Все, что вы хотели знать о хакерах, но боялись спросить

CHIPHi-Tech

Тренды > Цифровая безопасность

Большой репортаж о хакерах

На конференциях Black Hat, Def Con и Cyber Week лучшие мировые эксперты в области компьютерной безопасности рассказывают о том, как выглядят атаки будущего, а также о современных методах защиты от них.

Каждый год проводятся три крупнейшие мировые конференции хакеров: Cyber Week в Тель-Авиве, Black Hat и Def Con в Лас-Вегасе. Каждая из них имеет свою направленность: на Cyber Week руководство компаний в области безопасности выступает с докладами о новейших угрозах, в ходе Black Hat исследователи подробно рассказывают об атаках. На Def Con, напротив, едва ли встретишь докладчика, который захотел бы назвать свое настоящее имя. Причина: представленные методы взлома часто балансируют на грани дозволенного. В этом году дело дошло даже до ареста.

На конференциях вряд ли говорят об уже известных атаках; скорее, докладчики представляют новые методы атак или тайные технологии шпионажа, а также лучшие средства по защите от них. Эксперты приходят к единому мнению: то, что представляют профессионалы на конференциях, в ближайшем будущем изменит повседневную жизнь всех пользователей. Сотрудники редакции CHIP побеседовали с известными экспертами по вопросам безопасности. Мы расскажем о планах хакеров в ближайшем будущем, а также о том, от чего можно защититься.

Атаки на смартфоны

Смартфоны являются одной из самых привлекательных целей для хакеров: на них часто хранятся такие сведения, как электронная переписка, изображения и информация о кредитных картах. С помощью соответствующих программ эти данные могут быть считаны и обработаны. Может быть подделан даже сигнал системы определения местоположения.

Мобильные платежи с «изъянами»

До недавнего времени мобильная платежная система Apple Pay считалась одной из самых безопасных систем в мире; ее взлом был практически невозможен. Однако на конференции Black Hat последовал доклад Тимура Юнусова. Эксперт в области мобильных платежей рассмотрел концепцию обеспечения безопасности алгоритмов оплаты, используемую в Apple. В то время как многие эксперты считают, что Apple Pay по-прежнему останется безопасной, если защита доступа к устройству под управлением iOS не будет нарушена посредством джейлбрейка, Юнусов доказывает обратное с помощью утилит собственной разработки, которые считывают данные.

Тимур Юнусов пояснил, как хакеры могут манипулировать Apple Pay для проведения неоднократных списаний с одного счета

Пользователь может защититься от подобных атак, проверив, подвергалось ли его устройство процедуре джейлбрейка, например, с помощью приложения SystemGuard. Однако и в устройствах, использующих операционную систему, сертифицированную компанией Apple, также существуют программные ошибки, — в том случае, если устройство с системой Apple Pay используется для покупок в Интернете. Исследователь в сфере безопасности обнаружил, что возможно проведение платежных операций без точного подтверждения продавцом информации о пользователе.

Это позволяет неоднократно использовать одинаковый криптоключ одной финансовой операции, например, посредством так называемой «атаки повторного воспроизведения». В этом ключе применяется уникальный номер кредитной карты, который Apple присваивает каждой операции. С помощью ключа хакер может произвести любые платежные операции на любую сумму. Единственное условие: операции должны осуществляться в течение короткого промежутка времени у одного и того же продавца. Защититься самостоятельно пользователь не может. При этом компании Apple и банкам задают вопрос, должны ли использованные криптоключи удаляться сразу же после проведения транзакции, — пользователь должен точно знать, сколько средств он потратил.

Apple Pay взломана

Для защиты от несанкционированного считывания данных вашей кредитной карты следует проверить устройство на джейлбрейк (1) и периодически контролировать отчеты системы Apple Pay (2).

(1)
(2)

Совершенно секретное шпионское ПО для Android

Около года назад выяснилось, что спецслужбы всего мира используют программное обеспечение Pegasus, разработанное израильской фирмой NSO Group Technologies, для прослушивания устройств под управлением iOS. Это было простое фишинговое SMS, которое «заманивало» пользователя на веб-сайт. На конференции Black Hat эксперты по вопросам безопасности из компании Lookout представили его аналог для Android. Программа называется Chrysaor. Она осуществляет крайне целенаправленные атаки. По оценке Lookout, ПО установлено всего на 0,000001% всех Android-устройств. Утилита устанавливается на устройстве либо посредством фишинга (так же, как и в случае с Pegasus), либо путем загрузки приложения. Как только Chrysaor установлен, программа проверяет, может ли она получить полный доступ к файлам смартфона.

В определенных случаях возможен мониторинг и извлечение данных. Если устройство оснащено защитой системных файлов, контроль в режиме реального времени невозможен. В этом случае программа-шпион Chrysaor лишь сканирует устройство, собирает данные и отправляет их на сервер мониторинга. Затронуты все версии Android. В отличие от утилиты Pegasus, компании NGO Group даже не приходится использовать уязвимости нулевого дня. Поэтому от такой атаки можно защититься только с большим трудом. Лучшая защита — переходить только по известным ссылкам и использовать только стандартные приложения.

GPS-спуфинг аннулирует двухфакторную защиту

На конференции Def Con хакер по имени Карит показал, насколько просто можно манипулировать GPS-сигналами. Карит заявил: «Люди полагают, что такая важная система, как GPS, защищена от атак». Однако с помощью оборудования стоимостью около $500 систему определения местоположения можно «ввести в заблуждение». Возможности атаки весьма многообразны. Пример — Uber: служба такси рассчитывает стоимость поездки на основании пройденного пути и времени. Карит изменяет длину маршрута, отправляя собственный GPS-сигнал, который гораздо сильнее, чем сигнал удаленного на 20 000 км спутника. По опыту Карита, водители всегда принимают уменьшенную стоимость поездки.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Откровеннее некуда! Голливудские звезды рассекретили свои интимные эксперименты Откровеннее некуда! Голливудские звезды рассекретили свои интимные эксперименты

Самые желанные женщины рассказали о своих предпочтениях

Cosmopolitan
Показать то, что за кадром: как создаются экскурсии по действующему кинопарку Показать то, что за кадром: как создаются экскурсии по действующему кинопарку

Как организовать экскурсии по кинопарку, не мешая при этом съемочному процессу

Inc.
Что говорят о нас отношения с деньгами Что говорят о нас отношения с деньгами

По тому, как человек относится к деньгам, можно определить его образ мышления

Psychologies
Камни не для всех Камни не для всех

Алмазы подорожают более чем на 50% к 2027 году: надо ли в них инвестировать

Ведомости
Тропические болота нивелировали успехи арктических в поглощении углерода Тропические болота нивелировали успехи арктических в поглощении углерода

Почему снижается продуктивность болот, поглощающих углерод

N+1
Кладбища кораблей: три самых опасных моря на планете Кладбища кораблей: три самых опасных моря на планете

Штормы и смертельные течения — воды каких морей особенно коварны

ТехИнсайдер
Для чего нужен магниевый анод в бойлерах накопительного типа? Для чего нужен магниевый анод в бойлерах накопительного типа?

От чего и как именно защищает магниевый анод в бойлере косвенного нагрева?

CHIP
Переходи на зеленый Переходи на зеленый

Мода на экосексуальность и привычки, полезные для тебя и для природы

Лиза
Правила порядка Правила порядка

Как научить детей поддерживать порядок в своей комнате, не тратя на это часы

Новый очаг
Никаких шлепок и свадебных платьев: какой дресс-код советуют соблюдать музеи и театры Никаких шлепок и свадебных платьев: какой дресс-код советуют соблюдать музеи и театры

Какие рекомендации по выбору одежды мировые театры и музеи дают посетителям

Forbes
Опасно ли летать на старых самолетах и почему их до сих пор так много Опасно ли летать на старых самолетах и почему их до сих пор так много

Почему авиакомпании используют самолеты, которые можно называть пожилыми?

Maxim
Мягкая сила русского стиля Мягкая сила русского стиля

Масштабная площадка, рассказывающая о русской идентичности и новом образе жизни

Монокль
Маме не говори: 12 вещей, которые родителям не нужно знать о твоем мужчине Маме не говори: 12 вещей, которые родителям не нужно знать о твоем мужчине

О чем не стоит рассказывать даже маме?

VOICE
От вил до мема От вил до мема

Краткая история «Американской готики» Гранта Вуда

Weekend
Параллельщики. Carwin — о главных ошибках при поиске машины за рубежом Параллельщики. Carwin — о главных ошибках при поиске машины за рубежом

Как отличить реального поставщика от хорошо замаскированного обманщика

РБК
VOX VOX

VOX — культовое место тихой роскоши, где встречаются знаменитости

Собака.ru
Пророческий мультсериал: 7 сбывшихся предсказаний из «Симпсонов» Пророческий мультсериал: 7 сбывшихся предсказаний из «Симпсонов»

Про 7 самых интересных предсказаний «Симпсонов», которые сбылись

ТехИнсайдер
Зловещий ИИ: зачем чат-боты рушат семьи и делают нас глупее и кто в этом виноват Зловещий ИИ: зачем чат-боты рушат семьи и делают нас глупее и кто в этом виноват

Действительно ли от нейросетей исходят серьезные угрозы?

Forbes
Защищать нельзя загорать Защищать нельзя загорать

Загорать или нет? Вот в чём вопрос

Здоровье
Забудь про годжи! Забудь про годжи!

Почему твое идеальное меню уже ждет тебя в соседнем магазине

Лиза
В сети жалуются на укачивание в электромобилях: вот почему это происходит даже с теми, кто не страдает кинетозом В сети жалуются на укачивание в электромобилях: вот почему это происходит даже с теми, кто не страдает кинетозом

Почему в электромобилях укачивает даже людей с развитым вестибулярным аппаратом?

ТехИнсайдер
Аддитивные технологии перестраивают промышленность Аддитивные технологии перестраивают промышленность

Российский рынок 3D-печати стабилизируется после быстрого роста

Монокль
IFA против ЗИЛ: в чем сила грузовиков-конкурентов из СССР и ГДР IFA против ЗИЛ: в чем сила грузовиков-конкурентов из СССР и ГДР

Какой грузовой автомобиль был главным в советские годы: ЗИЛ-130 или IFA W 50?

ТехИнсайдер
Уже не косметика, но еще не лекарство: чем опасна космецевтика Уже не косметика, но еще не лекарство: чем опасна космецевтика

Чем опасно бесконтрольное применение космецевтики?

Forbes
Работа с мотивацией Работа с мотивацией

Может ли ПДМ стать эффективным механизмом повышения капитализации госкомпаний?

Ведомости
Сделано с заботой: о новой отчетной нагрузке Сделано с заботой: о новой отчетной нагрузке

Постараемся разобраться в правовой основе требований для налогоплательщиков

Ведомости
Отпускная косметичка Отпускная косметичка

Как позаботиться о своей красоте в отпускной период

Лиза
Пять вещей, которые категорически нельзя оставлять в машине в жару Пять вещей, которые категорически нельзя оставлять в машине в жару

Какие оставленные в автомобиле вещи в жаркую погоду могут быть фатальными

РБК
Как получить максимум пользы для здоровья от велосипеда: 10 самых мудрых (и простых) правил Как получить максимум пользы для здоровья от велосипеда: 10 самых мудрых (и простых) правил

Десять универсальных законов, помогающих всем освоить велосипед

ТехИнсайдер
Твоя принцесса в другом замке: самые безумные фанатские теории о Супер Марио Твоя принцесса в другом замке: самые безумные фанатские теории о Супер Марио

Весь мир — театр, а Марио — коммунист: самые нелепые теории о мире Супер Марио

Правила жизни
Открыть в приложении