Ломай меня полностью! Самое большое заблуждение в интернет-безопасности.

Image for post
Image for post

#hackandsecurity

Также читайте меня тут: Telegram и Вконтакте

По работе часто приходится сталкиваться с тем, что подавляющее большинство людей живет в некоем мифическом мире, где им не угрожает никакая опасность (по их мнению). Заблуждений такого рода очень много, и сегодня коснёмся одного из самых главных:

Такое рождается по причине того, что люди не осознают рисков и часто не умеют прогнозировать последствия. Ну и, конечно, основная причина кроется в том, что мы с вами не понимаем вектора атак злоумышленников. Справедливо отметить, что в теории мы и не должны знать такие сложные штуки как VPN, proxy, Tor, шифрование, виртуализация и прочие страшные слова. Учились все на разные специальности, НО. Мы живем в то время, когда такое мышление может стоить очень дорого (и не всегда в денежном эквиваленте). Поэтому, как показывает практика, вне зависимости от вашего рода деятельности сегодня каждый должен иметь базовое представление о безопасности, «интернет-гигиене» (подробнее об этом читаем мою статью тут) и, если хотите, частично даже об анонимности. Попробуем разобраться почему.

PS: Данная статья не является инструкцией или призывом к нарушению закона и написана только лишь в образовательных целях.

PSS: Способы защиты мы рассматривать не будем. Это тема отдельной статьи и не одной.

Цифровой век на примере

Image for post
Image for post

Немного статистики.

  • Как говорится в годовом исследовании BI.ZONE за 2017–2018гг, общемировой ущерб от кибератак за этот промежуток времени составил триллион долларов. И это всего за год! Самое забавное, что эти данные далеки от точности, так как примерно 70% всех компаний не сообщают о крупных утечках и взломах по разным причинам. Поэтому на самом деле цифра может превышать 4 триллиона долларов. Это по самым скромным оценкам. Повторюсь, это всего за год. Также крупные IT компании сходятся во мнение, что каждый год ущерб растет минимум на 20–25% В общем, если ничего не предпринимать, то общемировой ущерб через пару лет может возрасти до 8 триллионов долларов. И это без учета тех самых 70% компаний.
    Для понимания, большинство локальных военных конфликтов уже не могут тягаться по бюджету с кибератаками.
  • Примерно три недели назад один известный специалист по ИБ Трой Хант обнаружил странный файл, который весил 87гб. Выложен он был на известном файлообменнике Mega. Назывался данный дамп “Collection #1”. Данная коллекция представляет собой подборку email-адресов и паролей, суммарно насчитывающая 2 692 818 238 записей. По оценке эксперта, не все записи валидны, но большая часть из них “живые” (примерно половина). На данный момент данный файл удален с Mega, но, естественно, миллион раз скопирован людьми, которые это увидели, а также растащен на дарковые форумы, где его легко можно найти. Неплохо, да? Думаю, не стоит говорить о том, что будет, если злоумышленник получит доступ к вашей личной почте. На данный момент это самая крупная утечка персональных данных за всю историю человечества.
  • Недавно пользователи обнаружили серьезный баг в приложении FaceTime на iPhone. Можно увидеть и услышать собеседника до того, как он примет вызов. Причём пользователь на «другом конце провода» не увидит, что его прослушивают и интерфейс никак не изменится. Официальные представители FaceTime сказали, что сейчас делают все возможное по устранению данной уязвимости. Но мой вам совет — пока что его удалить. Данная уязвимость наблюдается на iOS 12.1 и выше.
  • Про крупные утечки Facebook, думаю, все вы знаете и без меня.

В общем, перечислять это все я могу очень долго и не один год. Каждый день на профильных ресурсах появляются десятки новых уязвимостей и новостей о взломах.

Вам до сих пор кажется, что хакерам вы не интересны? Ну что же, тогда рассмотрим конкретный пример с FaceTime. Из него мы как раз выведем основные вектора атак и поймем, чем конкретно каждый из нас может быть интересен злоумышленникам.

Image for post
Image for post

Итак, давайте вместе накидаем варианты того, что может сделать злоумышленник на примере FaceTime. Данная конкретная уязвимость дает возможность получить доступ к микрофону вашего телефона третьим лицам. Начнем с того, что, получив доступ к одной из систем, грамотный специалист будет, прежде всего, пробовать “закрепиться в системе” для того, чтобы получить доступ к другим сервисам (в нашем случае в телефоне). То есть первый вариант плохих последствий — это получение полного доступа к вашему устройству. Первое, о чем подумают многие: “У меня наверное какие-то фото есть личные?” Другая мысль в голове скептика: “Да и черт с ними, ничего такого там нет.” Возможно и нет, но все-таки я не соглашусь. Есть такая вещь, как кража личности. Я писал об этом тут, советую почитать. Поэтому довольно безответственно думать в таком ключе. Но фото, может, и не самое страшное. Вся ваша переписка, логины и пароли всех ресурсов, на которых вы сидите, ваше физическое местоположение и прочие маркеры — вот это пострашнее.

Более простой вариант в конкретной уязвимости FaceTime — это просто вас слушать. Да, бесспорно, в какой-то момент вы можете это заметить (телефон быстро разряжается, греется и прочее), но вот загвоздка — сколько всего вы успеете наговорить за то время, пока ни о чем не подозреваете? Кто-то меньше, кто-то больше, но это неприятно. У вас милый разговор со своей девушкой/парнем о покупках, зарплате или еще о чем-то? Поверьте, умный плохиш соберет это все в цифровое досье и найдет, как потом это можно использовать против вас. Социальная инженерия ему в помощь (об этом у меня тоже есть статья тут).

Отдельно стоит сказать про случай, когда хакер получил удаленный доступ к вашему PC. В Linux есть утилита под названием LaZagne. Это инструмент для восстановления всех паролей и логинов от всех сервисов, которые использовал пользователь на конкретном PC. Пара команд — и все уже лежит в отдельном файле на компьютере злоумышленника.

Можно накидать еще много вариантов, ограничено все только вашей фантазией. И это мы разобрали пример одной конкретной уязвимости, а таких сотни тысяч.

Теперь, когда немного разобрались с примерами, попробуем систематизировать основные угрозы для нас.

  1. Продажа персональных данных в даркнете. Каждый “профиль” (как минимум почта, телефон и ФИО) стоит примерно 0,7–1$ на теневых форумах. Представим, что мы зарегистрировались на каком-нибудь сайте, где есть такая форма заполнения с вашими данными. Через какое-то время произошла утечка. Бесспорно, кредит на вас не смогут взять, но, к примеру, спамить или совершить фишинговую атаку — легко. То есть хакеры заработали на том, что продали такую базу клиентов (представьте сколько человек могло зарегистрироваться на этом сайте), плюс потом еще эту базу и сами отработали (спам, фишинг и т.д.) Закономерный вопрос: “Это паранойя какая-то! Мне что теперь, нигде не регистрироваться что ли?” Простой ответ: “Можно, но не бездумно, и иногда лучше не оставлять прям все свои валидные данные, если ресурс не проверен”. Но цель данной статьи не учить защищаться, а просто ответить на один вопрос. Про защиту будем говорить в других постах.
  2. Кража личности. Тут без комментариев, у вас потом может быть очень много проблем как финансовых, так и репутационных. Ссылку на статью об этом я прикладывал выше.
  3. Целенаправленная атака с помощью социальной инженерии. Все мы любим выкладывать информацию о себе в соцсетях. Умный мошенник легко может проанализировать все ваши данные, плюс немного знаний в области поведения людей, и через какое-то время он может увести у вас деньги, если грамотно подстроится под вас. Примеров тысячи. Банально, можно составить целенаправленное письмо с вредоносной ссылкой (которая вас заинтересует) и отправить вам на почту.
  4. Шантаж. Крайне популярная схема у мошенников. Украли ваши фото (допустим там есть что-то ценное для вас) или важные файлы, и вам приходит письмо с целью получения денежного вознаграждения, чтобы ваши файлы не утекли в открытый доступ. Как ни странно, это работает до сих пор и очень успешно. Из 100 человек 4–5 всегда переведут деньги.
  5. Использование мощности вашего PC для майнинга или совершения DDOS атак. В наше время это делают часто, и проблем потом не оберёшься.

Вариантов еще очень много, но я надеюсь, что теперь вам стало более очевидно, почему ЛЮБОЙ человек вне зависимости от его статуса в обществе имеет ценность для злоумышленников. Основной фактор — это массовость. Хакеры или просто мошенники работают в основном на большое количество человек одновременно. Какой-то процент всегда перейдет по вредоносной ссылке или заплатит за интимные фото. Так они деньги и зарабатывают. Ну и, конечно, не редки случаи целенаправленных атак с изучением конкретной личности и поиска слабостей, на которых можно сыграть.

Надеюсь, что после прочтения данной статьи вы будете ответственнее подходить к тому, что можно и нельзя выкладывать в интернет, и ответ на вопрос “Кому я вообще нужен, ведь у меня ничего ценного нет” отпадет сам собой.

Всем благ, и поменьше негативных ситуаций в жизни!

Также читайте меня тут: Telegram и Вконтакте

Written by

Investigations, OSINT, cybersecurity, profiling, self defense. https://t.me/artemov_security

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store