книги хакеры / журнал хакер / 202_Optimized

образцов вредоносного ПО среди попадавшихся им за последние годы. Многие эксперты ставят Regin в один ряд с нашумевшими Flame, Duqu и Stuxnet.

На этот раз Regin дал о себе знать в Ведомстве федерального канцлера Германии. Эта федеральная служба занимается делами канцлера, в том числе обслуживает его офис. Der Spiegel сообщает, что троян был найден на личном ноутбуке главы ведомства. Расследованием данного инцидента занимается генпрокуратура Германии.

Это не первый случай, когда из-за документов Сноудена и связанных с ними данных немецкие правоохранительные органы инициируют расследование. Так, в 2013 году сообщалось, что АНБ прослушивает личный мобильный телефон канцлера Ангелы Меркель. Генпрокуратура искала доказательства этого факта вплоть до июня текущего года, но в результате расследование было приостановлено за недостаточностью улик.

БЫВШИЙ СОТРУДНИК GOOGLE СЛУЧАЙНО КУПИЛ GOOGLE.COM

Экс-сотрудник Google Санмай Вед (Sanmay Ved), ныне работающий в компании Amazon, рассказал на своей странице LinkedIn странную

историю. 28 сентября 2015 года Вед на несколько минут стал полноправным хозяином домена google.com, потратив на это всего 12 долларов.

Странный случай произошел, когда Вед развлекался с Google Domains, просматривая списки свободных адресов. По некой неизвестной причине он обнаружил среди свободных доменов google.com. Понимая, что это какая-то ошибка, Вед, тем не менее, добавил домен в корзину и попробовал опла-

тить его. И был несказанно удивлен, когда сумел это сделать. Покупка обошлась ему в 12 долларов, а на почту пришло подтверждающее оплату письмо.

Вед тут же сообщил о случившемся команде безопасности Google, и буквально через минуту его покупку аннулировали. Однако Вед пишет, что самое страшное заключается в том, что в течение этой минуты у него был реальный доступ к панели администратора. Получается, что он целую минуту действительно владел google.com.

Очевидно, возможность приобрести google.com была сопряжена с каким-то багом, потому что Веду выплатили вознаграждение. Точную сумму исследователь назвать не пожелал, но сообщил, что потратил весь свой «приз» на благотворительность. Вед отдал все деньги (более 10 тысяч долларов) организации The Art of Living India, которая борется за право на образование в самых бедных регионах Индии.

«Деньги меня не заботят, — говорит Вед. — Дело вообще было не в деньгах. К тому же я хотел показать пример, показать, что люди, которые ищут уязвимости, далеко не всегда делают это ради награды».

МИНФИН ПРЕДЛАГАЕТ САЖАТЬ НА 4 ГОДА ЗА ИСПОЛЬЗОВАНИЕ БИТКОЙНОВ

Газета «Известия» сообщает, что Министерство финансов РФ собирается ужесточить наказание за выпуск и оборот криптовалют. Если ранее за это предлагали штрафовать, дополнив УК новой статьей «Оборот денежных суррогатов», то теперь Минфин разработал поправки к Уголовному кодексу, согласно которым нарушителям может

грозить до четырех лет лишения свободы.

Как стало известно изданию, Министерство финансов подготовило новый законопроект, где предлагается уголовное наказание за выпуск и оборот криптовалют на территории РФ. Внести законопроект в Госдуму планируют в ближайшие месяцы.

Bitcoin и прочие производные у нас считаются «денежными суррогатами», за их изготовление, приобретение в целях сбыта и сам сбыт Минфин ранее предлагал штраф в размере 500 тысяч рублей или в размере зарплаты, иных доходов осужденного за период до двух лет, обязательные работы до 480 часов или исправительные работы сроком до двух лет. Теперь наказание решили ужесточить до четырех лет лишения свободы, и Минэкономразвития поддерживает данный шаг.

Центробанк однозначной позиции относительно криптовалют, похоже, не имеет. Так, ранее представители Центробанка называли биткойны «денежными суррогатами», но позже зампред ЦБ Георгий Лунтовский заявил, что «нельзя отвергать этот инструмент, возможно, за ним будущее». Совсем недавно, в сентябре 2015 года, также была создана рабочая группа по изучению технологии blockchain с учетом международного опыта.

Пока неясно, какую позицию займет Центробанк, но резко против криптовалют выступают почти все силовые ведомства: Генеральная прокуратура, Министерство внутренних дел и Федеральная служба безопасности. Федеральная служба по контролю за оборотом наркотиков (ФСКН) обеспокоена тем, что биткойны в активном ходу у наркомафии и используются для торговли наркотиками.

