Инструмент взломщика для начинающих. Бесплатно

...

Мечта начинающего злоумышленника: программа, которая выполняет все вредоносные действия самостоятельно, требуя от пользователя лишь нажатия нескольких кнопок - наведение на цель и выбор желаемых разновидностей атак. Что ж - временами мечты сбываются.



Вскоре на Android Market появится своеобразный программный набор типа "сам себе хакер", построенный взломщиком по имени Ицхак Авраам. Продукт называется "The Android Network Toolkit", сокращенно - просто "Anti"; его сможет бесплатно загрузить и установить любой владелец Android-устройства. К программе даже имеется документация, в которой создатель рекомендует пользователям не увлекаться темными делами и применять обширные возможности Anti исключительно для благих дел - поиска и выявления уязвимостей, например.


Итак, что умеет приложение? Во-первых, оно может обнаруживать открытые сети Wi-Fi и сканировать их на предмет мишеней, а также проводить трассировку пакетов с целью выяснения IP-адресов удаленных серверов; таким образом начинающий злоумышленник сможет определить цель для нападения. Когда цель задана, открывается окно выбора действий, которые можно предпринять против нее. В меню имеются команды "Сканировать" (то ли на уязвимости, то ли просто на предмет открытых портов), "Подключиться", "Атаковать", "Шпионить", "Внедриться". Соответственно, оператор способен предпринимать агрессивные действия против цели, перехватывать данные и осуществлять удаленное управление. Отмечается, что продукт готов работать в связке с популярными пакетами для проверки информационных систем на уязвимости - наподобие Metasploit или ExploitDB.


На компьютеры под управлением Windows взломщик может забросить троянского коня, позволяющего направлять пораженной системе некоторые несложные команды извне - скажем, сделать снимок экрана, открыть лоток CD-привода, запустить служебную программу вроде калькулятора, - демонстрируя таким образом факт несанкционированного проникновения. Также продукт может эксплуатировать стандартные SSH-пароли разблокированных мобильных устройств Apple, чтобы получить к ним доступ. Кстати, автор намерен портировать свою разработку и на iOS.


Специалисты отмечают, что если приложение не окажется розыгрышем (слишком уж наигранно выглядят все эти пункты меню в духе американских блокбастеров), то, несомненно, оно будет пользоваться популярностью как у начинающих исследователей в области безопасности, так и у будущих взломщиков. Формально, конечно, его основными целями являются привлечение всеобщего внимания к проблемам безопасности информации и проведение аналитической работы по закрытию уязвимостей в компьютерных системах, однако наивно было бы полагать, будто тем дело и ограничится.


PC World


Письмо автору

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Забытые в коде ключи доступа к OpenAI API позволяют спиратить GPT-4

Разработчики, встраивающие технологии OpenAI в свои приложения, зачастую оставляют API-ключи в коде. Злоумышленники этим пользуются: собирают такие секреты из общедоступных проектов и расшаривают их в соцсетях и чатах, провоцируя пиратство.

Оказалось, что только на GitHub можно с легкостью заполучить более 50 тыс. ключей к OpenAI API, неумышленно слитых в паблик. Украденные данные позволяют использовать ассоциированный аккаунт OpenAI для бесплатного доступа к мощным ИИ-системам вроде GPT-4.

Недавно модераторы Discord-канала r/ChatGPT забанили скрипт-кидди с ником Discodtehe, который упорно рекламировал свою коллекцию ключей OpenAI API, собранных на платформе для совместной работы Replit. Такие же объявления доброхот с марта публиковал в канале r/ChimeraGPT, суля бесплатный доступ к GPT-4 и GPT-3.5-turbo.

Как выяснилось, скрейпинг API-ключей OpenAI на Replit тоже не составляет большого труда. Нужно лишь создать аккаунт на сайте и воспользоваться функцией поиска.

В комментарии для Motherboard представитель OpenAI заявил, что они регулярно сканируют большие публичные репозитории и отзывают найденные ключи к API. Пользователям рекомендуется не раскрывать сгенерированный токен и не хранить его в клиентском коде (браузерах, других приложениях). Полезно также периодически обновлять API-ключ, а в случае компрометации его следует немедленно сменить.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru