В блогпосте объемом меньше одной страницы приводятся сногсшибательные цифры:
- 50.1% имели устройство Apple, 43.4% — Android, 6.5% — Windows Phone
- 61.7% искали в Google или проверяли Gmail
- 14.9% посещали Yahoo
- 52.3 % устройств имели приложение Facebook, а 2.4% — Twitter
Также имеется загадочная фраза «Avast смог увидеть identity 63.5% устройств и пользователей». Я намеренно не перевожу identity, позже станет ясно почему.
После чего идет общая цитата о том, как важна безопасность и предложение обратить внимание на мобильный VPN-клиент от Avast, ради которого, очевидно, всё и затевалось. Естественно, большинство обратило внимание не на столь «изящно» замаскированный sales-посыл, а на ужасающие цифры. Посыпались возгласы «ужас! ужас!» и хомячки начали бурлить. Давайте всё же разберемся, что к чему.
1. 50.1% имели устройство Apple, 43.4% — Android, 6.5% — Windows Phone
Я очень удивился, что не было статистики браузеров, но, в принципе, на мобильных устройствах она немного предсказуема. ОК, в Avast открыли OS Fingerprinting. Вариантов коего сотни.
Самый простой: анализ строки User Agent (которая выдает вообще всё об устройстве, и поменять которую нельзя ни в одном стандартном браузере на мобильных телефонах). Вот пример на всякий случай: Mozilla/5.0 (iPad; CPU OS 5_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko ) Version/5.1 Mobile/9B176 Safari/7534.48.3. Этим, к сведению, занимаются почти все хотспоты и веб серверы/ Просто, чтобы понимать, какие клиенты к ним ходят и под что им подстраиваться.
Далее по списку идет анализ DHCP-пакетов, по которому нельзя определить браузер, но можно зачастую понять ОС и тип устройства. Этим занимаются почти все серьезные точки доступа и системы NAC/NAP/RBAC выпущенные в последние несколько нет, и ничего сложного тут нет.
Далее методики уходят в более тонкие материи, такие как анализ TCP-стека, временных задержек при форвардинге/обработке разных типов пакетов и т.д. Подобными методами обычно вычисляются всякие прозрачные прокси, файрволлы и прочие сетевые устройства, хотя ничего не мешает использовать это для анализа мобильных устройств.
Желающим ознакомиться с полным списком могу рекомендовать документ от известной организации SANS. Заодно обратите внимание на дату публикации. На самом деле, многие из этих методов были разработаны еще в прошлом веке :)
Я не знаю, каким способом пользовались в Avast, но явно ничего нового они тут не открыли.
2. Google, Gmail, Yahoo, Facebook, Twitter,
Тут разговор еще более краткий: ну если мы можем кучей разных способов определить тип ОС, неужели мы не сможем определить приложение по URL, DNS или на худой конец Destination IP? Смешно, девушки.
3. Почему я не перевел «identity» тех самых «63.5% пользователей»?
Потому как ничерта не понятно, что они имеют под этим в виду! E-mail’ы? Фамилии? Логины/username’ы? Логины и пароли? Что такое identity устройства? MAC-адрес? IMEI? Если MAC-адрес – ну и что? Особенно учитывая, что все последние версии мобильных ОС научились его худо-бедно спуфить. Если юзернеймы – то к чему? К главной странице портала, который они настроили в незащищенном HTTP, чтобы показать цифры пострашнее? Короче, напустили туману, как обычно.
Кстати, в большинстве стран Европы действует законодательство обязывающее провайдера идентифицировать пользователя при публичном доступе (обычно, через e-mail или SMS). Так что тут Avast, вообще-то, должен был показать все 100%.
Самый главный вопрос.
Ну и наконец, когда вы сидите дома или на работе в Интернете по своему «безопасному» Wi-Fi, или даже кабелю, ваш трафик проходит через 100500 хостов роутеров, СОРМов и прочих DPI и пакеты все как на ладони. Чем это принципиально отличается от открытого Wi-Fi?
Что интересно, ответ на этот вопрос есть, и мне интересно, кто из читателей даст на него правильный ответ в коментариях.
[UPD] Заключение.
По результатам анализа всё же непонятно, что именно «взломали» люди из Avast, чем всё это так ужасно, что вызвало волну в СМИ (в комментариях подсказывают, что такова работа СМИ — нагнетать и раздувать), и что же такого получили «хакеры», чего нельзя получить другими путями.
В последнее время нам неустанно напоминают о том, как опасен открытый Wi-Fi. Хотя применяя всё те же меры, что и при безопасном пользовании интернетом дома (антивирус/HIPS, VPN, патчи и толика образования и здравого смысла) открытый Wi-Fi не страшнее не менее открытого Интернета.
Стоит помнить, что большинство продаж в сфере безопасности строятся по принципу FUD (Fear, Uncertainty and Doubt – страх, неопределенность и сомнения), поэтому стоит не терять бдительность, проверять источники и не уподобляться леммингам.
А что вы думаете?
Комментарии (11)
zabbius
01.03.2016 18:53+3Что интересно, ответ на этот вопрос есть
Попробую порассуждать на тему.
- В случае WiFi пакеты видны не только DPI, которому на вас пофигу, если вы не в списках террористов, а всем, кто рядом. И легко найдется какой-нить кулхацкер, который угонит аккаунт просто для интереса.
- В случае открытого вайфая ЕМНИП можно еще и влезть в ваш трафик, насовав туда всякую гадость. Провайдеры обычно таким не занимаются.
В общем, пока что получается, что в случае провайдера влезть могут только специальные люди, в случае вайфая — кто попало.POS_troi
01.03.2016 19:25С вайфаем немного всё хуже, если по кабелю проблематично любому желающему встать посередине между вами и провайдером то в случае с вайфай нет особого труда поднять FakeAP и реализовать ряд аттак.
apcsb
01.03.2016 19:36Близко. Да, вклиниться намного проще. Но и с интернетом не всё так сложно:
Пара более-менее громких случаев последних лет:
http://www.securityweek.com/routing-internet-disaster-waiting-happen
http://research.dyn.com/2013/11/mitm-internet-hijacking/mafet
02.03.2016 03:21Да всё просто, если имеешь AS и провайдера, который не фильтрует маршруты + вышестоящий не фильтрующий провайдер, то можешь пропустить через себя весь трафик. Был как-то инцидент, который мне лень гуглить, когда какой-то провайдер заанонсил маршруты до какого-то крупного ресурса от себя и это ресурс лёг. После чего к вопросу фильтрации отнеслись серьезней, но не знаю, насколько.
Вот только это не так просто простым обывателям (более-менее продвинутым "хакерам"). Проще гос структурам. Но всё это не тривиально.
xytop
01.03.2016 18:58Посыл в блоге Avast примерно такой:
- Не все программы/сайты используют защищенное соединение (https)
- Многие телефоны автоматически подключаются к открытым Wi-Fi сетям, что упрощает MiTM атаки.
- Чтобы защититься от всяких небезопасных приложений и потенциальных MiTM пользуйтесь VPN :)
Klaster
Мой английский оставляет желать лучшего, покажите пожалуйста где в статье написано, что они изобрели что то новое? Вы же эту мысль опровергаете весь свой пост? Они написали, что все, что вы делаете, видно любому кто умеет снифать сеть(что вы и повторили и доказали в своем посте) и вроде как разумно использовать средства для обеспечения анонимности. Не могу понять, что вас не устроило? Повторю, может я неправильно перевел оригинал и там было что то вроде: «наши хакеры используя последние разработки, провели ряд атак...» но вроде как, нет таких строк.
apcsb
Я в последнюю неделю видел несколько постов в стиле "о ужас!", вплоть до того, что они чуть ли не взломали сеть то ли аэропорта, то ли всего MWC.
Большинство англоязычных СМИ все это назвали "Hack Experiment"
http://www.reuters.com/article/avast-software-idUSnBw225555a+100+BSW20160222
http://www.businesswire.com/news/home/20160222005555/en/Avast-Wi-Fi-Hack-Experiment-Demonstrates-%E2%80%9CReckless%E2%80%9D-Behavior
http://www.networkworld.com/article/3035610/security/mwc-wi-fi-hack-test-shows-reckless-behavior-mastercard-to-expand-selfie-pay.html
Что они "хакали", я так и не понял.
И главное, я не понял, что они там наловили такого, что нельзя было наловить иными способами.
Klaster
Ну так это у СМИ бывает :) у нас школьники операционные системы пишут которые «уже оценили по достоинству хакеры со всего мира».