Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 120 сообщений
Cообщения с меткой

социальная инженерия - Самое интересное в блогах

Следующие 30  »
rss_rss_hh_new

Школьник взломал email и получил доступ к личным данным главы Национальной разведки США

Среда, 13 Января 2016 г. 14:55 (ссылка)






Как сообщают американские СМИ, глава Национальной разведки США Джеймс Клеппер стал жертвой хакеров, которые смогли взломать его личную электронную почту и получить доступ к персональным сетевым учетным записям. Читать дальше →

http://habrahabr.ru/post/275031/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

«Будни даркнета» – видеоматериалы для тренинга по информационной безопасности

Четверг, 26 Ноября 2015 г. 04:59 (ссылка)


Одна из главных проблем информационной безопасности – нежелание сотрудников уделять ей время. Решение видится в том, чтобы представить инструктаж по информационной безопасности – в привлекательной форме. Всем нравятся смешные картинки и увлекательные фильмы, поэтому если инструктор по информационной безопасности снабдит свой тренинг соответствующими медиа-данными, то его шансы быть услышанным – возрастут.



В этом смысле хорошим подспорьем может быть фильм «Кто я», где разобран широкий спектр трендов информационной безопасности, и прежде всего – социальная инженерия, которая является главным инструментом в арсенале кибермошенников.







Сам по себе просмотр этого фильма, уже может в значительной степени обезопасить сотрудников от социальной инженерии и других видов кибермошенничества. Ниже приведены 14 ключевых видеофрагментов из фильма «Кто я», – которые в увлекательной форме иллюстрируют различные тренды информационной безопасности.



Эти видеофрагменты, несмотря на их наивность и наигранность, – хорошее подспорье при проведении корпоративных тренингов по информационной безопасности.

Читать дальше →

http://habrahabr.ru/post/271713/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Примеры фишинговых сообщений электронной почты

Пятница, 20 Ноября 2015 г. 13:37 (ссылка)





Я не случайно поставил в заглавие поста картинку с котиком. Это один из примеров манипулирования человеческим сознанием, апеллирование к жалости. Методы воздействия злоумышленников, использующих такие приемы, находятся в области практической психологии и относятся к социальной инженерии. Играя на эмоциях, чувствах, страхах и рефлексах людей злоумышленники получают доступ к интересующей их информации. Все эти методы используются злоумышленниками при создании фишинговых почтовых сообщений.



Внимание, под катом много изображений.



К сожалению, уровень осведомленности пользователей о современных угрозах довольно низок, поэтому, как и обещал в комментарии, постараюсь описать основные приемы.



При атаке на пользователей электронной почты у злоумышленников сейчас две основных цели: узнать пароль пользователя или попытаться заставить скачать некий файл. Для того чтобы собрать основные векторы по первому случаю — я создал ящик и «заказал» его взлом на нескольких площадках, которые довольно легко обнаружил с помощью поисковых систем.



Я не буду рассматривать представленные фишинговые домены и адреса почт: рядовой пользователь не запомнит чем отличается google.com/index.php от google.com.indexphp.cc. Основное, что я хочу донести — не надо слепо следовать каким-то указаниям в почте, особенно тем, которые побуждают выполнять некие действия здесь и сейчас, иначе случится что-то плохое.



Gmail — документы



Письмо отправлено с gmail адреса и сообщает о неких документах. В деловой переписке, особенно при большом потоке писем легко кликнуть на документ, попав на фишинговую страницу:







Хотя адрес «документов» ведет на neo4-yandex.ru, тем не менее с этого домена происходит редирект на:

(в коде страницы установлен сниффер, который логгирует все заходы на страницу —

)

s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097







Обратите внимание на старый логотип Google на фишинговой странице — многие ли из вас отметили что он старый? А много ли пользователей помнят или знают о том, что у Google уже новый лого? Скорее всего форма была сделана с помощью инструмента Social-Engineer Toolkit , в нем этот логотип не обновлен. А может злоумышленники просто не обращают на это никакого внимания и не обновляют свои поделки.



Gmail — недоставленное сообщение



Приходит письмо, о том, что некоторые письма не были доставлены. А если что-то важное потерялось?







Многие люди по природе мнительны, поэтому клик по ссылке, а там уже известный редирект на: s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097



Gmail — срочно сменить пароль



Пользователь, какие-то нехорошие личности взломали твой пароль!







Обычные пользователи скорее всего пойдут менять пароль, только вот адрес для смены совершенно не подходящий: google.mail.com.ru-id322322.ru/548589203339099000020039939/o/p/l/?id376=YWtzZWthdHlhQGdtYWlsLmNvbXxha3Nla2F0eWE=



Gmail — ваша почта будет заблокирована



Вы сделали что-то неправильно (ведь рядовые пользователи «не разбираются в компьютерах»), теперь надо все исправить, иначе удалят ящик:







Что тут у нас? Опять старый логотип, но есть и кое-что новое — в URL передается адрес атакуемого ящика, для большей достоверности. Пользователь переходит по ссылке вида: w-google.com/account_c/mailer/0/u/16281666201206/?email=privethabr@gmail.com&fail=1&cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27 и попадает на «персональную страничку»:







Gmail — спам



Вы рассылали спам, теперь Вы не можете отправлять письма. Необходимо подтвердить аккаунт:







Опять старый логотип. Вектор вроде новый, но ведет, опять же на уже известную нам страничку: s-mail-google.com/u/0/accounts/index.php?id=&/id=d7115e86e7423e7aea202cebf544de21



Gmail — черный список



Вы добавлены в черный список, шутки кончились. Срочно подтвердите что вы не бот-программа:







По ссылке уже известный адрес: google.mail.com.ru-id322322.ru/?login=YWtzZWthdHlhfGFrc2VrYXR5YUBnbWFpbC5jb20=



Gmail — пора увеличить объем



Почтовый ящик почти заполнен, необходимо увеличить его объем. Надо, так надо:







Вот это письмо мне понравилось. Я ожидал стандартную форму логина, но нет, злоумышленники пошли другим путем. Такое внимание к деталям: указан логин жертвы, ссылка «изменить» неактивна, но самое интересное дальше: account-google.ru.com/ServicesLogin/settings/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/







Указан логин жертвы, интерфейс явно гугловый, даже видно что место и правда кончилось. Даже домен подобран очень в тему. Но вот логотип опять старый. Вообщем это пока явный фаворит фишингостроения.



Gmail — рабочие моменты



Способ сомнительный для рядовых пользователей, письмо с какой-то заявкой или реквизитами:











Ссылка редиректит на домен account-google.ru.com/ServicesLogin/files/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2&emr=1







Первая форма на которой стоит новый логотип.



Mail.ru — рабочие моменты



Похож на способ указанный выше, прислали какие-то документы, Вариаций может быть довольно много:















Клик по ссылке и пользователю предлагают ввести пароль. Т.к. логин уже подставлен — большинство рядовых пользователей введет свой пароль «на автомате»:







Mail.ru — сообщение не доставлено



Вам не пришло важное письмо, но наш сервис уведомил Вас об этом, включая какие-то непонятные заголовки сообщения для пущей достоверности:







А там уже знакомая нам форма:







Mail.ru — увеличить объем ящика



Еще один лидер моего хит-парада правдоподобности:







При переходе попадаем на форму увеличения объема ящика:







Еще один тип такого письма:







По ссылке видим форму:







Похож на способ указанный выше, но фишинговый домен уже не работает:







Ссылка не работает: cew-mail.ru/mailcapacity/index.php?email=privethabr@mail.ru&fail=0&GPXZJmV5cWVzEuccGRmyPXZWVzc2FnZScPXZJmV5cEyMTQ0MDAwuccWVzGRmyWVzPXZGRmyPXZWVzc2FnZS8xMzY0MTEMDAwMWVzDU4NS8



Mail.ru — уведомление о безопасности



Вашу почту кто-то взломал, срочно бегите менять пароль:







Фишинговая ссылка редиректит на pechatay-prosto.ru/js/?Login=privethabr@mail.ru (уже не работает).



Yandex — уведомление о безопасности



Не подтвердите аккаунт — заблокируем почту:







По ссылке форма, с уже подставленным именем учетной записи:







Yandex — реактивация почтового ящика



Опять необходимо выполнить какие-то действия:







Добавлено много «правдоподобных» деталей:







Рассылка вредоносных файлов/криптолокеров



Пользуясь текущей экономической обстановкой и страхами людей злоумышленники рассылают письма, имитирующие уведомления от платежных систем и органов судебной или исполнительной власти:



Письмо, содержащее инструкции для «подтверждения» доменного имени от Роскомнадзора (на самом деле пользователь установит на свой сайт шелл):







Письмо из арбитражного суда, содержащее ссылку на криптолокер:







Письмо из Сбербанка, о выданном кредите (со ссылкой на криптолокер):





Правила безопасности




  1. Письмо, побуждающее Вас к каким-то немедленным действиям должно Вас насторожить: проверьте от кого оно пришло, домен и ссылку. Если сомневаетесь — спросите специалистов.

  2. Если Вам что-то навязывают или присылают то, к чему Вы не имеете отношения — лучше удалить это письмо.

  3. Не переходите по подозрительным ссылкам в письме, даже если они пришли в сообщениях от ваших знакомых или с каких-то официальных адресов.

  4. Письма от судебных инстанций или органов: не поленитесь, найдите телефон этого ведомства и позвоните. Просто так никто судебные решения или уведомления о просроченных кредитах не высылает. Да и в 99% случаев Вы получите уведомление по обычной почте.

  5. Используйте двухфакторную авторизацию: большинство почтовых сервисов в настоящее время поддерживает эту технологию.



Эта статья посвящена атаке на рядовых пользователей, в следующей статье я расскажу о фишинговых и социотехнических атаках на корпоративный сектор.



Original source: habrahabr.ru (comments, light).

http://habrahabr.ru/post/271123/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

HackerSIM: подделка любого телефонного номера. CTF по социальной инженерии

Вторник, 06 Октября 2015 г. 16:35 (ссылка)

«Народ не должен бояться своего правительства, правительство должно бояться своего народа»
«Privacy is ultimately more important than our fear of bad things happening, like terrorism.»




Уверены ли вы, что вам звонит тот, за кого себя выдает? Даже если высвечивается знакомый номер.



Недавно я обзавелся "хакерской симкой всевластия". Которая помимо лютой анонимности имеет фичу — подделка номера. Расскажу как это происходит.



Чак на своем телефоне, куда вставлена HackerSIM, набирает команду *150*НомерАлисы# и через секунду получает подтверждение, что номер успешно «подделан». Затем Чак звонит со своего телефона Бобу. Телефон Боба принимает вызов, и на нем высвечивается, что ему звонит… Алиса. Profit.



Далее события разворачиваются в зависимости от социнженерного (или чревовещательного) таланта Чака.



Я начал разыгрывать своих хороших знакомых.



«Да ты просто взял его трубку и звонишь мне с его телефона», могли бы сказать жертвы розыгрыша, но я выбирал такие номера для подделки, которые исключают такую возможность, например, подделывал тех людей, которые сейчас в другой стране. Реакция происходит по классической схеме: отрицание, гнев, торг, смирение и «где взял, хочу себе такую же».



Мы имеем большую дыру в системе коммуникации на основе телефонной связи. А многие (даже матерые пранкеры) не знают про технологию подделки номера. Симки всевластия уже в свободной продаже, а мир к этому еще не готов, поэтому. Есть баг в мозгу — доверять входящему звонку со знакомого номера. Вроде даже есть сервисы с идентификацией по номеру телефона.



