обеспечение, в том числе Windows 10, iOS 15, Ubuntu, Chrome и др.

Регламент хакинга

Кубок Гран-при соревнований, проходивших 16—17 октября

в городе Чэнду, завоевали специалисты китайской ИБ-компании

Kunlun Lab, накрякавшие очень серьёзную сумму $654,5 тыс, что

составляет треть от всего призового фонда.

«Кубок Тяньфу» в 2021 году проходил уже четвертый раз.

На китайских соревнованиям правила аналогичные популярным

всемирным хакерским состязаниях в формате Pwn2Own, участвовать в которых китайским исследователям в целях

соблюдения

государственной

безопасности

запрещено

по китайскому законодательству. Ранее до 2017 года китайцы

завоевывали на Pwn2Own многомиллионные призы и пользовались

большим авторитетом в мире, но затем правительство запретило им

участвовать в зарубежных соревнованиях хакеров, так участились

«побеги» великих китайских хакеров в основном в США.

Пекин посчитал, что такие ценные кадры пригодятся и ему самому, и учредил собственные состязания — «Кубок Тяньфу».

По информации на одном из популярных сайтов для

специалистов компьютерной криптографии, в июле 2021 года

организаторы

китайского

хакатона

представили

список

предназначенных для взлома программ. У участников соревнований

было три-четыре месяца на подготовку эксплоитов, которые они

должны были выполнить на предоставленных организаторами

устройствах на арене «Кубка Тяньфу». На запуск эксплоитов им

отводилось пять минут. Участники также могли повысить свой

выигрыш, зарегистрировавшись для взлома большего количества

устройств.

В нынешнем году хакерам был предложен список

из 16 программ, и 11 участников представили успешно работающие

эксплоиты для 13 из них. Не были взломаны только NAS-хранилище

Synology DS220j, смартфон Xiaomi Mi 11 и электрическое

транспортное средство от неназванного китайского бренда, на взлом

которого не зарегистрировался ни один участник. Для остальных же

были представлены рабочие эксплоиты:

Большинство

обнаруженных

участниками

уязвимостей

представляют собой повышение привилегий или удаленное

выполнение кода, но два эксплоита заслуживают особого внимания.

Первый эксплоит позволяет осуществить цепочку атак

на последний iPhone 13 под управлением iOS 15 со всеми

существующими на сегодняшний день обновлениями. С помощью

второго можно в два этапа удаленно выполнить код на Google Chrome, чего уже много лет не удавалось достигнуть участникам

хакерских соревнований.

Для безбедного существования знатокам компьютерных языков

сейчас повсеместно создаются очень привилегированные условия, но количество чёрных хакеров никоим образом не уменьшается

и попытки проникновений в цифровые финансовые системы

не уменьшается, даже с учётом жестокости карательных мер

со стороны государства «любопытство» побеждает любой страх.

Компания Bodacion Technologies предлагает 100000 долларов

любому, кто сумеет взломать их биоморфический генератор

случайных чисел и предсказать заключительный, тысячный номер

в последовательности из 999 известных чисел.

На государственном и корпоративном уровнях проблемы защиты

программных приложений достигают катастрофических провалов.

Деньги с финансовых счетов банков и корпораций исчисляются

триллионами долларов. Чтобы скрыть ужасное положение и урон

от чёрных хакеров государственные и корпоративные системы, как

страусы свои головы, зарывают проблемы в секретных отчётах. Если

люди достоверно узнают количество похищенных хакерами денег

из банков, то они все единовременно попытаются обналичить свои

средства, «хранящиеся» в банках. Так рождаются тайны покрытые

мраком. Но всё равно на свет божий прорывается информация

об «успехах» чёрных хакеров.

В августе 2021 года хакерам удалось взломать криптоплатформу

Poly Network. В ходе атаки было похищено более $600 млн

в различных цифровых валютах, что сделало этот случай

крупнейшей кражей в сфере криптомонет. Poly Network сообщили

об инциденте в своем Twitter-аккаунте и попросила «дорогого

хакера» вернуть украденные средства. Злоумышленник перевел

большую часть криптовалюты обратно на платформу, а свой

поступок объяснил желанием повеселиться. В конечном итоге, сервис

объявил,

что

не

намерен

привлекать

хакера

к ответственности. Вместо этого представители Poly Network предложили ему вознаграждение в виде $500 тысяч и должность

советника по вопросам кибербезопасности.

Хорошо парень был добрый и пошутил всего на $600 млн. Это

только говорит о недосказанности рисков цифровых финансовых

систем. В этой сфере есть свои Геростраты, которые вполне реально

могут обрушить не только могущественные банки, но и крупнейшие

финансовые системы.

По ходу этого повествования уже прозвучало: во всём, что

предполагает наживу деньгами, нельзя искать ничего кроме

подвоха. Смело могу заявлять, что любая криптовалюта — это

компьютерная игра с закрытыми для игроков правилами.

По сюжетам популярного корейского сериала «Игра кальмара» была

создана криптовалюта Squid. Её создали, как дурацкую шутку

в целях рекламы сериала. Объявили монетку криптовалютой, которой она изначально даже не являлась. Для участие в игре

из шести раундов от обывателей требовалось за один цент купить

монетку. В связи с ажиотажностью сериала стоимость токена

за несколько недель выросла с 1 цента до $2,34, то есть на 2300%.

В игре была фишка о невозможности монетизации монеток

до окончания сериала — продать токен нельзя, после игры его

можно будет лишь обменять на другие монеты или деньги.

Создатели обещали, что игра стартует и закончится, но по факту

глупости зрителя они сняли всю сумму капитализации токена, как

только выручили за продажу криптодурилок очень приличную

сумму, когда она превысила $2 миллиона. Примитивная

жульническая схема называемая буратинками, когда просто берут

все инвестированные в аферу средства, обналичивают полную

сумму и смываются в тёплые края «есть ананасы и рябчиков жувать

с шампанским».

В октябре 2021 года стало известно, что преступники завладели

тридцатью пятью миллионами долларами из банка в ОАЭ, имитируя

голос главы банка с помощью продвинутого искусственного

интеллекта. Сообщается, что юмористы использовали дипфейк для

имитации законной коммерческой операции, связанной с банком.

Forbes сообщил, что deepfake голоса использовался, чтобы

обмануть работника банка и заставить его думать, что он переводит

деньги в рамках законной операции. История стала обсуждаться

после публикации судебных материалов, которые имели место

в январе 2021, когда управляющий неназванного банка получил, казалось бы, обычный телефонный звонок.

Человек по телефону утверждал банку, что является директором

крупной компании, с которым менеджер ранее уже разговаривал, при этом, согласно судебным материалам, их голоса были

идентичными. Всё это подкреплено электронными письмами

от банка и его юриста, выглядящими как настоящие, которые смогли

убедить менеджера филиала в том, что он говорит с директором, а компания действительно находится в процессе крупной

коммерческой сделки на сумму $35 млн. Впоследствии банковский

чиновник следовал указаниям звонящего и сделал несколько

крупных денежных переводов от компании на новый счет.

К сожалению, всё это была изощренная афера. Следователи

из Дубая выяснил, что мошенники использовали технологию