Comments 73
Одним словом, хакеры опять прилюдно нагадили в солонку, а Петровичи с завода остались без обеда.
Ну тут сложно было предугадать уровень «вахтёрности» последовавшей реакции :) Взлом, требующий пайки и знания пароля, можно контрить просто неторопливой сменой пароля в штатном порядке.
просто поменять пароль слишком сложно - надо устроить РЕЙД
У "вахтеров" нет гарантии, что пароль уже не был слит заранее одним из участников. Пайка не такая уж и сложная тема. Я конечно не представляю в каких условиях используются эти ноутбуки, под камерами, в отдельных помещениях, или их раздают в личное пользование например. Но в тюрьмах и не такие вещи появляются, а пронести хакнутый микрочип в тюрьму задача не такая уж и нерешаемая в этом аспекте. Паять его кстати при этом не обязательно. Достаточно его "загнездить". Хотя и "паяльник" можно соорудить в бытовых условиях и обойтись без флюса. Так что "вахтеры" все правильно сделали. Защита взломана, публично об этом стало известно, надо в любом случае все менять, или хотя бы делать вид, что сменили, что бы меньше появилось желающих.
Это всё - занятие крайне муторное, доступное единицам из заключённых и в целом не очень полезное (на уровне сети всё критичное тоже 99% что порезано).
Как-то реагировать надо, тут соглашусь, просто чтобы не создавать впечатления, что всё, гуляй арестант, можно хакать всё подряд. Но практически эти телодвижения ни на что не повлияют.
Тут уж скорее хакеры продемонстрировали, что имея физический доступ к солонке и современному станочному парку и имея квалификацию слесаря, можно удалить пробку солонки и потенциально там может оказаться не соль, а дерьмо.
На что власти конфисковали все солонки, поскольку наличие дерьма в еде противоречит СанПиНам...
Для замыкания круга нужно, чтобы этого хакера ограбил какой-нибудь освободившийся заключённый, который на суде скажет "я так то пытался стать законопослушным, учился, но из-за какого-то мудака программа была свёрнута, пришлось заняться разбоем"
Ну уж нет. Хакеры просто показали как гадить в солонку, а Петровичи-вертухаи побежали солонки отбирать.
отметив, что работу сторонних хакеров невозможно воспроизвести в тюремной среде
Мне тоже кажется, что это вахтёрский синдром. В лаборатории вообще можно сделать всё, скажем, перепаять микруху биоса на человеколюбивую…
В тюремных условиях нет возможности забрутфорсить пароль, но он уже был выложен в паблик. Так что теперь только менять…
Вспомнил случай из 2000х. Поселился в студенческую общагу и на первом этаже была кухня а за ней компьютерный хаб, где можно было посидеть в интернете, для чего надо было использовать пароль и логин, который можно было приобрести у коменданта. Естественно, денег у студентов было мало, а в интернете на сайтах знакомств посидеть было охота, тем более в чужой стране, мы всячески старались эти компы запустить без ввода пароля, для чего самым простым способом, который я придумал, было загрузка в сэйф моде, переименование папки с приложением, которое запускалось поверх винды и не давало зайти в интернет.
После этих действий программа просто не запускалась и мы спокойно сидели в сети.
Комендант нас палил за этим делом и неистово орал что мы не оплатили интернет и сидим тут нахаляву, но нам было все равно и как только он уходил, мы садились за комп и продолжали сидеть в интернете. Впрочем, мы все возвращали на место, переименовывая папку назад, чтобы те, кто шарил из руководства общаги, не догадывались как мы обходим эту защиту.
В один прекрасный день мы увидели как за компами сидят какие-то типы и что-то там настраивают. Комендант увидев нас, злобно лыбился и говорил, что халява закончилась, что сейчас программисты решат нас любой возможности обойти защиту.
Вечером, мы собрались у компов и попробовали старый метод. Но компьютер не входил больше в сэйф мод, не реагировал на нажатия клавиш Ф2 или Ф5, я уже не помню. Меня это немного смутило, я перевернул клаву и увидел, что болтики на ней уже кем-то раскручивались. Это меня позабавило, но ведь не могли же они тупо перерезать контакты на клавишах? Раскрутив ее я увидел именно это. Мы посмеялись и сбегали в ближайший магазин компьютерных запчастей за новой клавой.
Увидев нас снова сидящих в интернете, комендант орал сильнее обычного, но вроде как понял, что битва проиграна.
