MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 649,538 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Все новости о платежных криптовалютах, таких как BitCoin, Ethereum, LiteCoin, Ripple и прочих подобных p2p валютах
Первый пост Опции темы
Старый 16.03.2015, 12:40
#1
Топ Мастер
 
Имя: Владимир
Пол: Мужской
Адрес: Kazakhstan
Инвестирую в: Фондовый рынок
Регистрация: 24.12.2009
Сообщений: 23,289
Благодарностей: 9,229

награды Ветеран MMGP.RU 
Анатомия взлома: детальный анализ ночного цифрового грабежа


Ранним утром, 21 октября 2014 года, Партап Дейвис (Partap Davis) потерял 3 000 долларов. Он отправился спать около 2-х часов ночи у себя дома в Альбукерке, Нью Мехико, после длинной сессии игры в «Мир Танков». Пока он спал, хакер обошел всю онлайн систему безопасности, кропотливо созданную Дейвисом. Когда тот проснулся утром, почти вся его «онлайн жизнь» была скомпрометирована: 2 почтовых аккаунта, его телефон, его Твиттер, его двухфакторный аутентификатор, и, что самое важное, его Биткойн кошельки.

Анатомия взлома: детальный анализ ночного цифрового грабежа
Когда дело доходит до цифровой безопасности, Дейвис всегда внимателен. Он выбирал сложные пароли и не нажимал на скам-ссылки. Он использовал двухфакторную аутентификацию на Gmail, так что если приходилось заходить с чужого компьютера в почту, всегда нужно было вводить 6 цифр пароля, присылаемого по смс. Он заработал некоторые деньги на росте курса Биткойна и держал их в криптовалюте на трех разных онлайн-кошельках с помощью Coinbase, Bitstamp и BTC-E. Он также использовал «двухфактор» на аккаунтах в Coinbase и BTC-E. Каждый раз, как он заходил полюбоваться своими богатствами, приходилось использовать приложение Authy, двухфакторный аутентификатор на смартфоне.

Кроме наличия биткойн-кубышки, Дейвис ничем особо не отличался от обычного пользователя Интернета. Он зарабатывает на жизнь написанием программ, разделяя время между созданием ПО, образовательных видеороликов и некоторыми другими видами фриланс-работ. На выходных он занимается сноубордингом, исследуя горы вокруг Лос-Аламоса. В Альбукерке он живет уже 10-й год; в прошлом году ему исполнилось 40 лет.

После взлома, Дейвис потратил несколько недель, пытаясь отследить, каким же именно образом была произведена атака, собирая вместе кусочки паззла из логов посещений и неохотных ответов служб поддержки различных сервисов. По пути, он сотрудничал с изданием The Verge, которое добавило несколько кусочков в его паззл. Мы до сих пор не знаем точно, что произошло — точнее, не знаем кто это сделал — но уже есть достаточно информации о том, как это было сделано, и точки взлома вырисовывают картину самых заметных слабых мест в нашей цифровой жизни.

MAIL.COM

Все началось с электронной почты Дейвиса. Когда он впервые создавал себе почту, то столкнулся с тем, что Gmail аккаунт [email protected] уже занят, так что пришлось выбрать вместо этого аккаунт на mail.com, который затем переадресовал все входящие письма на менее запоминающийся адрес в Gmail.

Около 2-х часов ночи 21 октября данная связь была прервана. Кто-то взломал адрес на mail.com и остановил переадресацию писем. Внезапно появился новый привязанный к адресу телефонный номер — «одноразовый» предоплаченный андроид-смартфон, с флоридским номером (подобные можно купить в любом супермаркете за 20 баксов наличкой). Также появился новый адрес электронной почты для восстановления пароля, одноразовый е-мейл [email protected]. Пока что, это единственная зацепка, которая имеется относительно хакера.

Для удобства повествования, давайте назовем хакера… ну, скажем, Ева.

Как Ева смогла взломать почту? Нельзя сказать наверняка, но мы можем предполагать, что она использовала скрипт, направленный на уязвимость в страничке восстановления пароля на mail.com. Мы знаем, что подобный скрипт реально существовал. На протяжении нескольких месяцев пользователи сайта Hackforum продавали доступ к скрипту для сброса специфических паролей на аккаунтах в mail.com. На момент, когда Дейвиса атаковали, это был уже довольно старый эксплойт, и текущая цена взлома составляла 5 долларов за адрес. Не понятно, как именно работал эксплойт и был ли он обезврежен на протяжении прошедших месяцев, но он сделал именно то, что было необходимо Еве. Без всякой аутентификации она смогла поменять пароль Дейвиса на свой собственный.

