Menu

Взломали авито: Как меня взломали на Avito и что нужно делать

Содержание

Как мошенники взломали мой аккаунт на «Авито»

Этот текст написан в Сообществе, в нем сохранены авторский стиль и орфография.

Валентина Лаптева

Профиль автора

Я стала получать уведомления о странных сообщениях от продавцов, к которым я не обращалась. Зайдя в приложение, я обнаружила множество сообщений, которые сама не отправляла. Писавший сначала расспрашивал продавцов о товаре, а затем выражал желание купить товар и просил сообщить номер телефон и электронную почту.

Первым делом я поменяла пароль от аккаунта. Однако какое-то время мошенник продолжал писать сообщения. Тогда я разослала всем, кому он уже успел написать, следующее сообщение: «Не отвечайте и ничего не делайте, это мошенники, взломали мой аккаунт».

Мой пароль для сервиса был сложным: содержал строчные и прописные буквы, цифры и специальные символы. Взломать его трудно. Кроме того, при входе в мобильное приложение «Авито» появилось сообщение об утечке паролей и предложении сменить пароль.

То есть от кражи пароля никто не застрахован. Цель мошенников — отправить жертву на фишинговый сайт, где потребуется ввести реквизиты карты и контрольную сумму. Делается это несколькими способами:

Продавцу предлагают воспользоваться «Авито-доставкой». Если продавец сообщает, что не знает, как ей пользоваться, присылают ссылку на подложный сайт справки, маскирующийся под avito.ru. Однако алгоритм защиты от мошенников на Авито научился распознавать такие ссылки и заменять на правильные ссылки справки. Тогда мошенники стали отправлять скриншот с подложной справкой. В ней указано, что продавец должен перейти по ссылке, отправленной покупателем и что для проверки подлинности Авито замораживает на карте стоимость товара. Это неправда, «Авито-доставка» так не работает.

Мошенники имитируют работу сервиса «Авито» и платежной системы. Для этого выманивают у продавца адрес электронной почты и номер телефона. На него затем присылают письмо якобы от сервиса со ссылкой для получения денег, при переходе по которой предлагается ввести данные банковской карты, которыми завладевают мошенники. Если продавец не хочет сообщать адрес электронной почты, присылают поддельный скриншот справки, на котором указано, что покупатель якобы должен ввести эти данные.

Если у продавца вызывает сомнение ввод данных на фишинговом сайте, в ход идут подложные сообщения от техподдержки Авито, призванные убедить жертву, что всё идёт как надо.

Авито пытается бороться с мошенниками. Для этого, например, удаляет сообщение с адресом электронной почты. Но, к сожалению, некоторые люди борются с этим и таки находят способ сообщить эту информацию. Также сервис распознаёт упоминание других мессенджеров и предлагает вести переписку на сервисе, что позволяет при необходимости отследить действия мошенников.

Фишинговый сайт можно и не распознать. Самое надёжное средство — это использовать для оплаты в интернете карту с небольшим количеством денег.

Как русские хакеры взломали Clubhouse

Это краткое содержание выпуска подкаста «Запуск завтра» о Clubhouse. «Практикум» — партнёр подкаста, а мы — дети «Практикума». Если есть время — послушайте выпуск. 

О героях

Первый герой — Александр Крушин, независимый медиаменеджер. Александр основал сервис ClubStat, который собирает и продаёт аналитику пользователей и комнат в Clubhouse.

Второй герой — русский хакер Дмитрий Соболев. Дмитрий нашёл дыру в системе защиты приложения Clubhouse и накрутил себе 200 000 подписчиков, после чего был забанен сервисом.

— Дед, а что такое Clubhouse?

— Это, внучек, в начале 2021 года была такая соцсеть, где фейсбучные интеллектуалы флексили своей отраслевой экспертизой. Сначала туда пускали по талонам, и все были дико на хайпе, а потом всем стало резко плевать. 

— Но почему, дед? 

— Потому что там люди говорили без монтажа и без фильтров, а это было мучительно слушать. В итоге все попробовали по разику и забросили. Остались только бездельники, которым нечем заняться, только радио слушать. Но потом они вспомнили, что им надо работу работать, и они ушли. 

— А сейчас сервис есть?

— Есть. 

— И как там?

— Так, дети, отстаньте от деда. Папа, ты таблетки пил уже? На, пей. 

Инцидент

У Clubhouse всё было хорошо, пока корейский разработчик не обнаружил API приложения. Он описал в документации, как сервис устроен изнутри,
и выложил всё это в открытый доступ. Если есть API и документация, есть повод что-нибудь потыкать. 

Благодаря раскрытому API другие разработчики получили возможность писать программы, чтобы совершать разные действия на серверах Clubhouse. Например, собирать статистику и строить рейтинги популярности гостей и комнат.    

Александр Крушин о том, что такое и зачем нужен ClubStat

ClubStat — сервис, который показывает рейтинг наиболее популярных
у пользователей комнат. С помощью этого инструмента рекламодатели могут анализировать, что происходит в Clubhouse, и прогнозировать, будут ли эффективны рекламные интеграции у конкретных пользователей. 

ClubStat предоставляет глубокую аналитику. Можно узнать, как популярный пользователь Clubhouse провёл эфиры. Например, он участвовал в шести эфирах и на каждый привёл с собой по 5 000 человек. Аналитика покажет, какие эфиры были менее успешными, проанализирует причину. С помощью сервиса можно узнать, сколько человек привёл пользователей в комнату за счёт пуш-уведомления и как долго он удерживал аудиторию.

Сервис не только формирует рейтинги популярных людей, но и поминутно отслеживает, как меняется аудитория в комнате. Можно выяснить, появление какого человека в комнате повлияло на прирост или, наоборот, отток аудитории. 

Как работает алгоритм сбора данных 

Сервис симулирует активность нескольких десятков пользователей. Боты ведут себя как люди и подтягивают нужные данные в единую форму. 

Каждого нового пользователя для пополнения библиотеки регистрируют вручную. Добавляют описание и аватарку, чтобы бот выглядел как живой человек. Это долго, но вполне реально, если у вас около 100 аккаунтов.

За что могут забанить

Аккаунт могут заблокировать по многим причинам, например, если регистрировать бота не через приложение, а через неофициальный API. Причём волна банов пойдёт по всем профилям, которые были зарегистрированы под одним инвайтом. 

Ещё могут забанить за превышение количества запросов к API в секунду. У Александра забанили аккаунт, когда он решил поэкспериментировать со всеми техническими лимитами, которые есть в Clubhouse. «Я знал, что иду на риск, поэтому зарегистрировал новый аккаунт с отдельного инвайта. Так волна банов прошла мимо
и не задела всю сеть».

Как Clubhouse борется с неофициальными сервисами


и почему не идёт на сотрудничество

Clubhouse банит огромные подсети пользователей, которые выглядят подозрительными. Также он перекрывает доступ к нелегальным СДК (software development kit) для передачи голоса. Потом банит тех, кто использовал регистрацию не через Clubhouse, и ограничивает количество активных сессий.

Александр писал в Clubhouse, но с ним никто не вышел на связь. Позже услышали от инвесторов: «Они изучили наш и подобные сервисы и поняли, что могут сделать всё сами, если это будет нужно».

Дмитрий Соболев о бане за 200 000 подписчиков

«В конце января я узнал о том, что появилась социальная сеть по инвайтам, куда хотят все попасть. Стало любопытно. Я выпросил свободный инвайт у знакомого и зарегистрировался. 

После регистрации я удивился, что Clubhouse начислил мне сразу два инвайта.
Я потратил один инвайт, а получил два — звучит выгодно. В мыслях сразу созрел коварный план — нагенерить побольше инвайтов с помощью ботов. Для этого нужно было сначала изучить, что находится внутри приложения. 

