Что такое Bitcoin? Как заработать Bitcoin? Что такое майнинг Bitcoin? Какой курс к доллару? Кто основатель?

Новости. Анатомия взлома: детальный анализ ночного цифрового грабежа

< Назад к статьям
Анатомия взлома: детальный анализ ночного цифрового&nbsp;грабежа

Анатомия взлома: детальный анализ ночного цифрового грабежа

Ранним утром 21 октября 2014 года Партап Дейвис (Partap Davis) потерял 3 000 долларов. Он отправился спать около 2-х часов ночи у себя дома в Альбукерке, Нью Мехико, после длинной сессии игры в «Мир Танков». Пока он спал, хакер обошел всю онлайн-систему безопасности, кропотливо созданную Дейвисом. Когда тот проснулся утром, почти вся его «онлайн-жизнь» была скомпрометирована: 2 почтовых аккаунта, его телефон, его Твиттер, его двухфакторный аутентификатор, и, что самое важное, его Биткойн-кошельки.

 

Когда дело доходит до цифровой безопасности, Дейвис всегда внимателен. Он выбирал сложные пароли и не нажимал на скам-ссылки. Он использовал двухфакторную аутентификацию на Gmail, так что, если приходилось заходить с чужого компьютера в почту, всегда нужно было вводить 6 цифр пароля, присылаемого по смс. Он заработал некоторые деньги на росте курса Биткойна и держал их в криптовалюте на трех разных онлайн-кошельках с помощью Coinbase, Bitstamp и BTC-E. Он также использовал «двухфактор» на аккаунтах в Coinbase и BTC-E. Каждый раз, как он заходил полюбоваться своими богатствами, приходилось использовать приложение Authy, двухфакторный аутентификатор на смартфоне.

Кроме наличия биткойн-кубышки, Дейвис ничем особо не отличался от обычного пользователя Интернета. Он зарабатывает на жизнь написанием программ, разделяя время между созданием ПО, образовательных видеороликов и некоторыми другими видами фриланс-работ. На выходных он занимается сноубордингом, исследуя горы вокруг Лос-Аламоса. В Альбукерке он живет уже 10-й год; в прошлом году ему исполнилось 40 лет.

После взлома Дейвис потратил несколько недель, пытаясь отследить, каким же именно образом была произведена атака, собирая вместе кусочки паззла из логов посещений и неохотных ответов служб поддержки различных сервисов. По пути, он сотрудничал с изданием The Verge, которое добавило несколько кусочков в его паззл. Мы до сих пор не знаем точно, что произошло — точнее, не знаем, кто это сделал — но уже есть достаточно информации о том, как это было сделано, и точки взлома вырисовывают картину самых заметных слабых мест в нашей цифровой жизни.

MAIL.COM

Все началось с электронной почты Дейвиса. Когда он впервые создавал себе почту, то столкнулся с тем, что Gmail аккаунт partap@gmail.com уже занят, так что пришлось выбрать вместо этого аккаунт на mail.com, который затем переадресовал все входящие письма на менее запоминающийся адрес в Gmail.

Около 2-х часов ночи 21 октября данная связь была прервана. Кто-то взломал адрес на mail.com и остановил переадресацию писем. Внезапно появился новый привязанный к адресу телефонный номер — «одноразовый» предоплаченный андроид-смартфон, с флоридским номером (подобные можно купить в любом супермаркете за 20 баксов наличкой). Также появился новый адрес электронной почты для восстановления пароля, одноразовый е-мейл swagger@mailinator.com. Пока что это единственная зацепка, которая имеется относительно хакера.

Для удобства повествования давайте назовем хакера… ну, скажем, Ева.

Как Ева смогла взломать почту? Нельзя сказать наверняка, но мы можем предполагать, что она использовала скрипт, направленный на уязвимость в страничке восстановления пароля на mail.com. Мы знаем, что подобный скрипт реально существовал. На протяжении нескольких месяцев пользователи сайта Hackforum продавали доступ к скрипту для сброса специфических паролей на аккаунтах в mail.com. На момент, когда Дейвиса атаковали, это был уже довольно старый эксплойт, и текущая цена взлома составляла 5 долларов за адрес. Не понятно, как именно работал эксплойт и был ли он обезврежен на протяжении прошедших месяцев, но он сделал именно то, что было необходимо Еве. Без всякой аутентификации она смогла поменять пароль Дейвиса на свой собственный.

