-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- --------------------------------------------------
DEAD DROP 26 / SWITCH LINUX، الاختراق الصناعي، مفتاح شامل، USB CRASH STICK
-
-
مرحبًا بكم في Dead Drop رقم 26 ، وننظر إلى ما يحدث في عالم أمان الكمبيوتر ، والحرية الرقمية. جميع الروابط المصدر أدناه.
الإخلال
في وقت سابق من الأسبوع ، أرسل Github رسائل البريد الإلكتروني لإعلام المستخدمين بأن عددًا من كلمات المرور تم تخزينها عن طريق الخطأ في سجلات النص العادي ، بسبب وجود خطأ ، وأنه يجب إعادة تعيين كلمات المرور في أسرع وقت ممكن. وتقول الشركة أن عدداً قليلاً من الأشخاص قد تأثروا ، ولم يتم العثور على مشاكل أوسع.
https://www.securityweek.com/github-exposed-passwords-some-users
https://twitter.com/xmollv/status/991438142803767299
https://twitter.com/xmollv/status/991438142803767299
نقاط الضعف
اكتشف الباحثون وجود ثغرة أمنية في رقاقة Nvidia Tegra X1 المستخدمة في محول Nintendo وأجهزة Android الأخرى. أنه يعطي المهاجمين السيطرة على التنفيذ المبكر ، تجاوز جميع الشيكات التوقيع. هذا يعني أنه يمكنك تثبيت Linux والبرامج الثابتة المخصصة وتشغيل ألعاب غير رسمية. تتوفر روابط كتابة ورمز على موقع الباحثين.
https://fail0verflow.com/blog/2018/shofel2/
https://www.youtube.com/watch؟v=KBCkpEdvqDo
https://thehackernews.com/2018/04/nintendo-switch-linux-hack.html
https://www.youtube.com/watch؟v=KBCkpEdvqDo
https://thehackernews.com/2018/04/nintendo-switch-linux-hack.html
يسمح التكوين الافتراضي لجهاز التخزين My Cloud EX2 الخاص بـ Western Digital للمهاجمين بتجاوز المصادقة للوصول إلى الملفات عبر الشبكات المحلية. يمكن إرسال طلبات HTTP إلى دليل محدد عبر المنفذ 9000 للوصول إلى قائمة بجميع الملفات ، والتي يمكن استخدامها بعد ذلك للوصول إلى الملفات الفردية مباشرة.
https://www.securityweek.com/western-digital-cloud-storage-device-exposes-files-all-lan-users
البقع
قامت شركة شنايدر إلكتريك مؤخراً بتصحيح وجود ثغرة في التعليمات البرمجية عن بُعد في برمجيات نظام التحكم الصناعي الخاصة بها ، والتي تستخدمها شركات النفط والغاز والتصنيع. وجد الباحثون أن الحزم المصنوعة بعناية يمكن أن تسمح للمهاجمين بكتابة كود قابل للتنفيذ ، وهو أمر خطير بشكل واضح عندما تكون الأنظمة الصناعية متصلة بشكل متزايد بالشبكات.
https://threatpost.com/schneider-electric-patches-critical-rce-vulnerability/131610/
https://www.youtube.com/watch؟v=zha6-OJ9W-s
https://www.youtube.com/watch؟v=zha6-OJ9W-s
عناوين المواقع
اكتشف الباحثون في Sophos مؤخرًا وجود مشكلة في إعادة توجيه عناوين URL في خرائط Google ، والتي يستغلها المحتالون. ما عليك سوى تعديل نهاية عنوان URL الخاص بخرائط Google ، ونتيجة لوجود ثغرة أمنية مفتوحة لإعادة التوجيه ، يمكنك إعادة توجيه المستخدم إلى أي عنوان آخر. وعلى عكس ما حدث في Google قريبًا ، فقد يكون هناك اختصار في رابط عنوان URL ، ولكن يمكن لأي شخص إنشاء أي إعادة توجيه على الفور دون حساب ، بالإضافة إلى عدم وجود طريقة سهلة للإبلاغ عن عناوين البريد العشوائي.
https://www.theregister.co.uk/2018/05/01/google_maps_url/
https://nakedsecurity.sophos.com/2018/05/01/google-maps-open-redirect-flaw-abused-by- الاطر /
https://nakedsecurity.sophos.com/2018/05/01/google-maps-open-redirect-flaw-abused-by- الاطر /
HACKING
لقد صمم الأشخاص في F-Secure جهاز RFID الذي يعمل بشكل أساسي مثل المفتاح الرئيسي ، مما يتيح الوصول إلى جميع الأبواب باستخدام نظام قفل إلكتروني Vision الذي تم تبنيه على نطاق واسع. يحتاج المهاجمون أولاً إلى مفتاح شرعي ، ومن ذلك يستمد الجهاز رمزًا رئيسيًا ، ويمنح الوصول إلى جميع المستويات ، ويفتح كل باب في المبنى بشكل أساسي. في هذه المناسبة قرر فريق F-Secure عدم الإفصاح عن التفاصيل الدقيقة لأسباب واضحة.
https://safeandsavvy.f-secure.com/2018/04/25/researchers-find-way-to-generate-master-keys-to-hotels/
https://www.youtube.com/watch؟v= 1PSwH8ldw5M
https://thehackernews.com/2018/04/hacking-hotel-master-key.html
https://www.youtube.com/watch؟v= 1PSwH8ldw5M
https://thehackernews.com/2018/04/hacking-hotel-master-key.html
يو اس بي
وأصدر الباحث "ماريوس تيفادر" مؤخراً تفاصيل حول عصا USB الخاصة به ، بعد أن رفضت شركة ميكروسوفت إصدار إشعار أمني في العام الماضي.يستخدم هذا الهجوم صورة تم إنشاؤها خصيصًا لنظام ملفات Windows NT موصول على USB stick ، ويستفيد من ميزة التشغيل التلقائي. بمجرد توصيل محرك الأقراص ، يتعطل النظام المضيف على الفور ، حتى عند قفله.في حالة إيقاف التشغيل التلقائي ، فإن النقر فوق الملف سيؤدي إلى تعطل النظام أيضًا.
https://github.com/mtivadar/windows10_ntfs_crash_dos
https://threatpost.com/usb-sticks-can-trigger-bsod-even-on-a-locked-device/131545/
https://threatpost.com/usb-sticks-can-trigger-bsod-even-on-a-locked-device/131545/
أشرطة فيديو
وأخيرًا ، عقدت بلوكستاك مؤتمر برلين في وقت سابق من هذا العام ، وقامت بتحميل مجموعة من مقاطع الفيديو للمحادثات إلى قناة يوتيوب الخاصة بها. الكثير من المناقشات حول الطرق المختلفة التي يمكننا بها تطوير الإنترنت من خلال اللامركزية.
https://blockstack.org/berlin2018#web-3-and-decentralized-apps
https://www.youtube.com/channel/UC3J2iHnyt2JtOvtGVf_jpHQ/videos
https://www.youtube.com/channel/UC3J2iHnyt2JtOvtGVf_jpHQ/videos
Commentaires
Enregistrer un commentaire