Все, что вы хотели знать о хакерах, но боялись спросить

CHIPHi-Tech

Тренды > Цифровая безопасность

Большой репортаж о хакерах

На конференциях Black Hat, Def Con и Cyber Week лучшие мировые эксперты в области компьютерной безопасности рассказывают о том, как выглядят атаки будущего, а также о современных методах защиты от них.

Каждый год проводятся три крупнейшие мировые конференции хакеров: Cyber Week в Тель-Авиве, Black Hat и Def Con в Лас-Вегасе. Каждая из них имеет свою направленность: на Cyber Week руководство компаний в области безопасности выступает с докладами о новейших угрозах, в ходе Black Hat исследователи подробно рассказывают об атаках. На Def Con, напротив, едва ли встретишь докладчика, который захотел бы назвать свое настоящее имя. Причина: представленные методы взлома часто балансируют на грани дозволенного. В этом году дело дошло даже до ареста.

На конференциях вряд ли говорят об уже известных атаках; скорее, докладчики представляют новые методы атак или тайные технологии шпионажа, а также лучшие средства по защите от них. Эксперты приходят к единому мнению: то, что представляют профессионалы на конференциях, в ближайшем будущем изменит повседневную жизнь всех пользователей. Сотрудники редакции CHIP побеседовали с известными экспертами по вопросам безопасности. Мы расскажем о планах хакеров в ближайшем будущем, а также о том, от чего можно защититься.

Атаки на смартфоны

Смартфоны являются одной из самых привлекательных целей для хакеров: на них часто хранятся такие сведения, как электронная переписка, изображения и информация о кредитных картах. С помощью соответствующих программ эти данные могут быть считаны и обработаны. Может быть подделан даже сигнал системы определения местоположения.

Мобильные платежи с «изъянами»

До недавнего времени мобильная платежная система Apple Pay считалась одной из самых безопасных систем в мире; ее взлом был практически невозможен. Однако на конференции Black Hat последовал доклад Тимура Юнусова. Эксперт в области мобильных платежей рассмотрел концепцию обеспечения безопасности алгоритмов оплаты, используемую в Apple. В то время как многие эксперты считают, что Apple Pay по-прежнему останется безопасной, если защита доступа к устройству под управлением iOS не будет нарушена посредством джейлбрейка, Юнусов доказывает обратное с помощью утилит собственной разработки, которые считывают данные.

Тимур Юнусов пояснил, как хакеры могут манипулировать Apple Pay для проведения неоднократных списаний с одного счета

Пользователь может защититься от подобных атак, проверив, подвергалось ли его устройство процедуре джейлбрейка, например, с помощью приложения SystemGuard. Однако и в устройствах, использующих операционную систему, сертифицированную компанией Apple, также существуют программные ошибки, — в том случае, если устройство с системой Apple Pay используется для покупок в Интернете. Исследователь в сфере безопасности обнаружил, что возможно проведение платежных операций без точного подтверждения продавцом информации о пользователе.

Это позволяет неоднократно использовать одинаковый криптоключ одной финансовой операции, например, посредством так называемой «атаки повторного воспроизведения». В этом ключе применяется уникальный номер кредитной карты, который Apple присваивает каждой операции. С помощью ключа хакер может произвести любые платежные операции на любую сумму. Единственное условие: операции должны осуществляться в течение короткого промежутка времени у одного и того же продавца. Защититься самостоятельно пользователь не может. При этом компании Apple и банкам задают вопрос, должны ли использованные криптоключи удаляться сразу же после проведения транзакции, — пользователь должен точно знать, сколько средств он потратил.

Apple Pay взломана

Для защиты от несанкционированного считывания данных вашей кредитной карты следует проверить устройство на джейлбрейк (1) и периодически контролировать отчеты системы Apple Pay (2).

