Безопасность через неясность работает в некоторых редких ситуациях: например, указать нестандартный порт SSH для защиты от брута или закамуфлировать критически важный объект, как сова на фотографии (см. приёмы обфускации кода). Да, есть такие экзотические методы. Но обычно наилучшую защиту обеспечивает максимальная открытость кода.

Чем меньше секретов в коде программы — тем безопаснее.

Насколько справедливо это парадоксальное утверждение? Посмотрим на статистику.

События последних лет показывают, что отключение интернета в конкретной стране или городе — не вымышленная угроза, а вполне реализуемое действие. Это происходит с пугающей регулярностью в разных странах по всему миру.

Например, международная ассоциация Internet Society зафиксировала в 2021 году 49 искусственно вызванных шатдаунов, в том числе 17 национальных, 26 региональных и 6 частичных (ограничения отдельных сервисов).

Частичный шатдаун предполагает избирательное отключение сервисов, например, VPN, мессенджеры, протокол HTTPS и так далее.

Статистика GlobalSign за 2021 год выявила интересную тенденцию — резкое увеличение генерации цифровых подписей (28 млн) и меток времени (117 млн).

Конечно, объём цифровых сертификатов тоже достиг рекордной цифры (13,8 млн), однако количество цифровых подписей вообще утроилось за последние два года. Что происходит?

Пример спуфинга в Gmail: мошенник подделал обратный адрес facebook.com, демо

Многие не знают, насколько легко подделать обратный адрес электронного письма. То есть отправить письмо с чужого адреса или с произвольного домена. Спамеры, фишеры и прочие мошенники постоянно обходят защиту SPF, DKIM и DMARC.

Посмотрим, как они это делают и как защитить своё письмо от спуфинга.

Динамическое изменение доступного пространства в SSD (для производительности). Синяя область скрыта от любых системных инструментов

Покупая новый SSD, нельзя быть уверенным, что на нём нет закладок. К сожалению, простое форматирование не спасёт, потому что зловред прописывается в скрытых областях накопителя (которые не форматируются штатными средствами).

Предположим, закладку ставят на новый смартфон, HDD или SSD во время его доставки к покупателю из интернет-магазина, то есть на почте.

2021 год войдёт в историю как год удалённой работы. Не из-за пандемии, ведь она была и годом раньше, а из-за определённого сдвига в сознании людей. Многие окончательно поняли, что работать из дома гораздо эффективнее. Более того, определённая часть сотрудников установила, что они принципиально не согласятся вернуться в офис.

Логика понятная. Если компания заставляет вернуться в офис, то с такой работы лучше уйти сейчас, потому что дальше последуют и более неадекватные предложения.

В то же время менеджеры не сдаются. Они внедряют всё новые и новые способы слежки за удалёнными сотрудниками.

Мы уже рассказывали о Bellingcat и других детективных агентствах, которые осуществляют разведку по открытым источникам (OSINT), например, обратный поиск изображений в Яндексе, сканируя утёкшие базы с приватной информацией (паспорта, мобильные телефоны, авиабилеты) и др. Это нужно для проведения важных для общества расследований, результаты которых выкладываются в публичный доступ.

Взявшись за проблему, группа «интернет-сыщиков» способна перелопатить кучу информации и обнаружить детали, которые прошли мимо внимания профессионалов, как тот стелс-бомбардировщик на спутниковых снимках Google Maps.

За последние годы гражданская разведка провела несколько эффективных и ярких расследований.

Многие не представляют, какой объём данных можно снимать с акселерометра в смартфоне. Думаете, информация используется только для поворота экрана? Далеко не так. На самом деле паттерны движения смартфона и его положение в пространстве многое говорят о действиях пользователя: он сидит, лежит, стоит, бежит… Можно распознать личность человека по голосу из динамика, записав реверберации корпуса смартфона через акселерометр. Определить, кто находится рядом в автобусе или автомобиле (с такими же паттернами движения).

