Архів для категорії 'Статті'

Викрадання коштів з платіжних карт з NFC

17:26 30.03.2018

Платіжні карти широко використовуються в Україні та в усьому світі. Сам багато років користуюся ними. Дебітними і кредитними платіжними картами серед іншого можна розплачуватися за покупки в торговій мережі та в Інтернеті.

Вже писав, що через уразливості в онлайн банкінгах можна як викрадати кошти з карт, так і блокувати платіжні карти.

І такі уразливості на сайтах банків я знаходив багато разів з початку десятиліття. Розповім про викрадання коштів з платіжних карт з технологією Near Field Communication (NFC).

Вже давно в Україні присутні карти з бездротовою технологією NFC. Компанія MasterCard назвала цю функцію PayPass, а Visa назвала її payWave (різні виробники називають технологію по різному, але в основі лежить NFC) - це безконтактна технологія оплати, що не потребує проводити магнітною стрічкою по терміналу, що забезпечує більшу безпеку і більш швидкі розрахунки.

Технологія сучасна та популярна, окрім оплати в торговельній мережі, вона також застосовується для сплати проїзду в київському метро. Відсутність контакту карти з терміналом - це добре, але українські банки також дозволяють не підтверджувати оплату (за звичай для сум до 100 грн.) при використанні безконтактної технології оплати. Саме це може бути використано зловмисниками для крадіжки коштів.

Поєднання безконтактної оплати та ліміту на “транзакцію без підтвердження” дозволяє викрадання коштів з платіжних карт з NFC. Багато разів у цьому десятилітті бачив як люди користувалися такими платіжними картами, тому одразу підозрював таку можливість, але в мене були лише карти без NFC. Віднедавна в мене з’явилася банківська карта з бездротовою технологією NFC і я зміг це перевірити на практиці в різних магазинах, що мають термінали з підтримкою PayPass і payWave. Тим самим повністю підтвердив свої підозри про таку атаку, що були багато років.

Для цього зловмисникам потрібно вкрасти карту, або “взяти її тимчасово” (наприклад, родичі можуть взяти карту на короткий час), і робити покупки на суми до 100 грн. Це можна робити підряд в різних точках продажу чи навіть на різних касах в одному магазині. Аналогічна можливість викрадання коштів є на картах навіть без NFC, де банки дозволяють не підтверджувати транзакції підписом чи пін-кодом (в межах ліміту). В мене була така преміальна карта від Правекс Банку з лютого 2016 року, де я не підтверджував оплату в більшості магазинів, хоча на інших картах Правекс Банку і ПриватБанку я завжди вводив пін-коди. Тому за всіма картами, де немає підтвердження, потрібно надійно слідкувати.

Зазначу, що також існує можливість віддаленого викрадення коштів з NFC карт. На це мені звернули увагу в Facebook після того, як я опублікував там свою статтю. Такі випадки атак давно відомі на заході та вже мають місце в Україні.

Існують методи захисту карт. Щоб захиститися від родичів (що взяли карту тимчасово), злочинців (що вкрали карту), злочинних працівників магазинів (що перед основною транзакцією можуть приховано собі провести транзакцію), шахраїв (що віддалено тирять кошти по NFC в транспорті та інших місцях) та інших сценаріїв, зробіть один з наступних кроків:

1. Користуйтеся картками без NFC загалом і лише в надійних випадках картками з NFC. Сам користуюся 10 років лише звичайними картами, тому вважаю їх надійними. Повністю відмовитися від таких карт слід лише у крайньому випадку.

2. Користуйтеся смс-банкінгом, щоб отримувати повідомлення про всі транзакції. Якщо шахраї вкрадуть гроші, то ви швидко про це дізнаєтеся і зможете відреагувати. Свій телефон завжди ношу з собою коли беру карту з NFC.

3. Існують методи фізичного захисту карток від віддалених атак.

Моє інтерв’ю для ICTV

19:04 26.03.2018

У березні, 02.03.2018, я дав інтерв’ю для телеканалу ICTV. Знявся для даного телеканалу.

Сюжет вийшов 11.03.2018 у програмі “Факти тижня”. В ньому йшлося про кібервійну і про веб безпеку. А також про Українські Кібер Війська, нашу роботу за чотири роки та проведення мною КіберАТО в Інтернеті. Всі бажаючі можуть його подивитися.

Всі атаковані сайти Міністерства Юстиції за 2009-2017 роки

23:55 31.01.2018

Всі атаковані сайти Міністерства Юстиції за 2009-2017 роки.

Давно наголошую, що Мінюст не слідкує за безпекою своїх сайтів. Торік писав про дірявий Мінюст. Наведу детальну статистику за дев’ять років.

Наступні сайти Мінюсту були інфіковані (явно після взлому), похакані чи заблоковані DDoS атаками:

kyivobljust.gov.ua - інфікований державний сайт - 14.10.2009
kyivobljust.gov.ua (хакером Uxor) - 27.07.2010
justice-km.gov.ua (хакерами з UAH-Crew) - 10.10.2010
justice.km.ua (хакерами з UAH-Crew) - 10.10.2010
kyivobljust.gov.ua - інфікований державний сайт - 04.12.2010
kyivobljust.gov.ua (хакерами з Ashiyane Digital Security Team) - 11.08.2011
minjust.gov.ua - інфікований державний сайт - 30.06.2012
kyivobljust.gov.ua (хакерами з Ashiyane Digital Security Team) - 31.08.2012
vinjust.gov.ua (хакером Nob0dy) - 22.10.2012
justzp.gov.ua (хакерами з Muslim Cyber Army) - 17.11.2013
kremjust.gov.ua (хакером Onser19) - 16.02.2014
just.odessa.gov.ua (хакером Pentasec) - 27.02.2014
notary-just.odessa.gov.ua (хакером Nofawkx Al) - 31.12.2015
justzp.gov.ua (хакером Kuroi’SH) - 22.08.2016
18 піддоменів justzp.gov.ua (хакером Kuroi’SH) - 22.08.2016
DDoS атака на usr.minjust.gov.ua (невідомими хакерами) - 22.09.2016
DDoS на usr.minjust.gov.ua (невідомими хакерами) - 21.10.2016
justvolyn.gov.ua (хакером Anonymous Arabe) - 03.01.2017
obljust.gov.ua (хакером Anonymous Arabe) - 03.01.2017
zakjust.gov.ua (хакером Dr.SiLnT HilL) - 10.01.2017
just.odessa.gov.ua (російськими хакерами) - 30.01.2017 та 05.07.2017
webmail.just.gov.ua (невідомі хакери) - 08.05.2017 - хакнули веб пошту для розсилки фішингу
justice-dn.gov.ua (хакером maress) - 02.07.2017

Зверніть увагу, що сайт kyivobljust.gov.ua (Головне територіальне управління юстиції у Київській області) був двічі інфікований та тричі хакнутий, а сайт justzp.gov.ua (Головне територіальне управління юстиції у Запорізькій області) був хакнутий в 2013 і 2016 роках (в останній раз одразу 19 доменів). А сайт just.odessa.gov.ua (Головне територіальне управління юстиції в Одеській області) був хакнутий в 2014 та двічі 2017 році.

Лише почався новий рік, а черговий сайт Мінюсту взломали. Це vinjust.gov.ua (хакером Alarg53) - 14.01.2018.

Всі мої публікації про всі атаковані державні сайти, в тому числі ці сайти Мінюсту, та мої виступи на конференціях в 2007-2017 роках (де я наводив статистику), були проігноровані як керівництвом та працівниками міністерства, так і владою загалом. Ними нічого не було зроблено для забезпечення безпеки державних Інтернет ресурсів. Тому сайти міністерства продовжують хакати по сьогоднішній день. Тисячі gov.ua сайтів були хакнуті чи інфіковані за 17 років, але жодного держслужбовця не засудили за це.

Добре видно, що Мінюст, як і всі державні органи 27 років економлять на безпеці сайтів та інших ресурсів. В своїх звітах я писав про тисячі успішних атак на державні сайти з 2001 року, а також про взломи та інфікування недержавних сайтів в Україні.

Взлом різноманітних мережевих пристроїв

20:03 31.12.2017

Продовжуючи розпочату традицію, після попереднього відео про взлом ключів і POS систем готелів, пропоную нове відео на секюріті тематику. Цього разу відео про взлом різноманітних мережевих пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 - All Your Things Are Belong To Us

В жовтні на конференції DEFCON 25 відбувся виступ Zenofex, 0×00string, CJ 000 та Maximus64. В своєму виступі вони розповіли про атаки на різноманітні мережевих пристроїв - від IP камер до розумних телевізорів. В яких вони виявили численні уразливості, що вони представили в своїй доповіді як 0-day. Тому всі бажаючі могли одразу протестувати ці уразливості в зазначених пристроях.

Вони розповіли про проблеми з безпекою в багатьох мережевих пристроях, тим самим давши зрозуміти, що всі мережеві пристрої можуть бути взломані. Це веб камери, DVR, мережеві принтери, відеофони, мережеві системи зберігання даних (NAS), флешки для медіа стрімінгу, портативні Wi-Fi колонки, Wi-Fi роутери, програвачі Blue-ray дисків з сервісом медіа стрімінгу, системи розумного будинку, Smart TV. Рекомендую подивитися дане відео для розуміння поточного стану безпеки мережевих пристроїв.

Українські Кібер Війська: відео розвідка

17:28 28.12.2017

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: відео російського гумконвою на Донбасі - УКВ захопили відео з російським гуманітарним конвоєм. Це 66-й гумконвой в Донецьку.

