• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Статья [новость - перевод] Уязвимости безопасности в электронных замках VingCard

Ссылка скрыта от гостей
Ссылка скрыта от гостей
огромную уязвимость в электронной системе замков VingCard, используемой в гостиничных номерах по всему миру:

Благодаря инструменту для чтения и записи Proxmark RFID стоимостью в 300 долларов США, любая истекшая карточка-ключ, вытащенная из мусора определенного отеля, и набор криптографических трюков, разработанных в течение почти 15 лет анализа кодов, которые Vingcard электронным образом записывает на свои карты-ключи, они, все таки, нашли способ значительно сузить возможный спектр подбора кода главного ключа отеля. Они могут использовать это карманное устройство Proxmark, чтобы перебирать все возможные коды на любой замок в гостинице, идентифицировать правильный код в течение примерно 20 попыток, а затем записать этот мастер-код на карту, которая дает хакеру возможность абсолютно свободно перемещаться в любую комнату в здании. Весь процесс занимает около минуты.

Два исследователя говорят, что их атака работает только на виджетах Vingcard предыдущего поколения замков фирмы Vision, а не на новом продукте компании Visionline. Но они подсчитали, что это, тем не менее, охватывает 140 000 отелей в более чем 160 странах мира; исследователи говорят, что шведская материнская компания Vingcard, Assa Abloy, признала, что проблема затрагивает миллионы замков в целом. Однако, когда WIRED добрался до Assa Abloy, оказалось, что компания поставила общее количество уязвимых замков примерно от 500 000 до миллиона.

Патчинг, т.е. исправление этих уязвимостей, выглядит практически нереально. Он требует обновления прошивки на каждом замке по отдельности.

И исследователи размышляют, знали ли другие об этом трюке:

Исследователи F-Secure признают, что они не знают, произошла ли их атака Vinguard в реальном мире. Но американская фирма LSI, которая обучает правоохранительные органы обходить защиту электронных замков,
Ссылка скрыта от гостей
. И исследователи F-Secure указывают на убийство палестинца из Хамас в 2010 году в отеле в Дубаи, которое, как полагают, было выполнено израильским разведывательным агентством «Моссад». Убийцы в этом случае, по-видимому, использовали уязвимость в замках Vingcard для входа в нужную им комнату, ту, которая
Ссылка скрыта от гостей
. «Скорее всего, Моссад имеет возможность сделать что-то подобное», - говорит Туоминен.

Источник:
Ссылка скрыта от гостей


05l.jpg
 
  • Нравится
Реакции: Manul, Vertigo, Глюк и ещё 1 человек
Нажмите, чтобы раскрыть...
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