Итоги взлома сети преступной связи Encochat
В июле 2020 Европол провёл операцию по взлому и ликвидации защищенной сети связи, используемой преступниками. Мы привыкли, что самые крутые операции проводит ФБР, но не в этом случае. Тут постарались Нидерланды и Франция.
Encochat был, по сути, телефонной сетью с максимальным уровнем защиты и анонимности. Каждый защищенный крипто-телефон на Андроид стоит 1000 евро, а подписка на сервисы связи стоила 1500 евро за полгода.
На днях были раскрыты данные о пользователях и об итогах работы правоохранителей.
Кто пользовался их услугами?
— Участники классических ОПГ (34,8%)
— Участники наркотрафика (33,29%)
— Специалисты по отмыванию денег (14%)
— Киллеры (11,5%)
— Торговцы оружием (6,4%)
— Остальные (00,01%).
Но что в итоге?
Ошибки создателей сети привели к её взлому и следующим результатам:
— Арестованы 6558 человек, из которых 197 были особенно ценны для следствия.
— Суммарно им грозит 7134 года тюрьмы.
— Конфискованы 739,7 миллионов евро наличными.
— Заморожены активы на счета на 154,1 миллионов евро.
— Изъято 30,5 миллионов наркотических таблеток.
— Изъято: 103,5 тонны кокаина, 163,4 тонны каннабиса и 3,3 тонны героина.
— Конфискованы: 971 автомобиль, 83 лодки и 40 самолетов.
— Наложен арест на 271 объект недвижимости.
— Изъято: 923 единицы оружия, 21 750 единиц патронов и 68 взрывчатых боеприпасов.
Видимо создатели недооценили риск взлома.
В июле 2020 Европол провёл операцию по взлому и ликвидации защищенной сети связи, используемой преступниками. Мы привыкли, что самые крутые операции проводит ФБР, но не в этом случае. Тут постарались Нидерланды и Франция.
Encochat был, по сути, телефонной сетью с максимальным уровнем защиты и анонимности. Каждый защищенный крипто-телефон на Андроид стоит 1000 евро, а подписка на сервисы связи стоила 1500 евро за полгода.
На днях были раскрыты данные о пользователях и об итогах работы правоохранителей.
Кто пользовался их услугами?
— Участники классических ОПГ (34,8%)
— Участники наркотрафика (33,29%)
— Специалисты по отмыванию денег (14%)
— Киллеры (11,5%)
— Торговцы оружием (6,4%)
— Остальные (00,01%).
Но что в итоге?
Ошибки создателей сети привели к её взлому и следующим результатам:
— Арестованы 6558 человек, из которых 197 были особенно ценны для следствия.
— Суммарно им грозит 7134 года тюрьмы.
— Конфискованы 739,7 миллионов евро наличными.
— Заморожены активы на счета на 154,1 миллионов евро.
— Изъято 30,5 миллионов наркотических таблеток.
— Изъято: 103,5 тонны кокаина, 163,4 тонны каннабиса и 3,3 тонны героина.
— Конфискованы: 971 автомобиль, 83 лодки и 40 самолетов.
— Наложен арест на 271 объект недвижимости.
— Изъято: 923 единицы оружия, 21 750 единиц патронов и 68 взрывчатых боеприпасов.
Видимо создатели недооценили риск взлома.
🔥32🤯2👍1👎1🤣1
Утечка данных шпионского ПО
Если и ставить приложения «родительского контроля», то легально и известных компаний. Чтобы не случилось как с LetMeSpy. Это классическое Android -приложение для слежки, которое устанавливалось на разблокированный смартфон, старалось скрывать себя в системе и отсылало данные своему хозяину.
Формально, если установить его, не имея на это прав, можно попасть под статью УК РФ, а то и под несколько статей. В 2023 году официальный сайт приложения гордо заявлял, что ПО успешно выполнило свою задачу на 236 000 устройств!
И вот произошла утечка, что утекло?
- Информация о 26 000 клиентах бесплатной версии, включая хэши их паролей.
- 13 400 точек геолокации (России не видно, но видна Беларусь)
- Журналы звонков, смс-сообщения. Включая коды двухфакторной аутентификации и пароли от сервисов!
При этом часть данных хранилось аж с 2013 года, хотя разработчики утверждают, что удаляют данные через 2 месяца бездействия.
К слову, разработчик ПО проживает в Польше и не скрывает свою личность, интересно не нарушает ли ПО законодательство ЕС? Ему пришлось уведомить об утечке польских регуляторов, возможно к его компании теперь присмотрятся.
Инцидент этот не уникальный, в 2018 году был взлом похожего приложения «TheTruthSpy», в 2020 утекло из приложения «KidsGuard» и так далее.
Администрация канала в целом не разделяет подобные методы контроля и скрытой слежки за детьми, но при острой необходимости ищите легальные решения от известных производителей. Такие на рынке есть.
Если и ставить приложения «родительского контроля», то легально и известных компаний. Чтобы не случилось как с LetMeSpy. Это классическое Android -приложение для слежки, которое устанавливалось на разблокированный смартфон, старалось скрывать себя в системе и отсылало данные своему хозяину.
Формально, если установить его, не имея на это прав, можно попасть под статью УК РФ, а то и под несколько статей. В 2023 году официальный сайт приложения гордо заявлял, что ПО успешно выполнило свою задачу на 236 000 устройств!
И вот произошла утечка, что утекло?
- Информация о 26 000 клиентах бесплатной версии, включая хэши их паролей.
- 13 400 точек геолокации (России не видно, но видна Беларусь)
- Журналы звонков, смс-сообщения. Включая коды двухфакторной аутентификации и пароли от сервисов!
При этом часть данных хранилось аж с 2013 года, хотя разработчики утверждают, что удаляют данные через 2 месяца бездействия.
К слову, разработчик ПО проживает в Польше и не скрывает свою личность, интересно не нарушает ли ПО законодательство ЕС? Ему пришлось уведомить об утечке польских регуляторов, возможно к его компании теперь присмотрятся.
Инцидент этот не уникальный, в 2018 году был взлом похожего приложения «TheTruthSpy», в 2020 утекло из приложения «KidsGuard» и так далее.
Администрация канала в целом не разделяет подобные методы контроля и скрытой слежки за детьми, но при острой необходимости ищите легальные решения от известных производителей. Такие на рынке есть.
👍14🔥7
Лицензия ТЗКИ — как выглядит «шапочка из бумаги»
Сегодня хорошие люди в очередной раз спросили нас о том, есть ли у нас лицензия ТЗКИ. И услышав «нет» — задали вопрос, в чём причина. Так вот — мы точно знаем, что наша деятельность не попадает под требования ТЗКИ. Но, кажется, скоро мы её оформим просто для того, чтобы избежать вопросов, благо это не сложно.
Теперь о том, что это такое. ТЗКИ — это лицензия ФСТЭК, дающая возможность заниматься работами в области кибербезопасности. Чтобы её получить, нужно иметь 3 сотрудников (одного на полный день) с релевантным опытом и образованием, а также иметь соответствующее помещение. Ещё софт, компьютер, юристы, подготовка заявки, но это всё вопросы технические, и их решение давно отработано.
О чём говорит наличие у компании, занимающейся ИБ, такой лицензии? О том, что она потратила немного времени и немного денег, чтобы её получить. Говорит ли она о компетенциях компании? Нет. Приведу простой пример.
Допустим, я (Артём), хочу создать интегратор ООО «Рога и Копыта». Я думаю — окей, мне нужна лицензия! Я нанимаю Антона (на полный день), ещё пару знакомых парней с опытом в ИБ на part-time, снимаю офис в Ново-Мухоморово, трачу немного денег на аутсорс всего остального и... всё. Через 3 месяца у меня есть лицензия. При этом сотрудники (кроме главного) будут числиться у меня номинально, и платить я им буду 3 копейки — они всё равно на меня не работают.
