- ▍что делать?
- Что такое ssl-сертификат? он мне вообще нужен? — meduza
- ▍меры по снижению рисков, связанных с github
- Взлом symbian (только nokia) без сертификата с помощью антивируса dr.web
- Как работает двухфакторная аутентификация
- Настройка сервера для evilginx2
- О самоподписных сертификатах
- Программисты прокомментировали "слив" базы данных купивших фальшивые сертификаты о вакцинации
- Свои сертификаты ssl безопаснее, чем купленные?
- Торгуют по всему миру
- Хакеры используют google
- Хакеры находят секретные данные в javascript-файлах
- Хакеры тщательно изучают интересующие их системы
- Чем грозит взлом аккаунта на «госуслугах» и могут ли мошенники оформить через него кредит?
- Этичный хакинг
- Итоги
▍что делать?
- Минифицируйте код. Благодаря этому код обфусцируется. Подобная обработка кода обратима, но благодаря ей можно обойти многие автоматические сканеры, что уменьшает потенциальные возможности атаки.
- Оставляйте в коде только абсолютный минимум ключей и путей к API. В то время как без некоторых из них обойтись не получится, о большинстве из них сказать того же самого нельзя. Оставляйте в коде только те ключи, которым совершенно необходимо в нём присутствовать.
- Понизьте разрешения, связанные с ключами, до абсолютного минимума. Если вспомнить пример с сервисом картографической информации, то можно сказать, что ключи должны быть такими, чтобы с их помощью можно было бы делать только то, для чего они предназначены, и чтобы пользоваться ими можно было бы только там, где они должны использоваться. Удостоверьтесь в том, что эти ключи нельзя использовать для атаки на систему.
- Используйте те же инструменты для автоматического сканирования кода, которые используют хакеры. Включайте их в системы непрерывной интеграции. Особенно это касается средств для поиска строковых паттернов, которые работают очень быстро. Используйте простые инструменты вроде
grepилиgfдля поиска строк. Такая проверка кода сродни тестам. Она позволяет убедиться в том, что разработчики не оставляют в коде дыр, которыми может воспользоваться злоумышленник для взлома системы. - Внедрите у себя практику код-ревью. Всегда полезно, когда кто-то проверяет ваш код. Все автоматические сканеры мира не способны выявить 100% возможных проблем. Код-ревью — это отличный способ повышения качества и защищённости кода.
Что такое ssl-сертификат? он мне вообще нужен? — meduza
Каждый пользователь, заходя на любой сайт, оставляет о себе много информации. Если на таком сайте не стоит SSL-сертификат, то данные, которые вводит пользователь, можно украсть. Поэтому прежде всего защищаться нужно интернет-магазинам, банкам, платежным системам, соцсетям, форумам — всем, кто обрабатывает персональные данные и проводит финансовые транзакции.
Да, в том числе. С незащищенного сайта можно перехватить финансовую информацию, данные вашего аккаунта, содержание переписки и прочее. Нешифрованную информацию может перехватить недобросовестный поставщик интернет-услуг, хостер сайта или же злоумышленник, который подключен вместе с вами к одной вайфай-сети. Если сайт не защищен, то интернет-провайдер может размещать на нем свою рекламу или же следить за посещением сайтов и собирать информацию, чтобы таргетировать рекламу и продавать эти данные сторонним компаниям. Браузеры, поисковики и в особенности компания Google по-своему борются с незащищенными сайтами: например, такие страницы понижают в поисковой выдаче. А еще перед переходом по ссылке на такой сайт может выводиться предупреждающий экран. Кроме того, SSL-сертификат не позволяет перенаправлять пользователей на подменный ресурс, а самим сайтам помогает не нарушать федеральный закон № 152.
SSL-сертификатов несколько видов. Во-первых, они отличаются по количеству доменов и субдоменов, для которых они могут использоваться. Во-вторых, по тому, как именно сайт будет проверяться, — тут есть три варианта:
- Первый — DV (domain validation) SSL — подтверждает домен, а также шифрует и защищает данные при передаче с помощью протокола https. Установить его себе на сайт могут как физические лица, так и организации. Выпускается он, как правило, почти мгновенно (точно не дольше 3 часов), после чего на сайте появляется значок замочка (см. пункт 2) и сайт становится защищенным.
- Второй — OV (organization validation) SSL — кроме защиты информации гарантируется принадлежность домена конкретной организации. Сертификат выдается только юридическим лицам с подтвержденным номером телефона (перед его выпуском в организацию звонят). На сайте с таким сертификатом пользователь может найти информацию об организации — владельце сайта, обычно просто щелкнув по иконке замка. Выпускается он в течение 3 дней.
- Третий — EV (extended validation) — то же, что и OV, только проверяется уже и налоговая, и коммерческая деятельность компании, причем более детально. На сайте рядом с URL появляется название компании. Выпускается в течение 5 дней.
▍меры по снижению рисков, связанных с github
- Сделайте сканирование кода на предмет уязвимостей частью CI-процесса. В этом вам может помочь отличный инструмент GitRob.
- Сканируйте репозитории сотрудников компании. GitRob выполняет подобные проверки без дополнительных настроек. Для того чтобы это отключить, можно запустить его с флагом
no-expand-orgs. - Проверяйте историю репозиториев. GitRob, по умолчанию, сканирует 500 коммитов, но вы можете решить пойти ещё дальше, воспользовавшись параметром вида
-commit-depth <#number>. - Включите на GitHub двухфакторную аутентификацию!
- Выполняйте, во всех без исключения системах, ротацию ключей доступа, секретных ключей, паролей. Рекомендуется использовать централизованную систему доступа к другим системам наподобие G Suite или Active Directory. Нужно обеспечить применение в подобной системе политик безопасности, касающихся ротации и сложности паролей.
После того, как этот материал был опубликован, некоторые его читатели сделали ценные замечания, касающиеся сложности паролей и их ротации, а так же — использования аппаратных средств защиты информации.
Взлом symbian (только nokia) без сертификата с помощью антивируса dr.web
Статья основана на
этом
способе взлома.
Нам пригодится:
1. X-plore_v1_53.sisx – 510.44 Kb
2. РомПатчер 3.1 Лайт версия – 193.3 Kb
3. ДокторВеб с ключиком – 705.51 Kb
4. Архивчик с карантином для диска Е – 5.75 Kb или aрхивчик с карантином для дискa F – 5.75 Kb
ВАЖНО!!! Качаем один из нужных карантинов и в будущем распаковываем его на тот же диск куда установили Доктора Веба.
отобразить скриншоты
1. Начинаем с того, что устанавливаем X-plore если он еще не стоит.
2. Устанавливаем ДоктораВеба на карту памяти – на диск Е или F (если это флешка которая вставляется в смарт со своей памятью на диске Е) отобразить скриншоты
3. После установки заходим в ДокторВеб и видим такую надпись
отобразить скриншоты
4. Жмем получить ключ – Из файла
отобразить скриншоты
5. Когда видим такое окошко – идем в Хлоре
отобразить скриншоты
6. Копируем файл drweb32.key в папку
C:/Data/DrWeb/ отобразить скриншоты
7. Заходим в DrWeb и видим нормальное окно программы без всяких окошек
отобразить скриншоты
8. Теперь нам надо распаковать содержимое архива quarantine_universal.zip на тот диск, куда устанавливали Доктора – E или F – для этого используем компьютер (надо подключить телефон
в режиме Накопителя
) или другой смарт, который уже взломан. Заходим в архив, наводим на папку Private и выбираем в X-plore – Извлечь и выбираем просто диск Е.
отобразить скриншоты
9. Должна получиться следующая картина на диске Е (или F) в папке Private
отобразить скриншоты
10. Заходим в Доктор Веб. Жмем Функции-Карантин
отобразить скриншоты
11. Тут нажимаем Функции-Выделить все. Затем Функции-Восстановить
отобразить скриншоты
12. После этого начинаем установку RomPatcher Lite. Устанавливаем обязательно на диск С.
отобразить скриншоты
13. После окончания установки заходим в RomPatcher и видим это
отобразить скриншоты
14. Патч Open4all можете активировать и добавить в автозагрузку чтобы иметь полный доступ в системные папки
отобразить скриншоты
15. Патч InstalServer может заработать не у всех. Но если он у вас зеленый засветился, то ставите и его в автозагрузку и радуетесь
отобразить скриншоты
16. После успешного взлома смарта можете с чистой совестью удалить ДоктораВеба, он свою миссию выполнил.
отобразить скриншоты
Если при запуске РомПатчера вы видите такое окно отобразить скриншоты
значит вы что-то сделали не так и файлы из карантина не восстановились
Если Ромпатчер запускается без ошибок, но нет патчей и вы видите такое окно отобразить скриншоты
то надо удалить файл
C:/System/Data/RPPlus.dat
и переустановить РомПатчер или распаковать
этот
архив в папку
C:/Patches
Если не хотите использовать патч Installserver или он у вас не работает (на смартфонах с Symbian 9.1-9.2), то можете взять файл из списка ниже под свой смарт и распаковать его в папку C:/Sys/Bin (патч Open4All должен быть активирован) и затем перезагрузиться. После этого патч Installserver не нужен будет, программы будут без него устанавливаться.
installserver для 9.2 – 36.2 Kb
installserver для 9.3-9.4 – 46.34 Kb
installserver для S^3 – 50.33 Kb
Если после распаковки этого файла смарт на все файлы ругается – Файл поврежден, то удалите файл, перезагрузитесь и ищите другой instalserver.exe под свой смарт здесь или юзайте одноименный патч (если он у вас горит зеленым).
