99 HACKER CREWMATES vs 1 NOOB IMPOSTOR IN AMONG US! Funny Moments #12
Innehållsförteckning:
Den avancerade Canon EOS-1D X-kameran kan hackas för användning som ett fjärrövervakningsverktyg, med bilder som har laddats ner, raderats och laddats upp, sa en forskare under säkerhetshacket Hack in the Box i Amsterdam på onsdag.
Den digitala SLR-kameran har en Ethernet-port och stöder även trådlös anslutning via en WLAN-adapter. Den anslutningen är särskilt användbar för fotojournalister som snabbt kan ladda upp bilderna till en FTP-server eller en surfplattform, enligt tysk säkerhetsforskare Daniel Mende i ERNW.
Men kamerans anslutning var inte konstruerad med säkerhet i åtanke, sa Mende. "Om en fotograf använder ett osäkert nätverk som ett hotell Wi-Fi-nätverk eller ett Starbucks-nätverk, kan nästan alla med lite kunskap ladda ner bilder från kameran," sa han.
[Vidare läsning: Hur att ta bort skadlig kod från din Windows-dator]Enkel attackväg
Kameran kan nås av angripare på ett antal sätt, säger Mende. Eftersom FTP-uppladdningsläge skickar information i klar text kan referenser och fullständig dataöverföring snusas, så uppladdade bilder kan extraheras från nätverkstrafiken, säger Mende.
Kameran har också ett DNLA-läge (Digital Living Network Alliance) som tillåter delning av media mellan enheter och kräver ingen autentisering och har inga begränsningar, sade Mende. DNLA använder nätverksprotokoll för UPnP (Universal Plug and Play) för upptäckt, och media kan nås via HTTP och XML i DNLA-läge, sade han.
"I detta läge brinner kameran upp som en nätverksserver" Mende sade att varje DNLA-klient kan hämta alla bilder från kameran. Eftersom en webbläsare kan fungera som en DNLA-klient, är det relativt lätt att göra det, sa han. "I det här läget är det inte heller svårt att få fingrarna på bilderna, du behöver bara bläddra till kameran och ladda ner alla bilder du gillar."
Kameran har också en inbyggd webbserver som kallas WFT-server som har autentisering, sa han. Men den autentiseringsmetod som används har en 4-byte session ID-cookie som enkelt kan övervinnas via brute force med sex rader Python-skript, säger Mende.
"Kontrollera alla ID: er tar ungefär 20 minuter eftersom webservern inte är så lyhörd, Sade Mende. Men den som identifierar ID kan få tillgång till lagrade foton på enheten och till kamerainställningar, sa han. "Du kan till exempel göra dig själv författaren till ett foto. Det skulle vara till nytta när du försöker sälja dem", säger Mende.
Alternativt hack
Attackers kan också få fjärråtkomst till kamerans EOS-verktygsläge, som kommer närmast att få root access på kameran, sade Mende. Verktygsläget gör det möjligt för användare att trådlöst styra kameran genom Canons gränssnitt för EOS Utility, vilket ger Live View-funktionalitet, filmläge och möjlighet att trådlöst överföra bilder från en kamera till en fjärrdator.
Åtkomst till kameran i det läget var inte lika lätt som att få kontroll via FTP eller session-ID, enligt Mende.
För att komma åt läget måste en angripare lyssna på kamerans GUID (Global Unique Identifier) som sänds obfuscated. angripare än att behöva förhindra autentiseringsdata, koppla bort den anslutna klientprogramvaran och ansluta till kameran med hjälp av PTP / IP-protokollet eller bildöverföringsprotokollet som används för att överföra bilder till anslutna enheter, enligt Mendes presentation. > "Vi kan inte bara ladda ner alla de tagna bilderna, vi kan också få en mer eller mindre live-ström från kameran," sa Mende. "Vi har framgångsrikt gjort kameran till en övervakningsenhet."
Attackers kan också ladda upp bilder till kameran i hjälpprogrammet, sa han.
Canon har inte fixat sårbarheten, men enligt Mende, som sa att han inte kunde hitta någon på Canon, var villig att lyssna på honom. "Kameran är utformad för att fungera exakt som den här. Från Canons synvinkel finns det förmodligen ingen bugg," säger Mende. "Men, folk som använder kameran borde vara medvetna om det här. Därför är jag står här idag utan att tala med Canon, "berättade han för konferensdeltagare.
Canon EOS-1D X-ägare bör vidta motåtgärder för att förhindra att attackerna lyckas, säger Mende. De bör bara möjliggöra nätverksanslutningar i betrodda nätverk, sa han. Och användare ska alltid använda ett säkert lösenord för betrodda WLAN-nätverk, sa han.
Canon svarade inte omedelbart på en begäran om kommentar.
Det finns ett gammalt ordspråk att bygga en ny dator eller uppgradera en gammal: "Använd rätt verktyg för rätt jobb." Visst kan du använda ett smör kniv för att lossa en skruv eller ett tang för att dra åt ett moderkort, men det gör inte jobbet något jämnare, och man kan satsa på att det kan göra någon skada. Att använda rätt verktyg för ett visst jobb gör jobbet enklare och det förbättrar vanligtvis den slutliga kvaliteten på den färdiga produkten.
Varje systembyggare behöver ett antal verktyg för att slutföra alla PC-byggnader eller uppgradera med effektiviteten och precisionen hos en kirurg. Några av verktygen kommer att vara uppenbara, andra mindre.
Om du har problem med att följa med e-post, händelser och flera sociala nätverk, kan överväga en allt-i-ett-lösning. Gratis och enkla alternativ som MultiMi eller Fanmix gör dina sociala nätverk till en stor inkorg, men om du har ett företag, har ett lag att hantera, eller helt enkelt gillar att se alla dina aktiviteter på ett ställe, ge Nimble ($ 15 per månad per användare, funktionsbegränsad fri version för personlig användning) ett försök.
Nimble är mer än bara en social media-instrumentbräda: Det är ett komplett CRM-system. Den kopplar dina Google-konton (inklusive Google+), Facebook, Facebook Sidor, Twitter, LinkedIn och Foursquare-konton under ett tak. Du kan också lägga till din Google Kalender och importera Outlook CSV-filer eller andra kontakt-CSV-er. Till skillnad från vanliga sociala kunder som TweetDeck eller HootSuite, lägger Nimble betoning på interaktion och individer, och inte på dina sociala flöden.
ÄVen om ditt jobb inte har något att göra med grafisk design, är chansen att du fortfarande måste producera enstaka diagram. Om du är uppmanad att skapa ett nätverksschema, ett flödesschema, ett gränssnittsmockup eller ett org-diagram, är Gliffy ett onlineverktyg som försöker göra processen så enkelt som möjligt. Det är inte specialiserat på någon typ av diagram, men det rika biblioteket med glyphs och ett brett urval av startmallar gör det enkelt att skapa nästan alla tvådimensionella diagram.
Gliffy låter dig komma till affärer utan att öppna ett konto . Skapa ditt diagram först, oroa dig för att spara det senare. Det första du ser när du börjar arbeta i Flash-gränssnittet är en stor dialogruta som bjuder in dig att välja en mall. Dessa är indelade i nio kategorier, som spänner mellan spalten från webbdesign och Venn-diagram till flödesschema och UML (Universal Modeling Language, som används i programmering).