После регистрации в Clubhouse пользователя просят предоставить доступ к книге контактов. Я отношусь к этому негативно, потому что именно тогда есть вероятность утечки данных. Поэтому первым делом я пошёл смотреть ресурс, который отвечает за выгрузку контактной книги, и начал сопоставлять его с юзерами Clubhouse.

Оказалось, что этот эндпойнт можно дёргать неограниченное количество раз, причём выгружать контакты довольно большими пачками. Тогда я и придумал способ, как определить номер любого человека, зарегистрированного в Clubhouse.

Проблема Clubhouse была в том, что они не ограничивали объём контактной книги и число раз, сколько эту контактную книгу можно загрузить. Можно было вносить контакты огромными пачками. Если не ошибаюсь, наибольшее количество контактов, которые мне удалось загрузить зараз, было около 100 000.

В результате я загрузил не просто свою контактную книгу, а все номера телефонов, которые только могут быть в принципе, — 0001, 0002, 0003 и так далее. Так я получил живых пользователей Clubhouse, которые соответствуют этим номерам телефонов.

Чтобы защитить сервис от подобных утечек, Clubhouse должен был ограничить возможность загружать контактную книгу повторно. Совершенно непонятно, зачем загружать второй и последующие разы адресную книгу после того, как ты это сделал, когда первый раз установил приложение. 

Другой вариант: не давать загружать книгу много раз или хотя бы ограничить количество контактов. Вряд ли у кого-то из пользователей больше 1000 номеров в адресной книге — в любом случае ограничения должны быть. 

Когда я проводил этот эксперимент, в Москве было около 20 миллионов номеров. Потом я скачал список кодов мобильных операторов Москвы, начал по нему генерировать адресные книги и выгружать пользователей Clubhouse всего российского сегмента. При желании я мог взять также список мобильных номеров любого штата Америки и пройтись точно так же.  

На самом деле, когда я узнал об уязвимости, первым делом сообщил об этом вендору
в лице Clubhouse. Мол, неплохо было бы ограничить число запросов. Ну так, для галочки».

Как удалось накрутить 200К подписчиков и стать топ-1


в российском сегменте 

«В Clubhouse есть механизм, который позволяет подписаться сразу на множество людей одновременно. При онбординге в официальном приложении появляется окошко с возможностью подписки на 50 рекомендуемых пользователей сразу. По сути это один запрос, в котором передаётся массив из 50 ID-шников, и вместо 50 там можно указать 2 500. Больше нельзя, потому что стоит глобальный лимит на количество подписок. 

Дальше я ради интереса указал в этом массиве один и тот же ID пользователя два раза и посмотрел, что произойдёт. Стандартный запрос выглядит так: «подпишись на Самата, на Юлю, на Катю, на Мишу» — на них всех происходит подписка. 

Я же сформулировал запрос: «подпишись на Диму и Диму». В этом случае подписка осуществилась фактически один раз, но счётчик показывал два. Получается, так с одного аккаунта можно накрутить себе счётчик до 2 500 подписчиков, при этом реальный подписчик будет только один. 

Когда я накручивал счётчик на первом аккаунте, цифры сначала дошли до миллиона, но, видимо, на серверах Clubhouse сработал какой-то триггер, и мой аккаунт моментально улетел в бан. Второй аккаунт я довёл до 200 000.

Вообще это полный бред, когда количество подписчиков и реальные подписчики — две разные сущности, которых поддерживают отдельно»

Об уязвимости Дмитрий сразу написал вендору, мол, чуваки, у вас дырка. Ответа не последовало. 

Результат накрутки

Дмитрий: 

«В Clubhouse люди видели количество моих подписчиков, заходили ко мне в инстаграм и предлагали делать разные штуки. Например, просили накрутить столько же подписчиков за деньги или приглашали на конференции. 

Ещё в комнатах, куда приглашали популярных людей, каждому приходилось объяснять, что я не звезда, а цифры фейковые. Это было забавно. 

В описании профиля у меня указано, что я разработчик, исследователь безопасности, дана ссылка на инстаграм. А в инстаграме написано «Казань, Россия». Всё. Несмотря на это, меня всё равно звали в топовые комнаты. Возможно, люди не особо разбираются в том, кого приглашают: если видят, что у меня 200 000 подписчиков, то думают, что все эти люди придут в комнату следом за мной. 

В итоге через две-три недели аккаунт заблокировали. К тому моменту я уже удалил приложение Clubhouse, потому что вся движуха там закончилась. 

Создание инвайтов ботами

Чтобы зарегистрироваться в Clubhouse, в своё время нужно было ввести свой номер телефона, на который придёт СМС с кодом подтверждения. Сервер Clubhouse не даёт зарегистрироваться два раза на один и тот же номер, но прикол в том, как они проверяют этот телефон. 

Например, если вы напишете номер +7-916-746-43-06 и добавите между 916 и 746 пробел, то Clubhouse подумает, что это другой номер телефона. Вы даже можете добавить не один пробел, а два, три пробела — и так на один номер зарегистрироваться три раза. Каждый раз Clubhouse будет думать, что вы даёте ему новый номер телефона. СМС с кодом будут вам доходить, потому что сервис рассылки убирает лишние пробелы.

Благодаря этой уязвимости Дмитрий смог зарегать довольно много аккаунтов для различных действий. Например, он сделал бота в Телеграме, который бесплатно раздавал инвайты: отправляешь боту номер телефона, он в ответ тебе присылает инвайт. За всё время работы бота Дмитрий раздал где-то 10 000 инвайтов.

Дырявые сервисы — это норма

На самом деле с безопасностью всё плохо не только у стартапа типа Clubhouse, но и вообще у всех, наверное, за исключением Фейсбука, ВКонтакте, Google и Яндекса. 

«К сожалению, наши данные в интернете ничего не стоят. И никакой реальной ответственности компании из-за проблем с безопасностью данных не несут. Поэтому мы, программисты, продолжаем делать дырявые сервисы, это просто реальность.

Мы не представляем, как информация, которую мы выкладываем в интернет, дальше живёт своей жизнью. Это очень большая проблема. Поэтому хочется объяснить людям, как устроена приватность в интернете».

Ещё больше удивительных историй — в подкасте «Запуск завтра». Запуск завтра, а слушать можно уже сегодня.

Ведущий подкаста:

Самат Галимов

Редактор подкаста:

Юля Яковлева

Продюсер подкаста:

Павел Боровков

Звукорежиссёр:

Нина Мамотина

Дизайнер обложки

подкаста:

Пётр Сутупов

Редакторы конспекта:

Сервис «Чистовик», Максим Ильяхов

Корректор «Кода»:

Ира Михеева

Вёрстка статьи:

Кирилл Климентьев

Соцсети:

Алина Грызлова

Популярный менеджер паролей взломали… или нет. Что происходит?


Пользователи популярного менеджера паролей LastPass жалуются в сети, что им приходят уведомления о взломе — компания уже прокомментировала ситуацию. На это обратили внимание несколько зарубежных СМИ, в том числе Bleeping Computer и 9to5Mac.

Согласно источнику, в сети увеличивается количество жалоб на уведомления безопасности от LastPass. Пользователи рассказывают об этом везде, где только можно: в личных Twitter-аккаунтах и под чужими постами, на форуме Reddit и т.д. Юзеры LastPass массово получают письма от менеджера паролей с таким содержанием:

«Кто-то просто использовал ваш главный пароль, чтобы попытаться войти в вашу учетную запись с устройства или места, которое мы не узнали. LastPass заблокировал эту попытку, но вам стоит присмотреться. Это были вы?»

Отмечается, что это не поддельные письма — уведомления о взломе мастер-пароля (который защищает все остальные пароли пользователя) действительно приходят от LastPass.

Разработчики менеджера паролей изучили множество жалоб от клиентов и поспешили успокоить их. По словам LastPass, уведомления приходят из-за деятельности ботов — эти автоматические системы пытаются подобрать пароль пользователей различных сервисов, и теперь, похоже, нацелены на клиентов менеджера паролей.

