неБезпечні новини тижня (29 жовтня-4 листопада). І знову Facebook-витік, вражаючі дані про загрози та про не дуже безпечний Telegram
Минулий тиждень завершився новиною про витік даних Facebook. Абсолютні цифри цього витоку (принаймні, озвучені) не такі вражаючі, проте серед злитих даних є акаунти українців.
Ще минулого тижня Google розповіла, як захищатиме наші з вами пристрої від зламу та небезпечного ПЗ, стало відомо, що десктоп-версія Telegram не така уже й безпечна. А ще – декілька цікавих статей про навколо-безпечні теми.
Ну дуже шпигунські сервіси
Бажання дізнатися, що робить і, може навіть, що приховує інша людина, не зовсім природнє, хоча доволі логічне. І не дивно, що на цьому бажанні намагаються заробляти інші люди, створюючи сервіси для стеження – як на подружжям, так і за дітьми. Якщо друге можна пояснити турботою та бажанням безпеки, то перше бажання назвати здоровим аж ніяк не можна. Більше того, коли воно виникає, варто задуматися, що ж в парі не так.
До чого тут онлайн-безпека, — спитаєте ви? А до того, що минулого тижня відразу онлайн-сервіс стеження попався на витоках даних. Стало відомо, що Android-додаток для стеження за дітьми Xnore дозволив передивлятися контент Facebook та WhatsApp, електронну пошту, текстові повідомлення, історію переглядів у браузері. Дані можна було побачити у HTML-коді сайту. Бажаючі могли отримати ідентифікатор користувача, за яким відбувалось стеження, передивитися ці дані та скопіювати їх у свій акаунт. Це означає, що не лише батьки, які власне й користуються такими сайтами, могли отримати доступ до даних про дітей, але й інші люди. Цей додаток використовувався і для стеження за партнерами. Правда, після перших публікацій на цю тему оператори сайту додали додатковий рівень аутентифікації для його користувачів.
У всьому винні користувачі
Не дивлячись на серйозні зусилля, спрямовані на захист додатків та комп’ютерних мереж, все ж людина залишається основною вразливістю в системі організації безпеки. Дослідження, опубліковані компаніями eSentire и Proofpoint, говорять про те, що більше 99% цільових кібератак так чи інакше опираються на використання людського фактору. Раніше називали інші цифри – до 80%, але, мабуть, зловмисники побачили справжню «діру» і вирішили її експлуатувати по максимуму.
Дослідники кажуть, що люди не розуміють основ кібербезпеки, не знають, що таке програми-вимагачі і загалом що таке небезпечне ПЗ. Третина американців, до прикладу, зіткнулась з крадіжкою персональних даних. 55% респондентів, які працюють по схемі BYOD (bring your own device), дають доступ до свого робочого пристрою друзям та членам сім’ї.
На фоні цих даних не дивує інша статистика, яка стосується збору даних мобільними додатками. Так ось – вчені з Оксфорда проаналізували та виявили, що 90% Android-додатків пересилають персональні дані іншим компаніям, або, як мінімум, в Google та афільовані з нею структури. Для аналізу вчені взяли біля мільйона додатків. Аналіз показав, що дані пересилають навіть найбільш невинні на перший погляд програми, наприклад, інструменти для читання новин. Це частково пов’язане з популярністю безкоштовних програм та тим фактом, що їх розробники вимушені заробляти на рекламі, наприклад, продаючи дані користувачів. Додаткова складність полягає в тому, що навіть регулятори часто не можуть відстежити ці дії, навіть у випадку, якщо такі додатки порушують закон.
Під захистом Google. Як компанія хоче дбати про нашу з вами безпеку
Google стала приділяти більше уваги безпеці користувачів. Декілька тижнів тому компанія повідомила, що буде заставляти виробників гаджетів примусово випускати оновлення безпеки – зараз оновлень можна чекати доволі довго. Не дивлячись на те, що Google випускає їх вчасно, розробники гаджетів не поспішають випустити свої та передати на пристрої.
Минулого тижня з’явилось ще декілька новинок та обіцянок. Наприклад, видалити історію пошуку буде простіше – компанія пообіцяла не ховати цю опцію. Ці зміни стосуються десктопної версії пошукової системи.
А ще, наприклад, користувачі, не зможуть залогінитися в свій акаунт, якщо в браузері відключено JavaScript. Справа в тому, що при відключеній підтримці JavaScript акаунти стають жертвами зловмисників набагато простіше.
Компанія збирається створити окремий список небезпечних програм, які є на Android-пристрої користувача. Список буде в окремому розділі Google Security Checkup у списку Google-акаунтів налаштуваннях. Аналогічний список з’явиться для додатків, яким користувач надав доступ до даних свого Google-акаунта.
Ще одна цікава новина від Google – компанія вирішила запустити нову версію Captcha. Captcha – це технологія захисту від ботів. Раніше Captcha передбачала, що ми вводили слово, яке нам показували на картинці. Потім Captcha пропонувала вибрати картинки, на яких були певні фрагменти. Нова версія Captcha буде працювати повністю непомітно. Вона аналізуватиме дії користувача і виставлятиме йому оцінку в інтервалі від 0 до 1. Близькість до 1 означає, що користувач – це людина. Сервіс буде навчатися автоматично
він навіть зможе заблокувати користувача, який виконує певні дивні дії. Іншими словами, замість того, щоб натискати на картинки, ми отримали ще один інструмент стеження за нашими діями.
Неідеальний Telegram
Не дуже безпечний Telegram
Експерти з безпеки виявили, що версія Telegram для десктопу (додаток, який ставиться на комп’ютер чи ноутбук користувача) не захищає переписку. Дані діалогів зберігаються у файлі, який можна прочитати, правда, з певними зусиллями. Проте цей файл не зашифровано. Він містить навіть номери телефонів візаві користувача.
Цікаво, що повідомлення секретних чатів, які вважаються найбільш захищеними у Telegram, потрапляють у той самий незахищений файл.
Павло Дуров прокоментував цю новину і сказав, що Telegram не відповідає на збереження пристрою і гарантує лише безпечність протоколів передачі даних. А про захист свого ноутбука людина повинна подбати сама.
Цікаві тексти на навколо безпечні теми
Хоча в Україні й заблокована соцмережа «ВКонтакте», багато даних українців зберігаються на її серверах. На TJournal свою історію про спробу видалити свої дані з «ВКонтакте» розповідає один користувач. Тривав третій місяць спроб. Історія доволі повчальна, а в кінці є підказка, як можна назавжди покінчити з VK.
П’ять років пройшло з моменту зникнення однієї з найбільших незаконних DarkNet-площадок Silk Road. На Medium з’явилась історія цього відомого сайту. Доволі повчально про те, як працювала ця незаконна площадка.
Історія російських розвідників Петрова та Боширова (aka Мишкін та Чепига) не сходила тижнями з стрічок новин. В цій історії найцікавіше, на мій погляд, те, як розвідників ідентифікували. Meduza опублікувала інтерв’ю з журналістами, яким вдалося це зробити. Вражаюча комбінація професійного везіння, OSINT (розвідки по відкритим джерелам), помножених на нехлюйство у сфері захисту персональних даних.