Доклад основан на данных, собранных в рамках нового проекта организации под названием SSL Pulse. Проект использует технологию автоматического сканирования, разработанную поставщиком решений в области безопасности — компанией Qualys. Исследованию подверглись первые 200 тыс веб-сайтов, перечисленных в рейтинге аналитической компании Alexa.

В ходе исследования SSL Pulse проверял, какие протоколы поддерживают веб-сайты с HTTPS (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, и т.д.), длину ключа, используемого для обеспечения связи (512 бит, 1024 бит, 2048 бит и т.д.) и размер поддерживаемого кода (256 бит, 128 бит или ниже).

Половина из почти 200 тыс. сайтов верхней части рейтинга Alexa, поддерживающие HTTPS получили оценку «A» за качество своей конфигурации. Это означает, что они используют сочетание современных протоколов, надежного кодирования и длинных ключей.

Несмотря на это, лишь 10% из проанализированных веб-сайтов были признаны действительно безопасными. 75% (около 148 тыс) оказались уязвимыми для атак, известных под названием BEAST, сообщает ресурс PCworld.

Атака BEAST была продемонстрирована исследователями в области безопасности Джулиано Риццо (Juliano Rizzo) и Тай Дуонг (Thai Duong) на конференции в Буэнос-Айресе в сентябре 2011 года. Это практическая реализация старой теоретической атаки и влияния на блоки SSL/TLS шифров, такие как AES и Triple-DES.

«Самый простой способ смягчить с позиции сервера BEAST нападение — сделать для соединений HTTPS приоритетным шифр RC4, — говорит Иван Ристич (Ivan Ristic), директор по инжинирингу компании Qualys. — RC4 представляет собой потоковый шифр, который не уязвим для этой атаки».

Вместе с поддержкой нескольких протоколов многие HTTPS-серверы также поддерживают несколько шифров, чтобы обеспечить их совместимость с различными клиентами. На сервере могут быть использованы специальные настройки для указания порядка, в котором должны использоваться шифры и установлен приоритет RC4.

«Я думаю, что большинство администраторов просто не знают о том, что необходимо выполнить эту задачу», — сказал Ристич.

Защита от атак BEAST уже встроена в новые браузеры. Тем не менее, многие, особенно в бизнес-среде, еще используют старые браузеры, такие как Internet Explorer 6, остающийся уязвимым.

Сканирование SSL Pulse также показало, что более 13% из 200 тыс веб-сайтов с поддержкой HTTPS допускают перенаправления по небезопасным SSL-соединениям. Эти риски особенно существенны для сайтов с большим количеством пользователей или тех, которые содержат объекты «высокой стоимости» (например, финансовые учреждения, банки, говорится в сообщении MarketWire. Исправление небезопасных уязвимостей достаточно простое и требует лишь применения патча, говорит Ристич.

Организация TIM планирует осуществлять новые сканирования по образцу SSL Pulse на ежемесячной основе для обновления статистики. Это позволит увидеть прогресс в повышении безопасности самых крупных сайтов.

С увеличением вычислительной мощности и быстрым снижением цен на память 64-битные системы становятся основными (по результатам последних статистических данных для «игровых» компьютеров — нажмите «OS Version», чтобы получить статистическое разбиение — в нем видно, что 64-битные системы используются более чем на 60% современных ПК). По большому счету, любой компьютер, произведенный за прошедшие 3 года, совместим с 64-битной Windows, и все высокотехнологичные системы — 64-битные. Далее, большинство компьютеров уже снабжено такими аппаратными средствами, которые адаптированы и показывают лучшую производительность именно под управлением 64-битных ОС. «Родной» 64-битный софт, предустановленный на современных компьютерах, позволяет в полной мере использовать вычислительные способности процессора и памяти, а также позволяет использовать дополнительные функции.

64-битные системы более изощренные в плане защиты. Они имеют преимущество в виде улучшенной собственной системы безопасности, присутствующей в 64-битных версиях Windows Vista и Windows 7; эти повышенные меры защиты базируются на таких механизмах обеспечения безопасности, как обязательная проверка подписи драйверов, защита ядра от изменений и предотвращение выполнения данных (Data Execution Prevention, DEP) на аппаратном уровне. Эти инструменты разработаны специально для того, чтобы минимизировать воздействие руткитов и других сложных вредоносных кодов. Благодаря этим и некоторым другим функциям, 64-битные системы более защищены и безопасны, чем их 32-битные «родственники», по крайней мере, при поверхностном анализе.

