About Teletype
Join
menaskop
@menaskop
January 28

DeFi. Безопасность. Экзотические атаки

DeFi. Безопасность

Да, такие тоже бывают. Конечно, если вы - не кит, у которого есть 100-100 000 BTC, а то и целый миллион :), навряд ли кто-то будет к вам их применять.

Но, во-первых, вы можете стать таковым; во-вторых, всякое бывает, а погоны - точно не спят и кто знает, может вы - очередной Ульбрихт (читай - козёл отпущения), которому за уши надо привязать очередное громкое дело…

Если серьёзно, то, конечно, пусть вас любые ненастья обходят стороной, но порой важно знать, что в этом мире бывает, чтобы НЕ расширять границы Зла.

Наблюдения через Wi-Fi

Зачем нужен такой вектор атаки?

Во-первых, чтобы собрать на вас компромат: разного рода недостойные люди - мошенники, вымогатели, политики и т.д. - это любят. Во-вторых, может, кто-то знает, что у вас тайник и хочет отследить, как вы с ним взаимодействуете (и когда)?

Цитирую: “Исследователи из лаборатории профессора Университета Калифорнии в Санта-Барбаре Ясамин Мостофи предложили новую технологию, которая позволяет получать высококачественные изображения неподвижных объектов с использованием только сигналов Wi-Fi. Их метод использует геометрическую теорию дифракции и соответствующие конусы Келлера для отслеживания краёв объектов. Эта технология также впервые позволила получить изображение букв английского алфавита через стены с помощью Wi-Fi — задача, которая считалась слишком сложной для Wi-Fi из-за особенностей формы букв”.

Как видим, кейлоггер такого типа тоже возможен.

Визуализацию этого дела - см. в видео:

Визуализация атаки

Конечно, можно смастерить сетку Фарадея - но это уже признак, что-то там скрываете (хотя не обязательно: может, просто хочется тишины?).

В любом случае - такой способ есть и фактически от него укрыться сложно: разве что вводить спец. помехи и использовать специальные перекрытия в стенах.

Да и надёжность способа такова, что развиваться он будет за вектором AI скорее, чем за вектором железа. И всё же, такое есть: знайте.

Читаем по губам… сквозь окна

Если смотрели “Космическую Одиссею 2001”, то наверняка знаете, как не добрый компьютер считал по губам то, что должно было от него быть скрыто: думаю, в эпоху AI этим никого не удивишь.

Тем более что Siri, Алиса и прочие бдят и прослушивают всех и каждого.

Другое дело, что раньше можно было лазерным микрофоном считать звук сквозь окно (для защиты на окна ставили специальные вибраторы и прочие хитрые устройства), то теперь исследователи додумались считывать звук с… лампочки!

Цитирую: “Основная идея метода состоит в том, что в качестве объекта, с которого снимаются вызванные звуком вибрации, исследователи решили использовать лампочку — отсюда и название техники.Лампочка — объект максимально простой и в то же время максимально яркий. Поэтому можно не тратить вычислительные ресурсы на анализ мельчайших деталей изображения. Достаточно направить на лампочку мощный телескоп, через который световой поток с лампочки поступает на фотоэлемент. Лампочка не вполне равномерно излучает свет в разных направлениях (что интересно, эта неравномерность неодинакова: она довольно высока у ламп накаливания и диодных ламп, но гораздо ниже у флуоресцентных). Из-за этой неравномерности вызванные звуковыми волнами вибрации лампочки немного меняют интенсивность светового потока в направлении фотоэлемента. И данные изменения вполне достаточны, чтобы их можно было уверенно зарегистрировать”.

Поэтому вас можно не только видеть сквозь стены, но и в буквальном смысле слышать: визуал - данные - звук - запись. А уж сделать AI-ретранслятор - дело вполне посильное каждому.

Навряд ли кто-то будет использовать это для того, чтобы послушать, как вы поёте в ванной (даже если делаете так же хорошо, как герой фильма “Римские приключения”), но в случае сверх-важных переговоров - всё возможно.

Ну что, у вас заиграла новыми красками фраза: “Встреча прошла за закрытыми дверьми”, - мг?)...

Уникальные кейлоггеры

Собственно, эти устройства, как рассказал в прошлый раз, могут быть просто невероятными - фантастическими! Например:

  1. Считывающими звуки клавиш: arxiv.org/pdf/2403.08740
  2. Подключенными в разъёмы ПК: выглядят они как флэшка, как провод, как переходник;
  3. И, поверьте, это далеко не всё.

Поэтому, работать в кафе - круто, но:

  1. Не пользуйтесь DeFi-инструментами и кошельками вообще с общественного (публичного) Wi-Fi;
  2. Не оставляйте свой ноут без присмотра даже на пару секунд, как и смартфон: а, если уж оставили, блокируйте и используйте доп. программы блокировки со сложными паролями;
  3. Проверяйте даже домашний ПК/MAC, если речь идёт о крупных сделках, на предмет “инородных тел”.

Атака выглядит фантастической, но на самом деле: зайти в “послушной” юрисдикции, где люди часто даже двери не закрывают, установить кейлоггер-флэшку - это дело минуты. А потери…

В общем, дожили до накопленного состояния - знайте об этом: надо ведь его, состояние, ещё сохранить и приумножить.

Гипноз

Уже писал, что соц. инженерия - самая разнообразная по инструментарию нападения и самая опасная атака, но и у неё есть экзотические ответвления. Конечно, гипноз, как его показывают в популярной литературе, - фейк, но НЛП-практики (точнее - их конкретные практические и вполне научные аспекты: скажем, такие, как считывание языка жестов) никто не отменял: они действуют не всегда и не на всех, но действуют. И дело не в эзотерике, её обхожу стороной, а в том, что у КАЖДОГО человека есть внутренние, психологические слабости: вспомните сцену из "Матрицы", где Меровинген преподносит пирожное-сюрприз некой даме.

Если вы - выпили, слишком радостны, находитесь в дружеской атмосфере, влюблены впервые, получили крупный выигрыш и т.д. Вы - уже под воздействием. Дальше - дело техники.

Собственно, в этих случаях надо сделать две вещи:

  1. Подготовиться заранее: научитесь хранить малое - на большом не будет проблем;
  2. Если вы в состоянии эйфории - не прикасайтесь к деньгам вообще: отдых - это отдых, работа/труд - это работа/труд.

Всё.

Этого достаточно, чтобы избежать плохой участи в связи с подобной атакой. Но, к сожалению, расчленённые трупы крипто-блогеров показывают и доказывают, что люди в современном обществе потребления не могут остановиться и хвастаются слишком много и часто, а заканчивается это плачевно: ведь после псих. атак, как в фильме “Фокус”, часто следуют физические - они грубее, злее, но и мощнее.

Поэтому живите скромно, учитесь - постоянно и освойте азы психологии.

Поверьте, это поможет: я плохо владею английским, из испанского знаю 10 слов, как и в грузинском или французском, но язык жестов и прочие психологические тонкости - помогли мне в самых разных странах: от Швейцарии до Эквадора и обратно.

И вам помогут…

Выбитая из под ног почва

Это атака социально-технического типа.

К сожалению, мне тоже приходилось её переживать (и даже не раз, а целых три) на себе. Суть в том, чтобы подготовить разные векторы нападения на вас и подключать их не постепенно, а быстро и последовательно: будто со всех сторон на вас набросили пчёлы и жалят. Лавина - только из нападений.

И чем векторов атак больше - тем выше вероятность, что вы не справитесь и сдадитесь. А то и умрёте.

Методы здесь могут быть самые разные:

  1. Психологическое воздействие: скажем, если у вас есть дети, обвинят вас в том, что вы - распространяете дет. п-но (ХХХ); или, если вы либертарианец, как Ульбрихт, то вас объявят экстремистом и наркобороном и т.п.
  2. Физическое воздействие: шантаж, прямое насилие, угроза его применения, слежка и прочее.
  3. Технический взлом: DDoS ваших ресурсов, спам по клиентской базе, угрозы сотрудникам и т.д.
  4. Запуск чёрной PR-кампании в СМИ: раз - и уже майнеры - недруги народа, из-за которых горят дома по деревням.
  5. Прочее, прочее, прочее.

Здесь самое главное, чтобы атакующие действовали слаженно и с разных сторон: одни - пишут доносы в правоохранительные органы, другие - запугивают, третьи - ломают тех. инфраструктуру, четвёртые - бегают по форумам и чернят ваше доброе имя.

Конечно, такое случается редко, но: первый раз со мной произошло подобное, когда с компаньоном выиграл затяжной арбитражный суд у обнальщиков, которые хотели через нас проворачивать схему с неосновательным обогащением (они переводили деньги нам, мы выступали как агент, работающий от имени и за счёт принципала, потом мошенники получали товар от продавца (принципала) - скажем, код для PSP, а затем подавали в суд, мол, товар они от нас не получили: а от нас они и не могли его получить - это обязанность продавца; так они получали деньги назад - списания происходили по заочным решениям, также получали и ликвидный товар, да ещё “негативили” по сервисам отзывов, вынуждая нас вернуть средства повторно - уже в электронном виде, а не через безнал).

После этого пришлось больше года вычищать просторы интернета от бот-отзывов, встречаться с правоохранителями, объясняя суть происходящего, а потом, получить в апогее обыски, основанные на лжедоносах. Атака была жёсткая и не справедливая, но просто свернуться клубочком и отмолчаться не вышло бы.

В общем, никому не пожелаю подобного, но защита здесь одна:

  1. Действовать методично и планомерно, не отвлекаясь на "сопли";
  2. Не отступать и не сдаваться: заплатите раз - заплатите и 100-й раз тоже: мошенники не урезают свой аппетит никогда;
  3. Использовать только легальные методы борьбы: прохвосты только и ждут, чтобы вы ошиблись (и так меня подставили в 3-й раз, хотя ошибкой назвать это трудно - помарка, но об этом - не сегодня).

Но идём дальше…

Продолжение следует

Если рубрика была интересна - пишите комментарии и отзывы, продолжим, а пока всё и

До!

menaskop
January 28, 05:36
0 views
2 reactions
0 replies
0 reposts