Киберспиритизм, китайские жучки в Apple, и шпионаж Google
Киберспиритизм, китайские жучки в Apple, и как Google будет определять, чем занимаются пользователи у себя дома
Касперский e_kaspersky собрал парочку любопытных и порой жутковатых историй по теме кибербезопастности за минувший год:
Мальчики и девочки, приветствую вас в заключительном в этом году выпуске "Ай-да-новостей". Под занавес календаря всегда чешется подвести итоги, причём так, чтобы в новый год с хорошим настроением :). Поэтому сегодня будем говорить про самые громкие-глупые-смешные-странные новости из мира IT и кибербезопасности в 2018-м.
Про профессиональную работу СМИ, объективность, расследования, проверку источников - вот это вот всё. Точнее про отсутствие всего этого! В октябре в Bloomberg Businessweek вышло "расследование" с громким названием за авторством известного "банного журналиста". Название расследования в переводе не нуждается - "The Big Hack". Речь в нём шла о продукции компании Super Micro, куда, по сведениям догадайтесь кого (конечно анонимных источников), уже несколько лет внедряются китайские шпионские "жучки". Чипы якобы обнаружили сотрудники Apple и Amazon, а расследованием с 2015 года занимаются американские власти. А потом начинается интересное...
Amazon опровергает данные о жучках, Тим Кук из Apple говорит, что всё это враньё и просит отозвать статью. Super Micro заявляет, что не получала никаких жалоб от клиентов или запросов от властей. (Что-то мне это напоминает!) За сутки после публикации статьи акции Super Micro упали на 60%. В компании пригласили независимую компанию для проведения расследования, которое не подтвердило обвинений журналистов, но Bloomberg не спешит извиняться. Хотя от безысходности в издании уже назначили нового журналиста для дополнительного расследования.
Утечки данных становятся такой обыденностью, что мы уже не сильно реагируем на них в инфопотоке. А зря, рано или поздно они могут коснуться каждого из нас. В этом году были обнародованы данные миллиардов (!) пользователей, некоторых по нескольку раз. Вот лишь самые громкие случаи: утекло 380 000 данных по кредиткам клиентов British Airways, а 9,4 миллиона пассажиров пострадали от взлома авиакомпании Cathay Pacific; одна из самых последних новостей года из туристического сектора - взлом сети отелей Marriott, скомпрометированы данные 500 миллионов клиентов; ранее в этом году 1,5 миллиона человек, включая премьер-министра Сингапура, пострадали из-за самой масштабной в истории страны атаки на министерство здравоохранения; данные 2 миллионов клиентов потерял T-Mobile; ну, и пожалуй, самый громкий скандал с данными - утечка у Facebook (пострадало до 50 миллионов пользователей) с кучей интересной информации типа геолокации, поисковыми запросами, контактными данными и т.п. Ещё один гигант - Google - заявил о закрытии соцсети Google+ после просочившейся информации о потерянных данных, которую они не собирались обнародовать. Но не успев ещё закрыть сервис, компания недавно вновь пострадала от второй утечки. Тут вылезает ещё один важный вопрос. Всё тайное когда-нибудь становится явным, и прятать такого рода утечки/взломы под ковёр, как минимум, недальновидно. В сегодняшних реалиях крупный бизнес должен быть всегда готов к такого рода атакам и потерям, а также, должен быть готов сообщить об этих происшествиях клиентам, инвесторам и любым другим причастным сторонам.
"Умный" город, "умный" дом - это не какой-то набор фантастических картинок из фильмов про будущее. Мы уже приехали. Но к этому "умному" образу жизни прилагается и "Большой брат".
Кто-то скажет: "Ну, и пусть! Мне нечего скрывать!". А кто-то, я надеюсь, задумается о том, чем он делится с различными приложениями своих смартфонов и прочими IoT гаджетами.
А вот лишь несколько примеров недавних патентов техгигантов, от которых у меня мурашки по телу (обзор сделан в газете Observer):
приложение, позволяющее определять уровень шума, производимого детьми - если ребенок внезапно перешёл на шёпот, родителей предупредят о "планируемых шалостях";
технология, определяющая уровень влажности, температуру и освещённость в помещении, сможет подсказать Google, чем занимается пользователь - спит, готовит, смотрит телевизор или собирается принять ванну, а тут и таргетированная реклама шампуня подоспеет.
В этом году у меня случилось ещё одно немного жутковатое открытие о популярной форме интернет-мошенничества из Нигерии, замешанном на ритуальных жертвоприношениях, заклинаниях и прочем мракобесии. Преступников, промышляющих этой киберчертовщиной называют yahoo plus boys. Этимологию прозвища не нашёл, может кто знает. В основном это молодёжь, ищущая лёгких заработков. Они используют нехитрый набор приёмов социальной инженерии, замешанный на местных вуду-практиках, который якобы должен помогать им в вымогательствах денег у своих жертв. По ссылке можно ознакомиться с научной работой, исследующей этот уже не новый феномен. Особенно улыбнул термин "кибер-спиритизм" :) А выросла вся эта история из давно известных мошеннических рассылок нигерийских писем.
А под конец небольшая заготовка из папочки под названием "Рука-лицо". Дело в том, что киберзлодеи тоже люди, и ляпы, факапы и прочие глупости случаются с ними также, как со всеми остальными.
Вот совестливый майнер оставлял в коде послания с извинениями, адресованные своим жертвам. Мол, сами мы не местные, же не манж па сис жур, жизнь заставила.
Желаю в грядущем 2019-м всем причастным к кибербезопасности оставаться на светлой стороне! Так победим!
Картинка отсюда