Чтобы дополнить собственную систему защиты 64-битных Windows, разработчики решений безопасности, разумеется, бросились предлагать инструменты для спасения пользователей этих ОС исключительно от вирусного порабощения, утверждая, что они защищают от всех типов угроз или инфекций. Но если верить результатам тестирования защиты для 64-битных систем, проведенного порталом , большинство решений потерпело полную неудачу в реальной защите. Реальность такова, что сейчас владельцы 64-битных систем Windows фактически менее защищены, чем их коллеги, пользующиеся 32-битными системами, и сильно проигрывают им в доступном уровне защищенности.

Сравнивая результаты теста на 64-битных ОС (проводимого начиная с зимы 2011–2012) с результатами теста для 32-битных (общие итоги подведены в октябре 2011), становится ясно, что большинство производителей терпит неудачу, когда дело доходит до защиты 64-битных систем. Мы должны задаться вопросом: является ли это нехваткой опыта работы в 64-битной архитектуре или просто ленью со стороны разработчиков? Но, так или иначе, пользователи не защищены. И мы не думаем, что это правильно.

Еще большее уныние вызывают ответы к опубликованным результатам последнего тестирования (комментарии доступны в разделе «последние новости» ( ) для публикации «Тестирование проактивной безопасности 64-битных систем»). Читая между строк, производители явно говорят: «Дайте нам больше времени, и мы придумаем лучшее решение, которое сможет пройти ваши тесты». Но не будем забывать, что 64-битные Windows существуют уже более пяти лет, а платформе Windows 7, использованной для текущего теста, уже больше двух с половиной лет. Возникает вопрос: как пользователи были защищены все это время? И печально, что не единственный антивирусный производитель занимает такую позицию, а большинство.

Слишком часто кажется, что крупные игроки рынка информационной безопасности игнорируют необходимость обращать внимание на тесты защиты от вторжений и блокирование уязвимостей на 64-битных Windows, а именно подобные вещи составляют львиную долю инструментов, используемых в глубоких исследованиях . Эти инструменты моделируют типичные вторжения при помощи стандартных векторов атаки и методов проникновения, используемых реальным вирусами и «угрозами нулевого дня» (Zero-Day), выискивая недостатки систем, которые позволяют настоящим неизвестным вирусам проникать через текущую защиту и наносить ущерб системе.

Большинство продавцов решений безопасности, присутствующих в таблице, исторически избегают участия их продуктов в таких тестах, они считают, что требуемые дополнительные меры защиты будут в ущерб удобства и простоты в использовании продукта. Выбирая между удобством и простотой использования и увеличением безопасности, они предпочитают первое.

Но к каждому замку найдётся ключик. В американских СМИ появилось описание нескольких реальных способов, как мошенники умудряются узнать код, приходящий на телефон. Они используют методы социальной инженерии или, попросту говоря, глупость пользователей.

В первом случае используется массовая рассылка SMS на все номера мобильных телефонов подряд с сообщением о выигрыше в лотерею. Для получения приза нужно зайти по определённому URL и ввести свой адрес электронной почты, после чего вам на телефон придёт код подтверждения — и его тоже нужно ввести на сайте, чтобы получить приз. Как можно догадаться, пользователю на телефон высылается код подтверждения для смены почтового пароля Gmail, который он сам сообщает мошенникам и в ту же секунду лишается доступа к своему почтовому ящику (его адрес он ввёл на предыдущем этапе).

Во втором случае мошенник под видом очень красивой девушки втирался в доверие к пользователям Facebook. Фальшивая "девушка" строила из себя глупышку и говорила, что забыла свой пароль к Gmail, а телефона у неё сейчас нет, поэтому она отправила код к своему ящику на телефон парня. На логичный вопрос "Почему именно мне?" девушка отвечала, что он просто был первый в списке её чат-контактов Facebook, и к тому же он клёвый. В общем, задурманенный внешностью девушки парень сообщал ей пришедший код и тоже сразу лишался доступа к своему почтовому ящику, ведь это был код смены пароля от его собственного аккаунта.

comss.info

Стоит сразу отметить, что для успешного взлома необходим физический доступ к ПК. Впрочем, сама по себе операция занимает считанные секунды и заключается во вводе пары строчек кода, добавляющих новую запись в реестр. Позже злоумышленник сможет вернуться к рабочей станции и вызвать командную строку пятикратным нажатием на клавишу SHIFT (эта комбинация отвечает за включение режима залипания клавиш). Взлом системы также может осуществляться дистанционно в рамках сеанса удаленного доступа по протоколу RDP. Интерфейс командной строки позволит запускать любой процесс, включая «проводник» Explorer и выполнять другие действия, как будто вход в систему уже был произведен.

