Cyber Week – კვირის მნიშვნელოვანი მოვლენები 22-28 ივნისი

ჰაკერებმა ინდოეთის ეროვნული ავიახაზებიდან საჰაერო მილები მიიტაცეს

ჰაკერებმა ინდოეთის ეროვნული ავიახაზები გატეხეს და მიიტაცეს $24,000 დოლარის ღირებულების ბონუს ქულები. როგორც გამოიძიება იტყობინება, გატეხილია მომხმარებელთა არანაკლებ 20 ექაუნთი. არსებობს ეჭვი, რომ საქმეში გარეულია ავიახაზების თანამშრომელი, რომელიც იცნობს ინდოეთის ავიახაზების სისტემას. ადმინისტრაციამ ყველა გატეხილი ექაუნთი დაბლოკა. უსაფრთხოების მიზნით ასევე დაიბლოკა ყველა ექაუნთი, რომელიც არ ყოფილა აქტიური ბოლო სამი თვის განმავლობაში მინიმუმ ერთხელ მაინც.

https://hacked.com/hackers-steal-air-miles-indias-national-airline/

ამერიკის საბაჟოს სურს საზღვარზე გადამსვლელთა სოციალური მედია ექაუნთების სახელები იცოდეს

ამერიკის საბაჟომ წამოაყენა მოთხოვნა, რომ მოგზაურთა ავტორიზაციის ელექტრონულ სისტემაში შესავსებ ფორმაში შევიდეს ცვლილება და დაემატოს ველი: „გთხოვთ შეიყვანოთ თქვენი სოციალური მედია ექაუნთის პლატფორმა და ამ პლატფორმაში თქვენი საიდენტიფიკაციო სახელი და გვარი“. ამ მოთხოვნაზე შესაბამის უწყებებს კომენტარის გაკეთება 60 დღის განმავლობაში შეეძლებათ. გასაგებია, რომ ეროვნული უსაფრთხოების სისტემაში შემავალ ამერიკის საბაჟოს სურს ტურისტებზე მაქსიმალური ინფორმაციის მიღება უსაფრთხოების უზრუნველსაყოფად, მაგრამ აქ ჩნდება კითხვა: განა რა დაუშლის ბოროტი განზრახვის მქონე ტურისტს შექმნას ყალბი პროფილი?

https://www.helpnetsecurity.com/2016/06/27/us-customs-social-media-account-names/

Google Chrome-ის DRM სისუსტე დაცული ვიდეოების ჩამოტვირთვის საშუალებას იძლევა

უსაფრთხოების სპეციალისტებმა Google Chrome-ში აღმოაჩინეს სისუსტე, რომელიც საშუალებას იძლევა ჩამოვტვირთოთ დაცული ვიდეოები, მაგალითად როგორიცაა Netflix და Amazon Prime ვიდეოები. სისუსტე არსებობს Widevine-ის ციფრული უფლებების მართვის სისტემაში (DRM) – დეშიფრაციის პროცესში დაშვებულია შეცდომა. სისტემა გასაღებთა ურთიერთგაცვლისთვის იყენებს EME-ს, ხოლო დეშიფრაციისთვის CDM-ს. აღმოჩნდა, რომ როდესაც CDM მოახდენს ვიდეო სტრიმის დეშიფრაციას, სანამ ის ბრაუზერში გაეშვებოდეს, შესაძლებელია მისი ჩამოტვირთვა. სისუსტის შესახებ გუგლს ჯერ კიდევ 24 მაისს შეატყობინეს, თუმცა პატჩი ჯერაც არ გამოსულა.

