Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » Kafija bez maksas, taksometru izspiegošana un „caurums” lidostā

Kafija bez maksas, taksometru izspiegošana un „caurums” lidostā

Ziņu portāli pirmajās lapās parasti raksta par „skaistām” datoru kļūdām un sarežģītām ievainojamībām, kuru dēļ atgadās tādi plaši incidenti kā pērnie uzbrukumi WannaCry un NotPetya. Taču speciālisti zina, ka visbiežāk hakeri var ielīst sistēmā un pastrādāt vērā ņemamas nelietības, izmantojot „bērnišķīgas” kļūdas, ko pieļāvuši sistēmas izstrādātāji vai arī tie, kas uzstādīja un konfigurēja sistēmu.

Mums visapkārt darbojas nepareizi konfigurētas sistēmas, mēs ar tām sastopamies visur un katru dienu. No brīža, kad hakeris pirmoreiz ierauga šādu sistēmu, līdz tās pilnīgai pakļaušanai cilvēka prātam paiet tikai dažas stundas. Virkni piemēru, kas to apstiprina, savā referātā saietā Security Analyst Summit minēja pētnieks no Izraēlas Inbars Razs.

 

 

Kafija par brīvu

Daudzas „kafijas lojalitātes” kartītes darbojas šādi: kafejnīcas klients saņem karti, pārskaita tajā naudu, bet pēc tam kafejnīcās maksā ar šo karti, nevis ar īstu naudu, saņemot prēmijas par apmeklējumu biežumu vai lielākiem pirkumiem. Kartes bilanci var pārbaudīt tīmekļa vietnē, ievadot tur kartes numuru.

Saņēmis šādu karti, Inbars Razs pievērsa uzmanību tam, ka vietnē var pārbaudīt kartes ar jebkuriem numuriem, turklāt pārbaudes reižu skaits nav ierobežots. Izmantojot mazu programmiņu, kādu var uzrakstīt burtiski pusstundas laikā, viņš pārlasīja milzīgu daudzumu karšu numuru un atrada tās kartes, kurās bija nauda.

Nolasot savas kartes magnētisko joslu ar lētu USB lasītāju, viņš atklāja, ka kartē bez šifrēšanas ierakstīts tās numurs, kuram viegli var aprēķināt pārbaudes bitu. Tātad kartē pavisam vienkārši var ierakstīt citu numuru un tam piederīgu citas kartes bilanci.

Razs veica ētisku testu — nopirka otru karti, ieskaitīja tajā naudu un ierakstīja tās numuru pirmajā, bet pēc tam pārliecinājās, ka paņēmiens darbojas. Kafejnīcas darbinieki teorētiski var atklāt blēdību: vajag salīdzināt kartes numuru ar to, kāds tiek izdrukāts uz čeka. Bet protams, ka neviens šos numurus nesalīdzina. Tāpēc ļaundaris mierīgi var turpmāk dzert kafiju bez maksas.

Izsekošana Uber stilā

Pirms kāda laika uzņēmums Uber piedzīvoja skandālu, jo dažus tā darbiniekus apsūdzēja mobilās lietotnes funkciju ļaunprātīgā izmantošanā, lai izsekotu pasažierus.

Bet izrādās, ka citās taksometru firmās šādu izsekošanu var veikt, nemaz tur nestrādājot. Inbars Razs atklāja, ka pēc tam, kad taksometrs pasūtīts, izmantojot tīmekļa veidlapu, tā statusam var sekot pēc kontakttelefona numura, turklāt atkal nav nekādas aizsardzības pret numuru pārlasīšanu — tāpat kā „kafijas kartēm”.

Vēl viena vienkārša numuru pārlasīšanas programmiņa — un hakeris iegūst glītu karti, kurā ar punktiem atzīmētas visas nesenās taksometra pasūtīšanas adreses.

„Caurums” lidostā

Arī bezmaksas Wi-Fi, pie kura tā esam pieraduši, dažkārt var sagādāt pārsteigumus. Kādas Austrumeiropas lidostas biznesa klientu zālē Inbars Razs nolēma pārbaudīt vietējā Wi-Fi tīklāja iestatījumus.

Lai atvērtu maršrutētāja iestatījumus, bija vajadzīga tikai standarta tīmekļa adrese, bet administratora parole vispār netika pieprasīta, jo nemaz nebija ierīkota. Papētījis iestatījumus, Razs saprata: tas nav parasts tīklājs viesiem, bet gan lidostas galvenais komutators. Tam pieslēgtas arī svarīgas dispečeru un drošības sistēmas. Tātad tās var atslēgt no tīkla jebkurš apmeklētājs, kuram ir dators vai pat tikai viedtālrunis.

Protams, ka galvenie secinājumi šeit jāizdara programmētājiem un sistēmu administratoriem. Neceriet, ka jūsu mazā kafejnīca (lidosta, taksometru uzņēmums) nekad nepiesaistīs hakeru uzmanību. Standarta iestatījumi, vienkāršas paroles „admin” vai „12345”, bez „captcha” vai citādas aizsardzības pret automātiskajiem uzbrukumiem ir visbiežāk sastopamie drošības trūkumi un vienlaikus — vienkāršākais mērķis ļaundariem. Tur ielīdīs pat hakeris iesācējs. Un nebūs daudz tādu kā Inbars Razs, kuri pēc visiem noteikumiem jums par to pastāstīs, nevis vienkārši izmantos savam labumam.

Bīstamās “konfigurācijas nepilnības” Latvijā

Neticat, ka tas ir ļoti aktuāli mums visiem? Tad ielūkosimies pēdējā CERT.LV atskaitē par 2018. gada februāri.

 

 

Tāpat kā ļoti daudzu citu mēnešu atskaitēs, arī šajā CERT.LV atskaitē pirmajā vietā kiberapdraudējumos Latvijā mēs redzam “Konfigurācijas nepilnības”. Tas nozīmē, ka mēs paši ar savu attieksmi radam ļoti ievērojamu daudzumu kiberapdraudējumu, kuri maz atšķiras no pētnieka Inbara Raza augstāk minētajiem piemēriem.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

+ 83 = 90

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu