https://i.imgur.com/O5ovlEr.gif

Приветствуем всех участников и гостей форума !

В данной теме мы предложим вашему вниманию интересные авторские статьи. Наша команда тщательно выбирает и формирует занимательный контент специально для вас!

В этот раз мы расскажем про реальные истории с темной стороны интернета!

Что это такое? Это подкасты о хакерах, взломах, деятельности теневого правительства, хактивизме, киберпреступности и обо всем, что обитает в скрытых частях сети. Это дневники даркнета. Наслаждайтесь.

Еще больше контента можно найти на нашем канале в Телеграме!

(https://t.me/blackmastchannel)➖ Авторские статьи по заработку, мануалы и скрипты по безопасности

Абсолютно каждый день свежие новости про крипту, теневые темы, криминал и NFT

Так же у нас есть чат, где можно найти работу в теневой сфере или подыскать покупателей на свои услуги!

ЖМИ, ЧТОБЫ ВСТУПИТЬ!

https://t.me/BlackMASTChat

Частный пен-тестер берется за работу вместе с другим эксцентричным пен-тестером. Один стремится вломиться в здание, второй хочет справиться по сети. Что из этого получилось, читай дальше.

Гость: хакер и пен-тестер TinkerSec

Ведущий: Привет, это Джек, ведущий шоу. Уже подошли к концу рождественские праздники. Кто-то из нас отдыхал, но кто-то тщательно следил за безопасностью. Хакеры любят наносить удары, когда люди в отпуске и никто не следит за компанией. Это история от нашего старого друга, TinkerSecure. Он пен-тестер, которому платят за взлом сайтов для проверки их безопасности. Наслаждайтесь.

Тинкер: Это был вечер воскресенья, я сел на рейс в Лос-Анджелес. Мне удалось до краёв заполнить свою ручную кладь отмычками и клонировщиками бейджей. Казалось, охрану аэропорта беспокоит только мой ноутбук. Сделав рентгеновский снимок, они пропустили его, не обращая внимания на хакерские инструменты. Это было за неделю до Рождества, и я должен был быть дома с моими сыновьями, украшающими елку и планирующими, какие печенья они оставят для Санты, то есть для меня. Но вот я сажусь на другой рейс в другое богом забытое место, чтобы проникнуть в другое здание.

В моей голове роились мысли о семье, о потерянной любви, о найденной новой любви. Задание по взлому ещё где-то далеко впереди, а пока я уселся на свое место, налил себе ***** с колой из крошечной бутылочки на одну порцию и попытался немного поспать в этой тесной летающей консервной банке.

Лос-Анджелес не перестает меня удивлять. Независимо от того, как часто я оказываюсь здесь, я всегда поражен огромным размахом разрастания. Люди стояли друг на друге, деревья торчали из бетона. Каждый дюйм горизонта занят. Моим водителем был кореец, подозрительно бодрый в этот поздний час. Он убедился, что мне удобно, а затем мы отправились к месту назначения. Мужчина приобретает определенную долю фатализма, когда в два часа ночи петляет между пробками, двигаясь со скоростью 120 км/ч. Мой водитель улыбнулся и спросил меня, для чего я приехал.

— Бизнес, — ответил я.

— Что вы делаете?

— Я вламываюсь в здания.

— Ну, а какие методы ты используешь для проникновения в здания?

Я честно ответил: "Взлом — это классический метод. Сейчас мы клонируем бейджики, те самые, по которым в здания проходит персонал. Хотя часто, если вы просто улыбаетесь, люди уже открывают вам дверь. "

Мы еще немного поболтали. Через некоторое время он включил классическую музыку и поехал прямо по шоссе. Водитель подвёз меня прямо к моему отелю. Он поспешно вышел из машины, открыл багажник, вытащил мои сумки и поставил их передо мной. Меня заверили, что если я оставлю ему пятизвездочный отзыв, он ответит тем же. Я заверил его, что обязательно поставлю.

Об отеле и говорить нечего. Я положил свои сумки сбоку от кровати, не стал распаковывать. Я жутко переживал. Нервы перед заданием никогда не расслабляются. Я просто принял это, чёрт возьми.

Мой коллега уже был в городе, уже заселился в гостиницу, и уже спал. Мы должны были встретиться через 7 часов, а я и так не спал двадцать часов. Слишком возбужден, чтобы спать спокойно, и уже слишком поздно (или слишком рано?) – чтобы принять снотворное, мне пришлось просто лежать и ждать.

Сон был тяжелым. Звуки Лос-Анджелеса заполнили мою комнату, но утро всё-таки наступило, как и всегда. В вестибюле отеля я проглотил завтрак и кофе и направился обратно в свою комнату, чтобы принять душ и побриться. Мой коллега поздно проснулся. Через некоторое время я услышал стук в дверь. У Ягикса была жуткая комбинация бороды и прически; его вчерашняя небритая борода сливалась с затылком, создавая ровный вид со всех сторон.

Yagix был гуру RFID (радиочастотная идентификация) и беспроводной связи. Это когда у тебя есть дерьмо, которое летает по воздуху, он тут же выхватывает его и швыряет тебе в лицо. Он решил, что сможет получить доступ к сети Wi-Fi жертвы и взломать ее. Если у него получится, мне не нужно будет вмешиваться, и мы бы быстро закруглились. Он нашёл высокое общественное здание примерно в 500 метров от нашей цели. Я пошел с ним, и мы примостились в общей зоне рядом с окном, выходящим на смотровую площадку. Вид был захватывающим. У него была сумка с длинной антенной Yagi, которая была подключена к его ноутбуку. Он поставил сумку у окна и повернул ее так, чтобы яги указывала на него. Затем он сдвинул сумку на 2 см влево, посмотрел на экран и пробормотал что-то о каналах. Затем он что-то набрал в своем ноутбуке, сдвинул сумку влево еще на 2 см. Пока Ягикс занимался своим делом, я сидел напротив него и потягивал кофе.

Я просматривал территорию, чтобы убедиться, что никто не обращает на нас внимания. Через некоторое время Ягикс сказал, что цель слишком далеко, и он не может до неё добраться.

— Мне нужно выйти из здания и подойти как можно ближе, — сказал он.

Я кивнул и допил свой кофе. Что ж, если ему нужно отправиться на место, я могу провести настоящую разведку для него. Я вернулся в отель и взял свою сумку для снаряжения. Я ждал в холле своего помощника. Я проверил свою сумку: клонировщик бейджиков имел радиус действия около 15 метров. Отмычки, ноутбук, длинный кусок картона тоже были в сумке. Появился мой коллега.

Мы вышли. Подошел к месту: обычное офисное здание в обычном офисном комплексе. Три этажа, несколько входов: спереди, сзади и сбоку.

Мы сидели на открытой площадке для пикника и смотрели, как люди расходятся на обед. Костюм служащего выглядел повседневным; джинсы, рубашка и легкое пальто по погоде. Я видел несколько бейджиков то здесь, то там, которые все носят по-разному: некоторые на шее, некоторые на ремне. Я вытащил фальшивый белый бейджик и пристегнул его к ремню. Это было похоже на заднюю часть их бэйждика. Я видел, как люди выходили из черного входа. Я взглянул на своего коллегу.

Он быстро заверил меня: "Нет, стой, я смогу взломать. Просто дай мне минутку."

— Не останавливайся, — ответил я. Меня всё равно могут поймать.

Я встал и направился к задней двери. Джентльмен как раз уходил. Я крикнул: "Эй, секундочку" и подбежал, чтобы придержать дверь.

https://telegra.ph/fth-01-21

Он улыбнулся, придержал дверь и обеспокоенно посмотрел на мой ремень. Увидел мой белый значок и вздохнул с облегчением. Я придержал для него дверь, когда он ушел, и я вошел сюда только для того, чтобы быть встреченным другой дверью с панелью доступа с пин-падом и лестницей неподалёку. Я взглянул вверх и увидел камеру, поэтому выбрал лестницу. Второй этаж был таким же. Третий этаж был таким же. У меня ничего не было. Я спустился вниз, намереваясь уйти и попробовать еще раз. Я не хотел, чтобы камеры застали меня за подозрительным поведением.

Когда я подошел к двери, чтобы выйти, я увидел людей, возвращающихся с раннего обеда. Я остался внутри и вытащил свой телефон, делая вид, что болтаю с кем-то. Три человека: двое мужчин и одна женщина вошли в здание. Я сказал немного громко в свой телефон: "Извините, мне нужно возвращаться. Я позвоню вам позже." Я пошел за небольшой толпой, когда они подошли к двери с пин-падом.

Главный джентльмен вошел и придержал дверь для женщины. Женщина придержала дверь для своей подруги, а ее подруга открыла дверь для меня. Я улыбнулся, сказал: "Спасибо" и вошел в защищенную зону моей цели. С этим я справился. Что теперь? Первое, что я сделал, это нашел уборную, умылся и успокоил нервы. Мне нужно было найти конференц-зал, место, куда можно было бы подключить прослушку. Я вышел из туалета и вымыл руки, улыбнувшись человеку рядом со мной. Я вытер руки. Надеюсь, я смогу хотя бы ходить и не выглядеть подозрительно. Далее направился ходить по коридорам. Наемные рабы толпились в кучках открытых офисных полукабин. Разные секции имели разные цвета; Финансы были зелеными, операции — красными, IT — синими.

Я зашел в комнату отдыха и налил себе кофе, завязал разговор с двумя сотрудниками. Мы обсудили способы ухода за волосами, когда они повыпадывают в старости. Одна из моих собеседниц сокрушалась о том времени, когда она была беременна, и у нее были роскошные густые волосы. Я вышел из комнаты отдыха со своим кофе и заметил нечто, похожее на большой конференц-зал. Стекло от пола до потолка, аквариум. Все отвернулись от меня, глядя на дисплеи на стене. На табличке было написано "Центр управления безопасностью". Это был их операционный центр безопасности. Я уставился на затылки Синей команды. На моем лице появилась озорная ухмылка. На их дисплеях отображались процессы безопасности. Я видел один для антивируса, один для брандмауэра, один для систем обнаружения вторжений и так далее.

Теперь я знал, с чем мне нужно бороться. Люди, которые могли остановить меня, и инструменты, которые я должен был обойти.

Я попытался стереть ухмылку с лица и пошел дальше. Я подошел к скоплению никому не нужных компьютеров, ожидающих использования. Я подошел к джентльмену, сидящему в одиночестве. Он взглянул на меня и снял наушники. — Извините, что беспокою вас, Вы не возражаете, если я останусь здесь? Мне нужно очень быстро подготовиться к презентации на конференции, — спросил я.

— Конечно, садись, — сказал он и указал на пустой стол.

Я вытащил свой ноутбук и вытащил за ним устройство меньшего размера. Raspberry Pi (микрокомпьютер) был размером с кредитную карту, но содержал полный арсенал хакерских инструментов. Притворившись, что подключаю свой ноутбук, вместо этого я положил R-Pi под стол и подключил его.

На своем ноутбуке я подтвердил подключение к моему Raspberry Pi и провел небольшое начальное сканирование, чтобы понять, в какой подсети находится мое устройство. Я отключил свой ноутбук. Теперь все махинации я смогу делать дистанционно из своего отеля через этот Raspberry Pi. На выходе я увидел кабинет начальника отдела информационной безопасности. Я подошел к двери. Я колебался: "Нужно ли мне?" Дверь открылась. Я замер. Директор по информационным технологиям вышел и прошел мимо меня, задев мою сумку. Я извинился, отвернулся и опустил голову, пошел дальше по коридору и вышел из офисного здания. Я закрыл дверь за собой, дёрнул ещё раз — заблокировано.

Я помахал своей сумкой возле устройства для считывания бейджей у двери и услышал, как она щелкнула. С этого момента я могу вернуться в свой отель и взламывать все, что мне нужно. У меня был удаленный вход, но если нужно, я всегда мог вернуться сюда, всегда войти, всегда быть директором по информационной безопасности.

Кстати, о моём товарище. Ягикс получил учетные данные домена из их корпоративной беспроводной сети WPA2 с помощью Eaphammer. Он тоже был внутри. Похоже, мне не нужно было вламываться в их офис.

Я вызвал такси. На этот раз водитель молчал: оставил мне время подумать.

Все компьютерные защиты: брандмауэры, замки, бейджи — все это не имело значения, когда простая улыбка открыла дверь. Но мне нравятся улыбки, праздничное настроение, рождественская пора. Если подумать, я с нетерпением жду возможности купить своим сыновьям новый рождественский подарок.

https://telegra.ph/EHpizod-1-NOIRNET-01-21

Незадолго до рассвета февральским утром в тихом жилом районе Карачи, города в Пакистане... Глава разведывательного управления Пакистана Мир Мазхар Джаббар направляется к дому хакера, за которым он следит уже более двух лет. За Джаббаром стоит группа пакистанских полицейских. Джаббар подходит к входной двери и стучит.

Вы, наверное, уже знаете, что у ФБР есть список 10 самых разыскиваемых преступников, но вы, возможно, не знаете, что ФБР также составляет список самых разыскиваемых киберпреступников. Джаббар и его команда собираются совершить налет на дом одного из самых разыскиваемых киберпреступников.

АДАМ: Хакеры сделали все за один выходной, когда никого не было в офисе.

ВЕДУЩИЙ: Это Адам Финч, жертва одной из таких хакерских атак.

АДАМ: Мы даже не знали об этом, пока месяц спустя не получили счет за телефон. Он был на 24 000 долларов больше, чем обычно.

— Почему он был таким высоким?

— В счете говорилось, что мы звонили на несколько номеров с оплатой за минуту.

— Вроде секса по телефону и всяких глупых телемагазинов?

—Точно. Мы попытались опровергнуть обвинения в телефонной компании, но им было плевать. Мы обратились в полицию, но в итоге нам не помогли.

ВЕДУЩИЙ: Адам не хотел, чтобы я раскрывал, в какой компании он работал, потому что это дурная слава для компании. Однако компания Адама оплатила расходы, потому что другого выхода не было. Вы можете удивиться, зачем кому-то вламываться в офис и выставлять за кого-то огромный телефонный счет. Но вот суть взлома: хакеры набирали с телефона компании принадлежащие им номера с поминутной оплатой. С помощью этой атаки они буквально превращают чужие телефоны в банкоматы.

Хакер звонит на стационарный телефон в случайно выбранном офисе. Но сейчас 19:00 и пятница, поэтому никто не берет трубку. Звонок переходит на голосовую почту, но некоторые телефоны имеют возможность удаленно проверять голосовую почту.

ГОЛОСОВАЯ ПОЧТА: Чтобы получить доступ к голосовой почте, введите свой пин-код, а затем нажмите клавишу решетки.

ВЕДУЩИЙ: Хакер сначала попробует последние четыре цифры телефонного номера. Обычно это PIN-код по умолчанию для ящика голосовой почты. Как только они попадают в голосовую почту, они ищут определенный вариант конфигурации.

ГОЛОСОВАЯ ПОЧТА: Чтобы активировать режим «Не беспокоить», нажмите 1. Чтобы изменить постоянный номер для переадресации, нажмите 2.

ВЕДУЩИЙ: Бинго. Переадресация вызова. Хакер устанавливает номер для переадресации звонков на номер своей линии с поминутной оплатой. Теперь, когда в следующий раз кто-нибудь наберет номер телефона, он будет звонить на линию с поминутной оплатой.

Почему жертва не может обратиться в телефонную компанию, чтобы возместить расходы?

ПОЛ: Потому что телефонная компания не покрывает последствия и убытки. Меня зовут Пол Бирн, я работаю в компании UC Defense, которую я основал для снижения угрозы мошенничества с платными телефонными звонками или иначе широко известного как взлом АТС (Автоматическая телефонная станция).

ВЕДУЩИЙ: Пол защищает компании от хакеров АТС с 2012 года. Он говорит, что телефонные компании имеют законное право взимать любые сборы, которые начисляются их клиентам. Обычно это прописывается в договоре.

— Да, жертва, как правило, оказывается виновной.

— Но самое главное, АТС не является собственностью телекома. Он принадлежит потерпевшему. Причиной этого нападения стала собственная халатность жертвы к безопасности. Точно так же, как когда интернет-провайдер предоставляет компании подключение к Интернету, он не несет ответственности в случае взлома этой компании. Сколько ежегодно обходится людям взлом АТС?

— Лучшее доказательство предоставлено Ассоциацией по борьбе с мошенничеством в коммуникациях. По их оценкам, взлом АТС обходится деловому сообществу более чем в десять миллиардов долларов в год. Это число удвоилось за последние 4 года.

— Проблема в том, что компании не предпринимают шаги для правильной защиты своих АТС. Часто в компаниях нет никого, кто мог бы настроить АТС, поэтому они передают эту работу подрядчику. Но они часто выбирают самого дешевого подрядчика, чтобы сэкономить деньги, что приводит к небезопасной или наспех настроенной АТС. Надлежащая защита АТС — непростая задача. Поскольку для приема входящих вызовов АТС должна быть в сети, вы не можете просто заблокировать весь входящий доступ к ней. Еще больше усложняет ситуацию то, что в некоторых офисах есть мобильные сотрудники, у которых дома есть стационарный телефон. Это тонкий баланс между дозволенным и запрещенным. Каков средний счет для жертвы?

— Например, есть компания, в телефонной системе которой в среднем сотня пользователей: их взломали в пятницу вечером. В понедельник утром их телефонный счет составит около 60 000 евро.

— Полиция может помочь жертвам этого преступления?

— Нет, потому что полиция не знает об этом. Они привыкли к другим типам преступлений — кражи, взломы, разбой. Но когда происходит этот инцидент с АТС, у них нет ресурсов даже для того, чтобы понять, что это за преступление и как они будут его расследовать.

ВЕДУЩИЙ: Как сказал Пол, полиция просто не приспособлена для борьбы с такими преступлениями. Звонки почти всегда идут в зарубежные страны, такие как Восточный Тимор, Куба, Латвия и даже Зимбабве. О многих из этих преступлений не сообщается. Компании боятся плохой огласки, если сообщат, что их взломали. Иногда жертвы обращаются в ФБР, но ФБР обычно интересуют только угрозы правительству или стране или преступления, ущерб от которых превышает один миллион долларов. Большая часть этого взлома АТС исчисляется десятками тысяч.

ФБР ценит, когда люди сообщают о преступлении, поскольку это помогает им собирать данные для того, чтобы завести дело. В 2012 году ФБР получило достаточно сообщений о взломе АТС, чтобы начать анализ данных. Каким-то образом им удалось отследить, кто звонил по этим телефонам. При просмотре данных начали появляться закономерности, которые в конечном итоге привели их к двум мужчинам: Фархан Аршад и Нур Азиз Уддин.

ФБР выяснило, что двое мужчин летели в Куала-Лумпур в Малайзии. Через несколько часов после того, как два хакера прибыли в Куала-Лумпур, Интерпол провел обыск в их отеле и арестовал их обоих. Однако после 60-дневного заключения генеральный прокурор Малайзии отпустил их обоих на свободу.

Согласно официальному отчету, генеральный прокурор Малайзии заявил: «Ордер на арест, полученный Министерством внутренних дел Малайзии, нарушил технические детали, связанные с требованиями Закона об экстрадиции 1992 года». Малайзия посчитала, что эти двое мужчин незаконно арестованы. Фархан и Уддин немедленно покинули Малайзию и вернулись в Пакистан. Уже в следующем месяце ФБР предъявило обвинение обоим мужчинам, добавило их в список самых разыскиваемых в киберпространстве и предложило вознаграждение в размере 50 000 долларов за любую информацию, которая приведет к аресту одного из них. Их список жертв превышает 60 компаний, вот самые крупные:

Согласно обвинительному заключению, хакеры в течение тринадцати миллионов минут набирали номер с 4800 различных взломанных телефонных номеров. Как только ФБР получило ордер на их арест, оно уведомило об этом Пакистан, где, по их мнению, жили эти двое мужчин. В Пакистане FIA начала его исследование. FIA — Федеральное агентство расследований, аналогичное ЦРУ в США. Начальником службы безопасности FIA является Мир Мазхар Джаббар, и в течение многих лет у FIA не было никаких зацепок, чтобы поймать этих мужчин. Затем FIA получила наводку. Кто-то утверждал, что знает номер мобильного телефона Уддина. FIA работала с телефонной компанией, чтобы отследить GPS-координаты этого мобильного телефона. Именно тогда Джаббар совершил налёт на дом Уддина. Он не только поймал Уддина, но и Аршада, который тоже был в доме.

Ирония судьбы, вы не находите? Этих двух телефонных хакеров поймали, потому что стал известен их номер телефона. ФБР утверждает, что они нанесли ущерб в пятьдесят миллионов долларов. Что Уддин сделал с деньгами? Он купил около пятидесяти участков земли вокруг Карачи, своего родного города в Пакистане, и даже инвестировал около 400 000 долларов в различные местные предприятия. Эти двое мужчин были арестованы за взлом АТС, но есть тысячи других хакеров АТС, которых так и не поймали. Хотя мы не знаем, кто они и где они, мы знаем одно наверняка: взлом АТС будет продолжаться до тех пор, пока безопасность не улучшится.

https://telegra.ph/EHpizod-2-KAK-PRE...BANKOMAT-02-04

Эндрю работает в компании по оценке безопасности и цифровой криминалистики. Другие крупные корпорации нанимают его команду для обеспечения безопасности. Сегодня он хочет поделиться с нами интересной историей о том, как однажды столкнулся с хакерами в компании, занимающейся разработкой передовых технологий.

ЭНДРЮ: Мой клиент — международная технологическая фирма. Я не буду говорить название компании, но именно эта компания они тратят много времени и денег на разработку новых технологий. У них есть полноценный отдел исследований и разработок с передовыми технологиями. Фактически, они разрабатывают технологии, которые не разрабатывает ни одна другая компания, поэтому одним из их самых ценных активов является интеллектуальная собственность. Компания хочет убедиться, что хакеры не крадут эту информацию.

ВЕДУЩИЙ: Иногда компании нанимают группу безопасности, чтобы проверить сеть на присутствие хакеров в сети.

ЭНДРЮ: Они хотели, чтобы мы изучили их сеть. Мы просто ознакомились с ситуацией и использовали информацию, которую мы уже накопили в команде во время предыдущих атак.

ВЕДУЩИЙ: Группа начинает изучать журналы и сеть, а также различные устройства безопасности и сетевую активность.

ЭНДРЮ: Оценка безопасности включала использование разведывательных данных. Так мы обнаружили хакерскую активность в их сети. Это были APT-хакеры.

ВЕДУЩИЙ: Эндрю упомянул APT-хакеров. Это худший тип хакера, которого можно найти в вашей сети. APT означает Advanced Persistent Threat. Это группа высококвалифицированных хакеров, у которых есть конкретная цель. Но более того, у них часто есть значительные ресурсы, например, спонсируемые государством или просто хорошо финансируемые.

ЭНДРЮ: Мы выяснили, что они спонсируется государством. Это где-то на востоке, я думаю. Известно, что сама группа проникает и в другие технологические компании.

ВЕДУЩИЙ: Быть атакованным APT означает, что вы столкнулись с очень опытным и серьезным злоумышленником, который, скорее всего, так просто не уйдет. Обнаружить APT в сети крайне сложно. Такую ситуацию можно изучать несколько лет, чтобы понять какое вредоносное ПО используется хакерами. Затем, если мы обнаружим определенное вредоносное ПО в сети, мы сможем связать его с этим конкретным APT, но проблема в том, что после публикации отчета другие люди также получат доступ к этим методам. Группа APT может изменить свою тактику, чтобы стать более скрытной. В этом случае вредоносное ПО, обнаруженное в сети, совпадало с тем же вредоносным ПО, которое кто-то опубликовал в отчете, который связывал его с конкретной группой APT.

ЭНДРЮ: Мы потратили на исследования несколько месяцев.

ВЕДУЩИЙ: Почему нельзя было просто удалить вредоносное ПО?

ЭНДРЮ: Хороший вопрос. Нас часто спрашивают, почему мы сразу не исправим ситуацию. Клиентская среда — это международная компания. У них много офисов и достаточно сложная инфраструктура. Мы хотели получить более точную картину. Когда мы приступили к исправлению, мы не удаляли часть инфраструктуры хакеров только для того, чтобы была возможность засечь их в другом месте. Иная проблема заключается в том, что они знают, что мы следим за ними. Как только вы вмешаетесь, они узнают, что вы их преследуете и изменят свою тактику. Это сделает вас слепым.

ВЕДУЩИЙ: Команда Эндрю потратила несколько месяцев на изучение этой хакерской группы и того, что они делают. То, что было обнаружено, подтверждает худшие опасения компании.

ЭНДРЮ: Они искали системы НИОКР (Научно-исследовательские и опытно-конструкторские работы). Они хотели украсть, и они действительно украли некоторую интеллектуальную собственность.

ВЕДУЩИЙ: Эта хакерская группа не только успешно взломала сеть, но и успешно украла новейшие передовые технологии компании. Для такой передовой технологической компании кража интеллектуальной собственности является огромной проблемой, которая может иметь последствия для компании на миллионы долларов.

ЭНДРЮ: Не могу назвать точную сумму, но было много беспокойства просто потому, что они работали над технологией "убийцы" следующего поколения. Я думаю, если бы она попала в руки конкурента или в руки любой другой компании, очевидно, повлияла бы на производительность их компании довольно значительно.

ВЕДУЩИЙ: Компания была в ужасе и хотела немедленно удалить вредоносное ПО, но команде безопасности все еще нужно было понять угрозу и изучить ее подробнее. Они не были готовы его удалить.

ЭНДРЮ: Мы провели много исследований в разных областях. Как я уже сказал, мы создали стратегию решения проблемы. Я стал работать над этим ещё в 2015 году, и самые ранние доказательства, которые мы нашли, были в 2010 году. Это не было отправной точкой, это был всего лишь самый ранний признак активности, который мы смогли найти. У нас были доказательства того, что акт угрозы существовал по крайней мере 5 лет. Я помню, как сидел в зале заседаний с клиентом в их офисе. Мы сообщили им, что атака уже была в 2010 году. Это поразило их, ведь в течение минимум пяти лет кто-то имел доступ к их системам.

ВЕДУЩИЙ: Как клиент воспринял такую новость?

ЭНДРЮ: Это был неоднозначный ответ; некоторые люди разозлились и хотели знать, почему мы не исправили ситуацию немедленно. Были и другие, кто волновался за компанию: "Как ваши успехи? Что уже известно? Что мы делаем дальше?"

Затем, очевидно, был страх, потому что, как я уже сказал, это технологическая фирма: у них есть свои исследования и разработки, и они хотят быть лучшими на рынке. Это был смешанный комок эмоций и это понятно. В конце концов, мы — незнакомцы, сидящие в комнате и говорящие им, что они уже давно принадлежат хакерам, но мы еще не в состоянии что-то исправить, потому что не готовы. Это сложная тема для обсуждения с любым клиентом.

ВЕДУЩИЙ: Тем временем вы продолжили изучать APT, чтобы собрать еще больше данных.

ЭНДРЮ: Мы все еще наблюдали хакерскую активность во время исследований, на этапе мониторинга и на этапе обнаружения. Было довольно интересно, потому что они были часто активны. Мы могли видеть горизонтальное движение, мы могли видеть, как они делали вход в систему, чтобы убедиться, что их вирусы все еще находятся в системе. Они могли следить за коммуникациями и обновлять свои инструменты. Интересно наблюдать, как они это делают. Эти ребята проверяли, чтобы их вредоносное ПО все еще работало, и развертывали новые версии.

ВЕДУЩИЙ: Прошло несколько месяцев, команда криминалистов чувствует себя достаточно уверенно. Они собрали достаточно информации, чтобы удалить APT из сети раз и навсегда. Они обнаружили потенциальные пути проникновения хакеров, какие входы в систему они использовал, куда шли и что делали. Пришло время всё исправить и, наконец, выгнать эту хакерскую группу из сети, но внезапно активность APT прекратилась...

ЭНДРЮ: В течение нескольких недель действия хакеров были аккуратными, очень аккуратными. Мы не видели никакого движения. Они либо уже украли то, ради чего пришли, либо что-то еще.

ВЕДУЩИЙ: Эндрю и его команда готовы удалить вредоносное ПО из сети, но вдруг они увидели новость: их клиента пыталась выкупить компания, из страны, где предположительно находились те самые хакеры.

ЭНДРЮ: Как я уже сказал, за последние пару недель угроза затихла, а затем ни с того ни с сего возникла эта попытка выкупа. Это было за феноменальную сумму денег. Это стало неожиданностью для всех.

Мы продолжили постепенно удаление ПО, но хакеры так и не проявили активности. Это было очень странно.

ВЕДУЩИЙ: Итак, компания приняла предложение о выкупе?

ЭНДРЮ: Да, хакерам удалось купить компанию. История заставляет задуматься. Хакерский взлом похож на бизнес. Я никогда не работал над заданием, в котором было бы какое-либо повреждение или удаление файлов. Хотя воровство само по себе злонамеренно, кроме воровства я ничего не видел. Я никогда не видел кибервандализма, хактивизма или чего-то в этом роде. Всегда были попытки кражи и интеллектуальной собственности. Я думаю, это бизнес. Я думаю, что в реальном мире, в мире бизнеса, описанном выше, люди воруют идеи каждый день. Я просто думаю, что это другая его форма. Я думаю, что компаниям нужно по-другому смотреть на эти группы. Пытаться понять, кто их спонсоры. Все дело в деньгах.









https://telegra.ph/EHpizod-3-Hakersk...o-biznes-02-15

Мечтали ли вы выиграть казино? Герои нашего подкаста со своей задачей справились. К чему это привело читайте дальше.

ВЕДУЩИЙ: Эх, Вегас. Родина казино так и манит всех, мечтающий разбогатеть. Но дело в том, что казино всегда выигрывает. Машины и игры построены таким образом, что в конечном итоге игрок проиграет. Почти каждая ставка, которую вы можете сделать в Вегасе, сыграет в пользу казино. Однако миллионы людей играют, ища способы обмануть систему. Но что, если бы вы нашли способ изменить шансы в свою пользу и можете выигрывать когда захотите?

Однажды я работал в Лас-Вегасе, штат Невада. Меня всегда удивляло, какие способы используют люди, чтобы выиграть в казино. Я видел, как люди кладут счастливую монетку на свой игровой автомат или размахивают специальным пером в воздухе при каждом броске костей. Я видел, как люди считали карты и записывали все свои результаты. Каждый из них ищет способ взять преимущество, разработать долгосрочную выигрышную стратегию. Некоторые люди относятся к этому очень серьезно.

Большинство серьезных хакеров игровых автоматов покупают автомат и пытаются взломать ее дома. Они играют, добавляя в машину различные предметы, чтобы попытаться вывести ее из строя и выплюнуть деньги. На сегодняшний день существует множество устройств для взлома игровых автоматов. Один из них называется «Обезьянья лапа», и это устройство с небольшим светом, которое вы втыкаете в монетоприемник автомата. Это заставляет машину думать, что, когда произошла выплата, монеты не выпали. Тогда автомат снова выплачивает выигрыш. Вор может украсть все монеты из игрового автомата всего за несколько минут. Если мошенника поймают с использованием таких устройств почти сразу же можно попасть в тюрьму. Наказания суровые и строгие, и это большой риск для воров.

Джон Кейн — пианист-виртуоз. Сорок из своих пятидесяти лет он является опытным пианистом, играет для большой аудитории, обучает игре на фортепиано, продает свои записи. Он живет в Лас-Вегасе и руководит консалтинговой фирмой по вопросам управления, которая утверждает, что ее клиентами являются тридцать компаний из списка Fortune 100. К 2005 году бизнес Джона стал очень прибыльным. Он жил в большом доме на северо-востоке Вегаса. Но помимо любви к игре на фортепиано и сборке моделей поездов, он также любил азартные игры. Это продолжалось годами, но к 2006 году он сильно пристрастился.

В том же году он проиграл 500 000 долларов в азартных играх, часто в казино Boulder Station. Его любимой игрой был видеопокер. Видеопокер — простая, но увлекательная игра. Вам дается пять карт с возможностью скинуть любую из этих карт, чтобы получить новую. Цель состоит в том, чтобы получить лучший набор карт на руке. Выиграть можно где угодно: от одного цента, который вы положили в автомат, до тысяч долларов в джекпоте. Джон провел много времени, играя в видеопокер под названием Game King, созданный IGT. Это был самый популярный видео-слот в Вегасе. Он содержал такие игры, как Deuces Wild, Jacks Are Better, Triple Play и Bonus Poker. Его пианистские руки стильно и элегантно украшали кнопки автомата, и он часами играл в покер в тысячи партий. Но однажды случилось что-то странное.

В апреле 2009 года он играл в видеопокерный автомат Game King в казино Фримонт в центре Лас-Вегаса. Он пытался изменить свою ставку и нажал несколько неправильных кнопок. Внезапно автомат показал, что он выиграл более 1000 долларов, даже не сделав ставки. Он сразу понял, что это ошибка автомата. Его выплата была настолько большой, что сотруднику казино пришлось доставать ее вручную. Он сказал дежурному, что, по его мнению, произошла ошибка, но дежурный просто подумал, что он шутит, и все равно отдал выплату. Джон попытался повторить проблему. Он провел еще несколько часов, играя и пытаясь повторить это странное событие. Джон позвонил другу. Несколькими годами ранее у Джона был друг по азартным играм по имени Андре Нестор.

Андре был на тринадцать лет моложе Джона и работал телефонным оператором в банке. Он зарабатывал значительно меньше, чем Джон, но все же умудрялся проигрывать около 20 000 долларов в год, играя в азартные игры. Джон позвонил Андре и рассказал ему об ошибке, которую он обнаружил в автомате для видеопокера, и что, по его мнению, он сможет воспроизвести ее. Андре сразу же заинтересовался.

Джон встретил Андре в аэропорту Маккаран, они позавтракал и сразу же вернулись в Фримонт и сели бок о бок за два видеопокерных автомата Game King. У Джона были некоторые идеи о том, как вызвать ошибку, но он не знал наверняка. Он объяснил Андре, что, по его мнению, было схемой, и они вдвоем приступили к поиску ошибки. Они пробовали разные стратегии ставок, разные игры, комбинации нажатия кнопок и разные уровни ставок. Время от времени им удавалось вызвать ошибку.

После нескольких часов игры бок о бок они выяснили точную последовательность действий, которую необходимо выполнить, чтобы получить очень большой выигрыш. В тот вечер они сорвали многочисленные джекпоты и отправились на праздничный ужин. Они начали обдумывать свои планы. К счастью для них, автомат для видеопокера Game King очень популярен в Вегасе. Не только в казино, но и в закусочных, и на заправочных станциях, и почти везде. Они знали, что их действия могут попасть под подозрение. Они спланировали, как будут действовать дальше.

Они провели еще один день во Фримонте, чтобы убедиться, что их стратегия сработала, и, конечно же, она сработала отлично. Потом они направились в другое казино. Та же игра, та же стратегия, но это не сработало. Они пробовали множество других казино: Хилтон, Хард-Рок, Луксор, Стратосфера и Тропикана. Нигде больше это не удавалось. Они вернулись во Фримонт, но, конечно же, там все работало отлично. Эти двое были сбиты с толку, поэтому Андре решил вернуться в аэропорт и улететь домой в Пенсильванию.

В аэропорту Андре проиграл еще 700 долларов, играя в автоматы для видеопокера, но Андре все равно уехал с 8000 долларов больше, чем он прилетел. Джон вернулся в Фримонт и продолжил играть в покер. Он продолжал выигрывать и продолжал играть. Тогда менеджер игровых автоматов заметил, что все автоматы для видеопокера Game King становятся убыточными для казино. Менеджер сказал Джону, что они отключают функцию удвоения на этих машинах. Эта функция позволяла игрокам удвоить свой выигрыш или проиграть все. Джон использовал эту функцию каждый раз, когда мог, и управляющий слотами знал об этом. Джон не слишком беспокоился о том, что эта функция будет отключена. Тогда он думал, что дело в определённой последовательности клавиш. Но когда Джон вернулся на следующий день, ошибка не сработала.

Джон был сбит с толку и позвонил Андре. Андре сразу понял, что недостающим звеном их схемы была функция удвоения. С неё схема работала, а с выключенной — нет. Андре прыгнул на другой самолет и отправился обратно в Вегас. Функция удвоения в этих играх была отключена, потому что многим игрокам эта функция не нравится. Однако вы можете попросить игрового помощника включить эту функцию, и иногда они соглашаются. Джон и Андре отправились в новое казино и попросили обслуживающий персонал включить функцию «Удвоить». Андре начал играть, у него было каре, что принесло ему 500 долларов.

Он нажал волшебную последовательность кнопок и "бинго", его 500 долларов мгновенно превратились в джекпот в 10 000 долларов. Схема работала идеально и теперь они могут пойти в любое казино и заработать огромные деньги. Они были неудержимы. У них было почти бесконечное количество автоматов, где можно было выиграть десятки тысяч джекпотов. Андре смотрел на совершенно новую жизнь. Он жил на пособия по социальному обеспечению и теперь мечтал о собственном доме, покупке красивой одежды и о дорогих подарках своим друзьям. Они продолжали абузить ошибку по всему городу, пока не наткнулись на еще лучшую версию ошибки. Они обнаружили, что могут вызвать ошибку дважды за одну игру.

Тем не менее, было бы рискованно использовать эту схему постоянно. Они старались быть более аккуратными. Андре и Джон освоили свою схему. Они больше не считали это азартной игрой. По сути, они могли выиграть сколько угодно и когда угодно. Андре понял, что может зарабатывать 500 000 долларов в день, если действительно захочет. Схема работала следующим образом:

Шаг первый: найдите автомат для видеопокера Game King, который допускает разные уровни ставок.

Шаг второй: попросите оператора включить функцию «Удвоение» и будьте вежливы и обходительны, пока он вносит изменения.

Шаг третий: добавьте деньги в автомат и выберите самый низкий уровень ставки.

Шаг четвертый: играйте с наименьшей ставкой, пока не выиграете крупную комбинацию, скажем, каре или флеш-рояль.

Шаг пятый: когда на экране отображается флеш-рояль, не обналичивайте деньги. Вместо этого нажмите кнопку «Другие игры» и выберите другой вариант игры. Играйте, пока не выиграете любой выигрыш, после сработает функция удвоения. Теперь ваш следующий выигрыш будет вдвое больше, чем обычно.

Шаг шестой: добавьте больше денег в автомат.

Шаг седьмой: снова нажмите кнопку «Другие игры». Теперь выберите «Максимальный уровень ставки» и вернитесь к игре, в котором вы собрали флеш-рояль.

Шаг восьмой, нажмите кнопку Cash Out и бинго. Джекпот. Вы выиграете в десять раз больше, чем присудил вам первоначальный флеш-рояль.

Джон хотел бОльшую часть дохода, так как он рассказал Андре о уязвимости. Но Андре решил, что будет теперь играть один. За несколько дней в Вегасе Андре заработал 152 000 долларов в таких местах, как Wynn и Rio. Андре улетел обратно в Пенсильванию. Джон продолжил свою собственную серию побед, посетив восемь разных казино и выиграв более 500 000 долларов, выигрывая джекпот за джекпотом ночь за ночью.

Вернувшись домой в Пенсильванию, Андре нашел казино, в котором была игра в видеопокер Game King. Андре приводил с собой в казино свиту. Телохранитель: полицейский на пенсии, чтобы присматривать за Андре. А также его друг, который работал официантом в Red Lobster. Андре выиграл в казино еще 50 000 долларов.

Джон продолжал свои подвиги в Вегасе. Он отправился в казино Сильвертон, в то самое, где русалки плавают в аквариуме. Он вошел в комнату с высокими ставками и нашел автомат для видеопокера Game King. Он попросил дежурного включить функцию удвоения и начал выигрывать джекпот за джекпотом. Сначала 4300 долларов, затем 2800 долларов, затем 4100 долларов и еще несколько.

Для каждого выигрыша требовалось, чтобы пришел менеджер и заплатил джекпот наличными, а также заполнил документы, чтобы объявить выигрыш. Затем Джон выиграл седьмой джекпот в размере 10 400 долларов, а затем восьмой джекпот в размере 8 200 долларов. Но на этот раз дежурный пришел не сразу. Джон нетерпеливо ждал. Менеджер пришёл, но сказал Джону подождать. Победная серия Джона привлекла внимание руководства казино. Они подумали, что этому парню либо невероятно повезло, либо он жульничал, поэтому они вызвали охрану и увели его в дальнюю комнату. На него надели наручники. Джон был доставлен в центр заключения округа Кларк по делу о краже и провел ночь в тюрьме.

На следующий день его отпустили, и он сразу же позвонил Андре предупредить его. Но Андре не слушал, думая, что Джон просто пытается забрать все деньги себе. Поэтому он продолжил ходить в казино со своей свитой и выигрывать. Несколькими днями позже игорный контроль из Невады посетил казино Сильвертон. Они проверили игру и не обнаружили никаких доказательств фальсификации. Они вытащили память игры и забрали записи с камер наблюдения. Они вернулись в лабораторию с записями наблюдения и смогли воспроизвести ошибку. Это была первая подобная ошибка, обнаруженная в Game King. Совет по контролю над азартными играми немедленно уведомил IGT, создателей Game King. У IGT давняя репутация надежных игр без ошибок. И Совет по контролю над азартными играми, и IGT проводят строгие проверки, чтобы гарантировать, что ничего подобного никогда не произойдёт в игре.

После дальнейшего изучения IGT обнаружила, что эта ошибка существовала в течение семи лет, и никто не знал, что она присутствовала в тысячах игр по всему миру. IGT немедленно уведомила всех своих клиентов о необходимости немедленного отключения функции удвоения. Андре понятия не имел, как много знают следователи, и думал, что Джон просто лгал, чтобы сохранить схему при себе. Андре продолжал посещать местное казино и смог выиграть более 480 000 долларов. В конце концов казино отказалось выплачивать джекпот, и Андре ушел. В 13:00 6 августа 2009 года Андре спал на диване в своей квартире, и вдруг из-за двери раздались крики. «Полиция штата, откройте!» Дверь начали таранить. Полиция ворвалась в его квартиру.