http://arstechnica.com/security/2016/06/chrome-drm-download-netflix-piracy/

FBI-ს ეჭვმიტანილის კომპიუტერის დაჰაკვისთვის სასამართლოს ნებართვა აღარ დასჭირდება

ამერიკის სასამართლოში მიღებული გადაწყვეტილებით, FBI-ს ეჭვმიტანილის კომპიუტერში მონაცემების ძებნისთვის და ამოღებისთვის სასამართლოს ნებართვა არ სჭირდება. მოსამართლის თქმით, ვინაიდან პროკურატურას არ სჭირდება ნებართვა ეჭვმიტანილის IP მისამართის მიღებაზე, მაშასადამე არც მისი კომპიუტერიდან ინფორმაციის ამოღებაზე არ სჭირდება. ინტერნეტში ყოფნისას მომხმარებლის უსაფრთხოების მოლოდინი უსაფუძვლოა, მათ შორის თუნდაც Tor ქსელის გამოყენებისას, შესაბამისად ხელისუფლებას უფლება აქვს ნებართვის გარეშე გამოიყენოს ე.წ. „ქსელში ძიების ტექნიკა“. მოსამართლის თქმით, მომხმარებელს ასეთი მოლოდინი არც კომპიუტერზე არ უნდა გააჩნდეს. ეს კი მარტივად იმას ნიშნავს, რომ FBI-ს უფლება ექნება, მომხმარებლების კომპიუტერიდან ამოიღოს ნებისმიერი ინფორმაცია, ყველანაირი ნებართვის გარეშე.

www.helpnetsecurity.com/2016/06/24/fbi-doesnt-need-warrant-hack/

შესაძლებელი გახდა ინფორმაციის ამოღება კომპიუტერებიდან ქულერის სიჩქარის მოდულირების მეშვეობით

ბენ-გურიონის უნივერსიტეტში ბოლო რამდენიმე წელია სპეციალისტები მუშაობენ არასტანდარტული გზებით კომპიუტერებიდან ინფორმაციის მიღებაზე. ასე მაგალითად, შემუშავებულ იქნა სისტემები ინფორმაციის მიღებისთვის რადიო სიხშირეების, სითბოს და GSM სიხშირეების გამოყენებით. ახლა კი უკვე ინფორმაციის მიღება შესაძლებელია კომპიუტერზე დაყენებული გამაგრილებელი ფანების მოდულირების მეშვეობით. ამ შეტევას „ფანსმიტერი“ (Fansmitter) ეწოდა. ეს მეთოდი ახდენს გამოცემული ხმის უტილიზაციას და ფანების სიჩქარის რეგულირებას რათა მოხდეს აკუსტიკური ტალღების წინასწარ განსაზღვრული სიხშირეებით გადაცემა. ასეთი სახით გადაცემულ აუდიო ჩანაწერს იღებს დაშორებულად მყოფი მოწყობილობა, მაგალითად ტელეფონი. ამ მეთოდით შეიძლება გადაიცეს შიფრაციის გასაღებები და პაროლები.

https://www.helpnetsecurity.com/2016/06/24/air-gapped-computers-fan-speed/

უსაფრთხოებისთვის გვერდის ავლა ყველაზე უკეთ მედიკოსებს გამოსდით

დარტმუთის კოლეჯის, სამხრეთ კალიფორნიის უნივერსიტეტისა და პენსილვანიის უნივერსიტეტის სპეციალისტებმა არაჩვეულებრივი კვლევა ჩაატარეს. მათ გამოიკვლიეს მედიკოსების მიერ კიბერუსაფრთხოების მოთხოვნებისთვის გვერდის ავლის შემთხვევები სხვადასხვა კლინიკებში. გაირკვა, რომ კიბერუსაფრთხოებისთვის გვერდის ავლა უფრო ნორმას წარმოადგენს, ვიდრე გამონაკლისს. უმეტეს შემთხვევაში მათ არ სჯიან, ზოგჯერ კი ვერც ამჩნევენ. იყო შემთხვევები, როდესაც მთელი კლინიკის პერსონალი ერთ პაროლს იყენებდა ან კიდევ პატარა ფურცლებზე დაწერილი პაროლები გაკრული იყო ყველგან. ერთ-ერთ ჰოსპიტალში სულაც ყავის ჭიქა ედგათ სენსორზე, რომ სისტემა ავტომატურად არ დალოგაუთებულიყო.

http://www.theregister.co.uk/2016/06/27/medicos_could_be_worlds_best_security_bypassers_study_finds/

სასტუმროების სურათების ბაზა – ტრეფიკინგის დასაძლევად?

