Сообщество - Информационная безопасность
Информационная безопасность
843 поста 18 224 подписчика
437

Как делать безопасные платежи незнакомцам

Последнее время было много постов на тему, что меня кинули мошенники при покупке товаров и услуг через инет. Речь пойдет не про оплату покупок в интернет магазинах, а про покупки на сайтах объявлений или странного рода платежей напрямую на карту получателя платежа.


Давайте расскажу, как минимизировать данный риск! А все просто: не надо платить/переводить деньги на карту/телефон, а нужно делать обычный банковский перевод. И все, этого достаточно.


Сейчас попытаюсь объяснить.Когда вы переводите деньги через карту, то пользуетесь платежной системой VISA/MASTERCARD и проч., которая и осуществляет перевод, но, кроме платежной системы можно перевести деньги на банковский счет держателя карты. Кубышка одна и та же, но способы доставки разные. Если вы используете перевод через карту, то пользуетесь платежной системой, транзакции в которой нашими контрольными органами отслеживаются не очень хорошо. Так же, в истории платежей по вашему счету (в выписке) данная информация отражается скупо. Но, если вы делаете перевод на банковский счет, то получатель денег должен вам сказать немого больше информации чем номер карты или телефона (при привязки карты к телефону), так сказать – он должен открыься перед вами. Для такого перевода надо:

• БИК –код банка в общероссийском справочнике.

• Корр.счет – счет банка получателя денег в ЦБ РФ, обычно подтягивается автоматом, при указании БИК, по сути – не обязательный реквизит.

• Номер расчетного счета получателя платежа – собственно аналог номера карты, состоит из 20 символов, имеет алгоритм ключевания. Ключевание – это алгоритм проверки корректности указания номера счета, то есть, вы в принципе не можете перевести деньги на РС, если ошиблись в одну цифру – счет не пройдет ключевание. С несколькими цифрами сложнее – можете случайно угадать.

• ФИО получателя платежа – тут все просто.

• Назначение платежа – краткое описание того, за что вы переводите деньги.


Да, этот способ несколько сложнее, чем перевод по номеру телефона, но я перечислю плюсы:

• Вы переводите деньги реальному владельцу расчетного счета, у которого есть ФИО, а банк еще и паспортные данные хранит. Альтернатива – номер карты, которая может быть виртуальной или номер телефона привязанный к карте – тоже мутная идентификация получателя.

• Так же, вы указываете текст в назначении платежа – это легко позволит прибегнуть к разбирательству, если вы не получили товар/услугу от получателя денег.

• Если вы таки ошиблись в реквизитах получателя и деньги ушли с вашего счета, то они либо вернуться автоматом, либо надо сделать запрос на поиск денег сначала в вашем банке, а потом в банке получателя. В любом случае, деньги вернутся. Сам ошибся при переводе, деньги нашел за неделю и получил их обратно, без комиссий, сумма была более 300 т.р. было бы обидно их потерять.


Многие зададут вопрос о том, чем отличается номер счета от номера карты: Номер расчетного счета – это ваш счет в банке, без него нельзя открыть ни одну банковскую карту!!! То есть, первичен счет, а не карта. И только потом, к этому счету привязывается карта, которая обслуживается платежной системой VISA/MASTERCARD и проч. Соответственно, любой владелец карты может легко узнать свой счет. Для этого надо либо обратится в банк и эту информацию вам с удовольствие предоставят, либо посмотреть в разделе собственных реквизитов в клиент-банке (интернет-банке).


На счет безопасности для получателя платежа: невозможно списать деньги с расчетного счета зная только номер счета (собственно, как и скартой), обязательно нужна авторизация.


Как осуществить процедуру:

• Можно открыть ваш мобильный банк и найти в разделе переводов: платежи/переводы в друге банки или аналогичный пункт. А далее указываете реквизиты, сумму, назначение платежа и деньги поехали.

• Прийти в свой банк с паспортом и сказать, что хотите сделать перевод по имеющимся банковским реквизитам.


На счет сроков перевода: да, банковский перевод несколько дольше обрабатывается, до 3-х рабочих дней. Но, практика показывает, что деньги приходят в течении дня. Платеж на карту очень часто проходит в считанные минуты.


Комиссия примерно одинаковая за обе процедуры, либо ее нет совсем, все зависит от банка, карты, стоимости обслуживания и т.д.


Ну и главный момент: если получатель денег не хочет показывать вам свои реквизиты или не хочет их узнавать для совершения сделки, то у него есть на это веские причины – либо лень, либо глуп, либо мошенник. В любом случае, он в такой сделке не заинтересован.


Надеюсь, это кого-то обезопасит при покупках через объявления.

Показать полностью
4036

Степень распиздяйства поражает...

Не мое. Просто счел необходимым поделиться:


Сейчас я расскажу вам прекрасную историю, в которой выражение «я вычислю тебя по IP» приобретает реальный смысл, про бессмысленный и беспощадный российский bugbounty, отношение к персональным данным своих клиентов и бессмысленного регулятора, который вместо контроля за предыдущим, занимается ухудшением жизни жителей РФ (и которого в Прекрасной России Будущего не будет).


История началась около 11 лет назад, когда я изучал устройство сетей крупных операторов с помощью инструмента whois — смотрел распределение адресов для клиентов т.д.), и в одном российском сегменте интернета набрёл на такое, от чего потерял дар речи.

Аккуратно сдампил результаты whois по сетям этого оператора (десятки тысяч адресов), и это настолько меня шокировало, что я предпочёл об этом поскорее забыть.


Месяц назад мне написал один из читателей: смотри, что происходит. И тут я всё вспомнил, и охренел ещё сильнее — от того, что за ~11 лет ничего не поменялось.


Есть такой московский оператор — «Комкор», сейчас работает под торговой маркой Акадо-Телеком.

Среди их клиентов — физические лица, фирмы (много банков, объекты инфраструктуры города) в московской области — жители элитных посёлков (Рублёвка, Барвиха, Жуковка и т.д.).


Многие уже догадываются, о чём будет дальше, но всё равно не могут поверить.


Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.

Там всё:

ФИО клиента (или название компании), адрес подключения, телефон клиента.


Вот их сети:

212.100.128.0/19

212.45.0.0/19

178.208.128.0/19


Вот элитного посёлка «Жуковка»:Вот клиенты в Барвихе, включая местный Альфа-Банк:

Степень распиздяйства поражает... Акадо, Длиннопост, Мат, Информационная безопасность, Персональные данные

Вот клиенты в Барвихе, включая местный Альфа-Банк:

Степень распиздяйства поражает... Акадо, Длиннопост, Мат, Информационная безопасность, Персональные данные

А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он:

Степень распиздяйства поражает... Акадо, Длиннопост, Мат, Информационная безопасность, Персональные данные

«Какая-то невероятная дичь», — воскликните вы, и будете совершенно правы.

Давайте теперь посмотрим, как обстоит дело с защитой персданных клиентов-фирм и объектов инфраструктуры Москвы.

Вот IP-адреса объектов ДИТ Москвы — Департамента инфромационных технологий — к Акадо подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств и пользователей:

Степень распиздяйства поражает... Акадо, Длиннопост, Мат, Информационная безопасность, Персональные данные

Давайте поищем по ключевому слову «Bank».

Что же мы видим? Сотни банков подключены к Комкору, и любой человек на свете может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее:

Степень распиздяйства поражает... Акадо, Длиннопост, Мат, Информационная безопасность, Персональные данные

Что должен сделать приличный человек, который осознал что все эти ~11 лет персданные клиентов большого оператора лежали в паблике?

Правильно, написать об этом в Комкор. Ну не знали же они, что делают всё это время, в самом деле — надо им об этом рассказать!