LastPass заверяет, что на данный момент ни один аккаунт не попал в руки злоумышленников — по крайней мере, разработчикам таких случаев не известно. Компания отлично умеет «отбивать» атаки ботов, поэтому пользователи могут быть спокойны. Однако LastPass рекомендует сменить мастер-пароль и сделать его более сложным, ведь сам факт поступления предупреждений о взломе означает, что бот всё-таки смог подобрать пароль.

К слову, некоторые пользователи уже ответили на это сообщение — по их словам, мастер-пароль, который они придумали, является уникальным и больше нигде ими не используется. Одновременно с этим исследователь безопасности Боб Дьяченко недавно обнаружил в сети архивы учетных данных пользователей LastPass — они находились в журналах деятельности вредоноса Redline Stealer. Компания пока никак не прокомментировала всё это. 


iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru

В России хакеры взломали тысячи камер видеонаблюдения в гостиницах и массажных салонах

О взломе камер косвенно свидетельствуют данные сервисов Shodan и Censys, предназначенных для поиска подключенных к интернету устройств, сообщил «Известиям» руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.

По его словам, существует много Telegram-каналов, пабликов «ВКонтакте» и форумов в интернете, где продают доступы ко взломанным камерам или видео с них. Владельцы гостиниц, салонов красоты и прочих видов бизнеса ставят в своих помещениях камеры в целях безопасности. Часто такие камеры оказываются непосредственно в номерах или кабинетах, где проводятся интимные услуги. При этом они не всегда защищены должным образом, отметил Бедеров.

Эксперт «Лаборатории Касперского» Виктор Чебышев, ссылаясь на данные открытых источников, утверждает, что уязвимые камеры расположены по всему миру. По данным автора Telegram-канала Russian OSINT Сергея Иванова, часто доступы продают по подписке. Правда, иногда после получения оплаты пользователя блокируют.

Обычно злоумышленники вымогают деньги либо у владельцев бизнеса, либо у героев компрометирующих видеороликов, указал Бедеров. Для идентификации людей в кадре часто используются всевозможные сервисы для опознания людей по фото. Если люди не опознаются таким образом, всегда можно найти организацию, где эти камеры установлены. «Дальше они приходят к владельцу бизнеса и требуют у него деньги», — сообщил эксперт.

Сергей Иванов не исключает, что записи могут служить для устранения конкурентов по бизнесу, поскольку подобный слив и огласка могут причинить репутационный ущерб компании.

Владельцы редко занимается обеспечением элементарной безопасности камер, что открывает злоумышленникам легкий доступ к устройствам. Используя Shodan или аналогичный сервис, злоумышленники находят открытые IP-порты камер наблюдения и взламывают их. Как правило, сделать это несложно, поскольку мало кто меняет пароль, установленный по умолчанию.

Независимый исследователь даркнета Олег Бахтадзе-Карнаухов сообщил, что чаще всего злоумышленники взламывают камеры с сетевым портом 37777. Среди других популярных портов — 8000, 554, 8008 и 37778. Сетевой порт — это программный интерфейс, которым устройство пользуется для обмена информацией.

Эксперт добавил, что спрятать камеру в сети нельзя. Однако, чтобы мошенники не обратили внимания на устройство, владельцу бывает достаточно сменить предустановленный производителем пароль. Ведь поисковые фильтры того же Shodan можно настроить так, чтобы в выдаче отображались камеры только с заводскими настройками.

Обнаружить скрытую камеру несложно. Сделать это можно с помощью мобильного приложения, которое визуализирует данные с магнитного сенсора смартфона. Счетчик будет зашкаливать, если в подозрительном предмете есть работающая электроника, которая генерирует магнитное поле.

Подписывайтесь на наш TG-канал, чтобы быть в курсе всех новостей и событий!

Фото на обложке: poylock19 / Shutterstock

Как восстановить аккаунт на Авито

Когда речь заходит об объявлениях в интернете, одна из первых ассоциаций в мозгу пользователя — Авито. Да, это без сомнения удобный сервис. Ввиду практичности, им пользуется огромное число людей. Однако, чтобы обеспечить наибольшую безопасность и избежать проблем с работой сайта, его создатели были вынуждены разработать свод правил. Их грубое нарушение, обычно, влечет за собой блокировку профиля.

Восстановление Личного кабинета на Авито

Даже в случае, если сервис заблокировал аккаунт, шанс его восстановить все же есть. Здесь все зависит от того, насколько было грубым нарушение, были ли они раньше и т.п.

Чтобы восстановить профиль, нужно направить соответствующий запрос в службу поддержки. Для этого:

  1. На главной странице Авито, в ее нижней части, находим ссылку «Помощь».
  2. В новой странице ищем кнопку «Отправить запрос».
  3. Здесь заполняем поля:
  • Тема запроса: Блокировки и отклонения (1).
  • Тип проблемы: Заблокированная учетная запись (2).
  • В поле «Описание» указываем причину блокировки, желательно упомянуть случайность данного проступка и пообещать не допускать нарушений в дальнейшем (3).
  • «Email»: пишем свой адрес электронной почты (4).
  • «Имя» — указываем свое имя (5).
  • Нажимаем «Отправить запрос» (6).
  • Как правило, техподдержка Авито идет пользователям навстречу и разбанивает профиль, а потому, остается лишь ждать рассмотрения заявки. Но, если, в снятие блокировки отказывают, единственный выход — создание нового аккаунта.

    Мы рады, что смогли помочь Вам в решении проблемы.
    Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
    Помогла ли вам эта статья?
    ДА НЕТ
    Поделиться статьей в социальных сетях:

    Как взломать аппаратный криптокошелек | Блог Касперского

    Аппаратные криптокошельки считаются самыми безопасными. Но, как мы знаем, абсолютной защиты просто не бывает — и такие кошельки тоже можно взломать. На 35-м Chaos Communication Congress исследователи безопасности Томас Рот (Thomas Roth), Джош Датко (Josh Datko) и Дмитрий Недоспасов продемонстрировали несколько способов, как это сделать. Но прежде чем окунуться в тонкости взлома, давайте немного освежим в памяти, что же такое этот аппаратный кошелек и как он работает.

    Что такое криптокошелек?

    Сначала разберемся, что представляет собой обычный криптокошелек. Грубо говоря, это счет для хранения криптовалюты. Он состоит из пары криптографических ключей — открытого и закрытого. Очень грубо это похоже на связку логина и пароля: открытый ключ выступает в качестве адреса кошелька, а закрытый нужен для доступа к койнам, то есть для подписи исходящих транзакций.

    Теперь давайте разберемся, как в криптосистемах генерируются пары ключей, когда одному человеку принадлежит множество кошельков. Согласитесь, хранить несколько сгенерированных пар ключей по отдельности не очень удобно. Поэтому на самом деле системы криптовалют генерируют одно большое число — криптографическое зерно (seed), на основе которого неким предсказуемым образом можно получить нужное число пар открытых и закрытых ключей для нескольких кошельков.

    Именно это число — криптографическое зерно — в действительности хранит у себя пользователь системы криптовалюты.

    В отличие от традиционных финансовых систем, криптовалюты обычно не подконтрольны никаким централизованным органам, в них нет механизмов регистрации, возврата платежей и восстановления доступа к счету. Тот, у кого есть криптографическое зерно и производные ключи, и является владельцем криптокошельков, с которыми связаны эти ключи. Если зерно будет потеряно или украдено, жаловаться владельцу будет некуда, и ему придется распрощаться с койнами в своих кошельках.

    Кстати, хотя формально кошельком считается связка открытого и закрытого ключей, в большинстве случаев любые средства хранения этих ключей также называются кошельками. Таким образом, аппаратный кошелек — это устройство, хранящее криптокошельки.