P.S. Любителям выдавать чужие статьи за свои просьба в своем описании ссылаться на оригинальную статью, то есть на эту.
Как работает двухфакторная аутентификация
Двухфакторная аутентификация нужна для усиления защиты информации пользователя. С помощью неё можно защитить вход в аккаунт электронной почты, электронных кошельков, различных сервисов связанных с деньгами и их суррогатами.
Принцип работы двухфакторной аутентификации заключается в том, что требуется подтверждение личности пользователя двумя разными методами. Одним из этих методов обычно является пароль, который пользователь придумал сам. А второй элемент аутентификации должен быть получен по другому каналу, который пользователь привязал к своему аккаунту.
Таким другим каналом может быть может быть одноразовый код из СМС сообщения, код-ответ из специального приложения (используется, например, в WebMoney), одноразовый пароль, выданный банкоматом (используется, например, в Сбербанк-онлайн) и другие варианты.
В целом двухфакторная аутентификация позволяет более надёжно защитить данные пользователя, поскольку для входа в аккаунт злоумышленнику уже недостаточно просто перехватить или подобрать пароль — также требуется код из другого источника, а коды в большинстве случаев являются одноразовыми.
Поскольку вероятность взлома сразу двух устройств одного пользователя (например, компьютера для кражи пароля и мобильного телефона для кражи СМС с кодом) является очень низкой, то двухфакторная аутентификация является довольно надёжным методом защиты аккаунтов.
Настройка сервера для evilginx2
Для фишинговой атаки с evilginx2 нужно много всего:
- сервер с белым IP
- доменное имя
- доступ к настройкам DNS
Кстати, evilginx2 работает даже на Windows, но в этом примере я буду показывать исключительно на Linux.
На сервере, который будет использоваться для фишинговой атаки, не должны быть заняты порты 80, 443 и 53. То есть если на сервере запущен apache или nginx и какая-либо служба для обработки DNS запросов, то их нужно остановить.
Для этой инструкции я арендую новый VPS — это недорого, поскольку я планирую тесты закончить за один день. Поскольку сервер новый, то я покажу порядок действий с самого начала.
Итак, регистрируемся у хостера (этой Айхор, там я уже зарегистрирован, поскольку на VPS у меня там работает SuIP.biz). Это отечественный хостер, если вы предпочитаете иностранных, то могу посоветовать DigitalOcean.
Теперь переходим во вкладку Виртуальные серверы и нажимаем кнопку Заказать:
Как я сказал, я арендую VPS только для тестов, поэтому выбираю период 1 день. Кстати, если вы не знаете, выбрать на HDD (обычные жёсткие диски) или на SSD (быстрые диски), то настоятельно рекомендую выбирать именно SSD.
Сама операционная система Linux без графического рабочего стола потребляет где-то 200 мегабайт, поэтому варианта с 1 гигабайтом оперативной памяти нам будет достаточно (нажимаем кнопку Заказать).
На следующей вкладке обратите внимание на операционную систему — по умолчанию там выбрана CentOS — это действительно популярный дистрибутив Linux у хостеров, но я в ней чувствую себя не очень уверенно, поэтому выбираю более привычную мне Debian самой последней версии, причём в конфигурации minimal — никакие панели управления я не признаю:
Меня не смущает, что там alpha версия, поскольку этот сервер будет жить 1 день, для реального веб-сайта или сервиса я бы выбрал последнюю стабильную версию, а не альфу (да и вообще бы установил Arch Linux, конечно).
Публичный IPv4-адрес уже входит в комплект, поэтому больше никаких расходов. Нажимаем кнопку «В корзину».
Оплачиваем и немного ждём, пока для нас развернуть виртуальный выделенный сервер по нашим параметрам.
Через некоторое время приходят данные для входа на сервер. Самое главное, что нам нужно, это IP адрес нашего нового сервера, имя пользователя (root) и пароль.
Теперь нам нужно подключиться по SSH к нашему серверу командой вида:
ssh root@IP_сервера
Если у вас Windows, то вам поможет Cygwin.
У моего сервера IP адрес 185.238.139.203, поэтому подключаюсь к нему следующей командой:
ssh root@185.238.139.203
Делаем на сервере полное обновление и перезагружаемся:
apt update && apt full-upgrade -y reboot
Теперь нам нужен домен. Домен можно приобрести здесь же, в панели управления хостингом Айхор. Если ваш домен куплен здесь, то в этом случае нужно перейди во вкладку Домены. Затем выбрать домен и нажать кнопку NS:
О самоподписных сертификатах
В связи с моим участием в проекте
fin-ack.com
постоянно сталкиваюсь с подобными замечаниями:
я не доверяю вашому самоподписному сертификату, почему вы не купите «нормальный» сертификат?
Как по мне, это один из случаев недопонимания и предрассудков, которых так много в отношении безопасности в Интернете. (Вроде знаменитых
«Хакеров, крекеров, спамов, куки»
:). Хочу разобрать его с двух точек зрения: как человека, некоторое время проработавшего в сфере защиты информации в банке и имевшего дело с большинством аспектов информационной безопасности, и как человека, занимающегося разработкой и развитием интернет-сервиса.
Но сперва отвечу на вопрос, почему у нас нет «нормального» сертификата? (На самом деле, с недавнего времени есть 🙂 Самая главная причина в том, что в нашем списке приоритетов этот пункт стоял на N-ном месте, и только сейчас все N-1 предыдущих пунктов были выполнены. Когда работаешь над новым проектом, всегда приходится от чего-то отказываться, потому что ресурсы, прежде всего временные, ограничены…
А почему же он стоял аж на N-ном месте?
Во-первых, зачем вообще нужен сертификат SSL? Для того, чтобы зашифровать HTTP-соединение между браузером и сайтом, по которому будет передаваться пароль и какие-то другие конфиденциальные данные. Что изменится, если сертификат не подписан доверенным центром сертификации? Ничего! Соединение все равно будет зашифрованно точно также. Единственная возможная проблема: атака человек-посредине, которая в Интернете обычно является phishing’ом или pharming’ом.
Но многие вкладывают в сертификат SSL больший смысл:
… Если же сертификат выдан каким-нибудь Verisign-ом (для примера), то это некая «гарантия» что за этим сайтом стоит настоящая организация/частное лицо и уж как минимум «есть с кого спросить в случае чего». Т.е. вообще это как гарантия «серьезности» намерений владельцев сайта.
Мы прекрасно понимаем, что такое мнение имеет право на жизнь. Но ведь все не так просто. Ничто не мешает купить сертификат у Verisign или другого вендора на липовую контору или подставные личные данные. Они не могут проверить наличие у клиента юридических оснований выдавать себя за условные ООО «Рога и копыта» из г.Пермь, Россйская Федерация. Единственное, что проверяется при выпуске сертификата — это то, принадлежит ли вам домен, для которого вы его запрашиваете.
Так что, как по мне, покупка сертфиката у Verisign’а — это всего-навсего демонстрация того, что компания готова выбросить 500$ и несколько человеко-часов, а то и больше на утрясение всех организационных вопросов, вместо того, чтобы потратить это время и деньги на разработку новых возможностей или же реальное улучшение безопасности системы. Вообще, Verisign — это для банков. Есть другие вендоры, с которыми проще и дешевле (пример — ниже).
Но, самое главное, другое. Любая компьютерная система уязвима настолько, насколько уязвимо ее наименее защищенное звено. Хороший подход к безопасности — это всегда комплекс мер, в котором нужно учесть все риски и уделить каждому должное внимание. Попробую перечислить основные риски безопасноти пользовательских данных для стандартного Интернет-проекта, имеющего дело с личной информацией (веб-почта, личная бухгалтерия и пр.) в порядке их важности:
- Не достаточно продуманная система доступа к конфиденциальным данным, которая имеет дыры
- Проблемы в работе ПО, которое используется системой (ОС, веб-сервер, реализация протоколов шифрования), позволяющие осуществить взлом
- Атаки типа человек-посредине, социальная инженерия
Фишинг/фарминг (человек-посредине), по моему мнению, один из наименее важных рисков, поскольку его намного труднее осуществить, его быстро перекроют и, поэтому, такая атака имеет смысл только для систем с очень большим количеством пользователей, из которых можно быстро выудить очень ценные данные (классический пример: интернет-банкинг). По сравнению с этим намного проще запустить сканер уязвимостей и обнаружить, что в системе используется
старая версия OpenSSH
или на Windows не установлена какая-то заплатка (к нам каждый день стучатся тысячи таких тестировщиков :). Или обнаружить какую-то
XSS
или
SQL-injection
уязвимость. Это не говоря о более
сложных
проблемах создания безопасных Интернет-систем, таких как, например,
корректное использование сессий (и куки)
для аутентификации. Именно этому нужно уделять внимание в первую очередь!
Еще один аспект безопасности, связанный с сертификатами. Будь он самоподписным или выданным Verisign’ом, все равно с ним ассоциирован секретный ключ, который нужно где-то хранить. Более того, он постоянно используется веб-сервером при открытии HTTPS-соединений, т.е. его нельзя применить один раз при включнии питания, сохранить на флешку и спрятать в сейф. Что будет, если кто-то завладеет ключом? (программист, который имел доступ к серверу, взломщик или еще кто-то). В идеале, этот ключ зашифрован, но при желании и наличии ресурсов его можно расшифровать (и сейчас это дешевле, чем организовать фишинг-атаку). А ведь мы не учли, что некоторые веб-сервера или реверс-прокси вообще не умеют работать с зашифрованными ключами. А еще ведь пароль может быть захардкожен где-то в тексте программы или скрипта, который ее запускает… Так что то, что на каком-то сайте красуется бирочка, что его SSL сертификат подписан Verisign, не дает никакой гарантии, что в один прекрасный день не появится фарминг-аналог, использующий тот же сертификат с украденным секретным ключом.
Тут я даже не вспоминаю о таких аспектах, связанных с системой PKI, как особенности ее поддержки на разных специфических платформах, таких как j2me…
Резюме: есть вещи, которые, в целом, правильные, но не всегда стоят затраченных усилий. Концентрация стартапов должна быть на другом, а мелочи, подобные «правильным» сертификатам должны идти вторым эшелоном. Сначала, как говорят американцы, нужно «get the product right». Всему свое время.
P.S. Собственно говоря, я понимаю, что чем пытатся изменить общественное мнение, проще под него подстроится, поэтому у нас уже есть «правильный» сертификат (время подошло). Кстати говоря, который стоит в 10 раз дешевле, чем большинство (спасибо GoDaddy!). Цель данной статьи в первую очередь в том, чтобы еще раз коснуться неисчерпаемой темы информационной безопасности в Интернете и постараться правильно расставить акценты в одном из ее аспектов.
Программисты прокомментировали "слив" базы данных купивших фальшивые сертификаты о вакцинации
Скорее всего, база поддельная.
В даркнет “слили” базу данных, в которой числится 500 тысяч жителей Москвы и Подмосковья, якобы купивших поддельные сертификаты о вакцинации против коронавируса. Такая информация появилась в СМИ утром 12 ноября, об этом написал “Коммерсант”. “Царьград” попросил программиста одного из институтов подмосковного Сколково проанализировать – как именно могла сформироваться такая база?
– 90% всех баз данных, которые продаются в даркнете – поддельные, – рассказал IT-разработчик Сергей Морозов. – Так что, скорее всего, и эта просто фейковая. Пытаются заработать на горячей теме.
По мнению программистов, фейковые базы могут быть как полностью придуманными – генератор ФИО, номеров паспортов и ОМС пишется быстро любым четверокурсником “бауманки”, так и частично.
– Выкачиваются имена и фамилии из соцсетей, там где есть привязки к региону, и к ним добавляются выдуманные номера СНИЛС, паспортов, полисов, – объясняет Сергей. – Это тоже делается элементарно.
Понятно, что никакой ценности такая “база” не представляет. В то, что в ней могут быть реальные данные тех, кто купил сертификаты о вакцинации, наши эксперты не верят.
– Покупать просто нарисованную бумажку, без внесения в базу данных на Госуслугах – это совсем идиотом надо быть, – комментирует разработчик. – Стандартный механизм получения поддельных сертификатов – это прийти на прививку и заплатить медсестре, чтобы вакцину вылила, а данные о прививке в реестр внесла. О таких подделках никакой информации сохраняться не может – не будет медсестра вести электронную базу данных заплативших.
Есть еще жулики, которые предлагали внести данные на Госуслуги без визита на укол – через свои связи в клиниках, как правило, частных. Вот они могли бы “слить” базу, но вряд ли там набралось бы 500 тысяч человек, при том, что в Москве и Подмосковье всего около 8 миллионов привитых.
Что грозит тем, кто попал в эту базу? Могут ли ей воспользоваться правоохранительные органы, учитывая, что теперь подделка сертификатов – уголовное преступление?
– Даже если данные в этих базах – подлинные, сама по себе фамилия человека в ней доказательством подделки быть не может, – говорит юрист Евгений Бершов из Жуковского. – Максимум – это повод для полиции начать проверку в отношении гражданина. Дальше все зависит от того, что покажет проверка – если будут собраны доказательства, которые суд сочтет убедительными, то могут и осудить. Но собрать такие доказательства крайне сложно – даже анализ на антитела к вектору-аденовирусу, который предлагает как тест на “поддельную вакцинацию” академик Гинцбург, пока никакой юридической силы не имеет.
Тем, кто продает эти базы данных, тоже ничего не грозит. Если они поддельные, то это вообще никого не волнует, кроме покупателей. Если подлинные – то, скорее всего, продавцы хорошо подстраховались: сидят где-то на теплых островах, а оплату принимают криптовалютой.
Уважаемые читатели, редакция «Царьграда Подмосковье» благодарна за присланные письма. Присылайте свои наблюдения, вопросы, новости на электронную почту mo@tsargrad.tv
Подписывайтесь на нашу группу в ВК
Свои сертификаты ssl безопаснее, чем купленные?
Разбирался и бился с MITM (
https://toster.ru/q/327584)
и коротко пересказывая всю тему: В итоге ребята которые подделали “почти все” известные центры сертификации, вытащили данные за 10-15 минут завернув трафик в подключении VPN.
Про HTTPS безопасность сайтов, вообще смешно, т.к даже мне – тупому человеку который знает 3 команды linux в легкую удалось поставить MITMPROXY и вытащить почти все данные завернув трафик с устройства на порт. Конечно, стенка TLS оказалась для меня не пробиваемая, которая была зашита в приложение.
Вопрос в следующем, у меня есть проекты где важные данные и куплены сертификаты. После мозгового штурма с MITM – задумался о том, раз проекты не являются публичными то проще вбить сертификаты на каждое устройство с Корневым СЦ своем?
Это будет просто тупо безопаснее и бесплатно, т.к вряд ли свой СЦ кто-то найдет и попытается подделать. Я
не страдаю
панической атакой на тему: Нас все слушают, за мной следят. Просто сейчас заканчиваются сертификаты через месяц и нужно продление, а их порядка 35 штук. Вы сами можете посчитать сколько денег за это…и все с моего кармана пойдут. Изначально, когда покупались, – я и не знал о таких атаках и собственно думал, что безопаснее купить. Можно услышать коммент на эту тему, специалистов, ну или ссылки на почитать.
Торгуют по всему миру
Спрос на липовые прививки велик не только в России – с этой проблемой давно столкнулись и на Западе. И если недавнее задержание в Киеве экс-депутата ВР Украины Надежды Савченко при попытке въехать с сестрой в страну по поддельным сертификатам ещё можно попробовать объяснить «советским менталитетом», то появление в Германии спецгруппы по борьбе с фальшивыми QR-кодами и документами о вакцинации уж точно на наших бывших соотечественников не спишешь.
Пару недель назад в Италии закрыли ряд Telegram-каналов за продажу поддельных сертификатов. COVID-сертификаты были введены в Италии в августе. В октябре вступило в силу решение правительства об обязательном предъявлении green pass для доступа на рабочее место на производстве и в офисах, причём как в государственном, так и в частном секторе.
Правоохранители установили, что фальшивые green pass продают за 250 евро. Ещё в феврале полицейская служба Евросоюза предупредила: начали торговать поддельными сертификатами тестов на COVID-19 в интернете, а также в аэропортах и на вокзалах европейских стран.
Стоимость фальшивок – 150 евро. Случаи подделки были зарегистрированы в Нидерландах, Франции, Испании и Великобритании. Первые задержания в крупнейшем аэропорту Парижа Шарль-де-Голль были ещё в ноябре 2020 г. Мошенники сбывали сертификаты за 150–300 евро.
В США также стремительно растёт теневой рынок подделок. По данным The Daily Beast, осенью их стоимость в среднем взлетела со 100 до 200 долл. В СМИ появились сообщения, что 10–15% карт вакцинации, предоставляемых игроками национальной футбольной лиги, поддельные. При этом во всех странах за липовые сертификаты реально получить тюремный срок.
Хакеры используют google
Теперь, когда мы в общих чертах познакомились с дорками, мы можем поговорить о применении особых поисковых запросов в Google. Тут с их помощью можно найти просто невероятные вещи. Google — мощная поисковая система, которая позволяет строить запросы, описывая строки, которые должны и не должны присутствовать в искомых данных.
"MySQL_ROOT_PASSWORD:" "docker-compose" ext:yml
Эта строка рассчитана на поиск файлов с расширением
yml
, причём, это должны быть файлы
docker-compose
, в которых разработчики нередко хранят пароли. Не особенно уникальные пароли. Попробуйте запустить в Google поиск по этой строке. Вас удивит то, что вы найдёте.
Другие интересные поисковые строки могут быть рассчитаны на поиск RSA-ключей или учётных данных AWS. Вот ещё один пример:
"-----BEGIN RSA PRIVATE KEY-----" ext:key
Тут перед нами открываются безграничные возможности. Качество поиска зависит лишь от уровня креативности исследователя и от того, насколько хорошо он знаком с различными системами.
, если хотите поэкспериментировать, большой список Google-дорков.