Что я и сделал:

Степень распиздяйства поражает... Акадо, Длиннопост, Мат, Информационная безопасность, Персональные данные

Через 1 рабочий день я получил ответ от начальника ИБ — мол информацию получили и проверят (странная задержка в сутки при такой-то страшной дыре, но ладно):

Степень распиздяйства поражает... Акадо, Длиннопост, Мат, Информационная безопасность, Персональные данные

Ещё через 5 дней я решил поинтересоваться результатами проверки информации:

Степень распиздяйства поражает... Акадо, Длиннопост, Мат, Информационная безопасность, Персональные данные

на что мне ответили, что всё исправили:

Степень распиздяйства поражает... Акадо, Длиннопост, Мат, Информационная безопасность, Персональные данные

Ого, думаю я, наконец-то в России стала повышаться ответственность компаний и рост культуры реакции на сообщения о дырах. Но решил всё же проверить: убрали персданные только из блока person и только из двух моих примеров в первом письме, но в блоке inetnum персданные остались даже в моих примерах, о чём я написал:

Степень распиздяйства поражает... Акадо, Длиннопост, Мат, Информационная безопасность, Персональные данные

и получил очень странный ответ, что «принято решение» убрать персданные пользователей белых сетей (когда убрать?!), но поле inetnum они обязаны заполнять:

Степень распиздяйства поражает... Акадо, Длиннопост, Мат, Информационная безопасность, Персональные данные

Да никто не спорит, что обязаны — но провайдеры записывают туда информацию о назначении сети, или, если это фирма — максимум, её название и юр. адрес (и даже это далеко не всегда, точнее — почти никогда), но никак не ФИО клиента-физлица.

На моё письмо от 24 октября с уточняющим вопросом никто не ответил:

Степень распиздяйства поражает... Акадо, Длиннопост, Мат, Информационная безопасность, Персональные данные

И тут мои силы закончились — я перестал понимать, почему я должен уговаривать большую компанию с огромной ответственностью заставлять устранить такую страшную дыру. Я перестал понимать, почему эта переписка вообще должна была длиться больше двух писем, ведь каждому здравомыслящему человеку абсолютно очевидно, насколько это дико — персданные твоих клиентов в паблике. И я уже не говорю об ответственных лицах в компании, которые должны только и заниматься тем, что устранять эту страшную дыру.


Я очень не хотел писать этот пост — мне ответили, со мной общались вежливо, даже в музей пригласили :). Но это попытка сделать хорошую мину при плохой игре. Никаких действий по факту предпринято не было, сроки их тоже озвучены не были. Поэтому следующим шагом я должен перейти к информированию об этой опасной уязвимости общественность, чтобы они вывели себя из-под угрозы и перестали пользоваться оператором, который так относится к персданным своих клиентов.

А теперь — простым языком для людей, которые не поняли, что всё это значит.


Whois — это публичный инструмент, которым может воспользоваться каждый человек, чтобы получить информацию об IP-адресе или домене.

В нём содержится служебная информация о владельце домена или IP-адреса (в данном случае — провайдере).

По правилам организации RIPE, которая выдаёт IP-адреса, провайдер обязан содержать в актуальном виде информацию о назначении подсети IP-адресов (например, служебная или клиентская), контакты для связи (почта и телефон провайдера), и если провайдер выдаёт в аренду крупный блок адресов — информацию об арендаторе.

Но никакому провайдеру не приходит в голову указывать ФИО, адрес подключения и контакт физического лица, которому выдан 1 IP-адрес. Тоже самое — с юридическими лицами. В случае выдачи большого блока, максимум — указывается юрлицо, его контакт и юридический адрес. И то, так делают далеко не все провайдеры, и никаких санкций, конечно же, за это нет.

Не очень умные технические специалисты Комкора (ныне Акадо) в какой-то момент просто настроили автоматическую трансляцию информации из своей служебной базы клиентов (CRM) в базу данных RIPE, и таким образом персданные клиентов стали доступны для всех желающих.

Для оператора такая дыра — катастрофа дважды, потому что:

1) Собственно, песональные данные клиентов — в публичном доступе. Какое доверие может быть к такому оператору?

2) Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.

3) Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить, таким образом, интернет у клиента.

В случае с ведомственными объектами, большое количество которых подключено к Акадо — это же прямая угроза безопасности города.


Этот пост прочитает много клиентов Акадо — вы, конечно, решайте сами, но я бы никогда не стал пользоваться услугами оператора, который выкладывает ваши персональные данные в паблик, и не убирает их в срочном порядке после приватного сообщения об этом.

И даже через 3 недели всё еще не убирает.

Такое поведение, конечно, абсолютно неприемлемо в 2018 году.


И в завершение, я хочу отдельно написать о Роскомнадзоре.

Это регулятор, под надзором которого оператор связи оказывается дважды — как оператор связи, и как оператор персональных данных.

Эти никчёмные и бесполезные дармоеды вместо ухудшения жизни всех жителей России и ежедневной блокировки до 10–15 IP-адресов нашего прокси для Telegram (вы представляете, там сидят специальные люди на зарплате, которые почти круглосуточно резолвят домен и добавляют актуальные IP-адреса в выгрузку — что может быть бессмысленнее), должны заниматься как раз пресечением таких вот историй.

Дорогие журналисты, которые будут звонить в Акадо — сделайте, пожалуйста, следующий звонок в Роскомнадзор и спросите, почему они не выполняют свою работу, а вместо этого занимаются ухудшением жизни граждан России.

Ссылка на источник вот.

Показать полностью 12
614

Роскомнадзор грозится заблокировать Google.

Роскомнадзор грозится заблокировать Google. Роскомнадзор, Google, Блокировка

Согласно обновленному законодательству РФ, все новостные агрегаторы с 2017 года будут вынесены в отдельный реестр.


Роскомнадзор требует от Google в течении трех месяцев зарегистрировать новое юридическое лицо на территории Российской Федерации для исполнения законодательства о «о распространителях информации».


Если Google не выполнит требований регулятора, то как предупредительные меры перед блокировкой к ней могут быть применены штрафные санкции в рамках административной ответственности за нарушение порядка предоставления информации о видах деятельности по ст. 14.25 КоАП РФ. В этом случае штраф составит до 5 тысяч рублей.

Источник: https://geektimes.ru/post/283358/

З.Ы. зачем так жестко то они с гугл, из за этих 5 т.р. у кого то из ген директоров может и приступ случиться от бесконтрольного смеха.

1061

Как раскрыть спецслужбу через интернет

«С тех пор, как появились Одноклассники, работать стало легко и приятно», - сказал мне однажды человек, работающий в структурах, которые раньше называли Контора Глубокого Бурения. Или, попросту, КГБ.
Как раскрыть спецслужбу через интернет Длиннопост, Метод, Раскрытие, Спецслужбы, Интернет, Поиск, Документы, Социальные сети

Интересно, а о сегодняшних бойцах невидимого фронта можно что-то узнать из Сети, пришло как-то в наши головы?

И мы решили обратиться к специалисту.


Небольшой офис в тихом районе. Добротная неприметная дверь, коридор, с добротным, но уже немного потертым ковровым покрытием. Сергей (имя изменено) встречает нас на пороге кабинета. На специалиста по безопасности он совершенно не похож, на хакера – тоже. Типичный менеджер среднего звена – короткая стрижка, хороший костюм, неброский галстук. На столе ноутбук, рядом смартфон.

Я шучу, что на таком столе должен стоять МакБук, на что Сергей совершенно серьезно отвечает:

— Ни один нормальный аналитик-безопасник не будет пользоваться продукцией Apple. Она же напрямую в ЦРУ стучит.


После чего переходит к делу:

— Парни, давайте так, я ищу только по открытым источникам, и вы в материале не упоминаете никаких реальных имен и названий. То, что головы могут открутить вам, это черт с ним. А вот если до ребят «на земле» дотянутся – будет плохо.

— У нас главная беда в том, что технологии есть, как с ними работать люди на местах понимают. А вот, чуть повыше понимать почему-то перестают. И в открытом доступе такого найти можно… Во, например, скандалы с силовиками у нас часто, если внимательно читать прессу, можно наткнуться на названия подразделений, которые, по идее, светиться не должны.


Сергей показывает нам несколько вкладок как раз с такими статьями, открытыми во вкладках браузера.

— Видите? Все открыто. Вот название отдела, — показывает он курсором, - сотрудники которого часто работают под прикрытием. Как название вообще в статью попало, это вопрос отдельный. Кто в здравом уме будет указывать, какое именно подразделение вело слежку за подозреваемыми? А кто-то ляпнул. По уму, никаких данных мы о нем в Сети найти не должны. Так?

