книги хакеры / Как_защитить_себя_в_цифровом_мире_

своего любимого YouTube-канала. Данная уязвимость существует примерно в 20 моделях принтеров [657].

Загрузка с постороннего накопителя

Злоумышленник может загрузить компьютер со своего накопителя (CD- , DVDили USB-диска), избежать тем самым ввода пароля и получить доступ к файловой системе. Такой способ применим, если на компьютере не установлен пароль BIOS (или UEFI) и злоумышленник может изменить порядок загрузки подключенных устройств, сделав свой диск с загрузочной системой приоритетным (либо если в BIOS приоритетным загрузочным устройством изначально был выбран оптический диск или USB-накопитель).

Чтобы сделать невозможным такой способ доступа к содержимому памяти компьютера, можно установить пароль BIOS, запрашиваемый на этапе загрузки компьютера. В этом случае злоумышленник не сможет изменить порядок загрузки устройств и загрузить его со своего накопителя. У этого способа есть один существенный недостаток. Если корпус компьютера не защищен от вскрытия, злоумышленник может сбросить пароли BIOS, переключив соответствующую перемычку на материнской плате или вынув элемент питания [[87]]. Кроме того, если даже злоумышленник не сможет получить доступ к материнской плате, он может попытаться использовать так называемые сервисные (инженерные) неизменяемые пароли, вшитые в BIOS (обычно на старых компьютерах), с помощью которых можно сбросить пароли, установленные пользователем [658]. В ряде случаев пароль BIOS можно сбросить с помощью специального кода, который генерируется после нескольких попыток ввода неправильного пароля. Данный код необходимо ввести на сайте типа https://bios-pw.org либо сообщить его разработчикам материнской платы, чтобы получить код для сброса пароля BIOS [659]. В других случаях преступник может загрузить среду DOS для сброса пароля с помощью специальных команд [660].

Для дополнительной защиты от несанкционированного доступа могут использоваться аппаратные модули доверенной загрузки, например ViPNet SafeBoot [661]. Такие неизвлекаемые устройства блокируют доступ к операционной системе при нарушении целостности компонентов компьютера и отсутствии корректной двухфакторной аутентификации.

Кража устройств

Шифровать особо важные данные — пароли, переписку, банковские реквизиты и т.п. — как минимум в отдельном криптоконтейнере либо полностью шифровать диск.

был записан удаляемый файл. На момент написания этой книги единственный стопроцентно надежный способ удаления критически важных данных с накопителей такого типа — физическое уничтожение последних [670].

Общедоступные устройства

Утечка персональных данных через публичные компьютеры чаще происходит по вине пользователей, не знающих или не соблюдающих правила цифровой гигиены. Мало-мальски знакомый с основами ИБ человек либо по мере возможности постарается предотвратить утечку, либо вовсе не станет пользоваться общедоступным компьютером. Такие устройства установлены в отделениях федеральной миграционной службы, многофункциональных центрах и т.д., чтобы любой посетитель такой организации мог ими воспользоваться.

При необходимости работы на публичных компьютерах важно помнить об опасности утечки данных. Например, компьютер может быть заражен вредоносным программным обеспечением, способным перехватывать данные, вводимые в поля формы. Если устройство оборудовано системами ввода/вывода изображений, злоумышленники могут похитить отсканированные копии документов, причем даже удаленно, если брандмауэр и прочие инструменты сетевой защиты настроены неправильно или вовсе отсутствуют. Кроме того, электронные копии отсканированных документов могут сохраняться в памяти компьютера или периферийного устройства. Оборудованные камерой устройства могут фиксировать лицо пользователя и синхронизировать его фото с вводимыми им данными (например, паспортными); а вредоносное программное обеспечение может перехватить их и составить цифровой портрет пользователя, содержащий помимо текстовых сведений и снимок их владельца. Браузер при соответствующих настройках способен запомнить все вводимые данные, адреса и содержимое посещенных страниц и даже может автоматически аутентифицировать постороннего пользователя в вашем аккаунте без запроса пароля (см. предыдущую главу).

Если необходимо использовать публичный компьютер, то единственный гарантированный метод избежать утечки — не вводить персональные данные. Если же без этого не обойтись, то при использовании браузера следует применять приватный режим, особенно при посещении страниц, требующих ввода аутентификационных данных. В случае недоступности приватного режима после сеанса работы необходимо очистить кеш и удалить историю посещения

флажок типа «запомнить меня» или «сохранить сеанс», а также за тем, чтобы функция автозаполнения не сохранила введенные данные. После завершения работы нужно принудительно завершить аутентифицированный сеанс на сайте с помощью команды выхода. Это обязательно нужно сделать перед закрытием вкладки/окна, где была открыта страница сайта.