Мемберы хакспейса мне намекнули, что теперь они знают кого бить, если их кто-то разыграет по телефону, на это я ответил, мол этих симок по Москве уже сотни. Они уже есть у самых продвинутых пентестеров, которые проверяют security awareness в крупных организациях на устойчивость к социнженерным атакам.



Могу продемонстрировать вам пару звонков. Всем не позвоню, ибо дороговато, но на 15-20 звонков меня хватит.

Присылайте мне свой номер, и номер, с которого мне позвонить (подделать). Приоритет хабрачитателям с положительной кармой. (Если у вас нет аккаунта, но вам очень хочется, пишите на почту, попробуем договориться).



CTF по социальной инженерии



Цель: провести экспресс-аудит безопасности телефонной коммуникации и выявить основные угрозы и векторы атак (в т.ч. и социльно-инженерных), выявить потенциально возможный ущерб и просто попить пивка с интересными людьми.



2 этапа:




  • Заочный тур, 6-15 октября.

  • Очный тур, 16 октября, Москва, Хакспейс «Нейрон».



Отправить заявку и более подробная информация тут.



Технология работы HackerSIM и подделки номера







Процедура регистрации телефона в сети и выбора соты



После каждого включения телефона происходит процедура выбора сети и регистрация абонента в этой сети.



После включения телефона с обычной SIM-картой, производится сканирование частот и выбор соты с наивысшим уровнем сигнала. HackerSIM работает только с сотой уровень сигнала, которой является второй по своему значению. Данный алгоритм обеспечивает защиту от комплексов перехвата.



После процедуры синхронизации происходит идентификация оборудования и аутентификация абонента в сети. Обычная SIM-карта производит процедуру аутентификации в сети оператора согласно Алгоритма А3. Данный протокол производит вычисление ключа SRES, который позволяет завершить процедуру аутентификации. Для вычисления ключа SRES в алгоритме А3 используются параметр IMSI и Ki. В обычной SIM-карта параметр IMSI вшит в SIM-карту и он не меняется. В HackerSIM несколько профилей со своими парами IMSI + Ki.



Шифрование в сети GSM



Шифрование сессии обеспечивает алгоритм шифрования А5, который использует в своих вычислениях Кс (сессионный ключ). Кс в свою очередь вычисляется алгоритмом А8, который использует параметры Ki и RAND. В обычной SIM-карте параметр Ki является неизменным, как и IMSI. HackerSIM использует несколько профилей со своими парами IMSI+Ki. Чтобы понизить уровень шифрования A5/1 до A5/2 или A5/0, оператор со своей стороны или комплекс перехвата отправляет служебную команду на номер мобильного абонента MSISDN. У обычной SIM-карты мобильный номер MSISDN привязан к конкретной паре IMSI+Ki и хранится у оператора эмитента. HackerSIM не принадлежит ни одному из операторов и не имеет жёстко привязанного MSISDN, так как имеет несколько профилей.



Даже если HackerSIM попадает в зону подсистемы базовых станций BSS и команда о снятии шифрования производится по средствам широковещательного сообщения Paging Request, он не сможет выполнить данную команду, так как данный исполнительный механизм в алгоритме HackerSIM отсутствует.



Вызов



Абонент обычной SIM-карты после набора номер нажимает кнопку вызова. В этот момент телефон посредством высокоскоростного канала управления FACCH отправляет сигнал ALERT на BSS (подсистему базовых станций), а оттуда на MSC (центр коммутации). Далее коммутатор отправляет сообщение Address Complete на вызывающего абонента. Абонент, сделавший вызов, слышит гудки, а второй абонент звонок вызова. Зная мобильный номер абонента А или Б (MSIDIN) можно получить от биллинга оператора все детали звонка и саму сессию. Так же можно перехватить эту сессию по воздуху посредством комплекса перехвата. Абонент HackerSIM, после набора номера нажимает кнопку вызов. В этот момент происходит сброс вызова. Одновременно по сигнальному каналу отправляется команда в зашифрованном виде на серверную АТС (автоматическую телефонную станцию) HackerSIM.



АТС через ОКС№7 (SS7) запрашивает у VLR (визитный регистр) для того, чтобы для данной SIM-карты и для данного звонка выделить временный номер MSRN (Mobile Station Roaming Number). Как только оператор выделил нашей SIM-карте MSRN, АТС начинает процедуру звонка на этот MSRN. В этот момент происходит вызов на HackerSIM. После того, как абонент HackerSIM поднял трубку, открывается первое плечо. Далее АТС начинает процедуру дозвона второму абоненту. После того, как второй абонент поднимает трубку, открывается второе плечо (технология Call Back). При данной логике совершения звонка невозможно получить информацию с биллинга оператора так, как не известно, на каком операторе зарегистрирована в данный момент карта HackerSIM, нет публичного идентификатора MSISDN, по которому можно было бы получить IMSI, Ki и IMEI. Даже если абонент Б находится на контроле, не возможно понять с кем был разговор. Так как сессия состоит из двух плеч, в разрыве которой стоит серверная АТС. Таким образом, невозможно определить круг Вашего общения.



Приём звонка



Звонок на обычную SIM-карту происходит согласно стандартных процедур. После выполнения процедуры вызова и назначении TMSI (временного идентификатора мобильной станции) в зоне действия VLR, происходит приземление трафика, и сессия считается установленной. При этом биллинг оператора фиксирует с какого устройства инициирован звонок, место положение принимающего устройства в момент сессии (локация), длительность разговора и т.д. Звонок на HackerSIM осуществляется следующим образом. К HackerSIM присваивается виртуальный номер DID, который принимая звонок из сети, преобразовывает его в SIP протокол и маршрутизирует его на АТС. В свою очередь АТС определяет конкретного абонента, которому присвоен данный DID запускает процедуру вызова, описанную выше. Таким образом, невозможно определить местоположение HackerSIM взаимосвязи между обоими абонентами, так как в разрыве всегда находится АТС.