AT&T

Ее следующим шагом стало преодоление защиты по телефонному номеру. У нее не было пароля от его AT&T аккаунта, так что она просто сделала вид, что забыла пароль, и после минутного разговора со службой поддержки, телефонная компания выслала защищенную ссылку на почту partap@mail.com для его изменения. Захватив управление аккаунтом AT&T, Ева обратилась в службу поддержки с просьбой переадресовывать все входящие звонки на ее флоридский номер. Строго говоря, должно быть как-то побольше защитных мер для установки переадресации звонков, и в этом уж точно не должен участвовать один только адрес электронной почты. Но когда поддержка сталкивается с разгневанным клиентом, зачастую она сдает позиции ради удовлетворения желаний клиента вопреки всем строгим правилам безопасности.

Как только переадресация была настроена, все голосовые звонки Дейвиса стали приходить Еве. Дейвис все еще получал свои смс-ки, однако звонки переадресовывались прямиком к хакеру. Дейвис даже не подозревал о произошедшем на протяжении двух последующих дней, пока его босс не задал ему нагоняй по поводу того, что он не берет трубку.

Google и Authy

Далее Ева положила глаз на аккаунт Дейвиса в Google. Любой эксперт скажет вам, что использование двухфакторной аутентификаций — лучшая защита от хакерской атаки. Хакер может получить ваш пароль, а вор — украсть телефон, но довольно сложно сделать и то, и другое одновременно. Пока телефон у вас в руках, всё работает. Но люди имеют привычку постоянно менять телефоны, и одновременно они ожидают, что можно будет также легко перенести свои сервисы. Аккаунты постоянно нуждаются в переносах, и двухфакторные сервисы в итоге заканчивают тем, что взламывается очередной аккаунт.

Дейвис не устанавливал Аутентификатор от Google, являющийся более надежным, но у него все таки была включена «двухфакторка» — Google высылал ему новый пароль каждый раз, как он заходил с нового компьютера. Переадресация звонков не работала на смс-ки, но у Евы был запасной ход: благодаря «функциям доступности» Google она могла попросить код подтверждения в аудио формате через вызов на номер Дейвиса, соответственно переадресованный к ней.

Authy оказался более крепким орешком. Это приложение вроде Аутентификатора, которое не покидало телефон Дейвиса. Но Ева попросту «перенесла» приложение в свой телефон, используя ящик на Mail.com. Ей снова отправили звуковой вариант пароля телефонным звонком.

Пара минут в районе 3-х часов ночи, и аккаунт Authy оказался в руках хакера.

Этот трюк сработал точно так же, как с Google: пока у нее имелся доступ к почте Дейвиса и его «телефону», «двухфактор» не смог увидеть разницы между ними. На тот момент Ева получила больше контроля над онлайн-жизнью Дейвиса, чем имел он сам. Кроме смс-сообщений, все цифровые ниточки теперь вели исключительно к Еве.

Coinbase

В 03:19 ночи Ева изменила пароль в аккаунте на Coinbase при помощи почты на mail.com и Authy. В 3:55 она перевела весь биткойн-баланс (стоимостью примерно в 3 600 долларов на тот момент) на свой собственный свежеоткрытый счет Coinbase. Оттуда она вскоре сделала 3 вывода — один через 30 минут после того как счет был открыт, и еще один через 20 минут, и затем последний через 5 минут. После этого деньги исчезли в целом вихре фиктивных биткойн-счетов, специально чтобы скрыть следы (видимо, использовался миксер). Менее чем через 90 минут после того как аккаунт Дейвиса был скомпрометирован, его деньги уже отправились на все четыре стороны.

В службе Authy, возможно, могли бы догадаться, что происходит. Данный сервис следит за подозрительным поведением, и хотя они не раскрывают, что именно отслеживается, возможно, что сброс пароля на счете через телефонный номер из другого региона, да еще и посреди ночи, мог бы поднять небольшую тревогу. Однако номер был не из известных мест с высокой концентрацией мошенников вроде Нигерии, России или Украины. Казалось более подозрительным, когда Ева зашла на Coinbase с канадского IP адреса (видимо, через TOR). Могли ли они ее тогда остановить? Современные защитные системы вроде Google ReCAPTCHA обычно так и срабатывают, сопоставляя мелкие происшествия до тех пор, пока не появится достаточная уверенность, что нужно заблокировать аккаунт — но Coinbase и Authy по отдельности видели только часть общей картины, в результате чего не собрали достаточно доказательств необходимости заморозить счет Партапа.

