Дослідник з безпеки додає шпигунські чіпи до ІТ-обладнання всього за 2
Сканери шкідливих програм можуть захистити ваші пристрої від зловмисного програмного забезпечення, а як щодо шкідливого обладнання? Імплантація прихованих шпигунських фішок може надати поганому актору необмежений доступ до ваших даних, саме тому звіт SuperMicro Bloomberg Business "минулого року був настільки тривожним. Жодних доказів не підтвердилося, щоб підтвердити ці вимоги, але прокрадання шпигунських фішок до обладнання не є неможливим. Насправді один дослідник з питань безпеки каже, що придумав спосіб зробити це за $ 200 у своєму підвалі.
У сюжеті Bloomberg джерела стверджували, що китайські хакерські хакери таємно додавали невеликі чіпи до материнських плат серверів SuperMicro. Ці плати пізніше використовувались на серверах Apple і Amazon. Чипси були нібито крихітними, не більшими за зерно рису. Тож було зрозуміло, що вони занурилися під радари. Однак кожна компанія, названа в історії, спростувала це, і зовнішні огляди платів SuperMicro не знайшли таких чіпів.
Ми знаємо, що розвідувальні агенції, такі як АНБ, регулярно вставляють шпигунські мікросхеми в пристрої під час транзиту, а дослідник з питань безпеки Монта Елкінс стверджує, що розробила версію цієї методики із позаштатним обладнанням. Все, що було потрібно Елкінсу, - це інструмент для паяння повітря на 150 доларів, мікроскоп за 40 доларів та деякі крихітні мікропрограмовані мікросхеми, що використовуються в персональних електронних проектах.
У підході Елкінса використовується чіп ATtiny85, врятований з плат Digispark Arduino, кожна з яких коштує близько 2 доларів. Загальна площа мікросхем близько 5 мм, більш ніж мала, щоб непомітно пройти на друкованій платі. Ви можете побачити чіп, вказаний нижче, але Елкінс каже, що міг би зробити його ще крадькома, якби не хотів показувати розміщення чіпів своїм хакерам.
Як доказ концепції, Елкінс створив код для мікросхеми, який дозволив йому взаємодіяти з налаштуваннями адміністратора на брандмауері Cisco ASA 5505. Елкінс каже, що вибрав цю модель, оскільки це була найдешевша, яку він міг знайти на eBay, але атака повинна працювати на всіх подібних системах. Коли компромісна дошка завантажується, чіп запускає функцію відновлення пароля брандмауера та створює новий обліковий запис адміністратора. Зловмисник може використовувати цей обліковий запис для контролю за мережевою активністю та викраденням даних.
Елкінс планує розкрити всі деталі свого проекту на майбутній конференції з безпеки CS3sthlm, але він не намагається довести звіт Блумберга точним. Натомість він хоче, щоб усі зрозуміли, що імплантація шпигунських апаратів тривіально проста, незалежно від того, чи був цей звіт правдивим. Йому було коштувати лише 200 доларів, щоб розробити стратегію його виконання, а державний хакер, який отримав доступ до виготовлення чіпів, міг би зробити набагато більш вкрайшими дизайни на замовлення за кілька тисяч доларів.
Найвища кредитна графіка: Getty Images
Читати далі
Астрономи безпосередньо зображення планети всього 35 світлових років
Вчені з Університету Гавайських звітів вони помітили новий екзопланет лише 35 світлових років, і ми бачимо це, тому що це величезний і дуже далеко від своєї зірки. Фактично, це може встановити рекорд для найбільш віддаленого.
Мускус каже, що Spacex міг приземлитися на Марс всього за п'ять років
У недавньому інтерв'ю, Мускус сказав, що SpaceX приземлиться першими людьми на Марс за десять років, і це найгірший сценарій. Це може бути наполовину, якщо все йде, як планувалося.
Цей "мінімальний життєвий комп'ютер" може коштувати всього $ 15
Розробник Brian Bridoff хотів побачити, наскільки може бути дешевий функціональний комп'ютер. Він підійшов з мінімальним життєздатним комп'ютером, кишеньковим розміром Linux, який може коштувати лише 15 доларів.
Maritime Starlink приносить високошвидкісний Інтернет до яхт всього за 5000 доларів на місяць
Сервіс-це ідеальне доповнення для того, хто витратив на човен кілька сотень мільйонів-налаштування коштує 10 000 доларів, а щомісячні гонорди-5000 доларів.