Ну и небольшой пост из цикла "все обо всем", который я пишу уже фактически под утро ;) Пост будет из серии о том "как страшно жить". Вы наверное заметили что последние несколько постов так или иначе касались сетевой безопасности, различных уязвимостей и т.п. Обычно, когда нам случайно попадаются какие-то новости по аналогичной тематике - вроде, в Android обнаружена очередная StageFright уязвимость, устройства Apple подвержены атаке через MMS, новый банковский троян похищает данные пользователей и т.п. - большинство воспринимает их как нечто реально существующее, но лично их не касающееся ... а зря.
Ну например, взять хотя бы мой последний пост о HTTPoxy, не знаю насколько он интересен большинству читателей, и насколько кто-то из них вообще попытался понять смысл этой уязвимости, но представим себе банальную ситуацию. Например, вы как пользователь каждый день пользуетесь каким-то web-сервисом, который хранит некоторую персональную информацию о вас. Web-сервис этот в свою очередь теоретически может быть подвержен этой (или другой) уязвимости, благодаря которой данная информация без проблем уйдет потенциальным злоумышленникам. Вы скажете - хм ... ну уйдет и уйдет, у меня ничего секретного нет. Ну это как сказать ... а потом люди удивляются звонкам в банк якобы от их имени, заявкам на обновление данных и пропаже денег со счета. Показательная статья на тему - Как угоняют банковские карты продавцов на Avito, Auto.ru и других классифайдах. Паспортные данные, ФИО, имя собаки, первого учителя или девичья фамилия матери - все это, на мой взгляд, информация, которую "всем подряд" о вас знать не обязательно. Тем не менее какую-то часть этой информации мы добровольно оставляем в интернете, регистрируясь на различных сервисах и т.п.
При этом можно даже пользоваться "проверенными сервисами", например, читать почту только в Веб-интерфейсе Яндекса, а баланс сотового телефона проверять с помощью USSD запроса или в личном кабинете на сайте оператора. При этом у вас может быть ложное чувство защищенности ... На самом деле оно ложное ;) Вот еще одна показательная статья - Добавляем произвольный телефон в личном кабинете оператора мобильной связи Киевстар (Украина). Автор описывает уже закрытую уязвимость в ЛК оператора сотовой связи, которая позволяла прицепить в свой ЛК любой номер телефона, т.е. практически обойти двухфакторную авторизацию, которая использовалась в процессе. Рассказывать какие перспективы подобная уязвимость открыла бы злоумышленникам - думаю не нужно. Полное управление услугами, включая установку переадресации, контроль над SMS и т.п. и т.п. При этом скорее всего, если бы в результате эксплуатации подобного бага в web-сервисе с вашим личным номером что-либо произошло (например, пропали деньги со счета или еще что-то подобное) докопаться до-сути лично вам, как абоненту, было бы малореально. Представили? Хорошо, идем дальше.
Еще несколько новостей ... у вас есть антивирус? Вы чувствуете себя защищенным? Несмотря на то что избитую фразу о том что не один антивирус не дает 100%-ой гарантии защиты наверняка вы тоже слышали и неоднократно, вы все же продолжаете удивляться когда "хватаете" какого-то вредоноса из интернета ... как, ведь у меня был антивирус ... и это только один аспект. Ведь никто никогда не задумывается что по-сути сами антивирусные продукты могут также содержать уязвимости, которые только облегчают проникновение вредоносного ПО в систему. Да, да, именно так ... антивирус, для облегчения заражения ПК вирусами ;) Вы же принимали лицензионное соглашение при установке, о том что разработчик не несет никакой, ни прямой, ни косвенной ответственности, за ущерб и любые другие неприятности, произошедшие с вашим ПК после установки его программного продукта ... читали ... или делали вид что читали ... но раз у вас есть антивирус - наверняка вы приняли его ;) Ну так вот очередная страшилка на тему - Уязвимости в 15 антивирусах позволяют внедрить вредоносный код в любой процесс на системе. О чем это говорит? ;) Только о том что антивирус это такое же программное обеспечение как и стандартный виндовый "Блокнот" или пасьянс "Косынка", только в отличие от них его компоненты выполняются с более высокими привилегиями в системе ... и тоже написаны людьми, поэтому потенциально могут содержать ошибки. Здесь же можно было рассказать о последних уязвимостях в продуктах Symantec, но это уже успели сделать многие другие ресурсы ...
Теперь перейдем к проверенным и хорошо зарекомендовавшим себя ресурсам и сервисам. Если вам немного знакома роль системного админстратора или хотя бы раз приходилось помогать знакомым с ПК удаленно, то наверняка вы слышали о таком ПО как TeamViewer или Ammyy Admin. Месяц назад, если я ничего не путаю в хронологии, новости околоITшных ресурсов пестрили заголовками о том, что якобы сервера TeamViewer были скомпрометированы, а часть пользовательских данных утекла в сеть. Собственно я всегда говорил о том, что при использовании ПО для удаленного администрирования не в стиле p2p, т.е. клиент-сервер, а в схеме Удаленный ПК <-> Сервер 3-их лиц <-> Оператор всегда есть определенные риски, что это самое "промежуточное звено" может подвергнуться атаке. Что и случилось в данном случае. Теперь то же самое по всей видимости постигло и Ammyy Admin ... только чуть по-другому - Банковский троян Lurk распространялся через сайт Ammyy Admin. Чувствуете в чем соль ситуации? Вы заходите на "проверенный сайт" или советуете коллегам, родственникам, друзьям установить Ammyy Admin с оф. сайта программы, они заходят, скачивают, запускают (при этом возможно даже игнорируют предупреждения антивирусной системы, т.к. понятно что он будет "ругаться" на ПО для удаленного администрирования) и получают к себе на ПК Lurk. Действительно, опасность там, где ее не ждешь.
И подобных "страшилок" можно привести не мало ... на самом деле достаточно просто поинтересоваться и задать соответствующий вопрос поисковикам. Windows 10 собирает информацию о пользователях? Ладно, не новость ... правительство Франции обязало корпорацию Microsoft "унять активность" новой операционной системы по сбору данных? Тоже слышали ... законы, законами, а вот что будет в реальности и как это будет реализовано известно только Microsoft'у (как, вы еще не обновились бесплатно до Windows 10? ;) ... А как вам новости про Intel ME и "закладки" в чипах Intel? Для тех кто еще не читал, несколько ссылок для размышлений:
И все это только "верхушка айсберга" ;) Про охватившую мир "покемономанию" и т.п., пожалуй уже не буду, хотя на самом деле есть что сказать. Собственно появления подобного рода развлечений было вполне ожидаемо, тем более что GPS модуль сейчас имеется даже в самом дешевом гаджете. Скоро, как я подозреваю, подобные развлечения выйдут на новый уровень ... и охотиться мы будем не за виртуальными желтыми и ярко-зелеными "нечто", а, например, за объектами оставленными в дополненной реальности другими пользователями. А что ... этакий Counter Strike или казаки-разбойники в дополненной реальности ;))
Ну например, взять хотя бы мой последний пост о HTTPoxy, не знаю насколько он интересен большинству читателей, и насколько кто-то из них вообще попытался понять смысл этой уязвимости, но представим себе банальную ситуацию. Например, вы как пользователь каждый день пользуетесь каким-то web-сервисом, который хранит некоторую персональную информацию о вас. Web-сервис этот в свою очередь теоретически может быть подвержен этой (или другой) уязвимости, благодаря которой данная информация без проблем уйдет потенциальным злоумышленникам. Вы скажете - хм ... ну уйдет и уйдет, у меня ничего секретного нет. Ну это как сказать ... а потом люди удивляются звонкам в банк якобы от их имени, заявкам на обновление данных и пропаже денег со счета. Показательная статья на тему - Как угоняют банковские карты продавцов на Avito, Auto.ru и других классифайдах. Паспортные данные, ФИО, имя собаки, первого учителя или девичья фамилия матери - все это, на мой взгляд, информация, которую "всем подряд" о вас знать не обязательно. Тем не менее какую-то часть этой информации мы добровольно оставляем в интернете, регистрируясь на различных сервисах и т.п.
При этом можно даже пользоваться "проверенными сервисами", например, читать почту только в Веб-интерфейсе Яндекса, а баланс сотового телефона проверять с помощью USSD запроса или в личном кабинете на сайте оператора. При этом у вас может быть ложное чувство защищенности ... На самом деле оно ложное ;) Вот еще одна показательная статья - Добавляем произвольный телефон в личном кабинете оператора мобильной связи Киевстар (Украина). Автор описывает уже закрытую уязвимость в ЛК оператора сотовой связи, которая позволяла прицепить в свой ЛК любой номер телефона, т.е. практически обойти двухфакторную авторизацию, которая использовалась в процессе. Рассказывать какие перспективы подобная уязвимость открыла бы злоумышленникам - думаю не нужно. Полное управление услугами, включая установку переадресации, контроль над SMS и т.п. и т.п. При этом скорее всего, если бы в результате эксплуатации подобного бага в web-сервисе с вашим личным номером что-либо произошло (например, пропали деньги со счета или еще что-то подобное) докопаться до-сути лично вам, как абоненту, было бы малореально. Представили? Хорошо, идем дальше.