BTC-E и Bitstamp

Когда Дейвис проснулся, первым, что он заметил, было странное отключение соединения с его аккаунтом в Gmail. Пароль поменялся, зайти назад не вышло. Как только он таки смог снова зайти в почту, то не поверил своим глазам… Он увидел недавние письма, которые подробно указывали на объем потерянного. Когда он, наконец, смог зайти в свой аккаунт на Coinbase, то обнаружил его пустым. Ева смогла поживиться 10 биткойнами, что равнялось 3 000 долларам на тот момент. Пришлось в течение нескольких часов общаться по телефону со службой поддержки, прежде чем удалось восстановить доступ к своему счету и доказать, что он — настоящий Партап Дейвис. Он отправил скан своей водительской лицензии как доказательство.

Что насчет других двух кошельков? На них находились биткойны на сумму в 2 500 долларов, при этом у них не было разрекламированных средств защиты, как у Coinbase. Но когда Дейвис проверил аккаунты, они оба все еще были под его контролем. Биржа BTC-E наложила временное ограничение на 48 часов для вывода средств после смены хакером пароля, давая возможность доказать, что именно он хочет снять средства, а также по необходимости восстановить аккаунт. Bitstamp в плане защиты оказались еще проще: когда Ева отправила письмо с просьбой сменить токен аутентификации Дейвиса, они попросили прислать картинку с водительским удостоверением. Несмотря на все ухищрения Евы, такой информации у нее не оказалось. Последние биткойны Дейвиса на сумму в 2 500 долларов остались в безопасности.

Твиттер

Уже прошло 2 месяца с момента атаки, Дейвис вернулся к своей обычной жизни. Последний след вторжения — его аккаунт в Twitter, который оставался взломанным неделями после взлома всех остальных аккаунтов. @Partap — короткий, запоминающийся ник, что делает его в некотором роде ценным, так что Ева продолжает его внаглую удерживать, вставив туда новую картинку и уничтожив все следы присутствия Дейвиса. Через несколько дней после атаки она выложила там скриншот взломанного аккаунта Xfinity, тем самым похваставшись тем, что достала еще одну жертву. Этот аккаунт не принадлежит Дейвису, но он принадлежит сторонней персоне. Видимо, Ева уже перешла к атаке другой цели, используя @partap в качестве одноразового инструмента для последующего грабежа, как в физическом мире грабители используют украденную тачку для того, чтобы «оторваться» от копов.

Так кто же стоял за атакой?

Дейвис потратил недели после случая, пытаясь напасть на ее след — целые дни провел в разговорах со «специалистами» из служб поддержки — но не приблизился к разгадке ни на шаг. Согласно логам посещений, компьютер Евы присоединялся к его аккаунтам из целого блока канадских IP адресов, она могла использовать TOR или VPN для прикрытия. Ее телефонный номер, скорее всего, был просто временным. Осталось всего несколько следов, но каждый весьма быстро заканчивается.

Где бы Ева сейчас ни была, ей удалось скрыться.

Почему она выбрала именно Партапа Дейвиса? Она заранее знала о наличии биткойн-кошельков, это точно. Зачем бы ей еще понадобилось тратить столько времени на взлом всех его социальных аккаунтов? Она также начала именно с почты на mail.com, так что можно сделать вывод, что каким-то образом она получила доступ к спискам биткойн-пользователей, в которых числилась и почта Дейвиса. Некоторые утекшие базы данных клиентов Coinbase плавают в безграничных просторах Интернета, но найти там имя или почту Дейвиса мне не удалось. Возможно, его персональные данные оказались в публичном доступе благодаря производителю майнинг-оборудования или Биткойн ритейлеру. Сегодня утечки информации — обыденное дело, большинство из них вообще происходят в тайне от широкой публики.

Дейвис теперь ведет себя еще осторожнее с биткойнами и отказался от использования аккаунта на mail.com — но, с другой стороны, в его жизни ничего кардинально не поменялось. Иногда Coinbase соглашается выплатить компенсацию жертвам хакерских атак, но в данном конкретном случае они отказали, так как система безопасности компании оказалась непричастна к случившемуся. Партап также отправил заявление в ФБР, но Бюро не выказало заинтересованности в единичной краже биткойнов. Что еще можно сделать? Он не может перестать использовать телефон или отказаться от возможности сброса пароля. У всех у нас есть много различных аккаунтов, так что всегда можно найти путь для вторжения. В мире безопасности такое называют площадью атаки. Чем больше данная площадь, тем сложнее ее защищать.

