Опасный IoT. Реальные истории взлома умных устройств и к чему это привело

Инфраструктура современного мегаполиса строится на устройствах интернета вещей: от видеокамер на дорогах до крупных ГЭС и больниц. Хакеры в состоянии сделать любое подключенное устройство ботом и использовать дальше для совершения DDoS-атак.

Мотивы могут быть самыми разными: хакерам, например, может платить правительство или корпорация, а иногда это просто преступники, которые хотят повеселиться и заработать денег.

📌️️️️️️️️️️️️️️️️️ Опасный IoT. Реальные истории взлома умных устройств и к чему это привело

Искусство слежения. Кто прослушивает ваши переговоры и как скрыться от повседневного шпионажа.

Каждый день вы тратите немыслимое количество часов, уставившись в экран смартфона: общаясь, отвечая на сообщения, сидя в Интернете. Но знаете ли вы, как на самом деле работает ваш сотовый телефон?

📌️️️️️️️️️️️️️️️️️ Искусство слежения. Кто прослушивает ваши переговоры и как скрыться от повседневного шпионажа.

​​62% промышленных предприятий используют старые ОС

Эксперты компании CyberX собирали данные более чем из 1800 сетей своих клиентов по всему миру с октября 2018 года по октябрь 2019 года. Полученная таким образом статистика оказалась весьма удручающей: более 60% сетей на промышленных предприятиях до сих пор содержат устройства, работающие под управлением устаревших операционных систем (Windows XP и Windows 2000).

Если прибавить сюда еще и Windows 7, чья поддержка тоже заканчивается совсем скоро, в январе 2020 года, то этот показатель составит уже 71%.

Наиболее защищенными предприятиями, продемонстрировавшими наилучшие результаты, оказались компании нефтегазового и энергетического сектора.

Непослушные клавиши. Взламываем беспроводные клавиатуры Logitech и набираем свой текст

Об уязвимостях MouseJack сообщалось более трех лет назад. Некоторые производители беспроводных клавиатур с тех пор выпустили обновления прошивки, но миллионы (если не миллиарды) клавиатур во всем мире не исправлены, либо потому, что они не могут быть обновлены, либо потому, что производитель никогда не удосужился выпустить их.

Злоумышленник с устройством Crazyradio PA (nRF24LU1 +) может вводить нажатия клавиш в большинство этих USB-ключей, а также прослушивать нажатия клавиш и выполнять атаки типа «отказ в обслуживании». В конечном итоге это позволяет злоумышленнику скомпрометировать и дистанционно управлять компьютером на расстоянии до 250 футов.

📌️️️️️️️️️️️️️️️️️ Непослушные клавиши. Взламываем беспроводные клавиатуры Logitech и набираем свой текст

​​​​Подборка интересных устройств из Арсенала хакера

Беспроводной микронаушник размером с монету - https://t.iss.one/hackerware/60

Компьютер размером с флешку - https://t.iss.one/hackerware/44

Глушилка Wi-Fi сетей - https://t.iss.one/hackerware/34

HackRF One - https://t.iss.one/hackerware/55

📚 Подписывайтесь на наш Арсенал Хакера, там мы регулярно публикуем обзоры на хакерские девайсы и другие интересные находки с Aliexpress.

Call Detail Record. Как полиция вычисляет преступников без сложной техники

Представь себе такую ситуацию: неизвестный звонит с одноразового телефона и требует выкуп за похищенного им человека. На следующий день преступник звонит еще раз. Жертва обращается в полицию, и уже через полчаса там узнают не только настоящий номер звонившего, но и всю историю его перемещений и звонков. И все это без сложной техники, поддельных базовых станций и перехвата сигнала.

📌 Как полиция вычисляет преступников без сложной техники

Умные колонки можно взломать с помощью лазера

Сводная группа специалистов из Мичиганского Университета и японского Университета электро-коммуникаций разработала технику атак под названием Light Commands, которая позволяет с помощью лазера подавать команды умным устройствам, направляя лазер на MEMS-микрофоны.

Атака Light Commands основана на том факте, что микрофоны MEMS, которые используются во многих современных девайсах, оказались настолько чувствительны, что могут реагировать на источники света, таким образом злоумышленник может подавать уязвимому девайсу произвольные аудиосигналы, направляя свет непосредственно в отверстие микрофона. Системы с голосовым управлением, как правило, не требуют, чтобы пользователи проходили аутентификацию, так что атаку можно осуществить без пароля или PIN-кода (впрочем возможность перебора исследователи тоже не исключают). Но стоит помнить о том, что такие устройства при выполнении команды, как правило, реагируют голосовыми и визуальными сигналами, а значит, атаку могут заметить находящиеся поблизости люди.

Злоумышленник может использовать голосовые команды через инъекции света, чтобы разблокировать входную дверь, защищенную умным замком, открыть гаражные двери, осуществлять покупки на сайтах за счет цели или даже найти, разблокировать и запустить различные транспортные средства (например, Tesla и Ford), если они подключены к целевой учетной записи Google», — рассказывают авторы Light Commands.

📺 Видео - https://www.youtube.com/watch?v=ORji7Tz5GiI

🔥 Подборка самых интересных каналов про IT, хакинг и безопасность.

CyberYozh - бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.

@dataleak - канал, публикующий информацию об утечках данных по всему миру. Это один из базовых каналов, на который должен быть подписан специалист в сфере IT-безопасности.

@webware - хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…

@vschannel - канал Дмитрия Момота, известного в сети под псевдонимом VektorT13. Он пишет про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.

@SecLabNews - канал русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.

У всех на виду. Находим пароли и другую приватную информацию с помощью Google

Возможно, вы и не думали, что с правильным подходом к поиску, вы можете взламывать аккаунты, устройства и просто находить тонны конфиденциальной информации, просто вводя запросы в Google.

Поскольку Google отлично справляется с индексацией всего, что связано с Интернетом, можно найти файлы, которые были обнаружены случайно и содержат важную для нас информацию.

📌 Находим пароли и другую приватную информацию с помощью Google

​​Три часа без света

В городке Западный Голливуд близ Лос-Анджелеса дрон на три часа обесточил несколько сотен домов. По иронии судьбы беспилотник влетел в линию электропередач всего пару недель спустя после того, как городской совет Лос-Анджелеса ужесточил правила пользования дронами.

Хотя дело было днем и на улице были люди, обошлось без жертв. Зато примерно 650 жителей Западного Голливуда вынуждены были дожидаться, пока линию починят. Кроме того, пожарные перекрыли две полосы бульвара Сансет, над которым произошло столкновение.

В поле зрения. Зачем за нами следят в соцсетях и кто продает наши данные?

Каждый день мы что-то пишем, разыскиваем и выкладываем в интернете, и каждый день кто-то следит за нами по ту сторону экрана. Специальные программы сканируют фото, лайки и тексты, чтобы продать наши данные рекламным компаниям или полиции. Можно назвать это паранойей или научной фантастикой, но телефон, круг общения, переписка или ориентация — больше не секрет.

📌 Зачем за нами следят в соцсетях и кто продает наши данные?

​​В Иране отключили интернет и мобильную связь

По данным телеканала Al Arabiya и ряда других арабских СМИ, власти Ирана в субботу практически полностью отключили интернет в стране в связи с протестами, разразившимися в ряде городов из-за повышения цен на бензин. По сообщениям, поступившим в воскресенье, интернет в Иране не работает и не будет восстановлен еще, как минимум, в течение ближайших суток. Представитель иранского министерства связи подтвердил, что в стране был отключен интернет. По его словам, решение об отключении было принято по распоряжению Высшего совета национальной безопасности.
Чиновник добавил, что интернет будет включен после того, как Высший совет нацбезопасности выпустит соответствующий указ.

Арабские СМИ отмечают, что интернет в Иране был отключен в субботу на фоне масштабных протестов в ряде городов, связанных с повышением цен на бензин. осдепартамент США осудил попытку иранских властей отключить интернет в стране на фоне протестов. Об этом заявила официальный представитель ведомства Морган Ортагус в Twitter. Она подчеркнула, что Вашингтон поддерживает «многострадальный иранский народ», который выступает против «несправедливости режима коррумпированной власти».

Волшебная идентификация. Как работают механизмы биометрической авторизации по отпечатку пальца

Больше ста лет назад человечество научилось устанавливать личность по отпечаткам пальцев. Теперь эта технология используется в каждом втором телефоне и значительно повышает уровень безопасности в сравнении с ПИН-кодами. Но как именно работают эти сканеры? Мне стало интересно, и, разобравшись, расскажу об этом и тебе.

📌 Как работают механизмы биометрической авторизации по отпечатку пальца

​​​​Негде спрятаться. Эдвард Сноуден и зоркий глаз Дядюшки Сэма
Гринвальд Гленн
2015

Книга основана на сенсационных документах, полученных автором лично от Эдварда Сноудена. Впервые преданы огласке секретные материалы АНБ, касающиеся тотального контроля и массовой слежки за гражданами.

Добро пожаловать в реальный мир! Скрытое наблюдение больше не миф. Бывший сотрудник АНБ Эдвард Сноуден раскрывает тайны, вызывающие шок. Оказывается, частной жизни нет. Всюду и везде за нами наблюдает Большой Брат. Беспрецедентную глобальную электронную слежку осуществляет Агентство национальной безопасности, а конфиденциальное общение между людьми перестает быть возможным.

💾 Скачать из Библиотеки хакера

Захват управления. Как получить полный контроль и удаленно управлять автомобилем

Современный автомобиль имеет тонны систем управления, функционирующих во многих отношениях, как микросервисы в веб-разработке. Подумайте о подушках безопасности, торможении, круиз-контроле, электроусилителе руля, аудиосистемах, электростеклоподъемниках, дверях, регулировке зеркал, аккумуляторах и системах подзарядки для электромобилей.

Эти системы должны быть в состоянии общаться и читать состояние друг от друга. В 1983 году команда Bosch приступила к разработке шины CAN (Controller Area Network) для решения этой сложной проблемы.
Он элегантно интегрирует все эти сложные компоненты, что позволяет использовать многие из современных функций, которые мы все любим в автомобилях сегодня.

Но что, если я скажу, что к ней можно получить доступ удаленно и управлять машиной с ноутбука с Kali Linux?

📌 Как получить полный контроль и удаленно управлять автомобилем

​​NETWORKMINER

Один из лучших инструментов для анализа перехваченных данных, сохраненных в формате PCAP. Утилита пассивно анализирует дамп с трафиком, определяет участников обмена сетевыми данными, распознает операционные системы на каждом из хостов, извлекает из дампа переданные файлы.

NetworkMiner также может выдавать структурированную информацию об открытых сессиях, активных портах и прочей инфраструктуре сети, снимает баннеры различных демонов. Самая важная особенность данного анализатора трафика - возможность извлекать файлы и сертификаты, передаваемые по сети. Функция может быть использована для перехвата и сохранения всевозможных аудио- и видео-файлов.

💾 Скачать с оффициального сайта

Расследование киберпреступлений. Используем форензику, чтобы раскрыть ограбление

Сегодня нас ждет по-настоящему интересная и актуальная задача, а точнее — целое расследование из серии «куда ушли большие деньги»: мы рассмотрим кейс с корпоративным ноутбуком на Windows 10, ставший жертвой атаки кибермошенников. А может быть, сотрудники компании просто присвоили деньги, сославшись на «злых хакеров»? Скоро узнаем. Вперед, на поиски истины!

📌 Используем форензику, чтобы раскрыть ограбление

​​Двухфакторная аутентификация защитит от 99,9% попыток взлома

По статистике компании Microsoft, многофакторная аутентификация позволяет блокировать 99,9% автоматизированных атак, причем речь идет не только об учетных записях Microsoft, но и о любых других профилях, на любых веб-сайтах или онлайн-сервисах.

Блог компании сообщает, что каждый день совершается более 300 000 000 попыток мошеннического входа в облачные сервисы Microsoft и включение многофакторной аутентификации помогает блокировать большинство, даже если в распоряжении хакеров есть копия текущего пароля пользователя.

Оставшиеся 0,1% приходятся на более сложные атаки, связанные с захватом токенов многофакторной аутентификации, но подобные атаки пока редки по сравнению с credential stuffing атаками ботнетов.

​​​​20 000 подписчиков

🎉У нашего канала большой праздник - 20 000 ПОДПИСЧИКОВ! И это - повод поблагодарить всех, кто к нам присоединился и продолжает присоеденяться. Именно Вы, дорогие читатели, даёте силы и вдохновение, чтобы делать интересный контент каждый день.

К этой цифре мы шли уже почти 2 года, и в этом посте мы хотим выразить особую благодарность некоторым нашим друзьям:

@social_engineering_club - социальная инженерия, профайлинг и НЛП
@howdyho_official - просто о мире IT
@CyberYozh - крутой курс по анонимности и безопасности в сети
@dataleak - утечки данных по всему миру
@webware - хакинг от новичка до профи
@cardingpro - интревью с представителями различных профессий
@SecLabNews - последние новости IT-безопасности в России и мире
@vschannel - антидетекты и методики отслеживания
@bugfeature - секреты соц. сетей и баги приложений
@chipollin0nion - новости даркнета


Также не забывайте читать другие наши каналы:

@forsighten - Кибербезопасность и хакинг
@hackerlib - Книги, курсы и полезные материалы
@hackerware - Хакерские гаджеты и устройства

​​Почему нельзя перезванивать на незнакомые номера

Сегодня телефонное мошенничество настолько усовершенствовалось, что страдают даже опытные пользователи. Сейчас стали популярны ситуации, когда вам звонят с незнакомого номера и тут же сбрасывают. И вы думаете: вдруг что-то срочное? Вдруг что-то случилось? Так и хочется перезвонить.

Но делать этого не нужно, иначе с вас могут списать неплохую сумму. Возможно, это была платная линия, необходимая компаниям для коммерческих услуг. Этим свойством и пользуются и мошенники. Отличить такие номера можно по префиксам +7 809 и +7 803.

При описанных ситуациях рекомендуется сообщить о проблеме в правоохранительные органы и сотовому оператору. Возможно, полиция не будет рассматривать такие случаи, поскольку абонент самостоятельно набирает платный номер. Однако мобильный оператор должен принять необходимые меры, например, заблокировать недобросовестный платный номер.

#совет

Неприступный смартфон. Настройка вашего iPhone для максимальной конфиденциальности и безопасности в сети

В этой статье моя цель - помочь вам сосредоточиться на безопасности и конфиденциальности (два разных, но одинаково важных вопроса) на iPhone, в частности, в отношении подключения к сети, которое вы используете для работы в Интернете или использования приложений. Мы рассмотрим различные способы сделать ваше прибвание в интернете с айфона конфиденциальным и безопасным.

📌️️️️️️️️️️️️️️️️️ Настройка вашего iPhone для максимальной конфиденциальности и безопасности в сети