Андре увидел солдата в полном защитном снаряжении, направившего винтовку AR-15 на Андре и кричащего: «Ложись на пол!»

Полицейские схватили его и приковали наручниками к стулу. Андре два часа наблюдал, как солдаты переворачивают все в его доме. Они перевернули матрасы, открыли ящики, снесли части потолка и просмотрели его компьютер. Друг Андре, входивший в его окружение, пришел навестить Андре, но тоже был немедленно арестован за соучастие.

Полицейские конфисковали каждую копейку, найденную в квартире, и передали ее окружному прокурору. Андре было предъявлено обвинение в 698 уголовных преступлениях, от кражи до преступного сговора. Андре провел десять дней в тюрьме и был полон решимости бороться, полагая, что присяжные наверняка встанут на его сторону. Именно тогда вмешалось ФБР. Они вывели его из зала суда Пенсильвании, в котором он находился, и экстрадировали в Лас-Вегас. Теперь ему и Джону были предъявлены обвинения в федеральных преступлениях. Пока агенты ФБР провожали его до машины, у группы местных новостей была возможность взять интервью у Андре. Вот отрывок из этого интервью.

АНДРЕ: Сейчас меня арестовывают на федеральном уровне за выигрыш в игровом автомате. Пусть все увидят записи с камер наблюдения. Я нажимал кнопки на автомате в казино. Это все, что я сделал. Теперь выигрыш явно незаконен. Это невероятно. У меня 700 преступлений. Внимание: если вы играете и выигрываете в казино, а потом руководство вдруг решает, что их машины не были полностью исправны, то вас арестуют.

Это неправильно, и я думаю, что людям действительно нужно услышать все, что я сказал сегодня. Я разговаривал с адвокатами по азартным играм в Неваде. Они говорят, что я не сделал ничего плохого. Философия заключается в том, что если казино ставит машину, которая выплачивает больше, чем обычно ожидается, а человек выигрывает, при условии, что он не использует устройства или какие-либо поддельные деньги, тогда есть ничего незаконного. Это вопрос между казино и производителем этой машины.

ВЕДУЩИЙ: Джону и Андре были предъявлены обвинения в заговоре и нарушении Закона о компьютерном мошенничестве и злоупотреблениях 1986 года. Этот закон был принят для наказания хакеров, которые незаконно проникли в правительство и банки. ФБР заявило, что мошенники сознательно использовали ошибку, которая превышала допустимый уровень для доступа к машине для видеопокера, и это противоречило правилам игры в покер. Однако их защитник утверждал, что все, что позволяет им делать игра, должно считаться разрешенным доступом. Большинство взломов игровых автоматов осуществляется с помощью дополнительных устройств, таких как магниты или электрические импульсы, но Андре и Джон использовали внутриигровые функции только для управления игрой, чтобы играть так, как они хотели. Адвокат заявил, что все, что эти ребята сделали, это нажали последовательность кнопок, на которые они имели право нажимать по закону. Дело тянулось восемнадцать месяцев.

За это время в суды было передано еще несколько дел о нарушениях такого рода. Одним из них был Аарон Шварц, арестованный за скачивание академических статей без разрешения. Другой был об утечке базы данных другому сотруднику. Обвинение не выиграло ни одно из этих дел. Но ситуация Джона и Андре подвергалась тщательной проверке. 3 декабря 2013 года федералы заключили с каждым сделку: если один сдаст другого, то он не получит тюремный срок, а только условку. Джон и Андре поступили благородно решили не давать показаний.

Обвинению было нечего использовать против этих двоих, поэтому они в конечном итоге сняли обвинения и отпустили их обоих на свободу. Деньги Андре были конфискованы и возвращены обратно в казино Пенсильвании, где он их выиграли, однако IRS заявляет, что он должен задолженность по налогам в размере 239 000 долларов США со своего выигрыша, которого у него нет. Андре расстроился из-за того, что они поссорились с Джоном из-за денег. Джон и Андре мало разговаривали с тех пор, как их арестовали в 2009 году, и им обоим запретили посещать казино, в которых они выиграли, но в суде не было никаких доказательств того, что выигрыши Джона были конфискованы или возвращены. Что стало с его деньгами, сейчас неизвестно.

Джон вернулся к игре на пианино и записи песен. Уязвимые игровые автоматы до сих пор исправляются. Это не так просто, как нажать «Обновить», потому что системы не подключены к Интернету. Применение патчей к ним сложнее, и по всему миру разбросаны тысячи таких автоматов. Не все из них управляются казино, которое применяет последние исправления. Однако есть большая вероятность, что большинство машин исправлено, поэтому лучше держать свои монеты в кармане. В конце концов, казино почти не беспокоила выигрышная серия Джона и Андре, потому что это была просто дюжина казино, и в них участвовали только два парня. Если бы эта схема просочилась в каменные джунгли, где о нем услышали бы сразу сотни людей, это был бы ужасный кошмар для казино по всему миру. К счастью для казино, эти двое держали эту схему в секрете.

https://telegra.ph/EHpizod-4-Strah-i-nenavist-v-Las-Vegase-02-22

Вторник, 15 декабря. Арестован подозреваемый по делу о взломе игрушек VTech Kids. Британская полиция надела наручники на 21-летнего мужчину всего несколько часов назад. По оценкам, почти 6,5 миллионов детских профилей и почти пять миллионов учетных записей взрослых были взломаны. Информация о кредитных картах не была получена, но, как сообщается, был получен доступ к именам и адресам детей, что ещё сильнее нагоняет жути. Имя подозреваемого еще не названо, но что-то подсказывает нам, что его следующие несколько дней за решеткой, вероятно, не будут такими приятными.

Ведущий: Современные дети видят, как их родители пользуются планшетами и телефонами, и они тоже хотят играть. Производители игрушек попытались извлечь из этого выгоду, предлагая планшеты и смарт-часы специально для детей. Эти удобные для детей устройства находятся в сети и подключены к Интернету, как и любой другой планшет. У них есть функции, которые позволяют ребенку отправлять сообщения со своего планшета на телефон родителей. Впрочем, не только текстовые сообщения.

Малыш может отправлять фотографии, видео или голосовые записи. VTech является одним из производителей таких устройств для детей. Когда вы покупаете планшет VTech, он просит вас зарегистрировать устройство. Они запрашивают имя родителя и физический адрес, а также имя пользователя и пароль. Затем игрушечный планшет также спрашивает, как зовут ребенка, его пол и день рождения. Он даже предлагает вам сфотографировать ребенка, использующего планшет, для настройки профиля. Угадайте, что произойдет, когда хакеры завладеют этими игрушечными планшетами...

Есть форум, посвященный взлому планшетов VTech. Чего только не найдёшь в даркнете... Один хакер разобрал эту штуку и с помощью паяльника смог проникнуть в базовую операционную систему Linux. Оттуда хакеры смогли получить к нему root-доступ. По мере того, как популярность этого форума росла, пришли совсем другие хакеры. Вместо аппаратного хакера этот парень был сетевым хакером. Он обнаружил, что планшеты часто соединяются с веб-сайтом под названием planetvtech.com. Он взглянул на этот веб-сайт и почти сразу обнаружил, что он уязвим для внедрения SQL-кода (SQL injection).

Этот код настоящая катастрофа для веб-сайта. Подобные сетевые хакеры часто уже имеют множеством скриптов и программ, которые автоматически выполняют атаку. Из чистого любопытства, с помощью нескольких нажатий клавиш, этот хакер запустил скрипт на planetvtech.com, который попытался использовать SQL. К его удивлению, это сработало. У него был полный доступ к сайту planetvtech.com. 100-процентный контроль над ним. Он обнаружил огромную базу данных и скопировал всё оттуда.

Первое, что он заметил, была таблица "Родители". В нем были следующие поля: Имя, Фамилия, Адрес электронной почты, Зашифрованный пароль, Секретный вопрос, Секретный ответ, Домашний адрес, IP-адрес. Посмотрев, хакер понял, что это база данных всех пользователей. В этой таблице значилось 4,8 миллиона человек. Он не мог поверить своим глазам.

Список из 4,8 миллионов учетных записей пользователей очень пригодился бы в даркнете. Такой большой список мог принести приличное количество биткойнов, но хакер не собирался продавать данные. Хакер еще раз взглянул на базу данных и нашел еще одну интересную таблицу под названием "Пользователи". Она содержал имена детей, дни рождения, пол и удостоверение личности их родителей. Хакер понял, что, объединив две таблицы, он может точно определить фамилию ребенка и место его проживания. Эта таблица содержала информацию о 200 000 детей. Судя по датам рождения, средний возраст ребенка составлял пять лет.

Хакер понял, что должен заставить VTech признать, что у них есть проблема с безопасностью, и исправить ее. Такая слабая защита личных данных детей была неприемлема. Хакер начал думать о способах решения проблемы. Он мог бы починить сайт сам, но это не научило бы VTech тому, как обеспечить его безопасность в будущем. Он думал о том, чтобы обратиться в VTech, но понимал, что они никогда его не послушают или попытаются все исправить и отрицать, что это когда-либо было проблемой. Хакеру потребовалось несколько дней на обдумывание.

Он решил рассказать СМИ. Таким образом, история разлетится по всему миру, и VTech придется быстро решить проблему. Он решил обратиться к Лоренцо Франчески-Биккьераи, репортеру Vice’s Motherboard. Motherboard — это новостное издание, специально освещающее истории, связанные с компьютерами. Многие репортеры по вопросам безопасности предоставляют людям множество способов связаться с ними анонимно. Хакер безопасно вышел на контакт с Лоренцо и передал ему записи о 4,8 миллионах пользователей и о 200 000 детей и попросил его раскрыть эту историю. Он ясно сказал Лоренцо, что является этичным хакером и не собирается использовать эти данные для чего-либо злонамеренного.

Теперь перед Лоренцо стояла задача придумать, что делать. Первое, что он попытался сделать, это определить, говорит ли хакер правду и являются ли эти данные настоящими. Худшее, что может сделать репортер, — это ложно обвинить кого-то в правонарушении. Это было бы клеветой. Это подорвало бы репутацию репортера, поэтому Лоренцо отправил базу данных Трою Ханту. Трой — исследователь безопасности, наиболее известный тем, что запустил веб-сайт haveibeenpwned.com. Трой ради интереса решил проверить базу данных на своих подписчиках, их у него было почти 300 000. Трой попытался среди них найти тех, кто также появился в пользовательском сливе VTech. Он нашел много совпадающих адресов электронной почты, поэтому связался с этими людьми. Он спросил, есть ли у них учетная запись VTech, и спросил, верны ли домашний адрес и интернет-провайдер.

Вот каковы были их ответы: «Да, это точно. Я зарегистрировался в VTech, чтобы загружать приложения для игрушечного ноутбука».

«Да, это мой старый адрес. Примерно в то же время я использовал веб-сайт VTech для своей дочери».

«Да, я получил доступ к VTech Learning Lodge в 2014 году после покупки Cora Cub для своего ребенка».

В этот момент Трой убедился, что найденные хакером таблицы, были настоящими, и рассказал об этом Лоренцо.

К тому времени Лоренцо уже несколько раз обращался в VTech. Несколько дней спустя, Лоренцо получил следующий ответ от представителя VTech по имени Грейс Пинг: «14 ноября неавторизованная сторона получила доступ к данным клиентов VTech в нашей базе данных клиентов магазина приложений Learning Lodge. Мы не знали об этом несанкционированном доступе, пока вы не предупредили нас». VTech утверждает, что они получили электронное письмо от Лоренцо, нашли доказательства взлома на следующий день, а затем через три дня выпустили пресс-релиз и уведомили своих клиентов по электронной почте. Их первоначальное заявление для прессы было расплывчатым и неясным относительно того, что было взято и на кого это повлияло. Также говорится, что пароли были зашифрованы, но технически хеширование MD5 не является методом шифрования.

Однако они заблокировали следующие сайты: planetvtech.com, vsmilelink.com и sleepybearlullabytime.com. Закрытие этих веб-сайтов было сложным решением для VTech. Представьте, что магазин приложений не работает на вашем телефоне больше месяца. Никаких обновлений, никаких загрузок, никакой отправки сообщений между устройствами. За это время их игрушки потеряли большую часть функциональности, но компания поступила правильно, отключив серверы. В противном случае они привлекли бы многих других хакеров и столкнулись бы с гораздо большей катастрофой.

Новости о слабой безопасности VTech быстро распространились. Родители всего мира были возмущены утечкой информации об их детях. VTech — компания, базирующаяся в Гонконге, но у них есть большой рынок в США, Испании, Великобритании, Германии и Франции. Акции VTech начали стремительно падать.

Хакер, взломавший VTech, еще раз взглянул на полученные данные. К своему удивлению, он обнаружил даже больше данных, чем предполагал изначально. Был некий каталог, в котором было 190 гигабайт данных. В нем содержится более 100 000 фотографий, сделанных детьми на планшетах, часах или ноутбуках. Он нашел все переписки. Все сообщения чата, которые были отправлены между планшетом ребенка и телефоном родителя. Изучив данные еще дальше, хакер обнаружил каталог, полный аудиофайлов. Он открыл одну и вот, что он услышал: "Я клянусь в верности флагу Соединенных Штатов Америки и Республике, за которую они стоят, одной нации под Богом и [неразборчиво]." Прослушать запись

Таких записей было тысячи. Хакер связался с Лоренцо и передал ему 190 гигабайт фотографий, многолетние журналы чатов и многочисленные голосовые записи. Несколько дней спустя Лоренцо опубликовал статью на Motherboard. Это добавило соль на раны VTech. Все больше родителей понимают, что личная информация их ребенка не была защищена.

1 декабря, через две недели после взлома, VTech опубликовал FAQ. В нем содержалась дополнительная информация о взломе. VTech утверждает, что было взято не просто 200 000 детских учетных записей, а 6,3 миллиона детских учетных записей. Но VTech не признала, что были сделаны какие-либо фотографии.

Затем сенаторы США Эдвард Марки и Джо Бартон отправили VTech письмо, в котором указывалось на Закон о защите конфиденциальности детей в Интернете, также известный как COPPA, закон, принятый в 1998 году для защиты детей в Интернете. Их письмо также состояло из девяти вопросов, на которые они хотели получить ответ от VTech, например, какую информацию вы собираете о детях младше двенадцати лет? Для чего вы используете эту информацию? Вы продаете что-нибудь из этого кому-нибудь? Какое шифрование используется для защиты данных? VTech не ответила сразу, но в конце концов они обновили свой FAQ, чтобы ответить на некоторые из этих вопросов.

Через месяц после взлома специализированный отдел по борьбе с преступностью в Англии поймал и арестовал 21-летнего мужчину в городке к западу от Лондона. Он был арестован по подозрению в несанкционированном использовании компьютера. Отдел по расследованию преступлений также изъял несколько найденных электронных устройств. Они также упомянули, что это может быть связано с VTech, но в пресс-релизе не было названо имя арестованного. Лоренцо попытался связаться с хакером, но так и не получил ответа. Через два месяца после взлома Лоренцо посетил выставку электроники и обнаружил, что один из стендов был VTech. Они запускали совершенно новую линейку продуктов. Однако они были не для детей. Они продавали умные лампочки, дверные датчики и камеры видеонаблюдения.

В следующем месяце VTech изменил условия обслуживания на своем сайте. Теперь заглавными буквами написано: ВЫ ПРИЗНАЕТЕ И СОГЛАШАЕТЕСЬ С ТЕМ, ЧТО ЛЮБАЯ ИНФОРМАЦИЯ, ОТПРАВЛЯЕМАЯ ИЛИ ПОЛУЧАЕМАЯ ВО ВРЕМЯ ИСПОЛЬЗОВАНИЯ ЭТОГО САЙТА, МОЖЕТ БЫТЬ ПЕРЕХВАЧЕНА НЕУПОЛНОМОЧЕННЫМИ СТОРОНАМИ. Похоже, что VTech думает, что они могут избавить себя от любых нарушений, просто сообщив своим клиентам, что их данные могут быть взломаны в любое время. Их игрушки продолжают продаваться в крупных магазинах игрушек по всему миру.

В последующие недели после взлома несколько расстроенных родителей подали в суд на VTech North America. Однако судья закрыл дело, потому что истцы не смогли показать, как именно они пострадали. Судья не смог найти никаких доказательств того, что истцам была нанесена кража личных данных или какой-либо ущерб. Судья процитировал статью Лоренцо, заявив, что нарушение было совершено кем-то, у кого не было никакого намерения использовать данные злонамеренным образом. В этой истории есть обновление. 8 января 2018 года FTC действительно обнаружила, что VTech нарушила законы COPPA. VTech согласилась выплатить штраф в размере 650 000 долларов США, наложенный FTC, но они также выпустили пресс-релиз, в котором говорится, что они не нарушили никаких законов.

Мы не видели, чтобы содержимое этого взлома отображалось ни на одном сайте даркнета. Это наводит на мысль, что хакер сдержал свое обещание и не пытался извлечь выгоду из украденных данных.

Даже сейчас, много лет спустя, до сих пор неясно, что именно случилось с хакером. Мы не знаем, арестован он или нет. Мы даже не знаем ни его имени, ни его статуса. Если бы он получил только полицейское предупреждение, то история была бы окончена. Но он все еще может сидеть где-нибудь в тюрьме. Хотя хакер действительно совершил преступление, его намерением было просто повысить безопасность данных детей.

https://telegra.ph/EHpizod-5-Pered-v...te-delat-03-01

Вступить в наш чат

Это история первого русского хакера, осужденного в США. В историю он вошёл как создатель взлома крупнейшего банка Америки.

ВЕДУЩИЙ: На протяжении более двухсот лет ограбления банков оставались примерно одинаковыми. Идёшь в банк с пистолетом, требуешь наличные, часто с применением насилия, берёшь все, что можно, и быстро удираешь. Но по мере того, как банки начали выходить в интернет, появился совершенно новый способ ограбления банка. Это история первого ограбления онлайн-банка.

С развитием хакерства, создавалось всё больше баз данных и мануалов. В марте 1993 года был выпущен 42-й выпуск Phrack (древнейший онлайн-журнал для хакеров), и в этом выпуске был огромный список всех банков, кто пользуется локальной сетью Sprintnet.

Были подробности о том, как подключиться ко всем из них и особенности каждой системы. В этом списке был и Ситибанк. Ситибанк — крупный банк в США, штаб-квартира которого находится в Нью-Йорке. В этом выпуске Phrack сообщалось о местонахождении 363 различных компьютеров Ситибанка в сети. Ситибанк использовал локальную сеть Sprintnet для связи между своими основными офисами и другими банками, которые были к нему подключены. Офисы Ситибанка находились в Сингапуре, Маниле, Токио, Нью-Йорке, Милане, Париже, и все они были связаны через Sprintnet. Этими системами были UNIX-системы, компьютеры VAX, почтовые серверы и многое другое. Журнал обнародовал адреса всех этих систем в Ситибанке.

Пара хакеров из Санкт-Петербурга нашла эти данные и начала подключаться к компьютерам Ситибанка. Они хотели выяснить, подключен ли какой-то из них к Интернету, чтобы через их компьютеры попасть туда. В те времена подключение к Интернету было платным, но подключение к Sprintnet было бесплатным, поэтому хакеры просто хотели найти бесплатный способ выйти в Интернет.

Они потратили на это около года, но ничего не получалось. Доступы были закрыты, нужен был пароль, который они никак не могли подобрать. Но вдруг подвернулась удача. Видимо, кто-то из сотрудников забыл выйти из системы и оставил доступ открытым. Так хакеры смогли узнать и логин, и пароль. Причем не один, а сразу всех аккаунтов. Тогда, в 1994 году не было серьёзного шифрования.

Далее они просто нашли компьютер, подключенный к Интернету, и постоянно пользовались им бесплатно. Но одному из хакеров этого было мало, и он решил копнуть глубже.

Владимиру Левину было тридцать лет, он жил в Санкт-Петербурге и очень увлекался компьютерами. В то время компьютеры только-только вошли в моду, и Владимир собирал компьютеры для друзей. У него также была дневная работа, где он работал в компании-разработчике программного обеспечения. Но у него была и темная сторона.

Владимир проверил, что схема работает. Он может войти в компьютер Ситибанка и оттуда отправить деньги куда угодно. Владимир прекрасно понимал насколько это опасно. Тогда он отправил своего друга в Финляндию, чтобы отправить деньги туда и не палиться. Владимир успешно перевёл другу 400 000 долларов. Этот успех вскружил ему голову.

ИТ-персонал Ситибанка заметил это, но не успел среагировать, чтобы остановить перевод. Компьютер VAX, на котором работала их система управления денежными средствами, регистрировал каждую транзакцию, и эта показалась странной. Это были большие деньги, поэтому Ситибанк быстро позвонил в ФБР. Я (ведущий) тоже позвонил в ФБР.

СТИВ: Алло, я Стив Гарфинкель. Я отставной агент ФБР. Я провел двадцать один год в ФБР и расследовал дело Владимира Левина.

ВЕДУЩИЙ: Тогда Владимир Левин рассказал ещё одному другу об успешном переводе. Тот друг знал плохих парней: тамбовскую банду. Это банда из бывших борцов, превратившихся в обычных уличных бандитов. Банда была жесткой. Представьте себе обычную мафиозную банду. Они лезли в бизнес и угрожали владельцу расправой, если им не платили. Взамен банда крышевала бизнес. Они делали себе имя, захватывая новые территории и оставляя кровавый след за собой. Владимир встретился с этой тамбовской бандой и попросил помощи в своей схеме. Тамбовская банда охотно согласилась на этот план.

Тамбовская банда отправила в Аргентину человека, который открыл там банковский счет и сообщил Владимиру номер счета. Владимир пошел на работу, включил свой компьютер, подключился к Sprintnet, зашел в компьютер Ситибанка и набрал команды для осуществления перевода. Деньги были переведены на банковский счет в Аргентине. Но Ситибанк сразу поймал эту транзакцию. Они позвонили в ФБР и заморозили её. Член банды не получил деньги и сразу же скрылся из банка. Аргентинская полиция не успела его поймать. Это неудача только сильнее раззадорила Левина. Он организовал ещё одну операцию, на этот раз в Израиле.

Ситибанк снова заморозили транзакцию, а израильские копы поймали парня по имени Алексей Лошманов.

Ещё одна попытка. На этот раз Катерина в Сан-Франциско. Когда она пришла забрать деньги в один из банков, её арестовали. Вместо России поехала Катя в Нью-Йоркскую тюрьму. Там она согласилась выдать Левина. Для этого она при следователях позвонила Владимиру и фактически заставила признаться в схеме.

СТИВ: Мы получили ордер на арест Левина, но у нас не было соглашения об экстрадиции с русскими. Русские не собирались арестовывать Левина.

Пока Катерина сидела в тюрьме Владимир снова нанёс удар, на этот раз переводя 1,5 миллиона долларов в банк в Роттердам в Нидерландах. Ситибанк быстро позвонил в ФБР. Также они сразу вызвали там полицию. В банке арестовали Анатолия Лысенкова. Оказалось, он не знал, что это украденные деньги. Он был разводным дропом.

Владимир Левин продолжал попытки делать денежные переводы. В течение следующих шести месяцев он провел десятки попыток перевода на общую сумму более десяти миллионов долларов. Все попытки были сорваны Ситибанком и ФБР. ФБР сообщило российской полиции, что Левин в розыске, но Россия не собиралась его арестовывать.

Оказалось, что когда ФБР инициировали телефонный разговор Катерины и Левина, российская полиция их подслушивала.

ВЕДУЩИЙ: Российская полиция отслеживала тамбовскую банду, которая привела их к Владимиру, поэтому они прослушивали звонок в поисках информации о том, какое следующее преступление может быть совершено в России.

СТИВ: Нам сообщили, когда Владимир покинул Россию. Он летел в Голландию, но через Лондон.

ВЕДУЩИЙ: Британская полиция смогла быстро добраться до аэропорта, найти Владимира, ожидающего в зале ожидания, и арестовать его. Владимира задержали, но он отрицал свою причастность ко всему этому, говоря, что не имеет никакого отношения к взлому и заявляя о своей полной невиновности. Это заставило ФБР немного задуматься, а не ошиблись ли они. Единственным доказательством, которое у них было, был телефонный разговор между Катериной и Владимиром.

СТИВ: Российские полицейские арестовали часть тамбовской банды, и конфисковали у Левина кучу компьютеров, которые были из этого бизнеса. Я поехал в Россию посмотреть эти компьютеры. Мы нашли компьютер, который они использовали для взлома банка. Мы ужасно обрадовались. Пили водку вместе с российской полицией и ели солёные огурцы. Это, возможно, был лучший день в моей жизни.

ВЕДУЩИЙ: Теперь ФБР уверено, что они полностью разоблачили эту банду. Они арестовали главного причастного к этому хакера, изъяли компьютеры, которые использовались для этого, и арестовали четырех членов этой банды. Владимир Левин все еще находился в тюрьме в Великобритании.

После тридцатимесячного заключения в британских тюрьмах Владимир Левин был экстрадирован в США. Во время суда он признал себя виновным. Владимир Левин предпринял сорок попыток мошеннических денежных переводов на общую сумму десять миллионов долларов. Ему удалось успешно украсть 400 000 долларов, и это было до того, как в дело вмешалось ФБР. Ни Ситибанк, ни ФБР не смогли вернуть эти 400 000 долларов. Считается, что деньги использовались бандой для покупки оружия. Владимир был приговорен к трем годам лишения свободы, но тридцать месяцев, которые он провел в британских тюрьмах, засчитались, поэтому в американской тюрьме ему пришлось отсидеть меньше года. Он также был приговорен к возмещению ущерба в размере 240 000 долларов.

СТИВ: Я понятия не имею, что с ним случилось. Я даже слышал в какой-то момент, что он уехал в Восточную Европу. Он жил в Праге, и я слышал, что его убили. Я не знаю, правда ли это. Мне было бы любопытно узнать, что же на самом деле с ним произошло.

ВЕДУЩИЙ: Вероятно, после этого он сменил имя, потому что Владимир Левин вошел в учебники истории как один из самых известных хакеров всех времен. Это потому, что он был первым известным грабителем онлайн-банков. Владимир не использовал ни пистолет, ни маску, ни даже записку. В 1994 году это было действительно большое дело. После этого случая мир изменился. Больше преступлений стало совершаться онлайн.

Владимир Левин

СТИВ: Примерно год спустя ФБР сформировало свой первый отдел по расследованию компьютерных преступлений. Вот это действительно я считаю огромным изменением в правоохранительных органах.

ВЕДУЩИЙ: Удивительно воочию наблюдать цифровую трансформацию, через которую прошел наш мир за последние тридцать лет. Через несколько поколений мы будем оглядываться на 2020-е и думать, что это было так примитивно и глупо. Компьютеры и Интернет изменили жизнь каждого из нас почти во всех отношениях. Как мы встречаемся с друзьями, как заказываем еду и как ходим в школу. Как мы раскрываем преступления и даже как некоторые грабят банки.

https://telegra.ph/EHpizod-6-Russkij...ir-Levin-03-08

Исследователь безопасности Кайл Ловетт купил новый роутер Asus и нашёл в нём кучу уязвимостей. Он поставил перед собой задачу устранить их не только для своего маршрутизатора, но и для тысяч других, которые также были уязвимы. Узнай, справился ли он.


ВЕДУЩИЙ: Основная работа Кайла — тестирование на проникновение. Ему платят за проверку безопасности компании, чтобы увидеть, есть ли способ, которым хакер может проникнуть в сеть. Но не об этом эта история. Эта история о том, как в 2013 году Кайл купил себе домой новый роутер.

КАЙЛ: Да, это был новый маршрутизатор Asus N66. Совсем не дешевый роутер. Тогда это была одна из самых дорогих моделей стоимостью чуть более 300 долларов.

ВЕДУЩИЙ: Кайл купил роутер, принёс его домой и заметил кое-что странное. К роутеру было подключено слишком много функций по умолчанию.

КАЙЛ: На нем установлен VPN, на нем установлен FTP-сервер, Samba для обмена файлами внутри сети. На нем также работало несколько разных веб-серверов. Я подумал, что это не может быть безопасно. Имя пользователя по умолчанию было admin, а пароль по умолчанию был также admin. Многие владельцы этого устройства, скорее всего, не меняли на нем пароль и оставили admin/admin.

ВЕДУЩИЙ: Далее Кайл обнаружил, что не только может получить доступ к своим личным фотографиям из своего дома через роутер, но и делился всеми своими данными со всем миром, ведь маршрутизатор был в Интернете с общедоступным IP-адресом. Что еще хуже, для доступа к его файлам не требовался пароль. Если бы хакер знал, что у вас есть этот роутер и что вы подключили к нему жесткий диск, этот хакер мог бы увидеть все ваши файлы на жестком диске за тысячи километров.

КАЙЛ: Я буквально мог зайти в свой браузер и просмотреть в браузере IP-адрес HTTPS/smb/tmp/lightep, имя веб-сервера, который я использовал. Когда вы это сделаете, он сбрасывает для вас текстовый файл с именем admin, а затем каким бы ни был их пароль: admin/admin, если пользователь не изменил свой пароль по умолчанию. Это заняло у меня всего двадцать-двадцать пять минут.

Я также смог получить к нему доступ извне с помощью открытого текстового пароля. Потом я позвонил другому другу, который жил довольно далеко, и спросил его, могу ли я попробовать подключиться к его роутеру (у него тоже был Asus N66). И, конечно же, я сразу же смог получить его пароль открытым текстом. Это было немного страшно. И меня действительно беспокоила эта уязвимость.

Я знал, насколько популярен этот маршрутизатор. Я быстро посмотрел в Интернете, чтобы узнать, нашел ли эту уязвимость кто-нибудь еще, но ничего не нашёл.

ВЕДУЩИЙ: Кайлу стало очевидно, что любой, у кого есть этот маршрутизатор, подвергает опасности всю свою домашнюю сеть. Кайл использовал веб-сайт Shodan, чтобы попытаться понять масштаб этой проблемы. Shodan — это веб-сайт, который сканирует весь Интернет, чтобы увидеть, какие IP-адреса активны и какие порты открыты. Он также пытается получить тип системы, работающей на этих IP-адресах. Кайл обнаружил, что не менее 50 000 человек используют уязвимый FTP-сервер.

Когда в программном обеспечении есть ошибки безопасности, а поставщик не знает о проблеме, это называется уязвимостью нулевого дня. Это называется нулевым днем, потому что именно столько дней прошло с тех пор, как поставщик узнал о проблеме. Как только поставщик узнает о проблеме, это больше не нулевой день, и поставщик может работать над выпуском исправления. А теперь поставьте себя на место Кайла. Вы только что обнаружили множество неисправленных ошибок в очень популярном домашнем маршрутизаторе. Эта ошибка позволяет вам получить доступ к частным сетям более чем 100 000 домов по всему миру. Вы можете не только легко войти в домашнюю сеть, но также иметь возможность просматривать все их файлы и использовать их маршрутизатор в качестве прокси. Что бы вы сделали, если бы у вас были такие знания и способности? Вы бы просмотрели все файлы, чтобы увидеть, что у них есть? Вы бы попытались продать эти эксплойты на темном рынке за биткойны? Как бы вы себя чувствовали в такой ситуации?

Для Кайла выбор был легким. Он не попытался просмотреть чужие файлы или использовать эти знания для чего-то злонамеренного. Он просто хотел, чтобы эта ошибка была исправлена, чтобы повысить безопасность для тысяч людей. На самом деле, он тоже был клиентом и хотел, чтобы ошибка была исправлена для его собственного маршрутизатора. Он начал выяснять, как связаться с Asus, создателями этого роутера.

После двух месяцев и трёх писем в Asus, Кайлу наконец ответили. Очень коротко: "Хорошо, мы посмотрим".

Однако, это не удовлетворило Кайла.

КАЙЛ: Я подождал ещё месяц, но они не решили проблему и не признали свою ошибку официально. Тогда я отправил им ещё около 6 писем. В ответ игнор. Я решил рассказать об этом публично. Но тут на моё последнее письмо ответили.

ВЕДУЩИЙ: На этот раз Asus связала Кайла с кем-то из отдела по связям с общественностью, который также является связующим звеном с разработчиками.

КАЙЛ: Мне сказали: «Хорошо, мы посмотрим на это, но всё было так и задумано». Это якобы их фишка. Серьёзно? Я не шучу, они так и ответили. Я решил рассказать об этом всем.

ВЕДУЩИЙ: Прошло ещё 4 месяца. На данный момент все ошибки, обнаруженные Кайлом, были достоянием общественности. Информация об этой уязвимости продолжала распространяться по Интернету. Высока вероятность того, что в это время к каждому FTP-серверу Asus обращались несколько незнакомцев. Вероятно, они просматривали файлы и брали все, что казалось интересным, и даже загружали файлы в качестве заначки. Неизвестная группа людей попыталась взять дело в свои руки. Они искали все уязвимые маршрутизаторы Asus и нашли чуть более десяти тысяч IP-адресов, на которых работал анонимный FTP-сервер. Они получили доступ к каждому из этих маршрутизаторов и оставили записку: «Внимание. Вы уязвимы. Это автоматическое сообщение, отправленное всем, кого это затронуло. Ваш маршрутизатор Asus и ваши файлы могут быть доступны любому человеку в мире, имеющему подключение к Интернету. Решение: немедленно полностью отключите FTP и AI Cloud». Записка была подписана /G. Это может означать, что хакеры пришли из 4Chan, которая использует /G в качестве своего имени. В заметке этот инцидент также называется ASUSGATE.

Давайте попробуем понять, что значит быть жертвой этого. Представьте, что вы засыпаете ночью в своей красивой, уютной, безопасной, теплой постели и спокойно спите всю ночь. Вы просыпаетесь, идете в ванную, и когда вы смотрите в зеркало, на нем приклеена записка, в которой говорится, что дверь в вашем доме была открыта в течение восьми месяцев, и любой мог войти. Хакеры не использовали никаких специальных инструментов, ни обходных путей, ни взломов, ни уловок для доступа к файлам. Они использовали стандартный FTP-клиент, и для того, что они делали, не требовался пароль. Поскольку Asus сказал, что это функция, а не ошибка безопасности, то еще более вероятно, что это действие не было преступным.

КАЙЛ: Это вернуло Asus в нужное русло, но Asus связались со мной, как будто это сделал я. Но я этого не делал. Это сделала какая-то другая группа хакеров. У них были благие намерения. Они просто сбрасывали текстовый файл на FTP.

ВЕДУЩИЙ: Новости о хакерах, загружающих заметки на маршрутизаторы людей, попали в крупные новостные сети. На самом деле Кайл даже дал интервью CNN, чтобы объяснить ситуацию. Он нервничал из-за интервью и был впечатлен тем, насколько известной стала новость.

В конце концов Asus исправили все ошибки, о которых сообщил Кайл, но после этого Кайл нашел еще больше ошибок в их исправленных версиях и тоже сообщил о них. В конце концов Asus решили и эти проблемы. Несколько лет спустя, Федеральная торговая комиссия США возбудила дело против Asus. Они утвердили следующие приказы, которым Asus должны подчиняться:

Если Asus не выполнит какое-либо из этих распоряжений, они будут оштрафованы на 16 000 долларов за каждое нарушение. Самая суровая часть распоряжений ФТК заключается в том, что Asus должны выполнять эти приказы регулярно вплоть до 2036 года.

Тысячи людей все еще остаются уязвимыми, потому что они просто не исправили свой маршрутизатор. Доступно исправление, но они либо не знают об этом, либо не хотят его исправлять. Если у вас есть маршрутизатор Asus, рекомендуется поддерживать его в актуальном состоянии и исправлять. Теперь у исследователей безопасности есть новые методы работы с поставщиками для решения этих проблем. Некоторые компании предлагают вознаграждение за обнаруженные ошибки безопасности. Эти награды обещают, что исследователи заработают тысячи долларов, обнаружив одну уязвимость. Для справки, Кайл никогда не просил награды за вознаграждение и не предлагал никакой награды за свои открытия в маршрутизаторах Asus. В Министерстве внутренней безопасности есть филиал под названием Группа готовности к компьютерным чрезвычайным ситуациям США, или US-Cert.

ВЕДУЩИЙ: Мне любопытно, Кайл, какой домашний маршрутизатор ты используешь сегодня?

КАЙЛ: О, прямо сейчас у меня есть Xfinity — на самом деле у них две модели. Один для потоковой передачи 100 МБ, а другой для потоковой передачи обычного размера, в котором я действительно обнаружил уязвимость, потому что реальная прошивка этого и само оборудование маршрутизатора на самом деле сделаны Cisco, о которой я сообщил три нулевых дня.

ВЕДУЩИЙ: Похоже, куда бы Кайл ни посмотрел, он находит ошибки в этих домашних маршрутизаторах и даже в маршрутизаторах бизнес-класса.

КАЙЛ: Я думаю, что им еще предстоит пройти долгий путь, и я все еще думаю, что большинство поставщиков думают о безопасности задним числом. Пока этот менталитет не изменится и пока они действительно не задумаются о том, чтобы найти хорошего пен-тестера для тестирования своего продукта, мы все равно будем сталкиваться с нарушениями безопасности.

https://telegra.ph/EHpizod-7-Vnimanie--vy-uyazvimy-03-15

Вступить в наш чат


https://i.gyazo.com/9148605184687738...3f03d7e93b.png



https://i.gyazo.com/5194d4c7fd66ad40...26575beee2.png

Эпизод 9: Политика и взлом почты иранцев

Вступить в наш чат

ВЕДУЩИЙ: Парень из Ирана проверяет свою электронную почту. Он вводит gmail.com в свой браузер и нажимает Enter. Выскакивает странное предупреждение. Он не может получить доступ к Gmail. Он подключается к VPN и пытается снова. Через впн коннектится нормально. Он публикует вопрос на форумах Google, спрашивая, не происходит ли возможная атака. Он также говорит, что подозревает, что его интернет-провайдер или иранское правительство делают что-то подозрительное. Google не только отреагировал на сообщение на форуме, но и опубликовал предупреждение о безопасности для всего мира и выпустил экстренный патч для своего браузера Chrome. Mozilla, Microsoft и Apple быстро выпустили аналогичные обновления безопасности. Произошла атака на пользователей Gmail; атака, подорвавшая безопасность во всех браузерах, атака, имевшая разрушительные последствия.

https://i.gyazo.com/c15dc992844e52e1...9871fd2296.png

https://telegra.ph/file/6b16421fb28297b4bc672.png

Затем мы видим странный пост на Pastebin. Pastebin — это веб-сайт, на котором любой желающий может опубликовать сообщение анонимно. Это сообщение было написано человеком по имени Comodo Hacker и гласит: «Здравствуйте. Я пишу это всему миру, чтобы вы узнали об этом больше, но сначала я хочу дать вам несколько советов, чтобы вы были уверены, что я хакер. Я взломал Comodo (Comodo Internet Security — программный комплекс, состоящий из антивируса и персонального файрвола, а также песочницы, системы предотвращения вторжений HIPS и виртуальной среды «Virtual Kiosk» для Microsoft Windows XP, Vista, Windows 7 и Windows 8.) с помощью мгновенного SSL. Их логин/пароль был GT admin и global trust. Я хакер-одиночка с опытом как у 1000 хакеров». Далее в сообщении объясняется, как он попал внутрь и что он сделал. В самом конце он пишет на персидском: «Я пожертвую своей душой за моего лидера». Пять дней спустя Comodo объявляет о втором вторжении, но упоминает, что хакер ничего не смог сделать, и они устранили дыры в своей сети. В целом, Comodo довольно хорошо справился с этой проблемой. Они быстро обнаружили и устранили проблему и уведомили общественность.

Компания DigiNotar знала, что безопасность жизненно важна для репутации компании, и вложила значительные средства в собственную безопасность. Мне нравится иногда думать о защите сети, как о защите замка с десятью тысячами дверей и окон. Даже если вы потратите время, чтобы проверить каждую дверь и окно, чтобы убедиться, что они заперты, вы можете пропустить одну из них или не знать о ней, и со временем вы обязательно совершите ошибку и оставите дверь незапертой. Потому что вы были ленивы или рассеяны, но люди ошибаются. Летом 2011 года DigiNotar совершил такую ошибку, и в их сеть проник хакер.

https://i.gyazo.com/92167f3d7df1a4d8...87c96cfcc4.png

ЖОЗЕФИНА: Атака начинается с того, что злоумышленник фактически подключается к общедоступным веб-серверам, которые есть у DigiNotar. Злоумышленник подключается к своим веб-серверам, использует некоторые из этих устаревших уязвимостей и использует эти уязвимости, чтобы пройти через этот невероятно обширный набор правил брандмауэра в то, что должно быть самым безопасным хранилищем их сети. Далее хакер получает сертификаты сети.

ВЕДУЩИЙ: С этими сертификатами хакер теперь может стать фактически Google. Он может заставить браузер поверить, что это google.com. Это потому, что DigiNotar был одним из доверенных центров сертификации в браузере. Это нарушение произошло 10 июля 2011 года, и в итоге он выдал 531 мошеннический сертификат. Девять дней спустя DigiNotar обнаружил нарушение, но не объявил об этом публично. Месяц спустя на форуме Google появилось сообщение о человеке в Иране, который не смог попасть на gmail.com.

ЖОЗЕФИНА: Людей в Иране, которые пытались подключиться к своим учетным записям Gmail, перенаправляют на неверный веб-сайт, который, вероятно, выглядит точно так же, как настоящий Gmail. Поскольку у них есть мошеннические сертификаты, выпущенные DigiNotar, люди, создавшие этот поддельный веб-сайт Gmail или Google, могут на самом деле подписать его и выглядеть так, как будто это действительно сайт Google. Люди заходят на сайты Google и вводят свои учетные данные. Мы подозреваем, что эти учетные данные затем используются для слежки за их учетными записями Google различными способами.

ВЕДУЩИЙ: Хакер обманул DNS-серверы в Иране, чтобы любой, кто ищет google.com, вместо этого перенаправлялся на его IP. Более 300 000 человек из Ирана посетили мошеннический сервер. Эта атака, похоже, была направлена против иранских мирных жителей. Эта атака могла остаться незамеченной какое-то время, но у Google был хитрый способ ее обнаружить.

