08.02.2010

Конференция хакеров Defcon 18. Фото: nateOne/flickr.com

 

 

 

Американский хакер Крис Паджет сделал устройство для прослушивания разговоров по мобильному телефону. Аппарат обошелся ему в 1,5 тысячи долларов. Паджет продемонстрировал устройство на конференции по хакингу Defcon, передает PCWorld.

 

За несколько минут тестовой работы прибор-перехватчик присоединил к системе 30 мобильных телефонов. После этого разработчик наcтроил устройство на работу в качестве вышки-ретранслятора телекоммуникационной компании AT&T. Он добавил, что все телефоны в комнате, использующие оператора связи AT&T, будут присоединены к его системе в течение получаса.

 

Таким образом Паджет получил возможность прослушивать разговоры любого, кто позвонит людям, подсоединенным к его устройству. Также он отметил, что смартфоны iPhone лучше остальных ловятся его системой.

 

Своей демонстрацией Паджет показал наиболее существенные недостатки глобального цифрового стандарта мобильной связи GSM, который соединяет аппараты с вышкой-ретранслятором, ориентируясь на силу сигнала, а не на его приемник.

 

В 2009 году изобретатель продемонстрировал уязвимость радиочастотной идентификации (RFID), скачав данные паспортов граждан США.

 

 

Источник   BFM.RU

 

Интересы хакеров оказались в шляпах

Марк Аверин

 

 

Мир хакеров можно условно разделить на три группы. Одна из них — Black hats (черные шляпы), — они взламывают корпоративные компьютерные системы для развлечения и собственной выгоды: выкрадывая номера кредитных карт и адреса электронной почты, чтобы затем продать другим хакерам или заинтересованным лицам. Яркий пример «черношляпников» — Кевин Митник, взломавший сайты крупных корпораций, в частности, Nokia, Fujitsu и Motorola. Вторая группа — White hats (белые шляпы). Эти помогают компаниям защититься от разрушительной деятельности своих «коллег в черных шляпах». Названия этих двух групп происходят от вестернов, когда опознавательный знак злодея — черная шляпа, а хорошего героя — белая.

 

Ну а представители третьей группы — Grey hats (серые шляпы) — особенно неприятны компаниям. Эти хакеры используют разные способы атак, которые могут подвергнуть компанию риску потери активов, а также подмочить ее репутацию, поскольку открывают бреши в системе безопасности.

 

Grey hats тайно проникают в корпоративные компьютерные системы, чтобы найти уязвимости в системе безопасности. Затем они решают, уведомить ли компанию и помалкивать, пока ее служба безопасности «залатает» брешь, либо сконфузить компанию, открыто заявив о проблеме.

 

Дебаты между этими тремя группами о том, какой курс поведения правильнее, никогда не приводили к какому-то внятному итогу. Тем не менее, они продолжились на хакерской конференции Defcon 18 в Лас-Вегасе.

 

Для компаний же лучшая стратегия для выявления недостатков программного обеспечения тоже не определена. Facebook поощряет попытки своих сотрудников взломать сайт компании. Некоторые приглашают сторонних хакеров для взлома системы. К примеру, Mint.com — сайт о личных финансах, принадлежащий Intuit, — раз в квартал привлекает хакеров для проверки безопасности своих систем.

 

Другие же надеются, что хакеры их не тронут, чем, вероятно, в какой-то степени руководствовался мобильный оператор AT&T. Из-за бреши в его системе безопасности хакерам удалось раздобыть около 114 тысяч электронных адресов и мобильных телефонов первых покупателей планшетника iPad 3G, в том числе политиков, военных, руководителей различных компаний, а также известных журналистов.

 

«Многие компании считают, что будет лучше, если хакеры станут действовать открыто», — говорит в интервью газете The New York Times глава оперативной группы службы безопасности антивирусной компании Symantec Дин Тернер (Dean Turner). Он отмечает, что многие компании предпочитают вытаскивать хакеров с темной стороны, фиксируя проблемы и предоставляя им кредит доверия.