Некоторые приложения постоянно снимают эти данные без разрешения пользователя (в Android и iOS 15 разрешение не требуется). Не только приложения, но и веб-сайты.

Поддельные паспорта вакцинации — очень востребованный товар на рынке. По какой-то причине люди платят от $300 до 400 евро за фальшивый сертификат, лишь бы не делать бесплатную прививку. Доходит до того, что открываются анонимные центры вакцинации, куда человек с поддельным паспортом вакцинации может прийти и сделать настоящую прививку, не раскрывая своё настоящее имя. Ситуация очень странная. По мировой статистике, наиболее настроены против вакцинации жители России (20% населения) и США (19%). Но проблема есть и в Евросоюзе, особенно в Германии (10%).

В октябре 2021 года итальянские источники сообщили об утечке приватного ключа, который использовался для подписи EU Digital COVID Certificate (паспортов вакцинации ЕС).

Сетевая активность телевизора в программе IoT Inspector. Скриншот: Geoffrey Fowler/The Washington Post

В 2019 году мы рассказывали, что умные телевизоры Samsung, LG, Vizio и TCL ежесекундно снимают «отпечатки» экрана и отправляют на сервер. Это главная причина, почему телевизоры так подешевели в последнее время. Умный телевизор стоит дешевле, чем такой же ТВ без функции Smart TV. Производители нашли новый способ монетизации.

К сожалению, сейчас ситуация только ухудшилась: в 2021 году у некоторых производителей ТВ слежка за пользователями стала не дополнительным, а основным источником дохода.

По статистике, в последнюю пятницу перед декабрём обыватели начинают массово закупаться подарками к Новому году. Например, в США примерно 70% взрослых граждан делают покупки в этот день, который в связи с огромной прибылью (чёрный цвет в бухгалтерии) коммерсанты называют «чёрным» днём.

К сожалению, статистика известна не только ритейлерам, но и кибермошенникам, которые тоже традиционно активизируются в это время года.

В последнюю версию браузера Chrome 98 добавили функцию, с помощью которой администратор локальной сети может блокировать просмотр HTML-кода страниц в браузере.



Это сделано в первую очередь для учебных заведений, где школьники таким способом обходят блокировку и фильтры. Однако специалисты по безопасности и разработчики выражают опасение, что тем самым создаётся неприятный прецедент. Ведь HTML изначально создавался как полностью открытый стандарт. Никогда не предполагалось его прятать от посторонних глаз.

Всё это происходит на фоне истории с американским веб-разработчиком и журналистом, который нашёл конфиденциальные данные прямо в коде HTML на сайте правительства штата Миссури — и написал про это безобразие. Теперь ему грозит тюремный срок за хакерство.

Раз в месяц Microsoft выпускает кумулятивное обновление Windows, которое включают в себя все предыдущие. То есть для приведения системы в актуальное состояние требуется установка единственного апдейта.

Учитывая огромное количество исправлений в Windows, кумулятивное обновление без оптимизации может сильно вырасти в размере, что неприемлемо. Например, его не смогут скачать пользователи с медленным подключением к интернету, а только в США таких 20%. Поэтому уменьшение размера обновлений — приоритетная задача. Теперь для неё нашлось решение.

Если вкратце, то раньше каждое обновление включало в себя прямую дельту изменений системы, а также обратную дельту для приведения системы к базовой RTM, чтобы установить новую прямую дельту через месяц. Однако выяснилось, что обратную дельту можно вычислить в процессе установки обновления. Теперь Microsoft намерена запатентовать этот алгоритм.

Вокруг нас куча звукозаписывающей техники — смартфоны, камеры, умные часы, умные колонки, диктофоны. Могут быть ещё скрытые прослушивающие устройства, жучки. Некоторые гаджеты работают в режиме непрерывной прослушки (голосовые помощники в колонках, смартфонах, часах). Чтобы защитить человека, в прошлом году инженеры из Чикагского университета разработали элегантный браслет, который глушит все микрофоны вокруг.