Обнаруженная уязвимость до сих пор не был закрыта официальным патчем и на сегодняшний день присутствует в системах Windows 7 и Windows Server 2008 R2 (по последним данным, эксплойт также срабатывает в ознакомительной версии Windows 8 Consumer Preview).

По мнению специалистов, существующая уязвимость может представлять серьезную угрозу безопасности корпоративной сети. Нетрудно представить себе ситуацию, в которой рассерженный сотрудник взламывает одну из рабочих станций и копирует секретные файлы на «флэшку» или уничтожает критически важные данные. Пользователь сможет проделать эти действия даже после блокирования или удаления его учетной записи.

Одной из ключевых особенностей описанной уязвимости является отсутствие явных признаков взлома, обнаружить которые можно лишь в результате тщательного изучения реестра Windows. Впрочем, простым и достаточно эффективным решением проблемы может стать заблаговременное отключение режима «залипания клавиш».

Сейчас уже признано, что все эти названия относятся к одному и тому же «супервирусу», размер которого со всеми дополнительными модулями превышает 20 Мбайт. Каждый отдельный модуль Flame может иметь размер до 6 Мбайт, что необычно для вируса, но в полной мере отражает его огромные возможности — вплоть до записи переговоров рядом с компьютером через подключенный микрофон наушников или веб-камеры, либо захвата информации из телефонных книг в смартфонах, расположенных недалеко от ПК, через Bluetooth-адаптер.

Первые случаи обнаружения вируса Flame в «диком виде» зафиксированы в 2010 году в Иране (в августе) и Ливане (в марте). Кроме того, эксперты журнала Wired обнаружили, что файлы, схожие с компонентами вируса Flame, были найдены в Европе (декабрь 2007 г.) и Объединенных Арабских Эмиратах (апрель 2008 г.). Сейчас случаи заражения отмечены во многих странах, хотя большинство пострадавших компьютеров находятся в Иране, на территории Израиля и Палестины, в Сирии, Египте и Судане.

Что касается функций вируса, это крупный модульный комплекс с централизованным управлением по защищенным SSL-каналам. В зависимости от состава установленных модулей он поддерживает похищение засекреченных файлов по заданным признакам, может вести аудиозаписи с отправкой на управляющий сервер, делает снимки экрана (каждые 60 секунд в обычном режиме или каждые 15 секунд, если запущено важное приложение вроде Skype или электронной почты) и подключается к сотовым телефонам в зоне видимости через Bluetooth для копирования телефонных книг. Также вирус умеет менять свое поведения в зависимости от того, какой антивирус обнаружен на зараженной машине. Например, если обнаружен антивирус McAfee, то расширение файлов с исполняемым кодом вируса меняется с .OCX на .TMP.

Большинство экспертов сходится во мнении, что настолько крупный и мощный вирус мог быть создан только при поддержке какого-то государства. Более того, несмотря на отсутствие явных аналогий с вирусами Stuxnet (был направлен на срыв ядерной программы Ирана) и Duqu (считается вспомогательным инструментом, родственным Stuxnet), есть ряд признаков, указывающих на то, что вирус был создан другой командой разработчиков, но в один период и в одной организации. В частности, эксперты нашли в вирусе Flame использование тех же уязвимостей, которые 5 лет назад применялись для распространения вирусов Stuxnet и Duqu через USB-флэшки (с помощью механизма автозапуска и через файлы ярлыков .LNK) и по локальным сетям (с использованием давно закрытой проблемы с переполнением буфера печати в среде Windows). Хотя все эти проблемы давно исправлены, специалисты до сих пор гадают, как именно вирус выполняет начальное заражение компьютеров – есть доказательства, что он может присутствовать в операционной системе Windows 7 со всеми актуальными обновлениями и антивирусами. При этом механизм автоматического распространения и заражения в вирусе отключен, насколько известно.

