Коллектив Авторов - Цифровой журнал «Компьютерра» № 219

Название:

Цифровой журнал «Компьютерра» № 219

Автор:

Коллектив Авторов

Издательство:

неизвестно

Жанр:

Прочая околокомпьтерная литература

Год:

неизвестен

ISBN:

нет данных

Скачать:

99Пожалуйста дождитесь своей очереди, идёт подготовка вашей ссылки для скачивания...

Скачивание начинается... Если скачивание не началось автоматически, пожалуйста нажмите на эту ссылку.

Вы автор?
Жалоба

Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.

Как получить книгу?

Оплатили, но не знаете что делать дальше? Инструкция.

Описание книги "Цифровой журнал «Компьютерра» № 219"

Описание и краткое содержание "Цифровой журнал «Компьютерра» № 219" читать бесплатно онлайн.

Однако пусть американцы сами разбираются со своим правосудием. Нам важнее выводы, которые можно сделать из той и другой истории. Так вот, во-первых, очевидно, что построить фальшивую соту возможно, и не так уж дорого. Во-вторых, её можно применять для ударов по всем «болевым точкам» электронно-социальной активности — от слежки и прослушки до социальной инженерии и прямых атак (перехват, подмена, DoS). В-третьих, даже в демократических странах на использование её правоохранительными органами отчего-то не требуется санкция суда. Наконец, в-четвёртых, такие устройства эксплуатируются активно и широко.

Какая роль в этой драме отведена нам? Было бы наивным полагать, что российские мошенники и правоохранительные органы не пользуются фальшивыми базовыми станциями. И если с вниманием полиции и спецслужб остаётся только молча примириться, то доступ мошенников к стингреям требует усилить бдительность. По крайней мере не стоит слишком полагаться на мобильную связь. Исходите из того, что пароли и любая ценная информация, пересылаемая посредством СМС, может быть перехвачена и прочитана посторонними. Равно и любая эсэмэска — даже с обратным адресом, заслуживающим доверия, — может оказаться поддельной, поступившей вовсе не от вашего банка, сотового оператора или коллеги. Бдите — и воздастся.

В статье использована иллюстрация Tiberiu Ana.

К оглавлению

Опубликовано 31 марта 2014

В последние годы двумерные (матричные) QR-коды (от английского Quick Response, то есть «быстрый отклик») получили самое широкое распространение: их нередко используют в рекламе, в различных вывесках и музейных табличках, на плакатах и в журналах. Это произошло в значительной степени благодаря популярности смартфонов и планшетов, способных после установки небольшого приложения безошибочно распознавать такие коды. Чаще всего в QR-кодах зашифрованы ссылки на страницы в интернете, сведения о сети Wi-Fi, СМС с номером и сообщением, текст или географические координаты объекта, но теоретически в них могут скрываться какие угодно данные.

Однако популярность любой технологии, особенно значительно упрощающей какие-то не слишком удобные действия, неизбежно вызывает повышенный интерес злоумышленников, пытающихся использовать её для извлечения незаконной выгоды. И QR-коды не стали исключением из правила, хотя на первый взгляд совершенно непонятно, как их можно использовать, к примеру, для кражи личной информации или денежных средств.

По уже весьма устаревшим какой-либоданным ComScore за июнь 2011 года, только за один тот месяц в США более 14 миллионов человек старше 13 лет просканировали QR-код своим мобильным телефоном: около 39% сделали это в магазинах, примерно 20% — на работе, а приблизительно 58% — у себя дома. И это данные, касающиеся исключительно территории США!  

Большая часть из тех, кто воспользовался QR-кодами, — мужчины (60,5%), более половины любителей инноваций (53,4%) приходится на возраст от 18 до 34 лет, около трети (36%) — от 25 до 34, при этом годовой доход семей 36,1% пользователей (более чем одного из трёх) превышал $100 000! Молодые состоятельные мужчины — лакомый кусочек для любых мошенников.

Между тем приёмы взломщиков применительно к QR-кодам остаются теми же самыми, что используются при взломе любых других электронных систем: это, как всегда, сочетание чисто технических средств с элементами социального инжиниринга. Цели тоже остаются неизменными: похищение cookies и личных данных, фишинг, взлом виртуальных магазинов и даже Google Glass.

Чтобы приобрести что-нибудь в интернет-магазине, какие-токакой-товиртуальном магазине либо через рекламу на улице, в журнале или в интернете с помощью QR-кода, нужно просто просканировать этот код камерой смартфона или планшета, после чего вы будете перенаправлены на веб-страницу с дополнительной информацией о товаре и способах оплаты и доставки. При этом вы отправляете в интернет ваши личные данные, в том числе и реквизиты оплаты для карточной или другой платёжной системы.

Вот самая элементарная схема мошенничества с QR-кодами, расположенными в публичных местах. Возьмём для примера виртуальные магазины, которые представляют собой просто большие стенды с фотографиями товаров, их ценами и соответствующими QR-кодами. Обычно в таких магазинах есть три варианты доставки после оплаты: скачивание (для музыки, видео или программного обеспечения), распечатка (для билетов или флаерсов) или собственно доставка (для каких-то физических предметов).

Чтобы перехватить личные данные и, если повезёт, одновременно и денежные средства жертвы, достаточно просто подменить QR-код, который отправлял бы на сфальсифицированную страницу и заставлял покупателя перечислить деньги на подставной счёт. Программ для генерирования такого кода существует множество, в том числе и совершенно бесплатных. В результате злоумышленник может получить практически полный пакет данных: имя и адрес покупателя и номер его платёжной карты.

Более затратный, но, возможно, ещё более эффективный способ мошенничества — это печать и распространение рекламных буклетов, каталогов и прочего маркетингового хлама, распространяемого по почтовым ящикам и просто в разных общественных местах. При этом злоумышленнику даже не обязательно маскироваться под какой-то известный магазин или торговую сеть: достаточно предложить какие-нибудь сногсшибательные «акции и скидки», и этот примитивнейший приём социальной инженерии сделает своё дело. В остальном же результат всё тот же: вы дарите мошенникам не только деньги, но и номер кредитки и свой адрес.

Для хищения личных данных, используемых вами в интернете, применяется ещё один способ — кража файлов cookies браузера, в которых хранится самая разнообразная информация о посещённых вами сайтах, включая настройки и данные о сессии, позволяющие не авторизоваться всякий раз при заходе на ресурс. Для этого достаточно просканировать подложный QR-код: он переправит вас на фейковую страницу, которая не будет выглядеть особенно подозрительной и не сделает ничего заметного, а лишь похитит файлы cookies. И если «большие» антивирусы сегодня почти в обязательном порядке проверяют соответствие реального URL тому, что демонстрируется пользователю, упрощённые версии для смартфонов и планшетов могут пропустить подобную подмену.

Перехватив вашу сессию, например, в интернет-магазине, злоумышленник сможет добраться не только до личных данных, но и до сведений о платёжной карте. При этом он, скорее всего, не будет заказывать что-то именно в этом магазине, а воспользуется полученными сведениями для фабрикации карты-двойника или для добывания какой-то более подробной информации о жертве.

Хорошо известен также случай, когда по QR-коду на смартфоны под управлением Android вместо интернет-мессенджера загружался СМС-троян Jimm, рассылавший платные эсэмэски с аппарата жертвы.

Всё это довольно простые и незатейливые способы, но среди взломщиков существуют и настоящие «художники», заставляющие насладиться красотой и элегантностью не только процесса, но даже самой идеи проникновения в систему. В мае 2013 года появилась информация о том, что специалистам компании по сетевой безопасности Lookout Mobile удалось взломать очки-компьютер Google Glass при помощи QR-кода, а точнее, с помощью так называемых фотобомб, «взрывающихся» при фиксировании очками QR-кодов. Дело в том, что это устройство способно автоматически сканировать любую картинку с целью распознавания объектов, которые могут представлять интерес для владельца. 

По уверениям Google, сейчас эта уязвимость устранена, но изначально в QR-кодах, которые используются для настройки очков, можно было зашифровать любые команды, в том числе и позволяющие получить полный удалённый доступ к устройству, незаметный для владельца. Кроме того, ранее можно было «заставить» очки подключиться ко взломанной точке доступа Wi-Fi или устройству с Bluetooth и перехватывать любую информацию, передаваемую как от очков, так и к очкам, — то есть, грубо говоря, можно было показать владельцу сфабрикованную картинку. Сейчас возможность автоматического подключения к Wi-Fi заблокирована, и очки Google Glass реагируют на QR-коды лишь в строго определённых режимах.

Как видим, собственно QR-коды не слишком подвержены взлому, поскольку в их спецификации изначально заложена система исправления ошибок на основе кода Рида — Соломона с четырьмя уровнями избыточности от 7 до 30%, что позволяет, например, считывать даже повреждённый код, код с нанесённым изображением или использовать для этого смартфон с грязным либо поцарапанным объективом.