Wired News - Minuli teden je odjeknila novica, da so hekerji vdrli v British Airways in odnesli osebne podatek 380.000 strank, med katerimi so bile tudi številne kreditnih kartice, datumi veljavnosti in kode CVV. Ker je British Airways takoj sporočil okno ranljivosti, ki so ga poznali do minute, in ker so hekerji dobili tudi številke CVV, ki se ne shranjujejo lokalno, je to sprožilo precej ugibanj, kaj natančno se je zgodilo. V podjetju RiskIQ, ki se ukvarja z računalniško varnostjo, so sedaj objavili svojo analizo, kaj se je zelo verjetno zgodilo. Skupina Magecart naj bi zlonamerno kodo vtihotapila v spletne strežnike British Airways, kjer je v realnem času prestrezala podatke kupcev letalskih vozovnic.
Vodja RiskIQ Yonathan Klijnsma pojasnjuje, da je skupina Magecart znan igralec, ki je bil na primer odgovoren tudi za vdor v Ticketmaster, aktivni pa so vsaj od leta 2015. Doslej so večinoma uporabljali standardne prijeme, medtem ko so pri napadu na British Airways uporabili posebej prilagojeno kodo, kar priča o dobrem poznavanju njihovega sistema. Pri napadu na Ticketmaster so vdrli v plačilno storitev, ki jo je zanj opravljalo tretje podjetje, medtem ko so to pot vdrli v same spletne strani British Airways. Z napadom cross-site scripting so vrinili lastno kodo. Na uporabniški strani je zadoščalo že 22 vrstic kode, seveda pa je bilo treba kodo postaviti na pravo mesto in dobiti dostop do tja. Kot kaže, napadalci niso dobili dostopa do baze, temveč so le prestrezali vneseno.
Zlonamerne skripte, ki jih je RiskIQ opazil pri rednem nadzoru spletni strani (dnevno jih prečešejo kar dve milijardi), so poklicale API na naslovu baways.com (litovski strežnik), do katerega so se povezovale s certifikatom, ki ga je izdal Comodo (toliko o verodostojnosti tega izdajatelja). Ko je uporabnik kliknil pošlji, je skripta poslalo kopijo vseh vnesenih podatkov napadalcem. Ker so dodali še touchend, je napad deloval tudi prek mobilne aplikacije, ki je izkoriščala isto spletno infrastrukturo (kar je slaba ideja). Iz British Airways navedb niso komentirali.
Dokler ne bo kakšen avion sklaten doli z neba, je še "vredi, Fredi". Ker sem predlani geldal predavanje na temo, kako lahko skoraj vsak radioamater sklati civilni jet six feet under. In predavatelj je večkrat apeliral in prosil, naj tega ne počnejo... Hvala bogu se ni nič zgodilo. Tole z BA je pa smeha polna hiša. Why invest in IT security? It does not make sense, old champ.
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
Dokler ne bo kakšen avion sklaten doli z neba, je še "vredi, Fredi". Ker sem predlani geldal predavanje na temo, kako lahko skoraj vsak radioamater sklati civilni jet six feet under. In predavatelj je večkrat apeliral in prosil, naj tega ne počnejo... Hvala bogu se ni nič zgodilo.
kako pa? seveda ni treba lih predstaviti celega postopka, ni pa treba biti spet pretirano skrivnosten za neznalce (ne-radio-amaterje).
meni sicer to ni hobi, si pa ne predstavljam, kako bi to izvedel. mogoče kot EW (electronic warfare), da bi preglasil signale inštrumentov letališča ob pristajanju.
Ce ze niso uporabili zunanjega ponudnika placevanja kot je Stripe, zakaj niso potem sami implementirali zadeve na varen nacin?
Formo za vnos bi lahko prikazovali preko iframe-a, preko locene (pod)domene, in software, ki bi tekel na tem serverju bi skrbel izkljucno za shranjevanje podatkov in procesiranje placil.
Kaj taksnega bi bilo precej lazje zavarovati, ter reviewati, kot pa ce zadevo serviras iz strani, ki ima tono javascripta (med drugim tudi razne 3rd party tracking skripte), ter je po moznosti postavljena na kaksen CMSu, na njej pa je ze delalo precej developerjev.
Če bi bilo tolk simpl sklatiti letala z radioamatersko opremo, potem bi teroristi to že izkoristili.
Slučajno to ranljivost (v bistvu sploh ni ranljivost, "it is feature, not a bug") precej dobro poznam. Obstajajo ocene, da bi s takim napadom lahko povzročil do 600 mtrvih. Mogoče so te ocene pretirane, oz. je to precej skrajen scenarij.