Вот только реальных сотрудников у меня всё ещё не будет — я могу прикрываться сертификатами Антона и парней, участвовать в тендерах, но в реальности всё, что я могу — перепродавать контракты. Причём если я совсем жадный, то продавать я их буду студентам (зря что ли Антон лекции свои читает), а парней попрошу посмотреть, совсем треш они сделали или прокатит.
При этом с точки зрения наличия лицензии — я молодец. А с точки зрения здравого смысла — не очень. Тут классическое «автомат купил, воевать не купил», и лицензия в реальности превращается в подобие патента, необходимого для работы. А для клиента, лицензия у исполнителя работ — это шапочка из бумаги. Она не защищает ни от чего и ничего не гарантирует.
В общем, мы это всё к чему. Лицензию мы, конечно, получим. Вот только от её наличия мы ни лучше, ни хуже не станем.
Сегодня хорошие люди в очередной раз спросили нас о том, есть ли у нас лицензия ТЗКИ. И услышав «нет» — задали вопрос, в чём причина. Так вот — мы точно знаем, что наша деятельность не попадает под требования ТЗКИ. Но, кажется, скоро мы её оформим просто для того, чтобы избежать вопросов, благо это не сложно.
Теперь о том, что это такое. ТЗКИ — это лицензия ФСТЭК, дающая возможность заниматься работами в области кибербезопасности. Чтобы её получить, нужно иметь 3 сотрудников (одного на полный день) с релевантным опытом и образованием, а также иметь соответствующее помещение. Ещё софт, компьютер, юристы, подготовка заявки, но это всё вопросы технические, и их решение давно отработано.
О чём говорит наличие у компании, занимающейся ИБ, такой лицензии? О том, что она потратила немного времени и немного денег, чтобы её получить. Говорит ли она о компетенциях компании? Нет. Приведу простой пример.
Допустим, я (Артём), хочу создать интегратор ООО «Рога и Копыта». Я думаю — окей, мне нужна лицензия! Я нанимаю Антона (на полный день), ещё пару знакомых парней с опытом в ИБ на part-time, снимаю офис в Ново-Мухоморово, трачу немного денег на аутсорс всего остального и... всё. Через 3 месяца у меня есть лицензия. При этом сотрудники (кроме главного) будут числиться у меня номинально, и платить я им буду 3 копейки — они всё равно на меня не работают.
Вот только реальных сотрудников у меня всё ещё не будет — я могу прикрываться сертификатами Антона и парней, участвовать в тендерах, но в реальности всё, что я могу — перепродавать контракты. Причём если я совсем жадный, то продавать я их буду студентам (зря что ли Антон лекции свои читает), а парней попрошу посмотреть, совсем треш они сделали или прокатит.
При этом с точки зрения наличия лицензии — я молодец. А с точки зрения здравого смысла — не очень. Тут классическое «автомат купил, воевать не купил», и лицензия в реальности превращается в подобие патента, необходимого для работы. А для клиента, лицензия у исполнителя работ — это шапочка из бумаги. Она не защищает ни от чего и ничего не гарантирует.
В общем, мы это всё к чему. Лицензию мы, конечно, получим. Вот только от её наличия мы ни лучше, ни хуже не станем.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
👍27🤔6😁2🔥1🗿1
Почему иногда просят включить телефон/планшет на досмотре?
Ответ для канала Александра Картавых.
С начала 2000-ых телефоны активно взрывались. Чеченские террористы не только активно их использовали как детонатор, но и как вполне самостоятельное взрывное устройство. В таком виде в его корпусе от самого телефона оставалось мало чего, а основной объём занимала взрывчатка. Начиненный подобным образом "телефон-бомба" на проверке не включится, да и зачастую его корпус будет выглядеть необычно. В таком случае сотрудники досмотра, обычно предлагают зарядку, а если проверяемый отказываться от подключения устройства к сети, устройство изымают для изучения.
А были ли те, которые включались?
Да, конечно. Он даже звонил! Доподлинно известно о случае, когда телефон во время разговора передали жертве - высокопоставленному члену ХАМАС. После чего телефон взорвался, это была точечная ликвидация и работа спецслужб. Подобную операцию показали в современном сериале "Тегеран". Но очевидно, охрана в аэропорту и метро не должна ловить шпионов мирового уровня =) Защита от менее квалифицированных угроз.
Почему просят не всегда?
Любая проверка избирательна, да и уровни тщательности досмотра зависят от множества факторов. Поэтому в одном и том же аэропорту/метро в зависимости от "усиления" какие-либо проверки могут быть обязательными, выборочными или их может не быть вовсе.
P.S. Зашел я как-то в аэропорт в Чехии, просто зашел через раздвижные двери. Оказался в зоне регистрации, и меня остановила мысль "Я зашел там, где выход, где охрана? Она меня сейчас остановит?". Через секунду вспомнил, я в Чехии, тут нет проверок на входе в аэропорт, тут аэропорты не взрывали.
Ответ для канала Александра Картавых.
С начала 2000-ых телефоны активно взрывались. Чеченские террористы не только активно их использовали как детонатор, но и как вполне самостоятельное взрывное устройство. В таком виде в его корпусе от самого телефона оставалось мало чего, а основной объём занимала взрывчатка. Начиненный подобным образом "телефон-бомба" на проверке не включится, да и зачастую его корпус будет выглядеть необычно. В таком случае сотрудники досмотра, обычно предлагают зарядку, а если проверяемый отказываться от подключения устройства к сети, устройство изымают для изучения.
А были ли те, которые включались?
Да, конечно. Он даже звонил! Доподлинно известно о случае, когда телефон во время разговора передали жертве - высокопоставленному члену ХАМАС. После чего телефон взорвался, это была точечная ликвидация и работа спецслужб. Подобную операцию показали в современном сериале "Тегеран". Но очевидно, охрана в аэропорту и метро не должна ловить шпионов мирового уровня =) Защита от менее квалифицированных угроз.
Почему просят не всегда?
Любая проверка избирательна, да и уровни тщательности досмотра зависят от множества факторов. Поэтому в одном и том же аэропорту/метро в зависимости от "усиления" какие-либо проверки могут быть обязательными, выборочными или их может не быть вовсе.
P.S. Зашел я как-то в аэропорт в Чехии, просто зашел через раздвижные двери. Оказался в зоне регистрации, и меня остановила мысль "Я зашел там, где выход, где охрана? Она меня сейчас остановит?". Через секунду вспомнил, я в Чехии, тут нет проверок на входе в аэропорт, тут аэропорты не взрывали.
Telegram
Картавых Александр
Сегодня в метро еду и тормозят меня на рамке, сумочку проверить. Ну, проверили, как обычно. После чего я из карманов достал телефон, зажигалку, чутка мелочи и сам через рамку прошел.
А вот потом случилась странность. Скрипт сломался и сотрудник меня попросил…
А вот потом случилась странность. Скрипт сломался и сотрудник меня попросил…
👍35🔥1👏1😁1
Аудит и анализ защищенности vs пентест — как понять, что вам нужно?
Далеко не все компании на рынке понимают, какие ИБ-услуги им нужны (и нужны ли вообще). Но самый яркий пример — это пара "аудит/анализ защищенности vs пентест". Как-то пришел к нам клиент и уверенно сказал: "мне нужен пентест". В целом идея понятна, людей на рынке много, вроде бы все просто. Вот только мы начали копаться и поняли, что пентест клиенту не нужен. Ему нужно несколько иное.
Начнем с терминологии. Пентест (тестирование на проникновение) — это работы, которые (с некоторыми допущениями) можно назвать симуляцией действий злоумышленника. На самом деле, полноценная симуляция это red team, да и пентест бывает "белым" и "черным" ящиком, но суть не меняется. Задача пентестера — получить доступ или другие права к объекту исследования самым простым и быстрым способом. Найти все уязвимости — не задача пентестера.
Анализ защищенности — это комплекс мер, направленный на поиск максимального количества уязвимостей. То есть мы делаем очень широкое исследование именно для того, чтобы закрыть все возможные "дыры". Ну, а аудит — это разной степени детальности попытка понять "как у нас дела", зачастую на уровне методологии.
По-хорошему, если есть бюджет и понимание целевого процесса, то процесс надо строить так: сначала аудит (чтобы разобраться в ситуации/оценить свои силы), потом анализ защищенности (чтобы устранить уязвимости), а потом уже пентест, в идеале "черным ящиком", то есть в максимально реалистичных условиях. Проблема в том, что обычно на то, чтобы сразу сделать все хорошо, не хватает или денег, или времени.
На наш взгляд, самая недооцененная часть нашей работы — это именно разбор инфраструктуры клиента и формирование рекомендаций, как делать "прямо сейчас", исходя из списка угроз и задач бизнеса. Но об этом в другой раз.
Далеко не все компании на рынке понимают, какие ИБ-услуги им нужны (и нужны ли вообще). Но самый яркий пример — это пара "аудит/анализ защищенности vs пентест". Как-то пришел к нам клиент и уверенно сказал: "мне нужен пентест". В целом идея понятна, людей на рынке много, вроде бы все просто. Вот только мы начали копаться и поняли, что пентест клиенту не нужен. Ему нужно несколько иное.
Начнем с терминологии. Пентест (тестирование на проникновение) — это работы, которые (с некоторыми допущениями) можно назвать симуляцией действий злоумышленника. На самом деле, полноценная симуляция это red team, да и пентест бывает "белым" и "черным" ящиком, но суть не меняется. Задача пентестера — получить доступ или другие права к объекту исследования самым простым и быстрым способом. Найти все уязвимости — не задача пентестера.
Анализ защищенности — это комплекс мер, направленный на поиск максимального количества уязвимостей. То есть мы делаем очень широкое исследование именно для того, чтобы закрыть все возможные "дыры". Ну, а аудит — это разной степени детальности попытка понять "как у нас дела", зачастую на уровне методологии.
По-хорошему, если есть бюджет и понимание целевого процесса, то процесс надо строить так: сначала аудит (чтобы разобраться в ситуации/оценить свои силы), потом анализ защищенности (чтобы устранить уязвимости), а потом уже пентест, в идеале "черным ящиком", то есть в максимально реалистичных условиях. Проблема в том, что обычно на то, чтобы сразу сделать все хорошо, не хватает или денег, или времени.
На наш взгляд, самая недооцененная часть нашей работы — это именно разбор инфраструктуры клиента и формирование рекомендаций, как делать "прямо сейчас", исходя из списка угроз и задач бизнеса. Но об этом в другой раз.
👍12🤔3🔥2
С чего начать построение ИБ в компании
Как ни странно, одна из частых причин, по которой бизнес не занимается ИБ, звучит так: "мы не знаем, что делать". ИБ — это дорого, страшно, требует специфических знаний итд итп. На самом деле — и да, и нет, и все немного иначе.
Первое, о чем надо понять, задумавшись об ИБ в компании — это о рисках. Что может случиться с инфраструктурой? Какой ущерб будет нанесен? Сколько это будет стоить? Без хотя бы приблизительного ответа на эти вопросы, бегать по рынку, покупать софт и искать подрядчиков смысла нет. Более того, есть очень много компаний, которым услуги по ИБ вообще не нужны. О чем мы им периодчески и говорим.
Второе — надо честно ответить на вопрос "как у меня сейчас обстоят дела". Если бизнес не занимался ИБ — это нормально. Если бизнес не понимает, что такое ИБ — это тоже нормально. Главное — правильно оценить уровень защищенности, и вот тут можно пробовать находить подрядчика (если есть инфраструктура) или разбираться самому (если есть компетенции).
Третье — активные действия. Вот только на этом этапе, когда понятны и возможные потери, и состояние дел — имеет смысл пробовать идти на рынок и что-то искать. Нет, можно идти и раньше, если деньги есть. Но все равно есть неиллюзорные шансы нарваться на продажу очередной DLP-системы для компании по перевозке пылесосов.