КЕЙС Злоумышленникам удалось завладеть квартирой одного из жителей Москвы, получив доступ к электронным копиям его документов, в том числе и через сервис «Госуслуги», а также к электронной подписи пострадавшего, которую тот, по его собственным словам, не оформлял. Вероятнее всего, преступление планировалось целенаправленно. Такие важные сервисы, как «Госуслуги», необходимо защищать как минимум надежным паролем и многофакторной аутентификацией [671], [672].

Учитывая риск перехвата символов, вводимых с клавиатуры, следует свести к минимуму ввод персональных данных. На компьютере с общим доступом следует вводить только обязательные для аутентификации данные. Не стоит заполнять на нем рекомендованный, но необязательный профиль, лучше сделать это на доверенном (собственном) компьютере. В ряде случаев может помочь специальная виртуальная клавиатура (она может работать как отдельная программа или как часть антивирусного пакета), но на компьютерах с общим доступом она встречается редко.

В общем, на таких компьютерах следует работать осторожно, вводя минимальный набор персональных данных и по окончании работы удаляя все следы своего присутствия.

Взлом и кража данных удаленно

В настоящее время непосредственный взлом пользовательских (некорпоративных) компьютеров происходит нечасто — только в случаях редких целенаправленных атак, для проведения которых злоумышленникам приходится изучать каждую систему и искать индивидуальные методы проникновения. Ранее такие атаки удавались даже скрипт-кидди, неспособным не то что написать собственные скрипты, но даже не понимающим суть работы краденых хакерских инструментов. По мере развития программного обеспечения, в том числе связанного с ИБ, простые лазейки закрывались, уязвимые порты блокировались, а на защиту пользователя вставали умные брандмауэры и антивирусные программы, обученные в числе прочего эвристическим алгоритмам, т.е. способностью обнаруживать неизвестные ранее

характеризуется широким охватом. Вредоносное программное обеспечение стремится проникнуть на каждый сетевой компьютер в автоматическом режиме, используя известные уязвимости систем и в случае успеха пересылая украденные данные на серверы разработчиков вредоноса (либо на серверы хакеров рангом ниже). Если использовать своевременно обновленное (up-to-day) программное обеспечение, антивирусные утилиты и инструменты защиты от сетевых атак, защищать сетевые устройства (см. главу 8) и, самое главное, соблюдать правила цифровой гигиены (распознавая фишинг и т.п.), то риск взлома компьютера обычного пользователя минимален. В первую очередь хакерам интересны данные, которые можно монетизировать, например базы данных или записи с камер. Но и устаревшие и не защищенные должным образом обычные компьютеры могут быть взломаны и использованы, к примеру, в ботнет-сетях для DDoS-атак или для майнинга кибервалюты.

Взлом камеры и микрофона

Помимо прочего, хакеры пытаются получить доступ к камерам частных лиц и организаций. Корпоративные камеры интересны злоумышленникам прежде всего из-за возможности выведать коммерческую информацию, которая может быть использована как инсайд и продана конкурентам, либо для получения сведений, способных помочь в дальнейшем взломе корпоративной сети (паролей, логинов и т.п., которые беспечные клерки записывают или распечатывают на листках бумаги, а затем прикрепляют на стену или на монитор). Камеры в домах, гостиницах, публичных домах и т.д. хакеры взламывают в поисках контента, который может кого-либо скомпрометировать. Доступ к таким камерам и видеозаписи с них продаются в интернете: в тематических сообществах социальных сетей и т.п. [673]

КЕЙС В 2016 г. на сайте имиджборда «Двач» (https://2ch.hk) появились треды с прямыми трансляциями с видеокамер пользователей интернета, устройства которых взломали (в том числе путем распространения среди жертв вредоносного программного обеспечения, встроенного в пиратскую версию программы MediaGet, и с помощью специальных программ перебора паролей). Кроме того, хакеры смогли управлять компьютерами жертв, включая музыку, открывая различные страницы в браузере и т.п., и наблюдали за реакцией людей. Пострадали не только частные лица, но также владельцы различных учреждений, в том числе и тольяттинского борделя: трансляция с тамошней камеры

человек одновременно [674]. Большинство пользователей никак не реагировали на атаки, другие запускали антивирус, который блокировал доступ злоумышленников к компьютерам, но позднее хакерам удалось заблокировать запуск антивирусных программ [675].

Отдельные IP-камеры мы обсудим в главе об IoT-устройствах, а сейчас рассмотрим веб-камеры, встраиваемые в ноутбуки, планшеты, а также подключаемые к настольным и прочим компьютерам через USB- и другие интерфейсы. Важно отметить, что для доступа к веб-камере злоумышленнику изначально необходимо получить доступ к самому компьютеру. Это делается с помощью утилит удаленного администрирования типа TeamViewer, RMS, LuminosityLink, Radmin,

которые устанавливаются на устройстве самой жертвой в результате фишинговой атаки либо с помощью обнаруженной уязвимости. Чтобы сделать утилиту администрирования незаметной, ее скрытый установщик вшивается в другую программу, предлагаемую пользователям. В вышеописанном случае жертвы взлома камер устанавливали на свои компьютеры популярный менеджер загрузки MediaGet, точнее, его модифицированную версию, попутно инсталлирующую инструментарий, необходимый взломщикам для удаленного управления компьютером жертвы.

Хотя подавляющее большинство веб-камер оборудовано светодиодом, сигнализирующем о ее включении, на некоторых компьютерах, в том числе и MacBook, хакер может отключить его для скрытого видеонаблюдения. Действительно надежный способ предотвращения «подглядывания» через веб-камеру — физическое отключение устройства от компьютера, но такая возможность доступна только владельцам отдельных камер. Владельцы ноутбуков, планшетных компьютеров и мониторов со встроенными веб-камерами могут отключить камеру в диспетчере устройств либо контролировать приложения, у которых есть доступ к камере, с помощью системных настроек и/или защитного программного обеспечения, такого как антивирусные программы. Пользователи все чаще заклеивают вебкамеры или закрывают их специальными шторками, чтобы избавиться от слежки. Но прослушивание через встроенный микрофон предотвратить трудно. Как и веб-камера, микрофон обычно встроен в ноутбук и управляется отдельно от самой камеры. (В стационарных компьютерах и мониторах, не оборудованных встроенными вебкамерами, микрофонов нет.) Антивирусное программное обеспечение блокирует несанкционированный доступ к камерам некоторых производителей (но не всех), однако никак не мешает злоумышленнику включить микрофон.

к этой главе, «паранойей преследования» страдает и глава Facebook Марк Цукерберг. На некоторых видеороликах и фотографиях, демонстрирующих его рабочее место, видно, что на ноутбуке Цукерберга заклеены микрофон и веб-камера [676].

Кроме того, веб-сервисы, поддерживающие общение посредством вебкамер, могут содержать скрипты, запускающие фоновое окно с разрешениями на доступ к микрофону. Даже если пользователь закрывает основное окно веб-сервиса, то фоновое остается запущенным, позволяя собеседнику или злоумышленнику продолжать слышать происходящее около компьютера жертвы [677].

Дополнительно следует отметить, что пассивные [[90]] динамики (в том числе и наушники) могут работать и в обратном направлении, т.е. выполнять роль микрофона. Это может происходить, если колонки/наушники подключены к микрофонному разъему либо если звуковой чип предусматривает программное переназначение разъемов и аудиовыход превращается в аудиовход. В таком случае динамики или наушники позволяют фиксировать звуки на расстоянии до нескольких метров, а дополнительное вредоносное программное обеспечение может передавать записи на удаленный сервер [678].

Взлом устройств ввода

Злоумышленники могут перехватывать данные, вводимые с беспроводной клавиатуры, а также дистанционно (с расстояния до 1 км) управлять беспроводными клавиатурами и мышами, набирая текст и щелкая по различным кнопкам и ссылкам. Таким образом злоумышленники крадут данные или загружают на устройство вредоносный код и с целью фишинга открывают в браузере поддельные страницы. Данные, передаваемые с клавиатуры, часто шифруются (не во всех моделях), а с компьютерных мышей — нет, и злоумышленник с помощью последних может эмулировать ввод с клавиатуры. Кроме того, ряд трансиверов (маленьких устройств, подключаемых к USBпорту для работы клавиатуры/мыши) поддерживают подключение нескольких устройств одновременно, поэтому хакер может подключить собственное устройство.

В ходе такой атаки злоумышленник может перехватывать любые вводимые пользователем данные, даже когда они зашифрованы (если преступнику известны криптографические алгоритмы, используемые во взламываемой модели). Передавая свои команды, злоумышленник может скопировать и передать на удаленный сервер пользовательские данные, удалить их с компьютера и т.п.