Ampak v najbolj milem scenariju se pa mimogrede zgodi, da je posledica začasno zaprtje letališča in preusmeritev prometa na sosednja letališča. Kakšna je v te primeru ekonomska škoda si lahko predstavljaš.
Če bi bilo tolk simpl sklatiti letala z radioamatersko opremo, potem bi teroristi to že izkoristili.
Slučajno to ranljivost (v bistvu sploh ni ranljivost, "it is feature, not a bug") precej dobro poznam. Obstajajo ocene, da bi s takim napadom lahko povzročil do 600 mtrvih. Mogoče so te ocene pretirane, oz. je to precej skrajen scenarij.
Ampak v najbolj milem scenariju se pa mimogrede zgodi, da je posledica začasno zaprtje letališča in preusmeritev prometa na sosednja letališča. Kakšna je v te primeru ekonomska škoda si lahko predstavljaš.
Glede na to da bi blio treba zapret letalisce, se najverjetneje moti/spoofa signale sistemov za pristajanje. Die Hard 2 brez Bruce Willisa in cetice zlobnih vojakov
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Načeloma morajo piloti obvladati pristajanje "na slepo", se pravi, če pride do izpada sistemov za pristajanje. Ampak kot rečeno, to ni problem v tem primeru.
Če bi bilo tolk simpl sklatiti letala z radioamatersko opremo, potem bi teroristi to že izkoristili.
Slučajno to ranljivost (v bistvu sploh ni ranljivost, "it is feature, not a bug") precej dobro poznam. Obstajajo ocene, da bi s takim napadom lahko povzročil do 600 mtrvih. Mogoče so te ocene pretirane, oz. je to precej skrajen scenarij.
Z letalom, ki je bilo dizajnirano za prevoz 200 (do 300) potnikov?
To je nekako tako, kot jaz lahko z biciklom povrzrocim do 666 mrtvih. Take that!!11!
Načeloma morajo piloti obvladati pristajanje "na slepo", se pravi, če pride do izpada sistemov za pristajanje. Ampak kot rečeno, to ni problem v tem primeru.
Ob slabih pogojih bo pač letel na drugo letališče.
Saj ima dovolj goriva za diverted airfields...
"Life is hard; it's even harder when you're stupid."
To ni problem. Letala se bodo že preusmerila in prišla do alternativnih letališč.
Problem je, da če napad izvedeš v ravno pravem trenutku, obstaja velika verjetnost za nesrečo. (Napad je seveda time-sensitive.)
V vsakem primeru pa bo nastala zmeda in posledično bodo letališče zelo verjetno začasno zaprli. To pa za letališče in tudi družbe ter potnike pomeni strošek. Saj letalo bo že prispelo na drugo letališče. Ampak kot rečeno ima to finančne posledice.
Sem bil pa lani na sestanku na Agenciji za civilno letalstvo in smo se tudi o tem pogovarjali. Evropski regulatorji to zadevo zelo dobro poznajo. Kaj dosti se pa trenutno ne da narediti.
Ja, DoS zna narediti vsak butec. Tukaj pa ni DoS napad, pač pa gre za real hack.
Kazni so sicer precej brutalno visoke. V takem primeru bi bila pa kazen AKOS-a verjetno še najmanjša. Kazenska ovadba, pa še kakšna civilna odgovornost bi priletela.
Enkrat sem bral nek članek o tem - mislim, da je razmeroma enostavno neko komunikacijo stolp-avion ponaredit, tako da se navidezni avion pokaže na radarju aviona ali nekaj podobnega. Možno, da se je avion celo na flightradar strani pojavil. Vglavnem pozabil sem podrobnosti, članka tudi ne najdem zdajle, ampak bilo je nekaj na to foro.
Enkrat sem bral nek članek o tem - mislim, da je razmeroma enostavno neko komunikacijo stolp-avion ponaredit, tako da se navidezni avion pokaže na radarju aviona ali nekaj podobnega. Možno, da se je avion celo na flightradar strani pojavil. Vglavnem pozabil sem podrobnosti, članka tudi ne najdem zdajle, ampak bilo je nekaj na to foro.
Ja, z ADS-B signalom lahko ustvariš virtualno letalo, ki leti... kakor pač želiš. ADS-B signale pobirajo in prikazujejo tudi flightradar in podobni. Možni so sicer protiukrepi, a baje niso v uporabi. Ampak to tudi ni ravno hack nekega omrežja, je bolj spoofing.
.