?

Log in

No account? Create an account

Анатолій Андросюк

Всем Взаимофренд !

Previous Entry Share Next Entry
Чем Вам грозит подключение к публичному Wi-Fi
biboroda
хакер киберпреступник интернет компьютер

В рюкзаке мой приятель, 34-летний Воутер Слотбоом, носит небольшой — чуть больше пачки сигарет — прибор черного цвета с антенной. Я встречаю Воутера случайно в одном кафе в центре Амстердама. День солнечный, и почти все столики заняты. Некоторые посетители разговаривают, а остальные работают за ноутбуками или играют в игры на смартфонах.

1

Мы просим у официантки два кофе и пароль от местного Wi-Fi. Воутер включает компьютер и этот свой гаджет, запускает какие-то программы, и экран начинает заполняться рядами строчек. Постепенно мне становится понятно, что девайс Воутера подключается к ноутбукам, планшетам и смартфонам людей, сидящих в кафе. На экране начинают появляться названия вроде «айфон Йориса» и «макбук Симона».

2

Иногда имена этих сетей состоят из цифр и случайных букв, что затрудняет определение их месторасположения. Но в большинстве случаев названия выдают место. Мы узнаем, что Йорис недавно был в «Макдоналдсе», отпуск провел в Испании (много испанских названий сетей), по приезду развлекался на треке (он подключался к сети, принадлежащей известному местному центру картинга). Мартин, другой посетитель кафе, подключался к сети аэропорта Хитроу и американского авиаперевозчика Southwest. В Амстердаме он, скорее всего, живет в хостеле «Белый тюльпан», а завтракать предпочитает в кофейне «Бульдог».



Шаг1. Все подключаются к подставной сети

Официантка приносит кофе и пароль от wi-fi. Слотбоом подключается. Теперь он может раздавать беспроводной интернет всем посетителям кафе и перенаправлять трафик через свой маленький перехватчик.

Большая часть смартфонов, планшетов и ноутбуков автоматически ищет беспроводные сети и подключается к ним. Обычно они выбирают ту сеть, к которой ранее уже подключались.

4

На экране моего айфона возникает список доступных сетей — включая сеть моего домашнего провайдера, рабочую сеть и целый список сетей кафе, поездов, лобби отелей и других мест, где я бывал. Мой телефон автоматически подключается к одной из этих сетей, которые на самом деле все принадлежат маленькому черному устройству.

Слотбоом может раздавать интернет из вымышленной точки, заставляя посетителей поверить, что они подключаются к официальной сети того места, где находятся. Например, если название настоящей сети состоит из случайного набора букв и цифр (типа Fritzboxxyz123), Слотбоом может создать именную сеть (типа Starbucks). Он говорит, что люди гораздо охотнее подключатся именно к ней.

Мы наблюдаем, как все больше и больше людей подсоединяется к нашей фейковой сети. Маленькое черное устройство заманивает их, как песни сирены, и мало кто способен устоять. Уже 20 ноутбуков и смартфонов у нас в руках.

5

Я разрешил ему взломать меня самого, чтобы он показал, на что способен, — но сделать это можно с каждым, чей смартфон или ноутбук ищет беспроводную сеть, чтобы подключиться к ней.

Взломать можно все — за очень редким исключением.
6

Сейчас в мире почти полтора миллиарда смартфонов, и только в США ими пользуется более 150 млн человек. Более 92 млн взрослых американцев используют планшеты, более 155 млн — ноутбуки. Каждый год мировой спрос на лэптопы и планшеты растет. В 2013 году в мире было продано около 206 млн планшетов и 180 млн ноутбуков. И наверняка каждый владелец портативных девайсов когда-нибудь да подключался к общедоступному wi-fi — в кафе ли, в поезде или в отеле.



Но, проведя день с Воутером Слотбоомом, вы поймете: практически что угодно и практически кого угодно, кто подсоединен к беспроводной сети, можно взломать. Согласно данным исследования, проведенного агентством по информационной безопасности Risk Based Security, в 2013 году в сети было доступно более 822 млн персональных записей — включая номера кредиток, даты рождения, медицинскую информацию, телефонные номера и номера карт социального страхования, адреса (обычные и электронные), пароли и имена. 65 % этой информации было опубликовано американцами. Согласно данным Kaspersky Lab, в 2013 году около 37,3 млн человек по всему миру — и 4,5 млн американцев — стали жертвами попыток фишинга и фарминга, то есть данные для осуществления онлайн-платежей были украдены со взломанных компьютеров, смартфонов и различных сайтов.

Появляются все новые и новые отчеты, которые говорят о том, что фрод и перехват персональных данных становятся все более распространенной проблемой. Хакеры и киберпреступники располагают целым арсеналом средств, но преобладание открытого и небезопасного wi-fi-соединения чертовски упрощает им жизнь. Национальный центр кибербезопасности — подразделение Министерства внутренней безопасности США — не зря выпустил рекомендацию, в которой он предостерегает от использования открытых беспроводных сетей в общественных местах, а при их использовании советует избегать финансовых операций и обсуждения рабочих вопросов.

