По статистике, 91% кибератак начинается с фишинга. Жертва получает письмо с поддельным именем и адресом. Это основная уязвимость, которую хакеры эффективно используют уже сорок лет, с момента изобретения email.

S/MIME (Secure/Multipurpose Internet Mail Extensions) — стандарт для шифрования и подписи электронной почты с помощью открытого ключа. Получил распространение после выхода третьей версии S/MIME в 1999 году (RFC 2633). По идее, он должен защищать от такого рода кибератак.

Прозрачность сертификатов (CT) — отличный проект компании Google, который сейчас фактически стал стандартом де-факто в интернете. Серверы CT показывают все выпущенные EV-сертификаты в открытых и общедоступных источниках.

Всё работает отлично до тех пор, пока не сломается.

В частности, в последнее время браузер Chrome создал ряд проблем под Android, фактически заблокировав работу сторонних приложений, таких как снифферы, MitM-прокси и средства разработки. Эти программы устанавливают в систему собственные доверенные сертификаты для перехвата и разбора трафика.

IT-индустрия быстро меняется. Практически каждый год появляются новые понятия, концепции, тренды, новые термины. Потом они исчезают или заменяются другими словами, которые обозначают чуть новое понятие. Это нормальный процесс, ведь реальность вокруг постоянно меняется — и язык отражает эти изменения. Отсюда и новые слова.

Например, КПК стали смартфонами, мейнфреймы — серверами, эмиграция стала релокацией, а ведущие программисты — тимлидами. Хотя это близкие понятия, но изменился контекст, смысл и суть слов. Изменилась реальность. То же произошло с «системным администратором», который расширил свои квалификации — и стал «девопсом» (с повышением зарплаты, конечно).

В последние годы стало модно говорить о цифровой трансформации, сокращённо DX. Что изменилось по сравнению с прошлыми десятилетиями автоматизации бизнеса, почему родился новый термин и странное сокращение?

Как мы обсуждали ранее, отключение интернета в конкретной стране или городе — не вымышленная угроза, а вполне реализуемое действие. В частности, международная ассоциация Internet Society зафиксировала в 2021 году 49 искусственно вызванных шатдаунов.

Но есть эффективные технологии, которые позволят пережить возможный шатдаун. Например, mesh-сети для радиосвязи.

Современная сеть IoT — это комплекс из тысяч или миллионов устройств, в котором всё автоматизировано: запуск, управление, идентификация, управление, система безопасности, права доступа, замена вышедших из строя и так далее. В мире планируется выпуск 150 000 новых устройств IoT в минуту. Таким флотом невозможно управлять вручную.

Поддельное окно авторизации, чтобы выманить пароль пользователя

Современные средства HTML/CSS позволяют сгенерировать фрейм, практически неотличимый от настоящего браузера, как на скриншоте вверху. Более того, можно нарисовать в нём «адресную строку» с любым URL. Это открывает двери для нового класса атак, который получил название BitB (браузер внутри браузера).

Насколько реальны такие атаки и что можно противопоставить в качестве защиты?

На Хабре неоднократно обсуждалось, что сторонние антивирусы — источник дополнительной угрозы. Они внедряются в ОС на уровне ядра и увеличивают поверхность атаки за счёт собственных уязвимостей. Некоторые специалисты говорят, что сторонние антивирусы лучше удалить. Хотя в некоторых случаях их использование всё-таки имеет смысл.

Но есть и хорошая новость. В состав ОС Windows входит стандартный антивирус Windows Defender. Это простая и добротная программа. Но для максимальной эффективности желательно её укрепить специальными настройками, которые по умолчанию отключены.

В музее криптографии Нидерландов представлен интересный экспонат: карманный телекс PX-1000. Он разработан амстердамской фирмой Text Lite, с 1983 года продавался под брендами Philips и др.

PX-1000 был рассчитан на журналистов, бизнесменов. Использовался сотрудниками правительстве Нидерландов. Его уникальная особенность — надёжное шифрование по алгоритму DES. Судя по всему, это первый в мире коммуникатор со встроенным шифрованием, выпущенный для массового рынка. Целевая аудитория Text Lite примерно совпадает с сегодняшней аудиторией защищённых криптографических мессенджеров вроде Signal.

Так вот, интересный факт. В 1984 году разработчики заменили DES на альтернативный алгоритм шифрования, разработанный в АНБ. Появились подозрения, что там есть какая-то лазейка для расшифровки сообщений заинтересованными лицами. Иначе зачем было менять алгоритм?

Безопасность через неясность работает в некоторых редких ситуациях: например, указать нестандартный порт SSH для защиты от брута или закамуфлировать критически важный объект, как сова на фотографии (см. приёмы обфускации кода). Да, есть такие экзотические методы. Но обычно наилучшую защиту обеспечивает максимальная открытость кода.

Чем меньше секретов в коде программы — тем безопаснее.

Насколько справедливо это парадоксальное утверждение? Посмотрим на статистику.

События последних лет показывают, что отключение интернета в конкретной стране или городе — не вымышленная угроза, а вполне реализуемое действие. Это происходит с пугающей регулярностью в разных странах по всему миру.

Например, международная ассоциация Internet Society зафиксировала в 2021 году 49 искусственно вызванных шатдаунов, в том числе 17 национальных, 26 региональных и 6 частичных (ограничения отдельных сервисов).

Частичный шатдаун предполагает избирательное отключение сервисов, например, VPN, мессенджеры, протокол HTTPS и так далее.

Статистика GlobalSign за 2021 год выявила интересную тенденцию — резкое увеличение генерации цифровых подписей (28 млн) и меток времени (117 млн).

Конечно, объём цифровых сертификатов тоже достиг рекордной цифры (13,8 млн), однако количество цифровых подписей вообще утроилось за последние два года. Что происходит?

Пример спуфинга в Gmail: мошенник подделал обратный адрес facebook.com, демо

Многие не знают, насколько легко подделать обратный адрес электронного письма. То есть отправить письмо с чужого адреса или с произвольного домена. Спамеры, фишеры и прочие мошенники постоянно обходят защиту SPF, DKIM и DMARC.

Посмотрим, как они это делают и как защитить своё письмо от спуфинга.

Динамическое изменение доступного пространства в SSD (для производительности). Синяя область скрыта от любых системных инструментов

Покупая новый SSD, нельзя быть уверенным, что на нём нет закладок. К сожалению, простое форматирование не спасёт, потому что зловред прописывается в скрытых областях накопителя (которые не форматируются штатными средствами).

Предположим, закладку ставят на новый смартфон, HDD или SSD во время его доставки к покупателю из интернет-магазина, то есть на почте.

2021 год войдёт в историю как год удалённой работы. Не из-за пандемии, ведь она была и годом раньше, а из-за определённого сдвига в сознании людей. Многие окончательно поняли, что работать из дома гораздо эффективнее. Более того, определённая часть сотрудников установила, что они принципиально не согласятся вернуться в офис.

Логика понятная. Если компания заставляет вернуться в офис, то с такой работы лучше уйти сейчас, потому что дальше последуют и более неадекватные предложения.

В то же время менеджеры не сдаются. Они внедряют всё новые и новые способы слежки за удалёнными сотрудниками.

Мы уже рассказывали о Bellingcat и других детективных агентствах, которые осуществляют разведку по открытым источникам (OSINT), например, обратный поиск изображений в Яндексе, сканируя утёкшие базы с приватной информацией (паспорта, мобильные телефоны, авиабилеты) и др. Это нужно для проведения важных для общества расследований, результаты которых выкладываются в публичный доступ.

Взявшись за проблему, группа «интернет-сыщиков» способна перелопатить кучу информации и обнаружить детали, которые прошли мимо внимания профессионалов, как тот стелс-бомбардировщик на спутниковых снимках Google Maps.

За последние годы гражданская разведка провела несколько эффективных и ярких расследований.

Многие не представляют, какой объём данных можно снимать с акселерометра в смартфоне. Думаете, информация используется только для поворота экрана? Далеко не так. На самом деле паттерны движения смартфона и его положение в пространстве многое говорят о действиях пользователя: он сидит, лежит, стоит, бежит… Можно распознать личность человека по голосу из динамика, записав реверберации корпуса смартфона через акселерометр. Определить, кто находится рядом в автобусе или автомобиле (с такими же паттернами движения).

Некоторые приложения постоянно снимают эти данные без разрешения пользователя (в Android и iOS 15 разрешение не требуется). Не только приложения, но и веб-сайты.

Поддельные паспорта вакцинации — очень востребованный товар на рынке. По какой-то причине люди платят от $300 до 400 евро за фальшивый сертификат, лишь бы не делать бесплатную прививку. Доходит до того, что открываются анонимные центры вакцинации, куда человек с поддельным паспортом вакцинации может прийти и сделать настоящую прививку, не раскрывая своё настоящее имя. Ситуация очень странная. По мировой статистике, наиболее настроены против вакцинации жители России (20% населения) и США (19%). Но проблема есть и в Евросоюзе, особенно в Германии (10%).

В октябре 2021 года итальянские источники сообщили об утечке приватного ключа, который использовался для подписи EU Digital COVID Certificate (паспортов вакцинации ЕС).

Сетевая активность телевизора в программе IoT Inspector. Скриншот: Geoffrey Fowler/The Washington Post

В 2019 году мы рассказывали, что умные телевизоры Samsung, LG, Vizio и TCL ежесекундно снимают «отпечатки» экрана и отправляют на сервер. Это главная причина, почему телевизоры так подешевели в последнее время. Умный телевизор стоит дешевле, чем такой же ТВ без функции Smart TV. Производители нашли новый способ монетизации.

К сожалению, сейчас ситуация только ухудшилась: в 2021 году у некоторых производителей ТВ слежка за пользователями стала не дополнительным, а основным источником дохода.

По статистике, в последнюю пятницу перед декабрём обыватели начинают массово закупаться подарками к Новому году. Например, в США примерно 70% взрослых граждан делают покупки в этот день, который в связи с огромной прибылью (чёрный цвет в бухгалтерии) коммерсанты называют «чёрным» днём.

К сожалению, статистика известна не только ритейлерам, но и кибермошенникам, которые тоже традиционно активизируются в это время года.

В последнюю версию браузера Chrome 98 добавили функцию, с помощью которой администратор локальной сети может блокировать просмотр HTML-кода страниц в браузере.



Это сделано в первую очередь для учебных заведений, где школьники таким способом обходят блокировку и фильтры. Однако специалисты по безопасности и разработчики выражают опасение, что тем самым создаётся неприятный прецедент. Ведь HTML изначально создавался как полностью открытый стандарт. Никогда не предполагалось его прятать от посторонних глаз.

Всё это происходит на фоне истории с американским веб-разработчиком и журналистом, который нашёл конфиденциальные данные прямо в коде HTML на сайте правительства штата Миссури — и написал про это безобразие. Теперь ему грозит тюремный срок за хакерство.