Все, что вы хотели знать о хакерах, но боялись спросить

CHIPHi-Tech

Тренды > Цифровая безопасность

Большой репортаж о хакерах

На конференциях Black Hat, Def Con и Cyber Week лучшие мировые эксперты в области компьютерной безопасности рассказывают о том, как выглядят атаки будущего, а также о современных методах защиты от них.

Каждый год проводятся три крупнейшие мировые конференции хакеров: Cyber Week в Тель-Авиве, Black Hat и Def Con в Лас-Вегасе. Каждая из них имеет свою направленность: на Cyber Week руководство компаний в области безопасности выступает с докладами о новейших угрозах, в ходе Black Hat исследователи подробно рассказывают об атаках. На Def Con, напротив, едва ли встретишь докладчика, который захотел бы назвать свое настоящее имя. Причина: представленные методы взлома часто балансируют на грани дозволенного. В этом году дело дошло даже до ареста.

На конференциях вряд ли говорят об уже известных атаках; скорее, докладчики представляют новые методы атак или тайные технологии шпионажа, а также лучшие средства по защите от них. Эксперты приходят к единому мнению: то, что представляют профессионалы на конференциях, в ближайшем будущем изменит повседневную жизнь всех пользователей. Сотрудники редакции CHIP побеседовали с известными экспертами по вопросам безопасности. Мы расскажем о планах хакеров в ближайшем будущем, а также о том, от чего можно защититься.

Атаки на смартфоны

Смартфоны являются одной из самых привлекательных целей для хакеров: на них часто хранятся такие сведения, как электронная переписка, изображения и информация о кредитных картах. С помощью соответствующих программ эти данные могут быть считаны и обработаны. Может быть подделан даже сигнал системы определения местоположения.

Мобильные платежи с «изъянами»

До недавнего времени мобильная платежная система Apple Pay считалась одной из самых безопасных систем в мире; ее взлом был практически невозможен. Однако на конференции Black Hat последовал доклад Тимура Юнусова. Эксперт в области мобильных платежей рассмотрел концепцию обеспечения безопасности алгоритмов оплаты, используемую в Apple. В то время как многие эксперты считают, что Apple Pay по-прежнему останется безопасной, если защита доступа к устройству под управлением iOS не будет нарушена посредством джейлбрейка, Юнусов доказывает обратное с помощью утилит собственной разработки, которые считывают данные.

Тимур Юнусов пояснил, как хакеры могут манипулировать Apple Pay для проведения неоднократных списаний с одного счета

Пользователь может защититься от подобных атак, проверив, подвергалось ли его устройство процедуре джейлбрейка, например, с помощью приложения SystemGuard. Однако и в устройствах, использующих операционную систему, сертифицированную компанией Apple, также существуют программные ошибки, — в том случае, если устройство с системой Apple Pay используется для покупок в Интернете. Исследователь в сфере безопасности обнаружил, что возможно проведение платежных операций без точного подтверждения продавцом информации о пользователе.

Это позволяет неоднократно использовать одинаковый криптоключ одной финансовой операции, например, посредством так называемой «атаки повторного воспроизведения». В этом ключе применяется уникальный номер кредитной карты, который Apple присваивает каждой операции. С помощью ключа хакер может произвести любые платежные операции на любую сумму. Единственное условие: операции должны осуществляться в течение короткого промежутка времени у одного и того же продавца. Защититься самостоятельно пользователь не может. При этом компании Apple и банкам задают вопрос, должны ли использованные криптоключи удаляться сразу же после проведения транзакции, — пользователь должен точно знать, сколько средств он потратил.

Apple Pay взломана

Для защиты от несанкционированного считывания данных вашей кредитной карты следует проверить устройство на джейлбрейк (1) и периодически контролировать отчеты системы Apple Pay (2).

(1)
(2)

Совершенно секретное шпионское ПО для Android

Около года назад выяснилось, что спецслужбы всего мира используют программное обеспечение Pegasus, разработанное израильской фирмой NSO Group Technologies, для прослушивания устройств под управлением iOS. Это было простое фишинговое SMS, которое «заманивало» пользователя на веб-сайт. На конференции Black Hat эксперты по вопросам безопасности из компании Lookout представили его аналог для Android. Программа называется Chrysaor. Она осуществляет крайне целенаправленные атаки. По оценке Lookout, ПО установлено всего на 0,000001% всех Android-устройств. Утилита устанавливается на устройстве либо посредством фишинга (так же, как и в случае с Pegasus), либо путем загрузки приложения. Как только Chrysaor установлен, программа проверяет, может ли она получить полный доступ к файлам смартфона.

В определенных случаях возможен мониторинг и извлечение данных. Если устройство оснащено защитой системных файлов, контроль в режиме реального времени невозможен. В этом случае программа-шпион Chrysaor лишь сканирует устройство, собирает данные и отправляет их на сервер мониторинга. Затронуты все версии Android. В отличие от утилиты Pegasus, компании NGO Group даже не приходится использовать уязвимости нулевого дня. Поэтому от такой атаки можно защититься только с большим трудом. Лучшая защита — переходить только по известным ссылкам и использовать только стандартные приложения.

GPS-спуфинг аннулирует двухфакторную защиту

На конференции Def Con хакер по имени Карит показал, насколько просто можно манипулировать GPS-сигналами. Карит заявил: «Люди полагают, что такая важная система, как GPS, защищена от атак». Однако с помощью оборудования стоимостью около $500 систему определения местоположения можно «ввести в заблуждение». Возможности атаки весьма многообразны. Пример — Uber: служба такси рассчитывает стоимость поездки на основании пройденного пути и времени. Карит изменяет длину маршрута, отправляя собственный GPS-сигнал, который гораздо сильнее, чем сигнал удаленного на 20 000 км спутника. По опыту Карита, водители всегда принимают уменьшенную стоимость поездки.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Куда ведут весенние палы лугов? Куда ведут весенние палы лугов?

Как реагирует на весенний пал растительность лугов, как меняется её структура?

Наука и жизнь
Грибы Грибы

Полны белка и клетчатки: чем полезны грибы и как их готовить?

Здоровье
Настя Ивлеева Настя Ивлеева

Настя Ивлеева: «Цифровая реальность – это в высшей степени сексуально!»

Playboy
Пластыри от прыщей: как они устроены и действительно ли помогают избавиться от высыпаний Пластыри от прыщей: как они устроены и действительно ли помогают избавиться от высыпаний

Работают ли патчи от прыщей или это просто маркетинг?

ТехИнсайдер
Тайна «пляжного тела» Тайна «пляжного тела»

«Пляжное тела»: почему оно есть у всех и в то же время не существует

VOICE
Сергей Довлатов: зумер среди классиков Сергей Довлатов: зумер среди классиков

О роли Сергея Довлатова в литературе и причинах его современности

Правила жизни
Скоро на экранах Скоро на экранах

Кем могли бы стать молодые актеры, если бы выбрали другую профессию?

Grazia
Правда ли, что OLED-экраны мониторов и телевизоров выгорают? Правда ли, что OLED-экраны мониторов и телевизоров выгорают?

Выгорание OLED-экранов: оправданы ли страхи в действительности?

CHIP
Культ личности Культ личности

Как повысить самооценку и изменить жизнь к лучшему

Лиза
Чем известен убитый союзник Дональда Трампа Чарли Кирк Чем известен убитый союзник Дональда Трампа Чарли Кирк

Мученик-трампист Чарли Кирк был консерватором, популярным среди молодежи

Ведомости
Место встречи, а не экскурсия Место встречи, а не экскурсия

Как сделать культуру и искусство доступными и понятными для широкой аудитории?