Хакеры находят секретные данные в javascript-файлах
Ключи к API разбросаны по всему интернету. Воспользоваться ими может кто угодно. Это — факт. Часто у того, что ключи оказываются в общем доступе, нет каких-то особых причин. Разработчики просто повсюду их забывают. Например, ключи попадают в код по следующим причинам:
Блоки кода, напоминающие следующий, можно встретить в интернете довольно часто:
// DEBUG ONLY
// TODO: remove -->
API_KEY=t0psecr3tkey00237948
Хотя многие хакеры самостоятельно читают код JavaScript-файлов, такие файлы, в основном, ищут с помощью инструментов вроде
, а потом проверяют то, что нашли, на наличие там соответствующих паттернов.
Как они это делают? После использования сканера вроде meg они ищут в найденных файлах строки, соответствующие различным шаблонам. Тот же, кто создал meg, написал ещё одну отличную программу, именно для этого и предназначенную.
Она называется gf и представляет собой улучшенный вариант grep. В данном случае использование при запуске gf опции truffleHog или, в другом варианте её написания, trufflehog, позволяет инструменту находить высокоэнтропийные строки, представляющие собой ключи к API.
Нередко у того, что ключи появляются в коде, есть совершенно нормальные причины, но такие ключи не защищены от посторонних. Приведу пример. Один клиент, с которым я работал, пользовался внешним сервисом картографической информации. Так делается во многих проектах.
Для того чтобы загружать картографическую информацию и работать с ней, нужно было выполнять обращения к соответствующему API с использованием ключа. Но мой клиент забыл настроить применяемый им сервис так, чтобы ограничить источники, с которых в этот сервис могут поступать запросы, использующие этот конкретный ключ.
Несложно представить себе простую атаку, которая заключается в том, чтобы истощить квоту на использование ресурсов картографического сервиса путём отправки к нему множества запросов. Это может стоить пользователю такого сервиса больших денег. Или, что ещё «лучше» (с точки зрения атакующего), такая атака может привести к тому, что те части проекта клиента, которые завязаны на картах, попросту «упадут».
Хакеры тщательно изучают интересующие их системы
Когда некая система очень интересует исследователя безопасности (или мотивированного хакера), он приступает к глубокому изучению этой системы. Он близко знакомится с ней. Его интересуют конечные точки API, соглашения по именованию сущностей, особенности взаимодействия внутренних частей систем, наличие доступа к разным версиям системы в том случае, если одновременно используются её разные версии.
Не очень хороший подход к защите API заключается в том, чтобы усложнять пути доступа к ним, скрывать их с использованием чего-то вроде генератора случайных символов. Это не заменяет реальных механизмов обеспечения безопасности. Исследователи безопасности пытаются найти незащищённые пути доступа к системам, конечные точки API, например, пользуясь инструментами для «нечёткого» поиска уязвимостей.
Такие инструменты используют списки слов, строят из них пути и проверяют эти пути, анализируя получаемые при попытке обращения к ним ответы. Подобный сканер не найдёт конечную точку, путь к которой представлен совершенно случайным набором символов. Но такие инструменты прекрасно показывают себя в деле идентификации паттернов и в нахождении конечных точек, о которых владельцы системы либо забыли, либо никогда и не знали.
Помните о том, что «безопасность через неясность» («security through obscurity») — это не лучший способ защиты систем (хотя полностью игнорировать его не стоит).
Чем грозит взлом аккаунта на «госуслугах» и могут ли мошенники оформить через него кредит?
Соцсети обошла история жителя Петербурга. Он рассказал о том, как лишился и доступа в аккаунт и более 400 тысяч рублей
«Мошенники взломали мой личный кабинет на портале «Госуслуги», изменили контактные данные (телефон, электронную почту) и пароль» — так начинает свою историю пользователь из Петербурга ylozy. Его запись на портале «Пикабу» (и не только там) стала популярной и собрала десятки тысяч просмотров.
По словам блогера, сразу же после взлома в банки «Открытие» и «Тинькофф» от имени мошенников полетели заявки на выпуск кредитных карт и получение займов. На следующий день в отделении Сбербанка была открыта кредитная карта на 420 тысяч рублей. Деньги были переведены на карту Промсвязьбанка, оттуда — в Газпромбанк, где была оформлена уже дебетовая карта, с которой мошенники и сняли всю кредитную сумму.
Как пишет пострадавший пользователь, в отделения банков в подмосковном Одинцове приходили реальные люди. Правда, паспорт, который они предъявляли, был поддельным. Номер, ФИО, прописка — пострадавшего, но фото и подпись другие.
Мужчине звонили из микрофинансовых организаций, где аферисты, судя по всему, тоже пытались получить кредиты. За полторы недели пострадавший несколько раз пытался вернуть свой аккаунт на «Госуслугах» и номер своего мобильного телефона, который мошенники постоянно пытались заблокировать.
Можно ли, взломав аккаунт на «Госуслугах», оформить кредит в банке? Есть ли доступ в банк через этот государственный сервис? Год назад Минкомсвязь и Центробанк анонсировали новую функцию — оформление кредита через «Госуслуги» без визита в банк. Сообщалось, что в проекте участвуют 20 банков и несколько страховых компаний.
Но на практике эту функцию взяли в работу микрофинансовые организации. Именно они рекламируют в интернете кредиты через «Госулуги». Зайдя на их сайт, можно авторизоваться через «Госуслуги», но, кроме фамилии, имени и отчества, компания никаких других данных не получит и доступа к вашему аккаунту иметь не будет. Это как авторизоваться на любом сайте через аккаунт в Facebook или профиль в Google, объясняет гендиректор компании «Киберполигон» Лука Сафонов.
Лука Сафонов гендиректор компании «Киберполигон»
Что касается конкретной истории петербуржца, на котором теперь висит кредит в 400 с лишним тысяч рублей, можно сказать, что взлом аккаунта на «Госуслугах» тут ни при чем. Карты с деньгами выдавали в обычном отделении по поддельному паспорту, а сами паспортные данные можно найти где угодно, не только на «Госуслугах».
Но как получилось так, что банки не распознали фальшивый документ? Пострадавший обратился в полицию. По его словам, возбуждено уголовное дело. Адвокат Евгения Колесникова считает, что найти мошенников будет легко — по видеокамерам в отделениях банков.
Евгения Колесникова адвокат
Сам пострадавший общаться с Business FM по телефону отказался, хотя в интернете пишет, что журналисты его историей совсем не интересуются.
Добавить my-sertif.ru в ваши источники новостей?
Этичный хакинг
Перевод курса “Секреты Хакеров” – очень мягкое и легкое погружение в тему. Как прогулка по парку
Перевод курса Ermin Kreponic от команды Codeby – отличное погружение в этичный хакинг, всего по чуть-чуть и вы уже в теме
За тобой не придут с болгаркой vol.1 и vol.2 – лучшие курсы по анонимности и безопасности в Рунете
Ютуб Канал VectorT13 – это все про анонимность и чтобы Вас не отследили. Также все очень грамотно и разжевано
Супер курс от HackerDom – супер курс для полных бананов, где все отлично разжевано и разложено по полочкам
Telegram канал Мифодия Келевры – выше сверху вы посмотрели курсы Мефодия, сразу же после этого следуйте в его канал
Авторский Telegram канал White2Hack – один из лучших телеграм каналов по хакингу с кучей ссылок и ресурсов
Ветка форума Codeby посвященная этичному хакингу – тут вы найдете огромное число ответов на огромное количество ваших вопросов
Телеграм канал Ralph Hacker – зарубежный ресурс и очень крутой
Телеграм канал S.E. Book – тут вообще есть все что нужно. Зайдете, поймете
Телеграм канал Geek Girl – тут постят просто какой-то нереальный жир в нереальном количестве. Но опять же знание языка необходимо
Обязательная статья №1 для изучения
Обязательная статья №2 для изучения
Обязательная статья №3 для изучения
Обязательная статья для Web-пентеста
Дневник начинающего Хакера
Лучшее видео этого года на тему хакинга. Must see всем начинающим и немного понимающим английский язык
BOOKS:
Итоги
Вопросы безопасности часто обходят вниманием в стартапах. Программисты и менеджеры обычно делают приоритетом скорость разработки и частоту выхода новых версий продукта, жертвуя качеством и безопасностью. Тут встречается включение в код, попадающий в репозитории, секретных сведений, использование в разных местах системы одних и тех же ключей, применение ключей доступа там, где можно воспользоваться чем-то ещё.
В этом материале я попытался показать вам то, как строки, которые, как кажется, защищены тем, что хранятся в закрытом репозитории, могут легко уйти в общий доступ. То же касается и клона репозитория, сделанного сотрудником из лучших побуждений и не предназначенного для чужих глаз, но оказавшегося общедоступным.
Но можно создать базу для безопасной работы, воспользовавшись инструментом для организации безопасного совместного использования паролей, применив централизованное хранилище секретных данных, настроив политики безопасности паролей и многофакторную аутентификацию. Это позволит, не игнорируя безопасность, не замедлить скорость работы над проектом.
Если говорить о защите информации, то тут не очень хорошо работает идея, в соответствии с которой скорость — это самое главное.
Приобретение знаний о том, как работают хакеры, обычно представляет собой очень хороший первый шаг на пути к пониманию того, что такое информационная безопасность. Это — первый шаг к защите систем. Защищая системы, учитывайте вышеперечисленные способы проникновения в них, и то, что хакеры используют достаточно ограниченный набор таких способов.
Защита систем иногда может восприниматься как дело не особо важное, но трудозатратное и беспокойное. Но будьте уверены: предпринятые вами простые действия по защите ваших систем способны избавить вас от огромных неприятностей.
Как вы защищаете свои системы?