 

На сайтах Salesforce, Facebook, PayPal и Microsoft, например, есть сообщения о поощрении тех, кто ищет уязвимости в системе безопасности. Если хакеры придерживаются ряда правил, компании обязуются не предпринимать никаких юридических действий. Она обещает сотрудничать с хакерами для решения найденной проблемы.

 

Директор оперативной группы службы безопасности Microsoft Майк Риве (Mike Reavey) говорит, что компания хочет, чтобы хакеры сообщали о недостатках систем без всяких опасений, что у них за это возникнут какие-либо неприятности. «Мы очень серьезно относимся к безопасности, наша цель в том, чтобы в первую очередь обезопасить потребителей наших продуктов. Мы хорошо понимаем, что в одиночку не справимся с этой задачей, поэтому и готовы сотрудничать», — говорит Риве.

 

Известный хакер-«белошляпник» Дино А. Даи Зови (Dino A. Dai Zovi) рассказал, что ему нравится работать с компаниями. «Находя новые бреши, я не только защищаю людей, которые используют эту систему, но и испытываю волнение и трепет, потому что нахожу что-то новое, о чем никто не знает».

 

Разумеется, он замотивирован и денежной компенсацией, которую получают охотники за брешами. Дино Даи Зови стал первым хакером, взломавшим ноутбук Mac во время первого состязания Pwn2Own. В ходе этого хакерского соревнования предлагалось взломать полностью пропатченные ноутбуки — обычные версии, продающиеся в розницу. Дино Даи Зови удалось это сделать через уязвимость в браузере Safari. В качестве приза он получил 10 тысяч долларов.

 

А компания Mozilla, создатель браузера Firefox, и компания Google на прошлой неделе заявили, что будут платить тем, кто найдет бреши в их системах.

 

Хакеры из Grey hats любят греться в лучах признания, но в основном — стремятся зарабатывать на своих подвигах. Один из таких серошляпников, работающий под псевдонимом Grugq, рассказал в интервью The New York Times, что предпочитает не сообщать компаниям о брешах в их системах безопасности. « Если я расскажу Microsoft о ее бреши, то получу разве что «золотую зведочку», — шутит Grugq.

 

Хакеры могут продать или обменять информацию о выявленных ими ошибках в системах безопасности. Такая информация, по словам собеседника газеты, может доходить в цене до 75 тысяч долларов.

 

Раньше главным продуктом купли-продажи среди хакеров были номера кредитных карт. Теперь, по словам организатора хакерских конференций Джеффа Мосса (Jeff Moss), «серошляпников» больше соблазняет возможность получить доступ к системе, поскольку значение дыр в системах безопасности возросло в разы. «Стоимость уязвимостей систем компаний неуклонно растет. Ценность электронных адресов гораздо выше, чем это было 10 лет назад, и спрос на свежие уязвимости постоянно возрастает», — говорит Мосс.

 

Некоторые компании стараются сделать так, чтобы Grey hats примкнули к «белошляпникам». Но другие, включая AT&T, продолжают попытки различить тех хакеров, что ищут уязвимости, чтобы сообщить о них компании, с «серошляпниками» с мутными мотивами. Поэтому вместо того, чтобы пытаться работать с ними, компании нападает на них.

 

Впрочем, как считает соучредитель H4rdw4re Крис Паджет (Chris Paget): «AT&T просто не привыкла иметь дело с такого рода ситуациями. Многие компании не знают как себя вести». Джефф Мосс говорит, что привлечение компанией ФБР в дело с iPad 3G заставило многих хакеров пересмотреть свое отношение к раскрытию компаниям информации об уязвимостях в их системах.

 

Угроза судебного преследования — не единственная причина, почему в хакерском сообществе пошли волнения. «Белошляпникам» надоело просто так отдавать информацию, они хотят, чтобы их работа тоже оплачивалась.

 

Источник   BFM.RU