Original source: habrahabr.ru (comments, light).

http://habrahabr.ru/post/266709/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Человек — это главная уязвимость. Немного о социальной инженерии на PHDays V

Среда, 12 Августа 2015 г. 13:50 (ссылка)





На YouTube появились записи выступлений с Positive Hack Days V — несколько десятков докладов по практической безопасности на русском и английском языках. В 2015 году на форуме говорили не только о хардкорных методах взлома, но и о «нетехнических» атаках. Многим запомнился доклад Криса Хаднаги (Chris Hadnagy), который для получения информации использует особенности человеческой психики и не верит в технический прогресс: «Пока вы ищите уязвимости нулевого дня, мы просто поднимаем трубку телефона и узнаем ваши секреты». В этом материале мы расскажем несколько историй и наблюдений из практики 42-летнего американца.



Как заставить сказать PIN-код от кредитки



«Будь я настоящим преступником, то давно бы разбогател, прославился или умер», — признается Крис в своей книге Social Engineering: The Art of Human Hacking. Основатель площадки Social-Engineer.org использовал социальную инженерию в казино, в тотализаторе, на аукционе — всегда только в демонстрационных целях, чтобы показать недостатки защиты.



Однажды Хаднаги принимал участие в съемках телеканала BBC: он должен был украсть портмоне с банковской картой, а потом заставить жертву сообщить ему PIN-код. Телевизионщики, не слишком верившие в положительный исход такого эксперимента, сами выбрали мишень —женщину, которая ничего не подозревая обедала в ресторане. Крис расположился за соседним столиком и ждал удобного момента для «атаки». Рядом с «объектом» сидела подруга, а рука женщины лежала на сумке, — это сильно усложняло задачу. Когда уже стало казаться, что ничего не получится, подруга отлучилась в уборную, и Крис принялся за дело, подав знак своим ассистентам, Алексу и Джесс. «Счастливая пара» подошла к женщине и попросила сфотографировать их, что жертва с удовольствием и сделала, убрав руку с сумки. Пока женщина делала снимки, Крис спрятал ее сумку в свой портфель.



Не успела подставная пара выйти из кафе, как женщина обнаружила пропажу и встала, судорожно оглядываясь. Она явно нуждалась в помощи, которую Крис не замедлил предложить. Наш герой убедил ее успокоиться и вспомнить, что было в сумке. В сумке был телефон, немного наличных, косметичка и кредитная карта. Первым делом Хаднаги выяснил название кредитной организации. Какая удача, Крис раньше работал в этом банке! Все будет хорошо, утешал женщину Хаднаги, надо только аннулировать карту. Женщина согласилась, после чего Крис набрал номер «службы поддержки», роль которой исполнял его ассистент Алекс, дежуривший в фургоне на улице. В автомобиле раздавался офисный шум, запись которого Крис скачал с какого-то сайта. Алекс заверил пострадавшую, что ее карту заблокируют. Но для того чтобы проверить ее личность, нужно было только ввести PIN-код на клавиатуре телефона. (Телефон принадлежал Крису). Остальное вы можете угадать. Настоящие воры, конечно, тут же отправились бы искать банкомат, но Крису и без того хватает гонораров, которые он получает, разоблачая техники мошенников. Женщина поблагодарила Криса, когда он вернул сумку, но он ответил: «Не стоит. Я же ее и украл».



Хаднаги и создатель Linux



Сейчас Хаднаги учит корпорации вычислять социальных инженеров и устраивает соревнования, на которых приветливые люди перед полным зрительным залом по телефону выведывают секреты крупных компаний. Но начинал Крис с малого. Один из его первых экспериментов был проведен на технической конференции в Javits Center в Нью-Йорке.



По соседству, в известном магазине игрушек FAO Schwarz на Пятой авеню, проходила закрытая вечеринка, на которой были топ-менеджеры HP, Microsoft и других крупных компаний. Крис с приятелем решили во что бы то ни стало попасть на мероприятие. Они заняли позицию у стойки регистрации, познакомились с девушками, отвечающими за выдачу бейджей и принялись ждать. Очень скоро из зала вышел не кто иной, как создатель Linux Линус Торвальдс. Крис быстро схватил плюшевую игрушку с логотипом Microsoft с одного из стендов и спросил у Линуса: «Не поставите ли автограф на моей игрушке?» Торвальдс улыбнулся, похлопал Криса по плечу и сказал: «Увидимся внутри, молодой человек». Друзья незамедлительно получили два билета на вечеринку.



Инженеры останавливают заводы



Люди так сосредоточены на новых техниках компьютерных атак, что совсем забывают об атаках «человеческих», пишет Хаднаги в своем блоге на social-engineer.org. Социальная инженерия является простым, но эффективным средством, поэтому преступники, хактивисты и даже спонсируемые государством группы не гнушаются использовать этот вектор. Всем специалистам по безопасности Хаднаги советует внимательно читать книгу бывшего работника ЦРУ Майкла Базела «Разведка на основе открытых источников информации».



Крис собрал обширную коллекцию громких атак 2014 года с использованием имперсонации, фишинга, вишинга и других социальных тактик.




  • Физический ущерб немецкому сталелитейному предприятию. Об этой истории говорились в отчете «IТ-безопасность Германии» (Die Lage der IT-Sicherheit in Deutschland 2014). Подробности захвата компьютерной сети предприятия не уточняются, но известно, что атака проходила в два этапа. Сначала хакеры взяли под контроль электронную почту работников завода, разослав им письма с фишинговыми ссылками. Через почту сотрудников хакеры получили доступ к офисной сети предприятия, а затем — к системе, которая управляла доменными печами. В результате работники завода потеряли контроль над оборудованием: печи перестали отображаться в электронной системе, что привело к повреждению всей системы управления. Специалисты отметили, что хакеры хорошо разбирались в специфике производственного оборудования и электронного управления заводом и атака была целенаправленной.

  • Шумиха, связанная с атакой хакеров на компанию Sony, скорее всего началась с применения методов социальной инженерии в отношении ключевых сотрудников.

