Мы уже рассказывали о Bellingcat и других детективных агентствах, которые осуществляют разведку по открытым источникам (OSINT), например, обратный поиск изображений в Яндексе, сканируя утёкшие базы с приватной информацией (паспорта, мобильные телефоны, авиабилеты) и др. Это нужно для проведения важных для общества расследований, результаты которых выкладываются в публичный доступ.

Взявшись за проблему, группа «интернет-сыщиков» способна перелопатить кучу информации и обнаружить детали, которые прошли мимо внимания профессионалов, как тот стелс-бомбардировщик на спутниковых снимках Google Maps.

За последние годы гражданская разведка провела несколько эффективных и ярких расследований.

Многие не представляют, какой объём данных можно снимать с акселерометра в смартфоне. Думаете, информация используется только для поворота экрана? Далеко не так. На самом деле паттерны движения смартфона и его положение в пространстве многое говорят о действиях пользователя: он сидит, лежит, стоит, бежит… Можно распознать личность человека по голосу из динамика, записав реверберации корпуса смартфона через акселерометр. Определить, кто находится рядом в автобусе или автомобиле (с такими же паттернами движения).

Некоторые приложения постоянно снимают эти данные без разрешения пользователя (в Android и iOS 15 разрешение не требуется). Не только приложения, но и веб-сайты.

Поддельные паспорта вакцинации — очень востребованный товар на рынке. По какой-то причине люди платят от $300 до 400 евро за фальшивый сертификат, лишь бы не делать бесплатную прививку. Доходит до того, что открываются анонимные центры вакцинации, куда человек с поддельным паспортом вакцинации может прийти и сделать настоящую прививку, не раскрывая своё настоящее имя. Ситуация очень странная. По мировой статистике, наиболее настроены против вакцинации жители России (20% населения) и США (19%). Но проблема есть и в Евросоюзе, особенно в Германии (10%).

В октябре 2021 года итальянские источники сообщили об утечке приватного ключа, который использовался для подписи EU Digital COVID Certificate (паспортов вакцинации ЕС).

Сетевая активность телевизора в программе IoT Inspector. Скриншот: Geoffrey Fowler/The Washington Post

В 2019 году мы рассказывали, что умные телевизоры Samsung, LG, Vizio и TCL ежесекундно снимают «отпечатки» экрана и отправляют на сервер. Это главная причина, почему телевизоры так подешевели в последнее время. Умный телевизор стоит дешевле, чем такой же ТВ без функции Smart TV. Производители нашли новый способ монетизации.

К сожалению, сейчас ситуация только ухудшилась: в 2021 году у некоторых производителей ТВ слежка за пользователями стала не дополнительным, а основным источником дохода.

По статистике, в последнюю пятницу перед декабрём обыватели начинают массово закупаться подарками к Новому году. Например, в США примерно 70% взрослых граждан делают покупки в этот день, который в связи с огромной прибылью (чёрный цвет в бухгалтерии) коммерсанты называют «чёрным» днём.

К сожалению, статистика известна не только ритейлерам, но и кибермошенникам, которые тоже традиционно активизируются в это время года.

В последнюю версию браузера Chrome 98 добавили функцию, с помощью которой администратор локальной сети может блокировать просмотр HTML-кода страниц в браузере.



Это сделано в первую очередь для учебных заведений, где школьники таким способом обходят блокировку и фильтры. Однако специалисты по безопасности и разработчики выражают опасение, что тем самым создаётся неприятный прецедент. Ведь HTML изначально создавался как полностью открытый стандарт. Никогда не предполагалось его прятать от посторонних глаз.

Всё это происходит на фоне истории с американским веб-разработчиком и журналистом, который нашёл конфиденциальные данные прямо в коде HTML на сайте правительства штата Миссури — и написал про это безобразие. Теперь ему грозит тюремный срок за хакерство.

Раз в месяц Microsoft выпускает кумулятивное обновление Windows, которое включают в себя все предыдущие. То есть для приведения системы в актуальное состояние требуется установка единственного апдейта.

Учитывая огромное количество исправлений в Windows, кумулятивное обновление без оптимизации может сильно вырасти в размере, что неприемлемо. Например, его не смогут скачать пользователи с медленным подключением к интернету, а только в США таких 20%. Поэтому уменьшение размера обновлений — приоритетная задача. Теперь для неё нашлось решение.

Если вкратце, то раньше каждое обновление включало в себя прямую дельту изменений системы, а также обратную дельту для приведения системы к базовой RTM, чтобы установить новую прямую дельту через месяц. Однако выяснилось, что обратную дельту можно вычислить в процессе установки обновления. Теперь Microsoft намерена запатентовать этот алгоритм.

Вокруг нас куча звукозаписывающей техники — смартфоны, камеры, умные часы, умные колонки, диктофоны. Могут быть ещё скрытые прослушивающие устройства, жучки. Некоторые гаджеты работают в режиме непрерывной прослушки (голосовые помощники в колонках, смартфонах, часах). Чтобы защитить человека, в прошлом году инженеры из Чикагского университета разработали элегантный браслет, который глушит все микрофоны вокруг.

Универсальная глушилка или подавитель микрофонов — полезная вещь для защиты приватности как в помещении, так и на улице. Посмотрим, как она работает.

Только красная стрелка ведёт к настоящей монете, остальные — фейковые дубли

Monero — ведущая криптовалюта, ориентированная на конфиденциальность. Основана на протоколе CryptoNote 2.0 от 2013 года. Он исправляет недостатки биткоина, в том числе явную связность входа и выхода транзакции (отсутствие анонимности). В Monero к настоящим входам добавляются «миксины», что не даёт возможность определить, кто именно передаёт конкретную монету.

Но в 2018 году выяснилось, что в Monero тоже всё легко отслеживается. А ведь транзакции навсегда сохранены в блокчейне — и по ним можно деанонимизировать конкретных людей даже спустя много лет. Например, владельца Bitcoin Fog выдал анализ блокчейна от 2011 года.

Самый популярный мессенджер в мире реализовал функцию сквозного шифрования бэкапов. Она станет доступна всем пользователям iOS и Android «в ближайшие недели».

Это действительно большая победа для приватности и безопасности двух миллиардов пользователей WhatsApp. Незащищённые копии в облаке — огромная уязвимость WhatsApp и других мессенджеров, которые заявляют о сквозном шифровании коммуникаций.

История развивается по спирали. На хакерской конференции DEF CON 29 в 2021 году состоялся анонс новой версии PunkSpider — поисковой системы по уязвимостям в веб-приложениях, своеобразного аналога Shodan, только для веб-сайтов. Сканер уязвимостей с фаззингом (перебор всех вариантов) проверяет сайты на наличие самых распространённых, удобно эксплуатируемых багов — и сообщает о них всему интернету.

PunkSpider успешно работал с 2014 по 2018 годы. Потом его пришлось закрыть из-за множества жалоб от компаний, чьи сайты становились лёгкими мишенями для взлома. Но сейчас разработчики разобрались с юридическими проблемами и готовы возобновить проект.

На данную минуту PunkSpider ещё не запустили, на сайте висит заглушка, опубликована только ссылка на расширение для Chrome.

Новое исследование GlobalSign 2021 PKI показало, что управление цифровыми сертификатами по-прежнему остается сложным процессом для предприятий всех размеров. Основная проблема — неполная автоматизация. Треть опрошенных специалистов в США и Великобритании используют для учёта сертификатов электронные таблицы Excel, а многие не понимают разницы между цифровой и электронной подписью.

Разработчик WireGuard VPN Джейсон Доненфельд выпустил новую версию WireGuardNT, которая работает в режиме ядра WindowsNT (7, 8.1, 10, 11, 2012, 2016, 2019, 2022). Перенос всего кода в ядро значительно повышает пропускную способность туннеля практически на любых соединениях, особенно по WiFi.

Примечание. Чтобы запустить свою программу на уровне ядра Windows и не иметь проблем с Microsoft SmartScreen, разработчику требуется приобрести сертификат подписи кода типа EV, который стоит намного дороже, чем обычный сертификат подписи кода — примерно $2000 за трёхлетний. Хорошо, что у опенсорсного некоммерческого проекта WireGuard есть спонсоры.

Как мы помним, в 2018 году максимальный срок действия публичных сертификатов SSL/TLS уменьшили до 825 дней, а в 2020 году — до 398 дней (13 месяцев). Соответствующие решения в 2018−2020 годы принял Форум CA/B (CA/Browser Forum) — добровольный консорциум удостоверяющих центров, разработчиков браузеров, ОС и других приложений с поддержкой PKI. Хотя многие участники голосовали против такого предложения, но впоследствии им пришлось пересмотреть своё решение с учётом общественного мнения. Даже опрос GlobalSign на Хабре показал, что 72,7% респондентов «скорее поддерживают» сокращение срока действия сертификатов.