— Ну… так, — соглашаемся мы.

Рай для любознательных

— А вот и не так. Я же говорил, что во время скандалов разные подразделения светятся. Вот и тут. Шла слежка за дачами одного силового ведомства. В Питере. Тут же в статьях написано, кто именно следил, что за подразделение, — Сергей хмыкает, — а дальше простая любознательность и немного упорства. Название мы с вами узнали из совершенно открытого источника. Теперь просто работаем с поисковиками.


Сергей копирует название подразделения в Яндекс и Google. Чуть прищурив глаза, отпивает из большой белой чашки с надписью I love NY. Разворачивает к нам ноутбук, — Смотрите, эмблема какая красивая у них. Теперь название уточним. В МВД же реформа была, теперь они иначе называются. Но если знаешь старое название, можно точно узнать новое, переименование ведь тоже по правилам происходит.


Все это узнать несложно, продолжает объяснять нам Сергей, набирая поисковые запросы, просто надо уточнить каков именно порядок переименования. Все это тоже есть в открытом доступе Пока поиск информации выглядел совершенно заурядно. Копипаст в поисковое окно, сохранение ссылок и фрагментов текста в простеньком текстовом редакторе. Все нормативные документы и приказы обязаны находиться в открытом доступе, дальше просто надо немного разбираться в структуре ведомства.

Отметим эту первую точку фокуса, в которой сходится много разноплановой информации — базы данных нормативных документов.

Интересное начинается дальше. Слежка, как правило, ведется подразделениями, часть сотрудников которых официально числится в других ведомствах, а то и вовсе на гражданской службе или безработными. Кроме того у сотрудников таких ведомств есть документы прикрытия: удостоверения работников социальных и коммунальных служб, журналистов или просто военнослужащих. Но у каждого подразделения должно быть руководство. Официальное начальство.


Действительно, информация интригует.

Попробуем докопаться в интернете до сведений о руководстве и личном составе этой секретной службы.

Первым делом введем в Google запрос "название подразделения, которое мы уже узнали". Что мы получаем на выходе? По адресу gzakupki.ru/documentMeta2/*********.doc можно скачать документ об открытом аукционе, проводимом этой службой. В данном документе дано техническое задание, в котором указаны контакты двух начальников подразделения. Собственно начальника подразделения — полковника **** и начальника технического отдела полковника ****.

Как раскрыть спецслужбу через интернет Длиннопост, Метод, Раскрытие, Спецслужбы, Интернет, Поиск, Документы, Социальные сети

Теперь у нас есть сведения о начальнике подразделения.

Попробуем углубить поиск. Делаем запрос в Google "начальник_название подразделения_ФИО".

Находим интересный документ webcache.googleusercontent.com/***** , в котором указаны дни рождения сотрудников подразделения (со старым еще названием). Соответственно, 26 апреля – день рождения полковника ****. Эврика. Теперь у нас есть дата рождения и ФИО начальника.

Таким же образом обнаруживаются данные и на заместителя начальника. Итак, у нас уже есть данные начальника и его потенциального сменщика.


Во все времена организации, имеющие отношение к разведке и слежке любили действовать под фальшивыми вывесками. Забота о безопасности, необходимость в прикрытии, словом, ничего личного. Но, что если предположить, что начальником такой «крыши» будет наш полковник?

— Вот теперь нужны некоторые специальные знания. Например, о том, что есть такой сервис, как Контур-Фокус. Впрочем, есть и другие. Получаем в «Контуре» гостевой доступ, в поисковом окне водим нужные данные и получаем данные об интересной организации.. Система выдала — в/ч 12345, возглавляемую с 27.12.2005 нашим полковником. ИНН, юридический адрес, все как полагается.

Как раскрыть спецслужбу через интернет Длиннопост, Метод, Раскрытие, Спецслужбы, Интернет, Поиск, Документы, Социальные сети

Похоже, что мы нашли «прикрышку» секретной службы.

Бинго, — Сергей явно доволен. Чай давно остыл, но все о нем забыли.


Посмотрим, что еще знает Google о полковнике ****. Наверняка, тот где-то учился. Попробуем ввести в поисковике "Фамилия_Имя_Отчество"+"кандидатская"


Получаем данные о кандидатской полковника в Санкт-Петербургском университете ***.


Сайт avto-nomer.ru подскажет нам номер служебного автомобиля. Кстати, это BMW пятой серии.

Как раскрыть спецслужбу через интернет Длиннопост, Метод, Раскрытие, Спецслужбы, Интернет, Поиск, Документы, Социальные сети

Тут Сергей закрыл вкладку и поднял руки, — Так, дальше в личную жизнь лезть не будем. Я могу еще много разного нарыть, ну его от греха подальше.


Мы спрашиваем Сергея, что можно узнать в принципе. Он пожимает плечами, — Да почти все, если постараться. Например, если узнать адрес личной посты, можно почти наверняка узнать ники в соцсетях и на форумах. Люди чаще всего используют один и тот же ник и для почты и для других записей. А там – ищи все, что он написал не «под замок». Получаешь полную информацию о пристрастиях, взглядах, хобби. Часто – еще и о маршрутах и любимых местах.


Если объект твоего интереса, к примеру, известная личность, то искать лучше не по нему самому, чтобы не привлекать внимания, а по данным ближайшего окружения.


Их маршруты наверняка дадут информацию и о маршрутах шефа. И тут, сам понимаешь, использовать данные можно очень по-разному.


Маска, я вас знаю

— Ладно, теперь перейдем ко второй части марлезонского балета. Сергей снова садится за ноутбук.

— По идее, все сотрудники нашей конторы имеют документы на левые имена, и вычислить их невозможно. Что же, давайте попробуем... Вот, прикинь, если они слежку ведут, то и машины должны у них быть, а если участвуют машины, то они попадают в аварии и есть страховые случаи. Введем в Google "сотрудника подразделения".


На выходе получим (приводим только часть заголовков):


1) 12 апр. 2013 г. — Марка и номер машины под управлением сотрудника *** России по г. *** Фамилия Имя столкнулась с ...


И таких ссылок мы получили четыре.

Как раскрыть спецслужбу через интернет Длиннопост, Метод, Раскрытие, Спецслужбы, Интернет, Поиск, Документы, Социальные сети

Таким образом, простым запросом мы получили сведения минимум о четырех сотрудниках, попавших в ДТП в 2013 году.

Давайте попробуем поискать еще. Google выдает нам интересную ссылку. Привожу выдержку из текста, как говорится, без искажений:

Как раскрыть спецслужбу через интернет Длиннопост, Метод, Раскрытие, Спецслужбы, Интернет, Поиск, Документы, Социальные сети

В списке все отличившиеся фигурируют под реальными фамилиями.

Распоряжение довольно старое, многие из перечисленных офицеров уже могли уволиться или же стать начальниками, как указанный, например, в документе ныне здравствующий (как мы выяснили выше) заместитель начальника.


— Дальше все просто, у нас куча фамилий. Просто ищем по каждой из них и смотрим, на что наткнемся. О, вот, — Сергей показывает на одну из ссылок.


Переходим по ссылке — попадаем на сайт любителей водного поло. Точнее, на отчет о ведомственном чемпионате за 2010 год. И смотрим итоговый протокол соревнования.

Как раскрыть спецслужбу через интернет Длиннопост, Метод, Раскрытие, Спецслужбы, Интернет, Поиск, Документы, Социальные сети

Сверяем со списком из приказа, ага, знакомые все лица. А теперь самое интересное – на сайте есть очень неплохой фотоотчет о турнире. Большая часть фото, конечно, пользы не приносит, сложно опознать людей в очках, шапочках для плавания, да еще и в бассейне.

Но, вот, фото с церемонии награждения и последующего банкета показывают нам множество жизнерадостных лиц.

Как раскрыть спецслужбу через интернет Длиннопост, Метод, Раскрытие, Спецслужбы, Интернет, Поиск, Документы, Социальные сети

Ну а кто из них кто, как тут поймешь? — наивно спрашиваю я.

А соцсети тебе на что, — улыбается Сергей.


Начинается нудная сверка по фамилиям. «Вконташа» выдает на каждую фамилию множество анкет, скоро у меня все сливается перед глазами, а Сергей методично открывает каждую ссылку, сверяет фотографии, закрывает, переходит к следующему.


За окном темнеет, кто-то заглядывает в дверь, Сергей машет рукой, — Я потом, Слав.


Слава угукает и исчезает.


В конце концов, Сергей откидывается на спинку кресла, кивает на ноутбук. На мониторе аккуратный файл – фамилия, имя, отчество, фотография.

— Вот они, все до единого. Вся команда. Только что я засветил парней, которые работают под прикрытием. Или работали, разница невелика.

— А дальше что? Ну нашли мы их по соцсетям.


— Да все, что угодно, — Сергей вспоминает о кружке с чаем, отпивает и морщится, — Дальше я могу начать анализировать данные ЕГРП, связи лиц в социальных сетях и их фотографии (с их метаданными). С помощью этого получить сведения о большей части сотрудников секретного подразделения, конспиративных квартирах, автотранспорте, родственниках, привычках родственников, их доходах. А там, смотря кто что найдет. У нас был случай в практике, когда конкуренты прижали одного ответственного сотрудника, просто прошерстив его родственников по Вконтакту. Нашли фото его сына в ночном клубе. Опознали ночной клуб – оказалось, место злачное, там наркоту толкают. Последили за парнем, выяснили, что он наркотики покупает. Дальше дело техники.


Напоследок попробуем узнать местоположение конспиративных помещений секретной службы. Вводим в google "в/ч 12345". В списке предложенных документов находим один интересный wap.gov.spb.ru/static/writable/ckeditor/uploads/2013/10/29/***.pdf Это перечень потребителей электроэнергии ЛенЭнерго. В этом перечне находим в/ч 12345, ранее установленную как прикрышку секретной службы. Тут все: потребляемое электричество, адреса, телефоны. Остается только сходить на Яндекс-карты и посмотреть в живую на самую энергопотребляющую контору. Это будет основная конспиративная квартира. И, действительно, смотрим панорамы Яндекса и читаем на воротах знакомую надпись - в/ч 12345.

Как раскрыть спецслужбу через интернет Длиннопост, Метод, Раскрытие, Спецслужбы, Интернет, Поиск, Документы, Социальные сети

Все, всё, я домой, — Сергей решительно захлопнул крышку ноутбука.

А мы задумчиво двинулись в гостинцу.

***


В этой истории мы изменили или вычеркнули все, что только можно. Люди, о которых мы узнали столько всего, зарабатывают свои деньги с вполне реальным риском для жизни и без шуток охраняют наш покой и наше имущество.


Они хорошо знают свое дело и рассчитывают на защиту со стороны своих сослуживцев, которые должны эту защиту обеспечивать.


И тут наступает пора неприятных вопросов и непростых размышлений. Интернет буквально взрывается требованиями раскрыть данные, обнародовать, сделать доступными всё, что только можно. Государственные организации обязаны делать доступными гигантские массивы информации.

Похоже, что на многих уровнях те, кто отвечает за сохранность данных, просто не понимает, какую информацию и как можно сопоставить и какие выводы сделать на ее основе.


Cтоит ли так уж настойчиво требовать этой самой открытости данных и перевода всего на свете в электронный формат? Ну, или, прежде, чем выкладывать документы, стоит как следует изучить те самые точки фокуса, исследуя которые человек с минимальной подготовкой может получить полную картину о деятельности вашей организации?


Кстати, это не только секретных агентов касается.

http://www.therunet.com/articles/1992-spetsrassledovanie-the...

http://www.securitylab.ru/blog/company/CABIS/299100.php

Показать полностью 8
433

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции]

Предыдущий пост: https://pikabu.ru/story/kak_postavit_parol_na_vklyuchenie_wi...


В конце предыдущего поста я обещал рассказать, как снять пароль, поставленный с помощью утилиты SysKey. Описанный ниже способ снимает не только пароль SysKey, но и все пароли, которые стоят на учетных записях Windows.


Далее расскажу, как всё-таки защитить свои данные на компьютере от посторонних глаз наилучшим способом.


==========================


(1) СБРОС ПАРОЛЕЙ


Нам понадобится: Образ Windows, записанный на диск или флешку.


1. Запускаемся с флешки или диска.

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

2. Нажимаем комбинацию клавиш SHIFT+F10 и вводим команду: explrorer

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

3. Откроется системный проводник. Вам необходимо попасть в директорию: D:\Windows\system32\config. Обращаю ваше внимание, что если у вас системный диск имеет литеру "C", то в данном проводнике он будет под литерой "D", так как литеру "С" резервируется системой.

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

4. Тут необходимо удалить все те файлы, которые начинаются со слова "SYSTEM". Как правильно это файлы: SYSTEM, SYSTEM.LOG, SYSTEM.LOG1, SYSTEM.LOG2 и ещё какие-то.

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

5. После этого закрываем все окна, которые есть на экране и компьютер уходит в перезагрузку. При перезагрузке начнется процесс "Загрузка файлов..."

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

6. После этого вы попадёте в режим восстановления. Вам зададут некоторые вопросы на английском языке. На них можно ответить "No".

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост
Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

7. После этого Windows сам восстановит необходимые файлы и перезагрузит компьютер

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост
Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

8. После перезагрузки вы попадёте в Windows. Пароль от SysKey сбросится. Также сбросятся пароли от учётных записей Windows.


==========================


(2) ЗАЩИТА ДАННЫХ С ПОМОЩЬЮ ШИФРОВАНИЯ


И всё-таки, как защитить свой компьютер от чужих глаз? Всё довольно просто. Если вы ставите пароль на вход в Windows, то в любом случае извне можно будет попасть в файловую систему. Для обеспечения наилучшей безопасности ваших данных необходимо зашифровать файловое пространство. Ключ к расшифрованию будет в виде пароля и его необходимо будет ввести перед запуском Windows.


Дисклеймер №1: Начиная с Windows 8 можно зашифровать диск с помощью встроенной утилиты BitLocker. Инструкции вы можете найти в интернете. Я же, всё-таки хочу показать тот вариант, которым сам пользовался.


Дисклеймер №2: Не бойтесь того, что тут много скриншотов. Просто инструкция сверх-подробная :) А так, все действия очень лёгкие.


Понадобится программа VeraCrypt. Также можете использовать более старый аналог - TrueCrypt. Скачать можно тут: https://www.veracrypt.fr/en/Downloads.html


После установки в меню Settings > Language можно сменить язык на русский. Скриншоты будут на русском языке.

1. Включаем программу. Идём в Система > Зашифровать системный раздел/диск.

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

2. Дальше всё просто. Буквально только нажимать "Далее"

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост
Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

3. Если у вас одна ОС - то выбираем "Одиночная загрузка". Если больше, то вы знаете, что делать.

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

4. По своему желанию можете выбрать алгоритм шифрования. Дальше, я думаю, опять всё понятно.

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост
Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

5. В данном окне необходимо поводишь мышкой до полной шкалы внизу окна, чтобы увеличить качество шифрования.

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

6. Дальше опять понятно, я думаю

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост
Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост
Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

7. Далее VeraCrypt предложит пройти пре-тест шифрования системы и необходимо будет перезагрузить компьютер. После перезагрузки вводите пароль, который вы указали. Когда попросит пароль PIM, просто нажмите Enter.

8. После пре-теста VeraCrypt предложит зашифровать диск.

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

Вот и всё! После того, как зашифровали диск при каждом включении компьютера вы будете видеть вот это:

Сброс паролей Windows и утилиты SysKey. Способ защиты данных на компьютере с помощью шифрования диска [Подробные инструкции] Windows, Безопасность, Пароль, Взлом, IT, Длиннопост

Сначала вводите пароль, потом когда запрашивает PIM, то просто нажимаете Enter. Ждёте и загружается Windows.

Показать полностью 20
285

Wikileaks рассказала, как ЦРУ заражает изолированные от сети компьютеры.

Wikileaks продолжает публикацию архива секретных документов и хакерских инструментов Центрального разведывательного управления (ЦРУ) США, которые были переданы в распоряжение ресурса неизвестным информатором весной 2017 года. Публикации выходят под кодовым названием Vault 7 и рассказывают о самых разных инструментах и техниках.



На этой неделе Wikileaks обнародовала бумаги, касающиеся работы различных утилит, входящих в инструментарий Brutal Kangaroo (ранее носил имя EZCheese), при помощи которого ЦРУ проникает в изолированные от сети и оффлайновые компьютеры. Конечно, никакой магии и экзотики здесь нет (решения ЦРУ не чета методам, которые разрабатывают специалисты из университета имени Бен-Гуриона), и агентам предлагают использовать для заражения вредоносные USB-накопители.



В состав Brutal Kangaroo, созданного еще в 2012 году, входят следующие инструменты:



Drifting Deadline — основная часть Brutal Kangaroo инструмент, содержащая GUI-билдер для создания нужной малвари;


Shattered Assurance – серверный компонент, работающий на зараженном хосте и автоматически заражающий портативные накопители с помощью Drifting Deadline;


Shadow – инструмент, позволяющий объединить ряд зараженных оффлайновых компьютеров в единую сеть для выполнения каких-либо задач;


Broken Promise – инструмент для оценки и извлечения данных, собранных с изолированных машин.


Согласно бумагам, компоненты Brutal Kangaroo используются для реализации многоступенчатых, сложных атак, которые начинаются с того, что сотрудник спецслужб использует Drifting Deadline и создает малварь для первой и второй стадии атаки.

Wikileaks рассказала, как ЦРУ заражает изолированные от сети компьютеры. Wikileaks, ЦРУ, Ezcheese, Brutal Kangaroo, Vault 7, Софт, Заражение, Информационная война, Длиннопост
Wikileaks рассказала, как ЦРУ заражает изолированные от сети компьютеры. Wikileaks, ЦРУ, Ezcheese, Brutal Kangaroo, Vault 7, Софт, Заражение, Информационная война, Длиннопост

Затем нужно заразить компьютер в целевой сети, однако документы не описывают данный процесс, то есть к каким методам для этого прибегают оперативники ЦРУ, неизвестно. После этого первая зараженная машина станет «основным хостом» и будет использоваться для дальнейшего распространения инфекции. Каждый раз, когда пользователи будут подключать к этому компьютеру USB-накопитель, Brutal Kangaroo будет заражать его малварью, отличной от той, что заразила основной хост, и созданной специально для USB. Ставшие вредоносными USB-накопители после этого будут заражать все компьютеры, к которым подключаются.



Вторая фаза атаки полагается на вредоносные файлы LNK, то есть ярлыки Windows. Файлы LNK будут вызывать автоматическое выполнение вредоносного пейлоада каждый раз, когда будут открыты в Windows Explorer. Аналогичный вектор атак использовала нашумевшая малварь Stuxnet, от которой серьезно пострадала ядерная программа Ирана.



Для данных атак используются эксплоиты Giraffe и Okabi, поддерживающие 32- и 64-разрядные архитектуры. Okabi более эффективен против машин, работающих под управлением Windows 7, 8, и 8.1, тогда как Giraffe работает только против Windows XP.

Wikileaks рассказала, как ЦРУ заражает изолированные от сети компьютеры. Wikileaks, ЦРУ, Ezcheese, Brutal Kangaroo, Vault 7, Софт, Заражение, Информационная война, Длиннопост

Согласно опубликованным бумагам, ранее инструментарий назывался EZCheese и Emotional Simian, и эксплуатировал 0-day уязвимость, которая была исправлена в марте 2015 года. Однако переход на эксплуатацию новых багов также оказался не слишком успешным. Так, в инструкции к Drifting Deadline сообщается, что начиная с 23 февраля 2016 года некоторые антивирусные продукты обнаруживают малварь Brutal Kangaroo (в бумагах перечислены Avira, Bitdefender, Rising Antivirus и Symantec).

Wikileaks рассказала, как ЦРУ заражает изолированные от сети компьютеры. Wikileaks, ЦРУ, Ezcheese, Brutal Kangaroo, Vault 7, Софт, Заражение, Информационная война, Длиннопост

Более того, с 2016 года разработки Microsoft представили целый ряд патчей для исправления уязвимостей LNK-файлов, включая патч, вышедший в этом месяце. Напомню, что ранее в этом году представители Wikileaks обещали делиться с производителями эксклюзивной информацией о инструментах ЦРУ, входящих в дамп Vault 7. Вероятно, выход свежего патча Microsoft напрямую связан с публикацией бумаг о Brutal Kangaroo.

xakep.ru
Показать полностью 4
504

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Когда мы говорим об анонимности в интернете, то чаще всего подразумеваем такие проекты, как Tor, I2P, Tor Browser, DNSCrypt и Live CD TAILS, включающий в себя все перечисленное. Однако существует менее известная, но очень интересная система Whonix, использующая виртуализацию в качестве средства изоляции рабочей станции от глобальной сети и способная защитить твою анонимность даже после взлома.

ВМЕСТО ВВЕДЕНИЯ


Чтобы обеспечить анонимность своего пребывания в Сети, мало установить Tor и завернуть в него весь исходящий трафик. Необходимо позаботиться о таких вещах, как утечки DNS, обнаружение твоего географического положения на основе настроек часового пояса, утечки имени пользователя (через SSH, например), утечки IP-адреса, свойственные некоторым сетевым протоколам, побороть проблему идентификации машины на выходных узлах Tor путем сравнения типов трафика. Ну и в целом придется серьезно повозиться, чтобы заставить все установленные сетевые приложения использовать Tor и не выдавать данных о твоей машине.


Ты можешь сделать все это сам, но лучше взять проверенное готовое решение, а именно дистрибутив TAILS. Он включает в себя множество преднастроенных приложений, корректно настроенный Tor и брандмауэр, так что в целом это достаточно надежная в плане сохранения анонимности и приватности система, которой не гнушался пользоваться сам Эдвард Сноуден.


Однако у TAILS есть два серьезных ограничения. Во-первых, это Live CD, изначально позиционируемый как «одноразовый»: TAILS не умеет запоминать свое состояние между выключениями и не оставляет никаких следов на машине. Как средство для слива секретных документов АНБ несколько раз за всю жизнь это превосходный инструмент, как повседневно используемая система — ужасный. Во-вторых, запуская TAILS на голом железе, юзер автоматически открывает серьезную дыру в своей анонимности. Ведь конфигурация ПК тоже позволяет идентифицировать человека.


Плюс TAILS никак не защищена от компрометации системы. Любой взломавший твою машину сразу деанонимизирует и твой IP, и тебя самого. Чтобы этого избежать, запланировано размещать ключевые системные сервисы в песочницах — но только в версии 3.0, которая непонятно когда выйдет, да это и не даст стопроцентной защиты. А самое печальное, что «благодаря» необновляемости системы ты не сможешь быстро залатать дыру, с помощью которой тебя взломали, придется ждать официальный релиз свежей версии TAILS (при условии, что информация о дыре находится в открытом доступе).


Для решения всех этих проблем как раз и предназначен Linux-дистрибутив Whonix, преследующий те же цели, но достигающий их несколько иным путем.

СИЛА ВИРТУАЛИЗАЦИИ


TAILS распространяется в форме немодифицируемого Live CD не только для защиты от троянов и от возможных утечек конфиденциальных данных при получении физического доступа к машине, но и для банальной «защиты от дурака». Разработчики не могут быть уверены, что пользователь корректно настроит каждое установленное им приложение и не спровоцирует утечку данных или раскрытие своего IP. А если систему нельзя менять, то и проблема пропадает сама собой.


Whonix, с другой стороны, изначально разрабатывался с оглядкой на возможность модификации системы и «настройки под себя», поэтому, кроме используемых в TAILS методов защиты от утечек и фингерпринтинга, здесь реализована довольно интересная архитектура с применением виртуализации. Whonix распространяется в двух образах VirtualBox: один играет роль шлюза в глобальную сеть через Tor, а второй — это рабочая машина с браузером, чат-, email-клиентами и другим софтом, в том числе тем, что можно установить из репозиториев. Оба образа основаны на Debian.


Единственный способ выйти во внешний мир для рабочей машины — это шлюз, единственный путь трафика во внешний мир из шлюза и обратно — через сеть Tor. Неважно, насколько протекающий софт ты установишь на рабочую машину, он все равно тебя не выдаст. Получить доступ к интернету в обход Tor приложение не сможет, IP-адрес увидит только локальный, именем пользователя для него будет просто user (разработчики не рекомендуют его менять), а информацией о железе — стандартная конфигурация VirtualBox. Тебя не удастся отследить даже по временной зоне, часы здесь настроены на UTC, а для синхронизации времени используются time stamp’ы HTTP-заголовков, отдаваемых случайно выбранными веб-серверами.


Самая же интересная черта системы в том, что она вовсе не требует, чтобы ты использовал именно рабочую машину Whonix. Главный компонент здесь — это шлюз, к которому можно подцепить любую другую запущенную в виртуалке ОС, будь то Ubuntu, Windows или OS X, и получить почти такой же уровень защиты от отслеживания (см. официальную документацию). «Почти такой же» потому, что, кроме графического окружения и набора приложений, рабочая машина Whonix включает набор инструментов и настроек, позволяющих защитить тебя от отслеживания с помощью сравнения типов трафика на выходных узлах Tor (identity correlation through Tor circuit sharing) и определения настроек твоих часов и uptime’а через NTP и метки времени TCP/ICMP (все это подробно описано на wiki-странице Whonix).


Первая задача здесь решается с помощью изоляции потоков (stream isolation), все поставляемое в комплекте рабочей машины ПО заранее настроено на использование разных портов Tor (SocksPort) и враппера uwt, перенаправляющего трафик на разные Tor-порты, если приложение само не предоставляет такой возможности (используется для apt-get, cURL, Git и других консольных инструментов). Поэтому трафик всех приложений идет через разные цепочки Tor-узлов на разные выходные узлы. Вторая проблема решается с использованием утилиты sdwdate, которая синхронизирует часы не через NTP, а обращаясь к случайно выбранным серверам.

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Концепция stream isolation


Whonix поддерживает любые виды туннелирования трафика Tor через VPN/SSH (или наоборот). Эта функция может очень пригодиться, если твой провайдер блокирует Tor (в этом случае VPN-клиент устанавливается на шлюз и Tor использует его для связи с другими узлами), или для скрытия трафика уже после того, как он покинул выходной узел Tor (VPN-клиент устанавливается на рабочую машину, так что Tor роутит уже зашифрованный трафик).

ПРОБУЕМ


Итак, Whonix — это два преднастроенных образа для VirtualBox или Linux KVM. Поэтому систему можно запустить в любой операционке, для которой есть официальная версия VirtualBox, а это Linux, Windows, OS X и Solaris. Все, что для этого требуется сделать, — это скачать оба образа (суммарный объем 3,5 Гбайт) и затем импортировать их в VirtualBox с помощью меню File -> Import Appliance.


Далее запускаем Whonix-Gateway и дожидаемся его загрузки. После появления рабочего стола (да, у шлюза есть графический интерфейс, так что разберутся даже самые маленькие) система предложит согласиться с дисклеймером, запустить Tor и обновить пакеты, затем запустится утилита whonixcheck, которая проверит подключение к Tor и корректность настроек системы, одновременно с ней отработает служба синхронизации времени sdwdate.

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Whonixcheck предупреждает о наличии новых версий пакетов


Сразу скажу о двух неочевидных моментах. Шлюз и рабочая станция Whonix никогда не подключаются к интернету напрямую и используют Tor даже для обновления пакетов из сетевых репозиториев. Поэтому сразу приготовься к довольно значительному проседанию скорости (я получил невероятно медленные по нынешним меркам 500 Кбайт/с).


Второй момент — шлюз совсем не обязательно запускать с графическим интерфейсом, который будет понапрасну жрать оперативку. Более того, здесь есть механизм, автоматически загружающий шлюз в текстовом режиме, если в настройках виртуалки выделить машине 192 Мбайт. Чтобы сделать это, достаточно кликнуть правой кнопкой на Whonix-Gateway, выбрать Settings и на вкладке System сдвинуть ползунок до значения 192. В итоге ты ничего не потеряешь, так как все, что позволяет сделать графический интерфейс, — это перезапустить Tor кликом мыши, отредактировать настройки брандмауэра и запустить интерфейс мониторинга Tor под названием arm (и он текстовый).

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Отключаем графику на шлюзе

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Текстовая утилита arm


После окончания загрузки шлюза можно запускать десктоп. Последовательность действий тут почти такая же: запускаем виртуалку, соглашаемся с дисклеймером, соглашаемся обновить пакеты, ждем окончания проверки соединения с Tor и синхронизации времени. Далее можно начать работать. Правда, предустановленных приложений тут кот наплакал. Из повседневно необходимых только Tor Browser, IRC-клиент XChat и KGpg. Причем первый даже не установлен; после клика по иконке запускается инсталлятор, который предлагает выкачать браузер через Tor.

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост
Tor Browser


Остальной необходимый софт ты волен ставить из репозиториев с помощью стандартной команды «sudo apt-get install приложение». В ответ на запрос пароля вводим changeme и, конечно же, меняем пароль с помощью команды passwd.

STREAM ISOLATION


Устанавливая сторонний софт в Whonix, ты сразу столкнешься с проблемой, называемой identity correlation through Tor circuit sharing. Не решусь перевести этот термин, просто скажу, что по умолчанию левый софт использует системные настройки SOCKS-прокси, а это единый стандартный порт Tor (TransPort). Проблема такой настройки в том, что, просто сравнивая типы трафика и их временную связь (например, ты можешь использовать Telegram одновременно с WhatsApp), выходной узел может установить связь между разными сеансами использования приложений и идентифицировать тебя (но не твой IP или географическое положение).


Для борьбы с данным типом атаки в Tor есть механизм, названный stream isolation, он позволяет разделить трафик разных приложений, направив его в разные цепочки узлов Tor. Использовать его довольно просто — надо всего лишь создать в настройках Tor несколько дополнительных портов SOCKS и настроить сами приложения так, чтобы они использовали разные порты. Whonix уже имеет такие настройки: предустановленный софт использует порты 9100–9149. Также в нем есть набор свободных портов для стороннего софта:

• 9153–9159 — свободные;

• 9160–9169 — свободные с опцией IsolateDestAddress;

• 9170–7179 — свободные с опцией IsolateDestPort;

• 9180–9189 — с обеими опциями.


Все, что остается, — это настроить софт на использование адреса 10.152.152.10 и любого из этих портов в качестве адреса SOCKS-сервера. Причем использовать порты с опциями IsolateDestPort и/или IsolateDestAddr я бы не рекомендовал. Они разделяют даже трафик одного приложения на основе адреса удаленного порта или адреса. В большинстве случаев это избыточно и очень накладно (представь, если торрент-клиент или веб-браузер будет использовать разные цепочки узлов Tor для всех соединений).

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Настройки портов для предустановленного софта


ВЫВОДЫ


Whonix, при всех своих странностях и неоднозначностях, определенно стоитвнимания любого, кто хочет обеспечить свою анонимность в Сети. По умолчанию это всего лишь система для запуска Tor Browser, однако при наличии рук и свободного времени из Whonix можно сделать полноценную рабочую систему, и необходимость запуска системы в виртуалке этому нисколько не мешает. Ну и конечно же, стоит помнить, что абсолютной анонимности не существует. Если надо — тебя найдут. Следи за собой, будь осторожен.

Показать полностью 6
174

В TOR удалось обнаружить 110 вредоносных серверов за 72 дня наблюдений!

Двое ученых из Северо-Западного университета провели эксперимент в сети Tor, длившийся с 12 февраля 2016 года по 24 апреля 2016 года. Исследователи запустили порядка 1500 серверов-ловушек HOnions, которые смогли выявить по меньшей мере 110 опасных HSDirs (Hidden Services Directories).


Термином HSDirs обозначались Tor-серверы, которые принимали трафик и направляли пользователей на .onion-адреса. В свою очередь, HOnions функционировали как обычные узлы сети Tor, но на деле использовались для отлова аномального трафика.

«Анонимность и безопасность Tor базируется на предположении, что большинство узлов в сети честные и функционируют правильно, — рассказывают исследователи. — Фактически приватность hidden services зависит от честности операторов hidden services directories (HSDirs)».
В TOR удалось обнаружить 110 вредоносных серверов за 72 дня наблюдений! Tor, Tor-Сервер, Вредонос, Трафик, Отчет, Наблюдение, Сеть, Хакеры

Эксперимент продолжался 72 дня, и за это время исследователи выявили 110 вредоносных HSDirs, большинство из которых располагалось в США, Германии, Франции, Великобритании и Голландии. Ученые отмечают, что 70% этих HSDirs работают на базе профессиональной облачной инфраструктуры, что усложняет их изучение. Еще 25% узлов одновременно являются HSDirs и точками выхода (Exit nodes), что позволяет их операторам просматривать весь незашифрованный трафик, осуществлять man-in-the-middle атаки и так далее.


В своем докладе (PDF), который был представлен на симпозиуме Privacy Enhancing Technologies, а также будет рассмотрен на конференции DEF CON на следующей неделе, исследователи пишут, что они наблюдали самое разное поведение со стороны HSDirs. Тогда как некоторые запрашивали description.json файлы и интересовались состоянием обновлений на сервере Apache, другие пытались осуществлять XSS- и SQL-атаки.


«Также мы наблюдали другие векторы атак, такие как SQL-инъекции, username enumeration в Drupal, межсайтовый скриптинг (XSS), попытки обхода каталога (в поисках boot.ini и /etc/passwd), атаки на фреймворк Ruby on Rails (rails/info/properties) и PHP Easter Eggs (?=PHP*-*-*-*-*)», — пишут исследователи.

Разработчики Tor Project не оставили данный эксперимент без внимания и опубликовали сообщение в официальном блоге:

«Tor имеет внутреннюю систему идентификации плохих узлов. Когда мы обнаруживаем такой relay, мы исключаем его из сети. Но наши технологии обнаружения не идеальны, и очень хорошо, что другие исследователи тоже работают над этой проблемой. Действуя независимо, мы уже выявили и удалили [из сети] множество подозрительных узлов, которые были обнаружены другими исследователями».
https://xakep.ru/2016/07/27/malicious-hsdirs/

Это сотый пост в сообществе Информационная безопасность!

Показать полностью
281

Шифровальщик Locky распространяется через SVG-картинки в Facebook.

Шифровальщик Locky распространяется через SVG-картинки в Facebook. Facebook, Locky, Svg, Вымогательский софт, Шифровальщик, Длиннопост

Почтовый спaм, эксплоит киты и вредоносная реклама – это хорошо, однако операторы шифровальщика Locky не упускают возможность испробовать что-нибудь новое. Так, недавно исследователи Барт Блейз (Bart Blaze) и Питер Круз (Peter Kruse) обнаружили в социальной сети Facebook новую спам-кампанию. Злоумышленники распространяют загрузчик малвари Nemucod, который, в конечнoм счете, загружает на машину жертвы вымогателя Locky. И происходит все это посредством SVG-изображений.

Шифровальщик Locky распространяется через SVG-картинки в Facebook. Facebook, Locky, Svg, Вымогательский софт, Шифровальщик, Длиннопост
Формат SVG сравнительно молод и используется для векторных изображений. Злоумышленников он заинтересовал в силу того, что в основе SVG лежит XML, и формат допускает использование динамического контента. Мошенники добавляют вредоносной JavaScript-код непосредственно в код изображения. К примеру, на скриншоте ниже – это ссылка на внешний файл.
Шифровальщик Locky распространяется через SVG-картинки в Facebook. Facebook, Locky, Svg, Вымогательский софт, Шифровальщик, Длиннопост

Получив ссылку на такое изображение в мессенджере и нажав на нее, пользователь пoпадает на сайт, который маскируется под YouTube. Всплывающее окно информирует жертву о том, что для просмотра видео ей необходимо установить специальное расширение, которое чаще всего носит имена Ubo или One. Барт Блейз отмечает, что у расширения нет иконки, за счет чего оно кажется невидимым.

Шифровальщик Locky распространяется через SVG-картинки в Facebook. Facebook, Locky, Svg, Вымогательский софт, Шифровальщик, Длиннопост
Шифровальщик Locky распространяется через SVG-картинки в Facebook. Facebook, Locky, Svg, Вымогательский софт, Шифровальщик, Длиннопост

По мнению исследователей, именно за счет этого расширения и распространяется спам. Через браузер оно получает доступ к Facebook-аккаунту жeртвы и массово рассылает ее друзьям вредоносные SVG-картинки. Однако помимо расширения на машину пользователя также скачивается и малварь Nemucod, благодаря которой в зараженную систему проникает шифровальщик Locky.



Исследователи предупреждают пользователeй об опасности и призывают не кликать на полученные от друзей SVG-изображения.

Источник: https://xakep.ru/2016/11/22/locky-svg/

Показать полностью 3
379

Reuters узнал о планах Telegram скрывать номера пользователей ото всех

Протестующие в Гонконге считают, что власти могут воспользоваться лазейкой в настройках Telegram и узнать их личности. По данным Reuters, Telegram уже готовит обновление, которое усилит возможности по сохранению анонимности

В одном из ближайших обновлений мессенджера Telegram появится возможность скрыть свой номер телефона даже от тех, кто внес его в список контактов, пишет Reuters со ссылкой на источник.


По словам источника агентства, такое решение позволит протестующим в Гонконге скрыть свои личности как от местных властей, так и от органов КНР.


Сейчас в настройках Telegram есть возможность скрыть номер телефона, однако в правилах мессенджера есть примечание — если кто-нибудь сохранит номер в контактах, он будет виден и в самом Telegram, независимо от настроек приватности.


Демонстранты, использующие мессенджер для координации своих действий, выражали обеспокоенность тем, что власти могут взять общую базу номеров, добавить их в список контактов, а затем проверить, какие номера появятся в протестных чатах. Впоследствии они могут обратиться к оператору и раскрыть личность пользователя.


Источник Reuters утверждает, что команда Telegram зафиксировала, что власти Гонконга или КНР могли загрузить базу номеров для идентификации пользователей. Использовала ли полиция уже эту тактику для установления личности протестующих, неизвестно.

Протестные акции в Гонконге продолжаются с середины июня. Демонстранты выступают против закона об экстрадиции в Китай, на фоне митингов власти отложили рассмотрение документа.


12 июня Telegram сообщил, что его сервера подверглись DDoS-атаке, основатель мессенджера Павел Дуров говорил, что атака велась с китайских IP-адресов. Он отметил, что все атаки, масштаб которых указывает на участие государства (мощностью 200–400 Гбайт/с), совпадали по времени с протестными акциями в Гонконге.


Подробнее на РБК:

https://www.rbc.ru/technology_and_media/31/08/2019/5d6a2c4c9...


519

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите.

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Атакуем CISCO маршрутизатор


В состав Kali Linux входит несколько инструментов, которые можно использовать для аудита оборудования CISCO. Список можно посмотреть в разделе Vulnerability Analysis — Cisco Tools:

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Cisco Audit Tool или CAT

Используется для брутфорса пароля при выключенном режиме aaa-mode, брутфорса SNMP community-строк и проверки на уязвимость IOS History bug (https://tools.cisco.com/security/center/content/CiscoSecurit...)


Пример использования:

CAT -h 192.168.1.209 -w /root/cisco/wordlist/snmpcommunities -a /root/cisco/wordlist/password_list -i

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Cisco Global Exploiter или CGE

Используется для экслпутации известных уязвимостей. Нам доступно 14 атак:

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Пример использования:

cge.pl 192.168.1.201 3

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

cisco-ocs

Инструмент для автоматизации поиска устройств со стандартными значениями пароля для telnet и режима enable, который может искать устройства в диапазоне адресов. Может использоваться при сканировании больших сетей.


Пример использования:

cisco-ocs 192.168.1.207 192.168.1.209

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

cisco-torch

Многофункциональный сканер уязвимостей для оборудования Cisco. Может сканировать несколько IP адресов за раз, подгружая из текстового файла. Запускать cisco-torch в Kali Linux следует, находясь в рабочей директории /usr/share/cisco-torch.


Пример использования:

Поиск доступных интерфейсов и протоколов и определение типа оборудования.

cisco-torch -A 192.168.1.201

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост
Может использоваться для брутфорса паролей и SNMP community-строк.

cisco-torch -s -b 192.168.1.209

Для использования своего словаря, его нужно поместить в /usr/share/cisco-torch вместо файла password.txt

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

copy-router-config.pl и merge-copy-config.pl

Инструменты для загрузки текущей конфигурации маршрутизатора cisco при известной community-строке на свой tftp-сервер. В дальнейшем можно модифицировать конфигурацию и снова загрузить на сервер.


Пример использования:

copy-router-config.pl 192.168.1.201 192.168.1.3 private


Для автоматизации подобной атаки, где нас интересует только загрузка конфигурации на свой TFTP-сервер лучше воспользоваться модулем Metasploit auxiliary/scanner/snmp/cisco_config_tftp


Или NSE скриптом nmap snmp-ios-config.

Атакуем L2 протоколы
Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Yersinia — многофункциональный инструмент для атак на протоколы L2 (Data Link) уровня OSI.

Умеет проводить атаки на DHCP, STP, CDP, DTP, HSRP и другие.


Работать с Yersinia можно в нескольких режимах:


Запуск в режиме сервера и управление при помощи команд, похожих на cisco cli.

yersinia -D

telnet 127.0.0.1 12000


Логин и пароль root/root

Пароль для перехода в режим enable – tomac


1. Запуск в интерактивном режиме


yersinia -I

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост
Опции управления доступны по нажатии на клавишу h:
Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Графический интерфейс GTK

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост
Графический интерфейс может работать нестабильно. В режиме сервера не поддерживает некоторые виды атак, вроде DHCP Rogue server. Так что, основным режимом запуска можно считать интерактивный режим.


Атакуем DHCP сервер


В качестве примера продемонстрируем атаку на переполнение пула IP-адресов DHCP сервера. Данная атака может быть использована для выведения из строя корпоративного DHCP сервера и последующая его замещение поддельным, конфигудрация которого настроена таким образом, что весь трафик новых клиентов будет проходить через хост атакующего. Таким образом будет проведена одна из атак MitM.


На стороне атакующего можно выполнить скрипт nmap для обнаружения DHCP сервера в локальной сети.


nmap -n --script=broadcast-dhcp-discover

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост
Теперь запускаем Yersinia в интерактивном режиме и переходим в режим DHCP выбрав его нажатием клавиши g.
Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Теперь в этом режиме будут видны все DHCP пакеты, полученные Yersinia.

Проверим список выданных адресов DHCP сервера до атаки:

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Yersinia показывает DHCP пакеты, выловленные из сети:

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Если выбрать пакет и нажать сочетание клавиш Shift+L то можно затем при помощи атаки RAW пересылать этот пакет в сеть, или модифицировать его при помощи нажатия клавиши e – переход в режим редактирования пакета.


При нажатии на клавишу x получаем список доступных атак:

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Выбираем 1


Видим, что начинает отправлять огромное количество DHCP Discover запросов:

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Через некоторое время можно остановить атаку нажатием на клавиши L и затем Enter:

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Nmap больше не показывает доступных DHCP серверов в сети. Коропоративный DHCP сервер выведен из строя.

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Проверим таблицу выданных IP-адресов на роутере:

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост

Далее вы можете запустить атаку Rogue DHCP в Yersinia, либо при помощи модуля Metasploit или любым другим способом, чтобы провести MitM атаку.

Атаки на сетевое оборудование с Kali Linux + рекомендации по защите. Информационная безопасность, Взлом, Пентест, Yersinia, Cisco, Kali Linux, Длиннопост
Атаку на истощение пула IP адресов DHCP сервера можно так же провести при помощи инструмента DHCPig. При помощи Yersinia можно проводить атаки и на другие популярные протоколы, такие как STP (Spanning Tree Protocol) и HSRP (Hot Standby Router Protocol), которые так же позволят вам прослушивать трафик в сети.

Атака на переполнение CAM таблицы коммутатора.


Еще одна атака, которая переполняет CAM таблицу коммутатора, хранящую список MAC адресов, работающих на определенном порту. Некоторые коммутаторы при ее переполнении начинают работать как хабы, рассылая пакеты на все порты, тем самым создавая идеальные условия для проведения атак класса MitM.


В Kali Linux для проведения данной атаки присутствует инструмент macof


Пример использования:

macof -i eth0


Где eth0 – интерфейс, к которому подключен коммутатор для атаки.



Защита


Для защиты от подобного рода атак производителями используются различные, обычно проприетарные, технологии. На коммутаторах Cisco следует активировать DHCP Snooping и PortSecutiy во избежание атак на протокол DHCP и CAM Overflow. Для защиты от атак на HSRP и прочие протоколы используются другие технологии. Всегда нужно помнить, что дорогостоящее сетевое оборудование после правильной настройки может существенно повысить безопасность сетевой инфраструктуры, в то же время недонастроенное или настроенное неправильно может само стать инструментом в руках злоумышленника и угрозой безопасности. Выявление уязвимостей сетевого оборудования при проведении тестирования на проникновение и применение рекомендаций по результатам аудита помогает снизить риски взлома информационной системы злоумышленниками.

Огромная благодарность за предоставленный материал LukaSafonov

Показать полностью 20
247

В более 300 моделей коммутаторов Cisco обнаружена 0day-уязвимость.

В более 300 моделей коммутаторов Cisco обнаружена 0day-уязвимость. Cisco, Cisco IOS, Cisco Catalyst, Cmp, 0day

Эксплуатация проблемы позволяет выполнить произвольный код и получить контроль над устройством.


Производитель телекоммуникационного оборудования Cisco System предупредил о критической уязвимости нулевого дня в ПО IOS / IOS XE, затрагивающей свыше 300 моделей коммутаторов компании. Проблема была обнаружена сотрудниками Cisco в процессе анализа секретных документов Центрального разведывательного управления США, обнародованных организацией WikiLeaks в начале марта нынешнего года.


Уязвимость содержится в CMP-протоколе (Cluster Management Protocol), реализованном в операционных системах Cisco IOS и Cisco IOS XE. Эксплуатация проблемы позволяет удаленному неавторизованному атакующему перезагрузить уязвимое устройство или получить контроль над ним, выполнив произвольный код с повышенными правами.


CMP-протокол предназначен для передачи данных о кластерах коммутатора между участниками кластера, использующими протоколы Telnet или SSH. Согласно предупреждению производителя, уязвимость существует в связи с двумя факторами - отсутствием ограничения использования CMP- специфических Telnet опций только для внутренних коммуникаций между участниками кластера и некорректной обработкой специально сформированных опций.


Проблема затрагивает 264 модели коммутаторов Cisco Catalyst, более 50 моделей промышленных Ethernet-коммутаторов, а также устройства Cisco ME 4924-10GE, Cisco RF Gateway 10 и Cisco SM-X Layer 2/3 EtherSwitch Service Module.


В настоящее время патч, устраняющий вышеуказанную уязвимость, недоступен.


В качестве временной меры по предотвращению эксплуатации проблемы эксперты Cisco рекомендуют отключить возможность подключения по Telnet.

securitylab
Показать полностью

Чем глубже изучаешь мозг, тем больше возникает вопросов. Истории успеха, достойные «Горячего» на Пикабу #3

Чем глубже изучаешь мозг, тем больше возникает вопросов. Истории успеха, достойные «Горячего» на Пикабу #3

Вячеслав Лебедев – сотрудник и аспирант МГУ им. М.В. Ломоносова. При знакомстве с трудами нейроученых понял, что мозг – целая вселенная внутри человека, и при более глубоком его изучении возникает еще больше вопросов. Вячеслав создал центр нейрофизиологической немедикаментозной помощи детям NeuroFuture, где уже несколько лет занимается развитием внимания и концентрации у детей.


Такие истории успеха вдохновляют, заставляют искать профессию мечты и посвящать свою жизнь тому, что любишь.

Отличная работа, все прочитано!