Еще несколько новостей ... у вас есть антивирус? Вы чувствуете себя защищенным? Несмотря на то что избитую фразу о том что не один антивирус не дает 100%-ой гарантии защиты наверняка вы тоже слышали и неоднократно, вы все же продолжаете удивляться когда "хватаете" какого-то вредоноса из интернета ... как, ведь у меня был антивирус ... и это только один аспект. Ведь никто никогда не задумывается что по-сути сами антивирусные продукты могут также содержать уязвимости, которые только облегчают проникновение вредоносного ПО в систему. Да, да, именно так ... антивирус, для облегчения заражения ПК вирусами ;) Вы же принимали лицензионное соглашение при установке, о том что разработчик не несет никакой, ни прямой, ни косвенной ответственности, за ущерб и любые другие неприятности, произошедшие с вашим ПК после установки его программного продукта ... читали ... или делали вид что читали ... но раз у вас есть антивирус - наверняка вы приняли его ;) Ну так вот очередная страшилка на тему - Уязвимости в 15 антивирусах позволяют внедрить вредоносный код в любой процесс на системе. О чем это говорит? ;) Только о том что антивирус это такое же программное обеспечение как и стандартный виндовый "Блокнот" или пасьянс "Косынка", только в отличие от них его компоненты выполняются с более высокими привилегиями в системе ... и тоже написаны людьми, поэтому потенциально могут содержать ошибки. Здесь же можно было рассказать о последних уязвимостях в продуктах Symantec, но это уже успели сделать многие другие ресурсы ...
Теперь перейдем к проверенным и хорошо зарекомендовавшим себя ресурсам и сервисам. Если вам немного знакома роль системного админстратора или хотя бы раз приходилось помогать знакомым с ПК удаленно, то наверняка вы слышали о таком ПО как TeamViewer или Ammyy Admin. Месяц назад, если я ничего не путаю в хронологии, новости околоITшных ресурсов пестрили заголовками о том, что якобы сервера TeamViewer были скомпрометированы, а часть пользовательских данных утекла в сеть. Собственно я всегда говорил о том, что при использовании ПО для удаленного администрирования не в стиле p2p, т.е. клиент-сервер, а в схеме Удаленный ПК <-> Сервер 3-их лиц <-> Оператор всегда есть определенные риски, что это самое "промежуточное звено" может подвергнуться атаке. Что и случилось в данном случае. Теперь то же самое по всей видимости постигло и Ammyy Admin ... только чуть по-другому - Банковский троян Lurk распространялся через сайт Ammyy Admin. Чувствуете в чем соль ситуации? Вы заходите на "проверенный сайт" или советуете коллегам, родственникам, друзьям установить Ammyy Admin с оф. сайта программы, они заходят, скачивают, запускают (при этом возможно даже игнорируют предупреждения антивирусной системы, т.к. понятно что он будет "ругаться" на ПО для удаленного администрирования) и получают к себе на ПК Lurk. Действительно, опасность там, где ее не ждешь.
И подобных "страшилок" можно привести не мало ... на самом деле достаточно просто поинтересоваться и задать соответствующий вопрос поисковикам. Windows 10 собирает информацию о пользователях? Ладно, не новость ... правительство Франции обязало корпорацию Microsoft "унять активность" новой операционной системы по сбору данных? Тоже слышали ... законы, законами, а вот что будет в реальности и как это будет реализовано известно только Microsoft'у (как, вы еще не обновились бесплатно до Windows 10? ;) ... А как вам новости про Intel ME и "закладки" в чипах Intel? Для тех кто еще не читал, несколько ссылок для размышлений:
- Intel ME. Как избежать восстания машин?
- Боремся с дистанционным контролем: как отключить Intel ME
- Процессоры Intel x86 обладают секретным бэкдором
- Процессоры Intel поставляются с бэкдором с 2006 года
И все это только "верхушка айсберга" ;) Про охватившую мир "покемономанию" и т.п., пожалуй уже не буду, хотя на самом деле есть что сказать. Собственно появления подобного рода развлечений было вполне ожидаемо, тем более что GPS модуль сейчас имеется даже в самом дешевом гаджете. Скоро, как я подозреваю, подобные развлечения выйдут на новый уровень ... и охотиться мы будем не за виртуальными желтыми и ярко-зелеными "нечто", а, например, за объектами оставленными в дополненной реальности другими пользователями. А что ... этакий Counter Strike или казаки-разбойники в дополненной реальности ;))
На этом я пожалуй закончу сей опус и спасибо что дочитали до конца ;)