  • Социнженерия использовалась и для получения конфиденциальных данных пользователей AT&T.

  • В случае атак на компании Target, Home Depot и JP Morgan, которые понесли значительный финансовый ущерб, применялся фишинг.

  • При взломе iCloud применялись техники социотехнического сбора информации для последующего брутфорса аккаунтов звезд и получения их приватных фото.

  • Фишинг имел место быть и при проведении APT в отношении ряда банков (в основном из России), которые потеряли 25 млн долларов.

  • Компания Experian была взломана в результате «имперсонации»: злоумышленник представился частным детективом и проник в один из филиалов компании.

  • Взлом базы данных eBay, когда в руки злоумышленников попали зашифрованные пароли и другие персональные данные 145 млн аккаунтов пользователей, произошел, вероятно, в результате обмана кого-то из служащих eBay.



Посмотреть выступление Криса Хаднаги можно в плейлисте PHDays V на YouTube.









P.S. Лучшие моменты прошедшего форума PHDays V мы собрали в специальном видео.

Original source: habrahabr.ru (comments, light).

http://habrahabr.ru/post/264599/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Что было на PHDays V: признаки перехвата GSM-сигнала, лучшее время для взлома Wi-Fi, будущее шифрования

Пятница, 29 Мая 2015 г. 17:23 (ссылка)





Технологическая сингулярность ожидается только через 15 лет, но фазовый переход Positive Hack Days происходит прямо сейчас. Пятый форум посетили рекордное число участников — более 3500 человек, что сравнимо с ведущими международными хакерскими конференциями, а количество докладов, секций и различных активностей перевалило за сотню. На площадке состоялась невероятная конкурсная программа со взломом ракет, электроподстанций, банкоматов, железной дороги, а главные хакерские соревнования года PHDays CTF выиграла команда More Smoked Leet Chicken, лучше всех преуспев в увлекательных биржевых спекуляциях, — поздравляем! Но обо всем этом мы подробно расскажем чуть позже. В данном материале коротко рассмотрим ряд сугубо практических техник и рекомендаций, которые мы отметили 26 и 27 мая в ЦМТ.



Цвет дня против социальной инженерии



Основатель первой в мире тематической интернет-площадки social-engineer.org Крис Хаднаги на PHDays в докладе «Социальная инженерия в шутку и всерьез» поделился опытом защиты бизнеса от атак хакеров, использующих психологические методы. Одна из его историй была про девушку, которая с помощью подушки, привязанной к животу, не только сумела проникнуть в офис, защищенный различными средствами аутентификации, но и оказалась в наиболее критически важной его части: все знают, что девушки, будучи в положении, часто страдают от духоты, а прохладнее всего в серверной.



На вопрос, не хотим ли мы, чтобы люди, изучив все виды психологического воздействия, становились бездушными роботами, Крис Хаднаги ответил, что меняются только технологии, а люди всегда останутся людьми, и привел еще один пример из своей практики. В одной из компаний на корпоративном сайте каждое утро стали размещать изображение с цветом дня. И в случае фишинговых атак, когда злоумышленник выдает себя за сотрудника IT- или HR-отдела с целью выяснить конфиденциальную информацию, работнику достаточно было вежливо поинтересоваться сегодняшним цветом дня. Мы используем пропуска для входа в офис, и своеобразные пропуска должны быть и у других каналов доступа, и в этом нет ничего дурного.







Как узнать, что телефон прослушивают



Сергей Харьков в ходе доклада «Защита от перехвата GSM сигнала» рассказал об основных признаках прослушки, а также об аппаратных и программных методах диагностики. Например, чтобы переключение произошло, атакующему надо заставить ваш аппарат подключиться к своей виртуальной соте, иначе телефон найдет лучшую альтернативу. Поэтому одним из признаков того, что ваш аппарат подсоединили к виртуальной базовой станции злоумышленника, является высокая мощность сигнала и неестественно высокое значению коэффициента C2, отвечающего за приоритет выбора соты.



На PHDays V вообще уделяли много внимания вопросам безопасности мобильной связи. Эксперт Positive Technologies Дмитрий Курбатов провел отдельный мастер-класс по этой теме, после которого любой желающий мог принять участие в конкурсе MiTM Mobile и попытаться проникнуть в сеть нашего небольшого оператора связи, специально созданную для конкурса. Участники могли осуществить самые различные операции: перехват SMS, USSD, телефонных разговоров, работа с IMSI-catcher, взлом ключей шифрования с помощью kraken и клонирование мобильных телефонов. Райтап о самых интересных моментах конкурса будет вскоре опубликован.







Зачем хакеры атакуют Олимпиаду



В круглом столе, посвященном расследованию инцидентов в крупных инфраструктурах, приняли участие Владимир Кропотов, Федор Ярочкин, Кевин Вильямс, Джон Бомбанек и другие специалисты по защите инфраструктурных объектов. В частности, Кевин, будучи сотрудником британской спецслужбы NCCU, имел непосредственное отношение к защите Олимпиады в Лондоне, а Владимир представлял Positive Technologis, которая помогала защищать ВГТРК на Олимпиаде-2014. Как отметил Федор Ярочкин, в модель угроз при обеспечении безопасности крупных спортивных событий входят далеко не только хактивисты или хулиганы, наиболее опасная категория – различные виды криминального бизнеса, связанного с тотализаторами, любое изменение ситуации может принести высокую прибыль. Кевин Вильямс рассказал, что в Британии хорошо зарекомендовала себя практика сотрудничества с центрами CERT, которые выступают как посредники государственных между и компаниями.







