​​Закопанный миллион

Американский хакер кубинского происхождения Альберто Гонсалес в 2009 году провел серию атак на Heartland Payment System и похитил данные десятков миллионов кредитных карт. Кроме того, после того как его поймали правоохранительные органы, хакер рассказал, что также взломал сети TJX Cos, Bj’S Wholesale Club и Barnes & Noble. Данные с карточек Гонсалес перепродавал через созданную им группу ShadowCrew.

В общей сложности он заработал порядка 10 миллионов долларов, однако следователи нашли только один миллион, который был закопан в саду родителей компьютерного гения. Альберто Гонсалес был приговорен к 20 годам лишения свободы.

​​Подборка крутых хакерских девайсов с Aliexpress

▫️Устройство для перехвата данных из Bluetooth эфира - http://ali.pub/3i6f1e

▫️Глушилка GPS/Глонасс - http://ali.pub/3i6f44

▫️Устройство для прослушивания через стены - http://ali.pub/3fhcpk

▫️Флешка для удаленного доступа к ПК - http://ali.pub/3bnu8h

​​14-летний подросток создал вредонос, превращающий IoT-устройства в «кирпич»

Всего за несколько часов наблюдений число пораженных вредоносом Silex устройств возросло с 350 до 2 тыс.

Как показал анализ, Silex заполняет память устройства случайными данными, удаляет сетевые настройки и правила межсетевого экрана, устанавливает запрет на все подключения (с помощью утилиты iptables), а затем останавливает или перезагружает устройство. После этого восстановить его можно только заново переустановив прошивку вручную.

Анкиту Анубхаву, эксперту из компании NewSky Security удалось выяснить личность оператора вредоносной программы. Им оказался 14-летний подросток из Ирана, использующий псевдоним Light Leafon. Он уже известен как создатель ботнета HITO.

Light Leafon рассказал, что изначально Silex разрабатывался как шутка, но сейчас перерос в полномасштабный проект. В будущем разработчик намерен добавить ряд более деструктивных функций, включая возможность авторизации через SSH и реализацию эксплоитов, с помощью которых вредонос сможет эксплуатировать уязвимости в устройствах по аналогии с большинством существующих на сегодняшний день IoT-ботнетов.

А вам интересно, как изнутри работает работает бизнес цифровых пиратов?
Или узнать секреты реальных хакеров?

Автор YouTube-канала «Люди PRO»  Сергей Павлович, бывший кардер, отсидевший 10-летний срок за киберпреступления, а сейчас гостями его интервью становятся хакеры, интернет-пираты, кардеры, порнозвезды, шоплифтеры, угонщики и прочие представители не самых традиционных профессий.

Ссылка на ютуб канал: https://youtube.com/peoplepro

Также у Сергея недавно был конфликт с известным автоблогером Давидычем, пришлось даже удалить одно видео, история чего детально рассказана в его телеграм-канале: @cardingpro

​​GitMiner

На гитхабе можно поживиться информацией в виде паролей, ссылок и других полезных данных. В этом вам поможет GitMiner: говорите ему, что именно искать, и через некоторое время из открытых репозиториев будет извлечена масса данных в удобном для анализа виде. Для использования этого ПО нужен Git-ключ:

git_miner.py -q ‘filename:wp-config extension:php FTP_HOST in:file ‘ -m wordpress -c < Git-ключ > -o result.txt

Для управления поиском необходимых “сокровищ” нужно добавить в файл конфига искомый аргумент в виде JSON-ноды

Вокруг столько, казалось бы, полезных сервисов, дающих возможность зашифрованной переписки. Но насколько они надежны? Кому из них можно верить?

Если вы дорожите своей анонимностью и конфиденциальностью,  рекомендую анонимный почтовый клиент VEDA. Он позволяет безопасно и анонимно обмениваться любой информацией с помощью уникальной технологии передачи данных. Кстати, именно сейчас хороший момент попробовать сервис, потому что на данный момент он бесплатный.

Вы можете не переживать за утечки данных или взломы системы, все сообщения передаются напрямую от отправителя к получателю без участия серверов и облачных хранилищ. Так же отправляемые письма не содержат никакой информации об отправителе. Не чудо ли это?

💡 Информация для тестировщиков: каждые 10 дней разработчики проводят конкурс с призом до 1 ETH.

​​Гироскоп, который прослушивает

Современные смартфоны оснащены множеством сенсоров, которые позволяют реализовать богатый пользовательский интерфейс. Будучи в целом полезными, они иногда могут непреднамеренно разглашать конфиденциальную информацию. В то время как риски конфиденциальности связанные с такими сенсорами как микрофон, камера и GPS очевидны и хорошо понятны, – есть и неочевидные также. В частности доступ к сенсорам движения, таким как гироскоп и акселерометр. Любая программа, – даже Java-апплет на веб-сайте, – может измерять и сохранять показатели этих сенсоров.

Чем это грозит? Доступ к гироскопу и акселерометру позволяет: 1) идентифицировать пользователя по шаблону его ходьбы (получаемому с акселерометра смартфона); 2) считывать символы, введённые с клавиатуры, рядом с которой лежит смартфон; и даже 3) прослушивать разговоры без доступа к настоящему микрофону, – используя гироскоп в качестве грубого микрофона. Подробная инструкция о том, как всё это сделать, находится в открытом доступе

​​Первый хакер в СССР

В 1983 году в СССР было совершенно первое в истории преступление в сфере высоких технологий – хакнули ПО на АВТОВАЗе, в результате чего конвейер встал на три дня. Возник прецедент: совершено преступление, за которое не предусмотрено наказание.

Первым хакером в истории СССР оказался простой программист Мурат Уртембаев, которому прочили блестящую карьеру математика в МГУ, но он отказался от научной стези, и по целевому распределению попал на АВТОВАЗ. Там его таланты никто не оценил, и он решил доказать, что чего-то да стоит.

В Управлении автоматической системой для подачи механических узлов на конвейер, в котором работал Мурат, было две категории сотрудников: элита, то есть программисты, владевшие всеми тонкостями ПО, и рядовые схемотехники, занимавшиеся обслуживанием системы, которых «элита» и близко не подпускала к своим делам.

Схема работы была следующей – программист, если считал нужным, вносил изменения в ПО, но не оставлял никаких данных или отметок о внесенных изменениях.

Уртембаев создал патч к основной программе-счетчику, которая отмеряла циклы подачи узлов на линию конвейера. Патч Мурата сбивал ритм счетчика. На конвейере, где заданная деталь должна быть поставлена в четко ограниченное время, сбой в автоматике даже на секунду будет фатальным для производственной линии, где все выверено и просчитано до мелочей.

​​​​DotDotSlash

Очень часто встречаются сервера в свободном доступе, которые позволяют выйти за пределы папки с сайтом без каких-либо проблем. Эта уязвимость называется Path Traversal, а наше приложение ее успешно эксплуатирует. Устанавливается все клоном с гитхаба:

git clone https://github.com/jcesarstef/dotdotslash.git

Написано ПО на Python3, что очень удобно для современных ОС и поддержки.

​​Подборка крутых хакерских девайсов с Aliexpress

▫️Устройство для перехвата видеосигнала - http://ali.pub/3jp4yl

▫️Глушилка сотовой связи и Bluetooth - http://ali.pub/3jp59v

▫️Подавитель диктофонов - http://ali.pub/3gazqg

▫️Устройство для прослушки на расстоянии - http://ali.pub/3jp5gh

Часы наизнанку. Извлекаем и анализируем данные Apple Watch

Apple Watch — одна из самых популярных в мире марок умных часов. Последняя их
версия оснащена полным набором датчиков и процессором, мощность которого
превосходит бюджетные (и даже не очень бюджетные) модели смартфонов. При
помощи часов Apple собирает огромные массивы данных. Что происходит с этими
данными, где они хранятся и как их извлечь? Попробуем разобраться.

​​Скажи мне, сколько энергии потребляет твой телефон… и я скажу, где ты

Современные мобильные платформы, такие как Android, позволяют приложениям считывать совокупное потребление энергии на смартфоне. Эта информация считается безвредной и поэтому её чтение не требует прав привилегированного пользователя.

Чем это грозит? Одни лишь простым чтением совокупного потребления энергии смартфоном в течение нескольких минут – можно определить местоположение пользователя этого смартфона. Совокупные данные об энергопотреблении телефона чрезвычайно шумны из-за множества компонентов и приложений, которые одновременно потребляют электроэнергию. Тем не менее, благодаря современным алгоритмам машинного обучения, их можно отсеять и успешно определить местоположение смартфона.

🔥 Подборка самых интересных каналов про IT, хакинг и безопасность.

CyberYozh - бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.

@dataleak - канал, публикующий информацию об утечках данных по всему миру. Это один из базовых каналов, на который должен быть подписан специалист в сфере IT-безопасности.

@webware - хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…

@vschannel - канал Дмитрия Момота, известного в сети под псевдонимом VektorT13. Он пишет про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.

@SecLabNews - канал  русскоязычного новостного портала SecurityLab.ruSecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.