    Зачем вообще нужны аппаратные криптокошельки?

    Учитывая важность криптографического зерна, стоит позаботиться о том, чтобы оно было как можно лучше защищено. Есть множество способов хранения зерен, у каждого из которых свои преимущества и недостатки. Удобнее всего хранить зерна на компьютере или смартфоне, а еще удобнее — на специализированном сайте в Интернете. Однако у таких способов хранения есть масса проблем. Вредоносные программы, ворующие криптокошельки, — совсем не редкость. А веб-кошельки могут не только стать жертвой взлома, но и обанкротиться, утащив за собой на дно тонны койнов.

    Прибавьте к этому массу других напастей, включая фишинг, подмену платежных реквизитов, утрату кошельков из-за аппаратных сбоев и многое другое. Для решения всех этих проблем и были придуманы аппаратные криптокошельки — отдельные устройства, на которых криптографические зерна хранятся надежно и безопасно.

    Как работают аппаратные криптокошельки?

    Основной принцип работы аппаратного криптокошелька заключается в том, что криптографическое зерно никогда не должно покидать устройство. Все криптографические операции производятся прямо внутри устройства, а не на компьютере, к которому он подключен, — наружу отправляются уже подписанные транзакции. Таким образом, даже если ваш компьютер будет скомпрометирован, злоумышленники не доберутся до ваших ключей.

    Также не помешают дополнительные меры проверки доступа, например возможность запереть устройство PIN-кодом. И конечно, очень удобно, если можно проверить транзакцию прямо на устройстве, а затем подтвердить ее или отклонить.

    Все эти требования привели разработчиков к оптимальному дизайну: обычно аппаратный криптокошелек выглядит как небольшой USB-брелок с дисплеем и несколькими кнопками для ввода PIN-кода и подтверждения транзакций.

    Однако внутри они устроены по-разному. Два ведущих производителя аппаратных кошельков — Trezor и Ledger — используют два разных подхода к проектированию «железной» части брелоков.

    Подход Ledger: хранение криптографического зерна в чипе Secure Element

    Устройства Ledger, а именно модели Ledger Nano S и Ledger Blue, оснащены двумя главными чипами. Один из них — Secure Element, специальный микроконтроллер для хранения конфиденциальных криптографических данных. Такие чипы применяются в SIM-картах, банковских картах и смартфонах с поддержкой Samsung Pay и Apple Pay.

    Второй чип представляет собой микроконтроллер общего назначения, решающий периферийные задачи: управление USB-подключением, дисплеем, кнопками и так далее. Он выступает в роли посредника между чипом Secure Element и внешним миром, в том числе самим пользователем. Например, каждое подтверждение транзакции пользователем проходит через микроконтроллер общего назначения, а не через чип Secure Element.

    Но даже хранение криптографических зерен в защищенном чипе не сделало устройство Ledger полностью неуязвимым. Взломать чип Secure Element и украсть криптографическое зерно крайне сложно, но микроконтроллер общего назначения — другое дело. Если его скомпрометировать, можно сделать так, что кошелек будет подтверждать транзакции злоумышленников.

    Исследователи изучили прошивку Ledger Nano S и выяснили, что кошелек можно перепрошить скомпрометированной версией, записав определенное значение в нужный адрес памяти. Разработчики Ledger защитили этот адрес от записи. Однако оказалось, что микроконтроллер допускает изменение адресации памяти — то есть заветной ячейке памяти можно назначить другой адрес, который в список заблокированных не входит. Исследователи воспользовались этой аппаратной особенностью и загрузили в Nano S модифицированную прошивку. В демонстрационных целях эта модификация содержала игру «Змейка» — но вместо нее мог бы быть, например, вредоносный модуль, подменяющий адрес кошелька во всех исходящих транзакциях.

    Другой способ компрометации аппаратного кошелька основан на аппаратных имплантах. Джош Датко смог подключить к Ledger Nano S недорогой имплант, который нажимает кнопку подтверждения при получении вредоносной команды по радио. Судя по всему, таким способом можно скомпрометировать любой аппаратный кошелек — исследователь выбрал в качестве жертвы своего эксперимента Ledger Nano S просто потому, что это самый компактный из криптокошельков, поэтому встроить имплант в него было сложнее всего.

    Другое устройство того же производителя, Ledger Blue, оказалось уязвимым к атакам по сторонним каналам. Ledger Blue — это аппаратный кошелек с большим тачскрином и емкой батареей. Выяснилось, что из-за неудачного дизайна печатной платы она излучает вполне различимые радиосигналы, когда пользователь вводит PIN-код. Исследователи записали эти сигналы и натравили на них алгоритм машинного обучения, который научился распознавать их с точностью 90%.

    Подход Trezor: хранение криптографического зерна во флеш-памяти микроконтроллера общего назначения

    Кошельки Trezor устроены немного иначе. В них нет чипов Secure Element, и всеми процессами в устройстве управляет один-единственный чип — микроконтроллер общего назначения на базе архитектуры ARM. Этот чип отвечает как за хранение и обработку криптографических данных, так и за управление USB-подключением, дисплеем, кнопками и всем остальным.

    Теоретически такая конструкция должна упростить взлом прошивки устройства для доступа к криптографическому зерну, спрятанному во флеш-памяти микроконтроллера. Но, как убедились эксперты, инженеры Trezor хорошо поработали над безопасностью прошивки, поэтому им пришлось направить свои усилия на взлом аппаратной части — и они в этом преуспели.

    Исследователи использовали методику под названием voltage glitching — она заключается в том, что на микроконтроллер подается пониженное напряжение, чтобы спровоцировать сбои в его работе. С помощью этого метода они переключили состояние чипа Trezor One с «доступ отсутствует» на «частичный доступ». После этого они смогли считывать оперативную память чипа, но содержимое флеш-накопителя оставалось недоступным для чтения.

    Однако исследователи выяснили, что после начала обновления прошивки чип помещает криптографическое зерно в оперативную память, чтобы оно сохранилось во время перезаписи флеш-памяти. Все, что им оставалось, это начать процесс обновления прошивки и извлечь содержимое всей памяти. После этого найти криптографическое зерно оказалось несложно — оно хранилось в оперативной памяти в виде незашифрованной мнемонической фразы (то есть набора обычных слов вместо случайного числа), которую легко обнаружить.

    Дамп памяти содержит криптографическое зерно в виде мнемонической фразы, а также PIN-код (в данном случае 1234), записанные открытым текстом

    Заключение

    Нужно понимать, что большинство описанных методик взлома, которые нашли Томас Рот, Джош Датко и Дмитрий Недоспасов, сложны и подразумевают физический доступ к устройству. Так что не спешите выбрасывать свой кошелек Ledger или Trezor. Если злоумышленникам не удастся наложить на него руки, ваши биткойны никак не пострадают (разве что обесценятся).

    С другой стороны, стоить помнить о существовании атак через цепочку поставок. Аппаратные кошельки сравнительно несложно модифицировать и скомпрометировать партию перед продажей. Разумеется, это можно сделать и с обычными ноутбуками или смартфонами. Но в этом случае киберпреступники не могут гарантировать, что будущий хозяин ноутбука станет хранить на нем криптовалюту. А вот насчет аппаратного кошелька можно быть уверенным — рано или поздно он будет использован для хранения криптовалюты.

    Производители аппаратных кошельков ищут пути решения этой проблемы — например, наносят защитные стикеры на упаковку устройств и создают страницы на своих сайтах, где пользователи могут проверить безопасность своих кошельков. Но подобные меры не очень-то работают и могут сбивать владельцев кошельков с толку.