ДЖЕРВЕЙС: В случае с DigiNotar их сеть была тщательно взломана в течение нескольких месяцев. В их журналах был беспорядок. Их инфраструктура была в беспорядке. Не было никакого способа указать масштаб взлома. Из-за катастрофических сбоев в системе безопасности было невозможно продолжать какое-либо доверие к системам и организациям DigiNotar.

ВЕДУЩИЙ: Когда Mozilla решила, что DigiNotar больше не заслуживает доверия, они удалили их из корневого хранилища, но пользователям нужно было обновить свой браузер, чтобы получить версию Firefox, которая не доверяла DigiNotar. Все остальные корневые хранилища также удалили DigiNotar из списка доверенных. Спустя почти два месяца после взлома и спустя много времени после того, как Иран стал целью массированной атаки, DigiNotar наконец публично признала, что была взломана.

ЖОЗЕФИНА: Как только это произошло, компания в значительной степени исчезла из поля зрения. Мы не знаем, кто это сделал. Никто не был пойман или привлечен к ответственности за это нарушение. Fox-IT также обнаружила, что хакер оставил сообщение на сервере, который был взломан. Частично он гласил: «В этом мире не существует никакого оборудования или программного обеспечения, которое могло бы остановить мои сильные атаки, мой мозг, мои навыки, мою волю или мой опыт». С сообщением в конце на персидском языке: «Я пожертвую своей душой ради своего лидера».

ВЕДУЩИЙ: Но кому захочется читать электронную почту иранских граждан? У США были конфликты с Ираном, поэтому это может вызывать подозрения. Эта теория не очень сильна и почти не имеет других доказательств, так кто же еще может нацеливаться на простых жителей Ирана? Само иранское правительство. Чтобы понять почему, нам нужно вернуться на два года назад до взлома. В 2009 году в Иране прошли президентские выборы. Мамуд Ахмадинежад победил на выборах, набрав 63 процента голосов, но против этого была сильная оппозиция. Многие иранцы считали, что голоса были подделаны, а выборы сфальсифицированы. Сразу же начались протесты. Это создало раскол среди народа Ирана. Некоторые люди стали крайне недоверчивыми к правительству, в то время как другие стали чрезвычайно лояльными. Полиция начала арестовывать протестующих, а когда протестующие не уходили, в них распыляли перцовый баллончик, били дубинками, а иногда и стреляли.

В течение трех месяцев после выборов погибли семьдесят два протестующих. Коррупция была настолько сильна, что полиция заставляла семьи подписывать бумаги, в которых говорилось, что их умершие родственники умерли от сердечного приступа, а не от жестокости полиции. Как вы можете себе представить, это только разожгло еще больше эмоций у жителей Ирана. В течение многих лет после этого иранское правительство усердно работало над устранением любой правительственной оппозиции. Это продолжалось до тех пор, пока не произошла атака DigiNotar. Есть сильная теория, что этот взлом был сделан самим иранским правительством или кем-то, кто пытался помочь иранскому правительству. Возможно, они просматривали электронные письма, пытаясь найти инакомыслящих и тех, кто недоволен иранским президентом. Если бы они были обнаружены, это могло привести к аресту, пыткам или убийству людей.

ВЕДУЩИЙ: Взлом происходит во всем мире. Это меняет наш подход к обеспечению безопасности. В некотором смысле хакеры подобны иммунной системе Интернета. Они заражают нас, мы болеем, выздоравливаем, а потом становимся еще сильнее. Даже сегодня, столько лет спустя, когда в компании случается крупная брешь, кто-то всегда напоминает нам о судьбе DigiNotar.

https://telegra.ph/EHpizod-9-Politika-i-vzlom-pochty-irancev-03-29

Вступить в наш чат

Ведущий: Многие хакеры действуют в одиночку и относятся к этому как к виду искусства. Они планируют свою атаку, полагаются на свою интуицию, чтобы провести взлом, но Айра делает это по-другому.

Айра: Я специализируюсь на том, чтобы собирать команды бывших офицеров спецназа и разведки для взлома организаций.

Ведущий: Её команда собирается приступить к выполнению миссии, в которой на карту поставлено более миллиарда долларов.

Айра: Когда вы крадете миллиард долларов в первый раз, это немного спешка. После того, как вы проделали это так много раз, это уже легко.

Ведущий: Восемь лет назад я услышал выступление Айры на конференции по безопасности, и она сразил меня наповал. Это одна из тех бесед, которые я никогда не забуду, и я очень рад возможности снова поговорить с ней.

Айра: В конце концов тогда я устроилась на работу аналитиком разведки в Национальный центр разведки сигналов, который был известен как NSTOC.

Ведущий: Айра скрывает то, что она делала там, потому что так и должно быть. Разведка сигнала собирает информацию от врага, а враги повсюду. Всегда есть угроза, вынашиваемая где-то, возможно, в других странах, планирующих нападение на нас, или террористические группы встречаются, чтобы обсудить свои следующие шаги. Разведка сигнала - это знание того, что замышляет враг. Вы делаете это, выясняя, где они находятся, а затем придумываете способ перехватить эти переговоры. Айра стала более опытной и начала изучать, как работают шпионы. Но в конце концов она ушла из NSTOC и присоединилась к частной компании. Они выполняли различные ИТ-задачи, но однажды им попалась новая работу по контракту.

Ведущий: Необходимо было проверить уязвимости крупного национального банка. Спустя пару недель, используя только телефон и свое остроумие, Айра в конце концов смогла получить доступ к банку. Она выступила с докладом на конференции по безопасности и написала статью о том, как она это сделал.

Айра: Потом, когда это получило действительно широкую огласку и люди начали приходить ко мне, чтобы делать все более и более странные вещи, многие предлагали: "Хорошо, мы хотим, чтобы ты пришла в нашу компанию в качестве временного сотрудника и ограбила нас вслепую". Так я и сделала.

Ведущий: Так началась карьера Айры в качестве социального инженера и тестировщика уязвимостей. Ей платили за то, чтобы она проверил, можно ли получить доступ к секретным местам. По мере того как задания становились все более и более странными, она все лучше и лучше получал несанкционированный доступ. В конце концов она основала собственную консалтинговую компанию по безопасности. Но вот тут-то все и становится совершенно безумным.

Айра: Я специализируюсь на том, чтобы собирать команды бывших офицеров спецназа и разведки, чтобы они пытались взломать системы, как это делали бы настоящие хакеры.

Ведущий: Например, есть Стью.

Айра: Стью - бывший морской котик.

Ведущий: Он чрезвычайно подтянут, ловок, тактичен и имеет многолетний опыт шпионажа и рейдерства. Да, рейдерство. Он знает, где искать слабые места в конструкции, и он хорош в том, чтобы оставаться незамеченным службой безопасности. Он помогает Айре всякий раз, когда возникает необходимость в физическом вторжении.

Ведущий: Потом есть Стэн. Стэн в некотором роде мой любимчик.

Айра: Стэн был полковником ГРУ до того, как перешел на другую сторону.

Ведущий: ГРУ - это российское агентство внешней разведки, аналогичное ЦРУ. Их часто обучают следить за шпионами или использовать в чужих странах для сбора информации. Стэн имеет обширную подготовку в области сбора разведданных. Помимо того, что он был русским оперативником, его главной целью, пока он служил в ГРУ, был Китай. Он свободно говорит по-китайски. Он также читает по-китайски. Стэн приехал в США, чтобы собрать данные о правительстве США и передать их обратно в Россию. Он искусный шпион. Он часто ездил в Колумбию, и тусовался в барах, где со временем устанавливал доверительные отношения с целью и заставлял его разглашать государственные секреты.

Ведущий : Поскольку репутация Айры как элитного тестировщика росла, она получил контракт от одной из крупнейших компаний в мире.

Айра: Компания Global 5.

Ведущий: Они хотели, чтобы Айра провела симуляцию шпионажа против них, чтобы увидеть, насколько они уязвимы. Сейчас компания Global 5 стоит сотни миллиардов долларов, а это значит, что компании есть что терять. Работа Айры заключалась в том, чтобы найти как можно больше слабых мест.

Айра начала планировать миссию. Сначала она выяснил местонахождение отдела RND, который оказался в маленьком городке у черта на куличках. Она использовала Google Maps и другие инструменты, чтобы узнать больше. Вся территория была обнесена забором, и там стояли охранники, чтобы люди не могли въезжать внутрь. Она знала, что ей понадобится некоторая помощь, поэтому назначила Стью, Тони и Стэна на миссию. Все четверо летят в маленький городок, где располагался офис исследований и разработок. Команда прибывает одна за другой: бывший агент АНБ, морской котик, офицер армейской контрразведки и русский шпион.

Ведущий: Отряд начинает миссию. Сначала они осматривают здание и смотрят, во что одеты люди, когда они приходят и уходят. Они замечают, какие есть точки въезда и как проходит трафик. Затем они перегруппировываются, чтобы надеть одежду, чтобы физически слиться с другими сотрудниками. Все четверо садятся в машину и едут к зданию.

Там были охраняемые ворота, чтобы попасть в кампус, с настоящими охранниками, проверяющими каждого проходящего. Но в то утро было много пробок.

Айра: Все просто выстроились в очередь, съезжая с главной дороги, и все такое. Ты показываешь что-то похожее на значок, а они не проверяют. Никто не хочет замедлять утренний час пик. Они просто махнули нам, чтобы мы проходили. Мы знали, где находится их компьютерный операционный центр и сразу направились туда. Затем мы узнаем, что все их критически важные серверы были оставлены включенными в систему как администраторы. Мы просто добавили новую запись .rhost и начали осматривать их сервера. На этом первый день закончился.

Ведущий: Оставалась еще пара задач, которые команда хотела выполнить. Тони сделал несколько телефонных звонков и пытался заставить людей сообщать ему имена пользователей и пароли по телефону.

Айра: Конечно, Тони умел разведывать информацию направо и налево.

У нас было свободное время. Мы проехали вокруг, заглянули в разные рестораны и так далее, пока Стэн проводил свою контрразведывательную оценку местности. Звонит мне через два дня, говорит: "Айра, в меню есть яйца из черной утки". Я такая: "Какого хрена? Это то, за что мы тебе платим?" Он ответил: "Мой наивный американский друг, разве ты не знаешь яйца черной утки - деликатесный фарфор?". Затем вы начинаете собирать все воедино.

https://i.imgur.com/syLI7b7.jpg

Стэн, находясь в офисе компании, видел американско-китайский словарь. Он начал проверять китайские рестораны в округе один за другим и наконец нашёл тот, где компания проводила переговоры. Наверняка там должны быть какие-то записи. Ресторан был очень странным, китайцы были удивлены его приходу. Ресторан выглядел так, будто занимается чем-то ещё помимо китайской кухни.

Айра: Стэн, по сути, обнаружил, что китайская разведывательная операция действует через дорогу.

Ведущий: Операция китайской разведки в центре этого маленького городка, прямо через дорогу от центра исследований и разработок компании Global 5, привела Айру и команду к одному выводу: высока вероятность того, что этот китайский ресторан был создан для того, чтобы украсть коммерческие секреты компании и отправить их обратно в Китайские правительственные учреждения. Этот ресторан, возможно, использовался для найма сотрудников компании и сбора информации. Часто временных сотрудников превращают в шпионов, и пребывание там всего лишь короткое время означает, что у вас меньше шансов быть пойманным. Или, возможно, они просто записали бы все разговоры, которые происходили в этом ресторане, надеясь уловить секреты или что-то более зловещее.

Айра: Мы сообщили компании об их китайских шпионах, они проинформировали ФБР. Я подготовила отчёт для гендиректора Global 5.

Ведущий: Это еще одна вещь, которая впечатляет меня в Айре, она не просто указывает в отчете, что уязвимо, но и дает четкую сумму в долларах генеральному директору о том, во сколько подобная кража может обойтись компании. Когда генеральный директор видит уязвимости с точки зрения сумм в долларах, действия происходят намного быстрее, потому что они говорят на одном языке.

Айра: В данном случае все исследования и разработки могли легко попасть в руки Китая, по моим самым печальным прогнозам, эти данные уже были у шпионов.

Ведущий: Годы спустя компания назначает нового генерального директора, и Айра спрашивает его об операции китайской разведки через дорогу. Ей сообщили, что там провели уже дюжину арестов.

Ведущий: ФБР смогло пресечь эту операцию китайской разведки. Это могло бы продолжаться годами, если бы не Айра и её команда. Команда настолько хорошая, что они могут сливаться с окружением в любой точке мира, растворяясь в толпе, собирая информацию. Не ведут себя как Джеймс Бонд, не устраивают стрельбу и не устраивают сцен, а вместо этого ведут себя более скрытно и могут быть теми, кто просит у вас невинно прикурить в баре. Возможно, в следующий раз, когда вы выйдете на улицу, вы сможете начать искать что-нибудь странное. Кто-то может вести себя слишком мило, но при этом задавать много вопросов, или вы можете заметить того парня в углу китайского ресторана, который ест в одиночестве с русским акцентом. Шпионы среди нас.

https://telegra.ph/EHpizod-10-vstret...j-shpion-04-06

Эпизод 11: История первых крипто-войн

Вступить в наш чат

В 1990-х Интернет начал формироваться. Но у правительства США были строгие законы, регулирующие, какой тип криптографии разрешено использовать в Интернете. Несколько смелых людей выступили против правительства во имя гражданских прав и добились права использовать надежное шифрование. Узнайте об их битве и том, через что им пришлось пройти, чтобы добиться безопасности для всех нас.

Синди: Меня зовут Синди Кон, и я исполнительный директор Electronic Frontier Foundation.

Ведущий: EFF - это некоммерческая группа по защите цифровых прав. Она помогает защитить ваши гражданские свободы в Интернете. Синди работает в EFF уже более двадцати лет, и, как мы скоро узнаем, она сыграла решающую роль в Крипто-войнах. Но прежде чем мы перейдем к ее роли в этом, нам нужно взглянуть на историю криптографии.

Синди: Криптография использовалась военными для защиты своих планов и обмена информацией, скажем, между генералами и линией фронта еще со времен Юлия Цезаря. У Цезаря был шифр, которым они пользовались. Во время Второй мировой войны было несколько замечательных историй о том, как возможность взломать немецкий код, машину enigma, которую они использовали для кодирования, оказала огромное влияние на способность союзников выиграть войну. Есть замечательные истории о том, как взломщики кодов в Блетчли-Парке взломали немецкий код, а также были действительно успешные попытки взломать японские коды. Я думаю, многие люди вполне достоверно скажут, что способность союзников взламывать шифровальные коды во многом способствовала тому, что мы действительно выиграли войну.

Ведущий: В эпоху холодной войны, где-то в 1970-х или 80-х годах, Госдепартамент США добавил криптографию в Список боеприпасов.

Синди: Шифрование выполняет две важных функции: оно одновременно сохраняет конфиденциальность и обеспечивает безопасность. Это стало одной из действительно полезных технологий, которые мы должны были иметь в наличии, если мы хотели иметь Интернет, который действительно работал бы для всех. Правительство создало стандарт шифрования, который позволяло людям использовать, чтобы могло быть хотя бы какое-то шифрование, но оно было очень, очень слабым.

Ведущий: Этот стандарт был известен как DES. С его помощью вы можете зашифровать свои данные или сообщение, и любой, кто прочитает зашифрованное сообщение, не сможет понять, что в нем написано. Понимал только тот, у кого был ключ. Однако этот стандарт со временем устарел.

Синди: К 90-м годам DES явно перестал быть хорошей системой безопасности. Правительство притворялось, что всё в порядке и надеялись, что никто не заметит лазеек. Но, конечно, люди это заметили.

Ведущий: Правительство знало, что 40-битное шифрование DES не очень надежное, но настаивало, чтобы мы все равно его использовали. Предприятия и банки оцифровывали свои данные, и необходимость в шифровании всех этих данных постепенно становилась все более и более важной.

Синди: Люди участвовали в протестах. Мы знаем, что правительство США традиционно шпионило за людьми, участвующими в политических протестах. Мы знаем, что они шпионили за Мартином Лютером Кингом, Джоном Ленноном, мы знаем, что они шпионили за всем движением за "гражданские права".

Ведущий: Вот почему был запущен PGP. Фил Циммерманн, инженер-программист, разработал гораздо более безопасный способ общения под названием PGP, который означал довольно хорошую конфиденциальность. Он помогал правозащитникам использовать его. Он разместил свой PGP-код на FTP-сервере, чтобы любой мог его скачать и использовать. Хотя Фил сказал, что он не распространял это за пределами США, в конце концов это нашло свой путь по другую сторону границ США. Поскольку криптография считалась оружием, Таможенная служба США расследовала дело Фила за нарушение Закона о контроле за экспортом оружия. Это было бы таким же нарушением, если бы кто-то экспортировал ракеты Stinger за пределы США без разрешения на оружие.

Предприятия начали использовать PGP как форму передачи коммерческой тайны и конфиденциальных данных. Внутреннее использование PGP было законным до тех пор, пока шифрование не пересекало границу США.

В течение следующих нескольких лет Фила будут постоянно допрашивать за распространение его метода шифрования по всему миру. Правительство возбудило против него дело за нарушение "Закона о контроле за экспортом оружия". Битва между Филом Циммерманом и правительством США была первой битвой Крипто-войн. Пользователи Интернета, охранные компании и банки - все они начали запрашивать все более и более высокие уровни шифрования для использования людьми.

Ведущий: В 1993 году Брюс Шнайер опубликовал книгу под названием "Прикладная криптография". В этой книге описываются различные криптографические алгоритмы и способы их использования. Она даже содержит алгоритмы, которые не разрешалось использовать в Интернете. Инженер-электронщик по имени Фил Карн обратился в Госдепартамент США с просьбой предоставить для книги лицензию на производство товаров. Он хотел знать, может ли он легально переправить книгу через границу США. Поскольку нет никаких правил экспорта книг, ему было дано разрешение на вывоз книги. Затем Фил Карн взял несколько страниц из книги, в которой содержались некоторые криптографические алгоритмы, и поместил их на дискету. Затем он запросил товарную юрисдикцию для дискеты. Госдепартамент провел дискуссию с АНБ и отклонил запрос. Мы знаем, что у них была дискуссия с АНБ из-за записей, запрошенных в соответствии с "Законом о свободе информации" много лет спустя.

Поскольку шифрование было в электронной форме, теперь оно считалось регулируемым боеприпасом, и ему не разрешалось пересекать границы США в таком виде. Это вызвало довольно много споров. Книгу, содержащую математический алгоритм, можно отправить через границу, но дискету с тем же алгоритмом нельзя? Итак, Фил Карн подал в суд на Госдепартамент США. Он считал, что если данные, содержащиеся в книге, считаются защищенными в соответствии с Первой поправкой, то данные, содержащиеся на гибком диске, также должны быть защищены таким же образом. Как только Фил Циммерманн услышал об этом судебном процессе, он решил напечатать свой исходный код PGP в формате книги. Он даже позаботился о том, чтобы книгу было легко сканировать. Он тоже просил предоставить товарную юрисдикцию для его книги, но Госдепартамент теперь был более осведомлен о ситуации и не предоставил ему права экспортировать книгу, но на самом деле и не отказал ему. Госдепартамент просто некоторое время рассматривал этот запрос.

Издатель Фила Циммермана не стал дожидаться ответа: вместо этого они начали рассылать книгу, содержащую его PGP-код, по всему миру. Сообщество безопасности использовало это и в других направлениях, таких как алгоритмы печати на футболках, которые затем превратили бы футболку в регулируемый боеприпас, а когда что-то является таким регулируемым боеприпасом, вы даже не можете позволить иностранцам читать футболку. Простое ношение этой рубашки перед иностранцем нарушало "Закон о контроле за экспортом оружия".

Синди: Затем я создала команду с юристами EFF, подала иск против технологий шифрования. На самом деле было подано три судебных иска. Мы разобрались с одним делом под названием "Бернштейн против Министерство юстиции.

Ведущий: Другой криптограф по имени Дэн Бернштейн разрабатывал методы шифрования, которые превышали установленный предел. В 1995 году Бернштейн хотел написать о своем шифровании, выступить с докладами о нем и опубликовать исходный код в Интернете. Закон о контроле за экспортом оружия и Регулирование международной торговли и вооружений требовали, чтобы Бернштейн представил свои идеи о криптографии правительству для рассмотрения, что также требовало от него регистрации в качестве торговца оружием и подачи заявления на получение лицензии. Все это просто для того, чтобы опубликовать свои идеи о криптографии в Интернете. Бернштейн решил сразиться с Министерством юстиции США, и он получил помощь от EFF, в частности, от самой Синди Кон. EFF взяли своих лучших юристов, чтобы пойти и помочь Бернштейну.

Синди: Да, именно в этом и заключалась цель судебного процесса - убедиться, что люди могут публиковать информацию. Публикация в Интернете всегда является экспортом, потому что каждый в мире может видеть, что публикуется в Интернете. Мы хотели, чтобы люди могли публиковать и делиться надежным шифрованием в Интернете. Чтобы добиться этого, мы сделали следующее: мы утверждали, что компьютерные программы, компьютерный код являются защищенной речью в соответствии с Первой поправкой и что правительственные постановления об этой речи в форме Правил о перечне боеприпасов не соответствуют Первой поправке.

Ведущий: В течение следующего года Бернштейн, Синди и EFF боролись с Министерством юстиции США. В 1996 году профессор Кейс Вестерн Университета по имени Питер Юнгер также присоединился к битве. Он не только хотел опубликовать код в Интернете, но и хотел преподавать курс по криптографии. Но из-за того, что он включил криптографию в качестве темы своего урока, ему было запрещено принимать иностранных студентов в свой класс. Это привело к тому, что Юнгер также оспорил законы об экспорте.

Синди: Это дело происходило в Кливленде. Наше дело, дело EFF, рассматривалось в Калифорнии, а затем дело Фила Карна рассматривалось в Вашингтоне. Мы все трое работали вместе, чтобы попытаться убедиться, что мы оказываем как можно большее давление на правительство, насколько это возможно коллективно.

Ведущий: К этому моменту многие компании заявили о необходимости более надежного шифрования своих данных. Банки, в частности, просили правительство разрешить им использовать более надежный метод шифрования. Правительство США не разрешало использовать в Интернете шифрование длиной более 40 бит. Примерно в это же время AT & T создала телефон, который шифровал звонок. По сути, он создавал модемное соединение с одного конца на другой и оцифровывал голос, а затем выполнял шифрование данных DES. AT & T продала эти телефоны за 1400 долларов в середине 90-х годов. Правительство США взбесилось из-за этих телефонов. Они связались с AT & T и сказали, что у них есть лучшее решение. Правительство работало над новым способом электронного шифрования данных с использованием специализированного компьютерного микрочипа.

Шифрование было намного лучше обычного DES. Правительство назвало это чипом Clipper. Они разработали этот чип для всех, кто хотел использовать более надежное шифрование. Правительство настоятельно призвало AT & T использовать чип на своем телефоне. AT & T сначала колебалась, но правительство предложило купить кучу этих телефонов, если они добавят чип. AT & T добавила в телефон чип Clipper, и правительство США купило тонну этих телефонов, но в характеристиках чипа Clipper была одна довольно большая загвоздка. В чип Clipper был встроен запасной ключ, который позволял правительству расшифровывать любое сообщение, зашифрованное чипом. Правительство в основном позволяло людям использовать довольно надежный метод шифрования, но у них был ключ для взлома шифрования, если им это было нужно. Идея заключалась в том, что правительство будет единственным, у кого будет

https://i.gyazo.com/4c3eda1a5dfac54d...1c05985cd9.png

Синди: Парень по имени Мэтт Блейз, который сейчас является профессором компьютерных наук Пенсильванского университета, очень известный профессор компьютерных наук, продемонстрировал, что эти чипы Clipper действительно небезопасны.

Демонстрация недостатков чипа Clipper, которую сделал Мэтт Блейз, была действительно решающей в этом разговоре, потому что в конечном итоге это означало, что правительство отказалось от идеи чипа Clipper. Это был первый гвоздь в крышку гроба криптополитики правительства. Второе, что произошло, - это то, что мы начали выигрывать наш судебный процесс. Мы выиграли дело в Окружном суде, а затем также выиграли его в Апелляционном суде. В то же время в Конгрессе предпринимались усилия, которые продвигались немного медленнее. На администрацию также оказывалось прямое давление со стороны технологических компаний и Эла Гора, который хотел стать президентом после Клинтона и был довольно технически подкованным парнем. В конечном счете правительство решило, что они больше не собираются включать шифрование в Списке боеприпасов.

Ведущий: 15 ноября 1996 года Билл Клинтон подписал Исполнительный указ 13026, который исключил шифрование из Списка боеприпасов. Исполнительный указ также переместил тех, кто курирует шифрование, из Государственного департамента США в Министерство торговли США. Подписание Указа стало крупной победой активистов движения за гражданские права.

Синди: Правительство лицензировало только 40-битный DES. Они сказали, что у вас может быть любое шифрование, какое вы хотите, если оно 40-битное, что немного похоже на утверждение, что вы можете иметь всю необходимую безопасность, пока на вашей двери нет ничего, кроме действительно слабого замка. Становилось очевидным, что людям нужно более серьёзное шифрование, чем просто 40 бит.

Ведущий: Поскольку длина шифрования была ограничена всего 40 битами, это серьезно ограничивало степень безопасности наших компьютеров. Существовало множество доступных более сильных шифров, но в соответствии с правительственным постановлением их использование было запрещено. Компания под названием RSA Security спонсировала DES challenge. Они предложили награду любому, кто сможет взломать DES cypher. В 1997 году группа хакеров нашла способ взломать сообщение DES. Им потребовалось 39 дней, чтобы расшифровать сообщение. Криптографы думали, что этого будет достаточно, чтобы правительство разрешило людям использовать более надежное шифрование, но этого не произошло. NIST, Национальный институт стандартов и технологий, по-прежнему считал DES безопасным. Правительство преуменьшило значение проблемы, заявив, что 39 дней на взлом кода - это слишком большой срок, чтобы он представлял серьезную угрозу.

Синди: EFF создала инструмент под названием Deep Crack. Он мог взломать сообщение DES всего за 56 часов. Но, тем не менее, правительство не изменило своей позиции в отношении DES и по-прежнему продолжало поддерживать его. Через несколько месяцев после этого EFF и победители первого конкурса DES challenge объединились, чтобы разработать еще более быстрый способ взлома DES. Они смогли взломать сообщение всего за 22 часа.

Синди: Правительство продолжало притворяться, что на короле была одежда, когда мы указывали на то, что король голый. Мы только что продемонстрировали общественности то, что было давно известно частным лицам, а именно: любые плохие парни, имеющие доступ к действительно простым, готовым технологиям, могут создать что-то, что нарушит безопасность, на которую все эти финансовые учреждения полагались для защиты наших денег.

Ведущий: Это была последняя битва крипто-войны. Как только кто-то смог взломать сообщение DES менее чем за день, правительство США согласилось, что оно больше не является безопасным. Они выпустили новый шифр под названием Advanced Encryption Standard, или AES. AES использовал 120-битную мощность и намного превосходил 40-битный DES. Они также разрешили triple DES, который был более сильной версией DES. К 1999 году правительство США прекратило все судебные дела. Были разработаны новые, более надежные методы шифрования. К 2000 году правительство вообще перестало требовать лицензирования или ограничения длины ключей.

Теперь людям было разрешено шифровать свои сообщения с помощью такого надежного метода шифрования, какой они хотели. Предприятия смогли использовать самое современное шифрование для защиты своих транзакций и данных. Конечно, Фил Циммерманн мог бы опубликовать свой код в Интернете, а Питер Юнгер мог бы принять девять американских студентов в свой класс, который рассказывает о криптографии. К 2000 году первая серия Крипто-войн закончилась, что ознаменовало крупную победу наших гражданских прав. Теперь мы в большей безопасности, и благодаря этому наша конфиденциальность более защищена. Мы должны поблагодарить этих интернет-крипто-воинов за то, что они проложили путь к нашей конфиденциальности и безопасности.

Но эта история еще не закончена. Это всего лишь история первых Крипто-войн. Вскоре после этого правительство начало атаковать криптографию новыми способами, которые долгое время оставались совершенно незамеченными. Но это история для другого раза.

https://telegra.ph/EHpizod-11-Istoriya-pervyh-kripto-vojn-04-12

Эпизод 12: Почему нельзя хранить средства на биржах часть 1.

Репортер: Генеральный директор Mt. Gox опубликовал заявление впервые с тех пор, как была закрыта биткойн-биржа. Предполагается, что генеральный директор скрывался после сообщений о том, что, по оценкам, было украдено 744 000 биткоинов на сумму около 350 миллионов долларов. Говорят, что в настоящее время японские власти расследуют этот вопрос.

https://i.gyazo.com/82da83a10c903a91...925c4a8841.png

Ведущий: Что, если бы существовала денежная система, не привязанная к какой-либо конкретной стране? Что, если бы эта денежная система была одновременно анонимной, где вы не можете сказать, кому принадлежат деньги, и прозрачной, где любой может видеть каждую транзакцию? Что, если бы эта денежная система была полностью цифровой, где не было бы необходимости печатать банкноты или монеты? Есть такая денежная система, она называется Биткоин.

Впервые он появился в 2008 году, но в течение первых нескольких лет транзакций не было.

В 2010 году веб-программист по имени Джед Маккалеб заинтересовался Биткоином, и у него был старый домен под названием mtgox.com который изначально обозначал онлайн-биржу Magic the Gathering, но этот проект просуществовал всего несколько месяцев, прежде чем он отказался от него, поэтому он повторно использовал этот домен и использовал его для запуска первой биткойн-биржи под названием Mt. Gox в июле 2010 года. Быть первым на рынке новой технологии обычно означает, что вы собираетесь стать лидером рынка. Это, безусловно, имело место в случае с Mt. Gox. На протяжении всей жизни Mt. Gox это была доминирующая биткойн-биржа в мире. Даже когда существовало несколько других бирж, Mt. Gox по-прежнему обрабатывала 70 процентов всего биткоина. Они обрабатывали более 100 000 биткоинов в день, что значительно превысило бы 15 миллионов долларов США.

Mt. Gox был идеальным местом, если вы хотели купить или продать биткоин. Но все это резко прекратилось в 2014 году. Внезапно, без предупреждения, сайт Mt. Gox отключился. Mt. Gox содержал 750 000 биткоинов, когда они закрылись. Это семь процентов всех биткоинов в мире, которые стоили более 450 миллионов долларов США. В заявлении Mt. Gox изначально говорилось, что биткоины были украдены. Так что же произошло?

Ким: Меня зовут Ким Нильссон. На самом деле я всего лишь консультант по программному обеспечению. В основном я занимаюсь разработкой программного обеспечения, но я также занимаюсь анализом блокчейна или, как я иногда называю это, археологией блокчейна, поскольку в основном изучаю исторические материалы.

Ведущий: Блокчейн - это публичная запись, в которой хранятся все биткойн-транзакции. Существует более 300 000 транзакций в день, и каждая из них хранится таким образом, чтобы любой желающий мог просмотреть их все. Биткоины хранятся в виртуальных кошельках. Мы можем видеть, сколько биткойнов перемещается с одного кошелька на другой, но мы не можем определить, кому принадлежит этот кошелек. Эта часть анонимна.

Ким: Да, я был в значительной степени клиентом Mt. Gox. Я просто использовал их для торговли и еще много чего. Я на самом деле не наблюдал за ними активно, пока они были наверху или что-то в этом роде, так что я был немного застигнут врасплох, когда Mt. Gox просто рухнула. Я не потерял безумную сумму денег, но воспринял это не особенно хорошо. Я чувствовал, что кто-то должен расследовать это.

Я продолжал с большим интересом наблюдать за развитием ситуации. Начали происходить утечки некоторых внутренних данных Mt. Gox. Вроде как с этого все и началось. Я немного объединил усилия с некоторыми другими ребятами, и мы попытались собрать как можно больше данных, чтобы попытаться разобраться в этом.

Ведущий: В течение последних лет Ким изучал блокчейн и пытался лично собрать воедино то, что произошло с Mt. Gox. Он пытался подсчитать, сколько денег поступило, сколько денег ушло, и сопоставить эти цифры. Это непростая задача. Объем данных, содержащих все эти транзакции, составляет почти 40 гигабайт, и в них были сотни миллионов записей. Он пытался просмотреть их все, чтобы попытаться понять, что случилось с Mt. Gox. Он потратил много времени на анализ этих данных и нашел блестящие способы ускорить их поиск. Он также обращался непосредственно к генеральному директору Mt. Gox за дополнительной информацией. Помогло и то, что они оба жили в Японии.

Ким: Mt. Gox была основана как биткойн-биржа в 2010 году. Ей, вероятно, в то время управлял один человек, Джед Маккалеб. Он был веб-разработчиком и лично создал сайт с нуля. В январе 2011 года было совершено две транзакции, связанных с интеграцией Mt. Gox вывода средств Liberty Reserve.

Ведущий: Liberty Reserve была компанией, которую Mt. Gox использовала для перевода денег от одного человека к другому. Это был сервис, привязанный к их серверной части, который позволял перемещать деньги, но Джед допустил несколько ошибок при добавлении сервиса на свой сайт.

Ким: Пользователь просто сможет ввести XML для переопределения параметров в запросе API, отправленном в Liberty Reserve, чтобы получить больше денег, чем они фактически сняли с Mt. Gox.

Ведущий: Таким образом, хакеры выводили больше, чем им должно было быть разрешено выводить, используя этот плохо реализованный код. Но это была не единственная проблема Джеда с Liberty Reserve. Пользователи вводят, сколько денег они хотят вывести, но…

Ким: Код забыл проверить наличие отрицательных входных данных.

Ведущий: Это привело к странным результатам, позволив пользователям снимать деньги, которых у них не было. Джед обнаружил эти ошибки и исправил их, но это было только после того, как он уже потерял 50 000 долларов. Примерно в то же время Джед Маккалеб и Марк Карпелес начали общаться насчёт этого. Джед понимал, что сайт требует больше времени, чем он может вложить в него. Затем Марк проявил интерес к тому, чтобы забрать Mt. Gox у Джеда. Марк был веб-программистом из Франции, но недавно переехал в Токио, Япония, где находилась Mt. Gox.

https://telegra.ph/EHpizod-11-Istori...pto-vojn-04-12

Эпизод 12: Почему нельзя хранить средства на биржах часть 2.

Вступить в наш чат

Репортер: Генеральный директор Mt. Gox опубликовал заявление впервые с тех пор, как была закрыта биткойн-биржа. Предполагается, что генеральный директор скрывался после сообщений о том, что, по оценкам, было украдено 744 000 биткоинов на сумму около 350 миллионов долларов. Говорят, что в настоящее время японские власти расследуют этот вопрос.

https://i.gyazo.com/48e6f661ada32da2...db207ac285.png

Ким: Джед фактически почти отдал её Марку Карпелесу по очень выгодной цене и продал почти без предоплаты и, по-моему, просто получил долю дохода в течение следующих шести месяцев.

Ведущий: Но как раз перед передачей права собственности Марку с Mt. Gox случилось нечто ужасное. Кто-то взломал серверы Mt. Gox и украл файл hot wallet. Горячий кошелек - это биткоин-кошелек Mt. Gox, используемый для проведения ежедневных операционных сделок. Это отличается от холодного кошелька, который хранился не на серверах Mt. Gox, а в другом месте, в гораздо более безопасном месте. Вор украл горячий кошелек, а затем перевел все биткоины, которые были в нем, на свой собственный кошелек.

Ким: Это было около 80 000 биткоинов, которые исчезли и на самом деле все еще остаются нетронутыми в блокчейне по сей день. Вполне возможно, что они были случайно уничтожены или что-то в этом роде. Поскольку эти 80 000 биткоинов были украдены, на данный момент, конечно, уже существовала нехватка средств. Технически Mt. Gox уже была неплатежеспособна, как только Марк Карпелес взял ее в свои руки. Я не думаю, что Mt. Gox действительно когда-либо был платежеспособным ни на мгновение, пока он существовал при Марке Карпелесе.

Ведущий: То есть, если бы все пользователи Mt. Gox попытались вывести все свои биткоины с биржи, их не хватило бы на всех.

Ким: Уже к тому времени, когда Mt. Gox был продан несколько месяцев спустя, пропало много денег. Так что, можно сказать, начало под его руководством было немного неудачным.

Ведущий: Марк Карпелес управлял Mt. Gox из Токио, Япония. Теперь вся собственность переходит к нему и под его управлением проходит несколько месяцев. Марк был в процессе выяснения того, где следует хранить биткоины Mt. Gox. У него были некоторые на серверах Mt. Gox в виде горячего кошелька, и у него были некоторые в безопасном автономном месте, которое является холодным кошельком, но у него также были некоторые на его персональном компьютере.

Ким: За это время, похоже, кто-то смог проникнуть в собственный компьютер Марка, который в данный конкретный момент времени, по-видимому, был совершенно незащищен. В то время он, к сожалению, хранил 300 000 биткоинов с Mt. Gox на своей собственной незащищенной машине, и вор просто шарил нашел их и забрал. Очевидно, что это огромное количество потерянных биткоинов, но это никогда не привлекало внимания широкой общественности, потому что на самом деле вор, как оказалось, занервничал и предложил вернуть все биткоины в обмен на небольшую плату за хранение.

Ведущий: Вор сохранил 3000 биткоинов и отдал оставшиеся 297 000 обратно Марку.

Ким: Вероятно, если я рискну предположить, они предложили вернуть монеты, потому что не были особенно осторожны. Я не думаю, что это был какой-то мастер-хакер. Если бы я был на его месте, я, вероятно, был бы удивлен, что это вообще сработало. Предположительно, сделка в то время заключалась в том, что они вернули монеты в обмен на то, что его не будут привлекать к ответственности.

Ведущий: Проходит еще один месяц. Июнь 2011 года. Марк управлял Mt. Gox всего около трех месяцев.

Ким: В какой-то момент кто-то снова проник в систему Mt. Gox. Вероятно, они смогли получить небольшой дамп базы данных таблицы пользователя, который содержал учетные записи, хэши их паролей и все остальное. Тот, кто украл этот небольшой дамп базы данных, также смог взломать довольно много паролей, включая пароль к собственной учетной записи администратора Джеда. Отчасти наличие учетной записи администратора на Mt. Gox означало, что у вас был доступ к небольшой отдельной странице, где вы могли просматривать задачи администратора, такие как управление балансами счетов и тому подобное. Тот, кто ввязался в это, хорошо использовал эту маленькую функцию и начал добавлять сумасшедшие суммы биткоинов на новые учетные записи.

Ведущий: Хакер создавал биткойны из воздуха и продавал их так быстро, как только мог. В то время биткойн стоил около 17 долларов. Этот хакер продал так много биткоинов, что цена упала до одного цента за штуку. Некоторые люди покупали тысячи биткоинов по этой цене. Рынок сошел с ума и достиг самого дна. Затем вор выкупил дешевый биткоин и попытался переместить биткоин на другой адрес, но Марк Карпелес увидел, что происходит сбой, и отключил серверы. Он знал, что что-то было не так, и провел расследование. Он даже получил помощь от других, чтобы разобраться в ситуации. Mt. Gox оставался отключенным в течение нескольких дней. В конце концов они выяснили, как хакер проник внутрь и обрушил рынок, поэтому Марк откатил систему, чтобы отменить все сделки во время сбоя. Mt. Gox вернулся в сеть с восстановленной ценой до 17 долларов за биткоин, но хакер не остался совсем с пустыми руками.

Ким: Он также смог вывести несколько реальных биткоинов, увеличив балансы, обменяв их и просто попытавшись вывести. Таким образом, он получил около двух тысяч биткоинов.

Ведущий: Проходит еще пара месяцев, и Марк собирается расширить Mt. Gox, чтобы иметь возможность вести бизнес в Европе.

Ким: В конце лета 2011 года в Польше была другая биржа под названием Bitomat, которая случайно уничтожила их собственные биткойн-активы. Я думаю, что у них был свой кошелек на виртуальной машине, которая случайно стерла его или что-то в этом роде. Это уничтожило 17 000 биткоинов. На данный момент Mt. Gox вроде как хотела расшириться и получить местные лицензии и все такое, чтобы работать на местных рынках. Они пытались закрепиться в Европе. Марк рассматривал это как шанс попасть в Европу, приобретя Bitomat и любые другие регистрации компаний, которые у них были, в основном в обмен на покрытие этого долга. Mt. Gox забрала себе весь Bitomat, включая 17 000 биткоинов в клиентских активах.

Ведущий: На тот момент Марк управлял Mt. Gox всего около пяти месяцев, и ему уже не хватает 50 000 долларов наличными и 100 000 биткоинов. В то время как навыки Марка были в основном связаны с программированием, он верил, что Mt. Gox можно изменить и превратить в очень прибыльную компанию. У него были все намерения добиться успеха. Он просто был немного не в себе. Не проходит и месяца, как происходит еще одно нарушение.

Ким: Да, еще один инцидент, когда кто-то, похоже, проник в систему. Они получили доступ к базе данных. Напомним, что июньский взлом также был связан с получением информации из базы данных. Однако на этот раз похоже, что злоумышленник также имеет правильный доступ к базе данных, что он может вносить в нее изменения напрямую. Хакер изменял баланс счетов и мог удалять учетные записи. Таким образом он тоже пытался замести свои следы. Из-за этого этот инцидент немного сложнее отследить, потому что все улики, похоже, были стерты. Я восстановил некоторые из них, в основном набросав пробелы, где должны были быть журналы, но их нет, или в базе данных есть потерянные записи, которые предполагают, что что-то было удалено и еще много чего. Вероятно, по самым лучшим оценкам, с Mt. Gox было изъято что-то чуть меньше 80 000 биткоинов.

Ведущий: Марк обнаружил это нарушение только после того, как биткоины уже были переведены с Mt. Gox, поэтому он не смог предотвратить эту кражу. Теперь у Gox не хватало почти 200 000 биткоинов. Уже в следующем месяце происходит еще одно нарушение, и на этот раз самое крупное из всех.