Универсальная глушилка или подавитель микрофонов — полезная вещь для защиты приватности как в помещении, так и на улице. Посмотрим, как она работает.

Только красная стрелка ведёт к настоящей монете, остальные — фейковые дубли

Monero — ведущая криптовалюта, ориентированная на конфиденциальность. Основана на протоколе CryptoNote 2.0 от 2013 года. Он исправляет недостатки биткоина, в том числе явную связность входа и выхода транзакции (отсутствие анонимности). В Monero к настоящим входам добавляются «миксины», что не даёт возможность определить, кто именно передаёт конкретную монету.

Но в 2018 году выяснилось, что в Monero тоже всё легко отслеживается. А ведь транзакции навсегда сохранены в блокчейне — и по ним можно деанонимизировать конкретных людей даже спустя много лет. Например, владельца Bitcoin Fog выдал анализ блокчейна от 2011 года.

Самый популярный мессенджер в мире реализовал функцию сквозного шифрования бэкапов. Она станет доступна всем пользователям iOS и Android «в ближайшие недели».

Это действительно большая победа для приватности и безопасности двух миллиардов пользователей WhatsApp. Незащищённые копии в облаке — огромная уязвимость WhatsApp и других мессенджеров, которые заявляют о сквозном шифровании коммуникаций.

История развивается по спирали. На хакерской конференции DEF CON 29 в 2021 году состоялся анонс новой версии PunkSpider — поисковой системы по уязвимостям в веб-приложениях, своеобразного аналога Shodan, только для веб-сайтов. Сканер уязвимостей с фаззингом (перебор всех вариантов) проверяет сайты на наличие самых распространённых, удобно эксплуатируемых багов — и сообщает о них всему интернету.

PunkSpider успешно работал с 2014 по 2018 годы. Потом его пришлось закрыть из-за множества жалоб от компаний, чьи сайты становились лёгкими мишенями для взлома. Но сейчас разработчики разобрались с юридическими проблемами и готовы возобновить проект.

На данную минуту PunkSpider ещё не запустили, на сайте висит заглушка, опубликована только ссылка на расширение для Chrome.

Новое исследование GlobalSign 2021 PKI показало, что управление цифровыми сертификатами по-прежнему остается сложным процессом для предприятий всех размеров. Основная проблема — неполная автоматизация. Треть опрошенных специалистов в США и Великобритании используют для учёта сертификатов электронные таблицы Excel, а многие не понимают разницы между цифровой и электронной подписью.

Разработчик WireGuard VPN Джейсон Доненфельд выпустил новую версию WireGuardNT, которая работает в режиме ядра WindowsNT (7, 8.1, 10, 11, 2012, 2016, 2019, 2022). Перенос всего кода в ядро значительно повышает пропускную способность туннеля практически на любых соединениях, особенно по WiFi.

Примечание. Чтобы запустить свою программу на уровне ядра Windows и не иметь проблем с Microsoft SmartScreen, разработчику требуется приобрести сертификат подписи кода типа EV, который стоит намного дороже, чем обычный сертификат подписи кода — примерно $2000 за трёхлетний. Хорошо, что у опенсорсного некоммерческого проекта WireGuard есть спонсоры.

Как мы помним, в 2018 году максимальный срок действия публичных сертификатов SSL/TLS уменьшили до 825 дней, а в 2020 году — до 398 дней (13 месяцев). Соответствующие решения в 2018−2020 годы принял Форум CA/B (CA/Browser Forum) — добровольный консорциум удостоверяющих центров, разработчиков браузеров, ОС и других приложений с поддержкой PKI. Хотя многие участники голосовали против такого предложения, но впоследствии им пришлось пересмотреть своё решение с учётом общественного мнения. Даже опрос GlobalSign на Хабре показал, что 72,7% респондентов «скорее поддерживают» сокращение срока действия сертификатов.

Это не единственная новация в порядке обращения сертификатов. В 2021−2022 гг нас ожидает ещё несколько изменений.