Естественно, денег у студентов было мало, а в интернете на сайтах знакомств посидеть было охота, тем более в чужой стране, мы всячески старались эти компы запустить без ввода пароля, для чего самым простым способом, который я придумал, было загрузка в сэйф моде
Вы наверно гордились своей хитростью, которая позволяла вам обманом получать платные услуги, за которые другие люди исправно платили. У вас же было оправдание - мало денег. И 45 плюсов показывают, что все вас поддерживают. Да и вы наверняка до сих пор гордитесь этим фактом.
Очевидно, это была личная инициатива коменданта - заработать немного денег. Приблизительно как у О.Бендера, собирающего взносы на ремонт Провала. И я очень сильно сомневаюь, что это он купил компьютеры и вложился своими деньгами в этот проект. С кем-то прокатило, с кем-то нет.
Не вижу в том комментарии особой гордости, вижу лишь весёлую байку из прошлого.
Мы скачали portable-версию паскаля и написали софт, который истерически верещал "Сейчас всё отформатирую, срочно введите пароль администратора". А потом с максимально глупыми лицами позвали местную версию коменданта. Программа приняла введённые данные, записала в файл и вывела сообщение "вы спасли компьютер, спасибо большое".
Зато компания получила заказ на 6-ю версию ноутбуков гораздо быстрее, чем рассчитывалось.
«чтобы обеспечить немедленное обновление системы»
Перешьют BIOS с новым паролем. Ну, ОК. Пока очередная партия не всплывет на eBay
Хабраэффект в действии.
Навел хакер суету, теперь пацанессы из Гиг-Хабр... Харбора без компов сидят.
вспомнилось что умелым пацанам призакрытый доступ в сеть - не проблема, достаточно социнженерии и тв приставки на андройде
версию этого ноутбука с предустановленной ОС Endless Justice
Для пэжэшников, что ли? («ПЖ» == «пожизненное»).
Хабровчане, сознавайтесь
Т.е. проблема в том, что пароль на биос одинаковый на ВСЕХ ноутбуках и НИКОГДА не менялся? )))
Ну, допустим что, ваш сосед ходит со слитком золота в кармане пиджака.
Будем считать что он идиот и у него хреново с безопасностью.
Вы зачем об этом в газете объявление дали?
Когда сидел в нидерландской тюрьме у меня был прозрачный телевизор в камере. Жаль не было ноутбука.
А какой туроператор был?
Буклеты; Хочу в тюрьму
Несколько заключённых из Вашингтонского исправительного центра для женщин в Гиг-Харборе сообщили, что их поместили в изолятор, пока сотрудники исправительного учреждения приходили забрать ноутбуки. Им сказали, что ноутбуки нуждаются в обновлении, но «они не пришли, как будто это был рейд с целью простого обновления системы», — уточнила одна из участниц программы реабилитации.
Напомнило Аверченковское "Люди, близкие к населению".
А через несколько лет мы случайно узнаем, что на самом Амос деле ноут ему прислал и оплатил взлом производитель, чтобы продвинуть следующую модель...
Очередной идиот не подумав что-то ломанул и выложил в паблик. Сколько ещё должно быть судебных дел, где таких уников будут штрафовать на сумму убытков пострадавшей стороны, чтобы они наконец запомнили - о факте уязвимости говорить можно, но выкладывать пароли напрямую или код для взлома чревато?
А чем чревато? Он что, лицензионное соглашение подписывал? Нда? Вряд ли.
Секретность на основе неизвестности - глупостью было уже и 50 лет назад.
Могли бы на каждый комп делать уникальный пароль, который бы высчитывался на основе серийного номера...
Ага, я помню, как давно читал, что разрабы GSM кричали о его абсолютной защите, так как формат шифрования был закрыт. Тогда какой-то хакер снял поток цифровых данных с сотового и за пару недель взломал этот формат. Тогда пришли к выводу, что секретность формата самая плохая защита.
Могли бы на каждый комп делать уникальный пароль, который бы высчитывался на основе серийного номера...
Это геммор для ИТ службы - каждый раз смотреть серийник, куда-то вбивать его, потом оттуда пароль ручками на сам комп.
Алгоритм высчитывания пароля так же может утечь, ничем не отличается от текущей ситуации
По сути ИТ службе исправительных учреждений достаточно самостоятельно менять их до выдачи осуждённым.
Привязка к серийнику проще всего. И как бы лезть в биос такого ноута - это либо надо раз в пятилетку, либо не понадобится никогда. Они приходят в тюрьмы уже настроенные, и обычно управляются централизованно теми же доменными политиками, например.
Ну или к маку сетевухи например. Так даже вводить ничего не нужно будет, управляющий софт всё сам сделает.
Алгоритм высчитывания пароля - посмотреть в таблице, какой пароль у ноута с этим серийником
Как часто вообще приходится лезть в BIOS/UEFI после первоначальной настройки?
Подписывал, гражданство называется. Его действия повлекли убытки и у него не было подписанного документа, разрешающего это? Всё, этого достаточно.
Американцы вон вообще любят судить даже не своих граждан за нарушение американсокого законодательства)
Американцы вон вообще любят судить даже не своих граждан за нарушение американсокого законодательства)
Я вам больше скажу, любое государство в пределах своей юрисдикции может судить гражданина любой другой страны за нарушения закона. Сферический американец, нарушивший российские законы на российской земле, будет осуждён российским судом. И наоборот, россиянин, нарушивший американские законы на американской же земле будет осуждён американским судом.
Ненене, я не про это. Само собой, нарушения закона на территории государства будет осуждено по законам этого государства.
Вот только в сша могут принять закон, не связанный с территорией их страны, и осудить за его нарушения того, кто никогда в сша не бывал даже. Например - регулярные суды по всяким хакерам. Множество раз было, когда киберпреступник вёл деятельность даже не затрагивая никак территорию америки, но его признвали "угрозой", заочно осуждали, а потом требовали поимки и выдачи... просто потому что так хотят.
У них вообще есть шикарных механизм под названием "национальная безопасность". Что угодно можно объявить угрозой безопасности и на основании этого войска там вводить в другие страны, бомбить мирные города, прослушку ставить и всё в этом роде.
Что то я не помню таких случаев. А вот если кибертеррорист непосредственно затронул деятельность американских фирм или что то ломанул на территории США, даже находясь в другой стране, то уголовное преследование кмк оправдано. Как недавний случай с попыткой экстрадиции Кислицина.
Ок, вот буквально только что читал - сенат вызвал к себе владельца тиктока. Который гражданин сингапура. Потому, что кто-то там решил, что тикток сливает данные пользователей, а именно американцев, китаю. Без доказательств, просто на словах так решили. И этого им хватает, чтобы обязать гражданина не своей страны продать бизнес кому угодно. Ну то есть аргументация "узкоглазый? значит китаец. значит шпионит и сливает данные. наказать!"
Простите, "отжать бизнес по-американски" с тик-током никак не соответствует вашему заявлению:
когда киберпреступник вёл деятельность даже не затрагивая никак территорию америки, но его признвали "угрозой", заочно осуждали, а потом требовали поимки и выдачи...
Тикток ведёт деятельность на территории США. Если бы тикток вёл деятельность только, допустим, в Сингапуре, Китае или России, то сенат США бы не подключали, законами не обмазывали бы, отжали бы другими методами.
Заочно не осуждали
Поимки не требовали
Выдачи не требовали
Он вполне легально, на легальные деньги, на легальной площадке купил товар, вот кого и надо наказать то того кто не утилизировал и допустил продажу этого ноутбука.
Я думал, такое только в России может быть, что контору по утилизации, заработавшую дважды, даже не зацепилл никак.
Что попросили - то они и сделали. Апгрейд работающего и достаточного ноутбука на такой-же только новый сам себя не продаст
Как бы утилизация подразумевает физическое преобразование в нечто, теряющее свои предыдущие заявленные свойства.
Вообще говоря, необязательно. Утилизация - это просто получение максимальной выгоды от чего-то, что не может далее использоваться по назначению.
Это может быть разбор на запчасти или даже на ценные материалы - одна история. Может перепродажа детям Африки - другая.
Обычно при утилизации чего-то около-IT-шного ставят дополнительным условием невозможность извлечения данных первого владельца. Зачастую проще всего это условие выполнить сломав накопители, тогда остальное действительно проще всего (а значит и дешевле) на запчасти пустить. Но, повторюсь, в общем виде это совершенно необязательно.
Должностные инструкции зиц-прелседателя Фукса тоже много чего предполагали. Но просили его всё же об исполнении несколько другой роли
они работают над тем, чтобы .... новых моделей ноутбуков Securebook 6 на замену Securebook 5
Уууу! и как же это вовремя, что "внезапно" (с)
организация перепродала их, продав 100 экземпляров Securebook на eBay.
...и по чистой удаче на коленке забрутфорсили 40-символьный SHA-1
И что же теперь станет с колл-центрами?
ноутбуки, которые содержат стандартные приложения Microsoft Office, ...
а на скрине рядом LibreOffice xD
"Проходите, лекция для колхозников!" (c)
Обнародование данных о взломе б/у прозрачного тюремного ноутбука привело к изъятию 1200 таких рабочих устройств из тюрем