другими торговыми марками. Устройства, затронутые уязвимостью CVE-2018-10987, подвергаются риску удаленного выполнения кода с проверкой подлинности, что потенциально позволяет злоумышленнику отправить пакет протокола дейтаграмм пользователя (UDP), позволяющий ему выполнять команды на пылесосе от имени пользователя root.

Вторая уязвимость, CVE-2018-10988, связана с картой microSD, которая, как сообщается, может использоваться для использования уязвимостей в механизме обновления пылесоса.Исследователи заявили, что эти уязвимости могут затронуть и другие устройства IoT, использующие те же видеомодули, что и пылесосы Dongguan Diqee 360. К таким устройствам относятся камеры наружного наблюдения, видеорегистраторы и умные дверные звонки.

Тот факт, что злоумышленник, прошедший проверку подлинности, может получить доступ к устройству, сам по себе не является серьезной проблемой. «Разница в том, что этот пылесос не просто бродит по дому, убирая», — сказал Йотам Гутман, вице-президент по маркетингу SecuriThings. «Он также служит мобильным ботом для наблюдения как днем, так и ночью.Представьте, что кто-то может получить доступ к устройству и посмотреть видеопоток, даже если владельцы этого не заметят. Хуже того — кто-то может запрограммировать маршрут устройства, чтобы оно объезжало дом, снимая внутреннюю часть, что очень похоже на то, что делают разведывательные дроны в «Звездных войнах» или других научно-фантастических фильмах».

«Это еще один инцидент/уязвимость, который демонстрирует, насколько доступны для взлома дешевые подключенные устройства. Покупатели вакуумных роботов должны серьезно подумать, хотят ли они, чтобы их милый маленький помощник, похожий на R2-D2, обладал разведывательными возможностями.

В связанных новостях снова всплыла еще одна уязвимость (CVE-2013-6117), несмотря на то, что ей почти пять лет. Сообщается, что пароли для входа в десятки тысяч DVR-устройств Dahua были кэшированы и проиндексированы в результатах поиска, возвращаемых поисковой системой IoT ZoomEye.