Хакер смог установить Linux Ubuntu на Tesla Model 3

Пользователь Reddit под ником «trsohmers» опубликовал описание взлома Tesla Model 3. Взлом носит исключительно исследовательский характер без какого-либо злого умысла и ограничился только бортовой развлекательно-интеллектуальной системой.

Процесс и последствия взлома
В основе хака была идея — а что, если добавить электромобилю больше памяти и пару новых модулей? С этой целью «trsohmers» сначала заполучил root-права, а потом установил на «железо» Tesla Model 3 дистрибутив Linux Ubuntu, параллельно с действующей операционной системой электромобиля.

Таким образом бортовой компьютер не утратил своей функциональности, зато хакер получил доступ ко многим системам и опциям машины: например возможность задавать различные команды. Данный взлом наглядно демонстрирует, что установка нескольких операционных систем на железо электромобиля вполне возможна.

Демонстрация возможностей Linux на Tesla
Trsohmers внедрил SSH и через интерфейс CLI обратился непосредственно к Ubuntu, используя обычную командную строку. Ему удалось без проблем загрузить рабочий стол Xfce, подключиться к Интернету, открыть YouTube и посмотреть потоковое видео. При помощи команды htop хакер показал в видео, процессы, запущенные в системе. Командой cpuinfo вывел список оборудования, которое в ней смонтировано.

Trsohmers не исключает, что после такого взлома мог бы реализовать и некие более опасные сценарии использования электрокара, но не хочет этого делать по этическим соображениям. Он и так не уверен, что в Tesla проигнорируют произошедшее и не захотят подать на него в суд. Взлом есть взлом, пусть и без корыстных целей.

Также напомним, что недавно Tesla изменила условия программы Bug Bounty, предусматривающей вознаграждение за поиск уязвимостей в ПО электрокаров. Теперь участники этой программы могут взламывать автомобили Tesla без боязни юр. проблем или отзыва гарантии. Также согласно обновленной политике, компания будет перепрошивать прошивку автомобилей, которая вышла из строя в процессе поиска уязвимостей.

На прошлой неделе Apple опубликовала обновленную страницу отчета компании о прозрачности. В частности, на этой странице компания рассказывает о запросах со стороны государственных органов (вот запись о предыдущем обновлении этого отчета). На странице можно также узнать о различных типах запросов:

- Устройства — идентификаторы устройств (серийные номера, IMEI), касается расследований о потерянных или украденных устройствах.
- Финансовые идентификаторы — запросы о банковских картах, касаются мошеннических транзакций
- Учетные записи — Apple ID, адрес электронной почты, запросы касательно имен владельцев аккаунтов, адрес, и тд. Также включает в себя запросы по получению данных пользователя (фото, почта, резервные копии, и тд)
- Сохранение учетной записи — запросы от правоохранительных органов на сохранение данных об учетной записи для последующих расследований и запросов на получение данных
- Ограничение/удаление учетных записей — тоже, как правило, запросы от правоохранительных органов в случае, если учетная запись была использована незаконно.
- Крайняя необходимость (emergency) — используется в случае угрозы гибели или существенного телесного повреждения человеку, и правоохранительные органы обращаются с такими запросами в случае пропавших людей.
- Вопросы, касающиеся национальной безопасности США.
- Частные запросы в США — запросы в рамках гражданских исков или уголовных расследований, когда запрашивается информация о подключениях к сервисам Apple, транзакциям о покупках или регистрации покупок.


Вся статистика разбита по времени, можно посмотреть роста количества запросов по практически всем категориям. Там же есть разбивка и по странам. Важно, что на страницах отчетов также есть статистика и о том, какое количество запросов было удовлетворено (то есть переданы данные).

Вот, например, отчет по России:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.35.39-PM.png)

А вот по Украине:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.36.02-PM.png)

Но Apple не единственная, кто предоставляет такие отчеты. Вот отчет о прозрачности Google (тоже обновлен две недели назад). Тут тоже наблюдается устойчивый тренд роста:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.39.53-PM.png)

Какие полезные (и не очень) законы начинают действовать в 2019 году?