AT&T

Ее следующим шагом стало преодоление защиты по телефонному номеру. У нее не было пароля от его AT&T аккаунта, так что она просто сделала вид, что забыла пароль, и после минутного разговора со службой поддержки, телефонная компания выслала защищенную ссылку на почту [email protected] для его изменения. Захватив управление аккаунтом AT&T, Ева обратилась в службу поддержки с просьбой переадресовывать все входящие звонки на ее флоридский номер. Строго говоря, должно быть как-то побольше защитных мер для установки переадресации звонков, и в этом уж точно не должен участвовать один только адрес электронной почты. Но когда поддержка сталкивается с разгневанным клиентом, зачастую она сдает позиции ради удовлетворения желаний клиента вопреки всем строгим правилам безопасности.

Как только переадресация была настроена, все голосовые звонки Дейвиса стали приходить Еве. Дейвис все еще получал свои смс-ки, однако звонки переадресовывались прямиком к хакеру. Дейвис даже не подозревал о произошедшем на протяжении двух последующих дней, пока его босс не задал ему нагоняй по поводу того, что он не берет трубку.

Google и Authy

Далее, Ева положила глаз на аккаунт Дейвиса в Google. Любой эксперт скажет вам, что использование двухфакторной аутентификаций — лучшая защита от хакерской атаки. Хакер может получить ваш пароль, а вор — украсть телефон, но довольно сложно сделать и то и другое одновременно. Пока телефон у вас в руках, всё работает. Но люди имеют привычку постоянно менять телефоны, и одновременно они ожидают что можно будет также легко перенести свои сервисы. Аккаунты постоянно нуждаются в переносах и двухфакторные сервисы в итоге заканчивают тем, что взламывается очередной аккаунт.

Дейвис не устанавливал Аутентификатор от Google, являющийся более надежным, но у него все таки была включена «двухфакторка» — Google высылал ему новый пароль каждый раз, как он заходил с нового компьютера. Переадресация звонков не работала на смс-ки, но у Евы был запасной ход: благодаря «функциям доступности» Google она могла попросить код подтверждения в аудио формате через вызов на номер Дейвиса, соответственно переадресованный к ней.

Authy оказался более крепким орешком. Это приложение, вроде Аутентификатора, которое не покидало телефон Дейвиса. Но Ева попросту «перенесла» приложение в свой телефон, используя ящик на Mail.com. Ей снова отправили звуковой вариант пароля телефонным звонком.

Пара минут в районе 3-х часов ночи, и аккаунт Authy оказался в руках хакера.

Этот трюк сработал точно так же, как с Google: пока у нее имелся доступ к почте Дейвиса и его «телефону», «двухфактор» не смог увидеть разницы между ними. На тот момент Ева получила больше контроля над онлайн жизнью Дейвиса, чем имел он сам. Кроме смс-сообщений, все цифровые ниточки теперь вели исключительно к Еве.

Coinbase

В 03:19 ночи Ева изменила пароль в аккаунте на Coinbase при помощи почты на mail.com и Authy. В 3:55, она перевела весь биткойн-баланс (стоимостью примерно в 3 600 долларов на тот момент) на свой собственный свежеоткрытый счет Coinbase. Оттуда она вскоре сделала 3 вывода — один через 30 минут после того, как счет был открыт, и еще один через 20 минут, и затем последний через 5 минут. После этого, деньги исчезли в целом вихре фиктивных биткойн-счетов, специально чтобы скрыть следы (видимо, использовался миксер). Менее, чем через 90 минут после того, как аккаунт Дейвиса был скомпрометирован, его деньги уже отправились на все четыре стороны.

В службе Authy, возможно, могли бы догадаться, что происходит. Данный сервис следит за подозрительным поведением, и хотя они не раскрывают, что именно отслеживается, возможно что сброс пароля на счете через телефонный номер из другого региона, да еще и посреди ночи, мог бы поднять небольшую тревогу. Однако номер был не из известных мест с высокой концентрацией мошенников вроде Нигерии, России или Украины. Казалось более подозрительным, когда Ева зашла на Coinbase с канадского IP адреса (видимо, через TOR). Могли ли они ее тогда остановить? Современные защитные системы вроде Google ReCAPTCHA обычно так и срабатывают, сопоставляя мелкие происшествия до тех пор, пока не появится достаточная уверенность что нужно заблокировать аккаунт — но Coinbase и Authy по отдельности видели только часть общей картины, в результате чего не собрали достаточно доказательств необходимости заморозить счет Партапа.

BTC-E и Bitstamp

Когда Дейвис проснулся, первым что он заметил было странное отключение соединения с его аккаунтом в Gmail. Пароль поменялся, зайти назад не вышло. Как только он таки смог снова зайти в почту, то не поверил своим глазам… Он увидел недавние письма, которые подробно указывали на объем потерянного. Когда он наконец смог зайти в свой аккаунт на Coinbase то обнаружил его пустым. Ева смогла поживиться 10 биткойнами, что равнялось 3 000 долларам на тот момент. Пришлось в течении нескольких часов общаться по телефону со службой поддержки, прежде чем удалось восстановить доступ к своему счету и доказать, что он — настоящий Партап Дейвис. Он отправил скан своей водительской лицензии как доказательство.

