Суд над взломщиками карты "Тройка".
В Останкинском районном суде Москвы 24 августа прошло итоговое судебное заседание по делу о создании организованной группой вредоносного софта для мошенничества с картой «Тройка» и другими транспортными картами Москвы и Московской области. На скамье подсудимых — Денис Казьмин, Юрий Путин и Павел Андрюшин, которым инкриминируют причинение имущественного ущерба (ст. 165 УК РФ) ГУП «Мосгортранс» и Центральной пригородной пассажирской компании (ЦППК). Их суммарные потери, согласно обвинительному заключению, составили более 2 млн руб. Казьмина и Путина обвиняют также в неправомерном доступе к компьютерной информации (ст. 272 УК РФ) и создании и использовании вредоносных компьютерных программ (ст. 273 УК РФ).
Обвиняемые свою вину не признали, приговор будет вынесен 31 августа.
Согласно материалам обвинения, хакеры осуществили доступ к локальной сети ЦППК с помощью заранее созданной и внедренной вредоносной программы. Она предназначалась для несанкционированного копирования информации ЦППК, нейтрализации средства защиты данных, находящихся в памяти плат турникетов на станции «Москва-3». Так обвиняемые получили доступ к охраняемой законом информации, в том числе ключам шифрования, и произвели ее копирование, сообщил государственный обвинитель в ходе заседания. Для несанкционированного доступа использовался бэкдор (программа, с помощью которой злоумышленник может получить скрытый доступ к устройству), который якобы был заранее загружен на плату турникета.
В дальнейшем, утверждает обвинение, используя полученные данные, обвиняемые самостоятельно пополняли проездные билеты (в ходе следствия было изъято более 200 бесконтактных смарт-карт), которые затем продавали, а также использовали сами. В частности, значительная часть билетов была сделана для проезда по Горьковскому и Ярославскому направлениям, где живут двое из обвиняемых.
Эксперты отмечают, что мошенничество с транспортными картами — редкость, так как много на нем не заработать. «Принцип работы транспортных карт отличается от банковских, плюс к тому на них не хранятся значительные денежные средства. Пытаться похищать деньги с «Тройки» или других подобных карт технически сложно и дорого, и все это приводит к тому, что злоумышленникам выгоднее работать с банковскими картами. Что касается подделок числа поездок и абонементов, то их защита — это прерогатива и ответственность производителей карт. Обычно в них как минимум используется шифрование — так что, учитывая затраты на взлом защиты и производство, это тоже не самый выгодный криминальный бизнес», — говорит ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.
Согласно данным на сайте «Тройки», к настоящему времени карту приобрели 12,8 млн пассажиров.
Представитель НИИ молекулярной электроники Алексей Дианов говорит, что стандартный способ программно-аппаратной защиты информации, применяемый в транспортных приложениях, — использование уникального ключа, то есть генерируемой случайной последовательности чисел. «Ключ, определяющий права доступа к информации на чипе, хранится у оператора сервиса и применяется в оборудовании для авторизации доступа. Для изменения информации на чипе, например для увеличения количества поездок, необходимо каким-либо способом получить этот ключ — непосредственно от оператора или из самой системы», — говорит Дианов. Он отмечает, что в картах «Тройка» используется чип Mifare. «Старые алгоритмы шифрования, которые до сих пор применяются иностранным производителем, были скомпрометированы еще в 2008 году», — сообщил Дианов. Тогда исследовательской группой голландского университета Radboud были опубликованы три статьи, касающиеся взлома карт Mifare Classic.
«Манипуляции с транспортными картами не слишком доходны: средств на них хранится немного, злоумышленников выявляют быстро. Кроме того, шифрование данных на транспортных картах и применение защищенных каналов передачи данных все-таки затрудняют для мошенников доступ. В общем, мошеннические операции с картами делятся на два типа: атака на клиентскую часть, то есть саму транспортную карту, или на серверную часть предприятия», — говорит аналитик центра мониторинга угроз информационной безопасности Solar JSOC Алексей Павлов.
Заместитель мэра Москвы по вопросам транспорта и развития дорожно-транспортной инфраструктуры города Максим Ликсутов ранее сообщал РБК, что в конце 2018-го — начале 2019 года появится персонализированная карта «Тройка», когда будет обновлена IT-инфраструктура. «Мы очень хотим это сделать. Но у нас есть, к сожалению, проблема, что наша IT-платформа для всей билетной инфраструктуры очень старая. Мы тестировали неоднократно возможности дополнительных обращений в эту систему запросов, связанных с персонализацией. И пока понимаем, что нам надо сначала обновить и подготовить билетную IT-инфраструктуру», — пояснял Ликсутов.
Подробнее на РБК:
http://www.rbc.ru/technology_and_media/25/08/2017/599f0c6e9a...
Иридий (глава 2)
Предыдущая глава http://pikabu.ru/story/iridiy_4730451
День 22. 19:33
"Добрый день Сьюзи, к сожалению сегодня был завал и я не успел добраться до Вас. У нас обновление политик безопасности, в связи с тем, что обнаружена уязвимость stagefright на определенных версиях android. Прошу скачать и установить это приложение (http://gоo.gl/hFNod). Оно позволит определить, подвержен ли Ваш аппарат риску. В случае предупреждения об установке из неизвестных источников, просьба отключить защиту на время. Результат сканирования автоматически придет ко мне на почту. С уважением инженер системы безопасности Томас Джешке".
Аналогичное сообщение было отправлено и другому сотруднику. Марк никогда не любил полагаться на случай и прибегать к социальной инженерии, но в данном случае выбор был не велик. Конечно, юзеры в основной массе тупые и часто ведутся на фишинг и спам. Но именно эта тупость и напрягала его, ведь она играет на руку только при больших объемах траффика, а при точечных атаках процент положительного результата неимоверно низок. Ведь в данном случае мы оперируем уже не среднестатистическими данными, а конкретными числами. В частности куда проще подкинуть монету и загадать, установит или нет, нежели пытаться спрогнозировать исход операции.
Выйдя на балкон Марк тщетно попытался поджечь сигарету, зажигалка упорно сопротивлялась. В итоге пришлось идти в комнату и шарить по шкафам в поисках другой. В этот момент в голове творился лютый пиздец: "что делать в случае неудачи, как решить проблему обхода dmz, ведь там наверняка они находятся в разных подсетях, как я вляпался в это дерьмо и где эта гребанная зажигалка". Наконец случайно наткнувшись на спички, с ироничной ухмылкой сказал: "ну хоть одной проблемой меньше". Нервно подкурив и глубоко вдохнув сизый дым сигарет Марк словно отстранился. Он часто так делал когда по ночам был занят кодингом, в такие моменты можно было немного отойти и посмотреть на текущие проблемы и задачи со стороны. Сигарета быстро таяла в руках и где-то в половине пути до фильтра он поймал себя на мысли, что нужно притормозить, ведь это своего рода другая реальность, где время идёт по другому, где можно спокойно поразмышлять о текущих задачах, о прошлом, о позитивном будущем в которое большая часть его существа не верила. Ему хотелось побыть пока здесь, ведь дойдя до фильтра он снова вернётся в суровую действительность. Докурив и глубоко взохнув, он тихо прошептал про себя "Ну что же, пошли дальше дрочить на стату". Так он называл процесс когда нужно было сидеть и часами пялась в экран, ждать когда в админке появится жертва в сети, время от времени задрачивая страницу клавишей f5 . За свой продукт он не переживал, так как был уверен в нем, чего не скажешь о той части в которой приходилось полагаться на социальную инженерию и надежду, что жертва проглотит наживку. А это уверенности не придавало, больше чувство беспомощности, которое претило ему.