позволяющая генерировать вполне надежные пароли и парольные фразы. Для этого понадобятся обычные игральные кости (или их цифровой аналог), а также список слов, которые легко запомнить и написать. Списки существуют для английского, русского, китайского, маори, немецкого, итальянского, польского, румынского, шведского и испанского языков. Генерация одного слова в парольной фразе потребует пяти бросков игральной кости. Каждый раз будет выпадать цифра от 1 до 6, и в итоге получится пятизначное число, вида 56342. Каждому такому числу соответствует слово из списка. На выходе получается чистейший и весьма надежный рандом, однако запомнить пароль, состоящий из такого бессмысленного на первый взгляд сочетания слов, человеку очень легко.

«Вся идея заключается в том, чтобы сделать ваш пароль супернадежным и все такое. Не думаю, что мои друзья такое поймут, но, по-моему, это круто, — рассказала Моди изданию ArsTechnica. — Я считаю, что надежные пароли — это важно. Сейчас у всех нас такие хорошие компьютеры, что люди могут взломать что угодно и очень быстро. Мы выкладываем многое в социальные сети, но когда люди взламывают их, это еще не слишком плохо. Когда кто-то пытается взломать ваш банковский аккаунт или email — вот тогда важно иметь надежный пароль».

Идею создания такого рода паролей Мире подсказала ее мама — журналистка Джулия Ангвин (Julia Angwin), автор книги Dragnet Nation. Она известна тем, что активно борется за безопасность и сохранность личных данных.

Сначала Моди сопровождала маму на публичные мероприятия, связанные с выходом книги, и продавала свои «пароли ручной работы» там. Однако в офлайне продажи шли не слишком хорошо, поэтому девочка решила запустить собственный сайт — dicewarepasswords.com. Пока Мира продала всего порядка тридцати паролей, учитывая продажи в офлайне.

Мира составляет по-настоящему уникальные и защищенные пароли в буквальном смысле собственными руками: бросает кости, сверяется с печатной версией списка слов, записывает результаты от руки, на бумаге. За скромную сумму в два доллара девочка пришлет вам письмо с таким уникальным паролем. Все письма отправляются через US Postal Mail, то есть вскрыть такое отправление без судебного ордера теоретически никто не имеет права.

шифровки. На сегодня даже известны прецеденты, когда малварь сбрасывает PIN-код смартфона, меняя его на случайный, и требует выкуп. Беда в том, что нового PIN-кода уже не знает никто, включая самих хакеров. То есть платить во многих ситуациях попросту бесполезно.

Неожиданно иного мнения придерживаются некоторые сотрудники ФБР. В ходе мероприятия Cyber Security Summit 2015 младший специальный агент Джозеф Бонаволонта (Joseph Bonavolonta), работающий в бостонском офисе Федерального бюро расследований, поделился интересным фактом. Оказывается, ФБР зачастую советует пострадавшим от шифровальщиков просто заплатить выкуп. «Если вымогательское ПО хорошее, то, честно говоря, мы часто советуем людям просто заплатить выкуп», — сказал Бонаволонта.

По словам агента, злоумышленники в некотором роде склонны идти навстречу своим жертвам. Вымогательское ПО — выгодный бизнес, поэтому хакеры стараются не завышать суммы выкупов, чтобы как можно больше людей могли позволить себе оплату. Также Бонаволонта считает, что хакеры по большей части честные парни: после оплаты они обычно возвращают пострадавшему доступ к данным.

ОБРАБОТКА СМАЙЛИКОВ «ВКОНТАКТЕ» ПОЗВОЛЯЛА ВЫПОЛНИТЬ ВРЕДОНОСНЫЙ КОД

Исследователь компании ONsec Дмитрий Бумов уже не раз находил уязвимости в социальной сети «ВКонтакте» и получал вознаграждения за свои находки. На этот раз Бумов нашел self-XSS баг в системе, при помощи которой «ВКонтакте» обрабатывает отправку смайликов-эмодзи.

На данный момент уязвимость уже устранена, так как специалисты «ВКонтакте» отреагировали на проблему очень оперативно. Бумов обнаружил, что при копировании в окно сообщения Unicode-символов, использующихся для обозначения эмодзи, туда же можно добавить вредоносный JavaScript. В частности, используя такую технику, можно заставить жертву репостить чужие записи, и она даже не узнает об этом.