Что самое важное, сбросить пароли и обойти двухфакторку сейчас достаточно легко, как показали многочисленные выходки Евы. Когда сервис наконец остановил ее, он сделал это не при помощи сложных алгоритмов или причудливой биометрики. Вместо этого один сервис просто попросил клиента подождать 48 часов перед подтверждением смены пароля. На техническом уровне это простая фишка, но весьма дорогая в плане возможного недовольства клиентов. Компании постоянно балансируют между довольно узкими рисками компрометации и широкими выгодами от удобства пользователей. Несколько человек могут запросто потерять контроль над своими аккаунтами, но миллионы других смогут продолжать использовать сервис без особых проблем. В битве между безопасностью и удобством, удобство пока имеет более высокий приоритет.

Автор: Russell Brandom

Источник: The Verge



Администратор

Источник

Комментарии (0)

    Вы должны авторизоваться, чтобы оставлять комментарии.

    Ещё статьи

    26
    Мар
    0
    По итогам 2014 года объем российского венчурного рынка составил 481 млн долл., в денежном выражении спад инвестиционной активности составил 26%. Таковы результаты обзора «MoneyTree: Навигатор венчурного рынка», представленного Центром технологий и инноваций PwC совместно с РВК на IV Ежегодной …
    Российский венчурный рынок вошел в стадию спада
    От: Администратор | В: Новости
    Читать
    11
    Сен
    0
    Биткойн все еще ждет своего “убойного приложения”, которое должно буквально втолкнуть эту криптовалюту в мейнстрим. У Фреда Эрсама даже есть предположение на счет того, какого рода должно быть это приложение. Он считает, что оно должно положить конец спаму. “Я считаю, что в течение 10 лет, Интернет…
    Мнение: Фред Эрсам считает, что Биткойн еще ждет своего ‘убойного приложения’
    От: Администратор | В: Новости
    Читать
    13
    Янв
    0
    Увеличение размера пенсионных сбережений — не простая задача в свете последствий кризиса. Но в 2013 году на мировую сцену ворвался новый привлекательный инвестиционный инструмент, сделавший кибермиллионерами столь многих, что может сравниться в этом с IPO Твиттера и Фейсбука. Биткойн демонстрирует а…
    Биткойн для старшего поколения
    От: Администратор | В: Статьи
    Читать
    02
    Дек
    0
    Американский эксперт Джеффри Такер на страницах блога Liberty.me задумывается о том, почему люди игнорируют истинную ценность криптовалюты биткойн как средства прямого анонимного обмена между людьми, вместо этого наблюдая лишь за ростом и падением ее котировок. По мнению Такера, люди, движимые ажиот…
    Покупай, когда дорого, продавай, когда дешево
    От: Администратор | В: Новости
    Читать
    08
    Дек
    0
    Биткойн прошел долгий путь от криптовалюты с таинственной и противоречивой репутацией до широко известного средства взаиморасчетов. Даже столкнувшись с некоторыми проблемами (такими как история с Silk Road, банкротство Mt.Gox и противодействие властей некоторых стран), биткойн-сообщество остаётся не…
    Причины, по которым в конечном итоге вы будете пользоваться Биткойном
    От: Администратор | В: Новости
    Читать
    22
    Янв
    0
    Марк Андриссен анализирует аргументы критиков Биткойна и рассуждает о том, почему, несмотря на их пессимизм, эта система непременно завоюет весь мир. Часть 2. Ответ критикам биткойна Противники Биткойна попадают пальцем в небо Критики Биткойна указывают на то, что по…
    Марк Андриссен: Ответ критикам биткойна
    От: Администратор | В: Статьи
    Читать

    О портале

    Проект Bitinnet - Единый международный информационный ресурс на русском и английском языках, объединяющий в себе новости, видео, интервью с разработчиками Bitcoin, статистику торгов бирж, статьи о заработке Bitcoin, ответы на часто задаваемые вопросы, файлы для скачивания, ротаторы и сайты, раздающие Bitcoin бесплатно.


    Вы можете подписаться на новости портала, оставив свой email.

    Контакты

    info@bitinnet.com

    Donations are accept to
    1aPpdNx87A5kmiUDLSRrZNjYQbHVpu23d