Если посмотреть на нашу подборку важных новостей за 2018 год, то может возникнуть ощущение, что в уходящем 2019 году ничего не поменялось. Аппаратные уязвимости по-прежнему выглядят многообещающе (последний пример: обход защиты Software Guard Extensions в процессорах Intel) и все еще не применяются в реальных атаках. Зато применяется на практике машинное обучение, например для высокотехнологичного социального инжиниринга. Имитация голоса руководителя организации помогла украсть миллион евро, а компания Microsoft организовала конкурс на создание алгоритма, детектирующего дипфейки.


Угрозы из Интернета вещей тоже никуда не делись, причем в 2019 году было больше исследований про IoT нового поколения. Свежий пример: "голосовой фишинг" с использованием умных колонок. Все это примеры перспективных атак, которые могут (естественно, внезапно) стать актуальными в будущем. В настоящем же атакуется традиционная инфраструктура: эксперты «Лаборатории Касперского» одной из главных тем года назвали точечные атаки вымогателей-шифровальщиков. Самые громкие новости года были связаны с успешными атаками на инфраструктуру, которая одновременно является критически важной и хронически недофинансированной, — IT-системы в муниципалитетах и больницах.

Из такого большого ассортимента событий в области информационной безопасности трудно выбрать что-то по-настоящему знаковое, и это нормально: теоретические исследования или реальные атаки, радикально меняющие наши представления о защите данных на персональном устройстве или в облаке, к счастью, происходят редко. Поэтому сегодня у нас нестандартный топ новостей: в них нет прорывов или революции, но есть интрига, драма и нетривиальные методы исследования.

Приватность — провал года


Мы осмелились назвать 2019-й годом приватности еще в январе. В 2018-м задавать компаниям сложные вопросы про обработку личных данных пользователей стали не только немногочисленные эксперты, но и традиционные СМИ, и даже обычные пользователи. Все началось со скандала с Facebook и Cambridge Analytica, а в этом году в отношении крупнейших агрегаторов личных данных, таких как те же Facebook, Amazon и Google, проводятся расследования, и им назначаются большие штрафы. Практически каждый крупный инцидент с утечкой паролей или личных данных широко обсуждается, причем иногда критике подвергаются даже на первый взгляд разумные решения. В июле мы приводили примеры таких неоднозначных «атак на приватность»: применение информации о пользователях сервисов Google для «автоматизированной» reCaptcha v3, встраивание идентификаторов Facebook в метаданные картинок и права приложений для смартфонов Android.



Хорошо, что тема обсуждается. Плохо, что решений проблемы, понятных для пользователя и дающих ему хоть какой-то контроль над обработкой личных данных, так и не появилось. По идее, улучшить ситуацию с приватностью должен был введенный в 2018 году европейский закон GDPR, но мы все знаем, чем это закончилось: теперь на половине сайтов надо закрывать не только окно для подписки на нотификации, предложение скачать апп и подписаться на новостную рассылку, но и GDPR-форму. В ней, может быть, и есть возможность отключить передачу данных в рекламные сети, но, серьезно, хоть кто-то на постоянной основе это делает? В июне похожий на GDPR законопроект был принят в Калифорнии. Тем не менее, похоже, любая законотворческая деятельность в хайтеке имеет лишь половинчатый эффект, если ее не подкрепляют техническими решениями. Это все равно, что запрещать киберпреступникам красть данные кредитных карт, не обеспечивая сами кредитки должной защитой.

Как потребители, мы, с одной стороны, критикуем (часто за дело) разработчиков устройств и софта за снятие скриншотов с умных ТВ, таргетирование рекламы по телефонному номеру в Твиттере, прослушивание приватных голосовых сообщений в ручном режиме. С другой — активно пользуемся результатами этой обработки личных данных: в музыкальном сервисе с рекомендациями, в навигаторе, который помнит, где припаркована машина, в голосовом помощнике, который напоминает позвонить Геннадию. Вопрос в том, что еще корпорации делают с нашим профилем, кроме принесения пользы лично нам? Ответ кажется известен только сотне специалистов на стороне вендора, и больше никому.


Иными словами, ничего реально полезного с приватностью в 2019 году не произошло. Это по-прежнему Дикий Запад с салунами и ограблением поездов, в котором незначительная часть населения возмущается текущим положением вещей. Хочется надеяться, что в 2020 году сложатся некие этические нормы обработки и распространения личных данных, понятные людям и используемые сетевыми сервисами в качестве определенного конкурентного преимущества. В начале года на выставке CES это уже пыталась сделать Apple, которая, по собственному заявлению, не торгует данными клиентов. Проблема в том, что приватность данных на смартфоне определяется не только настройками системы, но и поведением приложений. А в них ситуация далека от идеала.

Взлом «Блокнота»




Приз в номинации «в этом приложении нечего ломать, но мы смогли» получает исследование эксперта команды Google Project Zero Тависа Орманди (Tavis Ormandy). Он обнаружил уязвимость в компоненте Text Services Framework, древнем инструменте для работы с текстовым вводом, имеющем в Windows широкие привилегии. Закрытая в августе уязвимость могла теоретически использоваться для запуска произвольного кода с правами системы.


Пример эксплуатации уязвимости показан на видео. Самое интересное, что «Блокнот» тут не при чем: уязвимости конкретно в этом приложении нет. Но с использованием Text Services Framework Орманди смог продемонстрировать проблему в традиционном стиле: когда из вроде бы безвредного приложения выполняется произвольный код, в данном случае — из Notepad запускается консоль.

Supply Chain




Серьезная тема года: атаки на цепь поставок. Наиболее интересным исследованием в этом году стал разбор атаки ShadowHammer специалистами «Лаборатории Касперского». Штатная программа для обновления драйверов устройств Asus, известная как Asus Live Update, была модифицирована и некоторое время распространялась с серверов производителя. Пострадавших было относительно немного (десятки тысяч), но те, кто эту атаку устроил, не гнались за цифрами. Вредоносный код не делал на компьютерах жертв ничего противозаконного, если только MAC-адрес сетевого устройства не совпадал со списком целей, зашитым в тело программы.

ShadowHammer — пример современной атаки высокого класса: единичные цели, максимальная скрытность, нетривиальный способ доставки. Но это не единственный вариант атаки типа supply chain, когда устройство или ПО модифицируется еще до доставки потребителю. Речь не об уязвимости в софте или железе, которой еще надо суметь воспользоваться, а о ситуации, когда вы покупаете ноутбук, к которому кто-то уже имеет доступ. Можно было предполагать, что такие атаки вряд ли станут массовыми, но нет. Летом этого года мы писали про китайские Android-устройства, оснащенные бэкдором из коробки. Скорее всего, производители и тут были не при чем: взламывали подрядчиков, работавших над прошивкой телефонов.

Что ожидать от 2020 года? Одним из «сложных» направлений эксперты «Лаборатории Касперского» считают сети мобильной связи пятого поколения. С распространением 5G мы не только получим мобильную связь со скоростью самого быстрого проводного интернета, но и массовое распространение «умных» и не очень устройств, постоянно передающих данные. Угрозы это несет понятные: если 5G действительно станет основным средством связи для большинства людей, стоит опасаться как взлома самой сети или операторов связи для кражи данных, так и DDoS-атак. В целом это верно для любой другой компьютерно-сетевой технологии: чем больше мы полагаемся на цифровых помощников, сетевые сервисы для хранения данных, социальные сети для общения, тем больше от них зависим, тем серьезнее относимся к угрозам, будь то атака на банковский счет или нарушение тайны личной жизни. Киберугрозы — обратная сторона прогресса, и если угроз становится больше, значит и прогресс также имеет место быть. На этой позитивной ноте дорогая редакция прощается с вами до Нового Года!

Комментарии (0)