Все, что вы хотели знать о хакерах, но боялись спросить

CHIPHi-Tech

Тренды > Цифровая безопасность

Большой репортаж о хакерах

На конференциях Black Hat, Def Con и Cyber Week лучшие мировые эксперты в области компьютерной безопасности рассказывают о том, как выглядят атаки будущего, а также о современных методах защиты от них.

Каждый год проводятся три крупнейшие мировые конференции хакеров: Cyber Week в Тель-Авиве, Black Hat и Def Con в Лас-Вегасе. Каждая из них имеет свою направленность: на Cyber Week руководство компаний в области безопасности выступает с докладами о новейших угрозах, в ходе Black Hat исследователи подробно рассказывают об атаках. На Def Con, напротив, едва ли встретишь докладчика, который захотел бы назвать свое настоящее имя. Причина: представленные методы взлома часто балансируют на грани дозволенного. В этом году дело дошло даже до ареста.

На конференциях вряд ли говорят об уже известных атаках; скорее, докладчики представляют новые методы атак или тайные технологии шпионажа, а также лучшие средства по защите от них. Эксперты приходят к единому мнению: то, что представляют профессионалы на конференциях, в ближайшем будущем изменит повседневную жизнь всех пользователей. Сотрудники редакции CHIP побеседовали с известными экспертами по вопросам безопасности. Мы расскажем о планах хакеров в ближайшем будущем, а также о том, от чего можно защититься.

Атаки на смартфоны

Смартфоны являются одной из самых привлекательных целей для хакеров: на них часто хранятся такие сведения, как электронная переписка, изображения и информация о кредитных картах. С помощью соответствующих программ эти данные могут быть считаны и обработаны. Может быть подделан даже сигнал системы определения местоположения.

Мобильные платежи с «изъянами»

До недавнего времени мобильная платежная система Apple Pay считалась одной из самых безопасных систем в мире; ее взлом был практически невозможен. Однако на конференции Black Hat последовал доклад Тимура Юнусова. Эксперт в области мобильных платежей рассмотрел концепцию обеспечения безопасности алгоритмов оплаты, используемую в Apple. В то время как многие эксперты считают, что Apple Pay по-прежнему останется безопасной, если защита доступа к устройству под управлением iOS не будет нарушена посредством джейлбрейка, Юнусов доказывает обратное с помощью утилит собственной разработки, которые считывают данные.

Тимур Юнусов пояснил, как хакеры могут манипулировать Apple Pay для проведения неоднократных списаний с одного счета

Пользователь может защититься от подобных атак, проверив, подвергалось ли его устройство процедуре джейлбрейка, например, с помощью приложения SystemGuard. Однако и в устройствах, использующих операционную систему, сертифицированную компанией Apple, также существуют программные ошибки, — в том случае, если устройство с системой Apple Pay используется для покупок в Интернете. Исследователь в сфере безопасности обнаружил, что возможно проведение платежных операций без точного подтверждения продавцом информации о пользователе.

Это позволяет неоднократно использовать одинаковый криптоключ одной финансовой операции, например, посредством так называемой «атаки повторного воспроизведения». В этом ключе применяется уникальный номер кредитной карты, который Apple присваивает каждой операции. С помощью ключа хакер может произвести любые платежные операции на любую сумму. Единственное условие: операции должны осуществляться в течение короткого промежутка времени у одного и того же продавца. Защититься самостоятельно пользователь не может. При этом компании Apple и банкам задают вопрос, должны ли использованные криптоключи удаляться сразу же после проведения транзакции, — пользователь должен точно знать, сколько средств он потратил.

Apple Pay взломана

Для защиты от несанкционированного считывания данных вашей кредитной карты следует проверить устройство на джейлбрейк (1) и периодически контролировать отчеты системы Apple Pay (2).

(1)
(2)

Совершенно секретное шпионское ПО для Android

Около года назад выяснилось, что спецслужбы всего мира используют программное обеспечение Pegasus, разработанное израильской фирмой NSO Group Technologies, для прослушивания устройств под управлением iOS. Это было простое фишинговое SMS, которое «заманивало» пользователя на веб-сайт. На конференции Black Hat эксперты по вопросам безопасности из компании Lookout представили его аналог для Android. Программа называется Chrysaor. Она осуществляет крайне целенаправленные атаки. По оценке Lookout, ПО установлено всего на 0,000001% всех Android-устройств. Утилита устанавливается на устройстве либо посредством фишинга (так же, как и в случае с Pegasus), либо путем загрузки приложения. Как только Chrysaor установлен, программа проверяет, может ли она получить полный доступ к файлам смартфона.

В определенных случаях возможен мониторинг и извлечение данных. Если устройство оснащено защитой системных файлов, контроль в режиме реального времени невозможен. В этом случае программа-шпион Chrysaor лишь сканирует устройство, собирает данные и отправляет их на сервер мониторинга. Затронуты все версии Android. В отличие от утилиты Pegasus, компании NGO Group даже не приходится использовать уязвимости нулевого дня. Поэтому от такой атаки можно защититься только с большим трудом. Лучшая защита — переходить только по известным ссылкам и использовать только стандартные приложения.

GPS-спуфинг аннулирует двухфакторную защиту

На конференции Def Con хакер по имени Карит показал, насколько просто можно манипулировать GPS-сигналами. Карит заявил: «Люди полагают, что такая важная система, как GPS, защищена от атак». Однако с помощью оборудования стоимостью около $500 систему определения местоположения можно «ввести в заблуждение». Возможности атаки весьма многообразны. Пример — Uber: служба такси рассчитывает стоимость поездки на основании пройденного пути и времени. Карит изменяет длину маршрута, отправляя собственный GPS-сигнал, который гораздо сильнее, чем сигнал удаленного на 20 000 км спутника. По опыту Карита, водители всегда принимают уменьшенную стоимость поездки.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Google начнет блокировать рекламу. Даже собственную Google начнет блокировать рекламу. Даже собственную

Невыносимо омерзительное количество рекламы в интернете утомило даже Google

Популярная механика
Это наша земля Это наша земля

Какими бывают и как выглядят почвы России

N+1
Intel против AMD: ПК на любой бюджет Intel против AMD: ПК на любой бюджет

На каком ЦП лучше собрать нужную именно вам систему

CHIP
5 реальных способов ускорить ваш компьютер 5 реальных способов ускорить ваш компьютер

Сегодня мы рассмотрим несколько реальных способов ускорения работы компьютера

CHIP
Войны, драки и теракты: пять самых скандальных поводов для рекламы Войны, драки и теракты: пять самых скандальных поводов для рекламы

Реклама: дерзкая, провокационная — и далеко не всегда этичная

Playboy
От чтения мыслей до вторжения во сны: зачем исследуют сознание и чем это грозит От чтения мыслей до вторжения во сны: зачем исследуют сознание и чем это грозит

Учёные научились считывать структуру фраз и даже визуальные образы из мыслей

VC.RU
Стихия и небрежность под землёй: можно ли избежать трагедий с шахтёрами и как этому помогут новые технологии Стихия и небрежность под землёй: можно ли избежать трагедий с шахтёрами и как этому помогут новые технологии

Глубоко в тоннелях любое неосторожное движение может обернуться катастрофой

TJ
Трудности доказательного перехода Трудности доказательного перехода

Как данные, собираемые университетами, могут быть полезны

Наука
Чтение на 15 минут: «Желтый. История цвета» Чтение на 15 минут: «Желтый. История цвета»

Отрывок из книги историка-медиевиста Мишеля Пастуро «Желтый. История цвета»

Arzamas
Маршрут в будущее Маршрут в будущее

Роман Лебедев о педагогических подходах большой перемены

ПУСК
30 идеальных новогодних поздравлений для друзей, коллег и самых близких 30 идеальных новогодних поздравлений для друзей, коллег и самых близких

Коллекция новогодних пожеланий

Cosmopolitan
The Hatters комментируют свой новый альбом Golden Hits The Hatters комментируют свой новый альбом Golden Hits

The Hatters рассказывают про каждую песню своего нового релиза

GQ
Вопрос имиджа: к чему приведет игнорирование связанных с распространением ИИ рисков Вопрос имиджа: к чему приведет игнорирование связанных с распространением ИИ рисков

Как решить проблему доверия к ИИ?

Forbes
Искусство оздоровления — как найти путь к себе, отдыхая в Марокко Искусство оздоровления — как найти путь к себе, отдыхая в Марокко

С чего стоит начать путь к себе и как сделать это красиво?

Esquire
Однорукий герой Однорукий герой

При атрибуции портретов иногда ключевым признаком является внешность персонажа

Дилетант
non/fiction 2021: выбор «Полки» non/fiction 2021: выбор «Полки»

25 книг, которые украсят вашу библиотеку

Полка
Времени хватит Времени хватит

Лучшие бьюти-процедуры «на выход»

Добрые советы
Польза и вред хурмы для здоровья: советы врача Польза и вред хурмы для здоровья: советы врача

Чем именно хороша хурма и сколько плодов в день есть полезно?

РБК
Как противостоять газлайтингу? Как противостоять газлайтингу?

Как выявить газлайтера и как не дать сбить себя с толку?

Psychologies
Христианский гимн, панк и факельное шествие. Как Германия проводила Ангелу Меркель с поста канцлера Христианский гимн, панк и факельное шествие. Как Германия проводила Ангелу Меркель с поста канцлера

Как прошла торжественная церемония в честь Ангелы Меркель

СНОБ
Китайцы всегда говорят «да»: особенности работы с партнерами из Поднебесной Китайцы всегда говорят «да»: особенности работы с партнерами из Поднебесной

Как работать и общаться с китайцами?

Inc.
Биография Джека Ма. История взлета человека-ракеты Биография Джека Ма. История взлета человека-ракеты

Как основатель Alibaba Джек Ма шёл к своей цели, несмотря на удары судьбы

Цифровой океан
«Формула успеха» Элизабет Холмс: инструкции от ее партнера, которого она обвиняет в насилии «Формула успеха» Элизабет Холмс: инструкции от ее партнера, которого она обвиняет в насилии

В случае с Элизабет Холмс вера в успех обернулась драмой

Reminder
Ореховый тарт Ореховый тарт

Ореховый десерт для уютных зимних вечеров

Weekend
Когда мотор меньше, но мощнее Когда мотор меньше, но мощнее

Тенденция уменьшения двигателей добралась до верхних автомобильных сегментов

Эксперт
Создан робот, пугающе похожий на человека Создан робот, пугающе похожий на человека

Андроид, который виртуозно копирует мимику и движения.

National Geographic
Хватит мерзнуть Хватит мерзнуть

9 привычек, из-за которых тебе холоднее, чем должно быть

Лиза
Нет повести актуальнее Нет повести актуальнее

«Вестсайдская история»: Стивен Спилберг и его Шекспир, Бернстайн и Нью-Йорк

Weekend
Забытые советские марки: КАГ Забытые советские марки: КАГ

Вспоминаем забытые советские марки автомобилей

Популярная механика
Полосатая «Кровавая Луна»: самое необычное фото затмения Полосатая «Кровавая Луна»: самое необычное фото затмения

Во время затмения Луна освещается особым образом

National Geographic
Открыть в приложении