Четвертое — повышать компетенции. Здесь все очень просто, чем более компетентен заказчик, тем более эффективно он потратит деньги. Разбираться самому, нанимать профильного сотрудника или стороннего директора по ИБ на part time (кстати, CISO как услуга у нас тоже есть) — каждый решает для себя сам.
А вообще, на наш взгляд ИБ риски — это вполне типичный пример рисков операционных, и работать с ними надо примерно так же. Здесь самое главное это здравая и адекватная оценка состояния собственной инфраструктуры и величины возможного ущерба.
Как ни странно, одна из частых причин, по которой бизнес не занимается ИБ, звучит так: "мы не знаем, что делать". ИБ — это дорого, страшно, требует специфических знаний итд итп. На самом деле — и да, и нет, и все немного иначе.
Первое, о чем надо понять, задумавшись об ИБ в компании — это о рисках. Что может случиться с инфраструктурой? Какой ущерб будет нанесен? Сколько это будет стоить? Без хотя бы приблизительного ответа на эти вопросы, бегать по рынку, покупать софт и искать подрядчиков смысла нет. Более того, есть очень много компаний, которым услуги по ИБ вообще не нужны. О чем мы им периодчески и говорим.
Второе — надо честно ответить на вопрос "как у меня сейчас обстоят дела". Если бизнес не занимался ИБ — это нормально. Если бизнес не понимает, что такое ИБ — это тоже нормально. Главное — правильно оценить уровень защищенности, и вот тут можно пробовать находить подрядчика (если есть инфраструктура) или разбираться самому (если есть компетенции).
Третье — активные действия. Вот только на этом этапе, когда понятны и возможные потери, и состояние дел — имеет смысл пробовать идти на рынок и что-то искать. Нет, можно идти и раньше, если деньги есть. Но все равно есть неиллюзорные шансы нарваться на продажу очередной DLP-системы для компании по перевозке пылесосов.
Четвертое — повышать компетенции. Здесь все очень просто, чем более компетентен заказчик, тем более эффективно он потратит деньги. Разбираться самому, нанимать профильного сотрудника или стороннего директора по ИБ на part time (кстати, CISO как услуга у нас тоже есть) — каждый решает для себя сам.
А вообще, на наш взгляд ИБ риски — это вполне типичный пример рисков операционных, и работать с ними надо примерно так же. Здесь самое главное это здравая и адекватная оценка состояния собственной инфраструктуры и величины возможного ущерба.
👍15🔥1
Форум агентства стратегических инициатив
Мы всегда сложно относились к государственным агентствам. Точнее скажем так — мы привыкли, что они занимаются какими-то социальными историями, и или наглухо забюрократизированные, или просто нищие как церковные мыши. Иннополис (в котором мы зарегистрированы) предложил нам поучаствовать в форуме от АСИ. Мы не то, чтобы рвались, но согласились.
На выходе получилось достаточно любопытное мероприятие (хотя для москвичей участвовать проще), с кучей интересных контактов. Некоторые все еще отрабатываем. Посмотрим, что из всего этого выйдет, но пока работа с АСИ производит достаточно приятное впечатление. Как будут новости - обязательно напишем. Из забавного — очень много людей из медийки, ну и в Ведомости попали.
Точно о статусе партнерства с АСИ мы, я надеюсь, напишем на следующей неделе.
Мы всегда сложно относились к государственным агентствам. Точнее скажем так — мы привыкли, что они занимаются какими-то социальными историями, и или наглухо забюрократизированные, или просто нищие как церковные мыши. Иннополис (в котором мы зарегистрированы) предложил нам поучаствовать в форуме от АСИ. Мы не то, чтобы рвались, но согласились.
На выходе получилось достаточно любопытное мероприятие (хотя для москвичей участвовать проще), с кучей интересных контактов. Некоторые все еще отрабатываем. Посмотрим, что из всего этого выйдет, но пока работа с АСИ производит достаточно приятное впечатление. Как будут новости - обязательно напишем. Из забавного — очень много людей из медийки, ну и в Ведомости попали.