Українські Кібер Війська виявили як терористи знімають пропаганду - УКВ захопили відео терористів де вони знімали пропаганду.

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Українські Кібер Війська: відео російського гумконвою на Донбасі - УКВ захопили відео з російським гуманітарним конвоєм. Це 66-й гумконвой в Донецьку.

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Бекдори у плагінах для WordPress

22:42 16.12.2017

В статті Бекдори у веб додатках я писав стосовно впровадження бекдорів у веб додатки. А в попередній статті я розповів про основні шляхи потрапляння бекдору у веб додатки та навів приклади випадків впровадження бекдору у веб додатки та в відкриті операційні системи.

Серед них був забекдорений Social Media Widget для WordPress. Цей випадок трапився в квітні 2013 року. Цього року атаки через включення бекдорів у плагіни для WP значно активізувалися.

В плагіні Display Widgets для WP, що має понад 200000 інсталяцій, виявили бекдор. Спочатку код для розміщення спаму на сайтах з плагіном виявили в липні 2017 року. Плагін кілька разів видаляли з каталогу WordPress, розробник “виправляв його” і випускав нову версію, що повертали в каталог, але через деякий час плагін знову починав поширювати спам. І в ньому знову знаходили бекдор. 8 вересня його остаточно заблокували в каталозі та зробили повернення на кодову базу 2.0.5, останню версію до продажу. Все це почалося саме після продажу плагіну новому власнику.

В плагіні Captcha для WP, що має 300000 інсталяцій, виявили бекдор. Цей плагін також був куплений тією самою людиною, що і Display Widgets, й новий власник, почекавши три місяці, додав у нього бекдор. Нова версія плагіна була розміщена в каталозі 4 грудня, а коли виявили бекдор, то її заблокували в каталозі та зробили повернення на стару кодову базу.

Схоже, що це новий тренд. Окрім взлому сайтів для розміщення бекдорів, у тому числі в коді движка чи плагінів, а також випуску “липових плагінів” з бекдором, тепер поширення набув метод купівлі популярних плагінів, щоб пізніше додати в них бекдор. В своїх статтях в 2012-2013 роках я наголошував на цьому.

У попередній статті я навів перелік програм для пошуку бекдорів, серед них є й плагіни для WordPress. Також нагадаю, що в грудні 2012 року я розробив приклад простого веб додатку з вбудованим бекдором - Backdoored Web Application. Він призначений для перевірки систем пошуку бекдорів. Ознайомтеся з моїм тестуванням сканерів бекдорів серед плагінів для WordPress. Раджу власникам сайтів, зокрема на WordPress, перевіряти їх такими сканерами.

Цікаве чтиво на тему web security

22:49 14.12.2017

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

Мій виступ на каналі Oboz TV

20:03 11.12.2017

В листопаді, 30.11.2017, я дав інтерв’ю для телеканалу Oboz TV.

Воно вийшло на каналі в програмі “Ранковий Обозреватель”. Сюжет зі мною про кібербезпеку розбитий на дві частини. В першому відео я розповів про двофакторну авторизацію, надійні паролі, менеджери паролів та інші аспекти онлайн безпеки. В другому відео я розповів про безпечні месенджери, протидію російським кібератакам та про діяльність УКВ з 2014 року. Всі бажаючі можуть подивитися ці відео.

Взлом ключів і POS систем готелів

23:53 27.10.2017

Продовжуючи розпочату традицію, після попереднього відео про взлом банкоматів - Next Gen ATMs, пропоную нове відео на секюріті тематику. Цього разу відео про взлом ключів і POS систем готелів. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 24 - Hacking Hotel Keys and Point of Sale Systems

Торік влітку на конференції DEFCON 24 відбувся виступ Weston Hecker. В своєму виступі він розповів про атаки на готелі, зокрема на електронні ключі і POS системи готелів. Про ін’єкцію натискання клавіш у POS термінали та в касові апарати (для подальшого взяття коштів в них) - ці атаки відбуваються віддалено. А про атаки на банкомати Вестон розповідав у попередньому відео.

Він розповів про аспекти безпеки інформаційних систем, що застосовуються в готелях. Рекомендую подивитися дане відео для розуміння поточного стану безпеки таких систем.

Українські Кібер Війська: відео розвідка

22:47 13.10.2017

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська записали полковника терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Українські Кібер Війська виявили як терористи знімають пропаганду - УКВ захопили відео терористів де вони знімали пропаганду.

Українські Кібер Війська: секретні відео російського гумконвою на Донбасі - УКВ захопили відео з російським гуманітарним конвоєм. Це 66-й гумконвой в Донецьку.

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Українські Кібер Війська: секретні відео російського гумконвою на Донбасі - УКВ захопили відео з російським гуманітарним конвоєм. Це 66-й гумконвой в Донецьку.