объектах или в системе безопасности предприятия, даже просто вывод клавиатуры/мыши из строя может привести к катастрофическому ущербу [679].

Взлом изолированных систем

В некоторых случаях, охотясь за особенно ценной информацией, хранящейся на компьютерах, хакеры пытаются получить доступ и к системам, изолированным от интернета, подключенным к интранетсетям или вовсе не имеющим сетевого подключения. При этом злоумышленник может похитить данные и без проникновения в охраняемый периметр и физического доступа к машине с ценной информацией. Известны способы извлечения данных с таких компьютеров с помощью других девайсов, например смартфонов, используемых в том же помещении. Для атаки необходимо связать компьютер и смартфон с помощью вредоносных приложений, одно из которых (на компьютере) будет передавать данные, а другое (на мобильном устройстве) — принимать. Основная трудность такой атаки заключается в инфицировании обоих устройств: не только смартфона, выносимого за пределы охраняемой территории, но и компьютера, непрерывно находящегося в защищенном периметре.

Специалисты по ИБ из Исследовательского центра кибербезопасности Университета имени Бен-Гуриона в Негеве (Израиль) представили несколько разработок, позволяющих извлекать данные из изолированных систем.

Одна из них — приложение GSMem, результаты работы которого записываются по определенным адресам в оперативной памяти, а затем передаются в виде электромагнитных сигналов на приемник, которым может служить простейший мобильный телефон, в том числе не подключенный к сотовой сети/интернету. Таким образом можно извлечь короткие фрагменты данных, например пароли и ключи шифрования [680].

В другом случае в качестве передающей стороны может использоваться HDD зараженного компьютера. Разработанное исследователями вредоносное приложение DiskFiltration манипулирует позиционером диска, заставляя его двигаться определенным образом и издавать звуки в определенном порядке, передавая бинарные данные, которые фиксируются устройством, способным записывать звук, например смартфоном или «умными» часами [681].

Приложение Fansmitter позволяет передавать данные посредством звуков, издаваемых компонентами компьютера, только в данном случае

видеокарте или в корпусе. Если предыдущая атака — DiskFiltration невозможна на компьютерах, не оборудованных HDD (по причине использования, к примеру, SSD-накопителей), то кулеры, по крайней мере для охлаждения процессора, устанавливаются почти во все компьютеры. Изменяя скорость вращения вентилятора, приложение Fansmitter позволяет передавать данные в виде единиц и нулей с целью кражи паролей и прочей важной информации с изолированных машин

[682].

Другая разработка исследователей из Университета имени БенГуриона называется AirHopper и предназначена для передачи и регистрации данных, например, о нажатии клавиш на компьютере с помощью электромагнитного излучения видеокарты, установленной в инфицированной машине [683].

Еще одна разработка связана со светодиодами, используемыми как индикаторы работы жестких дисков в стационарных компьютерах и ноутбуках. С помощью приложения LED-it-GO инфицированный компьютер может передавать данные, включая и выключая индикатор жесткого диска в определенной последовательности (светится — единица, погас — ноль). Регистрация световых сигналов производится с помощью любой камеры, например установленной на квадрокоптере, парящем рядом с офисным зданием и «подсматривающем» в окно [684]. Аналогичным образом могут использоваться светодиоды и других устройств: клавиатур [685], мониторов и сетевого оборудования (например, в изолированной интранет-сети) и т.д. [686]

Если к целевому компьютеру подключены наушники, то их также можно использовать для кражи данных. В частности, с помощью наушников можно записывать окружающие звуки даже на компьютерах, не оборудованных микрофонами, если превратить выход звуковой карты во вход с помощью специального приложения, такого как Speake(a)r. В ходе атаки наушники превращаются в микрофон, так как имеют похожую конструкцию, и позволяют улавливать колебания воздуха, генерируемые источниками звука в радиусе до 6 м [687].

Также исследователи разработали атаки под названием MOSQUITO: локальные файлы на инфицированной машине преобразуются в аудиосигналы, которые через колонки или наушники передаются на приемник на едва слышимых или даже ультразвуковых частотах [688].

Ведя атаку aIR-Jumper, злоумышленник может инфицировать изолированный компьютер, в числе прочего имеющий доступ к камерам видеонаблюдения, или интранет-сеть. Собранную информацию вредоносная программа может передавать через использующиеся в наружных видеокамерах для ночной съемки инфракрасные светодиоды