Монокль
«Стекло в пуантах — прошлый век» «Стекло в пуантах — прошлый век»

Почему в профессии балерины так важны верные партнеры и любовь к своему делу

OK!
Скороварка эволюции: как городская жизнь изменила вид и повадки животных и насекомых Скороварка эволюции: как городская жизнь изменила вид и повадки животных и насекомых

Как меняются животные и растения в городах

Forbes
Кто даст мне сто долларов? Кто даст мне сто долларов?

Аукционные дома Sotheby’s и Christie’s: инструкция по применению

Weekend
Дорогой лапши Дорогой лапши

Китайская лапша давно свернула с Великого шелкового пути

Seasons of life
Вода в топливном баке: чем опасна, как убрать и чем это лучше сделать Вода в топливном баке: чем опасна, как убрать и чем это лучше сделать

Как действовать, если вода в значимых количествах попала в бензобак?

РБК
Место пермской силы, или Пять веков деревянного Урала Место пермской силы, или Пять веков деревянного Урала

Культурные традиции Пермского края известны далеко за пределами его границ

Знание – сила
Разведка дрейфом: что наука ищет в Арктике Разведка дрейфом: что наука ищет в Арктике

Российские учёные изучают Арктику, чтобы понять будущее Северного морского пути

Монокль
На чистую воду На чистую воду

Новинка итальянской верфи Columbus Yachts — моторная суперъяхта Acqua Chiara

Y Magazine
Девелоперы избавляются от офисов Девелоперы избавляются от офисов

Объем офисов на продажу в Москве за год увеличился более чем на треть

Ведомости
Исследование: отличники остаются в найме, а в бизнес обычно идут бывшие троечники Исследование: отличники остаются в найме, а в бизнес обычно идут бывшие троечники

Как связаны оценки в школе и карьерный путь человека?

Inc.
Алексей Москалёв: «Старение – не обособленный процесс, а совокупность взаимосвязанных биологических каскадов, среди которых выделяются хроническое воспаление, гликирование и окислительный стресс» Алексей Москалёв: «Старение – не обособленный процесс, а совокупность взаимосвязанных биологических каскадов, среди которых выделяются хроническое воспаление, гликирование и окислительный стресс»

Что сейчас известно о природе долголетия?

Здоровье
Астрономы нашли наиболее вероятного кандидата в беззвездное гало темной материи субгалактической массы Астрономы нашли наиболее вероятного кандидата в беззвездное гало темной материи субгалактической массы

Астрономы подтвердили статус Cloud-9 как кандидата в объекты типа RELHIC

N+1
От нефтеотдачи к суверенитету От нефтеотдачи к суверенитету

Как в нефтегазовой отрасли сформировать независимую производственную систему

Ведомости
Как повысить конверсию сайта и заявок: 9 шагов к эффективной воронке в digital-маркетинге Как повысить конверсию сайта и заявок: 9 шагов к эффективной воронке в digital-маркетинге

Посетители приходят на сайт — но не оставляют заявки?

ТехИнсайдер
От бобра до банкротства: 1670–2025 От бобра до банкротства: 1670–2025

История самой старой компании Северной Америки

Деньги
Как показать свой бизнес на Яндекс Картах и 2ГИС Как показать свой бизнес на Яндекс Картах и 2ГИС

Как добавить организацию в Яндекс Карты и 2ГИС?

Inc.
Москва — Дагестан Москва — Дагестан

У дагестанцев есть уникальное умение — перенимать новое и сохранять самость

Seasons of life
Физлицом к рынку Физлицом к рынку

Розничные инвесторы нарастили вложения вдвое, предпочитая облигации акциям

Ведомости
Не спешите на свалку: как подарить вторую жизнь вашему старому ноутбуку Не спешите на свалку: как подарить вторую жизнь вашему старому ноутбуку

Как превратить вашего динозавра в шустрого помощника для работы и учебы?

ТехИнсайдер
Открыть в приложении