Ким: Горячий кошелек wallet.dat был украден кем-то, у кого был доступ к системе.

Ведущий: В очередной раз хакер взломал сервер Mt. Gox и украл биткоин-кошелек. Вор быстро перевел биткоин в свой собственный кошелек, но поскольку он контролировали основной горячий кошелек от Mt. Gox, любые новые депозиты в этот кошелек вор также сможет забрать. Долгое время Mt. Gox не обнаруживал никакой подобной активности почти целых два года.

Ведущий: К тому времени, когда он был наконец обнаружен и остановлен, вор смог выкачать 650 000 биткоинов с Mt. Gox.

Возможно, вам интересно, почему Марк не зашифровал кошелек? По иронии судьбы, функция шифрования биткойн-кошельков была выпущена через несколько недель после того, как произошла кража. В то время просто не существовало технологии для шифрования биткойн-кошельков. Вы также можете задаться вопросом, почему Mt. Gox стал мишенью для стольких атак.

Ким: С помощью биткоина и других криптовалют вы действительно можете украсть реальные деньги из цифровых систем. Теперь хакерам гораздо выгоднее атаковать ваши системы.

Ведущий: Несмотря на то, что к этому времени Mt. Gox потерял более 800 000 биткоинов, проблемы на этом не закончились. Еще одна ошибка в кодовой базе Mt. Gox привела к проблеме с обработкой транзакций.

Ким: Mt. Gox ошибочно идентифицировала эти транзакции как ввод новых биткоинов в учетные записи пользователей. Это было чуть меньше пятидесяти аккаунтов; они получили бесплатные биткоины в общей сложности на сумму около 45 000 биткоинов.

Ведущий: Туда ушло еще 45 000 биткоинов. В октябре 2011 года Марк Карпелес внедрил в Mt. Gox новую систему кошельков, которую он сам запрограммировал в попытке обеспечить более безопасный сервис, но ближе к концу 2011 года в его новой системе кошельков произошла ошибка программирования.

Ким: Это тот случай, когда у него действительно была ошибка в коде. Это означало, что ряд операций по снятию средств фактически отправляли биткоины на неизрасходованные адреса, что равносильно уничтожению биткоинов. Было потеряно около 2500 биткоинов.

С момента добавления нового программного обеспечения кошелька на Mt. Gox больше не было краж или взломов. Похоже, его улучшенная система безопасности сработала. Но Марк знал, что ему не хватает так много биткоинов, а Mt. Gox неплатежеспособен. Он пытался сохранить все эти нарушения и кражи в тайне и скрыть от общественности. Он не хотел портить репутацию Mt. Gox как лидера биткойн-бирж, поэтому старался держать эти нарушения в секрете. В 2012 году у Марка и Mt. Gox все шло хорошо. Никаких существенных нарушений не произошло, никаких серьезных программных ошибок, которые привели бы к потере Биткоина, и Mt. Gox продолжала доминировать на рынке как крупнейшая биткоин-биржа. Казалось, что Марк, наконец, взял ситуацию под контроль и медленно возмещал свои потери.

К середине 2013 года Mt. Gox обрабатывала 70 процентов мировых биткойн-сделок, что составляло около 150 000 биткойнов в день. Несмотря на то, что это был лидер биткойн-бирж, на Mt. Gox работало не так уж много сотрудников. Марк много программировал сам, но ему помогали несколько других разработчиков. Неясно, думал ли Марк, что справится с этим сам, или ему было трудно доверять другим, или, может быть, у него не было денег, чтобы нанять персонал.

В 2013 году Mt. Gox захотела расширить свою деятельность в США, поэтому согласилась использовать компанию под названием CoinLab для обработки всех североамериканских транзакций. Mt. Gox дала им пять миллионов долларов для начала, но по какой-то причине эта сделка сорвалась, и CoinLab подала иск против Mt. Gox из-за нарушения контракта. CoinLab сохранили у себя пять миллионов долларов, которые им дала Mt. Gox. Я полагаю, что этот судебный процесс продолжается и сегодня. Позже, летом 2013 года, Министерство внутренней безопасности США выдало ордер на арест денег с Mt. Gox. Они нарушили закон о том, что действовали в качестве незарегистрированного отправителя денег в США. В общей сложности DHS изъяла у Mt. Gox пять миллионов долларов. Также было обнаружено, что Марк запускал торгового бота.

Ким: Я не знаю, у кого была первоначальная идея. Произошла утечка электронного письма, в котором Марк и Джед обсуждают это, и Джед, среди прочего, предполагает, что, возможно, вы можете совершать сделки на своей собственной бирже, чтобы перекладывать эту ответственность между биткоинами и фиатными деньгами как способ вернуть средства, если вы в принципе можете торговать убытками. Конечно, требуется, чтобы вы были трейдером, который может получать надежную прибыль, а Марк, похоже, не был трейдером, способным получать прибыль. Во всяком случае, он, похоже, купил дорого, а продал дешево.

Ведущий: Этот торговый бот, которым он управлял, назывался Willy Bot, и есть статья, в которой это подробно объясняется. Однако в то время, когда вышла статья, это были всего лишь предположения. Но предположение оказалось верным.

Ким: Марк внедрил этот внутренний торговый механизм, и можно было получить довольно точную информацию о том, какая работа была выполнена или нет. Похоже, он не стирал никаких журналов или что-то в этом роде.

Ведущий: Анализируя журналы и суммируя сделки, этот бот привел к тому, что Марк потерял дополнительно 50 миллионов долларов и 22 000 биткоинов. В феврале 2014 года Mt. Gox внезапно, без предупреждения, прекратила все выплаты со своего сайта. Марк заявил, что они решают некоторые проблемы безопасности, но несколько недель спустя Mt. Gox, крупнейшая биткойн-биржа на рынке, полностью закрылась. Веб-сайт отключился и просто показывал пустую страницу. Протесты начались у здания токийского офиса. Тысячи клиентов были в ярости. Mt. Gox закрыл свои двери, казалось бы, удерживая 850 000 биткоинов, но на самом деле казна Mt. Gox была совершенно пуста. В конце февраля Mt. Gox подала заявление о банкротстве в Токио, заявив, что они потеряли 850 000 биткоинов на сумму 470 миллионов долларов. Никто не верил, что Марк потерял так много Биткоинов. Это семь процентов всех биткоинов в мире.

Люди просто не могли понять, как такое большое количество биткоинов могло быть потеряно. Но, как вы слышали, они были потеряны, просто не сразу. В следующем месяце, просматривая некоторые старые системы Mt. Gox, которые использовались в 2011 году, Марк Карпелес обнаружил в системе кошелек, в котором все еще было 200 000 биткоинов. Это привело к тому, что общие потери снизились до 650 000 биткоинов. В августе 2013 года токийская полиция арестовала Марка Карпелеса. Не за потерю 650 000 биткоинов, а по обвинению в растрате и мошенничестве. Японские прокуроры обвинили его в том, что он ложно добавил биткоины на счета инвесторов, а затем перевел их на свой собственный кошелек. Он продолжал заявлять о своей невиновности по этим обвинениям.

Что касается воров, которые украли деньги с Mt. Gox, то только один человек был пойман и арестован. Его зовут Алекс Винник, он гражданин России и был арестован в Греции. Он был арестован за отмывание денег, но доказательства показывают, что у него было несколько биткоинов, которые были украдены с Mt. Gox. Однако только потому, что они у него были, это не значит, что он их украл. Его просто обвинили в отмывании денег, а не в краже биткоина. Через год после ареста Марк Карпелес был освобожден под залог и в настоящее время проживает в Токио. Он все еще проходит судебный процесс по своему аресту в связи с банкротством Mt. Gox.

Те 200 000 биткоинов, которые он нашел, остались нетронутыми с тех пор, как он их нашел. Дело о банкротстве запрещает ему прикасаться к ним, но с 2014 года, когда Mt. Gox подала заявление о банкротстве, цена биткоина взлетела до небес.Mt. Gox задолжал своим кредиторам 450 миллионов долларов на тот момент, сейчас на его кошельке с 200 000 биткоинов лежит космическая сумма.

Ким: Несомненно, индустрия и сообщество многому научились после Mt. Gox. Как я уже сказал, большая часть неудач, заключалась в том, что Mt. Gox была первой в своем роде. В 2011 году не было никаких реальных передовых практик или чего-то подобного, и, как может сказать вам любой, кто был в любом изначально успешном стартапе, может быть очень трудно идти в ногу с фактическим инвестированием времени, необходимого для поддержания вашей технологии в актуальном состоянии.

Ведущий: Одна важная вещь, которую мы узнали от Mt. Gox, заключается в том, что оставлять свой биткоин на бирже не очень хорошая идея, если вы на самом деле им не торгуете. Для долгосрочного хранения лучше всего хранить биткоин-кошелек на вашем собственном компьютере, который вы контролируете. Таким образом, он не может быть украден с биржи, но вам все равно нужно быть осторожным, защищая свой компьютер от воров. Также хорошо использовать биржу с хорошей репутацией, а не то, что появилось только вчера. Из Mt. Gox можно извлечь много уроков.

https://telegra.ph/EHpizod-11-Istori...pto-vojn-04-12

Эпизод 13: Великая перепись Интернета

Вступить в наш чат


В 2012 году был создан и запущен в мир ботнет Carna. Но у него не было никаких намерений делать что-то злонамеренное. Он был создан только для того, чтобы помочь всем нам лучше понять Интернет. Этот ботнет использовал самую старую уязвимость в системе безопасности.

Ботнет Carna использовался для сканирования Интернета с целью создания карты расположения всех общедоступных компьютеров в мире. Чем это всё обернулось, читайте дальше.

https://i.gyazo.com/c6ca271774d784e8...b9d2abcfa2.png

Ведущий: Существует большой список всех известных уязвимостей в системе безопасности компьютеров. Вы хотите знать, какая самая известная компьютерная уязвимость? Это слабые пароли по умолчанию. Эта уязвимость известна с 1969 года. В частности, компьютеры иногда имеют имя пользователя admin с паролем также admin. Тогда компьютер не попросит вас изменить его, когда вы его покупаете, так что он может оставаться таким в течение длительного времени, порой даже несколько десятков лет. На протяжении многих лет многие хакеры смогли проникнуть во многие системы, используя это базовое имя пользователя и пароль. Прошло уже пятьдесят лет с тех пор, как мы узнали об этой слабости системы безопасности. Наверняка к настоящему времени эта слабость уже устранена, верно? В мире больше нет компьютеров с таким именем пользователя и паролем, верно? Верно? Эх...

Джек: В 2012 году исследователи безопасности начали сканировать Интернет, чтобы узнать, на каких компьютерах все еще работает Telnet. Telnet - это способ удаленного входа в компьютер, но он не имеет шифрования, логин и пароль мог увидеть любой пользователь в Интернете.

В Интернете насчитывается почти четыре миллиарда IP-адресов, поэтому сканирование всего этого представляет большую проблему. Если бы они сканировали десять IP-адресов в секунду, им потребовалось бы десять лет, чтобы завершить сканирование. Исследователь подумал, что если бы у них было два сканера, это работало бы в два раза быстрее, а сто сканеров работали бы в сто раз быстрее. Поскольку исследователь находил все эти системы в Интернете, в которые он мог войти как администратор, то почему бы не запустить эти системы, чтобы помочь сканировать Интернет? Исследователь создал программу, которая сканировала и находила незащищенные системы, а затем загружала ту же самую программу в найденные системы, а затем запускала эту систему для сканирования других систем. Они создавали ботнет. Ботнет - это программа, запущенная на многих компьютерах, которые работают вместе для выполнения одной и той же задачи, но создатель ботнета не имеет разрешения на использование ни одного из этих компьютеров. На самом деле просто войти на один компьютер в качестве администратора, которым они не владели, было незаконно. Конечно, было очень незаконно делать это с тысячами компьютеров.

Исследователь знал, что это незаконно, и должен был оставаться анонимным, чтобы его не поймали. На следующий день ботнет распространился на 30 000 компьютеров и даже не приблизился к завершению полного сканирования. После некоторых настроек, дополнительных тестов и сканирований ботнет завершил сканирование Интернета в поисках всех устройств, работающих под управлением Telnet, у которых были эти пароли по умолчанию. Ботнет обнаружил 1,2 миллиона подобных устройств. Многие из этих уязвимых устройств даже не должны быть в Интернете. Это были телевизоры и промышленные системы управления, камеры, разбрызгиватели воды. Из этих 1,2 миллиона уязвимых устройств ботнет был установлен на 420 000 хостах.

Но это создает новую проблему: хранение такого количества результатов сканирования создает серьезную проблему с логистикой. Мы говорим о возможности получать более миллиона данных в секунду. Исследователь создал веб-приложение с использованием Python и PHP и использовал dupe в качестве базы данных. На данный момент ботнет был полностью собран и готов к проведению полного сканирования Интернета. Исследователь посмотрел на это творение и решил назвать его ботнетом Carna. Пока исследователи настраивали ботнет, они заметили нечто странное. Они обнаружили, что кто-то еще также создает ботнет и использует точно такие же уязвимости. Они обнаружили этот другой ботнет на тех же компьютерах, на которых был установлен ботнет Carna. Он был известен как ботнет Aidra. Но у ботнета Aidra был злой умысел.

Он использовался для уничтожения компьютеров и делал плохие вещи. Исследователю удалось обнаружить, что Aidra заразила более 30 000 тех же компьютеров, что и ботнет Carna. Находясь в этом уникальном положении, исследователь решил заблокировать ботнет Aidra от доступа к устройствам. Они смогли удалить Aidra из системы и заблокировать этот IP-адрес, чтобы Aidra не возвращалась. Так что из-за этого Aidra начала терять множество узлов. Меня завораживает мысль об этих двух ботнетах в мире, сражающихся друг с другом. После того, как ботнет Carna был создан и были проведены дополнительные тесты, пришло время провести полное сканирование. Исследователь дал команду всем 420 000 системам просканировать весь Интернет, и это сработало. Все общедоступные IP-адреса в мире были отсканированы, и по результатам были собраны данные, но исследователю этого было недостаточно. После создания этого огромного ботнета и невероятной инфраструктуры для его поддержки одного сканирования было недостаточно.

Они решили провести сканирование во второй раз, и в третий, и в четвертый. На самом деле они продолжали сканировать весь Интернет снова и снова, неделя за неделей, месяц за месяцем. Потому что час за часом и день за днем Интернет меняется. Таким образом, проведение многочисленных сканирований всего Интернета было бы единственным способом точно понять, что там есть. После шести недель непрерывного сканирования Интернета и сбора всех данных исследователь отключил ботнет. Все программы, которые были на зараженных хостах, незаметно удалились сами, и все системы были возвращены в то состояние, в котором они были до установки ботнета. Это конец истории для ботнета Carna.

Теперь начинается история интернет-переписи. Теперь пришло время исследователю просмотреть все эти данные и попытаться разобраться в них. Исследователь назвал этот проект Интернет-переписью 2012 года.

Что за жуткие подробности узнали хакеры, узнаем в следующей части.

Эпизод 14: Что скрывает Интернет

Вступить в наш чат

В 2012 году был создан и запущен в мир ботнет Carna. Но у него не было никаких намерений делать что-то злонамеренное. Он был создан только для того, чтобы помочь всем нам лучше понять Интернет. Этот ботнет использовал самую старую уязвимость в системе безопасности.

Ботнет Carna использовался для сканирования Интернета с целью создания карты расположения всех общедоступных компьютеров в мире. Чем это всё обернулось, читайте дальше.

https://i.gyazo.com/07e9ebf66fabafaf...c154211199.png

Все эти данные, которые есть в базе данных, интересны, но читать их скучно. Тогда разным регионам мира был присвоен диапазон IP-адресов. Африка получает один блок, США - другой, и так далее. Но еще более конкретным штатам и городам также присваиваются диапазоны IP-адресов. Исследователь начал добавлять географические местоположения ко всем собранным им данным. Поиск GeoIP был выполнен по каждому IP-адресу, чтобы определить, где находится этот компьютер в мире. В конце концов данные начали рассказывать историю. Данные показывали, какие IP-адреса были подключены к Сети и где они находились. Исследователь собрал все эти данные о местоположении и разместил их на карте мира. Это дало удивительные результаты.

Исследователь безопасности собрал все данные и анонимно опубликовал их на всеобщее обозрение. Это включало в себя множество подробностей о том, как был создан ботнет Carna, а также о том, как были собраны все данные, и, конечно же, карту всех компьютеров в мире. На карте вы увидите много точек. На карте есть точка для каждого компьютера в местоположении, которое было в базе данных. Там миллиарды точек.

Все, кому я показывал эту карту, восхищались великолепием данных, на которые они смотрели. Некоторые люди заметили, что Лос-Анджелес выходит в сеть примерно в то же время, что и Нью-Йорк. Некоторые люди замечают, что в Северной Корее совершенно темно, а другие люди видели, что Канада, Россия и северные районы были темными, за исключением Скандинавии. Поскольку исследователь безопасности создал такую красивую карту для отображения собранных данных, эта карта стала вирусной и распространилась по всему миру.

Все были удивлены, насколько велик Интернет. Это первая карта Интернета, и она поразила всех нас. Сейчас, спустя полтора десятилетия, я все еще вижу, как эта карта время от времени появляется в моих социальных сетях, когда кто-то новый открывает ее и падает в обморок от красоты. Большинство людей видят эту карту и понятия не имеют, что потребовалось для ее создания.

Создатель этого ботнета оставался анонимным. Это связано с тем, что, несмотря на то, что у ботнета Carna были благие намерения, он все равно был незаконным, поскольку загружал и запускал программы на машинах, которые не принадлежали исследователю. Создатель ботнета должен был оставаться скрытым и анонимным после публикации данных. Эта история, вероятно, закончилась бы прямо здесь, если бы не один человек.

ПАРТ: Меня зовут Парт Шукла. В настоящее время я работаю инженером по безопасности в Google здесь, в Швейцарии. Раньше, до Google, я работал в AusCERT, австралийской группе реагирования на компьютерные чрезвычайные ситуации, базирующейся в Брисбене, Австралия. Когда я впервые прочитал об этом, я только начал работать в AusCERT. Это был мой первый месяц. Это моя первая работа в области ИТ-безопасности. В то время я все еще учился. Но меня сразу заинтересовала карта Интернета.

Итак, я нашел электронное письмо, которое, по-моему, уже было на странице GitHub, и отправил возможному создателю карты зашифрованное электронное письмо со словами: "Можете ли вы предоставить нам скомпрометированные IP-адреса, которые вы использовали для сканирования ботнета только для Австралии?" Я получил ответ, в котором говорилось, что на самом деле я первый человек, который связался с ним. Так всё и началось.

Ведущий: Когда Парт прочитал о ботнете Carna, ему бросилась в глаза одна вещь. Те 1,2 миллиона систем, которые были в Интернете, запускали Telnet и использовали пароли по умолчанию. Он думал, что не должно быть никаких причин для появления такого количества незащищенных устройств. Он хотел глубже разобраться в этой проблеме. Когда он попросил создателя ботнета указать только уязвимые устройства в Австралии, исследователь дал Парту полный список всех 1,2 миллионов уязвимых устройств.

ПАРТ: Сами данные составляли около 882 МБ. Это был большой текстовый файл с вкладками, и в основном он содержал MAC-адреса, производителей, оперативную память, имя хоста, информацию о процессоре, IP-адреса, коды стран всех устройств. Примерно 1,2 - 1,3 миллиона.

Ведущий: Когда Парт начал понимать, насколько уязвим Интернет, он решил что-то с этим сделать.

ПАРТ: Я действительно связался с IEEE.

Ведущий: IEEE - это организация, которая создает стандарты для электронных компонентов. Они являются авторитетной фигурой, для которой производитель может использовать тот или иной MAC-адрес. MAC-адрес - это локальное обозначение, назначенное каждому сетевому интерфейсу на каждом устройстве в мире. У Парта был список из 1,2 миллиона MAC-адресов как часть данных, которые он получил от создателя ботнета.

ПАРТ: Я пошел в IEEE, но они не захотели сотрудничать.

Ведущий: С помощью данных, собранных Партом из ботнета Carna, он поставил перед собой задачу попытаться решить эту проблему уязвимости Интернета. Он думал, что, связавшись с сертификатами в других странах, он мог бы помочь очистить уязвимые устройства там. Связавшись с производителями устройств, он мог бы помешать им создавать уязвимые устройства, но, похоже, не очень много сертификатов или производителей были заинтересованы в том, чтобы помочь решить проблему. Парту было трудно заставить организации обратить внимание на эту проблему. Но были некоторые люди, которые обращали внимание на эти данные. Хакеры со злым умыслом увидели, как был создан ботнет Carna, и начали создавать свои собственные ботнеты, используя точно такие же методы.

ПАРТ: Их было несколько – и я уверен, что прямо сейчас их работают сотни. Инструмент под названием Lightaidra использовал точно такую же уязвимость. Я думаю, что он был выпущен параллельно, чуть раньше, до того, как были опубликованы данные ботнета Carna.

Ведущий: В сообществе безопасности

было несколько человек, которые осудили данные, поступившие из ботнета Carna, заявив, что, поскольку данные были получены незаконно, мы не должны использовать их для каких-либо законных исследований.

ПАРТ: Я согласен, что это незаконный ботнет. Я никак не могу не согласиться с этим утверждением. Что касается использования данных, я полагаю, очевидно, что моя позиция была ясна, поскольку вы можете видеть, как я их использовал. На самом деле у меня не было никаких серьезных этических сомнений по этому поводу, но, на мой взгляд, причина, по которой я думаю, что исследователь даже потрудился предоставить нам эти данные, заключается в том, что он также хотел устранить эту проблему. Это очень ясно видно по многочисленным электронным письмам. Я отправил ему довольно много вопросов, и он продолжал отвечать на них. Когда я делал свою первую презентацию на конференции AusCERT, я отправил ему слайды, и он ответил, что доволен таким результатом.

Ведущий: По сей день создатель остается анонимным, но есть ли у вас какие-нибудь мысли о том, кто бы это мог быть?

ПАРТ: В то время, в 2012 году, хранение девяти терабайт данных было недешевым. Он должен был сохранить его, и ему пришлось сжать его с помощью ZPAQ, что невероятно дорого для процессора.

Эта декомпрессия заняла у меня целый день на высокопроизводительном вычислительном кластере с тремя сотнями процессоров. По моему разумению, я просто подумал, что у кого бы это ни было, очевидно, много денег, потому что утверждалось, что он сделал это на кластере Amazon.

Ведущий: Почему вы перестали работать с этими данными?

ПАРТ: Это битва, в которой, казалось, мы должны были победить, но я не добился никакого прогресса. Теперь мое внимание лично сместилось в сторону сосредоточения на проблемах, которые я могу решить. Всякий раз, когда необходимы подобные воздействия в масштабах всей отрасли, вы действительно должны предложить решение на уровне спецификации. Например, MAC-адреса контролируются IEEE. Если бы IEEE дал какой-то мандат на что-то, то эти производители были бы вынуждены следовать ему. В настоящее время IEEE не занимается выдачей мандатов в области безопасности.

Одна из причин, по которой я перестал много работать над этим, я ушел из AusCERT, это, во-первых, но я также не потратил сколько-нибудь значительного времени на это, потому что я думаю, что это тупик. Попытка привлечь внимание производителя через публичное лицо - это кошмар, потому что для производителей больше всего важно поддерживать хорошую репутацию. Если вы так нападаете на них, то они будут защищаться.

Им пришлось оставить учетные записи по умолчанию открытыми на случай, если устройство было настроено неправильно, чтобы служба поддержки могла удаленно дозвониться и убедиться, что все работает правильно для непрофессионала. Есть все эти требования, которые предъявляются к этим инженерам. Они делают все возможное, чтобы донести их, и иногда у них нет опыта работы в сфере безопасности, и они не обучены тому, чтобы знать об этих проблемах безопасности.

Нужно думать о своей безопасности, а также о безопасности ваших близких. Это те уроки, которые я усвоил. Для меня это был жестокий вход в индустрию безопасности. Это первое, что я сделал на этой работе. Я старался изо всех сил, но пришло время перейти к чему-то не такому душераздирающему.

Ниже можно ознакомиться с исследованием Парта:

Скомпрометированные устройства ботнета Carna

Эпизод 15: Чем обернулся взлом игры

Вступить в наш чат

Ведущий: В 2002 году мне запретили играть в EverQuest. Это была массовая многопользовательская ролевая онлайн-игра, или MMORPG. Я провел годы, играя в игру. Это поглотило мою жизнь, но у меня были приключения, которые я никогда не забуду, например, когда я собрался с восемьюдесятью другими игроками и убивал драконов. Но после многих лет выполнения одних и тех же повторяющихся действий снова и снова мне стало скучно, и я перестал играть. Но это длилось недолго, потому что через несколько недель я снова начал играть. Я потратил годы, работая над своим персонажем, и было слишком трудно отпустить его. Я дошел до того, что просто не мог выйти из игры, поэтому единственным решением, которое я мог придумать, чтобы заставить меня выйти, было найти способ получить бан. Так я начал использовать бота.

https://i.gyazo.com/d3e7df44a600ec7e...acba37b4a2.png

Бот брал под контроль моего персонажа и автоматизировал его для меня. Это было строго против правил игры. Я оставлял бота работать всю ночь, сражаясь с монстрами и набираясь опыта, пока я спал. Когда я проснулся, я был удивлен, увидев, что я все еще сражаюсь с монстрами, все еще не забаненный. Я продолжал создавать ботов и запускал их ночь за ночью. В конце концов, игроки пожаловались Game Master, что-то вроде админа игры, и я получил именно то, что хотел — бан. Хотя эта история кажется мне эпичной в моих собственных воспоминаниях, она ничто по сравнению с историей, которую вы сейчас услышите. Сейчас вы услышите, пожалуй, самую эпическую историю онлайн-видеоигр всех времен. Эта история настолько безумна, что ее даже опубликовали в журнале Wired. Так что соберитесь и послушайте легенду невероятных масштабов.

Мне очень повезло, что я запечатлел эту историю. Это редкость, которую можно услышать. Это история от парня по имени Манфред.

МАНФРЕД: Привет. Эй, как дела?

Ведущий:Манфред скрывал свою историю двадцать лет. Он никогда публично не рассказывал эти истории до этого года. Впервые он рассказал об этом на Defcon, крупнейшей хакерской конференции в мире, но сказал не все, что хотел.

МАНФРЕД: Я собирался показать два эксплойта нулевого дня в паре игр. Я был в Зеленой комнате на Defcon примерно за пятнадцать минут до выступления. Один из членов команды Defcon, спросил меня, о чем мой рассказ, и начал тему демонстрации этого эксплойта.

Ведущий:Он рассказал о многочисленных играх, которые он взломал. Это выступление на Defcon было записано и размещено на YouTube.

МАНФРЕД: Мое выступление на Defcon было удалено из-за жалобы на нарушение авторских прав компанией ArenaNet, создателями Guild Wars 2.

Ведущий: Как видите, история не только редкая, но и в некотором роде запретная. Итак, начнем, ладно? Во-первых, что за имя Манфред?

МАНФРЕД:В ранние дни Ultima Online я много играл в ПК, гриферил и все такое прочее. Изначально меня звали не Манфред. Это был Факчоп. P-H-U-C-K-C-H-O-P. Я предполагаю, что это как бы добавляло оскорблений к травмам игроков, которых я убивал. Всем весело, знаете ли. Это не я в реальной жизни. Это была просто игра. Я все это делал в свое удовольствие. Под этим именем Phuckchop я убивал игроков, в течение недель, а может быть, и месяцев. Затем однажды я просто сидел AFK в городе под охраной рядом с внутриигровым банком. Потом я пошел за пончиками Krispy Kreme на обед. Это был мой обычный обед. Я получаю дюжину таких. Они очень классные. Я вернулся и посмотрел на своего персонажа, и меня звали Манфред. Я подумал, хм, это интересно. Я просмотрел журнал чата и увидел, что админ сказал мне, что он не может позволить мне убивать игроков, играя за Phuckchop. Он такой: "Вы можете убивать игроков или что-то в этом роде, это часть игры, но у нас не может быть такого имени", поэтому он просто изменил мое имя на случайное, и им оказался Манфред.

Ведущий: Эта история произошла двадцать лет назад. С тех пор Манфред играет в MMORPG. Все всегда начинается одинаково: он будет играть, развлекаться, изучать игру вдоль и поперек, а потом в конце концов надоест и начнет возиться с ней.

МАНФРЕД: Ради забавы я занимаюсь реинжинирингом игр и реинжинирингом того, как протокол общается с сервером и наоборот, как сервер общается с клиентом.

Ведущий:Он взламывает онлайн-видеоигры. Это то, в чем он хорош. После двадцати лет работы он стал экспертом по поиску ошибок в ММО. Он перехватывает пакеты и анализирует, что в них. Он вставит свои данные в пакеты и посмотрит, как на это отреагирует игра.

МАНФРЕД:Все игры можно взломать. Ultima Online, Dark Age of Camelot, Anarchy Online, Lineage II, Final Fantasy Online, первая, World of Warcraft, RIFT Online, Elder Scrolls Online, Lord of the Rings Online, RIFT Online II, Final Fantasy XIV, Гильдия Войны II и WildStar Online. Я уверен, что забыл еще пять или шесть.

Ведущий: Поскольку лично я много играл в World of Warcraft, давайте начнем с этого. World of Warcraft лидировала как самая популярная MMORPG в 2007 году.

МАНФРЕД: Когда я играл в нее, думаю, в ней было около десяти миллионов игроков.

Ведущий: Манфред играл некоторое время, и ему было весело повышать уровень своих персонажей, сражаться с существами и исследовать мир. В этой игре была такая вещь, как система талантов, и за каждый уровень, который вы повышаете, вы получаете одно очко таланта, которое можно вложить в улучшение своего персонажа. Манфреду стало любопытно, какие пакеты компьютер отправляет на сервер, когда он будет использовать очко талантов, но возникла проблема. Пакеты между его компьютером и сервером были зашифрованы, поэтому он не мог видеть, что внутри них, или вводить в них свои данные. Но он занимается реверс-инжинирингом, поэтому начинает возиться с…

МАНФРЕД: Немного модифицирую игровой клиент, чтобы я мог перехватить связь до того, как произойдет шифрование, когда пакеты отправляются.

Ведущий: Он потратил очко таланта, чтобы прокачать своего персонажа. Он видел, как выглядят данные, когда это происходит. Он попытался воспроизвести тот же пакет обратно в игровой клиент. Он ожидал увидеть, что он потратил одно очко таланта, и его талант вырастет на единицу.

МАНФРЕД: Я заметил, что мои навыки не совпадают с потраченными очками талантов. Произошло отключение. Предположим, у меня было, например, около пятнадцати очков навыков в одном дереве навыков, но я не использовал ни одного из своих очков талантов, что было странно. Почему-то, по крайней мере, сначала я думал, что это просто глюк на стороне клиента, когда я повышаю свои таланты, не используя очки навыков. Я вышел из игры, закрыл клиент и загрузил с сервера свежую копию своего персонажа, которая рассказала мне истинную историю происходящего. Я захожу в игру, и у меня все еще есть пятнадцать очков в моем дереве талантов, и у меня все еще есть мои пятнадцать очков умений. Я подумал, ладно, это интересно. Давайте посмотрим, что здесь происходит.

Ведущий: Очки талантов редки, и вы можете получить только определенное количество. Вы можете потратить максимум пять на определенный навык, но Манфред нашел способ тратить очки талантов, которых у него не было.

МАНФРЕД: Любые таланты, которые улучшали силу вашего персонажа, были довольно значительными, потому что вы получаете преимущество, несправедливое преимущество, по сути, над десятью миллионами игроков.

Ведущий: После того, как Манфред прокачал таланты взломом, он стал богоподобным в игре. Его силы были намного выше, чем у любого другого игрока.

МАНФРЕД: Потом я пошел посмотреть, смогу ли я пройти подземелье в одиночку.

Ведущий: Он мог легко зачищать подземелья, для прохождения которых обычно требуется пять человек, что позволило ему собрать лучшее снаряжение и улучшить персонажа ещё больше. Он продолжал использовать свои способности, чтобы увидеть, что можно сделать с этим супергероем. В какой-то момент его целью стал Molten Core. Это было подземелье рейдового уровня, для прохождения которого требовалось сорок человек. Он пытался соло.

МАНФРЕД: Мой персонаж не был достаточно силен, чтобы пройти Molten Core, поэтому мы начали собирать друзей. Я улучшал своих персонажей и персонажей моих друзей. Мы сделали это в 8 человек. Это было очень весело. Мы использовали этот эксплойт таланта, чтобы проходить подземелья с очень небольшим количеством людей, вероятно, от восьми до девяти месяцев.

Ведущий: Разработчики игры так и не обнаружили и не поймали Манфреда за этими взломами.

МАНФРЕД: У них есть метрики по всем этим подземельям, и они могли видеть, как быстро группа игроков может пройти подземелье или что-то еще, но они долгое время бездействовали. Я чувствовал себя подобным Богу.

Однако, взлома Манфреда не могли не иметь последствий. Насколько этот взлом безобидный? Как на это отреагировал закон? Продолжение в следующей части.

Эпизод 15: Чем обернулся взлом игры

Вступить в наш чат

Ведущий: В 2002 году мне запретили играть в EverQuest. Это была массовая многопользовательская ролевая онлайн-игра, или MMORPG. Я провел годы, играя в игру. Это поглотило мою жизнь, но у меня были приключения, которые я никогда не забуду, например, когда я собрался с восемьюдесятью другими игроками и убивал драконов. Но после многих лет выполнения одних и тех же повторяющихся действий снова и снова мне стало скучно, и я перестал играть. Но это длилось недолго, потому что через несколько недель я снова начал играть. Я потратил годы, работая над своим персонажем, и было слишком трудно отпустить его. Я дошел до того, что просто не мог выйти из игры, поэтому единственным решением, которое я мог придумать, чтобы заставить меня выйти, было найти способ получить бан. Так я начал использовать бота.

https://i.gyazo.com/d3e7df44a600ec7e...acba37b4a2.png

Бот брал под контроль моего персонажа и автоматизировал его для меня. Это было строго против правил игры. Я оставлял бота работать всю ночь, сражаясь с монстрами и набираясь опыта, пока я спал. Когда я проснулся, я был удивлен, увидев, что я все еще сражаюсь с монстрами, все еще не забаненный. Я продолжал создавать ботов и запускал их ночь за ночью. В конце концов, игроки пожаловались Game Master, что-то вроде админа игры, и я получил именно то, что хотел — бан. Хотя эта история кажется мне эпичной в моих собственных воспоминаниях, она ничто по сравнению с историей, которую вы сейчас услышите. Сейчас вы услышите, пожалуй, самую эпическую историю онлайн-видеоигр всех времен. Эта история настолько безумна, что ее даже опубликовали в журнале Wired. Так что соберитесь и послушайте легенду невероятных масштабов.

Мне очень повезло, что я запечатлел эту историю. Это редкость, которую можно услышать. Это история от парня по имени Манфред.

МАНФРЕД: Привет. Эй, как дела?

Ведущий:Манфред скрывал свою историю двадцать лет. Он никогда публично не рассказывал эти истории до этого года. Впервые он рассказал об этом на Defcon, крупнейшей хакерской конференции в мире, но сказал не все, что хотел.

МАНФРЕД: Я собирался показать два эксплойта нулевого дня в паре игр. Я был в Зеленой комнате на Defcon примерно за пятнадцать минут до выступления. Один из членов команды Defcon, спросил меня, о чем мой рассказ, и начал тему демонстрации этого эксплойта.

Ведущий:Он рассказал о многочисленных играх, которые он взломал. Это выступление на Defcon было записано и размещено на YouTube.

МАНФРЕД: Мое выступление на Defcon было удалено из-за жалобы на нарушение авторских прав компанией ArenaNet, создателями Guild Wars 2.

Ведущий: Как видите, история не только редкая, но и в некотором роде запретная. Итак, начнем, ладно? Во-первых, что за имя Манфред?

МАНФРЕД:В ранние дни Ultima Online я много играл в ПК, гриферил и все такое прочее. Изначально меня звали не Манфред. Это был Факчоп. P-H-U-C-K-C-H-O-P. Я предполагаю, что это как бы добавляло оскорблений к травмам игроков, которых я убивал. Всем весело, знаете ли. Это не я в реальной жизни. Это была просто игра. Я все это делал в свое удовольствие. Под этим именем Phuckchop я убивал игроков, в течение недель, а может быть, и месяцев. Затем однажды я просто сидел AFK в городе под охраной рядом с внутриигровым банком. Потом я пошел за пончиками Krispy Kreme на обед. Это был мой обычный обед. Я получаю дюжину таких. Они очень классные. Я вернулся и посмотрел на своего персонажа, и меня звали Манфред. Я подумал, хм, это интересно. Я просмотрел журнал чата и увидел, что админ сказал мне, что он не может позволить мне убивать игроков, играя за Phuckchop. Он такой: "Вы можете убивать игроков или что-то в этом роде, это часть игры, но у нас не может быть такого имени", поэтому он просто изменил мое имя на случайное, и им оказался Манфред.

Ведущий: Эта история произошла двадцать лет назад. С тех пор Манфред играет в MMORPG. Все всегда начинается одинаково: он будет играть, развлекаться, изучать игру вдоль и поперек, а потом в конце концов надоест и начнет возиться с ней.

МАНФРЕД: Ради забавы я занимаюсь реинжинирингом игр и реинжинирингом того, как протокол общается с сервером и наоборот, как сервер общается с клиентом.

Ведущий:Он взламывает онлайн-видеоигры. Это то, в чем он хорош. После двадцати лет работы он стал экспертом по поиску ошибок в ММО. Он перехватывает пакеты и анализирует, что в них. Он вставит свои данные в пакеты и посмотрит, как на это отреагирует игра.

МАНФРЕД:Все игры можно взломать. Ultima Online, Dark Age of Camelot, Anarchy Online, Lineage II, Final Fantasy Online, первая, World of Warcraft, RIFT Online, Elder Scrolls Online, Lord of the Rings Online, RIFT Online II, Final Fantasy XIV, Гильдия Войны II и WildStar Online. Я уверен, что забыл еще пять или шесть.

Ведущий: Поскольку лично я много играл в World of Warcraft, давайте начнем с этого. World of Warcraft лидировала как самая популярная MMORPG в 2007 году.

МАНФРЕД: Когда я играл в нее, думаю, в ней было около десяти миллионов игроков.

Ведущий: Манфред играл некоторое время, и ему было весело повышать уровень своих персонажей, сражаться с существами и исследовать мир. В этой игре была такая вещь, как система талантов, и за каждый уровень, который вы повышаете, вы получаете одно очко таланта, которое можно вложить в улучшение своего персонажа. Манфреду стало любопытно, какие пакеты компьютер отправляет на сервер, когда он будет использовать очко талантов, но возникла проблема. Пакеты между его компьютером и сервером были зашифрованы, поэтому он не мог видеть, что внутри них, или вводить в них свои данные. Но он занимается реверс-инжинирингом, поэтому начинает возиться с…

МАНФРЕД: Немного модифицирую игровой клиент, чтобы я мог перехватить связь до того, как произойдет шифрование, когда пакеты отправляются.

Ведущий: Он потратил очко таланта, чтобы прокачать своего персонажа. Он видел, как выглядят данные, когда это происходит. Он попытался воспроизвести тот же пакет обратно в игровой клиент. Он ожидал увидеть, что он потратил одно очко таланта, и его талант вырастет на единицу.

МАНФРЕД: Я заметил, что мои навыки не совпадают с потраченными очками талантов. Произошло отключение. Предположим, у меня было, например, около пятнадцати очков навыков в одном дереве навыков, но я не использовал ни одного из своих очков талантов, что было странно. Почему-то, по крайней мере, сначала я думал, что это просто глюк на стороне клиента, когда я повышаю свои таланты, не используя очки навыков. Я вышел из игры, закрыл клиент и загрузил с сервера свежую копию своего персонажа, которая рассказала мне истинную историю происходящего. Я захожу в игру, и у меня все еще есть пятнадцать очков в моем дереве талантов, и у меня все еще есть мои пятнадцать очков умений. Я подумал, ладно, это интересно. Давайте посмотрим, что здесь происходит.

Ведущий: Очки талантов редки, и вы можете получить только определенное количество. Вы можете потратить максимум пять на определенный навык, но Манфред нашел способ тратить очки талантов, которых у него не было.

МАНФРЕД: Любые таланты, которые улучшали силу вашего персонажа, были довольно значительными, потому что вы получаете преимущество, несправедливое преимущество, по сути, над десятью миллионами игроков.

Ведущий: После того, как Манфред прокачал таланты взломом, он стал богоподобным в игре. Его силы были намного выше, чем у любого другого игрока.

МАНФРЕД: Потом я пошел посмотреть, смогу ли я пройти подземелье в одиночку.

Ведущий: Он мог легко зачищать подземелья, для прохождения которых обычно требуется пять человек, что позволило ему собрать лучшее снаряжение и улучшить персонажа ещё больше. Он продолжал использовать свои способности, чтобы увидеть, что можно сделать с этим супергероем. В какой-то момент его целью стал Molten Core. Это было подземелье рейдового уровня, для прохождения которого требовалось сорок человек. Он пытался соло.

МАНФРЕД: Мой персонаж не был достаточно силен, чтобы пройти Molten Core, поэтому мы начали собирать друзей. Я улучшал своих персонажей и персонажей моих друзей. Мы сделали это в 8 человек. Это было очень весело. Мы использовали этот эксплойт таланта, чтобы проходить подземелья с очень небольшим количеством людей, вероятно, от восьми до девяти месяцев.

Ведущий: Разработчики игры так и не обнаружили и не поймали Манфреда за этими взломами.

МАНФРЕД: У них есть метрики по всем этим подземельям, и они могли видеть, как быстро группа игроков может пройти подземелье или что-то еще, но они долгое время бездействовали. Я чувствовал себя подобным Богу.

Однако, взлома Манфреда не могли не иметь последствий. Насколько этот взлом безобидный? Как на это отреагировал закон? Продолжение в следующей части.

Эпизод 16: Как стать непобедимым в игре

Вступить в наш чат

Ведущий: Оставшись безнаказанным, Манфред вернулся к реинжинирингу клиента. Он обнаружил, что на производственных серверах были включены отладочные пакеты. Потратив время на анализ пакетов отладки, он нашел способы делать удивительные вещи.

МАНФРЕД: Такие вещи, как трансляция сообщений на весь сервер или телепортация непосредственно к игроку.

Ведущий: Даже после использования этих эксплойтов в течение нескольких месяцев его все еще не поймали и не обнаружили, поэтому в конце концов ему наскучила игра, и он решил посмотреть, как далеко он сможет зайти, прежде чем его забанят.

МАНФРЕД: Обычно это заканчивается в PVP. Люди жалуются, когда их мгновенно убивают. Мы начали выходить в земли PVP и просто убивали людей одним выстрелом. Игроки начали жаловаться. Они делали снимки экрана, писали админам, и довольно быстро, может быть, через одну-две недели, а может быть, через три недели, нас всех забанили.

Ведущий: Что меня больше всего удивляет в этой истории, так это то, как в такой популярной игре World of Warcraft могут быть такие эксплойты. В игре участвовало десять миллионов игроков, и все они платили за игру по 15 долларов в месяц. Разработчики игры зарабатывали более 100 000 000 долларов в месяц или 3 000 000 долларов в день. С таким бюджетом хотелось бы, чтобы они раскрыли все эксплойты.

МАНФРЕД: Это было огромным упущением со стороны разработчика. Им не стоило включать пакеты разработки в свою производственную MMORPG масштаба World of Warcraft.

Ведущий: Хотя Манфреду запретили играть в World of Warcraft, для него это не было проблемой, потому что он мог просто перейти к другой игре. За несколько лет до этого он играл в игру Shadowbane. Это была ММОРПГ. Вы повышаете уровень своего персонажа, убивая монстров, улучшая предметы, а также сражаетесь с другими игроками, но только в определенных областях. Манфред был поражен тем, насколько глючной была эта игра. Он пришел к выводу, что игра, должно быть, пропустила альфа-тестирование и бета-тестирование и перешла непосредственно к финальному выпуску. За все двадцать лет взломов видеоигр ни одна из них не приблизилась к тому, насколько плох Shadowbane с точки зрения ошибок.

МАНФРЕД: Я думаю, что Shadowbane заслуживает отдельной категории и, возможно, фильма, снятого про его косяки. Shadowbane был безнадежно небезопасен.

Ведущий: История начинается так же, как и другие. Манфред играл в игру, хорошо разбирался в ней, а потом ему стало скучно, и он начал реинжиниринг клиента. Он увидел, что когда вы получаете очки опыта, в игру отправляется пакет с указанием того, сколько очков опыта вы только что заработали. Он захватил этот пакет, отправил его во второй раз и, конечно же, получил очки опыта в игре в два раза больше. Он мог продолжать получать неограниченное количество очков опыта, просто отправляя специально созданные пакеты на сервер. За несколько минут он набрал более 100 уровней. Он обнаружил, что не было проверки на стороне сервера для любого отправленного им пакета, поэтому он мог делать почти все, что хотел. Он мог открывать хранилища других игроков, забирать из них предметы, он мог загружать в свой инвентарь любое оборудование. Он мог даже получить огромное количество силы и очков талантов.

https://i.gyazo.com/6a9826a3b8d9dcbe...529c8017bd.png

Shadowbane, отправка пакетов на сервер с указанием, сколько опыта нужно заработать, и увеличение уровней

МАНФРЕД: Почти все, что я пробовал, любой эксплойт, который я пробовал, работал.

Ведущий: Он пытался узнать, захочет ли кто-нибудь купить у него снаряжение, золото или персонажей за настоящие доллары. Но не было достаточного спроса, потому что не было достаточного количества игроков, играющих в Shadowbane. Он решил, что игра настолько глючная, что больше не хочет в нее играть.

https://i.gyazo.com/a4c619bf7ef4e4f0...cb435b1e23.png

Shadowbane, 16 776 775 очков талантов

https://i.gyazo.com/2ee6c35417bbe873...bd8822af98.png

МАНФРЕД: Мы просто решили сделать финальный взлом, удалить игру и двигаться дальше. Нам пришлось пойти на крайние меры. Потому что, если бы мы убили несколько игроков здесь и там и бла-бла-бла, они бы пожаловались разработчикам на форумах, и они проигнорировали бы это. Но если мы проведем массовую атаку, меняющую игровую механику, когда она убьет сотни игроков, полностью изменит правила игры, тогда разработчики задумаются. Одним из наших грандиозных финальных действий была телепортация монстров высокого уровня в города-убежища, в которых новые игроки начинали игру. Скажем, создав нового персонажа в Shadowbane, вы отправляетесь на этот маленький остров, где игра учит вас, как играть. Он должен быть полностью безопасным.

Но мы телепортировали туда монстров 200-го уровня, чтобы убить любого, кто присоединился к игре. Вы присоединились к игре как новый игрок, а затем внезапно этот дракон 200-го уровня просто полностью уничтожает вас. На этом маленьком острове новых игроков мы, наверное, убили сотни игроков. Новые игроки присоединялись к игре и возрождались в течение часа. Мы также телепортировали под океан целый город, полный людей. Они медленно тонули. Они тонули недостаточно быстро, поэтому мы также телепортировали с ними монстров, чтобы монстры убивали тонущих игроков. Мы убивали новичков, присоединяющихся к игре, мы убивали активных игроков, мы телепортировали игроков в океан, это был просто полный хаос.

Ведущий: И все же этого было недостаточно. Он решил сделать каждую безопасную зону в игре зоной PVP. Это означает, что игроки могут атаковать других игроков в любой точке мира. Негде было спрятаться.

МАНФРЕД: Я и мои друзья просто и уничтожали всех с помощью очень сильных персонажей. Да, это был полный хаос и беспорядок. Мы знатно повеселились.

Ведущий: Хаос Манфреда затронул всех на сервере. Куда ни глянь, повсюду были сотни надгробий, и всем было интересно, что происходит в игре? Некоторые люди говорили, что боги сошли с ума, а другие говорили, что в игре есть ошибки. Примерно через час полного хаоса серверы отключились. Его и его друзей забанили в игре, и сервер откатился на точку сохранения до того, как начался хаос и все игроки были восстановлены.

МАНФРЕД: Изначально люди из Shadowbane думали, что кто-то получил незаконный доступ к их серверам, и они думали, что их серверы были скомпрометированы, тогда как все, что мы делали, это просто использовали внутриигровую механику. Я смотрю на последствия на форумах Shadowbane, и некоторые игроки говорят, что это должно происходить чаще, это было самое веселое, что они когда-либо получали с тех пор, как купили игру. Некоторые игроки были немного раздражены, а некоторые говорили: «Эй, это довольно весело. Давай сделаем это снова».

Ведущий: Взлом Shadowbane был настолько нелепым, что Wired написал об этом статью еще в 2003 году, когда это произошло. До сих пор никто не знал, кто за этим стоит. Wired опубликовал комментарий от разработчиков игры, в котором говорится: «Мы работаем с правоохранительными органами и обещаем всем вам, что эти люди будут преследоваться по всей строгости закона».

МАНФРЕД: Это все был понт. Я думаю, они поняли, что их серверы не были скомпрометированы, и мы просто использовали игровой протокол и игровую логику, находя неконтролируемые функции в протоколе.

Ведущий: Разработчики игр или правоохранительные органы никогда не связывались с Манфредом по поводу этого события. Манфред пытался сотрудничать с разработчиками игр, чтобы ответственно раскрывать обнаруженные им ошибки.

МАНФРЕД: В самом начале, когда я начал этим заниматься, я пытался работать с разработчиками игр. Это всегда имеет неприятные последствия. Например, Anarchy Online. Я думаю, что она вышла в 2000 или 2001 году. Я связался с админом в игре и говорю: «Эй, я хочу поговорить с одним из ваших разработчиков о некоторых уязвимостях, которые я нашел». На следующий день мы просыпаемся, а наши аккаунты забанены. Это произошло дважды в начале, и если это происходит дважды или если это происходит в одной игре, а затем в другой игре, обычно это будет другая игра для разработки. Вы должны предположить, что, возможно, игровая индустрия не хочет работать с людьми, ответственно раскрывающими информацию о взломе.

Я думаю, что их основная идея заключается в том, что они не хотят, чтобы люди занимались реинжинирингом своего клиента. Может быть, я думаю, это их мотив для бана людей, которые находят подобные вещи. Это было несколько нелогично, потому что они банили людей, которые пытаются им помочь.

Ведущий: В этом году Манфред выступил с докладом на Defcon. Он собирался выявить две неисправленные ошибки в Elder Scrolls Online и WildStar Online. Он решил не демонстрировать взлом.

МАНФРЕД: После разговора ко мне подошла одна из компаний, стоявших за Elder Scrolls Online. Они сказали типа вот моя визитка, давай поговорим. Я разговаривал с ними. Я показал им эксплойт вскоре после Defcon. Пока мы были еще в Вегасе, я показал им это лично. Они меня отблагодарили. Другой взлом для WildStar Online, я отправил им электронное письмо с описанием проблемы и ее последствий. Они сказали: "Круто, спасибо". Что касается Elder Scrolls Online, я в последний раз проверял около полутора месяцев назад, то есть примерно через шесть недель после Defcon и раскрытия информации о взломе. Баг до сих пор не исправлен.

Ведущий: Но это всего лишь первая глава эпического путешествия Манфреда. Все эти эксплойты, которые вы слышали, просто для развлечения, но он нашел эксплойты в других играх, которые изменили его жизнь на десятилетия. Он нашел способы превратить свои виртуальные предметы в настоящие доллары США. Это больше не было развлечением и играми. Это стало серьезным полноценным бизнесом.

МАНФРЕД: Позвольте мне просто сказать, что, имея возможность получить дневную работу в качестве инженера-программиста, и вы можете себе представить, сколько инженер-программист зарабатывает в наши дни, учитывая возможность делать это, а не взламывать онлайн-видеоигры, я решил взламывать онлайн видеоигры, потому что мне платили хорошо, а также потому, что я занимался собственным бизнесом.

Ведущий: Присоединяйтесь к нам во второй части этой истории, когда мы переходим от ввода монет в игру к извлечению монет из игры.

Мэтт: Последняя проверка показала ужасное. Хакеры не просто украли миллионы данных кредитных карт. Около семи-восьми месяцев хакеры были в системе магазина...

https://i.gyazo.com/513edd3b77786cc4...9300053431.png

КОРТНИ: Они провели в сети, по крайней мере, целый месяц разведки, прежде чем создали свое идеальное вредоносное ПО. Затем даже на протяжении всего времени мы видели, как они вносили в него небольшие изменения, продолжая двигаться вперед. Они точно знали, где взять кредитные карты в каждой системе.

Мэтт: К сожалению, система, которую они впервые скомпрометировали, в которую они впервые вошли, больше недоступна. Здесь мне хочется думать, что это, вероятно, был целенаправленный подход, даже фишинг, но кто знает. Никогда не узнаешь, пока не найдешь.

ДЖЕК: Фишинг — это когда хакер нацеливается на сотрудника, чтобы попытаться заставить его щелкнуть что-то, на что он не должен нажимать. Это может быть электронное письмо с вредоносной ссылкой, это может быть документ Word с включенными макросами. Как только человек нажимает на вредоносную ссылку, этот компьютер может быть заражен и затем находиться под контролем хакера. Когда хакер находится в сети, он может перейти на другую машину, чтобы начать установку своего вредоносного ПО.

Мэтт: С помощью простой математики вы обчищаете шестьсот магазинов за восемь месяцев. Этот период времени включает в себя лето, несколько выходных с распродажами, подготовку к Рождеству и тому подобное. Включая все эти различные периоды времени.

КОРТНИ: Да, я хочу сказать, что нам потребовалось по крайней мере две недели, чтобы просмотреть все кредитные карты и по-настоящему их расшифровать и убедиться, что все, что у нас было, было настоящими номерами карт. Что-то особенное в этом случае, с которым мы столкнулись, это кредитные карты, которые выглядят как номера кредитных карт, но на самом деле не являются действительными номерами карт. Это было то, что нам пришлось сделать много дедупликации и проверки, как с нашей стороны, так и с небольшой помощью брендов карт, чтобы определить, действительно ли то, что мы видели, было номерами карт.

Мэтт: Мы начали обнаруживать просроченные данные карт. Как мы находим так много данных кредитных карт, срок действия которых истек? Одно дело, если вы обнаружите, скажем, у вас есть двадцать номеров за день, и вы обнаружите, что срок действия одного истек. Ты такой: «О, ладно, кто-то случайно стащил старую карту или что-то в этом роде, верно?» Но потом вы начинаете задаваться вопросом, почему я вижу этот значительный процент карт, срок действия которых уже истек? В данном случае, если вы помните, я упомянул, что вредоносное ПО было на задней панели домашних систем.

В задней части работали SQL-серверы. На SQL-серверах хранились исторические незашифрованные отслеживаемые данные, которые загружались в память, и вредоносное ПО собирало их. Они собирали транзакции четырехлетней давности. Злоумышленники фактически заглянули в прошлое. Они просматривали транзакции трех-четырехлетней давности, о которых у них не было информации.

Ведущий: Теперь команда готова приступить к удалению вредоносного ПО из сети. Им нужно было понять каждую дыру в сети и залатать каждую, чтобы хакеры не могли вернуться.

КОРТНИ: На самом деле нам не нужно было отключать какие-либо серверы. Как только мы смогли действительно найти эти опорные точки, отключив их или, по крайней мере, убедившись, что у нас есть блокировка процессов, мы смогли остановить их по большей части в сети.

МЭТТ: Да, в итоге мы закрыли расчетные палаты, центральные точки, которые они использовали. В первый раз, когда мы выгнали их, мы действительно увидели, как они снова вошли через Азию, и в течение примерно трех секунд после повторного входа они повторно скомпрометировали сорок различных систем.

КОРТНИ: Я думаю, было интересно наблюдать, как они возвращаются так быстро, но также было интересно посмотреть, какие инструменты они сразу использовали. Потому что в тот момент у нас был живой отклик. По сути, мы могли сидеть там и отслеживать, что они делали, и точно видеть, как они двигались.

Ведущий: Команда обнаружила, что помимо вредоносного ПО, во многих системах также были установлены лазейки, благодаря которым хакеры продолжали проникать внутрь. Команда смогла отключить каждую опорную точку и предотвратить выход кредитных карт из сети. Было приятно наконец взять эту вредоносную программу под контроль. Пока они очищали сеть от вредоносного ПО, они также дали компании несколько предложений по улучшению своей безопасности.

КОРТНИ: Да, некоторые изменения пароля были необходимы, может быть, что-то вроде изменения их сетевой инфраструктуры, чтобы она не была такой плоской. Это определенно было одной из вещей, которые позволили этому вредоносному ПО проникнуть так далеко, потому что каждая система могла получить доступ к любой другой системе. Были одинаковые общие пароли, учетные записи администраторов, привилегированные учетные записи, которые были доступны на многих, многих машинах в сети. Я думаю, что это был большой урок того, как правильно защитить вашу сеть и убедиться, что ваше шифрование на месте, чтобы предотвратить это снова.

Ведущий: Попытаться проследить этот взлом до ответственного за это человека иногда невозможно. Вы можете искать подсказки во вредоносном ПО, такие как язык, который использовался при его написании, или часовой пояс, на который оно установлено, но это всего лишь небольшие подсказки, которые не очень сильны. Попытка выяснить, кто совершил взлом, называется атрибуцией.

МЭТТ: Я твердо верю, что атрибуция на самом деле ни к чему не приведет, если только вы не занимаете политическую или руководящую должность и не должны принимать решения о том, кто может стоять за этой клавиатурой и тому подобные вещи. Однако всегда интересно узнать. Единственное, что я могу сказать об этом, это то, что мы еще не упомянули. В Северной Америке был один сервер, который рассматривался как расчетная палата. Затем были две дополнительные системы с задним ходом. В Европе было примерно то же самое.

Большая часть самих точек входа фактически началась в Азии. На самом деле это началось в основном в Юго-Восточной Азии и тому подобное. Это не дает никакой атрибуции. Просто когда вы пытаетесь получить данные кредитной карты, это очень интересное место для начала, если вы понимаете, о чем я. Вы — компания со штаб-квартирой в США. Какой у вас есть выход? Вы должны восстановить свою сеть. Вы должны достичь точки, когда вам не нужно бороться с пожарами каждый день. У тебя действительно нет времени. Что, ты собираешься нанять команду, чтобы преследовать этих парней или что-то в этом роде? Удачи.

Ведущий: Сколько было окончательно украдено кредитных карт?

Мэтт: Это число, насколько мне известно, все еще выясняется, но я думаю, что после того, как мы наткнулись на все, что мы могли найти, мы получили не меньше 100 000. Это все. Это было очень неожиданное число.

Ведущий: Я мало что знаю о текущих условиях черного рынка карточных игр, но можно с уверенностью сказать, что этих карт, вероятно, слишком много для этих хакеров, чтобы попытаться выцарапать из себя деньги. Возможно, они где-то продают эти карты оптом. Карты стоят от десяти до ста долларов каждая, поэтому, даже если они получили по десять долларов за карту, это означает, что эти хакеры заработали на этой компании миллион долларов. Теперь компания должна сделать это снова, чтобы попытаться решить проблему.

Мэтт: В первую очередь на компанию ложится работа с банками, работа с компаниями, выпускающими кредитные карты, и выпуск новых карт.

Ведущий: Об этом взломе было объявлено публично, и он попал в новости, но реакция публики на него не имела большого значения.

Мэтт: Короче говоря, это было не так безумно, как вы могли бы подумать. Это было не так уж важно. Я говорю, что, поскольку у вас есть предшественники, такие как Home Depot и Target, и некоторые из этих огромных крупных нарушений, у вас есть такие предшественники, о которых сообщали недели, если не месяцы.

КОРТНИ: Некоторые из более крупных нарушений, которые мы недавно наблюдали, включая номера социального страхования, я думаю, что кредитные карты немного отстают. Вы всегда беспокоитесь, что его украдут, но в глубине души многие люди думают: «О, я просто заменю его, куплю новый».

Ведущий: Помимо того, что это является серьезной головной болью для этой компании и еще большей головной болью для компаний, выпускающих кредитные карты, и банков, это также может серьезно повлиять на людей, чьи карты были украдены. В начале этого эпизода вы начали получать известия от Тома. Возможно, данные карты Тома были украдены и проданы на черном рынке, как в истории, которую вы только что слышали. Кто-то использовал его карту мошенническим образом, и его банк проводил расследование, чтобы выяснить, что пошло не так. Давайте послушаем, чем закончится его история.

ТОМ: Ну, утро, когда они это сделали, было 12 или 13 декабря, так что это фактически уничтожило Рождество. Я лицензированный подрядчик, и я получаю часть своего бизнеса через компанию, и мои счета заморожены, и ничего не может войти или выйти, первое, что я обнаружил, это то, что они перестали работать на меня, и они сказали хорошо, ваш счет просрочен, и ваш счет перерасходован, и мы не можем получить деньги, поэтому вы остановлены, пока что-то не произойдет.

Но, к счастью, у меня была финансовая поддержка, поэтому я смог выжить, но не мог работать, пока об этом наконец не позаботились. Теперь я мог вести дела со счетом, но даже после этого мне понадобилось пару месяцев, чтобы все уладить. Это был большой перерыв в моей жизни.

Ведущий: Кортни и Мэтт выступили с докладом на саммите Kaspersky SAS в начале этого года. В своем выступлении они подробно рассказали об этом новом виде вредоносного ПО. Они также сообщили об этом антивирусным компаниям, чтобы его можно было обнаружить в будущем. С тех пор Мэтт ушел из Kroll и теперь работает в Cylance, а совсем недавно был принят в качестве инструктора SANS, преподающего цифровую криминалистику и реагирование на инциденты.

Эпизод 20: Что бывает, когда хакер встречает хакера?

Вступить в наш чат

Ведущий: Иногда ожидание входа в админку может занять много времени: дни, недели, месяцы. Я слышал, что хакеры иногда создают проблемы на веб-сервере, например, увеличивают нагрузку на ЦП или приводят к сбою приложения. Но зачем это делать? Что ж, если веб-сервер ведет себя проблематично, это приведет к тому, что администратор войдет в систему для устранения неполадок. Когда они это сделают, паф. Они только что попали в ловушку. Но в нашем случае ожидание было не таким долгим.

https://i.gyazo.com/2870e50c92b8a279...aa5dfe3199.png

АНБ: Один из администраторов входит в систему. Мы видим, как это происходит. Мы получаем необходимую информацию и вставляем имплант в аппарат.

Ведущий: Вы только что услышали пятую фазу цепочки киберубийств: монтаж. Мы только что установили имплантат в целевую систему. Имплантат — это ошибка, троян, инструмент удаленного доступа, который позволяет нам в значительной степени завладеть этим компьютером. Для тех из вас, кто знаком с Metasploit…

АНБ: Просто представьте что-то вроде Metasploit на большом количестве стероидов.

Ведущий: Следующим этапом цепочки киберубийств является командование и контроль. Тот факт, что имплантат находится в машине, не означает, что он что-то сделает. Кто-то должен сказать ему, что делать. В этом случае теперь у нас есть возможность удаленного доступа к компьютеру сетевого администратора. Это наша команда и контроль над целевым компьютером. Сейчас мы очень близки к завершению нашей миссии. Нам осталось только взять под контроль компьютер администратора, а затем получить доступ к базе данных и взять нужные нам данные. Поэтому мы немного подождем, прежде чем залезть в компьютер администратора, чтобы не выглядеть подозрительно.

АНБ: Мы ждали около дня, полтора дня, чтобы перейти к интерактивной работе с коробкой, фактически использовать ее в интерактивном режиме. Как только мы использовали его в интерактивном режиме, в то время как другой человек использовал его, мы вошли в систему, когда они были, что обычно так и работает. Мы начали смотреть на скриншоты рабочего стола и увидели открытый браузер и десятки открытых вкладок в браузере. Мы начали просматривать множество скриншотов и просматривать содержимое вкладок. Это был человек, который гуглил это странное поведение Windows.

Ведущий: Компьютер администратора, в который мы проникли, вел себя странно. Он отображал много ошибок, и некоторые программы аварийно завершали работу. Было определенно похоже, что у этого администратора был какой-то вирус.

АНБ: Сначала мы это увидели, подумали, что это странно. Интересно, эти проблемы с его компьютером появились раньше, чем мы там были. На самом деле мы не знали, но у нас было подозрение, что это как-то связано с нами. Без нашего ведома и с того времени, когда мы впервые собрали нашу информацию через открытый источник и когда мы установили имплантат, он обновил свою операционную систему. По сути, он обновил Windows до следующей версии. Обычно в худшем случае ваш имплантат не работает, потому что он несовместим, верно, по какой-то причине. Это несовместимо и не работает, и это отстой, и вы действительно расстроены этим. Я бы предпочел, чтобы это было результатом здесь.

Вместо этого имплантат заработал, поскольку он установился там, где должен был, и начал работать, как и ожидалось. Проблема заключалась в том, что он плохо работал с более новой версией Windows, которая была на этом компьютере, и, к сожалению, начал вызывать очень странное поведение Windows. Это очень странное поведение приняло наихудшую из возможных версий, то есть то, что было хорошо видно пользователю. Теперь, когда мы на коробке и точно знаем, какая это была версия Windows, мы воссоздали ее в нашей собственной лабораторной среде. Я знаю, какая у него версия Windows, и я знаю аппаратное обеспечение. По сути, я перестроил ту же самую машину в нашей среде, бросил на нее наш имплантат и увидел, что наш имплантат вызывает это странное поведение. Это были очень, очень плохие новости для нас, потому что так тебя поймают. Это было ужасно.

С точки зрения политической реакции, такие вещи получаются — уведомления о подобных вещах доходят до самых высоких уровней правительства, потому что, когда вы попадаете в сеть, подобную этой, премьер-министры звонят друг другу. Если бы дела пошли достаточно плохо, нам пришлось бы информировать все руководство агентств и высшее руководство правительства. В этот момент все были очень обеспокоены, потому что мы уже были на веб-сервере. Мы уже проделали большую работу. Мы чувствовали себя довольно комфортно, поэтому мы уже развертывали довольно сложные большие имплантаты в сети. Этот, который вызывал эти проблемы, не был загрузчиком Stage 1.

Это был относительно сложный — на самом деле довольно сложный полнофункциональный имплантат, который мы не могли позволить себе потерять и не могли позволить себе попасть в сеть. Как только мы поняли, что происходит, это снова правительство, так что все тревоги начинают срабатывать. Вы должны начать рассказывать многим людям. Вы должны начать писать много служебных записок и посещать много совещаний, чтобы постараться, чтобы все были в курсе того, что происходит, каковы риски и что мы собираемся делать. Конечно, теперь первый порыв — удалить его или удалить имплант. К сожалению, поскольку он уже вызывал так много проблем со стабильностью, проблема заключалась в том, что если мы попытаемся добраться до него, чтобы удалить его, это может сделать его еще хуже. Мы не знали, так что риск был в том, чтобы ничего не делать, и прямо сейчас он просто думал, что у него технические проблемы, а не проблема с безопасностью, поэтому мы подумали, что все в порядке.

Риск заключается в том, чтобы либо остаться с тем, что у нас есть, и переждать техническую ерунду, надеясь, что он не догадается, что на самом деле это не техническая проблема, а проблема с безопасностью, или мы попытаемся удалить ее и вызвать какие-то другие странные вещи. случиться, что делает это еще хуже. Тогда мы совсем облажались. Решили оставить и не удалять, а принять ту ставку. Ситуация ухудшилась примерно на неделю, потому что мы не только смотрим их в Google в поисках решения проблемы, например, в поисках симптомов, которые он видит в Windows, мы читаем его электронные письма и видим его чаты с ИТ-специалистами, рассказывая им что происходило и вставлять билеты на неприятности. Мы видели беседу с этим ИТ-специалистом, которая была типа: «Привет, не мог бы ты подойти ко мне в 2:00, чтобы взглянуть?» В этот момент все начали очень беспокоиться, больше, чем мы уже были.

Ведущий: В данный момент дела идут не очень хорошо. В офисе очень напряженно и волнительно. Используемый имплантат был дорогим и секретным. Если бы он был обнаружен, это могло бы привести к тому, что его отследили до злоумышленников и потеряли этот дорогой и секретный имплантат. Но на данный момент мы успешно завершили шесть из семи этапов цепочки киберубийств. Остался только один этап, и это выполнение действия над целью. В нашем случае наша цель — использовать компьютер администратора для получения данных из базы данных Oracle, но команда не решается закончить работу.

АНБ: Проблема была в том, что это была большая сеть, и мы знали, какая база данных нам нужна. Мы знали, что существует база данных определенного типа, к которой мы хотели получить доступ, но мы не знали точно, где она находится в сети. В этот момент у нас есть высокий риск быть пойманным. Проблема в том, что мы наблюдаем, как они устраняют неполадки, и если они устраняют неполадки, устраняют неполадки и устраняют неполадки, а затем в какой-то момент выясняют, что здесь что-то действительно не так, и нам нужно позвать людей из службы безопасности и начать присматриваться поближе. Последнее, чего мы хотели бы, — это иметь более широкое присутствие в сети. Даже если это происходит на других машинах в других местах в сети, которые не могут, в тот момент, когда ваше реагирование на инциденты вмешивается и начинает блокировать вещи, мы облажались.

В этот момент мы хотим свести наше присутствие к минимуму, насколько это возможно, без потери доступа. На данный момент этой минимизацией был этот компьютер, на котором у нас возникла проблема, и веб-сервер. Вот оно. Само, очень ясное без даже каких-либо дебатов решение было сидеть, лежать тихо. Ничего не делай. Пусть это происходит, потому что никто не хотел увеличивать профиль риска, пока мы не узнали, чем это обернется.

Ведущий: Команда ждет и наблюдает. Дни проходят. Администраторы пытаются устранить ошибки, которые они видят. Проходит неделя. Он продолжает устранять неполадки, и на второй неделе администратор обращается за помощью к ИТ.

АНБ: Да, на второй неделе приходят ИТ-специалисты и смотрят на компьютер, и мы знаем, что они подходят к рабочему столу человека, потому что мы видим, как они назначают встречи. Мы подошли к этому моменту, когда по характеру заявки на устранение неполадок мы можем сказать, что они зашли в тупик. Они не могут понять, почему. Они не могут понять, что происходит. Они не могут понять причину происходящего. Они не могут определить причину, и она кажется им недетерминированной. Мы знаем, почему это происходит. Я знаю, что делает имплант и почему Windows ведет себя таким образом, но, поскольку они не знают, что там имплант, для них поведение совершенно недетерминировано. Поскольку это недетерминировано, они не могут разработать для него техническое решение.

Окончательное решение, к которому они пришли, заключалось в том, чтобы просто стереть его и начать сначала. Это был причудливый имплантат, но он был просто на уровне пользователя и находился на жестком диске, так что в тот момент, когда они стерли диск и пересняли его, все было в порядке. Они удалили наш имплантат, и мы были в порядке. Это было значительным облегчением. Слава Богу, все кончено, но, черт возьми, нас всех уволят? Это чья-то разумная реакция на подобные события на рабочем месте, когда все пошло не так. По сути, вы отвечаете за ту группу, где что-то пошло не так. Это все было на мне. Знаете, это был момент, когда я, наверное, возьму коробку и соберу свой стол. Но а) это правительство, поэтому никого не увольняют и б) на самом деле это не было результатом. После этого мы провели целую вскрытие, чтобы посмотреть, что произошло, как это произошло, почему это произошло и как это предотвратить.

Постфактум было установлено, что никакой халатности в игре не было. Никто не сделал ничего плохого. Именно это и произошло. Шанс, что мы проведем два месяца исследований, потратим тридцать дней на принятие решений и проведение совещаний, а затем за эти тридцать дней выполним операцию, один из администраторов обновит Windows. Это не супер высокая вероятность того, что это произойдет, и нам просто не повезло. К сожалению, эти две звезды пересеклись на небе, и это произошло. Если бы прошло полгода, и мы не попытались бы повторно обновить нашу информацию и сделать ее более свежей, результат, скорее всего, был бы хорошим, вы слишком долго ждали. Верно, ты должен был это знать. Слишком многое может измениться за шесть месяцев. Но тридцать дней было разумно, потому что опять же, это правительство. Тридцать дней уходит на оформление документов, организацию встреч и просто административные дела.

Тот факт, что это произошло через тридцать дней, тот парень обновил Windows: это считалось приемлемым. Единственным другим последствием было то, что когда мы подошли к этой машине сбоку, должны ли мы были сделать что-нибудь тактически, прежде чем поместить имплантат в эту коробку? Были дебаты по этому поводу. Должны ли мы были захватить учетные данные и просто интерактивно взаимодействовать с этой машиной только для того, чтобы захватить такие вещи, как ее ОС, антивирус и все такое? Это было оперативное решение, которое мы приняли в то время, очень тактическое решение. Но поскольку мы сделали открытый исходный код и знали, что там есть, казалось бы, причин для этого было меньше. Вот оно.

Ведущий: Очистив машину от имплантата, команда может расслабиться, зная, что их прикрытие не будет раскрыто, а их дорогостоящая уловка не будет обнаружена. Как насчет первоначальной цели получить доступ к базе данных?

АНБ: На самом деле у нас никогда не было доступа к базе данных. Не из-за этого, на самом деле просто оказалось, что сеть была настроена таким образом, что наш путь туда был чрезвычайно сложен от того места, где мы находились в сети, до того места, куда нам нужно было добраться. Как и в любой другой бизнес-среде, у нас были конкурирующие требования. В какой-то момент, наверное, через полтора месяца после этого инцидента, после этого небольшого инцидента, мы пришли к тому, что ладно, я знаю, где находится сервер Oracle. Я знаю, кто такие админы, но наша способность добраться до него сложна. Это займет некоторое время. Мы можем это сделать, но хотим ли мы этого?

В то же время у меня было еще три требования, которые я должен был удовлетворить. Эти требования требовали некоторых из тех же людей, которых я сейчас использовал для работы над этим, так что это было похоже на то, что мы делаем? Можем ли мы просто поддаться наживке и уйти или просто пойти ва-банк и пойти на это? Решили отказаться от наживки и уйти. Это происходило все время. Потому что я думаю, что любой хакер, независимо от того, являетесь ли вы представителем ABT национального государства или ребенком в подвале своей мамы, все знают, что это большая удача, что все работает. Только так много мысли и разума входит в это.

В конце концов, это большая удача, и я бы сказал, что по статистике за те годы, что я занимаюсь этим, удачи нет или она заканчивается более чем в половине случаев, потому что это сложно и становится все труднее, потому что люди просто в целом больше осведомлены о кибербезопасности и информационной безопасности. Они немного умнее, этого достаточно, чтобы знать, может быть, не нажимать на ссылку или, может быть, не посещать этот веб-сайт с работы или с вашего рабочего компьютера, и, возможно, не нажимать «ОК», когда появляется сообщение «Flash Needs to Update».

Эпизод 21: Для чего хакеры крадут записи о пациентах?

Вступить в наш чат

Ведущий: 2015 год был полон утечек данных. В начале года было два крупных нарушения со стороны поставщиков медицинских услуг. В феврале Anthem объявил, что было украдено восемьдесят миллионов записей о пациентах. Примерно в то же время был обнаружен Premera Blue Cross, и они обнаружили, что, возможно, одни и те же актеры были в их сети и признали взлом одиннадцати миллионов записей пациентов. Таким образом, только в первом квартале 2015 года хакеры украли почти сто миллионов записей о пациентах. На самом деле они не воровали медицинские записи; вместо этого они захватили такие вещи, как имена, дни рождения, медицинские удостоверения, номера социального страхования, уличные адреса, адреса электронной почты, информацию о сотрудниках и данные о доходах. Люди не были уверены, для чего это может быть использовано, кто это делает и зачем.

Его просто продали на темном рынке за быстрый биткойн? Была ли эта информация собрана в рамках многоэтапной атаки? Каким образом эта информация может быть ценной для хакеров? Как вы можете зарабатывать деньги, если знаете чье-то имя, адрес, номер социального страхования и тому подобное? Я позволю вам подумать об этом на минуту. Давайте поговорим о налоговой. Для моих неамериканских слушателей Служба внутренних доходов — это правительственное агентство США, которое собирает налоги. Большинство граждан и предприятий США должны каждый год отчитываться о своих доходах в IRS и платить налоги в зависимости от того, сколько денег они заработали. IRS приходится обрабатывать сотни миллионов налоговых форм в год. Это архаичная и слишком сложная система. По сути, мы, американцы, платим процент от денег, которые мы зарабатываем, правительству, чтобы они могли погасить государственный долг за армию, социальное обеспечение, медицинское обслуживание пожилых людей и тому подобное.

https://i.gyazo.com/ecd9e97456641512...ea67908360.png

Правительству США нужно много наших денег. В среднем они забирают около 14% нашей зарплаты. Если вы зарабатываете 67 000 долларов в год, они хотят из них 9 000 долларов. Но вот в чем дело; Американцы не копят 9000 долларов, чтобы отдавать их им каждый год. Мы просто просим наших работодателей вычесть эти деньги из нашей зарплаты еще до того, как мы их получим. Таким образом, все оплачено и прочее. Но мы не всегда знаем, сколько платить, и иногда мы недоплачиваем, и когда приходит время уплаты налогов, нам приходится платить немного больше. Но что на самом деле делают многие люди, так это переплачивают, а затем IRS возвращает нам деньги, которые нам не нужно было платить. Иногда это может быть налоговая декларация хорошего размера, тысячи долларов. Этот процесс подачи налоговых деклараций очень сложен, и традиционно IRS обрабатывает все это с помощью бумажных форм. Если вы хотели увидеть свои старые налоговые отчеты, вам нужно было заполнить форму IRS 4506 и заплатить 50 долларов, и вы можете получить свою старую налоговую отчетность, отправленную вам по почте.

Но в последнее десятилетие они перешли к электронной подаче документов, где вы можете сделать все это через веб-сайт irs.gov. В январе 2014 года они добавили на веб-сайт irs.gov новую функцию под названием «Получить стенограмму». Это позволит вам увидеть свои налоговые отчеты за прошлый год на случай, если вы захотите использовать их при подаче документов за этот год. Это была фантастическая функция, и сразу же миллионы американцев использовали ее для поиска своих налоговых форм за прошлый год. Обычно, когда вы подписываетесь на банковский счет или у поставщика медицинских услуг, вы проходите процесс регистрации, который часто включает в себя настройку пароля, а затем некоторые вопросы по восстановлению учетной записи, например, где вы познакомились со своим супругом или в какую среднюю школу вы ходили. Сайт irs.gov отличается. Они используют то, что называется мгновенным KBA или аутентификацией на основе знаний.

Они задают ряд вопросов, на которые только вы знаете ответ, например, какой у вас платеж по ипотеке и где вы купили машину. Это называется мгновенным KBA, потому что у них уже есть ответы на их стороне. Это немного отличается от банковского счета, где, когда они задают вам вопрос, они не знают ответа, и вы ставите ответ, а затем они сохраняют его для следующего раза. Благодаря Instant KBA они уже знают, в какую среднюю школу вы ходили, из вашей кредитной истории. IRS сотрудничает с одной из крупных компаний, предоставляющих кредитные отчеты, такой как EquiFax, чтобы узнать о вас больше. Благодаря этому IRS знает, на каких улицах вы раньше жили, какие кредитные карты у вас есть в настоящее время и тому подобное. Когда вы хотите использовать функцию «Получить выписку» на веб-сайте irs.gov, вам задают ряд подобных вопросов, ответы на которые знаете только вы, и они доказывают, кто вы, а затем вам показывают ваши старые налоговые отчеты.

Но можете ли вы догадаться, какие есть проблемы с этим мгновенным KBA? Ну, во-первых, IRS говорит, что 22% людей не могут сами правильно ответить на вопросы. Вы помните свой номер телефона, который у вас был десять лет назад, или адрес, который у вас был в колледже? Может быть, но когда тебе будет семьдесят? Вот еще одна проблема с мгновенным KBA; вы не можете отказаться от этого. IRS и EquiFax собрали и сохранили эту информацию о вас, на сохранение которой вы не давали им разрешения. Это может стать проблемой конфиденциальности. На самом деле NIST, правительственный совет по стандартам, специально комментирует это, говоря: «Неуместно непреднамеренно раскрывать конфиденциальность неизвестных граждан схемы мгновенной аутентификации KBA, если риск не близок к нулю». Еще одна большая проблема с этой аутентификацией, основанной на знаниях, связана с знанием секретной информации о вас.

По мере того, как наши данные становятся все более открытыми для всего мира из-за утечек, эта секретная информация больше не является секретной. Давайте вернемся в 2014 год, когда эта услуга «Получить стенограмму» впервые была представлена на веб-сайте irs.gov. Допустим, мы хотели получить наши старые стенограммы. Прежде всего, сайт запрашивает следующее: имя, номер социального страхования, адрес. Исторически сложилось так, что ваш номер социального страхования является приватным, и лишь немногие люди могут его знать, но по мере того, как происходят утечки данных, он становится не таким уж приватным. Имя и адрес не так уж сложно выяснить, поэтому эти первые вопросы можно легко победить, если кто-то знает это о вас. На этом этапе они заставляют вас зарегистрироваться с адресом электронной почты и отправляют вам электронное письмо для дальнейших шагов. Затем вам будут представлены четыре мгновенных вопроса KBA с несколькими вариантами ответов. Вот несколько образцов.

"Пожалуйста, выберите округ указанного вами адреса". Ну, очевидно, вы можете посмотреть это на любой карте, так что это легко. Следующий вопрос. "Согласно нашим записям, вы раньше жили в… вставьте город. Выберите улицу, на которой вы проживали в этом городе". Что ж, это вопрос с несколькими вариантами ответов, поэтому вы можете просмотреть ответы и исключить любые улицы, которых нет в этом городе, и тогда у вас будет довольно высокий шанс получить правильный ответ. "Пожалуйста, выберите город, в котором вы ранее проживали". Что ж, если у хакера были какие-либо данные о вас из предыдущих взломов, они, вероятно, включены. Или, черт возьми, ответ может быть даже в предыдущем вопросе. "Согласно нашим записям, какую из следующих средних школ вы окончили?" Ну, ты был на Facebook в последнее время? Почти все там есть, и все они любят писать, в какую среднюю школу они ходили, поэтому обычно это довольно легко найти. Вот и все.

Если вы правильно ответите на эти вопросы, вы получите абсолютно всю историю налоговых записей для этого человека. Если вы действительно посмотрите на это, потому что это вопросы с несколькими вариантами ответов, у нас есть шанс ответить на все вопросы правильно, даже не взломав данные, просто погуглив человека, где он жил и все такое. Эта опция «Получить расшифровку» на веб-сайте irs.gov использовалась миллионами людей в 2014 году, а затем снова в 2015 году. Это была отличная функция, но вы, возможно, уже заметили, что метод аутентификации, возможно, не был таким уж безопасным. Давайте перенесемся в февраль 2015 года, в тот же месяц, когда была обнаружена брешь в Anthem. Парень по имени Майкл Каспер идет заполнять налоговую декларацию. Он заполняет все формы в электронном виде и нажимает «Отправить», но что-то не так. Веб-сайт IRS сообщает ему, что он уже представил свои налоги, но это невозможно. Он еще не представил его. Он звонит в службу поддержки, и знаете что? Я позволю ему рассказать историю.

МАЙКЛ: В понедельник утром я позвонил в IRS, и они подтвердили мою личность, задав вопросы, связанные с налоговой историей, и показали мне, что депозит был внесен в тот же день, когда я звонил на чей-то счет, но было слишком поздно, чтобы остановить это. в таком случае.

Ведущий: Налоговое управление только что сообщило ему, что кто-то подал налоговую декларацию от его имени, и этому человеку был отправлен чек. Он уже был депонирован. Налоговое управление не смогло сообщить ему ничего другого, например, сколько стоил чек, в каком банке он был депонирован или что-то в этом роде. IRS не может раскрыть это из соображений конфиденциальности.

МАЙКЛ: Меня это расстроило. Именно тогда я попробовал функцию «Получить стенограмму» на веб-сайте IRS, чтобы узнать, могу ли я получить стенограмму, и обнаружил, что кто-то еще уже зарегистрировал свой адрес электронной почты с моим номером социального страхования.

Ведущий: Похоже, кто-то уже прошел этапы получения выписки из налоговой документации Майкла и зарегистрировался от его имени. В этот момент Майкл не знал, что и думать. Он задавался вопросом, взломали ли его, или кто-то украл его бумажник или личность, или что случилось. Это его вина, что это происходит? Снова и снова Майкл запрашивал дополнительную информацию о том, кто заполнил его налоги, но IRS отказывалась предоставить какую-либо информацию. В законе четко указано, что IRS не может никому передавать налоговую информацию, и он не смог войти на веб-сайт IRS и воспользоваться функцией «Получить выписку», потому что кто-то другой уже зарегистрировался под его именем. Он чувствовал себя застрявшим, но придумал новый план. Он выяснил, что если вы заполните форму IRS 4506 и включите 50 долларов, они отправят вам бумажную копию вашей налоговой декларации.

МАЙКЛ: Я узнал, что могу получить ксерокопию за 50 долларов. Они говорили мне, что я не могу получить информацию, но если я заплачу 50 долларов, я смогу ее получить. Итак, 17 марта я получил ксерокопию декларации, и именно тогда я узнал, что тот, кто подавал, видел мою декларацию за 2013 год, потому что информация была почти идентичной.

Какие данные заполучили злоумышленники и чем это обернулось для Майкла читай в следующем выпуске ровно через неделю.

Эпизод 22: Как нажиться на чужой страховке

Ведущий: Это было странно. Теперь он начал собирать кусочки воедино. Кто-то определенно прошел процедуру получения выписки на веб-сайте irs.gov, получил копию своей старой налоговой декларации и подал новую за этот год. Он просмотрел налоговую декларацию, которую подал кто-то другой, и они получили возмещение в размере 8 936 долларов. Это были деньги, которые налоговая служба должна была Майклу, но они отправили их другому человеку. Майкл внимательно посмотрел на свою налоговую декларацию…

МАЙКЛ: И видел номер банковского счета.

Ведущий: Майкл — умный парень, даже инженер, и он не получал никакой помощи от IRS, и он злился, злился из-за того, что кто-то украл у него его деньги. Он решил попробовать разобраться в этом самостоятельно.

МАЙКЛ: Но я связался с банком в Пенсильвании. Подтвердили, что залог внесен. Я предполагаю, что метаданные в депозите на самом деле показали, что мое имя и мое социальное обеспечение переходят на чей-то текущий счет. Они сказали мне место, Уильямспорт, Пенсильвания, где были сняты все деньги. Там я связался с местной полицией.

Ведущий: Полиция сразу же перезвонила ему и хотела узнать больше. Они открыли дело и начали расследование. В тот же день Майкл получил письмо.

МАЙКЛ: Я получил по почте письмо от IRS, что шесть недель спустя они получили мои документы и что они вернутся ко мне через шесть месяцев.

Ведущий: Это немного разозлило Майкла. Почти сразу после получения своих налоговых отчетов он смог добиться большого прогресса, начав полицейское расследование, и здесь IRS говорит, что им потребуется шесть месяцев, чтобы расследовать это?

МАЙКЛ: На той неделе я также получил письмо от Anthem Healthcare с предложением бесплатного кредитного мониторинга. Я действительно не знаю, связано ли это с тем, как была получена моя информация.

Ведущий: Личная информация Майкла была украдена при взломе Anthem, и он помнил, что данные, украденные при взломе Anthem, включали его имя, номер социального страхования и прошлые адреса. Этого, вероятно, будет достаточно, чтобы получить стенограмму. Полиция отправилась в дом этого человека в Пенсильвании и обнаружила, что этот человек, который внес чек, был молодой студенткой колледжа.

МАЙКЛ: Она откликнулась на объявление Craigslist, предлагающее работу.

Ведущий: Ах да, старая афера с дропами. Хорошо, вот как это работает. Преступники, которым нужно перевести деньги, будут предлагать работу на Craigslist, говоря что-то вроде того, что международной финансовой компании нужна помощь в написании писем. Затем они проходят собеседование и принимаются на работу. Сначала им дается несколько основных задач, например, поправить английский в некоторых электронных письмах. Эти базовые задачи только для того, чтобы заслужить доверие, потом преступники расскажут какую-нибудь грустную историю о том, что им нужно сразу заплатить клиенту, а средства привязаны. Они спрашивают жертву: "Эй, если мы отправим вам деньги, вы не могли бы отправить чек клиенту?" Если они соглашаются, рождается дроп. Быть дропом незаконно, и эта молодая женщина понятия не имела, что это незаконно. Ей просто нужны были дополнительные деньги, чтобы поступить в колледж.

МАЙКЛ: Деньги поступали на ее счет, а затем она переводила большие суммы в Нигерию через Вестерн Юнион.

Ведущий: Она отправила 7000 долларов в Нигерию, а в качестве вознаграждения смогла оставить остальные 1900 долларов, которые она потратила в основном на аренду жилья, оставив на счету всего 5 долларов, когда ее поймала полиция. Она была арестована за то, что была дропом, а позже вышла под залог, заплатив 8500 долларов. Майкл был разочарован всем этим испытанием, поэтому в конце марта он связался с журналистом Брайаном Кребсом, чтобы поделиться своей историей. Его история сразу же появилась в Krebs on Security, блоге о взломах и безопасности. IRS заметила это сообщение в блоге и в конце концов вернула ему деньги, но это заняло несколько месяцев. Майкл был не первым, кто сообщил об этом виде мошенничества в 2015 году. У многих других людей была такая же проблема, у тысяч других. IRS начала расследование.

https://i.gyazo.com/8145bf3bad00b4d0...a33674a0c4.png

Эта функция веб-сайта «Получить выписку» была настолько популярна, что только в этом году было получено более двадцати миллионов запросов, поэтому во время налогового периода это более 100 000 запросов на получение выписки в день. Но этот всплеск был намного больше. Это было похоже на сотни тысяч других за один день. На самом деле было так много запросов, что системы начали создавать резервные копии, и IRS подумала, что они подверглись атаке типа «отказ в обслуживании». Они смогли поддерживать сайт в рабочем состоянии и поддерживать поток пользователей, и все прекратилось. Через неделю, 21 мая, центр безопасности IRS обнаружил нечто ужасное. Это были не законные пользователи, пытавшиеся получить передачу налоговых записей. Это были хакеры, мошенники, воры. Было предпринято более 200 000 подозрительных попыток получить выписки налогоплательщиков, и половина из них оказалась успешной.

Воры успешно использовали функцию «Получить выписку» на веб-сайте irs.gov, чтобы получить налоговые отчеты 100 000 человек. Имейте в виду, это не взлом. Никаких уловок, эксплойтов или уязвимостей злоумышленники не использовали. Они просто нашли способ пройти через систему аутентификации, вероятно, используя некоторую личную информацию, которую они получили в результате других взломов. Но даже если это не взлом, это, безусловно, утечка данных, очень личных данных, и очень страшно подумать о том, что такие преступники сделают с вашими прошлыми налоговыми записями. У этих людей есть много ресурсов и времени, чтобы двигаться быстро и украсть много денег, так что это может создать проблемы для этих людей на годы или даже на всю жизнь. Как только IRS обнаружила, что 100 000 налоговых записей были украдены с их веб-сайта, они немедленно отключили функцию «Получить выписку». Пять дней спустя они объявили общественности, что произошло нарушение и было украдено 100 000 налоговых документов. IRS предпринял ряд корректирующих действий после этого нарушения. Вот комиссар IRS.

Комиссар: Письма уже разосланы примерно 100 000 налогоплательщикам, чья налоговая информация была успешно получена неуполномоченными третьими лицами. Мы предлагаем кредитный мониторинг за наш счет для этой группы налогоплательщиков, мы также даем им возможность получить личный идентификационный номер защиты личности, или IP PIN, как известно. Это дополнительно защитит их счета IRS. Приложение Get Transcript также было закрыто, пока мы рассматриваем варианты, чтобы сделать его более безопасным, не делая его недоступным для законных налогоплательщиков.

Ведущий: IRS создала эту опцию, чтобы получить PIN-код IP или номер личной информации для защиты личности. Это шестизначный код, который IRS может выдать вам, который затем потребуется для заполнения вашей налоговой декларации. Это усложняет для преступников подачу налогов, если они не знают этот PIN-код. Новость о взломе IRS была главной темой почти во всех новостных агентствах США. Граждане были возмущены, у конгресса и сенаторов возникли вопросы. Полное слушание комитета сената было проведено, чтобы получить показания IRS. Это вступительное заявление комиссара IRS Джона Коскинена.

Комиссар: Несанкционированные попытки доступа к информации с помощью приложения «Получить выписку» были предприняты в отношении примерно 200 000 учетных записей налогоплательщиков с сомнительных доменов электронной почты, и эти попытки были сложными и изощренными по своему характеру. Эти попытки были предприняты с использованием личной информации налогоплательщика, уже полученной из источников за пределами IRS. В середине мая наша команда по кибербезопасности заметила необычную активность в приложении Get Transcript. В конечном итоге они обнаружили сомнительные попытки доступа к приложению Get Transcript. Из примерно 100 000 успешных попыток доступа к приложению только 13 000 возможно мошеннических деклараций были поданы за 2014 налоговый год, по которым IRS выплатила возмещение на общую сумму около 39 000 000 долларов.

Ведущий: На этом слушании мы также услышим от Майкла Каспера, того парня, который сам выследил того, кто украл его налоговую декларацию. На самом деле клипы, которые вы слышали от него ранее, взяты с этого слушания в Сенате. На самом деле было несколько слушаний, которые продолжались часами. Во время слушания мы узнаем немного о типах компьютерных проблем, с которыми сталкивается IRS.

Комиссар: Мы используем устаревшую систему с некоторыми приложениями, которым пятьдесят лет, как отмечалось в некоторых случаях. Отмечено, что мы даже не смогли предоставить исправления для всех обновлений. Для некоторых наших систем нет исправлений, потому что они больше не поддерживаются провайдером.

Похоже, что преступники лучше знают вашу личную информацию, чем вы. Это просто увлекательно. Если вы помните, IRS начала использовать этот IP-пин, чтобы добавить дополнительный уровень безопасности вашим налогам, но у этого было несколько собственных проблем. Прежде всего, ваш PIN-код выдается через веб-сайт. Сравните это с тем, когда ваш банк отправляет вам ваш PIN-код по почте. Если вы потеряли свой PIN-код IRS и хотели его восстановить, вам нужно было пройти через тот же веб-сайт irs.gov, чтобы ответить на те же слабые вопросы KBA, которые злоумышленники победили, чтобы получить ваши стенограммы. Угадай, что? Преступники это поняли и начали красть PIN-коды. В феврале 2016 года IRS опубликовала заявление, в котором говорилось, что было совершено более 464 000 несанкционированных попыток получить PIN-код. Хакеры успешно получили от налогоплательщиков 101 000 PIN-кодов.

Затем налоговая обнаружила кое-что еще. Они провели еще одну проверку людей, которые сделали Get Transcript на веб-сайте. Они обнаружили, что число было выше, чем они первоначально думали. Сначала в IRS сказали, что это 101 000 человек, а потом выяснилось, что их было 334 000. Теперь IRS говорит, что это вдвое больше; У 724 000 человек налоговые декларации были украдены преступниками с помощью этой функции веб-сайта Get Transcript. Было отправлено больше писем и выпущено больше бесплатного кредитного мониторинга. В IRS есть целый отдел под названием Отдел уголовных расследований IRS, а в самой IRS работает более 2000 специальных агентов, которые специально расследуют налоговые махинации. Эти специальные агенты будут работать с ФБР, секретной службой, национальной безопасностью и местной полицией, чтобы выследить и поймать этих преступников.

Но поскольку сокращение бюджета ударяет по IRS, это означает, что около 4% специальных агентов теряют работу каждый год. Чем меньше расследований, тем меньше арестов. Отдел уголовных расследований IRS открывает около 35000 дел в год и фактически ловит и осуждает около 3000 человек в год. Узнали ли они, кто это сделал, и привлекли ли они их к ответственности? Я не уверен. Однако вот что я нашел. Министерство юстиции выпускает пресс-релиз каждый раз, когда кто-то выносится приговор за мошенничество с возмещением украденной личности. В нем перечислены сотни и сотни дел, начиная с 2010 года. Я начал просматривать его, просматривая записи дел, даты и преступления, чтобы найти что-нибудь, совпадающее с этим. Вещи начали появляться. Вероятно, самым крупным из них, которого я видел, был нигериец, которого поймали и приговорили к пятнадцати годам тюрьмы за осуществление одной из самых крупных схем налогового мошенничества.

Вот что произошло: группа людей в штате Орегон сообщила, что кто-то подал за них возврат налога. Группа уголовного расследования IRS изучила это и обнаружила, что кто-то мошенническим образом подавал налоговые декларации для людей в Орегоне и забирал все их возмещения. Они проследили эту деятельность до нигерийца по имени Казим, который жил в Мэриленде. Они арестовали его и нашли в его доме 150 предоплаченных кредитных карт, 40 000 долларов денежными переводами и 14 000 долларов наличными. В ходе суда они узнали, что произошло. Казим приобрел личную идентификационную информацию у вьетнамского хакера, в частности, 259 000 записей у компании в Орегоне. Возможно, вьетнамский хакер украл базу данных кредитного агентства или медицинского учреждения в Орегоне.

Затем Казим использовал эту информацию, чтобы выполнить Get Transcript на веб-сайте irs.gov, а также получить PIN-коды с веб-сайта для подачи налоговых деклараций для этих людей. Он подал 10 000 налоговых деклараций, что привело бы к получению 91 000 000 долларов, если бы он получил все декларации, но многие из них не были приняты. Ему удалось вернуть только 11 000 000 долларов за счет мошеннических возвратов. Чтобы сбить полицию с толку, он переправил большую часть денег через Нигерию, а затем обратно к себе. На него работали еще пять человек, все они были арестованы и посажены в тюрьму. Возможно, этот парень, Казим, был одним из самых крупных игроков в этой бреши, но я не думаю, что он был единственным. Просматривая другие аресты на веб-сайте Министерства юстиции, я вижу еще несколько, на этот раз даже ближе к дому.

Есть парень из Техаса, которого поймали и арестовали за то, что он мошеннически использовал функцию «Получить выписку», собирал информацию о людях и подавал для них налоговые декларации. Он был приговорен к двум годам лишения свободы. Затем была пара из Джорджии, которая была арестована за использование функции «Получить выписку» и получила возврат налогов на сумму более 1 000 000 долларов. Их обоих тоже посадили в тюрьму на несколько лет. Затем был еще один парень в Техасе, который также был пойман на использовании функции «Получить выписку» и тоже подавал ложные налоговые декларации. На самом деле, когда я начал выяснять, кто подает подобные мошеннические налоговые декларации, основание этой истории начало выпадать. Возьмем, к примеру, случай Даниэлы. Она 27-летняя экзотическая танцовщица из Тампы, штат Флорида, но ее арестовали за налоговое мошенничество. Она украла более 1 000 000 долларов в качестве возмещения налогов у людей, которых она не знала.

Она продолжала избегать наказания в течение четырех лет. На самом деле, в некоторых кругах она известна как пионер в этом деле. Она устраивала что-то под названием дроп-вечеринки. Здесь вы собираетесь и обмениваетесь тактиками, украденными личными данными и обучаете других, как это делать. В конце концов ее поймали и посадили в тюрьму.

Вы можете думать, что это не ваша проблема, это проблема IRS, но если вы рассчитываете или ожидаете большую налоговую декларацию, а кто-то другой получает ее вместо вас, теперь это ваша проблема. Конечно, IRS может потратить шесть месяцев на расследование и вернуть вам деньги, но эта задержка может стать кошмаром. Мы должны защитить себя. IRS вернула функцию «Получить выписку» на веб-сайте, и теперь для ее получения требуется дополнительная информация, например, вам нужно знать номер своего ипотечного счета и номер телефона, чтобы получить выписку. Но вы можете видеть, что этот метод аутентификации начинает показывать свой возраст и может больше не быть безопасным, потому что информация, которую знаете только вы, теперь известна хакерам по всему миру. Кто знает, что было украдено при взломе EquiFax? Может быть, вся база данных. Это могло раскрыть всю нашу секретную информацию, что полностью аннулировало бы KBA. Система KBA используется не только в IRS.

Они разрабатывают чрезвычайно продвинутые фильтры и алгоритмы для обнаружения мошенничества и проделали потрясающую работу по его устранению. Но это одна из тех вещей, которые никогда не снизятся до нуля, потому что мошенники будут постоянно искать лазейки или слабые меры безопасности и использовать их при любой возможности. Я не могу представить себе кошмар попыток обезопасить IRS. Поскольку он собирает более трех триллионов долларов налоговых поступлений в год, это горячая цель. IRS видит бесконечное количество нападений, мошенничества, мошенничества и воров, особенно во время налогового сезона, когда преступники могут попытаться спрятаться за массой отправляемых налоговых деклараций. Одна из самых больших проблем с веб-сайтом IRS заключается в том, что он должен быть достаточно простым для использования пожилыми людьми, но в то же время действительно безопасным. Я не уверен, что вообще выполнимо заставить всех регистрироваться с помощью электронной почты или двухфакторной аутентификации.

Это настолько сложная проблема, что у меня на самом деле голова болит, пытаясь найти решение этой проблемы. Это новый ландшафт угроз, с которыми приходится сталкиваться правительствам, и эти атаки становятся все более масштабными и изощренными. В 2016 году мы увидели целый ряд взломов компаний, и украдены были просто их налоговые отчеты W-2. У бывших и нынешних сотрудников CGATE и Snapchat были украдены их W-2, что было достаточной информацией для этих уличных банд, чтобы подавать декларации и открывать кредитные карты на ваше имя.

Эпизод 23: Чем опасны арабские хакеры

Ведущий: Для этой истории мы направляемся на Ближний Восток.

МОХАММЕД: Итак, меня зовут Мохаммед Альдуб. По-арабски это пишется م.محمد الدوب.

Ведущий: Да, так где ты сейчас?

МОХАММЕД: В Кувейте, как всегда. Это то место, откуда я родом.

Ведущий: Сейчас Мохаммеду за тридцать, но с подросткового возраста он увлекался компьютерами.

МОХАММЕД: Ну, Кувейт, как правило, представляет собой очень связанное общество, поэтому очень легко попасться на крючок с самого начала. С моей, скажем, возрастной группой, с интернетом, который вошел в наши дома в конце девяностых, рано подсел на технологии, это было – я думаю, это было очень просто. Но потом я действительно поступил в Кувейтский университет, в инженерный колледж и на факультет компьютерной и программной инженерии, так что я получил диплом инженера в этом направлении. Но затем, после выпуска, я действительно занялся кибербезопасностью. Итак, я пришел в кибербезопасность примерно в 2010 году.

https://i.gyazo.com/bcaf899af23450ea...6769091753.png

Ведущий: Он получил работу в правительстве Кувейта, занимаясь обеспечением безопасности систем, и довольно рано осознал важность Интернета и защиты всего, что в нем есть.

МОХАММЕД: В мои ранние годы, где-то в 2010 и 2011 годах, я на самом деле познакомился с покойным Дэном Камински, и его руководство было действительно удивительным в отношении того, как новый и подающий надежды человек, такой как я, мог бы сделать, чтобы должным образом заняться кибербезопасностью. Я думаю, что с появлением социальных сетей, которые штурмом захватили политическую и общественную сцену Кувейта, для меня было совершенно естественным использовать эту платформу для обсуждения кибербезопасности и повышения осведомленности.

Ведущий: У Мохаммеда много поклонников в Твиттере. Там его зовут Вулнет, и он не говорит мне, что это значит. Сегодня у него 73 000 подписчиков, но чтобы добиться этого, он поделился в Твиттере большим количеством знаний о безопасности.

МОХАММЕД: Я сделал много — я бы сказал, что твит-шторм — это когда я беру определенный образец вредоносного ПО, который только что был свежим, в настоящее время используется для атаки на какую-то организацию в регионе Персидского залива, затем я выходил в эфир в Твиттере, пытаясь проанализировать вредоносное ПО, как это работает, что делает с системами. Так что это было чем-то вроде того, что мы делаем для сообщества, для толпы. Людям это понравится. Люди будут заниматься этим.

Ведущий: После колледжа он смог устроиться на работу в правительство Кувейта. Ему было поручено делать такие вещи, как обеспечение безопасности систем, анализ вредоносных программ и другие работы по кибербезопасности. Он хорошо разбирался в безопасности, масштабировался, и его популярность в Твиттере росла. С этим перед ним начали открываться новые двери.

МОХАММЕД: Затем, в 2018 году, я фактически оставил эту государственную работу, а затем прошел свой первый официальный тренинг по кибербезопасности, который проходил за границей. Это было в Нидерландах, поэтому я провел курс по анализу вредоносного ПО для Android для голландской полиции. Так что это было довольно интересно, потому что это был официальный первый официальный тренинг, который я провел за пределами Кувейта перед аудиторией в Европе.

Ведущий: Ему очень понравилось. Обучать людей новым вещам весело, поэтому он огляделся в поисках дополнительных возможностей для обучения.

МОХАММЕД: На самом деле меня приняли в Black Hat в качестве препода, и для меня это было сбывшейся мечтой. Я никогда не думал — обычно, когда я работал в правительстве, я мечтал посетить Black Hat, понимаете?

Ведущий: Black Hat — это ежегодная конференция по безопасности в Лас-Вегасе, которая проходит за неделю до Defcon, и Black Hat больше ориентирована на профессионалов в области безопасности и людей, которые хотят научиться лучше защищать свои системы. Обучение там, как я слышал, довольно хорошее, поэтому Мохаммед гордился тем, что его выбрали в качестве тренера. В частности, он планировал провести курс по защите конечных точек API. Но был 2019 год, и он получил известие, что станет тренером в начале этого года, например, в феврале или марте. Но Black Hat появится только в августе, так что у него было пять месяцев на подготовку. Именно в эти пять месяцев происходит эта история, история, изменившая его жизнь. Что Мохаммед любит делать, так это изучать новейшие вредоносные программы, и особенно его интересовало вредоносное ПО, которое каким-то образом использовалось в Кувейте, где он жил.

МОХАММЕД: Итак, конечно, находясь в регионе Персидского залива, было много интересных участников угроз, особенно, например, из Ирана, из других стран, из Израиля, других организаций и стран мира. Таким образом, очевидно, что регион Персидского залива был сильно атакован, и обычно это было что-то регулярное, когда мы пытались охотиться за угрозами, пытались искать государственных субъектов, атакующих определенные объекты.

Ведущий: Как государственному служащему, ему иногда присылали вредоносное ПО для анализа, и это было круто. Но поскольку он уволился с работы, ему нужно было найти новое место, чтобы следить за последними вредоносными программами, распространяющимися в Кувейте.

МОХАММЕД: Один из лучших способов поиска таких вещей — использование VirusTotal.

Ведущий: VirusTotal; это увлекательный веб-сайт. Итак, бесплатная услуга, которую они предлагают, заключается в том, что если вы обнаружите какое-либо вредоносное ПО, вы можете загрузить его на их сайт, и он сообщит вам, что это за вредоносное ПО. Это очень полезно для групп безопасности, чтобы получить информацию о любом вредоносном ПО, которое они нашли в своей сети. Я имею в виду, подумай об этом; предположим, что ваш компьютер работает плохо. Вы открываете Диспетчер задач и видите там запущенную службу. Что ж, вы можете взять его, загрузить на VirusTotal, и он сообщит вам, считают ли какие-либо антивирусы это вредоносным, и любую дополнительную информацию об этом вредоносном ПО. Так что да, службы безопасности постоянно загружают вредоносное ПО на этот сайт. Но если у вас премиум-членство, вы получаете бонусную функцию; если кто-то загружает какое-то вредоносное ПО в VirusTotal, и это файл, который он никогда раньше не видел, вы можете получить предупреждение. Таким образом, исследователям безопасности может быть интересно узнать, что может содержать этот новый файл, и они могут загрузить его и проанализировать. Мохаммед любил эту функцию.

МОХАММЕД: Я бы использовал его для фактического поиска атак, нацеленных на Кувейт, образцов вредоносных программ, загружаемых из Кувейта, из других стран региона, потому что они, очевидно, представляют интерес для моей работы.

Ведущий: Как он уже говорил, иногда он брал вредоносное ПО с этого сайта, VirusTotal, и начинал прямую трансляцию, когда изучал его, чтобы посмотреть, что в нем. Поскольку он говорил по-арабски, это также помогло ему лучше понимать угрозы, нацеленные на регион Персидского залива. Таким образом он находил довольно интересные вещи и писал об этом в Твиттере, а вскоре после этого видел, как некоторые крупные компании, занимающиеся безопасностью, публикуют предупреждения об этом. Это то, что я бы назвал исследованием безопасности.

На этом история Мохаммеда только начинается. Продолжение выйдет уже через неделю, не пропусти!

Эпизод 24: Как Северная Корея ограбила банк Кувейта

МОХАММЕД: Да, в марте, в конце марта 2019 года, я выполняю обычную работу по поиску угроз. Я нашел образец, напоминающий банковское вредоносное ПО, который был загружен из Кувейта.

Ведущий: Хорошо, это уже интересно. Мохаммед увидел, что на VirusTotal было загружено какое-то невиданное ранее вредоносное ПО, скачал его, изучил и обнаружил, что оно нацелено на банк. Не было сказано, какой банк, но у Мохаммеда было довольно хорошее предчувствие, что это какое-то банковское вредоносное ПО. Итак, он смотрит на это совершенно неизвестное вредоносное ПО, нацеленное на банк, которое было загружено откуда-то из Кувейта. Увлекательно, правда? Что ж, если вы думаете, что это увлекательно, возможно, вы гик. Немногие люди на планете просматривают совершенно новые вредоносные программы, загруженные на VirusTotal, пытаясь понять, что там происходит, но Мохаммед делает именно это, потому что ему нравится открывать для себя эти новые вещи, потому что они задают самые разные вопросы. Для какого банка это было? Загрузил ли его жертва или человек, который создал это вредоносное ПО? Действительно ли он заразил что-то и украл деньги? Что оно делает? Вот почему людям нравится следить за ним в Твиттере, потому что иногда он находит довольно интересные вещи.

МОХАММЕД: Итак, я зашел — скачал и проанализировал его, и фактически обсудил в Твиттере, отправил хэши для этого вредоносного ПО, чтобы любой в регионе мог найти эти хэши в своей среде и посмотреть, есть ли у них та или иная атака. вредоносное ПО.

Ведущий: Итак, он создал тред в Твиттере, и в то время у него было около 40 000 подписчиков в Твиттере. Он написал, цитирую: «Для тех, кто интересуется банковской безопасностью, вот некоторые весьма вероятные индикаторы компрометации в результате локальной банковской SWIFT-атаки, о которой вы, возможно, слышали». В то время в новостях ходили другие истории о взломе банков и краже денег с помощью системы денежных переводов SWIFT. Мохаммед увидел это вредоносное ПО и догадался, что оно может быть каким-то образом связано с этими атаками, и решил, что важно твитнуть о том, что он обнаружил. Он продолжил и разместил имена файлов и хэши файлов в Твиттере, и вы можете думать о хэше файла как о отпечатке пальца файла. Вместо того, чтобы публиковать сами файлы в Твиттере, он выложил хэш. Это делается для того, чтобы другие люди могли просматривать хэши своих файлов, чтобы проверить, есть ли это вредоносное ПО в их системах. Публикация таких хэшей файлов предпочтительнее, потому что при этом не публикуются какие-либо конфиденциальные данные, содержащиеся в вредоносном ПО, на тот случай, если он содержит пароль, IP-адрес или что-то, связанное с жертвой.

МОХАММЕД: Итак, что интересно, я нашел некоторые строки в этих вредоносных программах, которые, я думаю, будут полезны людям для поиска в их среде, чем я и поделился.

https://i.gyazo.com/e7f8b844ad7a5cc1...df039e4367.png

Ведущий: Итак, один из методов анализа вредоносного ПО — запуск над ним команды «strings». Это будет искать вредоносное ПО для любых удобочитаемых слов, и он просто выдает список слов для вас. Это может дать вам некоторые подсказки относительно того, что происходит, например, любые внутренние заметки, оставленные в коде, или другую информацию, удобочитаемую человеком. Мохаммед просмотрел код в поисках удобочитаемых слов, и одно слово выделилось для него: GBKADMIN. Почему в этой вредоносной программе есть слово GBKADMIN? Это имя пользователя? Это название вредоносной программы? Является ли GBKADMIN чем-то важным? Он понятия не имел и просто решил написать об этом в Твиттере, сказав своим подписчикам, что вредоносная программа содержит GBKADMIN, и это может что-то значить.

МОХАММЕД: Итак, сам образец вредоносного ПО на самом деле не указывает на определенный банк с уверенностью.

Ведущий: Что дало ему уверенность в том, что его посты в Твиттере в порядке. Он не называет банк, он старается не публиковать какую-либо конфиденциальную информацию, поэтому он разместил кучу материалов, которые он нашел, поговорил об этом с людьми, а затем как бы закрыл свое исследование этого и покончил с этим, перемещая на другие вещи. В конце концов, он не работал в банковском секторе, поэтому все, что он мог сделать, это просто предупредить других людей о том, что в Кувейте есть какое-то банковское вредоносное ПО, и, поскольку он это сделал, теперь он может сделать что-то еще. Ему больше нечего делать по этому поводу. Что ж, несколько дней спустя мы увидели твит из аккаунта Gulf Bank of Kuwait в Твиттере, в котором говорилось, что у них произошел сбой в обслуживании. В результате сбоя в обслуживании они потеряли 9 миллионов долларов.

МОХАММЕД: Да, 2,8 миллиона кувейтских динаров.

Ведущий Очень интересно, что Gulf Bank of Kuwait сообщил о проблеме.

МОХАММЕД: Да, я понял, что что-то определенно было не так, потому что это происходит не со всеми банками, понимаете, проблема в вашей транзакции с такими большими убытками, а затем банк публично говорит об этом. Так что, очевидно, что-то действительно было не так. Именно поэтому он привлек внимание страны. Мол, все в Кувейте говорили об этом. Что имел в виду Gulf Bank под этим заявлением?

Конечно, я собрал эти части воедино. Звучало так, как будто там была возможная связь.

Ведущий: Но да, он ничего публично не говорил о своих теориях, которые могли бы связать найденное им вредоносное ПО с Gulf Bank. Он просто смотрел, как об этом говорят в Твиттере, и заметил. Итак, Gulf Bank — четвертый по величине банк Кувейта. В то время они сами сообщали, что у них было 2,25 миллиарда долларов капитала, а потеря 9 миллионов долларов составила менее половины процента от их общего капитала. Но опять же, я хочу подчеркнуть здесь слово «потерять», а не «украсть» или «ограбить». Gulf Bank никогда не говорил, что деньги были украдены или что они были ограблены, только то, что произошел сбой в обслуживании, в результате которого они потеряли миллионы кувейтских динаров. Что ж, через несколько дней после этого следующая новость, которую мы получили из банка, заключалась в том, что они уволили своего генерального директора по информационным технологиям, не объяснив публично почему. Генеральный менеджер, похоже, был особенно удивлен этим и сказал, что было несправедливо, что они попросили его уйти. В банке происходило что-то важное, и они не скрывали, что именно. На следующей неделе Мохаммед отправляется на мероприятие по безопасности в Кувейте, чтобы пообщаться с другими людьми в области информационной безопасности. Но пока он общался на этом мероприятии, у него зазвонил телефон.

МОХАММЕД: Мне позвонил кто-то из отдела киберпреступности.

Ведущий: Они сказали ему, что существует вероятность того, что Gulf Bank собирается пожаловаться в полицию на его твиты, в которых говорится о вредоносном ПО, которое он нашел на VirusTotal, и они попросили его спуститься, чтобы они могли его допросить.

МОХАММЕД: Я был чрезвычайно осторожен в своих формулировках всех исследований, которые я проводил, чтобы не включать ничего, что явно связывало бы с определенной организацией или определенным банком, о котором я говорил. Без привязки их к определенному объекту по имени. Так что юридически я был чист. Итак, я пошел на допрос, и меня спросили: "Это ваши твиты?" Я говорю: "Да". "Вы имели в виду – Gulf Bank?" Я сказал: "Нет, я не упоминал их и не имел в виду их в своих твитах", и на этом допрос закончился.

Ведущий: Хорошо, может быть, это рутинная часть расследования, когда банк просто проявляет должную осмотрительность, отслеживая любые улики или версии об инциденте. Поскольку Мохаммед написал в Твиттере об обнаруженной им банковской вредоносной программе, возможно, это было нечто большее, поэтому полиция допрашивала его. Поговорив с ними, он почувствовал облегчение и подумал, ну вот, наверное, и конец.

МОХАММЕД: Именно тогда и произошли интересные вещи. Примерно в то же время мне пришлось отправиться в США в сопровождении жены, потому что она навещала свою мать, которая лечилась и была очень больна в Соединенных Штатах. Итак, я прилетел в США, и пока я был в США, мне позвонили, что мне нужно явиться на расследование прокуратуры.

Ведущий: Они хотели, чтобы он присутствовал при расследовании, потому что хотели задать ему дополнительные вопросы о том, что он знал об этом инциденте в банке «Галф». Знал ли он больше, чем то, о чем писал в Твиттере? Этот второй раунд допроса немного беспокоил его, но он знал, что невиновен, и хотел сотрудничать. Итак, он сказал им, что находится в США, помогает ухаживать за больным членом семьи, и он не может приехать в назначенную дату, но он будет рад приехать, как только вернется в Кувейт. Он даже показал им свой обратный билет на то, когда он вернется, и они сказали, что все в порядке, без проблем. Итак, он закончил свою поездку в США и вернулся в Кувейт, и отправился на переговоры со следователями. Но они сказали, что, поскольку он не явился в назначенную дату, ему теперь предъявляют обвинения.

МОХАММЕД: Поскольку государственное обвинение продолжало расследование, не дожидаясь моего приезда, я был расценен как воздерживающийся, так оно и было – меня обвинили, скажем, в обвинении кувейтского закона, что означает злоупотребление служебным положением. Дело в том, что кувейтский закон был, скажем так, сформулирован, и я разглашал коммерческую тайну истца.

Ведущий: Что? Твиты Мохаммеда привели к тому, что его обвинили в злоупотреблении мобильным телефоном и разглашении коммерческой тайны? Что-то явно пошло не так.

МОХАММЕД: Я волновался, но ничего не мог с этим поделать. Так что единственное, что я мог сделать, это подготовить надежную защиту.

Ведущий: Итак, он нанимает адвоката, чтобы убедиться, что он правильно расследует это уголовное обвинение. Когда крупный банк выдвигает против вас обвинения и сообщает, что потерял 9 миллионов долларов, вы должны относиться к этому очень серьезно, даже если вы совершенно невиновны. Итак, он был очень осторожен, и часть его задавалась вопросом, насколько это связано со взломом и насколько это связано с нарушением законов о свободе слова в Кувейте?

МОХАММЕД: Итак, я на самом деле не юрист, но в целом конституция Кувейта дает большую свободу слова, но потом говорит, что в соответствии с законами. Затем законы уточняют общие меры защиты конституции. Итак, у нас есть законы о киберпреступлениях, у нас есть законы о печати, у нас есть законы о СМИ, например: видео, телевидение, радио. У нас также есть законы о государственной безопасности. Все эти законы способствуют, скажем так, дальнейшему ограничению свободы слова. Так вот, в Кувейте есть общественные деятели, о которых нельзя, скажем, например, говорить в каком-то, скажем так, дурном тоне независимо от вашего намерения. Есть ограничения на то, что вы можете говорить.

Вы не можете, например, использовать язык ненависти против религиозных или политических меньшинств. Итак, речь идет о политических аспектах, религиозных аспектах или ограничениях свободы слова, а также о киберпреступности. Закон о киберпреступности был на самом деле интересным, потому что он вышел в 2014 году и должен был касаться киберпреступлений или преступлений, связанных с кибербезопасностью, таких как, например, взлом или мошенничество. Но потом адвокаты стали злоупотреблять этим, люди фактически обвиняли любого, кто плохо отзывался о вас. Итак, если вы были государственным чиновником, если вы были фигурой в социальных сетях, и кто-то пытался говорить о вас так, как вам не нравится, вы можете пойти и попытаться подать на них в суд в соответствии с этим законом. Много раз это приводило к приговорам, по которым люди должны были платить штрафы. Я думаю, что мой случай был примером этого, потому что я на самом деле не делал ничего плохого.

Ведущий: Интересно. Таким образом, похоже, что если кто-то говорит что-то, что наносит ущерб вашей компании или вам, вы можете подать на него в суд и, возможно, заставить его заплатить штраф за то, что он сказал. Итак, Мохаммед еще несколько раз очень внимательно перечитал свои твиты, пытаясь выяснить, сказал ли он что-нибудь негативное в адрес Gulf Bank. Но он вообще даже не упомянул в своих твитах Gulf Bank, поэтому был уверен, что не сделал ничего плохого. Однако он упомянул слово GBKADMIN. Подождите минуту: GBK. Означает ли это, что Gulf Bank of Kuwait? Ха. Даже если бы это было так, он не знал этого в то время. Дата судебного разбирательства была назначена на июль 2019 года. Теперь, через месяц после даты судебного разбирательства, в августе в США должна была состояться акция Black Hat, и Мохаммед должен был провести занятие на этой конференции. Итак, он хотел завершить это испытание, чтобы поехать в США. Он идет в суд в июле. Там был только прокурор. Юрист банка даже не появился. Мохаммед обдумывал со своим адвокатом, что сказать.

МОХАММЕД: Тогда мы обеспечили действительно надежную защиту. Мы, скажем так, обсудили этот аспект, что в первую очередь это уже защищенная речь. Во-вторых, в нем не упоминался ни один банк по имени, не упоминался конкретно какой-либо товарный знак банка, и тот факт, что это абсолютно не секрет, потому что банк уже обсуждал, что возникла проблема: в их системе есть проблема, которая привела к потере миллионов долларов. Так что не было секретом, что в банке уже происходит что-то неладное. Вдобавок ко всему, между мной и банком не было никакого договорного соглашения, которое привело бы к тому, что я делился бы какой-либо тайной между мной и ими. Так что, думаю, наткнулся бы, скажем, из открытых источников, которые, конечно, не считаются секретами.

Ведущий: Судья выглядел убежденным и, похоже, был на его стороне, поэтому он готовился к полету в Лас-Вегас, чтобы посетить Black Hat. Сначала ему пришлось лететь в Нью-Йорк, а затем в Вегас.

МОХАММЕД: В ночь перед отлетом в Нью-Йорк я получил странный зашифрованный телефонный звонок и телеграмму. Но затем, когда я ответил, это был кто-то очень подозрительный. Он пытался как бы спросить об инциденте, который произошел в банке, а затем он попытался сказать, что у меня есть некоторая информация о взломе, который произошел в этом банке, — пытался дернуть меня за ниточку. Я чувствовал, что кто-то пытается втянуть меня в обсуждение этого инцидента, пытается найти, пытается заманить в ловушку. Итак, я понял, что это либо кто-то совершенно сумасшедший, либо я действительно был бы сумасшедшим, если бы не подумал, что это была чья-то попытка заманить в ловушку. Кто? Я не знаю. Кто бы попытался это сделать? Я понятия не имею, кому это было бы выгодно. Однако я вел себя хладнокровно, сказал им, что это юридический вопрос: это должно быть доставлено в правовые органы, бла, бла, бла. Затем я повесил трубку. Что было действительно подозрительным для меня, так это то, почему кто-то пытается нацелиться на меня, пытается заманить меня в ловушку таким образом? Я действительно разозлил некоторых влиятельных людей? Был ли этот твит настолько, скажем, сильным против того, кто его скомпрометировал? Неужели на банк действительно оказали давление люди, связавшие мой твит с инцидентом в банке? Я до сих пор не знаю, кто этот человек, но, конечно, как я уже говорил, было бы безумием не думать, что это была какая-то связанная с этим попытка заманивания в ловушку.

Ведущий: Это было странно, и это снова разожгло его беспокойство по поводу этого дела, но он все же поехал в США. Находясь в Вегасе, его адвокат связался с ним и сказал, что у судьи есть вердикт по делу.

МОХАММЕД: В конце концов судьям стало ясно, что это абсолютно не нарушало никаких законов Кувейта.

Ведущий: Итак, с него сняли все обвинения, и это отличная новость, пока ты в Вегасе, верно? Мохаммед сказал мне, что он не посещал там вечеринки, потому что был так сосредоточен на обучении и просто хотел вернуться в Кувейт, как только оно закончится. Итак, когда он вернулся в Кувейт, он связался со своим адвокатом, и все, казалось, было спокойно. Все было хорошо, и он был рад, что это позади. Это был август. Затем приходит сентябрь, а затем, в октябре, он получает еще одно сообщение.

МОХАММЕД: Да, адвокат присылает мне по WhatsApp сообщение о том, что они подали апелляцию.

Ведущий: Прокуроры хотели продолжить расследование. Его адвокат объясняет, что это всего лишь вопрос формальностей. Если прокуратура подаст его в апелляционный суд, а он все равно будет признан невиновным, то они могут сказать, что исчерпали все варианты в этом деле и могут оставить его в покое. Это создает впечатление, что прокуратура действительно усердно работала над раскрытием этого дела, и, поскольку это была всего лишь формальность, на него не было ни новых улик, ни каких-либо новых обвинений. Но Мухаммед все еще беспокоился об этом. Я имею в виду, по крайней мере, ему приходится тратить все эти деньги на судебные издержки, чтобы помочь ему. Апелляционный суд занял больше года, потому что коронавирус продолжал задерживать суды. Ожидание суда всегда нервирует, независимо от того, насколько вы уверены, что ни в чем не виноваты. Но, наконец, настала дата суда, и судья рассмотрел его дело.

МОХАММЕД: Меня сразу оправдали.

Ведущий: Мохаммед вздохнул с облегчением. Это означало, что все наконец закончилось. Да, с тех пор, два года спустя, все еще позади. Звонков из полиции по этому поводу больше не поступало. Но к чему это привело, если вы нашли вредоносное ПО на VirusTotal и написали в Твиттере о том, что вы нашли. Так вот, в то время по всему миру происходила большая волна ограблений банков. Кто-то ходил вокруг, обычно рассылая фишинговые электронные письма банковским служащим, взламывая банк, а затем нацеливая сеть SWIFT, чтобы украсть миллионы долларов из банков. Многие из них работали. Организация Объединенных Наций расследовала это и опубликовала отчет, в котором говорится, что правительство Северной Кореи несет ответственность за ограбление банков в Бангладеш, Чили, Коста-Рике, Гамбии, Гватемале, Индии, Либерии, Малайзии, Мальте, Нигерии, Польше, Республика Корея, Словения, Южная Африка, Тунис, Вьетнам и Кувейт.

Прямо здесь, черным по белому, в отчете ООН о расследовании говорится, что в марте 2019 года правительство Северной Кореи ограбило банк в Кувейте. Это точно тот же месяц и год, когда Gulf Bank объявил о сбое в обслуживании и потерял 9 миллионов долларов. В этом отчете ООН не говорится, какой банк в Кувейте был ограблен, но говорится, что украденная сумма составила 49 миллионов долларов. Итак, это большое несоответствие цифр, что означает, что либо Gulf Bank не был ограблен, но действительно произошел какой-то странный сбой, из-за которого они потеряли миллионы долларов, что означает, что совершенно другой банк был ограблен в том же месяце и году в Кувейте, или Gulf Bank of Kuwait не сказал правды, заявив, что это был сбой в обслуживании, когда на самом деле это было ограбление, заявив, что это 9 миллионов долларов, когда на самом деле это было 49 миллионов долларов. Мы не знаем правды в этой истории.

МОХАММЕД: Ага. Таким образом, существует разница между твитом Gulf Bank и тем банком, на который пытался намекнуть отчет ООН. Итак, либо он нацелен на другой банк, либо, может быть, в этой истории есть нечто большее, чем то, что было опубликовано в открытых источниках.

Ведущий: Большое спасибо Мохаммеду Альдубу. Вы можете найти его в Твиттере: его зовут @Voulnet.

Эпизод 25: Как работают вымогатели

Вступить в наш чат

Программы-вымогатели ужасны. Они заражают вашу машину и блокируют все данные, а чтобы разблокировать, вы должны заплатить. В этом эпизоде мы углубимся в эту тему.

https://i.gyazo.com/a30c78a9407e8dc9...d9b7275ca8.png

Ведущий: Это история о парне по имени Зейн Кайзер. Это был 2011 год. Зейну было семнадцать лет, и он жил со своими родителями в Баркинге, что в Восточном Лондоне, Великобритания. В то время он изучал информатику в Городском университете, который находится прямо в центре Лондона. Большую часть времени он проводил за своим MacBook Pro. Городской университет был одним из первых в Великобритании, предложивших курсы компьютерных наук. Более того, у них один из самых высоких показателей трудоустройства выпускников. Те, кто заканчивает курсы, получают хорошую работу в информационной безопасности и делают успешную карьеру. Зейн не закончит свои курсы, не закончит учебу и не сделает блестящую карьеру. В темных частях Интернета существует целая секретная экономика вредоносных программ. Вы можете нанять хакера или купить эксплойты, вы можете заплатить за использование ботнета или вы можете покупать и продавать украденные у людей данные. Онлайн-преступники сегодня часто являются лишь одним звеном в цепочке поставок.

Один набор эксплойтов, найденный в даркнете, называется Angler. Некоторые очень умные хакеры сделали это. Мы думаем, что это, вероятно, было сделано в России. Вот как это работает: он начинает с того, что каким-то образом заставляет вас посетить вредоносный веб-сайт. Теперь веб-сайты, которые вы можете посетить, могут многое рассказать о вашем компьютере. Они могут проверить, какая у вас версия Flash или Java, и если вы зайдете на веб-сайт, на котором запущен Angler Exploit Kit, он сделает именно это. Он проверит, какие версии программного обеспечения вы используете. В основном он сканирует ваш компьютер на наличие устаревшего программного обеспечения. Он проверит вашу версию Adobe PDF Reader, затем версию Silverlight, затем версию Java, а затем версию Flash. Если он видит, что какой-либо из них устарел и имеет известную уязвимость, он переходит ко второму шагу. Он попытается воспользоваться этой уязвимостью и получить доступ к вашему компьютеру.

Давайте погрузимся в это на секунду. Одна из уязвимостей, которую будет использовать Angler Exploit Kit, называется уязвимостью Use After Free. Это где у программы были какие-то данные в памяти, но она покончила с ними и освободила их, но где-то в программе все еще есть ссылка на эту часть памяти. Хорошо, предположим, вы ели попкорн с другом и смотрели фильм. У вас на коленях чашка с попкорном, и вы делитесь ею с ними. Он берёт горсть, потом ты берешь горсть, потом он берёт горсть, потом ты берешь последнюю горсть. Попкорн закончился. Чашка пуста, но ваш друг не знает об этом. Он все еще думает, что в тарелке есть попкорн, поэтому вы играете с ним небольшую шутку и вместо этого кладете чашку спагетти себе на колени. Когда он идёт к чашке с попкорном, он засовывают руку в чашку со спагетти. Примерно так выглядят уязвимости Use After Free.

Ваш друг был запрограммирован лезть в чашку с попкорном, думая, что там что-то есть, но там ничего не было. В мире программного обеспечения вы можете поместить некоторые команды в эту чашу, чтобы, когда программа потянулась к ней, она выполнила те команды, которые вы ему сказали. Типа гениально, да? Ладно, хватит плохих аналогий. Angler — это набор эксплойтов, то есть он не просто содержит один эксплойт, а вместо этого ищет на вашем компьютере любой эксплойт, который он может использовать. У него могут быть десятки возможных эксплойтов, и если он их находит, то запускает на вашем компьютере команды, которые он не должен выполнять. На этом Англер как бы останавливается. Его задача на самом деле просто войти и выполнить полезную нагрузку. Однако полезной нагрузкой может быть что угодно; это может быть кража пользовательских данных или паролей, это может быть привязка вашего компьютера к ботнету, или это может быть просто удаление всего на компьютере.

Короче говоря, если на вашем компьютере установлено устаревшее программное обеспечение и вы посещаете веб-сайт с установленным набором эксплойтов Angler для уничтожения вашего компьютера, ваш компьютер будет заражен за считанные секунды и начнет удалять файлы. Страшные вещи. Однако семнадцатилетний Зейн Кайзер подумал, что это круто, и подумал, что это может принести ему немного денег. Проблема заключалась в том, что в то время программное обеспечение Angler было трудно достать. В начале 2012 года Зейн был очень активен в чатах и на форумах, используя свое имя пользователя K!NG, но с восклицательным знаком перед буквой «i». У него была идея, и он хочет воплотить свой план в жизнь. Зейн связывается с русскими создателями Angler и говорит им, что у него есть навыки и опыт, чтобы заработать им много денег. Вы предоставляете вредоносное ПО, сказал он, и я заражу им множество компьютеров.

https://i.gyazo.com/eb6771db75330d5e...c35b413e8a.png

ейн говорит им, что у него есть опыт в социальной инженерии и что он умеет манипулировать людьми, чтобы получить то, что он хочет, и у него нет проблем с этим. Он носитель английского языка и знает, как работает индустрия онлайн-рекламы. Зейн предложил разделить прибыль. Это была партнерская подача, и один из россиян был готов выслушать эту подачу. Соглашение было заключено. Зейн приступил к реализации своего плана. У него есть набор Angler Exploit Kit, который хорош для проникновения в компьютер жертвы, но это все, для чего он годен. Вам все еще нужна полезная нагрузка или действие после того, как машина эксплуатируется. Зейн решил вооружить Англера Реветоном. Reveton — мощная программа-вымогатель, которая шифрует весь жесткий диск пользователя с помощью пароля. Затем вы должны заплатить деньги, чтобы получить этот пароль для его расшифровки. Это идеально сработало для Зейна. Теперь у него есть набор эксплойтов для использования в качестве оружия, который установлен на веб-сайте и ждет, пока кто-нибудь посетит его, чтобы заразиться.Но как заставить кого-то зайти на ваш сайт, чтобы заразиться? Его идея заключалась в том, чтобы покупать онлайн-рекламу, которая указывала бы людям на его вредоносный веб-сайт. Где бы он купил эту рекламу? На порносайтах. Русские предоставили ему поддельные удостоверения личности, документы и учетные данные, чтобы он мог убедить законные рекламные агентства в том, что он обычный рекламщик. Это типичный пример вредоносной рекламы. Как только люди нажимают на эту ссылку, они перенаправляются на вредоносный веб-сайт, и компьютер будет заражен той программой-вымогателем Reveton, которую Зейн установил в Angler. Теперь, если вы собираетесь требовать выкуп, вам нужно иметь что-то, за что ваша жертва готова заплатить. Конечно, если вы заблокируете чей-то компьютер и скажете, что заплатите мне, чтобы разблокировать его, это может сработать, но план Зейна был немного более дьявольским.

Вымогатель Reveton иногда называют полицейским вирусом, потому что, когда вы заражаетесь им, он показывает вам логотип полиции и сообщает, что жертва нарушила закон, посетив этот порносайт. Компьютер не только зависает, но на экране внезапно появляются слова «порно», «детское порно», «ФБР» и «уголовные обвинения». Ну, вы поняли. Для Zain, нацеленного на людей, посещающих порносайты, чтобы попытаться заставить их нажать на это объявление, чтобы они могли быть заражены вредоносным ПО, было идеальное совпадение с этой программой-вымогателем. Это своего рода блестящая комбинация социальной инженерии и хакерства. Жертвы этого были бы не только в бешенстве, но и в смущении, стыде и даже страхе. Если вы заразите компьютер вашей семьи или рабочий компьютер, господи, какой беспорядок будет объяснять, что вы были на порносайте, когда заразились. Зейн безжалостно преследовал этих людей, и вскоре с его платной рекламой жесткие диски начали заражаться этой вредоносной программой.

На экране Зейна с требованием выкупа даже говорилось, что IP-адрес жертвы был передан в полицию. Но чтобы все это исчезло, все, что вам нужно сделать, это заплатить 200 долларов, и все исчезнет. Люди начали расплачиваться. Летом 2012 года, заключив соглашение с российской преступной группировкой, Зейн начал свою первую стадию, которая впоследствии превратилась в колоссальную аферу с программами-вымогателями. В Интернете почти нет веб-сайта, на котором не отображается какая-либо реклама. Рекламное место на популярных сайтах с большим трафиком пользуется спросом, и рекламодатели будут платить хорошие деньги, чтобы получить это рекламное место. Проблема возникает, когда размещенное объявление находится прямо перед вредоносным ПО, тайно встроенным в его код. Некоторые известные веб-сайты, такие как New York Times и The Atlantic, пострадали от вредоносной рекламы. Эти веб-сайты имеют высокий трафик, и они ничего не знали об этих мошенничествах, которые происходили. Зейн был полностью осведомлен о вредоносной рекламе, вредоносной рекламе, и понимал, как ее реализовать.

Он действовал как законный рекламодатель, стремящийся приобрести рекламное место на некоторых из крупнейших порнографических сайтов в мире. Принимал участие в торгах премиум-площадок в режиме реального времени; постоянно меняющийся рынок, и процесс торгов является конкурентным. По сути, платя за рекламу, он покупал трафик на свой сайт, а платный трафик приносил быстрые результаты. Настройте его, и вы сразу увидите больше посетителей и кликов. Все, что требовалось Зейну, — это щелкнуть по рекламе, и дело пошло. Это знание отчасти было причиной того, что Заин заинтересовал российскую преступную группировку. С их навыками программирования и его пониманием рекламного рынка они были уверены. Рекламная компания, с которой работал Зейн, ничего не знала о его истинных намерениях. Зейн добавил в свою рекламу перенаправления на веб-сайты, зараженные вредоносным ПО, набором эксплойтов Angler. Пользователи не знали об этом, но как только их браузер заходил на этот сайт, Angler сканировал их систему в поисках способа заразить ее.

Набор Angler Exploit Kit похож на собаку-ищейку, пытающуюся найти свою цель. Вы можете спросить, почему антивирус не останавливает это? Ну, во-первых, многие люди не используют антивирус, поэтому они как сидячие утки, особенно если они не обновляют свое программное обеспечение. Вот почему я говорю вам всегда обновлять свое программное обеспечение. Но, во-вторых, создатели Angler были очень умны, чтобы избежать его обнаружения. Он будет постоянно менять домены и IP-адреса, чтобы избежать попадания в черный список, и будет шифровать весь трафик, чтобы антивирус не обнаруживал вредоносные команды. Это изменило бы его внешний вид, чтобы избежать обнаружения совпадающих строк, которые может искать антивирус. Это мошенник вредоносного ПО.

Angler даже не нуждался в собственных файлах для запуска атаки. Ему даже не потребовалось время на машине, прежде чем она могла работать. Он может обнаружить уязвимость, отправить команды для ее использования, а затем выполнить все необходимые действия. Вдобавок ко всему, у российских кодеров, которые его сделали, тоже была уязвимость нулевого дня, уязвимость в Adobe Flash, о которой Adobe даже не знала. Это было скрытно, хитро и очень эффективно. Программа-вымогатель, которую предпочитали Зейн и эта русская группа, называлась Reveton. Его называют полицейским вирусом или даже вирусом ФБР, поскольку он выдает себя за официальное уведомление полиции.

РЕПОРТЕР: Внимание всем, у кого есть компьютер. Новый вирус не только заражает ваш компьютер, но и мошенники, стоящие за ним, также вымогают деньги. Он называется вирусом ФБР, но к полиции не имеет никакого отношения.

Ведущий: Это программа-вымогатель с элементами социальной инженерии. Это психологический трюк, тактика запугивания. Компьютер завис и отображал логотип ФБР. Он показал сообщение: «Вы нарушили закон. Вам грозит тюремное заключение. Мы зафиксировали изображения на этом сайте для взрослых с помощью вашей веб-камеры. Это уведомление заблокировало и заморозило ваш компьютер, когда вы просматриваете порнографический сайт». Смущение, стыд, страх разоблачения. Все эмоции, на которые рассчитывала эта вредоносная программа, побуждали пользователей следовать ее инструкциям и платить деньги за то, чтобы все это исчезло. В программе-вымогателе даже говорилось, что интернет-провайдер жертвы был уведомлен отделом киберпреступлений. Он даже сообщает их IP-адрес, имя хоста и говорит: «На вашем компьютере был обнаружен незаконно загруженный материал, который нарушает некоторые законы об авторском праве».

https://i.gyazo.com/1fb7f339d5c0e5f4...51b13f04fc.png

Все это звучит и выглядит официально, а затем сообщает, что пользователю грозит штраф в размере 200 000 долларов США или тюремное заключение на срок до трех лет. Конечно, если вы хотите избежать этого, все, что вам нужно заплатить, это 200 долларов, и ваш компьютер будет разблокирован, а все уголовные дела против вас будут прекращены. Это не требует слишком много денег в качестве выкупа, ровно столько, чтобы его стоило делать, но не слишком много, чтобы люди не захотели или не смогли за него заплатить. В то время существовал Биткойн, криптовалюта, но это было только в 2012 году, так что прошло всего несколько лет с момента создания Биткойна. Хотя биткойн еще не был достаточно популярен, а цены сильно колебались, люди просто не были достаточно технически подкованными, чтобы понять, как купить биткойн и отправить его, поэтому решением стали предоплаченные карты GreenDot MoneyPak. Они не связаны с банковским счетом, и каждая карта имеет уникальный четырнадцатизначный номер.

Сколько же денег удалось заработать Зейну и получил ли он наказание? Узнаем в следующем выпуске.

Эпизод 26: Как хакеры наживаются на любителях порно

Вступить в наш чат

В то время это был идеальный способ для анонимных интернет-преступников получать деньги от своих жертв. Reveton давал информацию о пользователе, инструкции о том, как забрать деньги. Шаг первый, возьмите наличные в одном из этих торговых точек. Шаг второй: возьмите MoneyPak и купите его за наличные. Шаг третий, вернитесь и введите код MoneyPak в раздел кода на этом экране сообщения, а затем нажмите «Отправить». Это так просто.

Платная реклама Зейна, направлявшая трафик на его сайт, работала. Люди блокировали свои компьютеры и платили за то, чтобы их разблокировали. Деньги начали поступать для Зейна. Следующей задачей было получить наличные и убедиться, что его российские партнеры получат свою долю. Преступнику не так просто перевезти много денег и не быть пойманным полицией. Зейн собирал деньги, а затем через Liberty Reserve переводил их своим российским партнерам, но для этого ему требовалась помощь. Liberty Reserve был чем-то вроде теневого кузена ******. Это паршивая овца семейства цифровых валют, которую предпочитают многие киберпреступники. Учетная запись в Liberty Reserve не запрашивает у вас ваши настоящие учетные данные, доказательства, личность или что-либо еще для перевода денег. На самом деле, у него даже не было полной лицензии на деятельность по переводу денежных средств, что позже выдало его основателя.

https://i.gyazo.com/8d61757871b86a77...c48ee8660f.png

Кто-то, кто хотел быстро отмыть деньги, в частном порядке и в Интернете, знал, что это идеальная схема. Зейн был распространителем вредоносного ПО и этой аферы с выкупом, но для отмывания средств и получения доступа к деньгам ему нужен был посредник. Тут-то и появился Рэймонд. Он из Мэйпл-Вэлли в Вашингтоне. В 2012 году ему исполнилось тридцать пять лет. Он был студентом Международного университета Флориды, и его роль заключалась в том, чтобы обналичивать платежи программ-вымогателей с карт MoneyPak, а затем конвертировать наличные деньги в Liberty Reserve, переводить деньги Зейну и оставь немного себе. Эти двое довольно быстро наладили свой распорядок дня. Зейн открывает несколько счетов и предоплаченных карт, используя фальшивые документы, предоставленные его контактным лицом в России, и передает эти счета Рэймонду.

Рэймонд использует коды MoneyPak для каждой выплаты выкупа. Он входит в свою учетную запись MoneyPak, использует коды для перевода выкупа на мошеннические счета. Теперь существуют ограничения на количество транзакций и суммы денег, которые можно внести через MoneyPak. Депозиты до 1000 долларов в течение суток, по-видимому, были стандартной нормой. Рэймонд, скорее всего, имел несколько учетных записей MoneyPak, все на вымышленные имена, чтобы он мог избежать превышения этих лимитов. После того, как он перевел деньги на счета, которые дал ему Зейн, он мог пойти и снять деньги в нескольких банкоматах в разных местах. Затем он отправлял его Зейну через Liberty Reserve. Чтобы открыть счет в Liberty Reserve, нужно было указать имя и адрес электронной почты. Вам нужно конвертировать наличные деньги, полученные преступным путем, чтобы купить то, что они называют долларами Liberty Reserve, за наличные.

Это превращает ваш выкуп наличными в цифровую валюту за комиссию около 5%. Чтобы купить доллары Либерти, Рэймонду пришлось пройти через обменник, который находился в совершенно другой стране и мог купить доллары Либерти оптом. У самой Liberty Reserve не было идентификационных данных людей, у которых там были счета. У них было только то имя и адрес электронной почты, которые использовались для открытия счета. Все переводы из наличных в Liberty Reserve и долларов Liberty обратно в наличные осуществлялись через эти биржи посредников и технически полностью вне самой Liberty Reserve. Все это сложный и технический способ просто получить чистые деньги, не имеющие криминального следа, но он работал и на Зейна, и на Рэймонда, и на русских кодеров. Зейн, вернувшись в Лондон, получил около 70% выкупа. Это была его доля от этой операции. Вполне нормально.

В этот момент деньги текли рекой, и чем больше рекламы он покупал на этих порносайтах, тем больше трафика он получал на свои веб-сайты, что приводило к большему количеству людей, пораженных программами-вымогателями, что означало, что больше людей платили. удалить его. По сути, он обменивал никель на десять центов. План работал. Он все еще был студентом университета, жил дома с родителями. У него не было оплачиваемой работы. У него не было никакого законного дохода, но он тратил много денег, которые зарабатывал на этих аферах. Он купил часы за 5000 британских фунтов. Он останавливался в шикарных отелях и тусовался с проститутками. Он много употреблял ********* и играл в азартные игры. Сообщалось, что он потратил 70 000 фунтов стерлингов в одном лондонском казино в течение десяти месяцев. Интересно, что он говорил своим друзьям и семье, откуда у него все эти деньги.

Но вся цепочка поставок вредоносного ПО как бизнеса меня восхищает. У вас есть одна команда, работающая над созданием эксплойта Angler, и они вооружают ее программой-вымогателем Reveton, созданной совершенно другой группой людей, а затем Зейн развертывает ее по всему миру, чтобы заразить как можно больше людей. он мог бы. Затем, когда приходят деньги, Рэймонд во Флориде отмывает их и отправляет обратно Зейну. Впечатляет, как много здесь должно произойти, чтобы эта операция заработала. Примерно в это же время полиция Испании начала получать сотни жалоб на вирусы-вымогатели. Куча других людей также расследовали это. Подразделение Trend Micro eCrimes, Европейский центр киберпреступности при Европоле, испанская полиция и Интерпол координировали свои действия, чтобы помочь друг другу выяснить, кто стоит за этим.

Этот обмен информацией позволил им составить довольно четкое представление о том, как была структурирована сеть банды, в том числе о том, как они перенаправляли трафик и настраивали свои серверы управления и контроля. Под кодовым названием «Операция «Выкуп» 27-летний россиянин был арестован в декабре 2012 года во время отдыха, по всей видимости, в Дубае. Но выяснилось, что он был главой испанской банды. Несколько месяцев спустя еще десять человек были арестованы во время шести рейдов в Малаге, Испания. Но эта группа не была той, с которой был связан Зейн; это была группа, ответственная за создание программы-вымогателя Reveton. Полиция выследила их, разрушила всю их операцию. Задержаны семеро россиян, двое грузин и двое украинцев. Полиции удалось изъять много компьютеров и оборудования, а также кредитных карт, которые использовались во всех этих атаках программ-вымогателей и для отмывания денег. Полиция полагала, что эта банда собирала более 1 000 000 евро в год. Только в Испании с мая 2011 года было зарегистрировано более 1200 случаев мошенничества с программами-вымогателями.

Но в то время как группа, создавшая Reveton, была арестована, само программное обеспечение Reveton находилось в руках преступников, таких как Зейн, которые продолжали заражать им людей и использовать его. Хотя это было большим успехом для испанской полиции, которая сократила большую часть этого, Зейна это никак не затронуло. Три месяца спустя, в мае 2013 года, правительство США закрыло Liberty Reserve. Подозреваемый в отмывании более шести миллиардов долларов преступных доходов, он некоторое время находился под следствием. Его владелец, Артур Будовский, был сомнительной личностью, годами скрывавшейся от закона. В 2011 году ему сказали, что ему нужна соответствующая лицензия для ведения бизнеса по переводу денег, но когда его заявление было отклонено, он просто перенес свой бизнес в Коста-Рику. В течение двух лет его операции расследовались полицией, а его средства неоднократно конфисковывались. К концу 2013 года Артур вместе с семью своими сотрудниками находился под стражей, а Liberty Reserve была официально арестована и закрыта.

ПРИТ: Сегодня мы объявляем обвинения в возможно самом крупном международном деле об отмывании денег, которое когда-либо возбуждалось Соединенными Штатами. В частности, мы раскрываем обвинения против Liberty Reserve и семи ее руководителей и сотрудников, которые в течение многих лет управляли одной из самых широко используемых цифровых валют в мире.

Ведущий: Это Прит Бхарара, прокурор США в Нью-Йорке. Liberty Reserve был ключевым звеном в цепочке Зейна и Рэймонда, а также стоящей за ними российской преступной группировки. Без возможности конвертировать выкуп через Liberty Reserve у них возникнут проблемы.

ПРИТ: Liberty Reserve был специально создан и структурирован для облегчения преступной деятельности. По сути, это был банк черного рынка.

Ведущий: Когда Liberty Reserve закрыли, все, у кого на счету были доллары Liberty, сразу их потеряли. Те доллары "Свободы" исчезли, больше не доступны. Какую бы ценность они ни представляли в наличных деньгах, теперь они были потеряны в одночасье. Но теперь, когда сайт оказался в руках властей, следователи начали выяснять, кем были пользователи сайта. Зейн продолжал это делать, но, похоже, на этом участие Рэймонда подошло к концу. На самом деле Рэймонд устроился на работу сетевым инженером в Microsoft, а Microsoft ничего не знала о том, чем Рэймонд занимался в предыдущие годы. Чтобы продолжить, Зейн просто переключился на другую криптовалютную платформу. Падение Liberty Reserve высветило его имя для следственных органов, и большая часть прибыли от мошенничества была раскрыта в последующие годы из данных Liberty.

Власти следили за ниточками и собирали воедино именно то, что задумал Зейн. Поскольку Зейн продолжал покупать рекламные площади, некоторые рекламные компании начали относиться к нему с подозрением. Они будут бросать ему вызов и задавать вопросы, а что Зейн сделает в ответ? Он пытался манипулировать и даже угрожать рекламным агентствам. Он сказал директору одной из компаний, базирующихся в Канаде, цитата: «Правда, лучше, если мы будем работать вместе. Вместе мы сможем заработать серьезные деньги. Это мой путь или нет. K!NG вернулся». Конец цитаты. Когда он не получил желаемого ответа, он последовал еще одной угрозе. Цитата: «Я сначала убью ваш сервер, а затем отправлю вам спам с детской порнографией». Конец цитаты. Затем Зейн запустил распределенную атаку типа «отказ в обслуживании» на эти рекламные сайты, на которых размещалась его реклама. Целью DDoS-атаки было сделать недоступным веб-сайт цели, по сути, вывести его из строя.

Он перегрузил этот веб-сайт и привел к его сбою, что сделало его недоступным для пользователей веб-сайта и, следовательно, для клиентов компании. Зейн использовал свои методы нападения в качестве мести. Это была простая месть. Вы спрашиваете меня? Ты не хочешь пойти со мной на борт? Как ты смеешь. Я заставлю тебя заплатить. Зейн хочет нарушить работу этих агентств, и если он сломает веб-сайт, платящие клиенты не смогут перейти к ним и использовать их веб-сайт для покупки рекламного места. Это основа их бизнеса. Компания теряла кучу денег за каждую секунду отсутствия рекламы. Затем Зейн запустил новые атаки типа «отказ в обслуживании» против веб-сайтов, которые задавали ему вопросы. Опять же, они были против рекламных компаний, которые пытались остановить то, что он делал. DDoS-атаки обходятся этим предприятиям не менее чем в 500 000 фунтов стерлингов, а потери рекламы — в расходах на реагирование на инциденты. Одно из рекламных агентств, подвергшихся нападению, сообщило о Зейне в полицию.

Полиция была отправлена в дом Зейна и арестовала его в июле 2014 года, но через несколько дней его отпустили без предъявления обвинений из-за отсутствия улик. Зейн думал, что перехитрил полицию, но мало ли он знал, отдел киберпреступности Национального агентства по борьбе с преступностью теперь полностью расследовал его. Падение Liberty Reserve было не единственным событием в период активной работы Зейна с программами-вымогателями, которое помешало его операциям. В 2016 году в ходе 86 рейдов в России было арестовано более 50 человек, причастных к кибератаке Lurk на российские банки. Lurk — вредоносное ПО, имитирующее приложение для онлайн-банкинга крупнейшего российского банка Сбербанка. По оценкам, банда, стоящая за Lurk, украла сорок пять миллионов долларов из российских финансовых учреждений менее чем за два года. В середине 2016 года Angler был на пике использования: по оценкам, на него приходилось 40% всех заражений наборами эксплойтов. К этому времени Angler сдавала в аренду преступная группировка, которой он принадлежал.

Любой, кто готов заплатить, мог получить его версию и использовать по своему усмотрению. Было довольно много людей, использующих этот комплект Angler для проведения этих атак программ-вымогателей; Зейн был не единственным. Это распространило комплект по всему миру, и им управляли сотни разных хакеров. Деньги, которые он заработал? Исследователи Cisco Talos считают, что программа-вымогатель Angler приносила хакерам около шестидесяти миллионов долларов в год. Исследовательская группа Cisco Talos изучила это немного глубже и обнаружила связи между Angler и Lurk. Вполне возможно, что при разгоне Lurk они также поймали некоторых хакеров Angler, что могло повлиять на аферу с вымогателями, которую Зейн возглавлял из Великобритании. В начале 2017 года Национальное агентство по борьбе с преступностью Великобритании собрало достаточно улик с серверов Liberty Reserve, чтобы возбудить дело против Зейна.

Полиция снова пришла к Зейну домой и арестовала его. Полиция конфисковала MacBook Pro Зейна и обнаружила журналы, записи и данные. Это связало его с аферой и с тем, что он работал с русскими создателями Angler. Было сохранено более 3000 журналов чатов и почти миллион изображений. Компьютер был зашифрован и работал под управлением как Windows, так и Mac OS. Зейн создал разделы с зашифрованными виртуальными машинами, удаленными серверами и удаленными рабочими столами. Он довольно хорошо скрывал вещи, но это было NCA, и сейчас 2017 год. У них есть целая команда цифровой криминалистики, которая может прочесать все, чтобы собрать улики. Частично причиной падения Зейна были копии панели управления, которую он использовал. Одна из замечательных особенностей Angler и Reveton заключалась в том, что у них были действительно крутые информационные панели, которые показывали вам, сколько заражений было, и где они были, и кто платил, и все такое прочее.

Это присутствовало на его ноутбуке, и он смог войти в него. На одном снимке экрана видно, что Зейн получил доход в размере 14 000 долларов только за июль 2014 года. Было обнаружено несколько финансовых счетов, которые связывали Зейна с использованием различных криптовалют за границей. В феврале 2017 года ему было предъявлено обвинение в шантаже, мошенничестве и неправомерном использовании компьютера. Когда его допросила полиция, Зейн сказал им, что он не участвовал в мошенничестве и что его взломали, но группа цифровой криминалистики смогла опровергнуть это, собрав данные на его компьютере. NCA предоставило несколько примеров расчетов, чтобы продемонстрировать, насколько масштабной была эта операция. По их оценкам, одно рекламное объявление о заражении вредоносным ПО ежемесячно показывалось в двадцати одном миллионе веб-браузеров, при этом Angler загружался примерно на 16 000 компьютеров. Помните, это одно объявление в месяц. Исходя из этого, они подсчитали, что 5%, поэтому около 800 из этих компьютеров не имели современного антивируса, и Англер мог использовать дыры в своих системах и развернуть программу-вымогатель.

Сколько человек обманули? Это почти невозможно узнать, но несколько отчетов об исследованиях безопасности показывают, что в среднем 40% жертв программ-вымогателей платят выкуп. Давайте займемся математикой. У отдельных людей, пострадавших от программы-вымогателя, не было ИТ-отделов, к которым можно было бы обратиться. У них не было людей под рукой, чтобы сообщить им, было ли это мошенничеством или реальным. Сомневаюсь, что большинство людей кому-то рассказали, а если бы и рассказали, то им пришлось бы сказать, что они были на порносайте, когда это всплыло, что смущает, но не то, в чем многие захотят признаться. Я думаю, что процент людей, которые заплатили за эту аферу, намного выше 40%, но давайте понизимся; скажем, только 10% из 800 пользователей, которые столкнулись с экраном программы-вымогателя Reveton, действительно заплатили выкуп. Это восемьдесят жертв, заплативших по 200 долларов каждая. Это приносит Зейну 16 000 долларов в месяц. При показе нескольких рекламных объявлений в месяц вы можете значительно увеличить эти цифры.

Но были расходы, связанные с этой аферой, однако. Не все это было связано с получением прибыли. Зейну пришлось покупать интернет-трафик и делать ставки на рекламные места. Раймонду нужно было платить за отмывание денег, а также комиссию за обмен и перевод. Конечно, не вся прибыль досталась Зейну. Русские тоже получат часть доли. NCA заявило, что за пять лет этой операции Зейн перевел не менее пяти миллионов долларов, используя несколько криптовалютных платформ и онлайн-счетов. Его личная прибыль, по их словам, составляла почти 900 000 долларов на момент его ареста в 2017 году. Тем временем в Южном окружном суде Флориды в марте 2018 года Раймонду было предъявлено обвинение в заговоре с целью отмывания денег.

Рэймонд был связан с платежами и переводами выкупа MoneyPak через Liberty Reserve, и его имя пользователя в сети было Майк Роланд. Ему было предъявлено обвинение в том, что в период с октября 2012 года по март 2013 года он участвовал в отмывании денег, полученных в результате мошенничества с выкупом Реветона. На самом деле это был неудачный перевод 840 долларов между двумя счетами Liberty Reserve, который выдал его. Прокуратура подсчитала, что в течение одного года Рэймонд перевел около 93 000 долларов, полученных от этих платежей с помощью программ-вымогателей. Раймонд обратился в суд и был признан виновным. Судья приговорил его к восемнадцати месяцам тюремного заключения с тремя годами условного освобождения. Он согласился на сделку о признании вины, чтобы снять одно из этих обвинений. Microsoft как-то невольно оказалась втянутой в это дело после того, как наняла Рэймонда, но неудивительно, что они не дали никаких официальных комментариев по этому поводу.

https://i.gyazo.com/48ac3990750ef0ec...52e9a8cf88.png

Суд над Зейном в Великобритании был назначен на февраль 2018 года, но был отменен, когда Зейн был разделен в соответствии с Законом о психическом здоровье. Подробности здесь неясны; что-то вроде Зейна положили в больницу в Лондоне на лечение. Но пока там, в больнице, цифровая криминалистика показала, что он все еще занимался мошенничеством с программами-вымогателями и отмыванием денег с использованием больничного Wi-Fi. Его снова арестовали и снова посадили в тюрьму. Эти дополнительные обвинения вызвали изменение заявления Зейна. Теперь он признал себя виновным в общей сложности по одиннадцати пунктам обвинения. Приобретение, владение пользователем преступным имуществом, три пункта обвинения в шантаже, три пункта обвинения в мошенничестве с использованием ложных сведений и четыре пункта обвинения в несанкционированных действиях с намерением нарушить работу компьютера или создать риск серьезного ущерба.

9 апреля 2019 года Зейн Кайзер был приговорен к шести годам и пяти месяцам заключения окружным судом Кингстона. Судья сказал ему, что его дело и его кибератаки были настолько обширными, что не было найдено ни одного сопоставимого дела. То, что сделал Зейн, можно было бы классифицировать как распространенную аферу, которая сейчас называется сексторцией. Они набирают популярность. Они настолько успешны, что преступникам даже не нужно устанавливать программы-вымогатели на ваш компьютер. Иногда достаточно электронной почты. Я имею в виду, представьте, если бы вы получили электронное письмо, в котором говорилось: "Привет, я знаю, что вы ходили на порносайты, а я хакер. Я тайно записал, как ты мастурбируешь на веб-камеру. Пришлите мне биткойны, или я расскажу вашей семье и боссу". Подобные электронные письма становятся обычным явлением. Я получил один на днях, и я проследил его до записи в гостевом блоге, которую я написал на веб-сайте некоторое время назад. Там был мой адрес электронной почты. Эти мошенники удалили мою электронную почту с этого веб-сайта и отправили мне это электронное письмо, ожидая, что я заплачу деньги.

Эти электронные письма пугают, и трудно просить о помощи или знать, что делать. Я почти уверен, что большинство из них — мошенничество, и некоторые попытаются предоставить вам доказательства, показывая вам ваш пароль, но мои слушатели «Дневников Даркнета» достаточно сообразительны, чтобы знать, что существует множество взломов по всему миру, и ваш пароль, вероятно, находится в даркнете вместе с вашей электронной почтой. Просто наличие этого на самом деле не является доказательством чего-либо. Без доказательств чего-либо, что действительно смущает, или каких-либо доказательств, какой у них на самом деле выкуп? Зейн мог бы использовать свои навыки во благо. Он мог быть хакером в белой шляпе. Очевидно, он был очень технически подкован и хорош в рекламе.

Он мог бы защитить компании от подобных угроз и взломов. У него могла бы быть респектабельная карьера, но вместо этого он выбрал этот путь. Он позволил своей жадности и эго расти вместе с ним, что привело его прямо в объятия NCA и ФБР. Хотя он, скорее всего, выйдет из тюрьмы через три года, после этого ему, вероятно, будет трудно найти хорошую работу. Если Зейна выпустят из тюрьмы через три года, ему тогда будет двадцать семь лет. У него будут шантаж, мошенничество, отмывание денег, распространение программ-вымогателей и хакерство в качестве ярлыков, которые будут следовать за ним отныне, и все это ради нескольких лет бесплатных денег. Стоило ли? На это может ответить только Зейн.

Эпизод 28: Чем опасна установка читов

АКТЕР: У нас также есть хейтеры, которые активно нападают на нас, пытаясь обрушить наши читы.

https://i.gyazo.com/31a833c31c5b7131...aef7749611.jpg

Ведущий: Что ты имеешь в виду?

АКТЕР: Например, наши конкуренты, другие мошенники. Итак, мы получаем DDoSsed, и наш сайт падает, а затем нам приходится тратить больше денег на предотвращение DDoS и платить за дополнительную пропускную способность, когда это происходит.

Ведущий: Хорошо, теперь понятно, почему вы просите три формы удостоверения личности, прежде чем давать кому-то свои читы: вы не хотите, чтобы ваши читы попали в чужие руки, потому что, если это произойдет, это может очень быстро сделать их непригодными для использования.

АКТЕР: Точно.

Ведущий: Итак, ты когда-нибудь пробовал сам покупать читы?

ЕВГЕНИЙ: Конечно.

Ведущий: Насколько успешно?

ЕВГЕНИЙ: Довольно успешно. Итак, с публичными все довольно просто. Первое, что нам нужно реализовать, — это своего рода программа вознаграждения за обнаружение ошибок и возможность покупать читы. Итак, мы создали полностью физически отдельную сеть внутри компании, у которой есть отдельное сетевое подключение к интернету, и мы использовали ее, по сути, как отдельную лабораторию, где мы покупали читы и разбирали их. Итак, в основном в этом пространстве у нас была пара человек, работавших над этим, например, реверс-инженер и менеджер сообщества, которые пытались купить читы, быть или выдавать себя за людей, которые ищут чит как публично, так и в частном порядке. Много раз это было похоже на перевод ******, я думаю, что что-то было даже с криптовалютой и так далее. Так что вообще, в основном, альтернативные способы оплаты. Мы хотели бы, чтобы этот человек искал эти публичные и частные читы, пытался получить их как можно больше, и оба предоставляли их анти-читерской программе, которую мы использовали, и, если возможно, также использовали наш собственный обратный инжиниринг, чтобы вычислить как они ломают игру.

Этот процесс покупки чита был простым для общественности, если вы не давали понять, что вы из компании, например, используя имя разработчика и так далее, потому что они заблокируют эти учетные записи. Но когда дело доходит до приватных банов, иногда это означает, что вам нужно будет вести мгновенный разговор в Skype, ICQ, IRC, VK, Facebook, где угодно, или на форумах, через их специальные каналы или специальный веб-сайт, и я — у нас даже есть случаи, когда люди просили удостоверения личности, чтобы подтвердить личность покупателя, особенно если некоторые из этих супер-частных, где они продают, например, до десяти, двадцати, тридцати человек, и просили очень значительную подписку, например, 200, 500 долларов. , потому что мы видели даже такие, где люди готовы платить 500 долларов, чтобы иметь приватный чит, который только для них. Это то, что они хотят делать, и есть разработчик, к которому они обращаются, если что-то пойдет не так, и они исправят это за них. Итак, выдавая себя за разных пользователей, несколько учетных записей, несколько отдельных сетей, которые мы использовали, и просто присутствуя на всех этих каналах, где происходили бартеры и сделки.

Ведущий: Но это не так просто, как просто притвориться кем-то другим, чтобы купить эти читы. Загрузка и запуск чита в игре также является очень деликатным процессом, с которым разработчики игры должны быть осторожны, потому что создатели читов наблюдают за этой частью. Итак, как работает ваш чит? Если я купил его, какие шаги мне нужно сделать, чтобы заставить его работать?

АКТЕР: У нас есть погрузчик. Сначала вы запускаете загрузчик, а затем он запускает настоящую игру. Это своего рода оболочка для игры, поэтому все входящие и исходящие пакеты проходят через этот загрузчик. Вся память также доступна на загрузчике. Загрузчик манипулирует данными, чтобы заставить чит работать.

Ведущий: Хорошо, я понял, но есть ли функция входа в загрузчик? Как узнать, что моя подписка закончилась?

АКТЕР: Мы используем лицензионные ключи. Когда вы запускаете загрузчик, вы вводите лицензионный ключ, и это делает чит действительным в течение этого количества дней.

Ведущий: Пообщавшись с продавцом читов, они сказали мне, что есть также способы идентифицировать машину, на которой работает загрузчик, и ключ привязывается к идентификатору этой машины, так что это может быть комбинация имени хоста, Mac адрес, IP-адрес или другие идентификаторы. Это также означает, что вы не можете поделиться читом с другими; он будет работать только на первой машине, на которой вы его установите. Теперь давайте остановимся здесь на секунду и поймем, насколько отчаянно некоторые люди хотят получить эти читы. Платить 30 долларов за использование чита в течение семи дней достаточно дорого, если вы спросите меня. Но вдобавок ко всему, вы должны предоставить веб-сайту три формы идентификатора, а затем вы загружаете, устанавливаете и запускаете программу с теневого, подпольного хакерского веб-сайта. Тот, кто покупает этот материал, действительно должен игнорировать несколько красных флажков, чтобы заставить его работать, и некоторые мошенники видят это и пользуются этим.

ЕВГЕНИЙ: Тебе стоит заглянуть в AimKit.

Ведущий: Хорошо, AimKit. Это был чит для игры Rust, за использование которого нужно было платить 40 долларов в месяц, и игроки сообщали, что этот чит никогда нельзя было обнаружить, то есть BattlEye мог легко обнаружить его, если вы использовали этот чит, и забанить вас. Итак, начнем с того, что AimKit не был качественным читом. Вы покупаете его, вы используете его, вас банят, и это не то, как вы хотите, чтобы ваш читерский опыт прошел. Хорошие читы остаются незамеченными. В любом случае, когда пользователи начали жаловаться на этот чит, другие пользователи тоже начали звонить, говоря, что после его установки их учетные записи Discord были заблокированы. Предположительно, загрузчик не только предоставлял чит, но и брал кое-что с того компьютера, на котором он был установлен, и отправлял его обратно разработчикам в AimKit, например, логины Discord и кто знает что еще. Предположительно, разработчики AimKit использовали эти логины Discord для каких-то действий. Я предполагаю спам-каналы или людей, и это привело к тому, что человек был забанен в Discord. Но это всего лишь один пример игрового чита, который на самом деле представлял собой вредоносное ПО, крадущее информацию о пользователе и причиняющее ему вред. Но есть гораздо хуже, чем это. Юджин говорит, что когда он покупает эти читы, он всегда ожидает, что это вредоносное или какое-то шпионское ПО, поэтому ему приходится принимать дополнительные меры предосторожности при их установке.

ЕВГЕНИЙ: Ну, приложение, которое он нам прислал, — оно было, конечно, в отдельной сети физически и столько защиты, сколько мы могли применить внутри компании, но то, что приложение, которое мы прислали, загрузило все файлы базы данных Skype и отправь парню. Когда он просматривал эти файлы данных Skype, он мог сказать, что это были, например, мы, разработчики, да? Поэтому, как только он присылал нам что-то, что не работало, и мы начинали жаловаться, что это не работает, он сразу же закрывал сообщение, потому что выяснял, что мы разработчики. Таким образом, они идут к действительно чрезвычайной осторожности.

Ведущий: Подождите, вы хотите сказать, что, когда вам присылают загрузчик или чит, чит на самом деле просматривает другие данные на вашем компьютере, чтобы подтвердить, кто вы?

ЕВГЕНИЙ: Да, да. Он заражает как вредоносное ПО ваш компьютер.

Ведущий: Знаете что? Я должен был ожидать этого, на самом деле. Я помню, как скачивал игры, когда был подростком, с сомнительных сайтов, и половина из них содержала вредоносное ПО. Почему я должен ожидать, что сегодня все будет по-другому, даже если я плачу за это? Загрузка любого исполняемого файла с сомнительного веб-сайта никогда не будет хорошей идеей. Вот почему, когда разработчики видеоигр получают чит, они помещают его на новый компьютер, на котором нет никаких конфиденциальных файлов, в отдельной сети, потому что разработчики читов следят за тем, кто использует их чит. Но это также мешает разработчикам игр делиться читом с командой разработчиков или BattlEye, поскольку они не могут отправить этот чит кому-то еще. На другом компе работать не будет.

Таким образом, разработчики игр должны настроить удаленный рабочий стол, чтобы другие люди могли заходить на эту машину и анализировать ее или устанавливать ее на виртуальную машину. Юджин также говорит мне, что иногда люди из чит-сообщества выходят вперед и просто дают им чит, часто через свою программу вознаграждения за ошибки, но иногда нет. Иногда им просто присылают рабочий исполняемый файл, в котором есть чит, явно что-то, что этот человек купил, но не разрабатывал, и они готовы поделиться этим с разработчиком игры. Я думаю, что здесь происходит то, что это может быть борьба между другими разработчиками читов, когда, если один поставщик читов хочет разрушить бизнес для другого поставщика читов, они могут просто купить чит, а затем передать его разработчику игры, который затем исправит это сделать, чтобы этот чит не работал, а это значит, что больше людей покупают работающий.

ЕВГЕНИЙ: Так что да, можно сказать, что у нас были оба вида подходов, чтобы иметь двойного агента на другой стороне и людей из сообщества, мошеннического сообщества, которые действовали бы для нас как двойные агенты, фактически предоставляя нам дополнительную информацию или непосредственно исполняемые файлы определенного чита, который был приватным, и так далее.

Ведущий: Боже, это безумие, да? Быть разработчиком игр сегодня означает, что вам, возможно, придется изображать из себя двойного агента, действующего как мошенник, чтобы получить некоторые читы, или вам, возможно, придется работать с двойными агентами, которые находятся в сообществе читов, но хотят разоблачить кого-то. Происходит сумасшедшая битва, и иногда все это становится личным. Во всем этом много эмоций, верно? Я имею в виду, что для того, чтобы чит-разработчик сделал чит, он, вероятно, уже любит игру и знает ее очень хорошо, и они хотели бы разработать дополнительную функцию в игре. Итак, они садятся и пытаются манипулировать внутриигровыми данными, пытаясь найти что-то, что дает им преимущество, и на это могут уйти недели. Но когда они это сделают, должно быть здорово, что вы перехитрили создателей игр. Они должны чувствовать, что знают об игре то, чего не знают даже разработчики. Так что, держу пари, после того, как они находят новый чит, начинается небольшой праздник. Конечно, получать за это деньги тоже приносит массу новых эмоций, верно? Дофамин точно бьет. Но затем все это рушится, когда игровая студия обнаруживает это и исправляет. Теперь тот кайф, который был у разработчиков читов, уходит, и они могут разозлиться. Они могут захотеть узнать, кто именно был разработчиком игры, который испортил вечеринку, найти его имя и начать оскорблять его в Твиттере. Теперь здесь все становится некрасиво.

ЕВГЕНИЙ: Мы очень сблизились с этими людьми, и под близкими я подразумеваю их – постепенно они как бы доксировали нас и получили наши номера телефонов и личные аккаунты. Я думаю, что они так и не проникли ни в один из моих аккаунтов, потому что большинство из них были под двухфакторной аутентификацией, но я думаю, что они, по крайней мере, пытались. Благодаря этим связям с этими людьми я встретил много разных странных персонажей.

Ведущий: Евгений говорит, что собирался выступить с докладом о читерах на GDC, конференции разработчиков игр, и, очевидно, читеры начали кампанию GoFundMe по сбору денег — на что они собирались собирать деньги?

ЕВГЕНИЙ: Чтобы можно было оплатить билеты на GDC, прийти на презентацию и потроллить меня там, в общем.

Ведущий: Ну, он выступал на конференции, и троллей в зале не было. Но он был доксирован, и у него было много неверных попыток входа в систему, а также всевозможные странные сообщения и угрозы.

ЕВГЕНИЙ: Больше всего я ненавидел жуткие звонки. Я брал трубку, и поскольку это мой рабочий телефон, и звонит неизвестный номер, я обычно беру трубку, потому что это может быть любой из наших партнеров, и мне говорят эти странные вещи или люди, связывающиеся с членами моей семьи. , посылая им странные, кровавые фотографии. Это просто раздражало; например, почему вы делаете — например, почему вы нацелились на члена моей семьи? Я, черт возьми, не понимаю. Мол, ладно, беспокой меня в Instagram, беспокой меня в Твиттере, беспокой меня в чертовом мессенджере и присылай мне странную чушь. Только не звони мне, не мешай окружающим; это было бы чудесно. Таким образом, это как бы побудило меня быть более осторожным в отношении многих моих социальных сетей. Я не использую их так часто, как раньше. Просто все закрыто.

Ведущий: Это просто дико, что и разработчики игр, и разработчики читов подвергаются нападкам в этом пространстве. Странная параллель с самой игрой. В игре происходят сражения, симулированные бои, но вне игры тоже происходит совершенно другая битва, и ставки здесь намного выше.

https://i.gyazo.com/f12b01186706ac4d...919cc7c4e4.jpg

Вступить в наш чат

Евгений Богачев — человек, названный самой большой угрозой для банковской системы Америки. Под кодовым именем «Lucky 12345» он осуществлял свои операции, сидя в кресле в своём собственном доме на черноморском побережье России. Он руководил тем, что считается самой изощренной сетью киберпреступности, которую когда-либо видел мир.

https://i.gyazo.com/02fd2ad62d43839a...527586fbbd.png

Используя «вредоносное ПО» 30-летний мужчина и его банда взломали сотни тысяч банковских счетов, опустошая до 7 миллионов долларов за раз.

Большинство жертв даже не подозревали о том, что их компьютеры ежедневно подвергались атакам со стороны программы под названием GameOver Zeus.

«Программа-вымогатель» замораживала компьютерные файлы жертв и угрожала уничтожить их, если не будет выплачен выкуп. Они были нацелены не только на крупные предприятия, но и на домашние компьютеры, замораживая семейные фотографии и школьные проекты детей. Одной из жертв стал полицейский участок в Массачусетсе, которому пришлось заплатить, чтобы получить свою базу данных фотографий.

За информацию о Богачеве FBI предлагает рекордную награду в $3 млн. По некоторым данным хакер все еще находится на свободе в России, где официальные лица не проявляют особого интереса к помощи ФБР после санкций, введенных против Москвы из-за Крыма.

https://i.gyazo.com/4574d67ecec586f5...e922c3ffc0.png

Богачева прославляют как героя в его родном городе Анапе, морском курорте в 70 милях от Крыма. Используя детали обвинительного акта США, раскрытого против него, британская газета посетила его адрес на Лермонтова 120, в небоскребе с квартирами стоимостью 250 000 долларов за штуку, где его видели в последний раз.

Там соседи помнят тихого человека, который плавал на катере и чье единственное участие в киберактивности было наклейкой на бампере его стареющей машины, которая рекламировала его услуги по «ремонту компьютеров». Однако, когда соседям рассказали, что теперь Евгений стал врагом общества номер один в США, многие пришли в восторг. «Какой талантливый парень», — сказал 23-летний Михаил, который узнал на фотографии Богачева, сделанной ФБР, человека, которого он видел в подъезде с женой и девятилетней дочерью.

ФБР, описав GOZ как «самую изощренную» кибераферу и назвало сумму дохода с программы как минимум в 15 миллионов долларов в месяц. До сих пор официальные лица США считают, что Кремль вступил в сговор с ведущими российскими хакерами в обмен на помощь в разработке кибервойны.

«Маловероятно, что между государственными и негосударственными кибератаками не было сотрудничества», — сказал Кеннет Джирс, военный компьютерный эксперт США, который сейчас работает в фирме FireEye, занимающейся интернет-безопасностью.

https://i.gyazo.com/5953b0a8efc7c0e2...fe12215975.png

Газета New York Times «Золотому» хакеру также приписывает сотрудничество с разведкой. Источники газеты полагают, что российская разведка использовала хакера, чтобы проникать в системы чиновников и военных ведомств. NYT утверждает, что больше всего разведку интересовали документы под грифом «совершенно секретно», а также информация о военных конфликтах на Украине и в Сирии.

Богачеву предъявлено множество обвинений, но шансов на его поимку нет. Находясь в международном розыске уже более 7 лет, талантливый хакер не оставил и следа.

https://i.gyazo.com/9e89c6e06bbeaf14...be2397f59d.jpg

Вступить в наш чат

Сегодня вспомним историю об одних из самых популярных и успешных, но не самых аккуратных и очень доверчивых русских хакеров, ограбивших РауРаl.

В конце 2000 года ФБР обманом заманило в США двух хакеров из Челябинска, после того, как мошенники появились в стране их очень быстро арестовали. Речь пойдет в двух русских хакеров, которых США объявило в розыск и обвинило во многих кибератаках, — 20-летний Алексей Иванов и 25-летний Василий Горшков.

https://i.gyazo.com/b19bbf6ef01178f0...b613004dde.png

При задержании у мошенников обнаружили файл с номерами 38 тысяч кредитных карт пользователей РауРаl.

Ребята работали в огромных масштабах, используя простой фишинг. Однако важно помнить, о каком времени мы говорим — в нулевых стационарные компьютеры только начали появляться и осведомленность граждан была очень слабой.

Чтобы завладеть личной информацией пользователей, хакеры создавали страницы, точную копию официального сайта популярной платежной системы РауРаl. Представитель РауРаl признался, что на протяжении нескольких лет в сети существовали такие «зеркала», но не стал сообщать точную информацию о похищении денежных средств. В то время у руля РауРаl ещё был Илон Маск.

https://i.gyazo.com/b4ac3d0723ca46da...8909036c68.png

Интересна была и операция по поимке челябинских хакеров. Во-первых, ФБР создали фиктивную компанию Invita. Отдельно стоит отметить, что уже на этом этапе операция могла провалиться, ведь по-английски «invite» означает «приглашать».

Далее ФБР под видом частной компании связалось с подозреваемыми и попросило их продемонстрировать фирме свои навыки. Талантливые хакеры успешно взломали Invita, а затем компания предложила работать на них.

Когда Иванов и Горшков в ноябре 2000 года приехали в США и пришли в офис компании, в качестве тестового задания им было необходимо выполнить взлом. Однако сделать это нужно было на компьютере ФБР, где уже стояли всевозможные трекеры, которые, в том числе считывали логины и пароли. После того, как ничего не подозревающие хакеры взломали что-то на глазах у ФБР, их арестовали.

https://i.gyazo.com/6d2099266a5fc583...3868bb3f16.png

Многие уверены, что Иванов и Горшков — лишь часть большой преступной группировки, и их арест послужит предостережением для российских хакеров.

Горшков получил срок в 4 года американской тюрьмы. А его товарищ Иванов сам признал себя виновным и провел в заключении три года и восемь месяцев.

После отбывания срока хакеры не давали комментариев и предпочли быть более аккуратными в интернете. Однако Горшков решил пойти путем праведным и стать слугой народа — в 2016 году появилась информация о неожиданном включении хакера с американской судимостью в челябинский облизбирком.

https://i.gyazo.com/64dc7797579cd855...0a9a3b48ed.png

https://i.gyazo.com/01391f0cdcf72b74...b06f26cb96.png

https://i.gyazo.com/7c17220aeab09443...479ce0972f.jpg

Вступить в наш чат

Владимир Дринкман – уроженец Сыктывкара, окончил в столице Коми школу № 1, учился в Сыктывкарском госуниверситете. 14 февраля 2018 года американский судья приговорил россиянина к 12 годам тюремного заключения за его участие в хакерской схеме, которая, по словам ФБР, нанесла ущерб в сотни миллионов долларов за счет продажи 160 миллионов украденных номеров кредитных карт.

Владимира Дринкмана арестовали в Амстердаме в июне 2012 года и экстрадировали в США в феврале 2015 года.

https://i.gyazo.com/ff2da689bd615ffe...5d83655bcb.png

Дринкман был обвинен и признал себя виновным по нескольким статьям: сговор с целью незаконного доступа к компьютерам и сговор с целью мошенничества с использованием электронных средств связи.

Впервые на радарах ФБР Владимир появился еще в 2003 году, когда участвовал в мошеннических схемах. Тогда он устанавливал на устройства «снифферы», предназначенные для кражи данных из компьютерных сетей финансовых компаний, платежных систем и розничных продавцов.

Далее Дринкман сохранял украденные данные и продавал заинтересованным. За каждую кредитную карту он получал от 10 до 50$, а таких данных у него было очень много.

https://i.gyazo.com/e87a3f9661fdac0d...7c8e7fa51c.png

Хакерская схема обошлась банкам и компаниям очень дорого. Банки, выпускающие кредитные карты, обеднели на сотни миллионов долларов. Одна компания заявила о убытке в более чем 300 миллионов долларов. Всего о кражах сообщили только три компании, но число пострадавших составляет несколько десятков.

По официальным данным ФБР, Дринкман смог проникнуть в сети шестнадцати компаний, в том числе Nasdaq OMX Group Inc, 7-Eleven, французской Carrefour SA, JC Penney Co, JetBlue Airways Corp и Heartland Payment Systems Inc.

https://i.gyazo.com/56574e8529574aaf...f0ab9f026d.png

Отдельно стоит рассказать о том, как попался Владимир. Его поездка в Амстердам оказалась слишком дорогой. В следующем выпуске расскажем о легендарной схеме Дринкмана и его подельниках, а также подробнее о его поимке.

https://i.gyazo.com/3c9c6320d2f3fa88...24e435884f.png

Дринкман сейчас

https://i.gyazo.com/16c675c43f671f89...e64128624a.jpg

Вступить в наш чат

12 утра 28 июня 2012 года. Самый известный русский кардер Владимир Дринкман и его жена спешат сесть в такси. Они пару минут назад получили информацию о том, что за ними следит ФБР. Однако сбежать пара не успела. На россиянина надели наручники и арестовали по обвинению в содействии организации того, что было названо крупнейшей преступной хакерской схемой, когда-либо расследовавшейся в Соединенных Штатах.

https://i.gyazo.com/dcf03adffcb4f946...0308e107fe.png

Дринкмана обвинили в огромном количестве кибер-атак. Он грабил биржу Nasdaq, кредитные карты из Heartland Payment Systems, 7-Eleven, сеть супермаркетов Hannaford Brothers, Visa, Dow Jones и Jet Blue и другие.

Разумеется, он работал не один. По данным ФСБ группировка нанесла ущерб в размере более 300 миллионов долларов.

Это дело стало одним из самых обсуждаемых в сфере киберпреступности. Поймать русских хакеров не так просто не только из-за высокой степени защиты, но и из-за того факта, что многие из них также находятся в странах бывшего Советского Союза, где экстрадиция практически невозможна.

Тропу к амстердамскому отелю ФСБ строили годами

Изначально ФСБ даже не предполагали найти Дринкмана в Нидерландах. Разведка следила за Дмитрием Смилянец, 31-летним предполагаемым кибер-торговцом украденными данными.

https://i.gyazo.com/6aedca38de219863...aa38ffe143.png

Смилянец и Дринкман

В 2004 году был закрыт преступный форум, известный как DumpsMarket, онлайн-маркет по торговле украденными данными кредитных карт. Там и было обнаружено множество улик.

На форуме агенты заметили хакера по прозвищу Скорпо, которого вскоре связали с Дринкманом. Далее были замечены двое россиян под псевдонимами Anexx и Grigg. В ходе дальнейших исследований следователи обнаружили сообщника по прозвищу Сми. Большая часть группы держалась в тени.

Смилянец, он же Сми или Смелый, живший в Москве, оказался любителем вести публичную жизнь. Он руководил успешной командой онлайн-игр под названием «Москва 5», которая ездила на международные соревнования. У его аккаунта в Твиттере ddd1ms более 14 000 подписчиков. У него также есть аккаунт в ВК, группа и аккаунт в Facebook.

https://i.gyazo.com/61e64a6a42c5c20b...3bd6842ea3.png

Хакер Дмитрий Смилянец («Смелый»), 12 июля 2011 года

Moscow Five / YouTube

Следователи надеялись разоблачить всех фигурантов дела через Смилянец. «Мы знали, что если поймаем его, если он будет сотрудничать, он предоставит много информации о людях», — сказал чиновник.

Поэтому они наблюдали и ждали.

Каникулы в Амстердаме

Летом 2012 года Смилянец опубликовал в Facebook фото, где даже отметил геолокацию, которая указывала на Амстердам.

ФБР принялись за дело. За пару они сделали обзвон всех гостинец в округе и нашли ту самую, где проживал хакер.

Американцы договорились с голландской службой безопасности о поимке Смилянец. Голландская полиция сразу отправилась в отель Manor. Сотрудники подтвердили, что Смилянец был там с женой.

Но вот чудо — на хакера было снято два номера. Кто же во втором? Мистер Владимир Дринкман.

https://i.gyazo.com/0db16d54913892a1...f08a0d2e58.png

ФБР точно знали, что Дринкман — это Скорпо, хотя это имя не появлялось на форуме уже много лет. Подняв все архивы американцы нашли интересный скрин с форума DumpsMarket. Там было следующее: сообщение от Scorpo администратору форума с просьбой сменить ник — на Anexxian. Тот самый ник, чьего владельца ФБР искали годами.

28 июня в 8:30 утра по Амстердаму в отель прибыли голландские полицейские в сопровождении агентов Секретной службы. Смилянца арестовали сразу. Его жена принялась тайно звонить жене Дринкмана и сообщать новости об аресте.

По словам официальных лиц, Дринкман позвонил на стойку регистрации и вызвал такси, но дальше заднего сиденья он не продвинулся. «Он не сопротивлялся», — сказал представитель голландской полиции Вим де Брюин. «Было спокойно и гладко».

https://i.gyazo.com/b720e63c741ed4fb...d7f21a94c9.png

Именно так произошла поимка самого известного русского кардера. На протяжении нескольких лет он успешно сковывался, но был пойман из-за подельника, любившего выкладывать фото своих приключений в сеть.

https://i.gyazo.com/9f811c3dbcec2c77...09698484f6.jpg

Вступить в наш чат

Ещё одна легендарная история о русском хакере, который украл более 169 миллионов долларов.

32-летний мужчина из Владивостока был приговорен к 27 годам лишения свободы за преступления, связанные с компьютерным взломом.

Роман Валерьевич Селезнев, он же Track2, был осужден в августе 2016 года по 38 пунктам обвинения, связанным с его схемой взлома компьютеров торговых точек с целью кражи номеров кредитных карт и продажи их на веб-сайта даркнета.

https://i.gyazo.com/7b2a7328fcc7c771...b6d58c4532.png

Роман сын Валерия Селезнёва, действующего депутата Госдумы РФ от партии ЛДПР. Отец не раз пытался спасти сына от уголовного преследования: заявлял, что Романа на самом деле похитило правительство США. А когда доказательства мошеннических действий Track2 были неоспоримыми отец подавал множество апелляций в суд, но все тщетно.

https://i.gyazo.com/64218c89451b25ad...4598d3d50f.png

Хакер известен на подпольных форумах под никами Bulba, Track2, 2pac, nCuX и др. Он сам торговал дампами через сайты POS Dumps, track2.tv, bulba.cc, 2рас.сс — на последнем продавались миллионы дампов, снятых из терминалов магазинов Target, Neiman Marcus, Michaels, Staples и Home Depot, в 2013-2014 годы это был крупнейший магазин дампов в интернете.

Согласно доказательствам, представленным в суде, в период с октября 2009 г. по октябрь 2013 г. Селезнев взламывал системы розничных точек продаж и устанавливал вредоносное программное обеспечение, которое позволило ему украсть миллионы номеров кредитных карт более чем 500 американских компаний и отправить данные на серверы, которые он контролировал в России, Украине и Маклине, Вирджиния. Затем Селезнев объединил информацию о кредитных картах в группы, называемые «базами», и продал информацию о различных криминальных кардинговых сайтах покупателям, которые использовали их для мошеннических покупок, согласно доказательствам, представленным в ходе судебного разбирательства по этому делу.

Многие из предприятий, на которые нацелился Селезнев, были малыми предприятиями и включали рестораны и пиццерии в Западном Вашингтоне, в том числе Broadway Grill в Сиэтле, который был обанкротился после кибератаки. Схема Селезнева нанесла примерно 3700 финансовым учреждениям убытки на сумму более 169 миллионов долларов.

https://i.gyazo.com/a0d7fdf62c857f52...49268a52ff.png

Селезнева взяли под стражу в июле 2014 года на Мальдивах, а находящийся у него на тот момент ноутбук содержал более 1,7 миллиона украденных номеров кредитных карт, в том числе некоторых из предприятий в Западном Вашингтоне. Ноутбук также содержал дополнительные доказательства, связывающие Селезнева с серверами, учетными записями электронной почты и финансовыми транзакциями, задействованными в схеме. Представленные в суде доказательства показали, что Селезнев заработал на своей преступной деятельности десятки миллионов долларов.

Селезнев был осужден 25 августа 2016 г. по 10 пунктам обвинения в мошенничестве с использованием электронных средств связи, восьми пунктам обвинения в умышленном повреждении защищенного компьютера, девяти пунктам обвинения в получении информации с защищенного компьютера, девяти пунктам обвинения в хранении 15 и более устройств несанкционированного доступа и двум пунктам обвинения. количество случаев кражи личных данных при отягчающих обстоятельствах.

"Преступное предприятие Селезнева было одновременно изощренным и обширным, с транснациональными последствиями», — сказал ответственный специальный агент Роберт Л. Кирстед из Секретной службы США.

Селезнев также обвиняется в отдельном обвинительном акте округа Невада в участии в коррупционной организации, находящейся под влиянием рэкета (RICO), и сговоре с целью участия в коррупционной организации, находящейся под влиянием рэкета, а также в двух пунктах обвинения в хранении 15 или более контрафактных и несанкционированных устройств. Кроме того, в Северном округе Грузии Селезневу предъявлено обвинение в заговоре с целью совершения банковского мошенничества, одном эпизоде банковского мошенничества и четырех пунктах обвинения в мошенничестве с использованием электронных средств.

На свободе у Романа осталась гражданская жена и маленькая дочка. По словам жены, Роман был "обычным пользователем компьютера" и точно не виноват во всех присвоенных ему злодействах. А его отец не забыл подчеркнуть тот факт, что Роман в университете учился на гуманитарной специальности и с компьютерами встречался редко.

https://i.gyazo.com/becc50f2ac8e8bd2...f5dcf3fa0e.png

https://i.gyazo.com/f5504924188da3ae...714ca6abfa.jpg

Вступить в наш чат

Group-IB разоблачил атаки группы хакеров, работающих с 2016 года. Хотя банда ранее нападала на российские банки, эксперты Group-IB также обнаружили доказательства деятельности группы более чем в 25 странах мира. Group-IB опубликовала свой первый подробный отчет о тактике и инструментах, используемых Silence. Гипотеза аналитиков безопасности Group-IB заключается в том, что по крайней мере один из членов банды является бывшим или нынешним сотрудником компании, занимающейся кибербезопасностью. Подтвержденный ущерб от деятельности Silence оценивается в 800 000 долларов США.

https://i.gyazo.com/334f785fa5b72fcf...bd597352b4.png

Silence — это группа русскоязычных хакеров, судя по их языку команд, расположению используемой ими инфраструктуры и географии их целей (Россия, Украина, Беларусь, Азербайджан, Польша и Казахстан). Хотя фишинговые письма рассылались также банковским служащим в Центральной и Западной Европе, Африке и Азии). Кроме того, Silence использовала русские слова, набранные на английской раскладке клавиатуры, для команд используемого бэкдора. Хакеры также использовали услуги русскоязычного веб-хостинга.

По данным Group-IB, в течение последних трех лет группа проводила тайные кибератаки на финансовые учреждения в России и Восточной Европе.

Группа оставалась незамеченной в течение многих лет, в основном из-за ее предрасположенности к использованию законных приложений и инструментов, уже найденных на компьютерах жертв.

https://i.gyazo.com/8659228e5e84881f...8d854babdf.png

Но Silence также создали свои собственные инструменты, такие как:

Silence — основа для атак на инфраструктуру;

Атмосфера — набор программных средств для атак на банкоматы;

Farse — инструмент для получения паролей со взломанного компьютера;

Cleaner — инструмент для удаления логов.

Эти инструменты в сочетании с тактикой скрытности помогли группе оставаться незамеченной гораздо дольше, чем многим ее коллегам.

Как ФБР удалось раскрыть самых аккуратных хакеров? Расскажем в следующей части.

https://i.gyazo.com/fe343ee55bc0a3fd...634a7bfea3.png

https://i.gyazo.com/0f96d3420159998d...add140c113.jpg

Вступить в наш чат

Давайте разберемся, кто стоит за группировкой хакеров, прозванными самыми аккуратными мошенниками в мире.

Кто такие Silence Group

У команды Silence есть две четкие роли: оператор и разработчик. Предположительно, Оператор является лидером группы. Он действует как тестировщик, который обладает глубокими знаниями инструментов для проведения тестирования на проникновение в банковские системы. Эти знания позволяют группе легко ориентироваться внутри банка. Именно оператор получает доступ к защищенным системам внутри банка, а затем осуществляет кражу.

Разработчик является квалифицированным реверс-инженером. Он отвечает за разработку инструментов для проведения атак, а также способен модифицировать сложные эксплойты и стороннее программное обеспечение. Кроме того, разработчик обладает достаточными знаниями о процессах, системах ATM и имеет доступ к непубличным образцам вредоносных программ, которые обычно доступны только охранным компаниям.

Отличительной особенностью Silence является их нетипичная ролевая структура и небольшой размер. Оказывается, в эту русскоязычную группу входят всего два человека.

https://i.gyazo.com/a433306156cf93ad...c1540a22dc.png

Как и в большинстве финансово мотивированных APT-групп, члены Silence являются русскоговорящими, о чем свидетельствует язык команд, приоритеты в размещении арендуемой инфраструктуры, выбор русскоязычных хостинг-провайдеров и местоположение целей.

Команды троянца Silence - это русские слова, набранные с использованием английской раскладки:

htrjyytrn > реконнект (повторное подключение) htcnfhn > рестарт (перезапуск) ytnpflfybq > нетзадач (нет задач)

Основные цели находятся в России, хотя фишинговые электронные письма были отправлены сотрудникам банков более чем в 25 странах Центральной и Западной Европы, Африки и Азии.

Для аренды серверов Silence использует русскоязычных хостинг-провайдеров.

Преступления самых аккуратных хакеров

Успешные атаки Silence в настоящее время были ограничены странами СНГ и Восточной Европы. Их основные цели расположены в России, Украине, Беларуси, Азербайджане, Польше и Казахстане.

Однако некоторые фишинговые электронные письма были отправлены сотрудникам банка более чем в 25 странах Центральной и Западной Европы, Африки и Азии.

https://i.gyazo.com/8378e44422522191...4f820701a7.png

Хронология атак

Июль 2016 — хакерам не удалось вывести деньги через российскую AWS CBR. Сотрудники банка быстро заметили подмену документов и залатали дыру в системе.

Август 2016 — всего за месяц хакеры снова получили доступ к системам AWS CBR. На этот раз банк попросил Group-IB отреагировать на инцидент. Атака была остановлена. Однако полный журнал инцидента восстановить было невозможно, поскольку в попытке очистить сеть ИТ-команда банка удалила большинство следов злоумышленника.

Октябрь 2017 года — наконец удачная кибератака. На этот раз Сайленс атаковал банкоматы и украл более 100 000 долларов всего за одну ночь. В том же году они провели DDoS-атаки с использованием IRC-бота Perl и общедоступных IRC-чатов для контроля троянов. После неудачной попытки с системой межбанковских транзакций в 2016 году преступники не пытались вывести деньги с помощью системы, даже получив доступ к серверам AWS CBR.

Февраль 2018 — успешная атака с использованием обработки карт. Они сняли более 550 000 долларов через банкоматы банка-партнера.

Апрель 2018 — через два месяца группа вернулась к своему проверенному методу и снова сняла средства через банкоматы. За одну ночь они выкачали около 150 000 долларов. На этот раз инструменты Silence были значительно изменены: они не были обременены избыточными функциями и стабильно работали без ошибок.

Что с Silence сейчас

На момент 2023 года хакеры так и не были пойманы, что говорит об их исключительной системе безопасности. На сегодняшний день расследование продолжается, но с 2018 года нет официальных заявлений или отчетов об активности Silence. Команда полностью оправдывает своё название — "Тишина".

https://i.gyazo.com/52d80e826772f7f3...a1b2f63172.png

https://i.gyazo.com/d0a1463d2a6bc41f...fdf54e9f88.jpg

Вступить в наш чат

Международные эксперты по кибербезопасности подсчитали, что в 2019 году кибератаки происходили во всем мире каждые 14 секунд. Сегодня вспомним о том, как хакеры украли данные на 2,5 трлн. долларов.

https://i.gyazo.com/f3e5931abdde56cc...3bf751b5f1.png

Что произошло

Данные миллионов клиентов обнаружены на черном рынке в результате крупнейшей в истории утечки информации о кибербезопасности в российском банковском секторе.

Аналитики компании DeviceLock, занимающейся кибербезопасностью, обнаружили личную информацию, относящуюся к 60 миллионам держателей кредитных карт Сбербанка, для продажи на черном рынке. Им удалось проанализировать данные около 200 предполагаемых клиентов, предоставленные им продавцом, и проверить их подлинность.

Российская газета «Коммерсант» дополнительно проверила некоторые данные, успешно найдя в базе данных данные кредитных карт своих журналистов, включая личные данные, такие как их место работы за последние три года.

«Это самая большая и подробная банковская база данных, которая когда-либо появлялась на черном рынке», — сказал основатель DeviceLock Ашот Оганесян.

«В мировом рейтинге банковских утечек это можно считать крупным инцидентом. Для российского рынка это абсолютный рекорд, по крайней мере, за последние десять лет», — сказал он The Moscow Times.

Данные появились для продажи на сайте, который заблокирован российским регулятором связи Роскомнадзором. Предполагается, что утечка данных могла произойти в конце августа 2019.

https://i.gyazo.com/ad201225d59c02e6...103c05ef56.png

Что ответил банк

Сбербанк подтвердил утечку данных «не менее 200 клиентов», заявив, что утечка могла произойти от сотрудника банка.

В официальном заявлении на своем сайте банк сказал:

«На данный момент проводится служебное расследование, о его результатах будет сообщено в будущем. Наиболее вероятным объяснением произошедшего являются умышленные преступные действия сотрудника, так как внешнее проникновение в базу данных невозможно из-за ее изолированности от внешней сети. Украденная информация ни в коем случае не угрожает сохранности средств клиентов», — говорится в сообщении.

В частности, в Сбербанке заявили, что, поскольку просочившаяся информация не содержит трехзначных CVV-кодов кредитных карт, а клиенты также требуют код подтверждения в текстовом сообщении для совершения онлайн-платежей, клиенты не подвергаются риску мошенничества.

Какой масштаб трагедии на самом деле

Однако Оганесян сообщил The Moscow Times, что в результате утечки клиенты Сбербанка стали жертвами «различных видов мошенничества». В частности, он выделил телефонное мошенничество, сославшись на инцидент, произошедший ранее в этом году, когда клиентам Сбербанка звонили мошенники, выдававшие себя за представителей банка.

Сообщается, что в сеть утекли данные о 60 миллионов карт пользователей Сбербанка. Эта утечка стала самой масштабной за всё время работы банка.

https://i.gyazo.com/8ad7858777b02194...0724169929.png

Кто взломал

За всё время расследования Сбербанк так и не вышел на преступников. Во всяком случае, не делал официальных заявлений о том, что хакеры найдены и наказаны.

Служба безопасности Сбера сообщила о своей версии произошедшего: к взлому причастны работники банка, розыск которых всё ещё ведётся.

https://i.gyazo.com/a3ad993b5bd57794...f2516a0f85.png

https://i.gyazo.com/03271f308ce0557d...363e6b0bfe.jpg

Вступить в наш чат

Эта история началась еще летом. Эстония попала под волну кибератак из-за того, что снесла несколько советских памятников.

«В августе 2022 Эстония подверглась самым масштабным кибератакам, с которыми она сталкивалась с 2007 года», — написал в Twitter заместитель министра экономики и коммуникаций Эстонии Луукас Ильвес.

Ильвес также сказал, что ддосу подверглись не только правительственные сайты, но и частные учреждения.

Ответственность за атаки взяла на себя российская хакерская группа Killnet, заявившая в своей учетной записи Telegram, что она заблокировала доступ к более чем 200 государственным и частным эстонским учреждениям, таким как онлайн-система идентификации граждан.

https://i.gyazo.com/d3c66c97e6bc9218...9348a53fcb.png

Killnet, заявившая об аналогичной атаке на Литву в июне, заявила, что действовала после того, как во вторник в городе Нарва, недалеко от границы Эстонии с Россией, была изъята из публичного обозрения копия советского танка Ту-34 времен Второй мировой войны и доставлена в Эстонию.

Ранее эстонское правительство распорядилось о скорейшем сносе всех общественных мемориалов советской эпохи в преимущественно русскоязычном городе, сославшись на растущую там напряженность и обвинив Москву в попытке использовать прошлое для разделения эстонского общества.

Напряженность вокруг советских памятников

При DDoS-атаке хакеры пытаются завалить сеть необычно большими объемами трафика данных, чтобы парализовать ее, когда она больше не может справляться с объемом запрошенных данных.

Эстония, член Европейского союза и НАТО, приняла меры по усилению кибербезопасности в 2007 году после масштабных DDoS-атак на публичные и частные веб-сайты, ответственность за которые она возложила на российских субъектов, разгневанных его удалением во время еще одного памятника советской эпохи.

https://i.gyazo.com/12019c31be6552de...229afe65b5.png

Как и ее балтийские соседи, Эстония снесла множество памятников, прославляющих Советский Союз или коммунистических лидеров, с тех пор, как страна восстановила независимость в 1991 году.

Правительство и многие эстонцы рассматривали памятник в Таллинне как болезненное напоминание о 50-летней советской оккупации, в то время как некоторые этнические русские рассматривали его снос как попытку стереть свою историю.

Эти события напомнили о том, как в 2007 году группа русских хакеров уже совершала кибератаку на Эстонию. В следующем выпуске расскажем о том, какой ущерб понесло правительство Эстонии, а также удалось ли им раскрыть и наказать нарушителей.

https://i.gyazo.com/4d32fbbc438602a3...231c1f5a97.png

https://i.gyazo.com/112375db00f03d67...10d393a084.jpg

Вступить в наш чат

Прошлым летом российская хакерская группа, известная как Cold River, атаковала три ядерные исследовательские лаборатории в Соединенных Штатах, согласно интернет-записям, просмотренным Reuters и пятью экспертами по кибербезопасности.

В период с августа по сентябрь, когда Владимир Путин указал, что Россия будет готова использовать ядерное оружие для защиты своей территории, Cold River нацелился на национальные лаборатории в Брукхейвене (BNL), Аргонне (ANL) и Ливерморе Лоуренса (LLNL). {акеры создают поддельные страницы входа для каждого учреждения и рассылают электронные письма ученым-ядерщикам, пытаясь заставить их раскрыть свои пароли.

https://i.gyazo.com/856f3618817a1c3a...acf6282d4b.png

Кто такие Cold River

Cold River впервые попала в поле зрения специалистов разведки после нападения на министерство иностранных дел Великобритании в 2016 году. За последние годы она была замешана в десятках других громких хакерских атак. Агентство Reuters отследило учетные записи электронной почты, использованные в его хакерских операциях в период с 2015 по 2020 год, до ИТ-специалиста в российском городе Сыктывкар.

«Это одна из самых важных хакерских групп, о которых вы никогда не слышали», — сказал Адам Мейерс, старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike. «Они участвуют в прямой поддержке информационных операций Кремля».

https://i.gyazo.com/56f88b70dae0465c...09931fceed.png

Западные чиновники заявляют, что российское правительство является мировым лидером в области хакерских атак и использует кибершпионаж, чтобы шпионить за иностранными правительствами и отраслями, чтобы получить конкурентное преимущество. Однако Москва последовательно отрицает, что проводит хакерские операции.

В мае Cold River взломал и слил электронные письма, принадлежащие бывшему главе британской разведывательной службы МИ-6. Это была лишь одна из нескольких операций «взлома и утечки», проведенных в прошлом году хакерами, связанными с Россией, в ходе которых конфиденциальные сообщения были обнародованы в Великобритании, Польше и Латвии.

По данным французской фирмы по кибербезопасности Sekoia.io, во время другой недавней шпионской операции, направленной против критиков Москвы, компания Cold River зарегистрировала доменные имена, имитирующие как минимум три европейские неправительственные организации, расследующие военные преступления.

Попытки взлома, связанные с неправительственными организациями, имели место непосредственно перед и после опубликования 18 октября доклада независимой следственной комиссии ООН, в котором было установлено, что российские силы несут ответственность за «подавляющее большинство» нарушений прав человека в первые недели войны на Украине.

https://i.gyazo.com/0856e6133f016b65...2d4ac4d6c9.png

https://i.gyazo.com/e30495b4b5004452...f48f48646b.png

Вступить в наш чат

Пророссийская хакерская группа взяла на себя ответственность за временное закрытие нескольких веб-сайтов аэропортов США.

Кибератаки, о которых заявила Killnet, затронули, в частности, веб-сайты Los Angeles International, Chicago O'Hare и Hartsfield-Jackson International в Атланте.

Хакеры разместили список аэропортов в Telegram, призывая хакеров участвовать в так называемой DDoS-атаке — распределенном отказе в обслуживании, когда компьютерная сеть переполняется одновременными передачами данных.

Кто пострадал

Призыв хакеров к действию включал аэропорты по всей стране, включая Алабаму, Аризону, Арканзас, Калифорнию, Колорадо, Коннектикут, Делавэр, Флориду, Джорджию, Гавайи, Айдахо, Иллинойс, Индиану, Айову, Канзас, Кентукки, Луизиану, Мэриленд, Массачусетс, Мичиган, Миннесота, Миссисипи и Миссури.

https://i.gyazo.com/e632d641589a2f7f...334cfd6f40.png

Не сразу стало ясно, сколько аэропортов действительно пострадало и все ли сайты пострадавших пострадали.

В Атланте власти заявили, что ATL.com «заработал после инцидента рано утром, который сделал его недоступным для публики». Но люди в Твиттере продолжали жаловаться на то, что части сайта были недоступны в течение нескольких часов после того, как было сделано объявление.

Какие ещё атаки сделали Killnet

В более раннем сообщении Killnet отметил другие уязвимые сайты США, которые могут подвергнуться аналогичным DDoS-атакам, включая морские терминалы и логистические объекты, центры мониторинга погоды, системы здравоохранения, системы метро, а также биржи и системы онлайн-торговли.

Хакеры поздравили несколько команд, которые, помогли вывести сайты из строя, написав: «Кто участвовал в ликвидации Соединенных Штатов Америки, не останавливайтесь !!»

Атаки последовали за очередной волной кибератак. В этом случае хакеры взяли на себя ответственность за то, что сплотила хакеров для отключения государственных сайтов штата.

https://i.gyazo.com/529f4a7e6e4acb4d...d8ade72583.png