✅
1. Центробанк запускает сервис быстрых платежей: отправляйте до 600,000 ₽ с обоюдной коммиссией (по 3 ₽ платят отправитель и получатель)
2. С 31 января можно дважды в год проверять кредитную историю в любом БКИ бесплатно
3. С 28 января максимальный долг по потребительскому кредиту ограничится:
3.1 Кредит выдан до 07.2019? MAX долг < СУММА * 2.5, а ставка <= 1,5% в день.
3.2 Кредит выдан позже 07.2019? Ставка ограничится 1% в день.
4. РЖД начинает продавать невозвратные билеты на поезда – будут дешевле обычных
5. Сэкономить на пошлине при регистрации ИП и ООО можно оформив их через ГосУслуги
6. Нерезиденты при продаже недвижимости в России заплатят налог 13% (вместо 30%)
7. Имущественные налоги можно оплатить одним платежом (кто платил в банке - сэкономят на комиссиях)
8. АСВ теперь страхует деньги малого бизнеса, до 1.4млн ₽

⛔️
1. Без пошлин теперь только посылки ценностью < 500 евро и легче 31кг
2. С августа ГИБДД перестанет выдавать номера, будет присваивать при регистрации, а чеканить нужно будет самостоятельно, в сервисе
3. С 1 июня отменяется роуминг внутри страны (и повышаются тарифы на связь)
4. С 1 июля вступает в силу закон о защите дольщиков (ДДУ отменяется, застройщику - проще, покупателю - нет)
5. Пенсионный возраст женщин повышается до 60 лет, мужчин - до 65 лет
6. НДС теперь 20% (купим меньше товаров за те же деньги)
7. В Москве, МО, Калужской области и Татарстане введён налог для самозанятых: 4-6% от дохода (будьте осторожнее с этим, лучше завести ИП или ООО)

Тут развивается интересная и в чем-то даже забавная история с устройствами с поддержкой технологии трансляций видео-контента Chromecast. В декабре я рассказывал про то, как кто-то рассылает на доступные в интернете принтеры с призывом подписываться на канал видеоблоггера в YouTube. Так вот, сейчас происходит нечто подобное, но теперь с медиаплеером Google Chromecast. Хакер Жираф, который уже рассылал приветы на принтеры, поделился новой находкой. Обычно устройства Chromecast, Smart ТВ, и устройства Google Home используют порты 8008, 8009 и 8443 для функций по их управлению, и по умолчанию это работает внутри локальной сети. Некоторые неправильно настроенные роутеры с включенным UPnP делают эти порты доступными в интернете, а дальше дело техники: скрипт ищет такие устройства с портами в интернете, а, обнаружив такое устройство, второй скрипт пытается заставить устройство проиграть определенное видео с YouTube. В видео говорится о том, что "ваше устройство раскрывает вашу информацию", а также призывает подписаться на видеоблогера Pewdiepie на YouTube. В целом ничего нового они не придумали — об этом было известно еще в 2014 году, но тем не менее. Сам факт, что устройство с Chromecast можно такой командой заставить проиграть произвольное видео, должен как минимум у Google вызвать жжение в определенной точке.

Страничка проекта со статистикой и FAQ здесь https://casthack.thehackergiraffe.com

Видео также призывает посмотреть вот эту инструкцию о том, как исправить проблему. Хотя проще всего, конечно, либо отключить UPnP на роутере, или убедиться, что роутер не прокидывает порты 8008, 8009 и 8443 в интернет. Кто-то уже предположил, например, что атаку можно сделать еще более "веселой": можно заставить телевизор проиграть видео, в котором голос даст команду колонке Amazon Echo купить какой-нибудь товар на Amazon, или установить будильник на 3 часа утра, или отключить систему сигнализации в доме. Будущее со всеми его подключенными к интернету устройствами будет, безусловно, прекрасным!