(1)
(2)

Совершенно секретное шпионское ПО для Android

Около года назад выяснилось, что спецслужбы всего мира используют программное обеспечение Pegasus, разработанное израильской фирмой NSO Group Technologies, для прослушивания устройств под управлением iOS. Это было простое фишинговое SMS, которое «заманивало» пользователя на веб-сайт. На конференции Black Hat эксперты по вопросам безопасности из компании Lookout представили его аналог для Android. Программа называется Chrysaor. Она осуществляет крайне целенаправленные атаки. По оценке Lookout, ПО установлено всего на 0,000001% всех Android-устройств. Утилита устанавливается на устройстве либо посредством фишинга (так же, как и в случае с Pegasus), либо путем загрузки приложения. Как только Chrysaor установлен, программа проверяет, может ли она получить полный доступ к файлам смартфона.

В определенных случаях возможен мониторинг и извлечение данных. Если устройство оснащено защитой системных файлов, контроль в режиме реального времени невозможен. В этом случае программа-шпион Chrysaor лишь сканирует устройство, собирает данные и отправляет их на сервер мониторинга. Затронуты все версии Android. В отличие от утилиты Pegasus, компании NGO Group даже не приходится использовать уязвимости нулевого дня. Поэтому от такой атаки можно защититься только с большим трудом. Лучшая защита — переходить только по известным ссылкам и использовать только стандартные приложения.

GPS-спуфинг аннулирует двухфакторную защиту

На конференции Def Con хакер по имени Карит показал, насколько просто можно манипулировать GPS-сигналами. Карит заявил: «Люди полагают, что такая важная система, как GPS, защищена от атак». Однако с помощью оборудования стоимостью около $500 систему определения местоположения можно «ввести в заблуждение». Возможности атаки весьма многообразны. Пример — Uber: служба такси рассчитывает стоимость поездки на основании пройденного пути и времени. Карит изменяет длину маршрута, отправляя собственный GPS-сигнал, который гораздо сильнее, чем сигнал удаленного на 20 000 км спутника. По опыту Карита, водители всегда принимают уменьшенную стоимость поездки.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Обновленный монстр: обзор SSD Kingston KC2500 формата М.2 Обновленный монстр: обзор SSD Kingston KC2500 формата М.2

Сверхскоростной накопитель от Kingston: подробный обзор

CHIP
Каждому, по факту, рядом нужен человек Каждому, по факту, рядом нужен человек

«Как пережить душевную боль, которую нам причиняют самые близкие люди?»

OK!
Настя Ивлеева Настя Ивлеева

Настя Ивлеева: «Цифровая реальность – это в высшей степени сексуально!»

Playboy
Само совершенство Само совершенство

Что скрывается за яркой внешностью и почему мы пытаемся этим поднять самооценку

Лиза
Как сделать удаленный рабочий стол и какой софт для этого использовать Как сделать удаленный рабочий стол и какой софт для этого использовать

Как сделать подключение к удаленному рабочему столу под управлением Windows

CHIP
Smasайтесь кто может Smasайтесь кто может

SMAS-лифтинг и SMAS-подтяжка: кому, когда и зачем нужны

Собака.ru
Лариса Долина: «Я всегда верила в то, что моя звезда загорится» Лариса Долина: «Я всегда верила в то, что моя звезда загорится»

Лариса Долина не скрывает – в своей жизни она столкнулась со многими трудностями

Добрые советы
Рабочий детокс Рабочий детокс

Можно ли успешно бороться с токсичным общением в рабочей переписке?

