У нас в статье коротко описан процесс совершения атаки: была установлена фейковая точка wi-fi MosMetro_Free, те кто подключается к этой сети в метро и не отключили wifi на телефоне, автоматически соединились с фейковой точкой. При этом whatsapp (или другое приложение) попытался подключиться к своему серверу, используя в качестве логина номер мобильного телефона, указанный при регистрации, передается он в открытом виде, таким образом «злоумышленники» могли собрать номера телефонов, находящихся на PHDays. После этого рассылка сообщений через обычный SMS-шлюз — уже дело техники.
Особенность картинки, указанной по вашей ссылке, заключается в том, что телефон там «неуязвимый», т.е. без wifiи без whatsapp, и вопрос — каким образом его хакнули в таком случае
Ответ – SIM-карта (номер телефона) на который зарегистрирован аккаунт приложения (whatsapp) стоит в этом «неуязвимом» телефоне, а телефон с приложением и wifi– другой, его то и поймали на фейковый MosMetro_Free
2. Потому что АДАМы не тупые, в них крутилась отдельная программа, не дававшая перенацелить ракету в сторону мишени. Ее надо было сначала отключить. А интерфейс модуля был закрыт своим паролем. Вероятно, и это бы сломали, но времени не хватило.
3. Нет, этого было недостаточно в силу изложенного в п.3.
В правилах в этом году действительно не было запретов на проведение атак на сетевом уровне, поскольку мы всегда решали эту проблему технически, а не организационно. В этом году появились накладки с рейтом в порт секурити – наша вина. Соответственно, ваша логика корректна – в правилах сетевые атаки не запрещены и выиграли участники с наибольшим количеством денег на счету.
Тут еще вот какой момент, финал конкурса проходит очень динамично, и по его ходу невозможно понять, как тот или иной участник добывает деньги — крадет их из банка или у других конкурсантов (и если так, то каким образом). В итоге подробности того, как именно победители смогли добиться такого результата стали известны уже после награждения, когда пересматривать результаты несколько поздновато.
Да и это, как вы отметили, все-таки хакерский конкурс, если кто-то проявил смекалку, то можно его только похвалить. Оборудование изначально было настроено так, чтобы не позволять проведение таких атак, и после конкурса ее не удалось воспроизвести, но во время финала это получилось (выше как раз сказано почему это стало возможным). В следующем году мы постараемся предусмотреть подобные ситуации еще и в правилах.
Что касается «двойных» стандартов в отношении участников CTF, то изначально, во всех конкурсах, помимо «Большого куша», рейтинг посетителей и команд был разным, т.к. место которое мог занять посетитель сразу превращалось в количество команд участвующих в данном конкурсе + 1 (это по нашему опыту оценка скиллов). Согласитесь, не очень хороший стимул для посетителей. Концепция изменилась в самом конце дня для конкурсов где фактически кроме команд или их участников некого было награждать. В Конкурентной разведке, о которой вы говорите, было очень много других участников. Уверяем вас, общение между организаторами конкурсов и участником CTF команды было спокойным и корректным: никто никого не выкидывал.
Ну кстати, чисто ради спортивного интереса стоит отметить, что *неленивые* парни умеют вычислять девушек с конференции PHDays по одной только фотографии, сделанной в туалете: habrahabr.ru/company/xakep/blog/254129
Выступление Дмитрия по вашему вопросу можно посмотреть в видеозаписи PHDays. Заходите на www.phdays.ru/broadcast, в правом окошке будет расписание — там выбирайте доклад «Радиолюбительская космическая связь».
В той же секции, кстати, еще два хороших доклада про исследования космоса через Интернет — Виталий Егоров и Александр Ильин.
Про загрузку банкоматов — нам доводилось слышать и противоположные версии: когда перевозка денег и замена кассет является потенциально опасным делом, то стараются загружать по максимуму.
Про «взлом» у нас и не говорилось. Секция «Космическое киберпространство» была вообще посвящена любительским исследованиям космоса, а не вредоносным действиям.
Хотя слово «подключился» действительно некорректное. Поправим.
Насчёт «тупо поймал». Занятие не такое уж тупое. Суть истории, рассказанной на конференции, была в том, что Роскосмос в ответ на запросы о фотографии затмения всем отвечал, что они не могут эту фотографию предоставить. Возможно, им просто было лень. А парень из Рузаевки эту фотку получил и опубликовал прямо в день затмения.
По первому вопросу: в обычном банкомате 3-5 кассет по 2-3 тысячи банкнот в каждой. Конечно, банкноты могут быть разного номинала, и загрузка может быть неполной, так что дальше идёт действительно грубое усреднение и округление. То есть там *может быть* более 10 миллионов рублей, а может быть и меньше.
По второму вопросу: через Интернет можно увидеть параметры конфигурации, которые отличают банкомат от обычной персоналки. Или произвести поиск именно по этим параметрам. Какие именно параметры, мы не будем здесь рассказывать. Чтобы не провоцировать.
Особенность картинки, указанной по вашей ссылке, заключается в том, что телефон там «неуязвимый», т.е. без wifiи без whatsapp, и вопрос — каким образом его хакнули в таком случае
Ответ – SIM-карта (номер телефона) на который зарегистрирован аккаунт приложения (whatsapp) стоит в этом «неуязвимом» телефоне, а телефон с приложением и wifi– другой, его то и поймали на фейковый MosMetro_Free
См.здесь — zone.ni.com/cms/images/devzone/tut/TCP_transaction.JPG
2. Потому что АДАМы не тупые, в них крутилась отдельная программа, не дававшая перенацелить ракету в сторону мишени. Ее надо было сначала отключить. А интерфейс модуля был закрыт своим паролем. Вероятно, и это бы сломали, но времени не хватило.
3. Нет, этого было недостаточно в силу изложенного в п.3.
Тут еще вот какой момент, финал конкурса проходит очень динамично, и по его ходу невозможно понять, как тот или иной участник добывает деньги — крадет их из банка или у других конкурсантов (и если так, то каким образом). В итоге подробности того, как именно победители смогли добиться такого результата стали известны уже после награждения, когда пересматривать результаты несколько поздновато.
Да и это, как вы отметили, все-таки хакерский конкурс, если кто-то проявил смекалку, то можно его только похвалить. Оборудование изначально было настроено так, чтобы не позволять проведение таких атак, и после конкурса ее не удалось воспроизвести, но во время финала это получилось (выше как раз сказано почему это стало возможным). В следующем году мы постараемся предусмотреть подобные ситуации еще и в правилах.
Что касается «двойных» стандартов в отношении участников CTF, то изначально, во всех конкурсах, помимо «Большого куша», рейтинг посетителей и команд был разным, т.к. место которое мог занять посетитель сразу превращалось в количество команд участвующих в данном конкурсе + 1 (это по нашему опыту оценка скиллов). Согласитесь, не очень хороший стимул для посетителей. Концепция изменилась в самом конце дня для конкурсов где фактически кроме команд или их участников некого было награждать. В Конкурентной разведке, о которой вы говорите, было очень много других участников. Уверяем вас, общение между организаторами конкурсов и участником CTF команды было спокойным и корректным: никто никого не выкидывал.
habrahabr.ru/company/xakep/blog/254129
В той же секции, кстати, еще два хороших доклада про исследования космоса через Интернет — Виталий Егоров и Александр Ильин.
В статье рассказано, что про наручники будет мастер-класс на конференции PHDays. Кто был, тот знает, что мы не соврали.
Хотя слово «подключился» действительно некорректное. Поправим.
Насчёт «тупо поймал». Занятие не такое уж тупое. Суть истории, рассказанной на конференции, была в том, что Роскосмос в ответ на запросы о фотографии затмения всем отвечал, что они не могут эту фотографию предоставить. Возможно, им просто было лень. А парень из Рузаевки эту фотку получил и опубликовал прямо в день затмения.
По второму вопросу: через Интернет можно увидеть параметры конфигурации, которые отличают банкомат от обычной персоналки. Или произвести поиск именно по этим параметрам. Какие именно параметры, мы не будем здесь рассказывать. Чтобы не провоцировать.
А для ответа на ваш второй вопрос интересно узнать ваше определение «обычного компьютера».