Рубрика «взлом»

Информационная безопасность банковских безналичных платежей. Часть 6 — Анализ банковских преступлений - 1
(с) МВД России. Фрагмент записи с камер наблюдения в момент кражи денег из банкомата

Эта статья посвящена анализу и выявлению закономерностей в преступлениях, направленных на кражу денег банков или их клиентов.

Далее в статье будет представлена выборка из более чем из ста реальных преступлений последних лет. Все рассмотренные преступления будут классифицированы и снабжены кратким описанием. Затем будет проведен комплексный анализ, по результатам которого сформулированы ответы на основные вопросы банковской безопасности, в частности:

  1. Какой тип преступлений наиболее опасен для банков?
  2. Какие банковские профессии наиболее часто оказываются вовлеченными в преступную деятельность?
  3. Есть ли закономерности в действиях преступников, и если есть, то какие?
  4. … и др.

Читать полностью »

Один из крупнейших социальных хабов интернета, Reddit, в среду заявил о проникновении в свою сеть киберпреступников.

Злоумышленнику удалось получить доступ к различным данным: базе с email-адресами и паролями пользователей, зарегистрированных с 2005 по 2007 год, электронные письма пользователей, исходные коды, внутренние файлы и «все данные Reddit с 2007 года». Сообщается, что инцидент имел место между 14 и 18 июля 2018 года, и проникновение обнаружили 19 июля. Злоумышленники скомпрометировали нераскрываемое число сотрудников Reddit и проникли в «несколько систем», получив доступ к данным.

image
Иллюстрация от theguardian.com

Представители Reddit официально признали факт взлома и изложили суть произошедшего в своем блоге:

«19 июня нам стало известно, что хакер скомпрометировал несколько учетных записей Reddit с доступом к облаку и исходному коду, перехватив коды проверки двухфакторной аутентификации, которые пришли по SMS».
«Мы сотрудничаем с правоохранительными органами, делаем необходимое для устранения последствий текущей ситуации, а также постараемся сделать все, чтобы избежать подобных инцидентов в будущем. Пострадало лишь небольшое количество пользователей, которых мы уже успели уведомить».

Читать полностью »

image

Картинка для привлечения внимания взята тут

Пиццерия Папа Джонс открыта во многих странах, движок сайтов же практически везде разный. Тем не менее, движок, который разработали где-то в России, также используется на сайтах для Польши, Киргизии и Беларуси. Его и рассмотрим.
Читать полностью »

«Противостояние» на Positive Hack Days 8: разбираем цепочки атак - 1

Итак, завершилось очередное «противостояние» в рамках конференции Positive Hack Days 8. В этот раз в борьбе приняли участие более ста человек: 12 команд нападающих, 8 команд защитников и целый город, который им предстояло атаковать и защищать.Читать полностью »

GPS-спуфер за $225 способен перенаправлять робомобили на встречный поток машин - 1

Системы геопозиционирования разных стран используются весьма активно. Благодаря GPS, ГЛОНАСС и другим системам транспорт, включая автономные устройства, прибывает из точки А в точку Б без особых проблем (конечно, не всегда, но чаще всего это именно так). Особенно нуждаются в точном геопозиционировании автономные машины, корабли и другие типы транспортных средств — ведь эти роботизированные устройства не смогут найти правильную дорогу, если не будет точных координат.

Как оказалось, при желании можно направить автономные машины по неверному пути, просто отправив некорректные координаты. Продемонстрированная специалистами спуфинг-атака имела статус proof-of-concept, но все равно, мало хорошего в том, что ту же Tesla можно направить прямо на встречный поток автомобилей.
Читать полностью »

«Да, мы ... гордимся тем, что нас, Сбербанк, ни разу не взломали. Вы произнесли очень важный термин, ... у нас очень нелюбимый, — это “социальный инжиниринг”. Честный ответ: наши клиенты не защищены. Делаем ли мы достаточно для того, чтобы наши клиенты были защищены? Нет, не достаточно ... из недели в неделю повторяются одни и те же цифры: 96-97% решенных вопросов по киберпреступности, 3-4% — это то, когда киберпреступники достигли своей цели. Не против нас. ... Легче ли нам от того, что проникли не в наши системы, а проникли в кошелек наших клиентов? Конечно, не легче», — Читать полностью »

Хакеры скомпрометировали репозитории Gentoo Linux на GitHub - 1

28 июня 2018, приблизительно в момент времени 20:20 UTC, неустановленые субьекты заполучили контроль над административными аккаунтами Gentoo на Github и произвели модификации кода в репозиториях и на справочных страницах. Данная информация распространена в официальной рассылке проекта Алеком Уорнером. В данный момент команда разработчиков работает над расследованием событий и устранением нарушений.

Все зеркала проекта Gentoo на Github следует считать скомпрометированными. Если вы что-то скачивали с этих ресурсов после даты взлома — вы находитесь в зоне риска. Сама инфраструктура проекта Gentoo, по имеющейся информации, не затронута.

Алек Уорнер отмечает, что обычно все легитимные коммиты в код Gentoo подписаны цифровой подписью, поэтому их можно верифицировать с помощью утилит git. GitHub не является основным местом разработки Gentoo Linux, а весь код и коммиты просто зеркалируются из репозиториев на серверах обственной инфраструктуры Gentoo.Читать полностью »

Банда хакеров-подростков добыла ключи от империи видеоигр Microsoft. Потом они зашли слишком далеко.

Xbox Underground. Юные и беспечные - 1

1. Бампер

Поездка в Делавэр планировалась всего на день. Дэвид Покора, старшекурсник-очкарик из университета Торонто с неряшливыми светлыми волосами до плеч, отправился на юг, чтобы выбрать бампер для своего тюнингованного Volkswagen Golf R.

Американский продавец отказался отправлять деталь в Канаду, поэтому Покора договорился со своим приятелем Джастином Мэем, который жил в Уилмингтоне. Оба парня ярые геймеры увлекались взломом Xbox. Хотя они чатились и сотрудничали много лет, но никогда не встречались лично. Покора планировал восьмичасовую поездку в пятницу, чтобы спокойно поужинать с Мэем, а затем привезти металлический синий бампер домой в Миссиссогу, штат Онтарио, той ночью или рано утром следующего дня. Отец предложил помощь, так что они могли по очереди вести семейную «Джетту».
Читать полностью »

image

В мае прошлого года на Positive Hack Days VII впервые прошел конкурс HackBattle. Наш стенд привлек большое внимание аудитории. Тогда в соревновании приняло участие почти 100 специалистов по информационной безопасности, а посмотреть финал в большом зале пришло так много зрителей, что невозможно было протолкнуться к сцене (подробнее — в прошлогоднем отчете). Воодушевленные таким интересом со стороны профессионального сообщества, мы решили провести HackBattle 2.0 на PHDays 8. Рассказываем, как прошло соревнование в этом году, а также публикуем задачи из конкурса, чтобы вы попробовали их решить.
Читать полностью »

В среду, 6 июня, в Москве пройдёт живое Penetration Test Show, в котором объектом проникновения будет компьютер вашего начальника. Живая демонстрация этапов взлома локальной сети, систем видеонаблюдения и контроля доступа в офис, и итоговый взлом компьютера руководителя компании пройдёт на территории DIGITAL OCTOBER.

image
Специалисты по безопасности покажут, как делают «это» на Penetration Show

По легенде Penetration Test Show, хакеры взломают компьютер топ-менеджера, используя многоступенчатую и многоканальную атаку с элементами социальной инженерии.
Читать полностью »