Технически вирус Flame представляет собой настоящий шедевр вредоносного программирования. Полностью установленный и работающий вирус содержит множество модулей и библиотек, включая СУБД-модуль SQLite3, алгоритмы шифрования с разным уровнем стойкости, средства сжатия и упаковки для захваченной информации, а также более 20 плагинов, которые можно комбинировать в произвольном сочетании. Внутри вируса реализована даже виртуальная машина для исполнения программ на языке LUA, что вообще крайне редко встречается во вредоносном ПО. По умолчанию в коде жестко прописаны адреса пяти управляющих серверов, однако, по команде «из центра» этот перечень можно расширить.

Почему вирус Flame пять лет ускользал от широкого внимания? Возможно, из-за того, что в обычном состоянии он почти не ведет разрушительной деятельности, если не считать накопление и отправку собираемой информации в самых крупных объемах. Чаще всего этот вирус встречается на компьютерах организаций, имеющих отношение к нефтедобывающей и нефтеперерабатывающей отрасли, энергетике и банковским структурам Ближнего Востока и Африки.

В настоящий момент уже несколько антивирусных компаний, включая частные Symantec, Sophos и «Лабораторию Касперского», а также управление компьютерной безопасности Ирана, выпустили соответствующие средства для обнаружения и уничтожения основных компонентов Flame. В то же время, с учетом неизвестной природы распространения вируса, остается непонятным, как именно вирус попал на зараженные машины, почему не проявлял значительной активности до сих пор, и какие последствия может вызвать его «боевое применение». Термин «боевое применение» в данном случае не случаен — по мнению специалистов из разных стран, вирус Flame имеет прямое отношение к военным разработкам для ведения военных действий в киберпространстве.

На сегодняшний день эксперты ЛК обнаружили, что вирус атакует только французских пользователей мобильных устройств на базе OS Android. Они отмечают, что вредоносная программа распространяется по файлообменным сайтам и маскируется под популярные приложения для Android. Mania была замечена под видом приложений Kaspersky Mobile Security, PhoneLocator Pro, CoPilot Live Europe и др.

Если пользователь загружает одно из поддельных приложений, вирус сразу пытается отправить с его номера семь SMS-сообщений на французский платный номер. Текст сообщений всегда разный, однако, в каждом сообщении присутствуют слова «Mania», «Tel» и «Quiz».

Также вирус Mania генерирует якобы проверку лицензии ОС устройства на французском или английском языках. Процесс «проверки» занимает 90 секунд, после чего появляется сообщение о том, что проверка прервана по причине невозможности соединения с сервером.

Как отмечают в ЛК, Mania создана на основе вредоносной программы Foncy, которая использовала такую же схему отправки SMS-сообщений на платные номера. По их мнению, Mania могла быть создана авторами Foncy и продана третьим лицам до того, как самих злоумышленников арестовала французская полиция.

comss.info

Объектами исследования стали 123 портала государственного и финансового секторов, телекоммуникационной, промышленной и других отраслей российской экономики. В среднем на каждый сайт пришлось по 15 уязвимостей. Две трети веб-ресурсов содержали критические уязвимости, и почти на всех сайтах были обнаружены проблемы с безопасностью среднего уровня риска.

Лидером по количеству слабозащищенных сайтов оказались телекоммуникации: 88% ресурсов этой отрасли содержали критические уязвимости. По оценке экспертов Positive Technologies столь большое число уязвимых веб-приложений связано с экстенсивным ростом телекоммуникационных компаний. Широкое распространение сделок по слиянию и поглощению создает чрезмерное многообразие типов информационных систем и оборудования, что превращает обслуживание такого технологического парка в очень сложную задачу.

Вследствие низкого уровня безопасности телекоммуникационных сайтов базы данных клиентов сотовых операторов и другая конфиденциальная информация часто оказываются в руках спамеров и мошенников.

Достаточно много порталов с критическими уязвимостями было обнаружено также в сфере информационных технологий и в государственном секторе, где доли ресурсов с наиболее опасными уязвимостями составляют 75% и 65% соответственно.

Уровень защищенности в промышленной отрасли можно охарактеризовать как средний. Критические уязвимости были найдены на 50% сайтов (это лучше ситуации в телекоме и госсекторе). С другой стороны, в промышленной сфере эксперты Positive Technologies обнаружили целый ряд ресурсов, на которых концентрация критических уязвимостей крайне высока. Злоумышленник может использовать уязвимости на сайте для проникновения в IT-инфраструктуру предприятия, что зачастую грозит самыми печальными и непредсказуемыми последствиями — от промышленного шпионажа до полной остановкой производства или экологической катастрофы.

Наибольшее внимание защищенности своих сайтов от критических уязвимостей уделяют владельцы веб-ресурсов из финансовой отрасли: только 43% проанализированных веб-приложений содержат критические уязвимости. Дополнительный анализ систем дистанционного банковского обслуживания показал, что в них устранены практически все критические уязвимости.

Тенденция развития кибермошенничества на сегодняшний день такова, что преступнику легче проводить атаки на компьютер клиента банка, который оказывается самым слабым звеном в системах удаленного предоставления банковских услуг. Такие уязвимости, как межсайтовая подмена запросов (CSRF, найдена в 6% систем ДБО) и межсайтовое выполнение сценариев (XSS, 18%), не будучи критическими, при определенных условиях позволяют злоумышленнику осуществить фишинг-атаку и совершить кражу.

Впервые новый универсальный вирус для популярных настольных платформ был найден на сайте колумбийской компании Colombian Transport. Заверяя посетителей в том, что это всего лишь безвредный Java-апплет, вирус определяет операционную систему клиентской машины и загружает один из троянцев: Troj/JavaDl-NJ, Mal/Krap-D (оба для Windows), OSX/Dloadr-DPG (для Mac OS X) или Linux/Dldr-GV (соответственно, для Linux). Таким образом, после посещения зараженного сайта и согласия запустить апплет «никто не уйдет без подарков».

В каждом из трех случаев загруженные первоначально файлы запрограммированы на дальнейшие действия – они связываются с управляющим сервером злоумышленников и загружают дополнительные компоненты. Стоит заметить, что на данный момент не удалось зафиксировать ни одного факта такой загрузки – своевременная реакция антивирусных специалистов заставила злоумышленников отключить управляющие серверы, так что пока вирусу просто не с кем связываться, явки провалены. Информация о сервере управления и зараженном сайте передана в соответствующие правоохранительные органы.

В свете появление новой мультиплатформенной угрозы хочется заметить, что это далеко не первый случай появления подобных атак, но они все еще остаются довольно редкими на фоне других, более традиционных угроз. Тем не менее, компании F-Secure и Sophos считают новый вирус довольно опасным, поскольку механизм его распространения слишком уж прост, чтобы доверчивые пользователи могли заподозрить что-либо вредоносное в разрешении на запуск Java-апплета с обычного веб-сайта.

Механизм авторизации MS-CHAPv2 представляет собой популярный способ проверки подлинности пользователя, разработанный компанией Microsoft и впервые представленный в операционной системе Windows NT 4.0 SP4. Несмотря на почтенный возраст, этот механизм по-прежнему часто используется в главных системах авторизации для большинства VPN-клиентов, построенных на использовании технологии PPTP.

Строго говоря, механизм MS-CHAPv2 считается уязвимым к словарной атаке перебором еще с 1999 г., когда был опубликован развернутый криптоанализ от независимых специалистов. Тем не менее, даже с учетом этого открытия многие пользователи до сих пор уверены, что наличие стойкого пароля обеспечивает достаточный уровень безопасности. Как уверен Мокси Марлинспайк (Moxie Marlinspike), автор одной из показанных утилит под названием ChapCrack, стойкость пароля уже не является препятствием для взлома.

Исходным материалом для утилиты ChapCrack является перехваченный сетевой трафик с записанной процедурой установки MS-CHAPv2-соединения, которая обычно используется для сеансов по протоколу PPTP VPN или WPA2 Enterprise. Под действием утилиты защита соединения снижается до так называемого «одинарного» DES-ключа (Data Encryption Standard). В итоге атакующая сторона получает DES-ключ, который можно отправить на дешифровку в сервис CloudCracker.com, коммерческий сайт по вскрытию паролей с помощью специальных FPGA-чипов. Сайт CloudCracker.com, автором которого является Дэвид Халтон (David Hulton) из компании Pico Computing, способен восстановить подобный ключ примерно за сутки. Результаты взлома с сайта CloudCracker далее можно использовать в утилите ChapCrack для дешифровки всего сеанса, перехваченного с помощью утилиты WireShark или других инструментов для прослушки сетевого трафика. Саму утилиту ChapCrack для проверки устойчивости PPTP-каналов ко взломам можно найти в репозитарии GitHub.

Технология PPTP очень широко используется в малых и средних организациях: крупные предприятия используют другие VPN-технологии от вендоров вроде Cisco. Кроме того, PPTP часто используют провайдеры услуг частного VPN-доступа. В качестве примера докладчики привели службу IPredator — VPN-сервис от создателей знаменитого торрент-трекера The Pirate Bay. Сервис IPredator рекламируется, как решение для обхода слежки со стороны провайдеров, но поддерживает только протокол PPTP.

Марлинспайк, как автор технологии взлома, рекомендует корпоративным потребителям и VPN-провайдерам немедленно прекратить использование протокола PPTP и переключиться на другие технологии вроде IPsec или OpenVPN. Компаниям с беспроводными сетями, где используется механизм WPA2 Enterprise и авторизация MS-CHAPv2, тоже рекомендуется быстро сменить эти технологии на альтернативные.

Описание уязвимости RPEF представил Майкл Коппола (Michael Coppola) из компании VSR (Virtual Security Research). По его данным, проблеме точно подвержены модели роутеров Netgear WGR614, WNDR3700 и WNR1000; Linksys WRT120N; TRENDnet TEW-651BR и TEW-652BRP; D-Link DIR-601 и Belkin F5D7230-4. В дальнейшем этот список может сильно расшириться.

Само собой, чтобы превратить домашний или офисный роутер в управляемого «зомби», сначала нужно перехватить управление им и установить новую прошивку. Это можно сделать, если веб-интерфейс роутера открыт для доступа из Интернета (а не только из локальной сети). Как показывают исследования, таких роутеров по всему миру работает очень и очень немало.

Тем не менее, даже если ваш роутер правильно сконфигурирован, доступ к веб-интерфейсу из Интернета закрыт, вы все равно не можете чувствовать себя в безопасности. Фил Первайнс (Phil Purviance) и Джошуа Брашарс (Joshua Brashars) из компании AppSec Consulting показали, как с помощью современных технологий злоумышленники могут без ведома пользователя получить пароль к администраторскому интерфейсу роутера (через историю браузера и с использованием других методов), что в итоге дает потенциальный доступ к перепрошивке роутера.

Стоит заметить, что наиболее подвержены уязвимостям оказались популярные нестандартные прошивки роутеров на базе известного инструментария DD-WRT с открытым исходным кодом. Достаточно посетить веб-сайт с вредоносными JavaScript-сценариями через тот же браузер, через который вы управляете роутером: злоумышленник получит детальное описание модели роутера, внутренних настроек и другие сведения. Шансов заметить смену прошивки немного – многие современные роутеры позволяют сохранить все пользовательские настройки в отдельном чипе памяти NVRAM, которые остаются даже при полной перепрошивке. Доказана теоретическая возможность создания вредоносных прошивок, содержащих клиентские модули ботнета, причем вид веб-интерфейса будет неотличим от оригинального.

Стоит добавить, что ботнеты из роутеров являются не абстрактной опасностью. Еще в 2009 г. компания DroneBL обнаружила червя, заражавшего роутеры и DSL-модемы под управлением система Mipsel, одного из вариантов Linux на базе сборки Debian. В 2011 г. эксперты антивирусной компании Trend Micro нашли аналогичное вредоносное ПО в Латинской Америке – червь поражал роутеры D-Link и самоуничтожался при перезагрузке. С открытием новых уязвимостей такая угроза может стать постоянной – вредоносное ПО может стать частью прошивки и уже не будет исчезать при перезагрузках, так что обнаружить проблему будет очень нелегко.

Примечательно, что сам Майкл Коппола считает, что отсутствие масштабных устойчивых ботнет-сетей на базе роутеров сегодня объясняется лишь дефицитом инструментов для глубокого анализа прошивок на низком уровне. Как раз «вовремя», на той же конференции была представлена утилита FRAK (Firmware Reverse Engineering Konsole), которая значительно расширяет возможности такого анализа.