#hackandsecurity

Также читайте меня тут: Telegram и Вконтакте

По работе часто приходится сталкиваться с тем, что подавляющее большинство людей живет в некоем мифическом мире, где им не угрожает никакая опасность (по их мнению). Заблуждений такого рода очень много, и сегодня коснёмся одного из самых главных:

«Даже если меня взломают, то скрывать мне нечего. Ничего суперважного на PC/смартфоне у меня нет, поэтому мне все равно».

Такое рождается по причине того, что люди не осознают рисков и часто не умеют прогнозировать последствия. Ну и, конечно, основная причина кроется в том, что мы с вами не понимаем вектора атак злоумышленников. Справедливо отметить, что в теории мы и не должны знать такие сложные штуки как VPN, proxy, Tor, шифрование, виртуализация и прочие страшные слова. Учились все на разные специальности, НО. Мы живем в то время, когда такое мышление может стоить очень дорого (и не всегда в денежном эквиваленте). Поэтому, как показывает практика, вне зависимости от вашего рода деятельности сегодня каждый должен иметь базовое представление о безопасности, «интернет-гигиене» (подробнее об этом читаем мою статью тут) и, если хотите, частично даже об анонимности. Попробуем разобраться почему.

PS: Данная статья не является инструкцией или призывом к нарушению закона и написана только лишь в образовательных целях.

PSS: Способы защиты мы рассматривать не будем. Это тема отдельной статьи и не одной.

Цифровой век на примере

Немного статистики.

• Как говорится в годовом исследовании BI.ZONE за 2017–2018гг, общемировой ущерб от кибератак за этот промежуток времени составил триллион долларов. И это всего за год! Самое забавное, что эти данные далеки от точности, так как примерно 70% всех компаний не сообщают о крупных утечках и взломах по разным причинам. Поэтому на самом деле цифра может превышать 4 триллиона долларов. Это по самым скромным оценкам. Повторюсь, это всего за год. Также крупные IT компании сходятся во мнение, что каждый год ущерб растет минимум на 20–25% В общем, если ничего не предпринимать, то общемировой ущерб через пару лет может возрасти до 8 триллионов долларов. И это без учета тех самых 70% компаний.
  Для понимания, большинство локальных военных конфликтов уже не могут тягаться по бюджету с кибератаками.
• Примерно три недели назад один известный специалист по ИБ Трой Хант обнаружил странный файл, который весил 87гб. Выложен он был на известном файлообменнике Mega. Назывался данный дамп “Collection #1”. Данная коллекция представляет собой подборку email-адресов и паролей, суммарно насчитывающая 2 692 818 238 записей. По оценке эксперта, не все записи валидны, но большая часть из них “живые” (примерно половина). На данный момент данный файл удален с Mega, но, естественно, миллион раз скопирован людьми, которые это увидели, а также растащен на дарковые форумы, где его легко можно найти. Неплохо, да? Думаю, не стоит говорить о том, что будет, если злоумышленник получит доступ к вашей личной почте. На данный момент это самая крупная утечка персональных данных за всю историю человечества.
• Недавно пользователи обнаружили серьезный баг в приложении FaceTime на iPhone. Можно увидеть и услышать собеседника до того, как он примет вызов. Причём пользователь на «другом конце провода» не увидит, что его прослушивают и интерфейс никак не изменится. Официальные представители FaceTime сказали, что сейчас делают все возможное по устранению данной уязвимости. Но мой вам совет — пока что его удалить. Данная уязвимость наблюдается на iOS 12.1 и выше.
• Про крупные утечки Facebook, думаю, все вы знаете и без меня.

В общем, перечислять это все я могу очень долго и не один год. Каждый день на профильных ресурсах появляются десятки новых уязвимостей и новостей о взломах.

Вам до сих пор кажется, что хакерам вы не интересны? Ну что же, тогда рассмотрим конкретный пример с FaceTime. Из него мы как раз выведем основные вектора атак и поймем, чем конкретно каждый из нас может быть интересен злоумышленникам.

Итак, давайте вместе накидаем варианты того, что может сделать злоумышленник на примере FaceTime. Данная конкретная уязвимость дает возможность получить доступ к микрофону вашего телефона третьим лицам. Начнем с того, что, получив доступ к одной из систем, грамотный специалист будет, прежде всего, пробовать “закрепиться в системе” для того, чтобы получить доступ к другим сервисам (в нашем случае в телефоне). То есть первый вариант плохих последствий — это получение полного доступа к вашему устройству. Первое, о чем подумают многие: “У меня наверное какие-то фото есть личные?” Другая мысль в голове скептика: “Да и черт с ними, ничего такого там нет.” Возможно и нет, но все-таки я не соглашусь. Есть такая вещь, как кража личности. Я писал об этом тут, советую почитать. Поэтому довольно безответственно думать в таком ключе. Но фото, может, и не самое страшное. Вся ваша переписка, логины и пароли всех ресурсов, на которых вы сидите, ваше физическое местоположение и прочие маркеры — вот это пострашнее.

Более простой вариант в конкретной уязвимости FaceTime — это просто вас слушать. Да, бесспорно, в какой-то момент вы можете это заметить (телефон быстро разряжается, греется и прочее), но вот загвоздка — сколько всего вы успеете наговорить за то время, пока ни о чем не подозреваете? Кто-то меньше, кто-то больше, но это неприятно. У вас милый разговор со своей девушкой/парнем о покупках, зарплате или еще о чем-то? Поверьте, умный плохиш соберет это все в цифровое досье и найдет, как потом это можно использовать против вас. Социальная инженерия ему в помощь (об этом у меня тоже есть статья тут).

Отдельно стоит сказать про случай, когда хакер получил удаленный доступ к вашему PC. В Linux есть утилита под названием LaZagne. Это инструмент для восстановления всех паролей и логинов от всех сервисов, которые использовал пользователь на конкретном PC. Пара команд — и все уже лежит в отдельном файле на компьютере злоумышленника.

Можно накидать еще много вариантов, ограничено все только вашей фантазией. И это мы разобрали пример одной конкретной уязвимости, а таких сотни тысяч.

Теперь, когда немного разобрались с примерами, попробуем систематизировать основные угрозы для нас.

1. Продажа персональных данных в даркнете. Каждый “профиль” (как минимум почта, телефон и ФИО) стоит примерно 0,7–1$ на теневых форумах. Представим, что мы зарегистрировались на каком-нибудь сайте, где есть такая форма заполнения с вашими данными. Через какое-то время произошла утечка. Бесспорно, кредит на вас не смогут взять, но, к примеру, спамить или совершить фишинговую атаку — легко. То есть хакеры заработали на том, что продали такую базу клиентов (представьте сколько человек могло зарегистрироваться на этом сайте), плюс потом еще эту базу и сами отработали (спам, фишинг и т.д.) Закономерный вопрос: “Это паранойя какая-то! Мне что теперь, нигде не регистрироваться что ли?” Простой ответ: “Можно, но не бездумно, и иногда лучше не оставлять прям все свои валидные данные, если ресурс не проверен”. Но цель данной статьи не учить защищаться, а просто ответить на один вопрос. Про защиту будем говорить в других постах.
2. Кража личности. Тут без комментариев, у вас потом может быть очень много проблем как финансовых, так и репутационных. Ссылку на статью об этом я прикладывал выше.
3. Целенаправленная атака с помощью социальной инженерии. Все мы любим выкладывать информацию о себе в соцсетях. Умный мошенник легко может проанализировать все ваши данные, плюс немного знаний в области поведения людей, и через какое-то время он может увести у вас деньги, если грамотно подстроится под вас. Примеров тысячи. Банально, можно составить целенаправленное письмо с вредоносной ссылкой (которая вас заинтересует) и отправить вам на почту.
4. Шантаж. Крайне популярная схема у мошенников. Украли ваши фото (допустим там есть что-то ценное для вас) или важные файлы, и вам приходит письмо с целью получения денежного вознаграждения, чтобы ваши файлы не утекли в открытый доступ. Как ни странно, это работает до сих пор и очень успешно. Из 100 человек 4–5 всегда переведут деньги.
5. Использование мощности вашего PC для майнинга или совершения DDOS атак. В наше время это делают часто, и проблем потом не оберёшься.

Вариантов еще очень много, но я надеюсь, что теперь вам стало более очевидно, почему ЛЮБОЙ человек вне зависимости от его статуса в обществе имеет ценность для злоумышленников. Основной фактор — это массовость. Хакеры или просто мошенники работают в основном на большое количество человек одновременно. Какой-то процент всегда перейдет по вредоносной ссылке или заплатит за интимные фото. Так они деньги и зарабатывают. Ну и, конечно, не редки случаи целенаправленных атак с изучением конкретной личности и поиска слабостей, на которых можно сыграть.

Надеюсь, что после прочтения данной статьи вы будете ответственнее подходить к тому, что можно и нельзя выкладывать в интернет, и ответ на вопрос “Кому я вообще нужен, ведь у меня ничего ценного нет” отпадет сам собой.

Всем благ, и поменьше негативных ситуаций в жизни!

Также читайте меня тут: Telegram и Вконтакте