Статьи

Запрягли «Трійку». Хакери знайшли спосіб користуватися транспортом Москви безкоштовно

  1. Матеріали по темі:
  2. середньовічний інквізитор
  3. Полювання на хакера
  4. Причетність до влади
  5. Чи не того зловили

Інформація про програму і дефекті системи оплати з'явилася на одному з популярних сайтів, які вивчають уразливості програм. «Були знайдені вразливості, що дозволяють виконати підробку балансу, записаного на електронному гаманці карти Трійка, - повідомив користувач під ім'ям Ігор Шевцов. - В результаті чого стало можливим використання систем, що підтримують карту, без оплати ».

В ході дослідження, яке тривало всього 14 днів і виконувалося однією людиною у вільний час, Шевцов з'ясував, що карта ні крапельки не захищена від підробки балансу електронного гаманця. Системи перевірки автентичності електронних підписів не відповідають сучасним вимогам і легко обходяться одним-єдиним втручанням.

Для злому системи Ігор Шевцов використовував додаток для смартфонів «Мій проїзний», яке розроблено «Банком Москви» для гаджетів Android, і дозволяє поповнювати карту за допомогою смартфона з функцією NFC. «Не дивлячись на застосовувані системи захисту, такі як ключі доступу до карти та криптографічний підпис в секторі електронного гаманця, підробка балансу виявилася можлива», - м'яко зауважує програміст.

Найбільше часу зайняло вивчення структури даних в пам'яті карти. Доступ до них виявився відкритий: всі дані, в тому числі дата, час і місце проходу через зчитувальні пристрої, розмір і місце списання і багато іншого зберігаються в незашифрованому вигляді. Але просто шифровка цієї інформації, на думку дослідника, не вирішує проблему.

«У разі, якщо б дані в пам'яті карти були зашифровані, найімовірніше, було б потрібно фізичне проникнення в системи, що працюють з картою, що робить атаку істотно складніше», - впевнений Шевцов.

Більш того, витративши всього десять рублів, програміст зумів знайти осередки, в яких зберігаються дані про баланс: всього-то й треба було, що десять раз поповнити «Трійку» на рубль, уважно вивчаючи зміни кодів.

«Шляхом підбору можливих форматів зберігання даних було з'ясовано, що значення балансу електронного гаманця зберігається в області пам'яті від молодших 4 біт 8 байта до старших 3 біт 10 байта і розраховується за формулою ...», - пише програміст. Відповідно, зміна саме цих цифр в пам'яті карти «Трійка» дозволило поповнити баланс картки, не витративши ні копійки. Підсумком дослідження став додаток TroykaDumper, яке дозволяє легко поповнити баланс картки, фактично не витративши ні копійки. А оскільки додаток встановлюється на мобільний телефон з ОС Android, то електронний гаманець наповнюється цілком реальними грошима в будь-якому місці в будь-який час. Автор дослідження також дає цілком клікабельно посилання на скачування програми.

ЧИТАТИ ДЕТАЛЬНІШЕ НА МОСЛЕНТЕ

Матеріали по темі:

Одним з найбільш знаменитих російських хакерів став Сергій Максимов, який переховувався під ніком Хелл. Він відомий тим, що зламував електронні пошти і «живі журнали» популярних блогерів, в тому числі Олексія Навального.

Він відомий тим, що зламував електронні пошти і «живі журнали» популярних блогерів, в тому числі Олексія Навального

«Національне розвага Livejournal - ходити на Хелл з рогатиною і повертатися
з цієї рогатиною в жопе », - інтернет-мем Justin , 2009 рік

Росіянин Сергій Максимов, якого в 2015 році визнали кіберзлочинців, не зміг оскаржити вирок. Суд залишив його без змін: 17 місяців позбавлення волі умовно і 400 годин громадських робіт, а також штраф у 400 євро.

Росіянину Сергію Максимову, якого в минулому році дільничний суд Бонна визнав кіберзлочинців і засудив до громадських робіт зі штрафом, не вдалося оскаржити вирок. Розглянувши апеляцію, суд залишив вирок без змін: 17 місяців позбавлення волі умовно і 400 годин громадських робіт, а також штраф у 400 євро на користь правозахисної організації Amnesty International, повідомляє Newsru. com

1 лютого земельний суд Бонна підтвердив вирок суду нижчої інстанції, винесений в серпні 2015 року. «Тільки тепер йому в два рази більше судових витрат оплачувати, наших в тому числі», - йдеться в Twitter Фонду боротьби з корупцією Олексія Навального, який був одним з потерпілих у справі хакера.

раніше німецька прокуратура зажадала для хакера два роки в'язниці і кілька сотень годин обов'язкових робіт. В ході слідчих дій у його будинку в Бонні були виявлені і вилучені носії з листуванням Навального і документи, підписані Хелло. Німецький інтернет-провайдер повідомив, що осудні Хеллу атаки здійснювалися з IP-адреси Максимова. Дані про діяльність хакера були передані в німецьку прокуратуру Навальний в 2012 році. За його словами, опубліковані Хелло фрагменти його листування послужили матеріалами для порушення проти нього кримінальної справи про розкрадання в «Кировлес».

За його словами, опубліковані Хелло фрагменти його листування послужили матеріалами для порушення проти нього кримінальної справи про розкрадання в «Кировлес»

А. Навальний, А mnog , 2012 рік

середньовічний інквізитор

хакер Хелл став відомий ще в кінці нульових після злому декількох «Живих журналів» і електронних пошт. У числі його жертв виявилися журналісти Андрій Мальгін і Володимир Прібиловський, депутат Державної думи Віктор Алксніс, Валерія Новодворська та Костянтин Боровий, письменник Борис Акунін і опозиціонер Олексій Навальний. Хелл порівнював себе із середньовічним інквізитором Томасом Торквемадою, який прославився надмірною жорстокістю і створенням ешафота, що дозволяв страчувати по чотири людини за раз.

На просторах інтернету Хелл позиціонував себе «Джокером», який «завжди і на все сто відсотків досягає того, чого він хоче», готовий «ліквідувати» будь-якого, хто встане на його шляху, і «використовує будь-які існуючі методики управління людьми». Подібні пафосні заяви Хелл чергувалися з використанням обсценной лексики і поширеним на початку 2000-х «олбанським» мовою. Як правило, кожен абзац, написаний хакером, закінчувався вигуком «хехе».

Полювання на хакера

сама полювання на Хелл почалася задовго до історії з Навальний. Постраждалі від його зломів журналісти Володимир Прібиловський і Андрій Мальгін створили значне досьє на хакера і прийшли до висновку, що Хелл - це Сергій Максимов. Вони по крихтах зібрали інформацію із записів, які користувач під іменем «Хелл» залишив на декількох форумах і в блогах.

Вони по крихтах зібрали інформацію із записів, які користувач під іменем «Хелл» залишив на декількох форумах і в блогах

Скріншот з ЖЖ Прібиловського

Влітку 2015 року Прібиловський в одному з інтерв'ю заявив: «Це точно він. Досьє, яке почав складати Мальгін і його помічники, і яке я остаточно сформував за допомогою німецьких журналістів і блогерів - доводить це як двічі два. Особисто я і передав його ще в 2011 році німецьким адвокатам Навального ». Як розповів сам Навальний, щоб кримінальну справу проти Хелл в Німеччині стало можливим, всі записи «хакера», що накопичилися за кілька років, довелося зібрати і перевести на німецьку мову. «Людина, яка цим займався, мало не збожеволів», - сказав опозиціонер.

«... влітку 2012 року цей персонаж вдруге зламав мою електронну пошту і твіттер. За дивовижним збігом відразу після того, як мій ноутбук і телефон вилучили в ході незаконного обшуку у «справі 6 травня». До цього «хакер» ламав і крав акаунти багатьох відомих людей - Бориса Акуніна, Андрія Мальгін, Валерії Новодворської, Володимира Прібиловського і т. Д. <...> Наступні кілька місяців Хелл публікував архіви вмісту мого імейл, супроводжуючи їх своїми коментарями, по одним яким вже зрозуміло, що у «хакера» все сильно не в порядку з головою.

Фокус тут особливий в тому, що цей «ідейний злом» за фактом ліг в основу цілого ряду кримінальних справ проти мене і не тільки. Бастрикінскіе шахраї з СК взяли все шматки листування, де було щось схоже на обговорення якогось бізнесу і оголосили це шахрайством. Так народилося «Справа Кировлеса» Справа «Ів Роше». <...>

Нам з самого початку було зрозуміло, що супер-агента ніякого немає, а мова скоріше йде про звичайний інтернет-шахрая, тому ми вирішили «невловимого хакера» притягти до відповідальності досить традиційним чином.

Три роки тому ми провели копітку, допитливу і моторошно неприємну роботу - зібрали і структурували все, що було відомо про те, хто цей «хакер» насправді. Неприємну тому, що довелося перечитувати, сортувати і переводити нескінченні графоманські брудні цього «хакера».

Причетність до влади

невразливість хакера, знущальні витівки і зломи, які слідували один за іншим протягом декількох років, вибір жертв, більше половини яких були журналістами або опозиційними політиками, інтерв'ю довколакремлівського ЗМІ - все це сприяло появі версій про зв'язки Хелл з Кремлем.

Чи не того зловили

влітку 2015 року редакція «Стрічки. ру »повідомила, що з аккаунта Хелл надійшов коментар, автор якого стверджує, що хакер Хелл - це він, і він залишився неспійманих, а Максимов не більше ніж його мережевий знайомий. «Максимов звернувся до мене в блозі в 2010 році за допомогою, оскільки саме тоді він дізнався, що проти нього ведеться розслідування і його звинувачують в тому, що він зламав поштові скриньки, що він веде мій блог, і що він - це я», - йдеться в коментарі. За свідченнями «колег» Хелл, угруповання «Дурниця», хакер Хелл - це не одна людина.

Новости

Как создать фото из видео
Кризис заставляет искать дополнительные источники дохода. Одним из таких источников может стать торговля на валютном рынке Форекс. Но чтобы не потерять свои деньги необходимо работать с надежным брокером.

Как оформить группу в вконтакте видео
Дано хотел свой магазин в вк, но не знал с чего начать его делать. Так как хотелось не банальный магазин с кучей ссылок и фото, а красиво оформленный. С меню, с аватаркой. После просмотра видео создал