Как помочь системе предотвращения вторжений



Компьютерные взломщики научилось сбивать с толку механизмы самообучения, заложенные в системах обнаружения сетевых вторжений. Специалист по искусственному интеллекту Кларенс Чио в своем докладе «Методы обнаружения сетевых атак на основе технологии самообучения» рассмотрел ряд моделей, применяемых в IPS системах, основанных на PSA, кластеризации и т.д. Должны ли люди использовать техники, основанные на правилах или машинном обучении? Кларенс Чио считает, что методы самообучения (ML-техники) прекрасны только в теории, но в реальном мире они пока не так впечатляют.











Самая безопасная мобильная платформа



ИБ-эксперты Денис Горчаков (перешедший в компанию МТС из Positive Technologies) и Николай Гончаров (МТС) в докладе «Противодействие мобильному фроду на сети оператора связи» поделились, в частности, информацией о самой защищенной мобильной операционной системе. Почетное звание досталось Windows Phone, для которой пока не было зарегистрировано еще ни одной серьезной эпидемии. Что касается, например, iOS, то для этой системы существует множество приложений, атакующих устройства как с джейлбрейком, так и без него. С самой популярной мобильной системой совсем все плохо, причем по данным Android Security Report 2015, уровень распространения вредоносного ПО для Android в России в 3-4 раза выше среднего.







Эдвард Сноуден в вашей клавиатуре



Беспроводные клавиатуры не только способны разрядиться в самый неподходящий момент, но и могут раскрыть вашу конфиденциальную информацию. На эту проблему обратил внимание Андрей Бирюков, системный архитектор по информационной безопасности в компании MAYKOR, рассказавший о концепцию keysweeper — простого устройства на базе макетной платы Arduino в форме зарядки, которое перехватывает сигналы от клавиш, нажатых на беспроводной клавиатуре, и передает данные злоумышленнику. Проверка на вирусы и уязвимости компьютера может выявить шпионскую программу на ПК, но не защитит от keysweeper.







Браузер жертвы как инструмент сканирования



Дмитрий Бумов (ONsec), известный специалист по деанонимизации, в докладе «Не nmap'ом единым» рассказал, как можно сканировать внутреннюю инфраструктуры с помощью браузера жертвы без использования JavaScript (может быть отключен, что потребует XSS) и не запуская nmap. Нужно всего лишь заставить жертву пройти по нужной ссылке, дождавшись, когда клиент зайдет на необходимый DNS-адрес.











Лучшее время для ловли Wi-Fi



Исследователь Олег Купреев в докладе «Обзор малоизвестных нюансов WiFi» обратил внимание на временные периоды и погодные условия, наиболее предпочтительные для хакеров при взломе Wi-Fi. Мощность высокочастотного сигнала во время дождя будет ниже, поэтому для атаки на тысячи пользователей у метро хакер скорее выберет другой день. На DDoS-охоту WFS с помощью mdk3 обычно выходят за полночь. Вечером делать это не только неудобно (единственные не пересекающиеся каналы — это 1, 6, 11), но и рискованно, если перегружать сеанс каждый пять секунд, у человека, который смотрит сериал в онлайне, могут возникать подозрения. WAP Enterprise взламывают утром, когда в офисах включаются компьютеры.







Как заставить вендора закрыть уязвимости



В марте ФСТЭК открыла общий доступ к официальной базе данных угроз и уязвимостей, где были описаны свыше полутора сотен угроз и более 10 тысяч уязвимостей. В ходе круглого стола «Роль экспертного сообщества в формировании банка данных угроз информационной безопасности» начальник управления ФСТЭК России Виталий Лютиков рассказал, что одной из причин появления государственного ресурса был запрет юристов на ссылки в документах РФ на сторонние CVE-базы. При этом ФСТЭК принял на себя обязательства по проверке уязвимостей нулевого дня и переписке с производителем.



Уязвимости onion-пространства



Сохранить анонимность в onion-ресурсах внутри DarkNeta не столь просто, как кажется на первый взгляд. Эксперты «Лаборатории Касперского» Денис Макрушин и Мария Гарнаева рассказали, какую информацию о пользователе Tor могут получить внешние пользователи. Денисом, в частности, для экспериментов была разработана пассивная система сбора трафика Exit-нода, которая обладала двумя ключевыми свойством — пропускала трафик по всем портам и содержала в себе сниффер, отлавливающий все HTTP-соединения с заголовком Referer. Если человек внутри Tor кликает на ссылку и переходит во внешний веб, то этот пакет отлавливается. Обнаруженные сайты содержали в основном объявления о продаже паролей, древних базах данных. Авторы доклада «Где заканчивается анонимность в анонимных сетях» также выяснили, что примерно треть onion-ресурсов содержат уязвимости и позволяют выполнить произвольный Javascript-код.







Масалович и поиск забытых файлов конфигураций



Далеко не все умеют столь увлекательно рассказывать истории, как пятикратный участник PHDays Андрей Масалович (Инфорус), — по истечении часа зрители решили не отпускать эксперта по конкурентной разведке и организаторы продлили доклад «Никаких оттенков серого». Рассказав один из своих 700 сравнительно честных способов получения доступа к логинам, паролям и базам сайта (угадав имя забытой админом резервной копии файла конфигурации CMS), Андрей перешел к главной теме — необходимости выработать привычку сомневаться в достоверности мультимедийной, графической и текстовой информации.











Ниже – демонстрация во Франции.







Определение «фотошопа» на фотографиях



Проблемы достоверности информации обсудили и на конкурсе Almaz Capital, где инвестиционный фонд проводил открытый конкурс среди стартап-проектов в области кибербезопасности. Принять участие в соревновании могли любые группы разработчиков и инженеров. Создавать свою компанию к данному этапу не требовалось, но команда и прототип решения должны были быть представлены.







Грант в размере 1,5 млн рублей получила компания SMTDP Tech, которая придумала своего рода «антифотошоп» — технологию для определения исправлений в фотографии или видео. Данная разработка может быть полезна для выявления фальсификации изображений статичного билборда при фактической продаже его нескольким заказчикам или подретушированного на фото автомобиля после аварии для страхования его задним числом.



