25.4 C
Узбекистан
Суббота, 8 августа, 2020

Бесплатный кофе, шпионское такси и уязвимости в аэропорту

Топ статей за 7 дней

Стало известно, отчего больше всего умирают граждане Узбекистана

За первое полугодие 2020 года население Узбекистана увеличилось на 286,5 тыс человек или 0,84 процента и достигло...

Очередной жестокий самосуд над молодой женщиной устроили в Хорезме

Пресс-служба Следственного департамента при МВД прокомментировала видео, распространившееся в Telegram, на котором запечатлен самосуд над молодой женщиной....

В Ташкенте в экспериментальном порядке будет внедрена система «Добросовестный налогоплательщик»

27 июля Шавкат Мирзиёев провел совещание, посвященное обсуждению проводимой работы по сокращению теневой экономики.

Подпишитесь на нас

51,570участниковМне нравится
22,003участниковЧитать
2,140участниковПодписаться
Бесплатный кофе, шпионское такси и уязвимости в аэропорту

На главные страницы новостных сайтов обычно попадают «красивые» компьютерные ошибки и сложные уязвимости, благодаря которым случаются масштабные инциденты вроде прошлогодних атак WannaCry и NotPetya. Но специалисты знают: чаще всего залезть в систему и причинить вполне заметный ущерб хакерам позволяют «детские» ошибки, допущенные разработчиками системы — или теми, кто ее настраивал и устанавливал.

Неправильно настроенные системы буквально окружают нас, мы встречаем их повсеместно и ежедневно. Всего несколько часов отделяет первый взгляд хакера на такую систему от ее полной капитуляции перед человеческим интеллектом. Целый букет примеров, подтверждающих это, привел израильский исследователь Инбар Раз в своем докладе на Security Analyst Summit 2018.

Кофе бесплатно.

Многие «кофейные» карты лояльности устроены следующим образом: клиент кафе получает карту, пополняет ее на некоторую сумму, а затем расплачивается в кофейнях уже этой картой, а не живыми деньгами, получая какие-то бонусы за частоту визитов или крупные покупки. Баланс карты можно проверить на веб-сайте, введя ее номер.

Получив подобную карту, Инбар Раз обратил внимание, что на сайте можно проверять карты с любыми номерами, причем делать это неограниченное количество раз. С помощью крошечной программы, которую можно написать буквально за полчаса, он перебрал множество номеров карт и идентифицировал те, на которых реально были деньги.

Прочитав магнитную полосу своей карты при помощи дешевого USB-считывателя, он обнаружил, что на карте в открытом виде записан ее номер в сочетании с легко вычислимым контрольным разрядом. Поэтому записать на карту другой номер и пользоваться чужим балансом будет элементарно просто.

Проведя этичный тест — купив еще одну карту, пополнив ее и записав ее номер на первую, — Раз убедился, что трюк работает и на практике.

У сотрудников кафе есть техническая возможность заметить подлог: для этого надо сравнить номер, нанесенный на карту, с тем, что печатается на чеке. Но, разумеется, на практике никто не станет их сличать. Так что злоумышленник мог бы никогда больше не платить за свой кофе — и вряд ли кто-то поймал бы его за руку.

Слежка в стиле #СПАМ.

В свое время сервис #СПАМ оказался в эпицентре скандала, когда некоторых его сотрудников обвинили в злоупотреблении функциями мобильного приложения для слежки за конкретными пассажирами.

Оказывается, для подобной слежки в некоторых других такси-сервисах не потребуется даже наниматься к ним на работу. Инбар Раз обнаружил, что после того, как заказ такси сделан через веб-форму, его состояние можно отслеживать по контактному номеру телефона, причем защиты от перебора номеров — как и в случае с кофейными картами — не предусмотрено.

Еще одно простенькое приложение для перебора номеров — и в распоряжении хакера оказывается симпатичная карта, на которой точками отмечены адреса всех недавних заказов такси.

Бесплатный кофе, шпионское такси и уязвимости в аэропорту

Аэропортовый (не)досмотр.

Привычный всем бесплатный Wi-Fi тоже порой таит сюрпризы. В бизнес-зале небольшого восточноевропейского аэропорта Инбар Раз решил проверить настройки местной точки доступа.

Настройки роутера открылись по стандартному веб-адресу, причем пароль администратора был пустым, то есть не требовался.

Изучив настройки, Раз понял: это не просто гостевая точка доступа, а главный коммутатор аэропорта. К нему подключены в том числе важные диспетчерские системы и системы безопасности.

Отключить их от сети мог любой посетитель с компьютером или даже смартфоном.

Бесплатный кофе, шпионское такси и уязвимости в аэропорту

Главные выводы из этих историй, конечно, должны делать программисты и системные администраторы. Не стоит надеяться, что вашим маленьким кафе (аэропортом, службой такси) никогда не заинтересуются хакеры. Стандартные настройки, простые пароли «admin» или «12345», отсутствие «капчи» или другой защиты от автоматизированных атак — самые часто встречающиеся враги безопасности, а также самые простые цели для взломщика.

Даже хакер очень низкой квалификации сможет ими воспользоваться. И мало кто будет, как Инбар Раз, разглашать вам эти ошибки по всем правилам, вместо того чтобы пользоваться ими для своей выгоды.

Эксперт Кибербезопасности

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь

Последние новости

Таксист из Термеза прокатил на капоте инспектора ДПС и столкнулся с машиной «скорой помощи» (видео)

37-летний таксист устроил аварию в Термезе, пытаясь скрыться от сотрудников дорожно-патрульной службы. 7 августа...

Нет никакой второй волны: доктор Мясников высказался относительно ситуации с пандемией коронавируса

Главный врач Московской городской клинической больницы № 71 Александр Мясников на своей facebook-странице обратил внимание на то, как СМИ активно муссируя тему коронавирусной пандемии,...

Брат 18-летней девушки убил односельчанина из-за SMS

В Самаркандской области 34-летний Ш.Й. убил своего односельчанина. Причиной стали SMS-сообщения, которые мужчина отправлял его сестре. Ссора со смертельным...

Скончался известный композитор и дирижер ГАБТ им. А. Навои Анвар Эргашев

8 августа 2020 г. на 67 году жизни безвременно скончался Эргашев Анвар Юлдашевич, известный узбекский композитор, Заслуженный деятель искусств Узбекистана, дирижёр ГАБТ...

Загрузили не ту запись: в МДО прокомментировали видеоролик с разгневавшимся воспитателем

В МДО прокомментировали распространившуюся в Сети видеозапись, на которой воспитатель ругает собственных детей, которые помешали ей провести запись видеоурока.

Больше похожих статей