sitename
СМИ: за взломом сайтов REvil стояли правоохранительные органы - «Новости»
СМИ: за взломом сайтов REvil стояли правоохранительные органы - «Новости»
Хак-группа FIN7 создала фейковую компанию для поиска и обмана ИБ-специалистов - «Новости»
Хак-группа FIN7 создала фейковую компанию для поиска и обмана ИБ-специалистов - «Новости»
Эксперты назвали RedLine Stealer основным источником учетных данных на двух маркетплейсах - «Новости»
Эксперты назвали RedLine Stealer основным источником учетных данных на двух маркетплейсах - «Новости»
Группировка Evil Corp использует для вымогательских атак новую малварь Macaw - «Новости»
Группировка Evil Corp использует для вымогательских атак новую малварь Macaw - «Новости»
CISA: в выходные GPS-девайсы могут повести себя непредсказуемо из-за бага в GPS Daemon - «Новости»
CISA: в выходные GPS-девайсы могут повести себя непредсказуемо из-за бага в GPS Daemon - «Новости»
Илон Маск: корабль Starship будет готов к первому орбитальному полёту уже в ноябре - «Новости сети»
Илон Маск: корабль Starship будет готов к первому орбитальному полёту уже в ноябре - «Новости сети»
Раскрыты ориентировочные цены на видеокарты Intel Arc: 650–825 долларов - «Новости сети»
Раскрыты ориентировочные цены на видеокарты Intel Arc: 650–825 долларов - «Новости сети»
Майнинговый процессор NVIDIA CMP 170HX поступил в продажу за $4300 - «Новости сети»
Майнинговый процессор NVIDIA CMP 170HX поступил в продажу за $4300 - «Новости сети»
Последний гвоздь: Китай внёс добычу криптовалюты в список отраслей для ликвидации - «Новости сети»
Последний гвоздь: Китай внёс добычу криптовалюты в список отраслей для ликвидации - «Новости сети»
Страна сильных традиций: в столице Японии документооборот продолжается на 3,5-дюймовых дискетах - «Новости сети»
Страна сильных традиций: в столице Японии документооборот продолжается на 3,5-дюймовых дискетах - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Изображения » Пользователи 3D-принтеров получили доступ к чужим устройствам из-за сбоя The Spaghetti Detective - «Новости»

Разработчики сервиса The Spaghetti Detective сообщили об опасном сбое, который был вызван их собственной ошибкой.


The Spaghetti Detective (TSD) предлагает владельцам 3D-принтеров средство для защиты от так называемой «вермишели», бага, который порой возникает во время печати (отсюда и название). С помощью «искусственного интеллекта» TSD может следить за работой устройства, анализировать картинку с бортовой камеры и «своевременно вмешиваться, обнаружив сбои» в процессе 3D-печати, приостанавливая задачу и сообщая владельцу принтера о случившемся.



"Вермишель" во время печати

Все началось с того, что пользователь Reddit сообщил, что посторонний человек подключился к его 3D-принтеру и напечатал предупреждение о том, что TDS небезопасен. Этот пост вызвал в сообществе настоящую панику.





Вскоре разработчик The Spaghetti Detective Кеннет Цзян опубликовали официальное заявление, в котором рассказал, что произошедшее – его вина.


«Прошлой ночью я допустил глупую ошибку, — пишет Цзян. — Когда я переконфигурировал балансировщик нагрузки, я ошибся, пропустив конфигурацию, позволяющую балансировщику передавать общедоступный IP-адрес подключающегося клиента бэкэнд-серверу TDS. Вместо этого балансировщик просто передавал серверу свой собственный IP-адрес. В результате сервер получал один и тот же IP-адрес для пользователей, которые одновременно подключали свои принтеры к TSD. Сервер решил, что все они находятся в одной локальной сети, и, следовательно, позволил им связать принтеры друг с другом!»


По информации разработчиков, от этой ошибки конфигурации пострадало 73 человека. Дело в том, что один из способов, которым пользователи могут связать принтеры со своими учетными записями TSD, — это «автоматическое обнаружение». Оно основывается на том, что когда устройства в одной локальной сети пытаются подключиться к интернету, у них будет один и тот же IP-адрес. То есть сервер TSD может сопоставить Raspberry Pi с компьютером или телефоном, которые находится в одной локальной сети, чтобы они могли обнаруживать друг друга. Но из-за ошибки разработчиков, пользователи «обнаружили» чужие принтеры, которые оказались доступны через их учетные записи. Ведь сервер решил, что все они находятся в одной локальной сети.


Всех пострадавших уже уведомили об инциденте, а токены безопасности для их принтеров были отключены, то есть теперь «только люди, имеющие физический доступ к конкретному принтеру», смогут снова удаленно управлять им.


«В результате случившегося пострадали 73 пользователя. Это немного. Бывают ошибки, которые затрагивают намного больше людей. Но последствия очень тяжелые. Никто не хочет, чтобы его собственный принтер оказался связан с другой учетной записью и контролировался ею. Я создал The Spaghetti Detective, чтобы позволить всем любителям 3D-печати безопасно контролировать свои принтеры отовсюду. И это одна из худших ошибок, которые я мог допустить», — признает Цзян.


Баг был исправлен через шесть часов после сбоя конфигурации балансировщика нагрузки, и через 90 минут после того, как один из инженеров заметил, что принтеры других пользователей видны в его учетной записи.


Теперь разработчики обещают провести аудит безопасности. Так как TSD – опенсорсный проект, Цзян признавал всех энтузиастов покопаться в его коде и сообщить команде о любых обнаруженных проблемах.

CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Комментарии для сайта Cackle
Войти через: