«Взломать можно кого угодно»: разговор с ростовским хакером
Почему хакеры всегда стоят перед выбором остаться на светлой стороне или перейти на темную, кто такие айти-киллеры и зачем одному человеку данные компьютеров тысяч обычных людей рассказал инженер по надежности информационных систем, руководитель группы разработки и инженер-программист из Ростова Павел Лакосников.
Взломать можно все
Хакеров в айти-сообществе принято делить на «белых» и «черных». Первые легально ищут ошибки в системах, чтобы их устранять. Вторые — используют бреши в коде для корыстных целей. О том, как защититься от взлома рассказал программист Павел Лакосников.
«В обывательском смысле, хакер — это человек, который проникает на компьютер и стащил твои фоточки. На самом деле в английском языке это слово не несло изначально негативной коннотации», — объясняет программист.
Он добавляет, что взломщиков называли «cracker», а хакер — это человек, который использует ошибки системы, кода или социальную инженерию для получения несанкционированного доступа к информационным системам. Доступ к системам, по словам Павла, хакеры получают едва ли не мошенническими действиями.
«Систем невзламываемых просто не существует», — утверждает програмист.
Павел рассказывает, что в некой гипотетической идеальной системе, где нет ни одной технической ошибки слабым звеном становится пользователь системы. Именно через него взламывают систему. Программист вспомнил случай с хакерской атакой на Skype. Мошенники вели переписку с пользователями, узнавали личную информацию человека. Затем хакер обращался в службу поддержки Microsoft с тем, что якобы потерял пароль. Таким образом хакеры взламывали аккаунты с помощью обыкновенного человеческого фактора.
Часто в СМИ пишут о хакерских атаках на крупные сервисы доставки еды, такси и даже Госулуги. Зачем кому-то данные миллионов обычных людей?
Flipper Zero: как устроен хакерский тамагочи
Неделю назад вы, скорее всего, ничего не знали о Паше Жовнере, а потом он набрал на Kickstarter миллион долларов за день. Его проект – это «тамагочи для хакеров», называется Flipper Zero. Это такой дельфинчик, который любит прослушивать радиоканалы, забивать радиоканалы, открывать разные замки, выключать телевизоры в аэропортах — то есть делать всё, что так любят делать хакеры.
Наши друзья из подкаста «Запуск завтра» позвали Пашу Жовнера в подкаст, чтобы узнать, насколько сложно произвести такое устройство, кто над ним работает и вообще насколько всё это законно.
Вот полная версия, в ней много матерной ругани и удивительных историй. А в тексте — коротко и няшно.
О Павле
Мне 30 лет, я из деревни, простой чувак, который работал на стройке, и вот пошёл заниматься всякими штуками. Я успел поработать в дата-центре, крутил хвосты интернетам, роутингам, маршрутизациям, носил сервера, куда-то вставлял патч-корды, отвечал на тикеты, сидел с ноутбуком с работягами в подсобке, пусконалаживал пожарную систему, пердели сирены, всё орало, всё ломалось. В общем, я много чего успел поделать в своей жизни.
О Flipper Zero
Это мультитул для программистов. Как швейцарский нож для задротов, которые интересуются технологиями, а ещё для пентестеров.
Пентестеры — это penetration testing, тест на проникновение. Это хакеры, которым заплатили за «Взломайте нас, пожалуйста. Мы вам заплатим, а вы расскажите, какие у нас были уязвимости». Целый класс хакеров-пентестеров вынуждены сами себе делать инструменты, склеивать изолентой какие-то микросхемы, прототипировать. Провода торчат, всё разваливается. А у нас это собрано в маленькую коробочку, по форме похожую на брелок от автомобильной сигнализации с экранчиком.
Главная фишка — это радиомодуль, который работает на диапазонах, на которых работают все популярные нелицензируемые девайсы типа дверных звонков, радиотермометров, каких-то пультов от гаражей, шлагбаумов и светофоров.
Тут же инфракрасный порт. Он умеет как передавать сигнал, так и принимать. В него зашита база пультов: все телевизоры всех марок, которые мы знаем. Можно сказать «выключи все телевизоры», и он будет перебирать все телевизоры, которые знает, чтобы посылать все эти сигналы. Или ты можешь взять нужный пульт, направить в наш девайс, сохранить сигнал и кондиционер в офисе выключать, пока основной пульт у офис-менеджера.
I-Button — это контактные ключи от домофонов, такие железные таблетки. На «Флиппере» есть контактная площадка, которая одновременно по форме и как считыватель, и как эмулятор. Можно считать данные с ключа, записать данные на ключ или эмулировать ключ.
RFID 125 кГц — это те бесконтактные карточки, которыми пользуются для входа в офисы, или круглые бесконтактные таблетки от домофонов. Это совсем тупые карты, которые не имеют обычно никаких средств аутентификации, просто прошит какой-то номер.
Ещё есть GPIO, это general purpose input-output. Это просто дырочки, куда ты можешь вставить проводочки, то есть чтобы подключиться к микроволновке или перепрошить роутер. В общем, туда можно вставлять что угодно.
Атаки типа Bad USB
На «Флиппере» есть USB-стек, который позволяет работать с USB. Как это может быть устроено:
- Компьютер доверяет по умолчанию клавиатуре.
- Если ты вставляешь в компьютер клавиатуру, ты обычно сразу можешь печатать. И если ты, допустим, в рабочий компьютер вставляешь клавиатуру, то если у тебя какая-то особо умная клавиатура, она может сэмулировать, как будто там на самом деле нажимаются кнопки.
- Такая эмулированная клавиатура может нажать кнопку «Пуск», потом написать cmd.exe, открыть терминал, написать там кучу текста сразу за секунду, создать у тебя маленький вирус, сохранить как бинарный файл, запустить.
- У тебя на полсекунды что-то моргнёт на компе, и ты не поймёшь.
Это называется атака типа Bad USB. Есть и другие варианты — например, атака по USB через сетевой протокол.
Можно ли так всё взломать?
Люди ошибочно думают, что, например, с помощью радиомодуля можно взять и начать всё ломать, всё начнёт открываться. Это не так. Там есть анализатор протоколов: ты можешь посмотреть, например, использует ли твой пультик от автомобильной сигнализации такое-то шифрование; или твоя гаражная дверь — можно ли её атаковать или нет.
Нам приводят часто в пример игру Watch Dogs, где чувак с телефоном всё взламывает. И правда, есть очень примитивные протоколы, в которых ты можешь перебрать все комбинации за две минуты, и гараж откроется. В Америке таких много.
Есть современные нормальные системы с шифрованием типа rolling code, которые со счётчиком. Это используют даже дешёвые автомобильные сигнализации. Нельзя просто услышать сигнал и повторить. Но способы их атаковать тоже есть.
Если говорить о USB-атаках, то на компьютере уже могут быть какие-то средства защиты. Например, если ты напишешь вирус, а на компьютере будет антивирус — он обнаружится.
Насколько сложно было разработать «Флиппер»
Это очень сложная работа.
Мне нравятся комментаторы, которые пишут: «Я за 2$ на Arduino соберу то же самое. Просто не хочу». Но когда начинается…
У нас там куча антенн — четыре антенны: Sub 1 GHz, RFID, NFC, Bluetooth. Чипы и процессор мы покупаем. Плата — наша, готовых решений для неё нет. Есть ещё много разных материалов: вставочка для инфракрасного порта, джойстик, несколько мелких деталей.
Огромный кусок бюджета — это софт, который мы будем писать ещё очень долго, потому что это всё строится вокруг программного обеспечения, вокруг прошивки.
Большую роль играют промдизайнеры — это люди, которые разбираются в производстве вещей. Они рожают не просто визуально красивое решение. Они думают, как это производить: как это будет выковыриваться из пресс-форм; где какая толщина пластика, чтобы это не разлетелось; где какие рёбра жёсткости; что будет западать; как китайцы будут это всё собирать; удобно или нет. Например, если неудобно собирать и процент брака большой — всё сломается.
Промдизайнеры берут все эти вопросы на себя. Они показывают тебе картинку. Ты говоришь: «Классно», или «Не классно. Тут переделать. Тут не тот user experience. Такая кнопка слишком мягкая или слишком жёсткая. Тут выглядит некрасиво. У нас другой стиль. Слишком по-детски. Слишком зло» и всё такое. А они уже решают все технические вопросы.
О сборе денег на проект
Деньги на «Флиппера» собирали через краудфандинг на сайте Kickstarter.
Мы написали, что если мы собираем 100 тыс. долларов, то мы делаем корпуса разного цвета. Если мы собираем 300 тысяч — добавляем Bluetooth. Если 700 тысяч — NFC. Мы ожидали, что в первый день, по прогнозам, будет от 60 до 120 тысяч. Сумма собирается. Потом через час ещё 100 тысяч, потом 300 тысяч, потом через 26 часов — миллион долларов. Наши самые оптимистичные прогнозы пробило в 10 раз.
Мы всё это делали на свои деньги внутри, у нас никаких инвестиций, ничего. И люди, к которым мы приходили просить деньги, говорили: «Да что-то фигня какая-то. Нет рынка, непонятная хрень». И они, эти же люди, звонят: «Вау, класс! Молодцы, супер!». Тоже хочется сказать им: «Ну, что вы теперь скажете?»
О миллионах. Сейчас мне звонят одноклассники, которые 20 лет со мной не общались, я вообще забыл их имена. Они говорят: «Паша, ты что, миллионер?».
Нет, конечно: эти деньги, начнут сниматься с карт только в конце августа. Весь сентябрь они будут пытаться списать эти деньги с карт, потому что даже сейчас эти деньги не списаны. Это вообще ничего, это просто циферка на экране, которая потенциально спишется у людей в конце кампании, если она будет успешно завершена. А это тоже под вопросом. Может случиться что угодно.
Сейчас я езжу в маршрутке, «Доширак» себе завариваю. Никаких миллионов нет ещё.
О хакерах
Я не люблю слово «хакер». Мне нравится слово «задрот», потому что хакер в массовом сознании — это тот, кто ворует у вас деньги из кармана.
На самом деле, хак — это clever trick. Написать маленькую программку, которая умещается в килобайт, которая делает крутые штуки — это хак. Перепрошить роутер, который начинает работать как устройство в 10 раз дороже — это хак. А с. ть у вас деньги с кредитной карты — это просто scam, это никакой не хак. Но я не использую здесь на русском слово «хакер», потому что, опять же, в сознании неправильная ассоциация.
О легальности
Мы прорабатываем юридический момент. Устройство не попадает под описание спецсредства, не является устройством негласного сбора информации, оно не записывает звук и не позволяет тебе проникать в помещение. Для сравнения: электронные отмычки классифицируются как спецсредства. Наше устройство из коробки абсолютно легально.
Вместе с тем ответственность лежит на пользователе. Если ты купишь в магазине обычную Wi-Fi-карточку, вставишь её в ноутбук и скачаешь в интернете программу, она начнёт ломать Wi-Fi. Мы же из-за этого не запрещаем Wi-Fi. То же с ножами — они легальны.
Об ответственности
Я не считаю это оружием. Если твоя машина угоняется брелоком за 50–100 баксов, то, наверное, проблема всё-таки в твоей сигнализации, а не в этой штуке. Все инструменты для мошенничества, для автоугонщиков, они все продаются. На «Авито» напиши, там будет весь спектр.
В мире есть плохо защищённые сигнализации и гаражные двери, которые можно открыть простым устройством. Это можно было сделать и раньше, и сейчас. Если в продаже появились хорошие ломы, которым удобно разбивать стёкла в машинах, это не значит, что виноваты ломы.
О знаниях и умениях
Я ничему особенно не учился. Во всём нашем проекте, мне кажется, я самый тупой человек: если взять каждого по отдельности, он свою сферу знает настолько хорошо, что… Без этих людей я никогда бы вообще ничего даже близко подобного не сделал.
Я умею в основном работать с сетями, передачей данных, системами управления доступом. В железе я полный профан. То есть я гуглю онлайн-калькулятор, чтобы закон Ома ввести, чтобы посчитать, какой проводок надо.
Есть люди, которые любят свою машину крутить в гараже, растачивать ей прямоток, поршни. А я предпочитаю гнать на ней изо всех сил, чтобы приехать туда, куда мне нужно, с ветерком. То есть я учусь на практике. Мне нужно что-то, у меня есть какая-то безумная фантазия, и я ищу, как её реализовать, сижу, что-то читаю.
Мне иногда пишут рекрутёры: «Вы топовый программист на GitHub в России, в Python». Я говорю: «Да, потому что у меня есть один скриптик на 100 строчек, который я когда-то написал, который оказался всем нужен». Но я не программист, я не умею программировать.
Если вы меня, допустим, пригласите работать каким-то программистом, я просто скажу: «Извините, я не умею». Это будет правдой.
И многое другое
В полной версии подкаста — как Паша знакомился через AirDrop, как открывается компания в США и почему там сложно получить ИНН, в чём суть хакерского подхода по жизни и что будет с проектом дальше. Слушайте, но маму и деток от экрана уберите.
Хакеры. «Джентельмены удачи» или компьютерная элита?
Один мой хороший знакомый любит повторять фразу: «Хакер — это не тот, кто ломает, а тот, кто изучает»!
Я немного расскажу об эволюции хакеров. Предупреждаю сразу: «буквав многа», не все осилят.
Кто такие эти страшные хакеры? Это слово возникло в 60-х годах. Тогда не было компьютеров в нашем понимании, зато началось повальное увлечение радиоэлектроникой. Многие талантливые инженеры (не по профессии, а по жизни) открыли для себя безграничный мир творчества. Имя этому миру — ЭЛЕКТРОНИКА. С помощью мотка проволоки и горстки дешевых деталей можно собрать генератор Тесла и удивлять друзей на вечеринках причудливыми молниями. А можно собрать простейший приемник и слушать разговоры и музыку с другого конца планеты. Радиолюбители (и радиогубители) стали в глазах окружающих этакими волшебниками. Только их волшебство может постичь и повторить каждый, достаточно открыть учебник и провести за ним несколько дней или недель. В фильме «Вавилон 5» было шикарное название — техномаги. Именно таких людей и начали называть хакерами. Они не знают ничего сверхъестественного, но творят именно такие вещи. Бум радиоэлектроники начал спадать с продвижением в массы персональных компьютеров (в середине 90-х) и вместе с ним начало угасать понятие «хакер».
Но, как феникс из огня, оно возродилось уже в новом облике, в лице компьютерных специалистов. Компьютеры сейчас воспринимаются большинством населения как ящик для выхода в интернет, поиска порнухи и для игр. Для хакера же компьютер — это гораздо большее. Это его лучший друг или подруга, которому он дает имя и иногда даже разговаривает с ним. Они не шизофреники, просто компьютер для них сродни собачке или хомячку, за которым они ухаживают. Так же, компьютер — это его библиотека, где при умелом поиске можно найти практически любые знания. Это его поле боя, где он штурмует «замки и бастионы» защитных систем различных серверов. Он «ломает» чужие системы не для того, чтобы похулиганить или с целью вандализма. Ему интересен сам процесс проникновения, это для него сродни самому интересному кроссворду или головоломке. Это его мир. В нем он «гуляет» где хочет и любая защита означает забор в парке, который можно перелезть, если он мешает прогулке. Вот любопытное определение с wiki:
1. Человек, любящий исследование подробностей (деталей) программируемых систем, изучение вопроса повышения их возможностей, в противоположность большинству пользователей, которые предпочитают ограничиваться изучением необходимого минимума. RFC 1392 усиливает это определение следующим образом: «Человек, наслаждающийся доскональным пониманием внутренних действий систем, компьютеров и компьютерных сетей в частности».
2. Кто-либо программирующий с энтузиазмом (даже одержимо), или любящий программировать, а не просто теоретизировать о программировании.
3. Человек, способный ценить и понимать хакерские ценности.
4. Человек, который силён в быстром программировании.
5. Эксперт по отношению к определённой компьютерной программе, или кто-либо часто работающий с ней; пример: «хакер Unix». (Определения с первого по пятое — взаимосвязанные, так что один человек может попадать под несколько из них.)
6. Эксперт или энтузиаст любого рода. Кто-либо может считаться «хакером астрономии», например.
7. Кто-либо любящий интеллектуальные испытания, заключающиеся в творческом преодолении или обходе ограничений.
8. Высокопрофессиональный и любопытный программист (администратор или пр.) отличающийся оригинальным мышлением.
Все понятно, кроме пункта 3. А что за ценности у хакера? Можно найти много разных определений, но главные ценности — это свобода! Свобода перемещений, свобода информации, свобода разума от рамок общества, свобода, свобода, свобода! Хакер не только должен обладать огромными техническими данными. Хакер — это состояние души и определенный склад ума. Чтобы понять хакеров, нужно прочитать и вдуматься в каждую строчку «манифеста хакера», который был написан еще в 90-х и который очень наглядно отображает ценности и мысли хакеров. Сам манифест:
Ещё одного поймали сегодня, это во всех газетах. «Подросток арестован за компьютерное преступление», «Хакер арестован за взлом банка».
Чёртовы дети… Они все одинаковы.
Но вы, с вашей трех-элементной психологией и техномозгом 50-х годов, вы смотрели когда-нибудь в глаза хакеру? Вы когда-нибудь задумывались что заставляет его двигаться, какие силы сформировали его?
Я — хакер, войдите в мой мир…
Мой мир начинается со школы. Я умнее большинства других детей, та чушь, которой учат нас в школе, скучна.
Чёртов недоносок… Они все одинаковы.
Я в средних или старших классах. Слушаю учительницу, которая в пятнадцатый раз объясняет как сокращать дробь. Да понял я уже. «Нет, мисс Смит, я не покажу вам мою работу. Я сделал её в уме…»
Чёртов ребенок, наверняка списал. Они все одинаковы.
Сегодня я сделал открытие. Я открыл компьютер. Секунду… это здорово! Он делает то, что я хочу. Если он совершает ошибку — это потому что я напортачил. Не потому, что я ему не нравлюсь… Или он запуган мной… Или думает, что я слишком умный… Или не любит учиться и не должен быть здесь…
Чёртов мальчишка. Все что он делает — играет в игры. Они все одинаковы.
И это случилось… дверь в мир распахнулась… посланный электронный импульс рванулся по телефонным линиям, как героин по венам наркомана, убежище от повседневной некомпетентности найдено. «Это оно… То, к чему я принадлежу» Я знаю здесь каждого… даже если я никогда не встречал его, никогда не говорил с ним, и могу больше никогда его не услышать… Я знаю вас всех…
Чёртов пацан, опять занимает телефонную линию. Они все одинаковы.
Вы готовы поклясться своей задницей, что мы все одинаковы. В школе нас всех кормили детским питанием с ложечки, в то время когда нам хотелось бифштекса… Те кусочки мяса что нам доставались, были разжёваны и безвкусны. Над нами доминировали садисты и игнорировали равнодушные. Те немногие, кто могли чему-то научить, находили в нас желанных учеников, но они были как капли воды в пустыне.
Теперь это наш мир… Мир электронов и переключателей, мир красоты данных. Мы используем существующие системы, не платя за то, что могло быть чертовски дешевым, если бы не управлялось грязными спекулянтами, и вы называете нас преступниками. Мы исследуем, и вы называете нас преступниками. Мы ищем знания… и вы называете нас преступниками. Мы существуем без цвета кожи, без национальности, без религиозных распрей… и вы называете нас преступниками. Вы строите атомные бомбы, вы развязываете войны, убиваете, жульничаете и лжете нам, пытаясь заставить нас поверить что все это — для нашего же блага, и мы уже преступники.
Да, я преступник. Мое преступление — любопытство. Мое преступление в том, что я сужу людей не по тому, как они выглядят, а по тому, что они говорят и думают. Мое преступление в том, что я намного умнее вас. Это то, что вы мне никогда не простите.
Я хакер. И это мой манифест. Вы можете остановить меня, но вам не остановить нас всех… в конце концов, мы все одинаковы.
Ощутили незнакомый запах параллельного мира, где живут хакеры? Вы стоите рядом с дверью в этот мир и сможете в него войти лишь тогда, когда Вашей главной ценностью станут не деньги, а СВОБОДА! Когда я слушаю песню Кипелова «я свободен», у меня мурашки по коже бегают. Эта песня — настоящий гимн хакеров.
Теперь немного об эволюции хакерского движения. В середине 90-х годов, когда компьютеры были большими, а программы были маленькими, интернет был очень юный и очень молодой. Посмотрев с друзьями культовый фильм «хакеры», мы собрали группу хороших компьютерных специалистов и начали постигать этот новый мир. Я был организатором, идейным вдохновителем и основной движущей силой нашей хакерской группы. У меня была «подпольная» кличка Technorat — технокрыс. Как известно, крыса — это очень умное животное, которое может пролезть куда угодно. Вот этот ник и символизировал, что я могу проникнуть в любую техногенную систему. Погружение в мир хакерского андеграунда было захватывающим. Новые знания, новые знакомые, новые технологии, новая музыка. Это был другой мир. Живя среди «обычных» людей, мы чувствовали себя живущими одновременно в двух разных вселенных. Даже были свои символы принадлежности к хакерскому миру. Например в английских словах окончание «-s», которое означает множественное число, заменяется на «-z». Получается «filez», «warez», «computerz». Использование отдельных цифр в качестве букв, что выродилось через десяток лет в коверкание надписей в CS-е. Например: цифра «1»=«l», «3»=«e», «7»=«t». Надпись «31337» означала слово «eleet» и символизировало принадлежность к хакерской элите.
Мы «ломали» сервера по всему миру. Причем сайт про кошечек или цветочки был для нас интересней самого секретного сервера Пентагона (скажу сразу, туда не лазили), если там была более интересная система защиты. Что мы потом делали со взломанным сервером? А ничего! Один раз криворукие действия одного из наших членов привели к падению сервера, за что он получил от нас же «по голове». В иностранные сервера входили и забывали о них, как пройденный этап. Если же сервер был российский, то отсылали письмо админу с описанием того, как можно взломать его сервер. Обычно такие письма оставались без ответа, но пару раз даже поблагодарили. Один админ даже попросил проверить «на прочность» его сервер еще раз после устранения брешей.
Т.к. интернет был очень дорогой и не каждый мог себе его позволить, то многим из нашей команды приходилось взламывать провайдеров и воровать пароли. Я нашел уязвимость у двух провайдеров нашего города и парни начали наглеть, безнаказанно воруя интернет-часы. Мои рекомендации быть осторожнее ни к чему не привели. Через некоторое время часть команды начала продавать «Internet-unlim». Это означало, что за 80 долларов (при цене 2,5 доллара за час) они давали человеку десяток чужих паролей. Если провайдер прикрывал эти пароли до конца месяца, то человеку выдавались еще 10. Мое требование и требование части нашей команды прекратить это безобразие, раскололо нашу команду. Через несколько месяцев «жадность фраера сгубила» и часть нашей группы посадили, причем в тюрьму попали и некоторые невиновные члены команды. Остальные прекратили общение друг с другом и группа исчезла. Жадность и жажда денег — это главный противник самого движения и духа хакерства.
В конце 90-х был самый расцвет хакерского движения, хакерской культуры. Потом появилось большое количество «пионеров» и жуликов, которые из элиты IT-специалистов превратили хакеров в обычных преступников в глазах общества. Постепенно хакерское движение расслаивалось, трансформировалось и на данный момент представляет собой пестрое собрание компьютерщиков различных мастей. В данный момент можно выделить несколько видов групп:
1. Фрикеры. Это электронщики, обычно занимающиеся «жучками», телефонией и прочей электроникой. По большому счету — это потомки первых радиолюбителей. Бывают «правильные» и «неправильные», или «хорошие» и «плохие». «Хорошие» занимаются изучением различных систем (анти-вор, телефонная связь и т.д.) просто ради интереса. «Плохие» интересуются тем же самым лишь с целью получения прибыли. Они собирают «жучки» и продают желающим, чего не позволит себе «правильный» фрикер. «Правильный» фрикер изучит систему электронных проездных и в худшем случае будет сам бесплатно ездить в метро, «неправильный» же поставит изготовление и продажу карточек в качестве цели своего бизнеса.
2. Кардеры. Под этим словом понимают всех тех, кто занимается воровством денег с дебетовых и кредитных карт. Отношение к ним остального хакерского сообщества откровенно негативное, как противоречащее самому названию «хакер». Кардеры бывают профессиональными и дилетантами. Профессиональные кардеры изобретают различные скримеры, способы перехвата данных карты, взламывают платежные системы и базы данных банков и магазинов с целью воровства данных, печатают дубликаты карточек и обналичивают их. Хотя большой ум в этом деле не требуется, достаточно правильной организации. При наличии достаточного количество денег, можно покупать базы данных карточных данных, украденных другими прямо на кардерских форумах. В зависимости от сумм на картах, их стоимость может варьироваться в очень широких пределах. Обычно «оптом» карты продаются по цене 5-20 долларов за штуку. Только попасть на серьезные кардерские форумы, где нет «кидалова» и скорее всего нет «засланных казачков», очень сложно. Для этого обычно требуется личная рекомендация кого то из членов или старейшин форума и зачастую стоимость «входного билета» составляет 1-5 тысяч долларов. Некоторые кардеры занимаются только взломом различных баз данных с последующей перепродажей информации. Это наиболее безопасно, хотя и менее прибыльно. Другие покупают данные карт и занимаются обналичиванием денег. Обналичка — это наиболее опасный момент, т.к. во время обналичивания обычно и «берут под белы руки». Если сделал дубликаты карты, то во время обналичивания в банкомате, ты «засвечиваешь» свое лицо. В разных банках каждый банкомат снабжен от одной до 3-х. камер. Даже если привлек алкаша, студента или бомжа для непосредственного контакта с банкоматом, все равно рискуешь. Когда милиция «возьмет» исполнителя, то по его словам нарисуют фоторобот того, кто давал задание и за несколько лет все равно раскрутят всю цепочку. Другие обналичивают деньги путем покупки различных товаров в интернет-магазинах. Товары пересылаются в съемную квартиру, где сидит девочка-диспетчер, а студент-курьер раз в сутки забирает весь пришедший товар и относит его к перепродавцу. В конце концов берут девочку-диспетчера или перепродавца и опять же раскручивают всю группу. Третьи пользуются услугами зарекомендовавших себя перепродавцов. В какой-нибудь стране, не сотрудничающей с интерполом, живет человек, который продает товар и пересылает кардеру 30-50% от стоимости товара. Схем обналичивания и отмывки денег существует великое множество, но обычно это один из видов заработка организованной преступности.
3. Крякеры, кракеры, крэкеры. Эти люди занимаются взломом защиты различных программ. Некоторые, типа известнейшего хакера, кракера и эксперта в области ИТ по имени Крис Касперски, взламывают программы лишь для личного использования или для изучения интересной защиты. Причем они могут потом письменно поблагодарить автора за доставленное им удовольствие при взломе такого интересного алгоритма защиты и КУПИТЬ ЛИЦЕНЗИОННУЮ КОПИЮ программы в качестве поощрения автора. Другие (назовем их неправильными) кракеры ставят на поток взлом программ. Обычно это делается для продажи «кряков» или в качестве рекламы своей хакерской группы. Отношение к кракерам в хакерской среде неоднозначное и зависит от мотивов кракера.
4. Скрипт-киддисы. Это огромное поголовье тупых ламеров, которые в качестве ребяческих шалостей занимаются массовым дефейсом сайтов. Т.к. своих знаний на взлом серьезной системы защиты им не хватает, то они сидят на хакерских сайтах и форумах с целью нахождения или выклянчивания 0-day или приватного эксплоита. Когда такой попадает к ним в руки, через гугл находится огромное количество сайтов с движком, под который написан эксплоит. Дальше идет тупой последовательный дефейс десятков и сотен сайтов, пока не надоест. Скрипткиддисы иногда сбиваются в псевдохакерские группы, обязательным условием существования которых является обливание грязью таких же групп и «меряние с ними письками» по количеству задефейсенных сайтов. Со стороны хакерского сообщества такие группы заслуживают лишь презрение, большее, чем подросток, пишущий сакраментальную трехбуквенную надпись на заборе.
5. Непосредственно хакеры, элита. Они делятся на 2 основные группы: «Black Hat» и «White Hat». Первые — это элита с анархическими взглядами. Они считают, что изучение возможно с любыми целями и не ограничивают себя никакими рамками. Взлом серверов могут осуществлять с целью самолюбования, дефейса, расширения ботнета, в коммерческих целях. Они признают только полную свободу без любых моральных ограничений». Вторые отстаивают идеалы настоящих хакеров и борются за то, чтобы светлое понятие элиты ИТ технологий не путали с киберпреступниками. Взломав сервер, они пишут письмо администратору с описанием уязвимости и если знают, то подсказывают способ ее закрытия. Если ошибка найдена в программном обеспечении, то оповещается софтовая компания-автор программы. Чтобы не пострадали сервера от уязвимости и компания успела выпустить патч к программе, хакеры ждут месяц перед опубликованием уязвимости на security-сайтах. По просьбе компании, срок неразглашения может быть увеличен для своевременного выпуска и распространения патча. Так же «White Hat» зачастую работают аудиторами системы безопасности по просьбе самой компании. Некоторые «фундаменталисты» и ортодоксальные приверженцы хакерских идеалов протестуют против вонаграждения в этом случае, хотя большинство хакеров считает это вполне приемлемым.
Можно выделить еще несколько групп или провести деление по другим признакам, но главный девиз НАСТОЯЩИХ хакеров остается прежним: «хакер — это не тот, кто ломает, а тот, кто изучает».
P.S. Предупреждаю заранее возможные вопросы. Я этим не занимаюсь уже давно, хотя следить за темой не переставал никогда. Сейчас я работаю админом в очень крупной и серьезной конторе. Поэтому даже не приставайте с просьбами что-либо сломать, не возьмусь ни за какие деньги. Я уважаю УК и подразделение «К» не дремлет.
- Хакеры
- эволюция хакеров
«WhatsApp 13 лет как инструмент слежки»: Павел Дуров объявил американский мессенджер дверью для хакеров
«Злоумышленник может получить доступ к вашим контактам, фотографиям, файлам. Утечки данных из WhatsApp перманентно случаются. Как правило, происходит слежка за конкретными людьми, чаще всего на уровне государства. Поэтому, если вы можете отказаться от WhatsApp, лучше это сделать», — считают некоторые эксперты, комментируя сегодняшнее резонансное заявление Павла Дурова о том, что сам факт установки мессенджера, принадлежащего Meta*, делает все данные из всех приложений доступными хакерам. Другие полагают, что эта риторика — часть программы продвижения дуровского «Телеграма». О том, чем на самом деле рискуют пользователи мессенджеров и какие правила цифровой гигиены надо соблюдать обязательно, — в материале «БИЗНЕС Online».
Хакеры могут получить полный доступ ко всему, что содержится в телефонах пользователей WhatsApp. С таким категоричным заявлением выступил сегодня основатель «Телеграма» Павел Дуров Фото: lukomore. org/Global Look Press / www.globallookpress.com
«Если у вас установлен WhatsApp, все ваши данные доступны хакерам»
Хакеры могут получить полный доступ ко всему, что содержится в телефонах пользователей WhatsApp. С таким категоричным заявлением выступил сегодня основатель «Телеграма» Павел Дуров. Он и раньше критиковал принадлежащий Meta* мессенджер за частые уязвимости, но в этот раз уровень обвинений оказался беспрецедентным.
Дуров обратил внимание на проблему безопасности, о которой сообщил сам WhatsApp на прошлой неделе. «Все, что хакеру нужно было сделать, чтобы получить доступ к вашему телефону, — это отправить вам вредоносное видео или начать видеозвонок с вами в WhatsApp. Вы, наверное, думаете: „Да, но если я обновлю WhatsApp до последней версии, я буду в безопасности, верно?“ Не совсем. Каждый год мы узнаем о какой-то проблеме в WhatsApp, которая ставит под угрозу все устройства пользователей», — возмущается бизнесмен и разработчик.
Последняя уязвимость WhatsApp
28 сентября разработчики мессенджера WhatsApp объявили о критической уязвимости CVE-2022-36934 в недавних версиях мессенджера для iPhone и смартфонов на Android. С ее помощью киберпреступник мог использовать произвольный код на смартфоне жертвы с помощью видеозвонка, взлом также мог происходить через просмотр видеоролика, в который злоумышленники научились прятать вирус.
Разработчики заверили, что устранили обе бреши в безопасности мессенджера в новых версиях мессенджера 2.22.16.12.
Дуров собрал хронологию уязвимостей с 2017 года (а до 2016-го в WhatsApp, по его словам, вообще не было шифрования) и пришел к выводу, что почти наверняка в мессенджере уже есть новая брешь в системе безопасности, заложенная бэкдорами. «Не имеет значения, являетесь ли вы самым богатым человеком на земле, — если на вашем телефоне установлен WhatsApp, все ваши данные из каждого приложения на вашем устройстве доступны, как выяснил Джефф Безос в 2020 году», — продолжает Дуров, напоминая об известном случае взлома смартфона основателя Amazon.
Что случилось с телефоном Джеффа Безоса?
Мобильный телефон главы компании Amazon Джеффа Безоса был взломан при помощи вредоносного файла, якобы полученного через приложение WhatsApp, в 2018 году. Британская газета The Guardian со ссылкой на источники уверяла, что сообщение Безосу мог послать наследный принц Саудовской Аравии Мухаммед бен Сальман Аль Сауд. В течение нескольких часов после получения сообщения с телефона главы Amazon «был скачан огромный объем файлов». Частный консультант Гэвин де Бекер, по данным газеты, также заявил, что телефон его клиента был взломан хакерами, работавшими на правительство Саудовской Аравии. Спустя несколько месяцев СМС-сообщения Безоса и его фотографии с любовницей попали в таблоид National Enquirer, принадлежащий компании American Media.
Впоследствии Саудовская Аравия отвергла эти обвинения и назвала их абсурдными.
Дуров заявил, что удалил WhatsApp со своих устройств несколько лет назад, аргументируя это тем, что сама его установка «создает дверь для входа в ваш телефон». «Я не подталкиваю людей переходить на „Телеграм“. У мессенджера более 700 миллионов активных пользователей и 2 миллиона ежедневных регистраций, так что он не нуждается в дополнительном продвижении. Вы можете использовать любое приложение для обмена сообщениями, которое вам нравится, но держитесь подальше от WhatsApp — он уже 13 лет является инструментом слежки», — заключает Дуров.
WhatsApp долгое время был безоговорочно самым популярным мессенджером в России, но шлейф уязвимостей и развитие альтернативного «Телеграма» постепенно корректирует баланс сил. Одним из поворотных моментов можно считать обновление политики безопасности сервиса Meta: в 2021 году всех пользователей WhatsApp обязали делиться данными с «Фейсбуком»*. Согласно обновленным правилам, социальная сеть получит сведения о номере телефона, транзакциях и IP-адресах пользователей. Это решение раскритиковали многие пользователи, и началась массовая миграция из WhatsApp.
Так, в январе председатель ЦИКа Элла Памфилова и редактор RT Маргарита Симоньян публично объявили, что удалились из WhatsApp и перешли в «Телеграм». В мае СМИ сообщили, что новые правила мессенджера о передаче персональных данных пользователей в «Фейсбук»* перестали нравиться уже многим российским чиновникам. «Оно мне надо, чтобы мои контакты, в том числе первых лиц, у Цукерберга были?» — рассказывал один из региональных чиновников телеканалу «Дождь» (иностранное СМИ, выполняющее функции иностранного агента, — прим. ред.). Федеральные министры и губернаторы, по данным канала, перебрались в «Телеграм», Signal и MyTeam, при этом подчеркивалось, что никакой команды «сверху» об отказе от мессенджера госслужащие не получали. Год назад у «Фейсбука»* произошел самый большой слив данных за всю историю: имена, имейлы, телефонные номера, локации и ID больше чем 1,5 млрд пользователей оказались в даркнете, что на фоне последней политики конфиденциальности тоже не укрепило авторитет связанного мессенджера.
Об уязвимости WhatsApp в мае 2021-го также сообщил Роскомнадзор. Тогда в ведомстве предупредили ТАСС, что «мессенджер уже передает значительный объем пользовательских данных компании „Фейсбук“*» начиная с 2014 года.
А ФБР сообщило, что WhatsApp по запросу силовиков передает следствию метаданные о действиях аккаунта с задержкой 15 минут. Как сказано в документе, если у пользователя iPhone и архив мессенджера сохраняется в сервис iCloud, следователи могут получить основную информацию о нем с помощью постановления суда. Если у них есть ордер на обыск, то им отправляют списки контактов и заблокированных пользователей, а также список тех, у кого интересующий пользователь записан в адресной книге. ФБР также отмечает, что iMessage от компании Apple по запросу следствия отправляет метаданные. Мессенджер Signal предоставляет только дату и время регистрации пользователя и время его последнего входа в приложение. «Телеграм» не предоставляет метаданные, за исключением дел о терроризме. В таком случае владельцы мессенджера раскрывают IP-адрес и номер телефона подозреваемого.
Ситуация актуализировалась с начала спецоперации. Отказаться от иностранных мессенджеров для рабочих переписок чиновникам как в регионах, так и в федеральных органах власти 1 июня поручил вице-премьер Дмитрий Чернышенко. После этого стало известно, что российские чиновники уже по поручению правительства начинают отказываться от использования Zoom, Webex и WhatsApp, заменяя их корпоративным мессенджером от VK и TrueConf. В распоряжении «Коммерсанта» оказалось письмо директора департамента цифровой трансформации минэкономики Александра Маслова первому замминистра Илье Торосову и ряду других сотрудников министерства, в котором говорилось о «недопустимости использования для служебного взаимодействия» зарубежных мессенджеров и сервисов видео-конференц-связи.
Об уязвимости WhatsApp в мае 2021-го также сообщил Роскомнадзор. Тогда в ведомстве предупредили ТАСС, что «мессенджер уже передает значительный объем пользовательских данных компании «Фейсбук»*» начиная с 2014 года Фото: Karl-Josef Hildenbrand/dpa / www.globallookpress.com
«Как правило, происходит слежка за конкретными людьми, чаще всего на уровне государства»
«БИЗНЕС Online» поинтересовался у экспертов, чем рискуют пользователи WhatsApp.
Эльдар Муртазин — ведущий аналитик Mobile Research Group, главный редактор сайта Mobile-Review.com:
— WhatsApp морально и технически устарел. Каждый год в нем находят уязвимости. И не так важно, заложены ли эти уязвимости на уровне системы специально или они появляются случайно, факт в том, что они есть. Злоумышленник может получить доступ к вашим контактам, фотографиям, файлам, и, собственно говоря, это неприятно. Массовых историй взлома WhatsApp нет, но тем не менее утечки данных оттуда перманентно происходят. Это слежка не массовая, как правило, происходит слежка за конкретными людьми, чаще всего на уровне государства. Мессенджер активно используют, чтобы смотреть за неугодными людьми, искать их и так далее. Поэтому можно говорить очень простую штуку: если вы можете отказаться от WhatsApp, лучше это сделать.
«Телеграм» часто обвиняли в подобных вещах, но ни одного доказательства того, что он был взломан, на данный момент не существует. Досужие сплетни есть, фактов нет. В отношении WhatsApp такие факты присутствуют.
Если говорить о российской специфике — WhatsApp крайне непопулярный сегодня мессенджер, большинство сидит в «Телеграме». Количество установок WhatsApp все еще больше, чем «Телеграма», при этом активность там минимальная. В «Телеграме» идет активное общение: пользователи получают и отправляют сообщения на порядок чаще, чем в WhatsApp.
Дуров строит из себя образ поборника приватности, защиты пользователей. Ему же надо на кого-то нападать. А WhatsApp — это отличная мишень, они крайне подставляются.
Александр Дворянский — директор департамента информационной безопасности Sitronics Group:
— Все мессенджеры в неравной степени уязвимы, но WhatsApp больше остальных. Определенная доля правды в словах Дурова есть.
Отказываться от WhatsApp, может, и не надо, он все равно достаточно сильно распространен, и отказ может привести к неудобству пользователей. Просто нужно с большим вниманием относиться к своей информационной гигиене — не отправлять по WhatsApp значимую для вас информацию. Ни в коем случае не отправлять какие-то банковские данные, учетные данные, пароли от учетных систем, коды подтверждения и подобные вещи. А для пересылки фотографий и обычных сообщений вполне себе нормальный инструмент.
«Отказываться от WhatsApp, может, и не надо, он все равно достаточно сильно распространен, и отказ может привести к неудобству пользователей. Просто нужно с большим вниманием относиться к своей информационной гигиене — не отправлять по WhatsApp значимую для вас информацию» Фото: Ashish Vaishnav/Keystone Press Agency / www.globallookpress.com
Владимир Ульянов — руководитель аналитического отдела Zecurion:
— В заявлении Дурова, наверное, есть часть его конкурентной борьбы с популярным мессенджером. Такой жесткий сценарий мне, конечно, не очень представляется. То, что в моменте обнаружена какая-то уязвимость, — это, наверное, даже позитивный факт: уязвимости есть в любом программном обеспечении, от этого никуда не деться. Невозможно выпустить изначально 100-процентно безопасное приложение, которое от всего и вся будет защищено. Потому задача разработчиков — оперативно найти эти уязвимости и устранить. Есть специальные программы, где пользователи или специальные сервисы по информационной безопасности ищут уязвимости, ошибки в программах и сообщают разработчикам. Соответственно, задача разработчиков — оперативно устранить их и выпустить обновление, чтобы пользователи могли скачать и чувствовали себя в безопасности. Поэтому задача пользователей сейчас не удалять WhatsApp, тем более мы понимаем, что если у тебя там сотни контактов, то пересесть на другой мессенджер будет проблематично, а скачать обновление и чувствовать себя в относительной безопасности.
*Деятельность американской транснациональной холдинговой компании Meta Platforms Inc. по реализации продуктов – социальных сетей «Фейсбук» и «Инстаграм» запрещена на территории Российской Федерации по основаниям осуществления экстремистской деятельности