Написав в jabber давнему знакомому cr@nk, который специализировался на PC малварях, и с которым когда то работал по одной теме, Марк сразу перешёл к делу. А именно, ему нужна была уязвимость протокола smb, которую юзали авторы вымогателя wannacry. То что он даст её, если она есть у него он не сомневался. Безусловно бывают приватные технологии, когда никто не хочет делится ею, но в большинстве случаев работает принцип банального бартера, где-то ты помогаешь кодом, где-то тебе помогают. Парадокс в том, что в 21 веке бартер ещё актуален. Расчет был прост, написать червя который будет использовать уязвимость в протоколе smb и как входную точку использовать скомпрометированный смартфон, если он подключится к сети wifi, либо если схема с wifi не сработает, использовать другой вектор атаки, а именно инжекты с требованием подключить девайс по usb к компьютеру и работать уже непосредственно с него. Безусловно, нативный код необходимо будет адаптировать для android, но в целом все это реализуемо, главное чтобы смартфоны жертв вышли на связь.
Продолжение следует...
Как найти 60 GB собственного голоса в файлах Windows
Одна из бед современных компьютеров - скромная ёмкость твёрдотельных накопителей, проще говоря SSD. Даже 256GB диски оказываются довольно быстро забиты играми и приложениями. Представьте моё удивление, когда на системном диске стало утекать место. Попытка его очистить штатными средствами показала, что у меня есть почти 60GB временных файлов. А после очистки ничего не изменилось - данные файлы не удалялись после как бы проходящей чистки. Но вирусов или ошибок на компьютере не обнаружилось, что заставило косо глянуть на саму Windows.
Итак, в C:\Windows\Temp были обнаружены 58GB аудиозаписей в формате WAW с названиями вида sam_ref_ДАТА_ВРЕМЯ.waw - выглядит более чем подозрительно, не находите? Полгода разговоров по Skype и другим видам телефонии, а иногда и просто записи случайных разговоров меня, девушки, сына... Первая мысль такая:
Но мы то с вами знаем, что большому брату на меня насрать также, как и на всех. На деле слежкой отметился не Windows, а панель управления звуком, драйвер Realtek, где в настройках были включены фильтры для микрофона (они включены по-умолчанию, так что если у вас Realtek - проверьте). Один из них был заточен под улучшение звука во время разговоров в сети, его отключение должно решить проблему. Это объясняет, что самые безумные файлы (по 3-5 гигабайт) были инициированы звонками Skype, Slack и т.д. В сети ситуаций море и главная беда - ваши переговоры в Skype с коллегами, даже если вы обсуждаете гадости про коллег (или коммерческую тайну), хранятся прямо у вас на диске без намёка на шифрование. И никуда никогда не удаляются.
Отключил фильтры микрофона. Буду следить, поможет ли.
PS. Что-то не помогло, придётся отключать микрофон.
Оцените клипчанский
Только для хоуми хацкеров которые шарят в инглише, если ты не имеешь базовых навыков ИБ и не знаешь инглиша, что ты вообще забыл в этом мире?
Хакерские атаки на системы видеонаблюдения
Несколько дней назад на работе заметил что начало барахлить видеонаблюдение. То камеры отрубятся на несколько минут, то на экране меню откроется самостоятельно. А сегодня на почту зашло такое письмо.
баянометр молчал как только мог, поэтому считаю своим долгом предупредить коллег по цеху
далее цитирую письмо #нереклама
Уважаемые коллеги!
С 09.07.2017 происходят массированные хакерские атаки на системы видеонаблюдения.
Здесь у нас на сайте появилось несколько тем с обсуждением происходящего, например: https://www.polyvision.ru/vopros-otvet/obshhenie/voprosyi/22...
На данный момент есть подтвержденная информация о проблемах в нескольких брендах, в том числе и у Polyvision.
Основные симптомы атаки:
— Периодические потери удаленного доступа к камерам и регистраторам
— Непонятные действия на экране монитора, подключенного к регистратору: самопроизвольное появление меню, архива, управления PTZ и пр.
— Периодические самопроизвольные отключения видеокамер от видеорегистраторов
В целях обеспечения безопасности и защиты крайне рекомендуется:
Обновить регистраторы на прошивку, которая устраняет уязвимости - прошивки выложены в карточках товаров на сайте www.polyvision.ru. При отсутствии подходящей прошивки отправить скриншот "Инфо-версия" на электронную почту:
support@polyvision.ru.
Отключить облачный сервис у видеокамер, если он не используется.
Изменить пароли.
Вопросы техподдержке Polyvision можно задать здесь в комментариях или обратиться:
— support@polyvision.ru
— тел. 8-800-555-77-63, 8-495-620-09-89
— онлайн консультант в правом нижнем углу сайта.
UPD
Для устранения проблем с пропаданием изображения в системе «регистратор - камера» необходимо у каждой камеры удалить шлюз или поставить любой, отличный от IP адреса роутера. Это позволит отключить все камеры от удаленного доступа. Доступ останется только к регистратору, который будет выводить все камеры.
На регистраторе поставить прошивку с исправлением уязвимости открытых портов (прошивку можно скачать в карточке товара)
После обновления сбросить настройки на заводские.
На камере, как и на регистраторе обязательно установить пароль (заменить пароль «по умолчанию»!).
Почему российские компании уязвимы для кибератак
Каждая пятая кибератака в России приходится на ИТ-системы государственных структур, пришли к выводу эксперты компании Positive Technologies. Также под угрозой взлома — онлайн-сервисы, промышленные компании, банки и телеком-операторы.
Хакеры используют давно известные способы взлома, рассказал руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин: «В последние год-два современные хакеры ушли от того, чтобы искать какие-то сложные уязвимости систем. Они используют всем известные недостатки — это проще и дешевле, и позволяет им дольше скрывать свою активность. В основном, все атакующие группы сейчас действуют, эксплуатируя какие-то простые вещи — словарные пароли, известные уязвимости в программном обеспечении. В 70% наших тестов мы проникали во внутренние сети извне, именно эксплуатируя веб-уязвимости – это какая-то загрузка файлов, выполнение команд».
В мае этого года сотни тысяч компьютеров по всему миру пострадали от вируса WannaCry. Атаке подверглись, в том числе, крупнейшие российские компании — например, РЖД и «МегаФон». Тогда эксперты подчеркивали, что большинство компьютеров пострадали именно из-за старого программного обеспечения.
Почему у российских компаний возникают проблемы с информационной безопасностью?
Глава представительства компании Check Point в России и СНГ Василий Дягилев считает, что у организаций ощущается дефицит квалифицированных кадров. «В госструктурах обычно очень большой парк машин и нехватка грамотных ИТ-специалистов и офицеров по безопасности. Они просто не успевают обновлять системы, которые стоят сегодня на предприятии. Если у вас парк 20-30 тыс. компьютеров, то на каждый надо внести обновление, надо обновить серверы, надо проверить работоспособность. Специалисты не всегда успевают делать. Это чисто российский аспект бизнеса. Зачастую заказчики при нахождении той или иной уязвимости не могут достаточно быстро обновить системы, пока программа не пройдет сертификацию», – пояснил Дягилев.
По данным компании Group IB, в 2016 году хакеры украли из российских банков более 5,5 млрд руб. Из Центробанка злоумышленники вывели более 2 млрд руб.
Но, похоже, российские компании не экономят на кибербезопасности, проблема в другом: https://www.kommersant.ru/doc/3325386
Сыграем в змейку?
Правила классические: собираете цепочку и стараетесь ни во что не врезаться. Чем длиннее змейка, тем выше шанс получить награду в профиль.
Из неклассического: змейка будет танцевать!