    Впрочем, в отличие от некоторых других аппаратных кошельков, устройства Ledger и Trezor действительно проектируются с акцентом на безопасности. Просто не заблуждайтесь, думая, что их никак нельзя взломать. Лучше предпринять дополнительные меры по защите своего криптосостояния:

    • Покупайте аппаратные криптокошельки только у зарекомендовавших себя поставщиков.
    • При покупке внимательно проверьте упаковку и устройство на наличие следов вмешательства.
    • Для полной уверенности стоит вскрыть устройство и убедиться в том, что на плате нет никаких посторонних элементов.
    • Храните свой криптокошелек в надежном месте и проследите, чтобы он не оказался в руках людей, которым вы не доверяете.
    • Используйте на своем компьютере для работы с криптовалютой надежное защитное решение — многие описанные методы взлома полагаются на установку вредоносных программ именно на компьютер, к которому подключен аппаратный кошелек.

    Дополнительные рекомендации в отношении кошельков Trezor:

    • Trezor является открытой платформой — как программной, так и аппаратной. Если умеете держать в руках паяльник, можете создать собственный аппаратный кошелек на основе продающихся в магазине компонентов. Так вы будете полностью уверены, что никто не модифицировал аппаратную часть вашего кошелька.
    • Устройства Trezor предлагают дополнительную защиту на основе парольной фразы, исключающей извлечение криптозерна (в этом режиме защиты хранящееся зерно не будет полным без парольной фразы). Подумайте о том, чтобы использовать этот режим.

    Полную версию выступления исследователей вы можете посмотреть по приведенной ниже ссылке. Это весьма интересное и познавательное видео для владельцев аппаратных кошельков.

    хакеров ограбили российские банки, наблюдая за глобальным ограблением

    Полиция изъяла сотни банковских карт и SIM-карт с вымышленными именами после ареста членов банды за ограбление банка.

    МВД России

    Поддельные банковские операции, GPS и порно-приложения привели к массовому ограблению банков по всей России на протяжении более года.

    В понедельник российские официальные лица объявили об успешной серии рейдов против хакерской банды, которая замышляла ограбление банков по всему миру. По данным Министерства внутренних дел России, банда, названная в честь вредоносного ПО «Cron», заразила более миллиона телефонов Android в России и украла более 50 миллионов рублей (примерно 892 000 долларов, 685 412 фунтов стерлингов, 1,2 миллиона австралийских долларов) у клиентов банка.

    Российские хакеры попали в заголовки газет в последние месяцы. В марте выяснилось, что к историческому взлому 1.5 миллиардов учетных записей Yahoo, и США продолжают расследование вмешательства российских хакеров в президентские выборы 2016 года. Этот последний арест является напоминанием о том, что гражданам России также приходится сталкиваться со взломами из своей страны.

    Cron, вредоносная программа для Android, захватила телефон человека, позволяя ворам отправлять текстовые сообщения в банк жертв и просить его перевести в среднем 140 долларов на жертву, по данным российской компании по кибербезопасности Group-IB. Затем вирус скрывал все входящие уведомления из банков на зараженных телефонах.

    По словам исследователей, на данный момент Cron разместил хакеры на 6000 банковских счетов. Он распространяется как троянский вирус через вредоносные ссылки в текстовых сообщениях и поддельные приложения. По данным Group-IB, в среднем 3500 жертв в день загружали фальшивые версии приложений, таких как Navitel, Avito и Pornhub. Схема была успешной в России отчасти потому, что каждый пятый взрослый в стране пользуется мобильным банкингом, по данным Центрального банка России.

    «Согласно нашему отчету о тенденциях в сфере высокотехнологичных преступлений, в 2016 году мобильные Android-трояны вызвали общие убытки в размере более 6 миллионов долларов, что на 471 процент больше, чем в предыдущем отчетном периоде», — сказал Дмитрий Волков, руководитель отдела анализа угроз. и соучредитель Group-IB.

    Группа нацелена на 50 крупнейших банков в России и планировала глобальную экспансию, нацелившись на банки в США, Германии, Франции, Сингапуре, Австралии и других странах в начале 2016 года. Хакеры платили 2000 долларов в месяц за троян под названием Tiny.z в июне прошлого года, что позволило бы им воровать из банков по всему миру, согласно Group-IB.

    Большинство ее членов были арестованы 22 ноября прошлого года перед международным ограблением. Последний активный участник был арестован в апреле в Санкт-Петербурге.Петербург. Российские офицеры арестовали 20 человек в шести регионах, в том числе лидера банды, 30-летнего мужчину в Иванове.

    Полиция изъяла компьютерное оборудование, сотни банковских карт и поддельные SIM-карты, по данным МВД России. Правительство опубликовало видеозаписи их арестов, которые вы можете посмотреть здесь.

    Group-IB впервые обнаружила вредоносное ПО Cron в марте 2015 года, когда хакеры создали поддельные версии магазина Google Play и Viber. По словам исследователей, все взломанные устройства работали на Android.

    «Мы отслеживали это семейство вредоносных программ в течение нескольких лет и продолжим принимать меры по его вариантам для защиты наших пользователей», — сказал представитель Google.

    С более чем 2 миллиардами устройств в мире и фрагментированными обновлениями безопасности пользователи Android были главной целью, сообщает Group-IB.

    На Google I / O компания объявила о своих усилиях по распространению важных обновлений безопасности на большее количество устройств с помощью Project Treble.

    Tech Enabled: CNET ведет хронику роли технологий в обеспечении новых видов доступности.

    Батареи в комплект не входят: Команда CNET напоминает нам, почему технологии — это круто.

    Avito назван самым посещаемым сайтом объявлений в мире по версии Similarweb

    Материалы для пресс-релизов от Business Wire. Сотрудники AP News не участвовали в его создании.

    https://apnews.com/press-release/business-wire/technology-europe-russia-7ad948864c9b44b3b7f41ea82aa98aa6

    Нажмите, чтобы скопировать

    MOSCOW — (BUSINESS WIRE) — 15 декабря 2021 —

    Веб-сайт аналитики

    Платформа Similarweb опубликовала рейтинг самых посещаемых в мире сайтов с тематической рекламой в ноябре 2021 года.Avito занял первое место, впервые сместив американский Craigslist с лидирующей позиции.

    Avito, ведущая платформа онлайн-объявлений в России, обогнала американский Craigslist как самый посещаемый веб-сайт с тематическими объявлениями в мире по результатам ноября 2021 года, согласно аналитической платформе веб-сайтов Similarweb. Craigslist — один из старейших в мире сайтов с тематической рекламой, который уже много лет занимает первое место в рейтинге Similarweb.

    Общее количество посещений Авито достигло 279.6 миллионов в ноябре, по данным Similarweb. В течение месяца пользователи проводили на платформе в среднем почти 12 минут за одно посещение и просматривали более 11 страниц с рекламой. Количество страниц за посещение — это популярный показатель вовлеченности, который рассчитывается путем деления общего количества просмотров веб-сайта на общее количество посетителей, отмечает Similarweb.

    Avito также стал мировым лидером по общему количеству публикаций, в настоящее время на сайте размещено более 86 миллионов активных рекламных объявлений. Среди компаний в списке только Craigslist не раскрывает общее количество объявлений, опубликованных на его платформе.

    Avito дополнительно занял 14-е место в рейтинге Global e-commerce и торговых сайтов Similarweb и первое место среди российских онлайн-площадок, показав лучшие поведенческие показатели (по показателю отказов и продолжительности посещения) среди российских сервисов.

    В октябре мобильное приложение Avito заняло первое место в России в нескольких рейтингах отечественных торговых приложений, составленных аналитической службой App Annie. Мобильное приложение Avito было названо лидером по количеству активных пользователей, общему количеству сеансов, времени, проведенному пользователями в приложении, а также общему количеству загрузок с момента запуска приложения.