TraffickCam არის აპლიკაცია, რომელიც საშუალებას იძლევა გადავიღოთ სასტუმროს სურათი და ავტვირთოთ სასტუმროს სურათების ცენტრალიზებულ ბაზაში. ამის იდეა ის არის, რომ ტრეფიკინგის მსხვერპლთა სურათების უმეტესი ნაწილი გადაღებულია სასტუმროებში. სასტუმროების შიდა სურათების ცენტრალიზებული ბაზა კი საშუალებას მისცემს პოლიციას ადვილად მიაგნოს ტრეფიკიორებს. სადავოა ამ მიდგომის სისწორე. არსებობს აზრი, რომ ეს მეთოდი სრულიად გაუმართლებელია, რადგან სურათების ეს ბაზა მხოლოდ იმას ამტკიცებს, რომ კონკრეტულ მომენტში სურათის გადამღები ადამიანი იმყოფებოდა კონკრეტულ სასტუმროში. ეს კი სახელმწიფო ორგანოების მიერ ინფორმაციის მოპოვებისა და კონტროლის კიდევ ერთი მექანიზმია.

https://www.schneier.com/blog/archives/2016/06/crowdsourcing_a.html

მომხმარებელთა ადგილსამყოფელის ფარულად დადგენისთვის კომპანიას ჯარიმის სახით $950,000 დოლარი გადაახდევინეს

ამერიკის ფედერალური სავაჭრო კომისიის მიერ შეტანილი საჩივრის საფუძველზე სინგაპურში ბაზირებული კომპანია InMobi იძულებული გახდა დათანხმებულიყო $950,000 დოლარი ჯარიმის გადახდას და მომხმარებელთა მონაცემების წაშლას. სავაჭრო კომისიის განცხადებით, კომპანია InMobi, რომელსაც მილიონობით მომხმარებელი ჰყავს, მომხმარებელთა ადგილსამყოფელის დადგენისთვის, მათი ნებართვის გარეშე იყენებდა ირგვლივ არსებულ wi-fi სიგნალს. მიღებულ მონაცემებს ინახავდა ბაზაში და შემდეგ სამიზნე რეკლამებს აგზავნიდა მომხმარებელთა ტელეფონებზე. კომპანიის მიერ გაშვებული რეკლამების რაოდენობამ მილიარდს გადააჭარბა.

http://arstechnica.com/tech-policy/2016/06/advertiser-that-tracked-100-million-phone-users-without-consent-pays-950000/

ბიტკოინის მეტოქე Ethereum $50 მილიონიანი ძარცვის შემდეგ გადარჩენისთვის იბრძვის

The DAO არის საინვესტიციო ფონდი, რომელიც დაფუძნებულია კრიპტოვალუტა Ethereum-ზე და იმართება სპეციალიზირებული კომპიუტერული კოდის მეშვეობით. ის  გადაწყვეტილებებს იღებს ინვესტიციების თაობაზე. მასში აღმოჩენილმა სისუსტემ ჰაკერს საშუალება მისცა გადაერიცხა 3.6 მილიონი „ეთერი“ (ეთერეუმის ვალუტა), რომელიც ეთერეუმის საერთო რაოდენობის 1/3-ია და წარმოადგენს $45-77 მილიონ ამერიკული დოლარის ეკვივალენტს. შეტევა განხორციელდა ორი ექსპლოიტის გამოყენებით, ერთი საშუალებას იძლეოდა მოთხოვნა დაყოფილიყო ნაწილებად, უფრო კონკრეტულად 20 ნაწილად, რომ დაბლოკვა არ მომხდარიყო და შესრულებულიყო რეკურსიულად. ხოლო მეორე ექსპლოიტი საშუალებას იძლეოდა ასეთი შეტევა განხორციელებულიყო ერთი და იგივე ექაუნთით და ერთი და იგივე ტოკენით (token) 250-ჯერ რეკურსიულად. ამ ორი ექსპლოიტის კომბინაციამ სერიოზული დარტყმა მიაყენა ეთერეუმის კრიპტოვალუტას.

http://arstechnica.com/security/2016/06/bitcoin-rival-ethereum-fights-for-its-survival-after-50-million-heist/

დატოვეთ კომენტარი