КиберПиМ: что произошло в сфере кибербезопасности за последнее время
Дамы и господа, а также неопределившиеся граждане, вас приветствует первый выпуск рубрики #КиберПиМ. Безусловно, главной темой дня стал арест Ассанжа, с чем мы всех жителей планеты и поздравляем. Однако и других новостей хватает – с ними разберёмся по порядку.
Главная новость: арест Ассанжа
В Лондоне арестовали основателя Wikileaks. Выглядит он нынче не очень хорошо, однако логичное завершение поставило точку в затянувшейся истории. Если говорить вкратце, за годы работы разоблачитель и его молодая команда пинали американцев (военные, дипломаты, чиновники), не очень обращая внимание на российскую власть. Позже в российское консульство прилетело трогательное обращение Ассанжа со сканом его паспорта – как видите, забирать героя к себе россияне не стали. И поделом.
В посольстве Эквадора деятель прожил 7 лет, теперь союзники жалуются на ущемление демократии – полиция якобы проникла внутрь здания, где и повязала Ассанжа. Формально задержание было проведено по ордеру от 2012 года, когда вместо ответственности за нарушение условий домашнего ареста основатель Wikileaks и перебрался в посольство латиноамериканской страны.
Слежка и приватность
Новый отчет Bloomberg намекнул на то, что компания Amazon подслушивает пользователей с помощью голосового помощника. Проверяется это довольно легко: приложение Alexa открывает историю, где [пока что] можно проследить появление посторонних записей. Авторы исследования утверждают, что компания использует для анализа полученных данных отдельных сотрудников – есть даже детали относительно рабочих чатов, в которых специалисты обсуждают незнакомые слова или делятся опытом с коллегами.
Браузер Mozilla Firefox позволит блокировать сразу две функции, одна из которых способна доставить реальные неприятности. Разработчики предлагают убирать скрипты, отвечающие за майнинг криптовалюты, а также избавиться от снятия отпечатков в самом браузере. Мелочь, а приятно.
Сербия решила, что в Белграде срочно понадобилась система Huawei Safe City Solution, это около тысячи камер уличного наблюдения. Впрочем, международные правозащитники уже предупреждают о риске для конфиденциальности сербских граждан (ха-ха). Всего на территории столицы было отобрано 800 критически важных точек, где и должны были появиться камеры, а еще в феврале 2017 года была согласована формальная сторона вопроса. Тогда Safe City Solution стала частью соглашения о стратегическом партнёрстве.
Общая безопасность
Ваш Wi-Fi в зоне риска. Выяснилось, что относительно недавно запущенный стандарт WPA3 оказался уязвим перед целой группой угроз, пока что именуемых общим названием Dragonblood. По идее, протокол был направлен на повышение безопасности, однако получилось немного иначе.
Пока что даже наипростейшая угроза не сулит ничего хорошего – благодаря допущенным ошибкам в системе безопасности хакеры спокойно реализуют взлом пароля от частной сети. В отличие от WPA3, действуют вредоносные алгоритмы четко и слаженно, используя старые недостатки системы безопасности (по хорошей традиции, часть их была не замечена и перекочевала в новые версии). Пока один скрипт запускает отказ в обслуживании, еще два сливают полученные данные по дополнительным каналам. А почитать интересные моменты о Dragonblood можно здесь, только на английском и в формате PDF.
Корпорация Google планирует блокировать загрузку ряда файлов через протокол HTTP на веб-сайтах, которые загружаются по URL-адресу с использованием HTTPS. Первыми под раздачу рискуют попасть данные, отмеченные индикатором «высокого риска», то есть файлы с расширениями:
- .exe;
- .dmg;
- .crx;
- архивы: .zip, .7z, .rar, .tar, .bzip, .gzip.
Причина проста, как мир – разработчики браузера хотят повысить безопасность пользователей, потому бьют по форматам, в которых чаще всего распространяется вредоносный контент. Протокол HTTP не подвергнут блокированию – при посещении ресурсов с его использованием браузер и так предупреждает об опасности. Если же сайт работает по шифрованному и безопасному HTTPS, однако загрузки совершает в «опасном» режиме, тогда в дело вмешаются защитные механизмы.
Американские сенаторы желают запретить использование «тёмных» паттернов на веб-ресурсах. Пока что нет конкретных тем для обсуждения, однако законодателей волнуют приёмы, используемые недобросовестными сайтами, к примеру:
- визуальное затемнение блока с важной информацией или предупреждениями;
- умышленное усложнение использование сайта для пользователей, которые не желают делиться персональными данными;
- блокирование доступа до полного согласия пользователя.
Лучший слив информации
В этом подпункте мы категорически не рекомендуем повторять указанные поступки. Однако, всё же, это невероятно эпично: ранее работавший в американском Сенате 27-летний программист-стажёр похитил персональные данные сразу нескольких сенаторов. Среди жертв стоит упомянуть Орин Хэтч, Линдси Грэм и Майка Ли.
Всю полученную информацию злоумышленник добавил на страницы упомянутых политиков в Википедии. Что интересно, противопоставить жертвы ничего не могли: в момент публикации данных они находились в суде, где проводили деловую встречу. После этой невинной шалости хакер опубликовал данные ещё двух политиков: отдельно под раздачу попали Рэнд Рауль и Митч Макконелл.
«Я что-то нажал и всё исчезло»
Пожалуй, завершить первый выпуск стоит наиболее безобидным, на первый взгляд, случаем. Хакеры сумели добраться к службе автоматизированной доставки электронной почты Mailgun, использовав обычный плагин Wordpress. О том, что некачественные адд-оны вредят этой платформе, мы уже писали в прошлых выпусках #ТехноПиМ. В этот раз на руку преступникам сыграл плагин Yuzo Related Posts, точнее – уязвимость скриптинга между сайтами, допущенную его разработчиками. С помощью этой «мелочи» хакеры внедряли свой код на сайтах с низкой безопасностью, после чего перенаправляли пользователей на собственные (или партнёрские) сервисы: платформы с обновлениями вредоносного программного обеспечения, мошеннические сайты или страницы со спамом.
У самурая нет цели, есть только путь. Мы боремся за объективную информацию.
Поддержите? Кнопки под статьей.