    Владимир Правдивый, генеральный директор Avito, прокомментировал:

    «Avito — уникальное явление для России: это имя стало нарицательным, как и Google во всем мире. Avito также стал образом жизни для многих россиян, и в результате деятельности на нашей платформе появилась даже новая профессия, которая называется авитолог. Все это стало возможным, потому что Avito является крупнейшей и наиболее безопасной платформой в стране для удовлетворения широкого спектра повседневных потребностей, от покупки и продажи товаров и автомобилей до поиска работы и услуг, аренды дома и многого другого.

    «Avito стал не только популярным местом для каждого россиянина, но и ключевой платформой для развития малого и среднего бизнеса, а также крупных предприятий. Наша ориентация на предоставление ценности нашим клиентам, а также постоянные инновации позволили нам стать номером один в России, а теперь и в мире. Но мы не останавливаемся на достигнутом и продолжим двигаться вперед и разрабатывать новые модели, которые будут способствовать нашему лидерству в России и во всем мире ».

    Об Avito

    Avito — ведущая служба тематических объявлений в России, с почти 50 миллионами пользователей в месяц и более 86 миллионами активных рекламных объявлений, размещенных на ее платформе.Основанная в 2007 году, Avito превратилась в крупный и уникальный онлайн-сервис с массой неиспользованных возможностей. Он признан нарицательным по всей стране благодаря тому, что предлагает безопасные и удобные транзакции для частных лиц, а также для малого и среднего бизнеса. Пользователи могут находить и продавать широкий спектр продуктов, помимо перечисления вакансий, услуг, недвижимости и многого другого. А давая вторую жизнь бывшим в употреблении объектам, пользователи Avito помогают окружающей среде: по оценкам компании, в 2020 году товары, обмениваемые на платформе, позволили сократить выбросы парниковых газов примерно на 18 миллионов тонн или достаточно материала для создания 23 новых свалок.Avito — это интегрированная услуга, предлагающая доставку через службу Avito Delivery (Dostavka), которая позволяет пользователям делать покупки по всей России. Avito был признан самым посещаемым веб-сайтом с тематическими объявлениями в мире в ноябре 2021 года по версии аналитической платформы Similarweb.

    См. Исходную версию на businesswire.com: https://www.businesswire.com/news/home/20211215005951/ru/

    КОНТАКТ: Ульяна Смольская

    Директор по связям с общественностью

    Телефон: +7 964 500 75 19

    E-mail: uasmolskaya @ avito.ru

    КЛЮЧЕВОЕ СЛОВО: СЕВЕРНАЯ АМЕРИКА СОЕДИНЕННЫЕ ШТАТЫ РОССИЯ СОЕДИНЕННОЕ КОРОЛЕВСТВО ЕВРОПА

    КЛЮЧЕВОЕ СЛОВО ОТРАСЛИ: ДРУГАЯ РОЗНИЧНАЯ ИНТЕРНЕТ-РОЗНИЧНАЯ ТЕХНОЛОГИЯ ДРУГИЕ КОММУНИКАЦИИ МАРКЕТИНГ РЕКЛАМА КОММУНИКАЦИИ ДРУГИЕ ТЕХНОЛОГИИ РОЗНИЧНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ИНТЕРНЕТ

    ИСТОЧНИК: Avito

    Авторские права Business Wire 2021.

    PUB: 15.12.2021 14:06 / DISC: 15.12.2021 14:06

    http://www.businesswire.com/news/home/20211215005951/en

    Пользователь «Avito» потеряли почти 120 тысяч рублей из-за уязвимости в сервисе

    2020-12-06

    В сервисе Avito обнаружена уязвимость, позволяющая приносить деньги покупателям при продаже товаров через Avito доставку.Об этом сообщает Коммерсантъ.

    О мошеннической схеме рассказал пользователь сообщества Pikabu. В декабре 2020 выставил на продажу товар на 119000 рублей, затем товар передали в службу доставки Boxberry. Когда клиент должен был перевести деньги за покупку, аккаунт продавца был взломан. После восстановления доступа к нему выяснилось, что все данные в нем изменены, и денег на счету не было.

    Взлом произошел из-за того, что его номер телефона был указан в batchberry, предположила жертва.Для идентификации владельца аккаунта достаточно было позвонить с номера, привязанного к профилю Avito, в службу поддержки компании. Мошенник, захвативший доступ к данным из счета, мог позвонить в Avito от имени продавца по номеру номера и получить доступ к аккаунту.

    Представитель Avito подтвердил, что злоумышленники могут оформить себя за клиента при обращении в службу поддержки. В компании также сообщили, что решили решить проблему, изменив правила для операторов: теперь при звонке клиентам по телефону служба поддержки запрашивает дополнительные данные.

    Boxberry также сообщил, что компания изменит доступ покупателя к информации в счете. Если теперь он знает номер отправления и номер телефона продавца, то «в ближайшее время покупатель получит только номер счета». У некоторых сотрудников службы есть доступ к данным об отправке посылок, поделился представитель Boxberry. Она исключила вероятность того, что кто-то из сотрудников причастен к мошенничеству, поскольку «они несут материальную ответственность и подписывают обязательство о неразглашении личных данных клиентов и коммерческой тайны».«

    Ведущий эксперт« Лаборатории Касперского »Сергей Голованов заявил, что такие обязательства не защищают от злоупотреблений, и утечка данных может произойти на любом этапе. Решением проблемы может стать отказ от использования номеров телефонов для идентификации клиентов и переход на другие надежные методы, например, для идентификации устройства или генерации электронного кода.

    И победителями Docker Global Hack Day # 3 стали …

    Качество взлома Docker и количество участников сообщества Docker были просто феноменальными! Более 2000 членов сообщества посетили мероприятия по всему миру, а 50 встреч организовали местные выпуски Docker Hack Day # 3.Престижность сообществу Docker и организаторам встреч Docker за помощь в организации этого практического мероприятия!

    Сорок два действительных проекта были представлены на окончательное судейство до крайнего срока, установленного на прошлой неделе, и жюри, состоящее из экспертов Docker, с трудом выбирало победителей Local Edition!

    Голосование за победителей конкурса завершилось вчера, и результаты уже подведены! Сообщество Docker через социальные сети и GitHub проголосовало за свои любимые хакерские проекты, и мы подсчитали оценки.Поздравляем команды-победители, набравшие наибольшее количество голосов. Победители Docker Global Hack Day # 3 по категориям:


    Плагины

    1-е место: ScaleSwarm Анкуш Агарвал и Харшит Миттал из Докер-Маунтин-Вью

    Swarm and Machine — по отдельности очень мощные проекты, но в сочетании они могут творить чудеса. В проекте делается попытка создать масштабируемый кластер с использованием Swarm and Machine.Здесь, чтобы настроить кластер AWS Docker Auto Scaling, все, что вам нужно, — это роя, машина и ключи API Amazon.

    2-е место: Драйвер журнала Docker MQTT от Вэй-Тинга Куо и Сяо-Юнга Пэна из Docker Taipei

    Этот проект реализует драйвер журнала докеров, который отправляет журнал контейнера брокеру mqtt.

    3-е место: профили Flocker от Мадхури Йечури, Райана Валлнера и Шона МакГинниса из Docker SF и Docker Boston

    FlockerProfiles обеспечивает SLA хранилища для корпоративных приложений, предоставляемых с помощью Docker Compose и Docker Flocker Volume Plugin.


    Сантехника

    1-е место: Инструмент миграции контейнеров от Маркоса Лильедала, Джонатана Лейбиуски и Габриэля Айсбруха из Docker Buenos Aires

    Целью проекта является создание внешнего инструмента командной строки, который можно использовать либо с docker, либо с runC, который помогает выполнять задачу по переносу контейнеров между разными хостами в реальном времени, выполняя проверки перед миграцией и позволяя автоматически обнаруживать подходящую цель. хосты.

    2-е место: Докерслим Дмитрия Воробьева и Кайл Квест из Докер Сиэтл

    docker-slim — волшебная таблетка для похудения для ваших контейнеров 🙂 Он будет использовать статический и динамический анализ для создания тонкого контейнера для вашего приложения. Сейчас он выполняет только простой динамический анализ 🙂

    3-е место: Хор Найла Бирна из Docker Toronto

    Chorus — это простой веб-сервис, который позволяет легко настроить ферму сборки для создания и запуска файлов докеров.


    Фристайл

    1-е место: Кластеры YARN по запросу от Swapnil Daingade, Sarjeet Singh и Mitra Kaseebhotla из Docker San Jose

    Кластеры YARN по требованию, которые изолированы друг от друга сети, вычислений и хранилища. Разрешить администраторам, управляющим кластером серверов x86, создавать кластеры YARN (hadoop2) по запросу. Каждый кластер YARN клиента должен иметь полную изоляцию сети, вычислений и хранилища от других.

    2-е место: Docker Token Auth Servie от Деян Голья и Дэвида Хаудена из Docker Sydney

    Это служба аутентификации реестра токенов Docker, которая поддерживает аутентификацию токенов, представленную в Registry V2.

    3-е место: Дженкинс-докеры-рабы Николаса Де Луфа и Йоанна Дюбрей из Докер-Ренн

    Эта новая реализация полагается на набор контейнеров докеров (также называемых «pod») для настройки исполнителя сборки, позволяя группе разработчиков настраивать среду сборки в соответствии с их потребностями без каких-либо ограничений или предварительных требований и полагаясь на контейнеры докеров для размещения теста. Ресурсы.


    Призы для победителей Global Edition

    Для глобального конкурса мы вручим призы трем лучшим командам в каждой категории.

    Первое место:

    Каждый участник команд ScaleSwarm, Container Migration Tool и On-demand YARN Clusters получит бесплатный пропуск на DockerCon EU 2015, гостиничных номеров во время конференции и 10-минутный молниеносный доклад, чтобы представить свой победный хакерский прием на конференции. !

    Мы с нетерпением ждем возможности встретить всех победителей в Барселоне на DockerCon15 EU!


    Второе место:

    Поздравляем каждого члена команды s Драйвер журнала Docker MQTT, Dockerslim и аутентификационная служба Docker Token! Каждый из вас выиграет этой толстовки Docker ограниченной серии .

    Посмотрите нашу толстовку с капюшоном @docker ограниченной серии для победителей #dockerhackday! @icecrime не включен 🙂 pic.twitter.com/d9pCyhB1eH

    — Docker (@docker) 18 сентября 2015 г.


    Третье место:

    Каждый участник групп t he Jenkins-docker-slaves, Flocker Profiles и Chorus получит плитку, настроенную для Docker.


    Еще раз спасибо всем нашим замечательным спонсорам #dockerhackday за их поддержку и вклад.

    Занят взлом. #dockerhackday pic.twitter.com/QMsChyC9lr — TomWillFixIT (@tomwillfixit) 19 сентября 2015 г.

    Самый крошечный хакер в мире в #dockerhackday @DockerGDL @docker pic.twitter.com/WMapWlGthT — Docker Guadalajara (@DockerGDL) 19 сентября 2015 г.

    #dockerhackday @DockerRennes @netng идет взлом! pic.twitter.com/BXjudRJ2Rx — Ян Гравранд (@ygravrand) 17 сентября 2015 г.

    Привет, @docker! Вчера мы запустили #dockerhackday в #Lyon! Раскачать! рис.twitter.com/vuQICWK9WV — Эпитек Лион (@EpositchLyon) 17 сентября 2015 г.

    Сейчас на #dockerhackday Марианна Тессель рассказывает о моем любимом subj Building Tools Of Mass Innovation @docker pic.twitter.com/FisLj2jYUr

    — Эшлинн Полини (@AshlynnPolini) 16 сентября 2015 г.

    #dockerhackday в прямом эфире от #avitoma. Презентации только что начались # dockermarocpic.twitter.com / 52yzZV4XT3

    — Avito.ma (@Avitoma) 17 сентября 2015 г.


    Узнать больше о Docker

    Я пытался, но не смог взломать мой телефон (без читерства)

    В этом посте я пытаюсь воспроизвести историю NBC, где их новый телефон был взломан в российском кафе еще до того, как они допили кофе.Два новых пункта, которые нужно добавить к моему предыдущему сообщению в блоге на эту тему:
    1. Ричарду Энгелю пришлось сначала отключить настройки безопасности, которые блокировали бы неизвестные враждебные приложения Android, что делают немногие пользователи.
    2. Поисковая система Google понижает рейтинг враждебных сайтов, что затрудняет их поиск. Крайне маловероятно, что Ричард Энгель смог бы найти вирус самостоятельно, если бы не вводил конкретные поисковые запросы или URL-адрес.
    Сознательное отключение системы безопасности, а затем охота на вирусы, подгоняют испытание в той же степени, что и спор о газовых баллонах Dateline NBC, где они подстроили газовый баллон, чтобы он взорвался.

    Вот что я сделал.

    Во-первых, мне нужно было отключить функции безопасности телефона. Обычно телефоны Android не позволяют пользователям загружать приложения с веб-сайтов. Вместо этого он ограничивает пользователей доступом к Android Store, где Google проверяет приложения на наличие вирусов. Чтобы это исправить, необходимо перенастроить телефон для приема приложений с других веб-сайтов.

    На своем телефоне (Android 4.0.3) я зашел в «Настройки», затем «Безопасность», а затем проверил «Неизвестные источники» (в других версиях Android это будет работать немного по-другому).


    Затем телефон предупреждает пользователей следующим сообщением:

    Затем я начал искать вирусы, вводя всевозможные поисковые запросы, которые, как мне казалось, могли вести на враждебные сайты, такие как «сочинское русское порно приложение». Ничего не нашел. Это потому, что поисковые системы отлично справляются с понижением рейтинга веб-сайтов. Я пробовал Google.com, DuckDuckGo.com и Yandex.ru, но все равно не нашел вирусов, которые могли бы заразить меня.

    Но, в отличие от видео NBC, я искал из США.В видео NBC утверждается, что ситуация хуже при поиске из России. К счастью, для этого есть приложения: мне не нужно было физически ехать в Россию, чтобы повторить это.

    Ваше GPS-местоположение может быть подделано. Я установил приложение «Fake GPS», а затем добавил настройку «Mock Location» в «Инструменты разработчика». Затем я использовал это приложение, чтобы установить свое местоположение в центре Москвы:

    Это меняет местоположение, которое телефон сообщает приложениям, но мой IP-адрес по-прежнему находится в Атланте, штат Джорджия.Чтобы исправить это, я установил приложение «VPN One Click». Я прокрутил список стран и, как и обещал, одним щелчком на «Подключиться к России» теперь был подключен через VPN-сервер в России:

    Это дало мне IP-адрес 158.255.1.147, как вы можете видеть на скриншоте ниже, и убедиться, что он действительно находится в России:


    Затем я подтвердил, что это изменит мой браузер и что поисковые запросы Google будут давать результаты на русском языке. Я искал «кафе» и получил список кафе вокруг меня — в Москве:
    К сожалению, мне не удалось найти враждебные веб-сайты и вирусы больше, чем я искал из Америки.Насколько я могу судить, за исключением таких вещей, как «кафе», где человеку небезразлично местоположение, существенной разницы в результатах не было.

    Итак, я сдался и обманул — обманул точно так же, как обманул Ричард Энгель. Вместо того, чтобы искать только Сочи, я стал искать сами вирусы, например, по запросу «apk для обновления браузера», который является хорошо известным вирусом. Я попал на такой веб-сайт среди различных вариантов:


    Итак, я нажал «скачать». На самом деле ничего не произошло. В отличие от Windows, которая дает вам легкий доступ к тому, что вы загружаете, Android этого не делает.Мне пришлось искать функцию «Загрузки», открыв меню браузера:

    Это этап майнера в процессе. Я упоминаю об этом только потому, что есть — много шагов, чтобы заразиться. Даже когда обычный пользователь хочет заразиться, ему может потребоваться помощь специалиста для этого.

    Итак, выбрав «Загрузки» в этом меню, я получаю следующий список. Как видите, я уже скачал несколько приложений, которые оказались не вирусами.


    Затем я нажал на «browser_update_install.apk «. В первый раз, когда я это сделал, Google выдал предупреждение:

    Я нажал кнопку «Я понимаю, что это приложение может быть опасным». и затем щелкнул «Установить». Это привело к следующему экрану:

    Этот вирус отличается от вируса, использованного в видеоролике NBC (« avito.apk »), который собирал данные учетной записи и отправлял их в российскую сеть. Цель этого вируса — использовать разрешение « Услуги, которые стоят вам денег », совершая звонки в платные службы. Это демонстрирует, почему вы всегда должны проверять разрешения приложений, и если они запрашивают опасные и ненужные разрешения (например, платные звонки), вам не следует устанавливать приложение.

    В этот момент я нажимаю «Отмена». Это вирус, но не тот, который использовался в видео NBC. Я подожду, пока найду этот вирус, чтобы заразить себя и посмотреть, что будет дальше.

    Я здесь задокументировал следующее: действительно сложно заразить ваш телефон, даже если вы пытаетесь сделать это специально. Существует множество предупреждений, которые даже неопытный пользователь должен проигнорировать. Конечно, некоторым невиновным пользователям удается игнорировать предупреждения и заражать себя, но это не то, что случится с обычным человеком, просматривающим Интернет со своим телефоном, даже в России.

    Чтобы добиться того, что было показано в видео NBC, тест должен был быть сфальсифицирован.



    Между прочим, я использовал Android 4.0.3 на своем телефоне NinjaTel из DEF CON 20. Видео NBC использовало Android 4.3 на новом Samsung Galaxy S4. Я использую Wi-Fi, а не телефонную сеть, что, видимо, тоже тестировали в России.

    Взлом — Страница 6 — JerryGamblin.com

    Один из советов, который любят давать профессионалы в области безопасности, — использовать VPN в общедоступных сетях Wi-Fi.Это отличный совет и (лично мне нравятся PrivateInternetAccess и NordVPN). Недавно я заметил, что nike.com блокирует трафик от провайдеров TOR и VPN:

    Это заставило меня задуматься, какие еще веб-сайты блокируют трафик из этих источников, поэтому я решил протестировать веб-сайты Alexa Top 1000.

    Сначала мне нужно было получить список из 1000 лучших веб-сайтов. Для этого я использовал эту строку командной строки kung fu, которая захватывает CSV из 1 миллиона лучших веб-сайтов и помещает первые 1000 в URL-адреса.txt файл:

    curl -s -O s3.amazonaws.com/alexa-static/top-1m.csv.zip; распаковать -q -o top-1m.csv.zip top-1m.csv; голова -1000 топ-1м.csv | вырезать -d, -f2 | вырезать -d / -f1> urls.txt

    Вот результат этой команды.

    Теперь мне нужно было автоматически сделать снимок экрана 1000 веб-сайтов. Я начал писать свой ужасный скрипт на питоне с использованием селена, пока Крис Трансер не указал мне на свой удивительный проект под названием EyeWitness.

    Я использовал следующую команду:
    ./Eyewitness.py --web -f urls.txt

    Во время моего первого теста с использованием PrivateInternetAccess я обнаружил, что 11 из 1000 * заблокирован доступ с 401/404:

    hilton.com
    nike.com
    craigslist.org
    tickermaster.com
    tradeadexchange.com
    blog-newstime.com
    brightonclick.com
    adnetworkperformance.com
    kissanime.to
    neobux.com
    loading-delivery2.com

    На сайтах craigslist.org, nike.com, ticketmaster.com и hilton.com являются самыми неэффективными веб-сайтами в этом списке:

    Для этого слайд-шоу требуется JavaScript.

    Затем я снова запустил тест через tor (используя созданный мной контейнер tor) и обнаружил, что 40 из 1000 * заблокировал доступ с 401/404::

    adnetworkperformance.com
    nordstrom.com
    overstock.com
    asos.com
    prjcq.com
    avito.ru
    quikr.com
    bestbuy.com
    retailmenot.com
    blog-newstime.com
    secureserver.net
    brightonclick.com
    shopclues.com
    craigslist.org
    ticketmaster.com
    Expedia.com
    tradeadexchange.com
    foxnews.com
    trulia.com
    garmin.com
    tube8.com
    groupon.com
    usbank.com
    ticketmaster.com
    irs.gov
    usps.com
    justdial.com
    walmart.com
    kohls.com
    wayfair.com
    lowes.com
    hilton.com
    whitepages.com
    macys.com
    xbox.com
    newegg.com
    zara. com
    nike.com
    zhihu.com

    Многие другие просят ввести капчу перед получением доступа:

    Эпилог: Я играю в защиту на своей основной работе.Я понимаю, что необходимо предотвратить попадание вредоносного трафика на ваш сайт. Это не обвинительный акт, просто академическое упражнение, хотя, если все больше и больше веб-сайтов будут использовать этот подход, инструменты, такие как TOR и коммерческие VPN, станут менее полезными.

    Заключительные примечания:
    Я был удивлен тем, сколько порносайтов входит в топ-1000 сайтов в целом.
    Для скриншотов 1000 самых популярных веб-сайтов требуется 1,8 гигабайта памяти.
    * Ваши результаты будут зависеть от того, что заблокировано, в зависимости от узла выхода, VPN, времени тестирования и цвета рубашки.

    Как вы взламывали или зачем нужно проверять свои данные на утечку.

    Небольшой пост о том, как проверить, не просочились ли ваши логины и пароли, и почему важно периодически проводить такую ​​проверку.

    Этот опус будет посвящен описанию одного из аккаунтов для утечки и взлома аккаунтов. Но сначала давайте разберемся, почему нам важно контролировать сам факт такой утечки.

    По явно — несанкционированному доступу к вашему аккаунту, данные которого были взломаны или объединены в публичную сеть, есть еще несколько важных моментов.

    Все эти моменты связаны с особенностями психологии человека, чем пользуются злоумышленники и мошенники. Допустим, это произошло по электронной почте, это неприятно, но как это еще могут использовать мошенники?

    Пароль.

    Доступ.

    Один из самых известных сервисов проверки счетов на предмет утечек —

    Интерфейс и способ использования сервиса очень просты: достаточно перейти по ссылке и указать свой адрес электронной почты.

    Далее сервис проверит, есть ли ваша электронная почта в базе взломанных учетных записей, и сообщит об утечке, с какого ресурса ваши данные попали в базы злоумышленников и когда это произошло.

    Вам срочно необходимо сменить пароль на сайте, доступ к которому был скомпрометирован.

    Если доступ к электронной почте скомпрометирован — проверьте, нет ли писем о попытке восстановления доступа к каким-либо сайтам, восстановление доступа к которым у вас не запрашивалось.

    Измените пароль на всех ресурсах, где вы использовали тот же пароль и адрес электронной почты при регистрации.

    Используйте двухфакторную авторизацию, если такая возможность предоставляется.

    Для чистоты эксперимента я решил проверить, как сервис хорошо реагирует на вновь созданную учетную запись с очень сложным паролем.Я хотел выяснить для себя, могут ли быть ложные срабатывания с целью запугивания пользователя и попытки под видом возможных угроз подтолкнуть его к регистрации для получения уведомлений о новых утечках или приобретении дополнительных средств защиты. Но сервис мне честно сообщил, что на утечку электронной почты это не повлияло.

    Обычно такие службы обрабатывают информацию из других источников, которые используются для обмена украденной информацией.В качестве таких источников популярны Pastebin, специализированные форумы, ресурсы в даркнете и другие хакеры.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *