Почему-то автор на ПМ не отвечает, так что пишу публично — ссылки на обновления бесполезны, они закрывают уязвимость от WannaCry, но не от Пети. Последний заражает даже обновлённые машины.
У меня этот вирус зашифровал несколько серверов 2008R2, пользователи с урезанными правами и все последние обновления в наличии. Пока не понятно, каким образом он смог обойти последние обновления, предполагаю три варианта — это или общие папки, или через RDP, или повышение прав до админа, но уязвимость однозначно не закрыта. Впереди восстановление из резервных копий, если кому-то нужно предоставить информацию, которая поможет выяснению путей распространения, пишите. Все порты из интернета были закрыты.
Если так поставить вопрос, то при определённых условиях можно к любому залезть в ПК, например целенаправленной атакой или физическим воздействием :) А чтобы этого не случилось, нужно как минимум вовремя ставить обновления для системы, следить чтобы не было вредоносного ПО и хоть немного разбираться в том, что вы делаете, чтобы другие не смогли вас обмануть методами социальной инженерии.
Проверил то же самое — после ввода логина/пароля и нажатия кнопки входа, мгновенно появилась форма двухфакторной аутентификации с мгновенным отображением соответствующего уведомления на телефоне. Действительно, выбрав устройство, можно было его заблокировать. Однако при взломе уведомления о входе не было вообще, и настройки не менялись.
Это исключено, он тоже защищён, и кроме того если долго не заходить в учётную запись, пароль и код двухфакторной аутентификации требуется вводить повторно, а не входили туда долго. Жаль нигде нельзя посмотреть адреса, с которых был получен доступ, это хотя бы формально подтвердило мои слова.
Ещё важный момент — после смены пароля и получения доступа к устройству, также была проверена и двухфакторная аутентификация, которая работала исправно, и по-прежнему оставалась активной. Очевидно злоумышленники нашли способ не отключать её, а обходить, будто она выключена. Также остаётся невыясненным способ узнавания паролей — о подборе здесь не может быть и речи, пароль был вида Y7xmJR8hkQ4n — длина пароля и используемые символы переданы точно.
Достоверно — потому что лично наблюдал и участвовал в этой истории. Сначала пришло письмо о том, что выполнен вход из браузера в iCloud, хотя владелец через него не входил, в это время телефон просто лежал на столе. К аккаунту был привязан только один телефон с включенной двухфакторной аутентификацией, т. е. когда в iCloud пытаются зайти с другого устройства, на телефоне появляется его геолокация и код подтверждения, но не в этот раз — телефон никак не отреагировал на попытку входа с другого устройства, не было и сообщений на почту о неверных попытках ввода пароля (если такие вообще присылаются). Затем через пару минут телефон заблокировался с текстом вымогания на русском языке — не дословно, но смысл: если хотите разблокировать телефон, пишите на почту gmail.com. Точный адрес не запомнил, т. е. в это же время владелец экстренно менял пароли и убрал «найти iPhone», после чего телефон разблокировался. Собственно говоря проблема не в получении доступа к телефону после блокировки, в данном случае это было сделано через привязанную почту, которую тоже не взломали, т. к. и на почте была включена двухфакторная аутентификация, а кроме этого можно ответить на контрольные вопросы или показать документы о покупке техподдержке; проблема здесь в том, что злоумышленник получил полный доступ к аккаунту и данным резервной копии в iCloud в обход всех проверок и хвалёного шифрования Apple, и убеждений компании в том, что это невероятно защищённое устройство. Новость я об этом не создавал, на это вполне ожидаемо написали бы, что такое невозможно, доказательств нет, следовательно сам виноват или обманываешь. Положительным моментом была реакция техподдержки — из чата перенаправили другому специалисту, который перезвонил, выслушал эту историю со всеми подробностями и даже поделился своей почтой apple.com, на которую уже повторно были написаны все подробности для расследования. Впрочем на эти письма он так и не ответил, поэтому не известно, нашли ли они проблему, устранили или ещё что сделали — молчат. Сейчас вариантом решения этой проблемы стало выключение синхронизации с облаком критически важных данных, ведь повтор истории ещё как возможен.
К сожалению, Apple действительно взломали. Мне достоверно известно, что в начале марта этого года злоумышленники научились не только узнавать сложные рандомизированные пароли Apple ID, которые нигде не были засвечены, но и обходить двухфакторную аутентификацию так, будто она вообще выключена. С последующей блокировкой устройства и текстом вымогания. К слову, последняя версия iOS и отсутствие джейлбрейка подразумевается. Техподдержка Apple была незамедлительно поставлена в известность со всеми подробностями взлома, однако ответа до сих пор не последовало, как и любой публичной информации. К сожалению, сейчас ничьи данные не в безопасности, пока они хранятся в интернете, как бы нас в этом не убеждали компании. В это не веришь, пока не сталкиваешься лично.
Повлиять могло что угодно и это элементарно проверить: после установки обновлений просто устанавливайте свои программы по одной с перезагрузками, последняя программа до исчезновения надписи SP1 и будет причиной.
Ещё не известно, фиксируются ли попытки подбора пароля во внутренней памяти процессора, этим можно усложнить взлом. А если они фиксируются только на чипе, тогда его восстановление будет сбрасывать таймаут и подбор будет лёгким даже без анализа алгоритма шифрования. Дорогой программатор для этого не нужен, достаточно параллельно/переключаемо подключить обычный, схема же не эмулировать ничего, а просто: выключить телефон, восстановить данные, включить, сделать несколько вводов паролей, выключить, повторить, т. е. чтобы физических движений было меньше. Более сложный вариант — анализ прошивки, чтобы имея данные оборудования и алгоритм шифрования брутфорсить непосредственно считанный дамп, тогда время подбора сокращается до отпивания кофия.
Да какая команда профи, любой китаец на коленке может сделать такую схему: подключаем чип памяти через программатор к плате, включаем телефон и пробуем несколько паролей до таймаута, не подошёл — выключаем, восстанавливаем изменившийся участок данных и снова включаем, получаем отсутствие ограничения по времени, автоматически повторяем до успешного финала. А если там нет привязки к железу, что вероятнее всего, ведь шифрованную резервную копию можно восстановить на другой аппарат, то такую атаку можно разбить на несколько телефонов путём клонирования чипа и подбирая пароль одновременно, что во много раз увеличит скорость. Тут даже специалистом не нужно быть.
Всё как обычно зависит от сложности пароля, если от этого в конечном счёте зависит расшифровка данных. При простом циферном пароле можно сделать дамп памяти и таким образом обойти ограничение на время между попытками ввода, а брутфорс 4-6 цифр займёт смешное время. Если уж китайцы успешно клонируют чипы для увеличения объёма памяти, у команды профи есть все шансы на успех. Собственно не понятно, почему правительство так не может сделать, показуха какая-то.
— Переверните её!
— Сработало!