Ведомости
Ирландская загадочность, стиль и бездонные голубые глаза: 7 лучших фильмов с Киллианом Мерфи Ирландская загадочность, стиль и бездонные голубые глаза: 7 лучших фильмов с Киллианом Мерфи

Самые знаковые работы харизматичного актера Киллиана Мерфи

Psychologies
Интимная наука Интимная наука

Как секс мог сделать из обезьяны человека — глава из книги «Секс с учёными»

RR Люкс.Личности.Бизнес.
Все, что нам кажется маловажным: рецензия на пронзительные «Мелочи жизни» с Киллианом Мерфи Все, что нам кажется маловажным: рецензия на пронзительные «Мелочи жизни» с Киллианом Мерфи

«Мелочи жизни»: оглушающе тихая драма про то, что в жизни нет мелочей

Правила жизни
Архитектура впечатлений. Отрывок из книги Архитектура впечатлений. Отрывок из книги

Отрывок из книги-путеводителя по миру музейного искусства

СНОБ
Ирина Мазуркевич. Служебный роман Ирина Мазуркевич. Служебный роман

«Он же намного старше и женат. А если останешься одна?» Я об этом не думала...

Коллекция. Караван историй
Важная деталь делового стиля: как правильно стирать галстуки, чтобы они выглядели великолепно Важная деталь делового стиля: как правильно стирать галстуки, чтобы они выглядели великолепно

Советы деловым людям: как правильно стирать галстуки

ТехИнсайдер
Едва знакомы Едва знакомы

«Едва знакомы» — проект, объединяющий людей за киноужинами

Seasons of life
Обзор ГАЗ «Соболь»: размеры, характеристики, модельный ряд Обзор ГАЗ «Соболь»: размеры, характеристики, модельный ряд

Все про ГАЗ «Соболь»: характеристики, сколько стоит, модификации

РБК
Зимой и летом одним цветом Зимой и летом одним цветом

Какие растения из умеренных широт сохраняют зимой листья и зеленый цвет?

Наука и жизнь
Тайны девятой непланеты Тайны девятой непланеты

12 отгадок о Плутоне

Weekend
Не только для уборки: 13 неожиданных способов использования бумажных полотенец Не только для уборки: 13 неожиданных способов использования бумажных полотенец

Бумажные полотенца годятся не только для того, чтобы протереть стол или руки

VOICE
7 самых распространенных способов обмана на шиномонтаже 7 самых распространенных способов обмана на шиномонтаже

Как не попасться на крючок мошенников в шиномонтаже

Maxim
Учтенный друг: что нужно знать о регистрации домашних животных в Подмосковье Учтенный друг: что нужно знать о регистрации домашних животных в Подмосковье

Как зарегистрировать питомца в Подмосковье и для чего это нужно

Forbes
Неустойчивость Рэлея — Плато заставила квантовую жидкость разделиться на капли Неустойчивость Рэлея — Плато заставила квантовую жидкость разделиться на капли

Физики увидели, как квантовая жидкость разделилась на несколько отдельных капель

N+1
Богатые тоже богатеют Богатые тоже богатеют

Доходы богатых россиян росли повышенными темпами в конце 2024 г

Ведомости
Каким мог стать Ту-204: как советские конструкторы искали идеальный авиалайнер Каким мог стать Ту-204: как советские конструкторы искали идеальный авиалайнер

За 15 лет видение о том, каким должен быть Ту-204, несколько раз менялось

ТехИнсайдер
Черная или белая? Черная или белая?

Зависть... Что же это за чувство такое и нужно ли с ним бороться?

Добрые советы
Синдром беспокойных гениталий и алкаптонурия: 6 загадочный болезней, о которых вы могли даже не слышать Синдром беспокойных гениталий и алкаптонурия: 6 загадочный болезней, о которых вы могли даже не слышать

Какие удивительные диагнозы порой ставят людям?

ТехИнсайдер
Зачем играть в игры? Зачем играть в игры?

Почему людям нравится играть, и какая от этого польза?

Здоровье
Теория права: сбывшиеся теории заговоров Теория права: сбывшиеся теории заговоров

Пять неочевидных подтверждений того, что в каждой сказке – лишь доля сказки

Правила жизни
Движение вверх Движение вверх

Последние пять лет Москва переживает промышленный бум

Ведомости
Первая среди равных Первая среди равных

Мысли и наблюдения первой женщины-победительницы в кругосветной гонке

Y Magazine
Открыть в приложении