Это не единственная новация в порядке обращения сертификатов. В 2021−2022 гг нас ожидает ещё несколько изменений.

Stalkerware — мобильный софт для сталкинга, то есть навязчивой слежки за человеком. Это растущий класс программного обеспечения, который позволяет хакеру получать геолокацию смартфона, просматривать текстовые сообщения, фотографии, звонки, поиски в интернете. Такой софт используется любителями (слежка за супругами) и профессионалами, в работе государственной разведки и правоохранительных органов, для слежки за независимыми журналистами и активистами.

Некоторые специалисты по безопасности считают, что радиометки Apple AirTags отлично дополняют инструментарий stalkerware. Судя по всему, злонамеренное использование технологии Apple подпадает под несколько статей Уголовного кодекса.

Некоторое время «Глаз бога» c миллионом подписчиков входил в топ-3 самых популярных каналов в российском Telegram. Но громкое расследование Bellingcat в январе 2021 года не только разрекламировало канал, но и подставило его под удар. После расследования все инструменты деанона привлекли внимание властей.

Предполагалось, что эти инструменты будут скрытно использоваться самими сотрудниками спецслужб, а не против них обычными пользователями в публичных разоблачениях. Что-то пошло не так.

Различный софт всё чаще поставляется с модулями телеметрии, такими как Google Analytics. Раньше от этой проблемы страдали в основном проприетарное ПО для массового рынка. Но сейчас модель монетизации перенимают даже профессиональные инструменты для разработчиков и опенсорсные программы.

Homebrew, Gatsby, Syncthing, Netlify, Netdata и другие приложения снимают телеметрию. Конечно, здесь её можно отключить и ситуация не такая зловещая. Но слежка через Open Source распространилась настолько широко, что уже раздаются призывы принять единый стандарт вроде HTTP-заголовка 'Do Not Track', только в виде стандартной переменной среды для консольных интерфейсов.

Что такое сокращатель URL? Это по сути шифратор ссылок, который скрывает от получателя истинный адрес ресурса. Кому нужно маскировать свои ссылки и прятать истинный адрес? Ясно кому: мошенникам, злоумышленникам и компаниям, у которых URL не помещается на визитку.

В последнее время многие облачные сервисы напрямую интегрировали сокращатели ссылок: например, Google Maps, Microsoft OneDrive дают ссылки на 1drv.ms и goo.gl с коротким токеном. Раньше некоторые сокращалки выдавали токен из 5-6 символов, но потом осознали свою ошибку. Проблема в том, что пространство таких токенов настолько маленькое, что его можно просканировать брутфорсом (см. работу Мартина Георгиева и Виталия Шматикова из Корнелльского технологического университета, arXiv:1604.02734v1). А ведь пять символов — это всего 62⁵ вариантов, а шесть символов — 62⁶, тоже не очень много (56,8 млрд). Такая секретная ссылка — больше не секретная.

Это далеко не единственная причина, почему следует избегать чужих сокращателей.

QUIC — новый транспортный протокол связи, который отличается уменьшенным временем задержки, большей надёжностью и безопасностью, чем широко используемый сегодня TCP (RFC 793).

Уже много рассказывалось о преимуществах транспорта QUIC, который взят за основу будущего стандарта HTTP/3. В HTTP следующего поколения транспорт TCP меняется на QUIC, что означает автоматическое ускорение соединений и зашифровку всего интернет-трафика, который раньше шёл в открытом виде по TCP. Нешифрованный QUIC не предусмотрен вообще.

В мае 2021 года состоялось знаменательное событие: протокол QUIC принят в качестве официального стандарта RFC9000. Это великолепные новости для всей интернет-экосистемы.

Автомобиль Tesla Model 3 взломали с мультикоптера (для зрелищности), источник

Автомобили Tesla по умолчанию подключаются к любой точке WiFi с идентификатором SSID Tesla Service. Это очень удобно для взлома. Пароль указан в файле .ssq, который поставляется с автомобилем, или его можно найти в интернете (см. скриншот под катом).

Таким образом, можно подключить автомобиль к своему фейковому хотспоту. Потом использовать уязвимости в программном обеспечении — и получить контроль над некоторыми функциями. По сути, всё довольно просто: такие трюки показывают на каждой хакерской конференции.

Проблема в том, что критические уязвимости есть не только в теслах, а практически во всех современных автомобилях. Просто Tesla предлагает большие призы за информацию о багах, поэтому эта информация публикуется в СМИ. Остальные автомобили взламывают молча.