Слотбоом называет себя «хакером по этическим мотивам», то есть причисляет себя к «хорошим парням» — фанатам IT, которые хотят показать потенциальную опасность интернета и высоких технологий. Он дает советы по защите информации как отдельным людям, так и фирмам. Обычно он делает это как сегодня — демонстрируя, как легко технологии могут причинить вред.

8

Я воздержусь от более детального описания некоторых технических аспектов (названия приборов, программ и приложений) того, что нужно хакеру.



Шаг 2. Выясняем имена, пароли, сексуальную ориентацию

Вооруженные волшебным рюкзаком Слотбоома, мы перемещаемся в кофейню, которая славна цветочками, украшающими пенку местного латте. Это место облюбовали фрилансеры, которые работают здесь за ноутбуками. Сейчас в кофейне полно народу, и все уставились в свои экраны. Слотбоом включает гаджеты. Тот же алгоритм действий, и вот через несколько минут к нашей сети подключено два десятка девайсов. И снова мы видим имена их макбуков и историю подключений, иногда — имена собственные. По моей просьбе мы делаем следующий шаг.

Слотбоом запускает другую программу (которую тоже можно легко скачать), позволяющую ему извлечь еще больше информации из ноутбуков и смартфонов, подключенных к сети. Мы видим технические детали моделей телефонов (Samsung Galaxy S4), языковые настройки и версию операционной системы (iOS 7.0.5). Последнее может быть ценной информацией для хакера-злоумышленника: если у девайса устаревшая версия ОС, то всегда есть уже известные «баги», дыры в системе защиты, которыми можно с легкостью воспользоваться. Эта информация позволяет взломать операционную систему и установить контроль над устройством.

10

Теперь мы наблюдаем, на какие сайты заходят пользователи беспроводной сети вокруг нас. Так, кто-то с макбука просматривает новостной сайт Nu.nl, многие пересылают документы через сервис WeTransfer, а кое-кто выкладывает их наDropbox. На Tumblr наблюдается некоторая активность, кто-то только что зашел прочесть подсказки на FourSquare. Его имя тоже высвечивается, и, погуглив, мы узнаем в лицо человека, сидящего всего в нескольких метрах от нас.

Потоки информации идут даже от тех, кто не занят ни работой, ни бесцельным просмотром интернет-страниц. Многие приложения и сервисы электронной почты постоянно контактируют с серверами — так девайс может получать электронные сообщения. В ряде случаев мы можем увидеть, какая именно отправляется информация и на какой сервер.

11

Остановимся на этом, но, вообще-то, выяснить, кому принадлежит этот телефон, не составляет ни малейшего труда. Кстати, еще мы видим, как чей-то телефон устанавливает соединение с сервером в России и посылает туда пароль, который мы могли бы перехватить.


Шаг 3. Проблемы в отношениях, школа, хобби.

Многие приложения, сайты и программы используют те или иные технологии кодирования. Они нужны для того, чтобы гарантировать, что информация, которая отправляется и получается вашим девайсом, недоступна для чужих глаз. Но как только пользователь подключается к беспроводной сети Слотбоома, эти меры безопасности можно сравнительно легко обойти при помощи программ-дешифровщиков.

К нашему удивлению, мы обнаруживаем приложение, которое пересылает личную информацию компании-продавцу онлайн-рекламы. Среди прочего мы видим данные о местонахождении телефона, его технические характеристики и информацию о беспроводной сети. Кроме того, мы теперь знаем имя и фамилию женщины, которая использует веб-сервис социальных закладок Delicious. В принципе, страницы, которыми пользователи Delicious делятся друг с другом, и так находятся в открытом доступе, но сложно избавиться от ощущения, что мы подсматриваем за этой женщиной, как только понимаешь, сколько можно узнать о ней.

Сначала гуглим ее имя — и тут же понимаем, как она выглядит, а также определяем, где она сидит в нашей кофейне. Нам становится известно, что она иностранка (хотя и родилась в Европе) и переехала в Нидерланды только недавно. При помощи сервисаDelicious мы узнаем, что она посещала сайт курсов голландского языка и отметила в закладках страничку о курсах для новичков.

Меньше чем за двадцать минут мы находим информацию о том, где она родилась и где училась, узнали, что она интересуется йогой, сохранила в закладки сайт по продаже антихрап-матрасов, недавно была в Таиланде и Лаосе и активно ищет в сети советы, как сохранить отношения.

Слотбоом показывает мне еще несколько хакерских трюков.

13

Мы проверили: это работает. Пробуем другой прием: любой, кто открывает сайт, содержащий изображения, будет видеть картинки, выбранные Слотбоомом. Все звучит достаточно забавно, если вы хотите просто подшутить, — но ничто не мешает загружать в чужие смартфоны картинки, скажем, с детской порнографией, а наличие таких изображений в вашем телефоне уже уголовное преступление.

Шаг 4. Перехват пароля

Мы идем еще в одно кафе. Теперь я прошу Слотбоома показать, что он может сделать, если захочет серьезно навредить мне. Он просит меня зайти на live.com(сайт электронной почты от Microsoft) и ввести случайный логин и пароль. Через несколько секунд информация, которую я только что ввел, появляется у него на экране. «Теперь у меня есть информация для входа в твой аккаунт электронной почты, — говорит Слотбоом. — Первое, что я сделаю, — это сменю пароль от почты и укажу на всех сервисах, которыми ты пользуешься, что забыл свой пароль от них».

15

Мы проделываем то же самое с фейсбуком: Слотбоом довольно легко перехватывает логин и пароль, которые я ввожу.

Еще один прием — перенаправить интернет-трафик. Например, когда я захожу на сайт своего банка, созданная хакером программа перенаправляет меня на его страницу — клон, который выглядит так же, как настоящий сайт, но, в отличие от него, полностью контролируется Слотбоомом. Хакеры называют это DNS-спуфинг. Информация, которую я ввел на сайте, хранится на сервере Слотбоома.



Не знаю, как вы, а я после увиденного и пережитого никогда больше не хочу подключаться к бесплатному wi-fi.

источник



promo biboroda november 30, 2014 22:14 4141
Buy for 30 tokens
Оригинал взят у biboroda в Френдмарафон - новичков, но и старички - не стесняйтесь.( CAPTCHA) Уважаемые, сделал дубликат хорошего старого поста, там очень не удобно писать, постоянно надо вводить CAPTCHA, её поставил ЖЖ так как там очень много комментов, я её отключить не могу,…

Местами вранье, особенно про "пароли фейсбука", которые шифруются при передаче, но общая схема примерно такая. Все что без SSL - идет в открытом доступе и может быть считано. Майлру-яндексы-гмайл - шифруются. Но опять же, имея подконтрольную точку доступа нарисовать вам стартовую страницу фейсбука-майлу-гмайл, куда вы радостно вобьете пароли - дело техники.

(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
Второнах)

Edited at 2016-03-21 08:57 am (UTC)

когда ещё вай-фай только набирал популярность..
про подобные "дыры" в безопасности один знакомый рассказывал)
возымело действие.
предпочитаю личный вай-фай)) через роутер.
хотя да нужно быть осторожнее)

Ствится VPN и через него можно спокойно сидеть в любых WiFi сетях с любыми черными, красными и буро-малиновами коробочками.

А если заходить в свой банк не через вэб интеофейс, а через мобильное пртложение банка? То же и с почтой. Можно будет перехватить?


Зависит от корявости рук писателей приложения банкинга, но вроде по уму там в любом случае данные в открытом виде не передаются. Если почта настроена через SSL(а по другому большинство сервисов настроить сейчас нельзя), то так-же все данные шифруются. А подделать сертификат SSL это не фейковую страничку входа в почту нарисовать...

Пардон-пардон, а как же https? Через который подключаешься к разным логин-страницам уважающих себя крупных сайтов? Чувак сломал SSL-шифрование?

Для вскрытия https используют фейковые SSL сертификаты. Т.е. все сертификаты для сервисов (например gmail), которыми вы пользуетесь будут выданы удостоверяющим центром злоумышленника. Браузер конечно задаст вопрос об установке сертификата нового УЦ. Но много ли людей будут вчитываться? Скорее всего они предпочтут тапнуть кнопку ОК.

(Deleted comment)
(Deleted comment)
Пуля.
Изначально, о чем речь идет?
Какая-то фигня подменяет основной роутер вай-фай.
Да еще и со всех устройств с вай-фай в округе собирает предыдущие точки подключения.
И начинает их имитировать.

Речь о том, что в тексте куча нечитабельных вставок с картинками.

в большей степени чушь для чайников ...отличный сюжет для рэн-тв

(Deleted comment)
)))) короче все что можно сделать - это удовлетворить свое болезненное любопытство. Ну можно записать меня онлайн к терапевту или почитать спам на моей почте. Узнать номер моего паспорта(зачем?) и узнать что я смотрю порно. Крайне полезно.

А тут дело не в том "что можно узнать". А в том как это использовать) К примеру сидит в аэропорту бизнесмен средней руки, и постоянно смотрит гомопорнуху - его например можно на деньги развести этим "компроматом")

омг, открыли америку.
1. VPN вас спасет.
2. вот это вот эти меры безопасности можно сравнительно легко обойти при помощи программ-дешифровщиков лютейший песдеж. АНБ не может, а скрипткиддис с рогулькой - может, да?

"Тут лекция для колхозников, а вы, товарищи дачники, шли купаться? Вот и идите мимо!"(с)народ.

Везде, где есть сети-там есть и рыбка, которая попала в сети. А где есть рыбка-там есть и старик, закинувший сети. А где есть старик-там есть и старуха, готовая отмудохать этой рыбкой деда по щам за то, что раздавал в общественном месте женскую порнографию.

Ну таки да, при желании можно сломать всё что угодно. При этом не обязательно через "общий доступ".

и вычислить по айпи можно.

Смотря на вид подачи информации в этой статье, понятно что и автор и "хакер" лежат в одной палате, и им скоро пора пить таблетки.

Удачного выздоровления!

Автор - ты мой герой!
Ты первый в топе дебилов вёрстки!
Чтоб тебе так срать всю жизнь, как твои картинки читаются.