Что насчет других двух кошельков? На них находились биткойны на сумму в 2 500 долларов, при этом у них не было разрекламированных средств защиты, как у Coinbase. Но когда Дейвис проверил аккаунты, они оба все еще были под его контролем. Биржа BTC-E наложила временное ограничение на 48 часов для вывода средств после смены хакером пароля, давая возможность доказать что именно он хочет снять средства а также по необходимости восстановить аккаунт. Bitstamp в плане защиты оказались еще проще: когда Ева отправила письмо с просьбой сменить токен аутентификации Дейвиса, они попросили прислать картинку с водительским удостоверением. Несмотря на все ухищрения Евы, такой информации у нее не оказалось. Последние биткойны Дейвиса на сумму в 2 500 долларов остались в безопасности.

Твиттер

Уже прошло 2 месяца с момента атаки, Дейвис вернулся к своей обычной жизни. Последний след вторжения — его аккаунт в Twitter, который оставался взломанным неделями после взлома всех остальных аккаунтов. @Partap — короткий, запоминающийся ник, что делает его в некотором роде ценным, так что Ева продолжает его внаглую удерживать, вставив туда новую картинку и уничтожив все следы присутствия Дейвиса. Через несколько дней после атаки она выложила там скриншот взломанного аккаунта Xfinity, тем самым похваставшись тем, что достала еще одну жертву. Этот аккаунт не принадлежит Дейвису, но он принадлежит сторонней персоне. Видимо, Ева уже перешла к атаке другой цели, используя @partap в качестве одноразового инструмента для последующего грабежа, как в физическом мире грабители используют украденную тачку для того, чтобы «оторваться» от копов.

Так кто же стоял за атакой?

Дейвис потратил недели после случая, пытаясь напасть на ее след — целые дни провел в разговорах со «специалистами» из служб поддержки — но не приблизился к разгадке ни на шаг. Согласно логам посещений, компьютер Евы присоединялся к его аккаунтам из целого блока канадских IP адресов, она могла использовать TOR или VPN для прикрытия. Ее телефонный номер, скорее всего, был просто временным. Осталось всего несколько следов, но каждый весьма быстро заканчивается.

Где бы Ева сейчас ни была, ей удалось скрыться.

Почему она выбрала именно Партапа Дейвиса? Она заранее знала о наличии биткойн-кошельков, это точно. Зачем бы ей еще понадобилось тратить столько времени на взлом всех его социальных аккаунтов? Она также начала именно с почты на mail.com, так что можно сделать вывод что каким то образом она получила доступ к спискам биткойн-пользователей, в которых числилась и почта Дейвиса. Некоторые утекшие базы данных клиентов Coinbase плавают в безграничных просторах Интернета, но найти там имя или почту Дейвиса мне не удалось. Возможно, его персональные данные оказались в публичном доступе благодаря производителю майнинг-оборудования или Биткойн ритейлеру. Сегодня утечки информации — обыденное дело, большинство из них вообще происходят в тайне от широкой публики.

Дейвис теперь ведет себя еще осторожнее с биткойнами и отказался от использования аккаунта на mail.com — но, с другой стороны, в его жизни ничего кардинально не поменялось. Иногда, Coinbase соглашается выплатить компенсацию жертвам хакерских атак, но в данном конкретном случае они отказали, так как система безопасности компании оказалась непричастна к случившемуся. Партап также отправил заявление в ФБР, но Бюро не выказало заинтересованности в единичной краже биткойнов. Что еще можно сделать? Он не может перестать использовать телефон или отказаться от возможности сброса пароля. У всех у нас есть много различных аккаунтов, так что всегда можно найти путь для вторжения. В мире безопасности, такое называют площадью атаки. Чем больше данная площадь, тем сложнее ее защищать.

Что самое важное, сбросить пароли и обойти двухфакторку сейчас достаточно легко, как показали многочисленные выходки Евы. Когда сервис наконец остановил ее, он сделал это не при помощи сложных алгоритмов или причудливой биометрики. Вместо этого, один сервис просто попросил клиента подождать 48 часов перед подтверждением смены пароля. На техническом уровне это простая фишка, но весьма дорогая в плане возможного недовольства клиентов. Компании постоянно балансируют между довольно узкими рисками компрометации и широкими выгодами от удобства пользователей. Несколько человек могут запросто потерять контроль над своими аккаунтами, но миллионы других смогут продолжать использовать сервис без особых проблем. В битве между безопасностью и удобством, удобство пока имеет более высокий приоритет.

Автор: Russell Brandom

Источник: The Verge
pilot10 вне форума
Сказали спасибо 2 раз(а):
bujhm2011 (16.03.2015), Vergius (16.03.2015)
Метки
биткоин, взлом, доллары, хакер
Войдите, чтобы оставить комментарий.
Быстрый переход
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Анатомия протеста luckyea Политика и экономика 9 03.11.2012 13:14
Анатомия банкротства MF Global LSasha Инвестирование для начинающих 6 26.10.2012 18:28