Каким будет шифрование







Советник Almaz Capital Уитфилд Диффи стоял у истоков понятия «электронная цифровая подпись» и принципов ассиметричного шифрования, а 26 мая поделился своим прогнозами на PHDays. «Мы могли бы сейчас строить настоящие цифровые крепости и поднять методы защиты информации на новую высоту, если бы на оборону тратили столько же денег, сколько на нападение, — говорил Уитфилд Диффи с огромных плазменных экранов PHDays. — Сегодня большие надежды связывают с квантовой криптографией, более точный термин для которой — квантовое распределение ключей. Уверен, эта технология позволит избежать большинства проблем при транспортировке, но я пока не знаю, как реализовать это технически, возможно, через радио- или вибро-коммуникации. Еще одна технология, о которой ходят много разговоров, — гомоморфное шифрование, но скептично отношусь к такому виду шифрования — у человека просто может не оказаться достаточно производительного компьютера для расшифровки сообщения».

Лингвисты выйдут из тени







Внимательно вглядывались в будущее и на секции «ИБ — профессии будущего», модератором которой был специалист Positive Technologies Евгений Миньковский, а среди участников дискуссии присутствовали член Российской академии наук, директор одного из крупнейших учебных центров, представители бизнеса и государства. Какие специальности и технологии будут востребованы в отрасли ИБ через пять лет? А через пятнадцать? В конце встречи проводилось голосование экспертов, которое принесло весьма неожиданный результат — главной ИБ-профессией в будущем будут… лингвисты. Впрочем, такая точка зрения вполне согласуется с «Атласом новых профессий», опубликованном агентством стратегических инициатив Сколково. В этом списке специальность «цифровой лингвист» названа в числе наиболее перспективных. Такие специалисты будут разрабатывать лингвистические системы семантического перевода и обработки текстовой информации, а также новые интерфейсы общения между человеком и компьютером на естественных языках.







С видеоверсиями этих и других выступлений, прозвучавших на PHDays, можно ознакомиться на сайте форума по адресу: www.phdays.ru/broadcast.





Original source: habrahabr.ru (comments, light).

http://habrahabr.ru/post/259135/

Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Появился новый способ мошенничества: псевдорегистраторы доменов

Пятница, 22 Мая 2015 г. 09:36 (ссылка)

Дорогие читатели! Сегодня за утренним кофе мы столкнулись с новым, довольно оригинальным способом мошенничества в интернете. При очередной проверке почты обнаружилось интересное письмо:







Из него следует, что срок регистрации принадлежащего мне домена истек вчера и мне надо его оплатить. Письмо выглядит правдоподобно, есть мои данные (которые, впрочем, общедоступны во WHOIS), не считая того факта, что я знаю своего регистратора, и знаю что 75$ в год домен в зоне .com точно не стоит.



Переходим по ссылке «Secure online payment» и попадаем на веселую страницу, где нам предлагается ввести полные данные кредитной карты:







Надо ли говорить, что жулики не удосужились даже SSL-сертификат для приличия купить, или сделать хотя бы более похожую на регистратора домена главную страницу:





Смотрим WHOIS по домену предприимчивых парней, как и предполагалось, сайт — однодневка, зарегистрированный неделю назад:







Реализация у жуликов явно подкачала. Но в любом случае, не могу не отметить, что такой способ отъема денег у населения новый и весьма креативный: на лицо сочетание социальной инженерии с использованием общедоступной информации из WHOIS. Уверен, многие люди попадутся на удочку мошенников.



Друзья, будьте осторожны!

Original source: habrahabr.ru (comments, light).

http://habrahabr.ru/post/258519/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Если вас задрало придумывать новые пароли

Понедельник, 27 Апреля 2015 г. 15:46 (ссылка)

Вокруг нас 100500 сайтов, требующих придумать пароль не меньше 8 букв с цифрами, строчными и прописными, не из словаря, не такой как на других сайтах, с высокой энтропией, неудобный для человека, запомнить его один раз на всю жизнь и ошибиться не больше трёх раз вспоминая его через три года, и не спутать с примерно 20 другими, паролями которые вы также храните в памяти. Люди, которые соблюдают все эти правила встречаются только в сказочках про Алису и Боба. Люди которые требуют всего этого от людей чувствуют своё превосходство над планктоном который их правила не соблюдает и от того придумывают новые ещё более сложные правила, которые игнорирует ещё большее количество людей, что, конечно, ведёт к ещё большему усложнению правил. И самое главное — если сравнить создателей этих правил с депутатами гос.думы они искренне оскорбятся, и даже не поймут, что это не шутка и не троллинг.



Понятно что надо что-то менять Но вот что? Я не знаю ответа, но у меня есть на этот счёт три картинки:









Существует множество плохих решений. Список явно не исчерпывающий, его можно расширять до бесконености.

1) Например запоминать пароли в браузерах. То есть доверять все свои секреты всем своим коллегам, которые могут подойти к компу.

2) Иметь восстановление пароля со стандартными вопросами. То есть доверять свои секреты любому кто умеет гуглить.

3) Хранить пароли на физическом носителе. То есть доверять свои секреты всем, кто может у вас что-то отобрать или стырить.

4) Лочить облачными сервисами типа Хромов и микрософтпрофилей. То есть доверять тем, кого неоднократно ловили на обмане.

5) Авторизоваться через соцсети, то есть доверять тем, кто продаёт ваши личные данные за деньги.

6) Иметь сайт хранитель паролей, который находится в уганде и кроме паролей занимается только распространением порнографии и терроризмом, как гарантией от сотрудничества с властями. (ИМХО, один из лучших вариантов).



Как мне кажется корень проблемы в том, что создатели паролей хотят, чтобы мы запоминали информацию в той форме, которая предельно неудобна для запоминания. Моя идея в том, чтобы сайт предоставлял человеку максимальную помощь для создания запоминающегося пароля через ассоциации и, возможно, мнемонические правила. Если бы у меня было время и сайт который нужно защищать я бы сделал так:



1) При регистрации человеку предлагаются три случайные картинки парадоксального или юмористического содержания. в обрамлении логотипа сайта. Любая картинка по клику заменяется на другую случайную.

2) И предлагается придумать длинный пароль-фразу, слов в пять, например, ассоциирующихся с этими картинками и не содержащих слов изображённых на картинках, в нашем случае «корова», «тачка» и «медведь». В одном или нескольких из слов предлагается заменить одну букву на цифру, или написать слово с синтаксической ошибкой, или начиная со сторой буквы, если оно длинное, короч ерпедложить пользователю несколько модификаций.

2) После каждой успешной авторизации человеку показывается одна из выбранных им картинок, как якорь для запоминания.

3) Для восстановления пароля человеку показывается картинка, но не та, с которой он регился, а другая, одна из тех, что гугл выдаёт по словам «корова, тачка и медведь».



Только если после этого человек не вспомнил пароля сам восстанавливать через второй фактор, почту или СМС-ку, например.



Возможно формальная стойкость такого пароля к брутфорсу и будет ниже чем у красивых нечеловеческих паролей Алисы с Бобом, но я уверен, что безопасность вашей системы, тем не менее, подпрыгнет на недостижимую ранее высоту, и что важно, пользователи не будут материть вас при очередном входе на сайт пытаясь вспомнить какой именно из паролей они вынужденны были ввести в прошлый раз из-за того что их стандартный пароль для таких сайтов ваша система зарубила.



Потому что реальные люди нифига, блин, не компьютеры и мозг у них работает сильно по другому. Даже если некоторые программисты в это не верят.

Original source: habrahabr.ru (comments, light).

http://habrahabr.ru/post/256739/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Доступ к аккаунту GoDaddy удалось получить с помощью фотошопа

Пятница, 21 Марта 2015 г. 01:54 (ссылка)

Недавно была опубликована статья, о том, как удалось обойти многоуровневую систему защиты крупнейшего регистратора GoDaddy при помощи фотошопа.



Автор статьи Стив Рейган провел эксперимент: он попросил знакомого специалиста по безопасности Винни Троя, директора Night Lion Security, взломать его аккаунт. Взлом оказался успешным, и все, что для этого понадобилось — звонок в техподдержку и несколько часов работы в фотошопе.







Процедура восстановления оказалась легкой. Разговор с девушкой из техподдержки начался с подтверждения личных данных, легко доступных через Whois. Когда понадобился адрес электронной почты, на который был зарегистрирован домен и который Троя не знал, он вошел в роль расстроенного подчиненного, которому не дали полной информации, и о сложных правилах внутри организации. Шум играющей дочери во время разговора также создал подходящую атмосферу для того, чтобы подавить на жалость оператору техподдержки.



Люди — самое уязвимое звено в любой системе защиты. Это касается и операторов техподдержки. Их задача состоит только в том, чтобы помогать клиентам и облегчать решение их проблем. Высказывать клиентам подозрения и обвинять их — не входит в их обязанности. В большинстве организаций оператор просто не имеет права отказать клиенту, исходя лишь из своих подозрений.

Эту особенность работы операторов часто используют мошенники.



Далее оператор попросила Троя назвать пин-код и последние цифры кредитной карты, с которой был приобретен домен. Тот ответил, что не знает ни того ни другого, так как домен за него регистрировал помощник. «Я извиняюсь, и за то, что не могу представить вам нужной информации, и за то, что моя дочь все время шумит», — сказал он.



После этого она направила Троя на страницу, через которую владелец домена может восстановить свои права на него, представив фото документа, удостоверяющего личность.



Около четырех часов понадобилось взломщику на то, чтобы подделать водительское удостоверение на имя Стива Рейгана. Также он создал адрес электронной почты Gmail и аккаунт в Google+ на его имя. Этого было сделано для того, чтобы создать иллюзию присутствия Троя в сети как Стива Рейгана.



Оператора удовлетоврили полученные данные. Соответствие фотографии в «удостоверении», сделанном в фотошопе реальной фотографии Рейгана никто проверять не стал. Не было и никаких других проверок личности заявителя.



Последним ее вопросом были данные о юридическом лице, на которое были зарегистрированы домены. Троя также честно ответил, что у него нет информации об этом. На что она сама пошла навстречу взломщику, сказав, что это обычное дело, и многие регистрируют домены на несуществующие фирмы.



После этого аккаунт был перерегистрирован на почтовый адрес Троя, и тот получил к нему полный доступ. Операция завершена успешно.



Стоит отметить и то, что Стив Рейган получил уведомление о смене данных аккаунта не сразу, а только через несколько дней. Если бы взлом был настоящим, вернуть домены, скорее всего, было бы невозможно: их бы уже продали или перевели к другому регистратору.



Функция восстановления доступа через фото документа ненадежна, и многие регистраторы не пользуются ей как раз потому, что каждый может нарисовать что угодно в фотошопе. Однако у крупнейшего регистратора в мире GoDaddy она есть. Эта возможность была введена для того, чтобы пользователи могли восстановить права на домены, зарегистрированные много лет назад. Пользователи часто не помнят номера старых кредитных карт и другие данные.



Однако риск взлома аккаунтов GoDaddy с ее помощью очень высок, и регистратору стоит изменить эту процедуру. Интересно, что, например, Network Solutions также восстанавливает права на домены через личные документы, только их необходимо передавать по факсу, а не загружать фото с компьютера.



Стив Рейган сообщил, что статья была написана для того, чтобы выявить проблему, которая может стать причиной похищения множества доменов. Для защиты своих доменов он рекомендует пользоваться всеми дополнительными услугами, которые предлагает регистратор, и заранее интересоваться тем, что можно будет сделать в случае похищения домена.

Original source: habrahabr.ru (comments, light).

http://habrahabr.ru/post/253663/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество

Следующие 30  »

<социальная инженерия - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda