Архів для категорії 'Статті'

Захоплення індустріальних IoT пристроїв

20:02 22.09.2018

Продовжуючи розпочату традицію, після попереднього відео про контроль IoT пристроїв через радіо сигнали, пропоную нове відео на секюріті тематику. Цього разу відео про захоплення індустріальних IoT пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 IoT Village - Pwning the Industrial IoT

Раніше я багато розповідав про взлом звичайних мережевих пристроїв, зокрема IoT, як то IP камер, розумних будинків і smart пристроїв, то цього разу мова йде про захоплення індустріальних IoT пристроїв. Уразливостей в них теж вистачає.

Торік в жовтні на конференції DEFCON 25 відбувся виступ Vladimir Dashchenko. В своєму виступі він розповів про атаки на індустріальні IoT пристрої через Інтернет. Про виявлені класи уразливостей (в тому числі бекдори) і використання їх для захоплення пристроїв та інші віддалені атаки на них.

Він розповів про проблеми з безпекою в мережевих пристроях, що відносяться до індустріальних (Industrial IoT). Рекомендую подивитися дане відео для розуміння поточного стану безпеки індустріальних IoT пристроїв.

Безпека мережевих пристроїв: IP камер, розумних будинків і smart пристроїв

19:35 30.07.2018

Постійно нагадую стосовно безпеки сайтів і мережевих пристроїв. Багато дірок я знайшов на сайтах і у веб додатках з 2005 року, а також в численних мережевих пристроях. Це стосується всіх виробників роутерів та інших мережевих пристроїв - всюди знаходив дірки, бо не хочуть виробники пристроїв вкладати кошти в безпеку. Хакнути можуть все - від роутера і принтера, до холодильника і тостера.

Вже писав, що Українські Кібер Війська захопили 250000 мережевих пристроїв. Це ми зробили в попередні роки, а захопленням численних розумних будинків займалися в липні, прочитайте про хакнуті Smart House (Smart Home) системи.

Дуже багато разів повідомляв за 13,5 років власникам сайтів і розробникам веб додатків та мережевих пристроїв про дірки, але вони часто ігнорують. Ну і більшість не проводить аудити безпеки (в Україні це переважна більшість) - не те, що в мене не замовляють аудит, а взагалі. А в державному секторі все значно гірше. Наприклад, влада Києва та силовики заявляють про збільшення кількості веб камер у столиці. В останні роки вони активно про це заявляли, у т.ч. на останніх форумах. Але за безпекою ні сайтів міської влади, ні всіх цих веб камер вони не слідкують (а всі веб камери діряві, про що я наголошую багато років), як і не слідкували раніше. Та всі мої звернення за ці роки були ними проігноровані. Про уразливості на київських gov.ua сайтах та всіх gov.ua сайтах і про їх взломи писав багато разів.

Про уразливості в тисячах моделей мережевих пристроїв я писав у себе на сайті. Сам знайшов численні уразливості в різних мережевих пристроях десятків виробників, у тому числі веб камерах і DVR, принтерах, ADSL модемах, проводових роутерах, Wi-Fi роутерах і точках доступу. Враховуючи, що жоден виробник IP камер і DVR, як і інших мережевих пристроїв, по суті не слідкує за безпекою, то вкладати в аудити безпеки мають користувачі цих пристроїв.

Тому кожен громадянин України та всі державні органи, що мають сайт чи будь-який мережевий ресурс, повинні спитати себе, скільки коштів вони вклали у веб безпеку. І чим більше вклали, тим краще. Бо враховуючи, що за 27 років мало хто в це вкладав, то це вимагає значних фінансових вкладень в межах держави.

Мій виступ на каналі Настоящее Время

17:24 25.07.2018

У липні, 24.07.2018, я дав інтерв’ю для телеканалу Настоящее Время.

Сюжет транслювався в новинах і був розміщений на сайті. В ньому йшлося про атаки російських хакерів на енергосистему США та порівняння з атаками на енергосистему України в 2015 і 2016 роках. Всі бажаючі можуть його подивитися.

Цікаве чтиво на тему web security

22:41 24.07.2018

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

Українські Кібер Війська: відео розвідка

23:53 28.06.2018

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Українські Кібер Війська: відео російського гумконвою на Донбасі - УКВ захопили відео з російським гуманітарним конвоєм. Це 66-й гумконвой в Донецьку.

Українські Кібер Війська записали полковника терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Українські Кібер Війська: відео російського гумконвою на Донбасі - УКВ захопили відео з російським гуманітарним конвоєм. Це 66-й гумконвой в Донецьку.

Українські Кібер Війська: секретне відео бази терористів в Донецьку - УКВ записали відео зі бази російських терористів в Донецьку.

Прямий ефір зі мною на 5 каналі

14:18 25.06.2018

У травні, 31.05.2018, я виступив у прямому ефірі на 5 каналі.

Ефір відбувся в програмі “За чай.com”. В ньому йшлося про українських хакерів і про кібервійну, як важливу складову сучасної гібридної війни. А також про мій проект Українські Кібер Війська, нашу роботу за чотири роки та проведення мною КіберАТО в Інтернеті. Всі бажаючі можуть його подивитися.

Прямий ефір зі мною на Радіо Хаят

22:46 23.05.2018

В травні, 14.05.2018, я виступив на Радіо Хаят.

Прямий ефір транслювався по радіо та в якості відео на Facebook. В ньому йшлося про хакерів і про кібервійну. А також про Українські Кібер Війська, нашу роботу за чотири роки та проведення мною КіберАТО в Інтернеті. Всі бажаючі можуть його подивитися.

Відео прямого ефіру зі мною на Радіо Хаят

Цікаве чтиво на тему web security

22:47 12.05.2018

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

Моє інтерв’ю для Українська правда

20:09 08.05.2018

У квітні я дав інтерв’ю для Українська правда. І 24.04.2018 воно було оприлюднене на сайті.

В інтерв’ю розповідається про блокування російських соцмереж і наслідки за цей рік (про блокування російських соцмереж та інших сервісів виступав торік на телебаченні). В тому числі про мою протидію інформаційній та кібер війні Росії проти України.

Російські соцмережі рік потому. Чи спрацювала заборона

Так що кому буде цікаво прочитати про інформаційну війну та кібер війну, про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю, зокрема Axios, чи дивився виступи на ТБ, зокрема на каналі Oboz TV та каналі ICTV, так і всім іншим, можете прочитати це інтерв’ю.

Викрадання коштів з платіжних карт з NFC

17:26 30.03.2018

Платіжні карти широко використовуються в Україні та в усьому світі. Сам багато років користуюся ними. Дебітними і кредитними платіжними картами серед іншого можна розплачуватися за покупки в торговій мережі та в Інтернеті.

Вже писав, що через уразливості в онлайн банкінгах можна як викрадати кошти з карт, так і блокувати платіжні карти.

І такі уразливості на сайтах банків я знаходив багато разів з початку десятиліття. Розповім про викрадання коштів з платіжних карт з технологією Near Field Communication (NFC).

Вже давно в Україні присутні карти з бездротовою технологією NFC. Компанія MasterCard назвала цю функцію PayPass, а Visa назвала її payWave (різні виробники називають технологію по різному, але в основі лежить NFC) - це безконтактна технологія оплати, що не потребує проводити магнітною стрічкою по терміналу, що забезпечує більшу безпеку і більш швидкі розрахунки.

Технологія сучасна та популярна, окрім оплати в торговельній мережі, вона також застосовується для сплати проїзду в київському метро. Відсутність контакту карти з терміналом - це добре, але українські банки також дозволяють не підтверджувати оплату (за звичай для сум до 100 грн.) при використанні безконтактної технології оплати. Саме це може бути використано зловмисниками для крадіжки коштів.

Поєднання безконтактної оплати та ліміту на “транзакцію без підтвердження” дозволяє викрадання коштів з платіжних карт з NFC. Багато разів у цьому десятилітті бачив як люди користувалися такими платіжними картами, тому одразу підозрював таку можливість, але в мене були лише карти без NFC. Віднедавна в мене з’явилася банківська карта з бездротовою технологією NFC і я зміг це перевірити на практиці в різних магазинах, що мають термінали з підтримкою PayPass і payWave. Тим самим повністю підтвердив свої підозри про таку атаку, що були багато років.

Для цього зловмисникам потрібно вкрасти карту, або “взяти її тимчасово” (наприклад, родичі можуть взяти карту на короткий час), і робити покупки на суми до 100 грн. Це можна робити підряд в різних точках продажу чи навіть на різних касах в одному магазині. Аналогічна можливість викрадання коштів є на картах навіть без NFC, де банки дозволяють не підтверджувати транзакції підписом чи пін-кодом (в межах ліміту). В мене була така преміальна карта від Правекс Банку з лютого 2016 року, де я не підтверджував оплату в більшості магазинів, хоча на інших картах Правекс Банку і ПриватБанку я завжди вводив пін-коди. Тому за всіма картами, де немає підтвердження, потрібно надійно слідкувати.

Зазначу, що також існує можливість віддаленого викрадення коштів з NFC карт. На це мені звернули увагу в Facebook після того, як я опублікував там свою статтю. Такі випадки атак давно відомі на заході та вже мають місце в Україні.

Існують методи захисту карт. Щоб захиститися від родичів (що взяли карту тимчасово), злочинців (що вкрали карту), злочинних працівників магазинів (що перед основною транзакцією можуть приховано собі провести транзакцію), шахраїв (що віддалено тирять кошти по NFC в транспорті та інших місцях) та інших сценаріїв, зробіть один з наступних кроків:

1. Користуйтеся картками без NFC загалом і лише в надійних випадках картками з NFC. Сам користуюся 10 років лише звичайними картами, тому вважаю їх надійними. Повністю відмовитися від таких карт слід лише у крайньому випадку.

2. Користуйтеся смс-банкінгом, щоб отримувати повідомлення про всі транзакції. Якщо шахраї вкрадуть гроші, то ви швидко про це дізнаєтеся і зможете відреагувати. Свій телефон завжди ношу з собою коли беру карту з NFC.

3. Існують методи фізичного захисту карток від віддалених атак.