Точно о статусе партнерства с АСИ мы, я надеюсь, напишем на следующей неделе.
👍10🔥1
Вот, кстати, видео с одного из круглых столов (Артем там начиная с 1:47)
Telegram
WBCMedia
28–29 июня в Центре международной торговли Москвы состоялся форум «Сильные идеи для нового времени».
Организаторами Форума выступили Агентство стратегических инициатив (АСИ) и Фонд Росконгресс, соорганизатор мероприятия — ВЭБ.РФ. Участниками события стали…
Организаторами Форума выступили Агентство стратегических инициатив (АСИ) и Фонд Росконгресс, соорганизатор мероприятия — ВЭБ.РФ. Участниками события стали…
👍12🔥1
Пять стадий принятия кибербезопасности / Антон Бочкарев (Третья сторона) — запись выступления Антона с Saint HighLoad++ 2023.
Компании приходят к ИБ довольно тернистым путем, как его пройти максимально безболезненно - тот еще вопрос.
Доклад посвящен тому, как избежать ошибок на пути трансформации ИБ-функции в компании от состояния "что такое ИБ" до построения адекватных механизмов защиты.
Антон рассказывал об этом впервые, но далеко не последний раз.
Компании приходят к ИБ довольно тернистым путем, как его пройти максимально безболезненно - тот еще вопрос.
Доклад посвящен тому, как избежать ошибок на пути трансформации ИБ-функции в компании от состояния "что такое ИБ" до построения адекватных механизмов защиты.
Антон рассказывал об этом впервые, но далеко не последний раз.
highload.ru
Профессиональная конференция разработчиков высоконагруженных систем 2023
👍9🔥1
Как Тинькофф клиентские данные с Госуслуг собирает
Тут Тинькофф начал предлагать пользователям дать им доступ к данным пользователей с Госуслуг, мотивируя это требованиями 115-ФЗ (противодействие легализации доходов, полученных преступным путем). Сам банк пишет о том, что ему нужны данные паспорта, прав и других документов.
Правда, в реальности он запрашивает доступ к ГОРАЗДО большему объему информации. Здесь и доходы, и НДФЛ, соцвыплаты, транспортные средства и недвижимость. В общем, информация выглядит откровенно избыточной.
Объяснений тут может быть два. Наиболее friendly для банка — это упрощение жизни клиентов, по которым финмониторинг обнаружил сомнительные операции. То есть клиент не морочится со сбором документов, банк собирает все сам. Кстати, про 115 ФЗ для физиков они пишут вот так.
Но реальность на наш взгляд куда прозаичнее. Под видом "упрощения жизни клиента", банк просто собирает пользовательские данные. Достаточно посмотреть цель обработки (второй скриншот), и там прямо написано: "формирование финансовых и нефинансовых предложений". То есть банк просто хочет больше данных для того, чтобы его модели работали лучше, а предодобренные кредиты лучше продавались и имели меньший уровень просрочки. Ни к какому 115-ФЗ (на который банк ссылается в письме) эта история, на наш взгляд, отношения не имеет.
Мораль: смотрите, кто и зачем собирает ваши данные. Это история не только про банки (наиболее защищенные с точки зрения ИБ организации), но и про любые другие компании. Их интерес понятен — вопрос в том, хотите ли вы давать им эту информацию.
Тут Тинькофф начал предлагать пользователям дать им доступ к данным пользователей с Госуслуг, мотивируя это требованиями 115-ФЗ (противодействие легализации доходов, полученных преступным путем). Сам банк пишет о том, что ему нужны данные паспорта, прав и других документов.
Правда, в реальности он запрашивает доступ к ГОРАЗДО большему объему информации. Здесь и доходы, и НДФЛ, соцвыплаты, транспортные средства и недвижимость. В общем, информация выглядит откровенно избыточной.
Объяснений тут может быть два. Наиболее friendly для банка — это упрощение жизни клиентов, по которым финмониторинг обнаружил сомнительные операции. То есть клиент не морочится со сбором документов, банк собирает все сам. Кстати, про 115 ФЗ для физиков они пишут вот так.
Но реальность на наш взгляд куда прозаичнее. Под видом "упрощения жизни клиента", банк просто собирает пользовательские данные. Достаточно посмотреть цель обработки (второй скриншот), и там прямо написано: "формирование финансовых и нефинансовых предложений". То есть банк просто хочет больше данных для того, чтобы его модели работали лучше, а предодобренные кредиты лучше продавались и имели меньший уровень просрочки. Ни к какому 115-ФЗ (на который банк ссылается в письме) эта история, на наш взгляд, отношения не имеет.
Мораль: смотрите, кто и зачем собирает ваши данные. Это история не только про банки (наиболее защищенные с точки зрения ИБ организации), но и про любые другие компании. Их интерес понятен — вопрос в том, хотите ли вы давать им эту информацию.
👍36🤔12🤯3🔥2👎1
Китайский политический шпионаж? Выводы по взлому Майкрософт
Неделю назад APT-группой, которую ассоциируют с Китаем, известной как Storm-0558, был произведен взлом клиентов почтовой инфраструктуры Майкрософт. И судя по описанному ниже, подтекст у этой истории чисто политический.
Что известно на данный момент?
- Были взломаны 25 организаций, использующих почту через OWA (Outlook Web Acccess) и Outlook.com. Основными целями атаки были дипломатические и экономические структуры США и ЕС, предположительно работающие в тесной связке с Тайванем.
- Доступ к их ящикам электронной почты был получен через ранее неизвестную уязвимость подписи токенов Azure AD. Никто не предполагал, что неактивным ключем MSA(!) можно подписать подобные токены и получить доступ. Сейчас уязвимость устранена, подобная подпись не будет считаться валидной для почтовых сервисов.
- Каким образом злоумышленники получили ключ подписи до сих пор неизвестно. Подпись аннулирована.
- Майкрософт продолжают расследование.
А вот теперь выводы из всего этого:
0day это далеко не всегда инъекция/переполнение буфера и подобное. Если вендоры вам говорят, что некие WAF/NGFW помогут вам избежать эксплуатации 0day, то далеко не всех и не всегда. В каком случае они точно не помогут?
С уязвимостями логики приложения! Подобные уязвимости не найти техническими средствами, только человек может понять, что здесь что-то не так.
Что подпись этим ключем не должна быть валидна для другого сервиса, как в случае с Майкрософт.
Поэтому доверяйте проверку ваших сервисов профессионалам. Если даже у Майкрософт возникла такая проблема, то что уж говорить про сервисы меньшего размера?
А приложенная картинка ... ну, так нейросетка видит один легендарный объект китайского фольклора,который китайское правительство регулярно использует после очередных обвинений в хакерских атаках.
Неделю назад APT-группой, которую ассоциируют с Китаем, известной как Storm-0558, был произведен взлом клиентов почтовой инфраструктуры Майкрософт. И судя по описанному ниже, подтекст у этой истории чисто политический.
Что известно на данный момент?
- Были взломаны 25 организаций, использующих почту через OWA (Outlook Web Acccess) и Outlook.com. Основными целями атаки были дипломатические и экономические структуры США и ЕС, предположительно работающие в тесной связке с Тайванем.
- Доступ к их ящикам электронной почты был получен через ранее неизвестную уязвимость подписи токенов Azure AD. Никто не предполагал, что неактивным ключем MSA(!) можно подписать подобные токены и получить доступ. Сейчас уязвимость устранена, подобная подпись не будет считаться валидной для почтовых сервисов.
- Каким образом злоумышленники получили ключ подписи до сих пор неизвестно. Подпись аннулирована.
- Майкрософт продолжают расследование.
А вот теперь выводы из всего этого:
0day это далеко не всегда инъекция/переполнение буфера и подобное. Если вендоры вам говорят, что некие WAF/NGFW помогут вам избежать эксплуатации 0day, то далеко не всех и не всегда. В каком случае они точно не помогут?
С уязвимостями логики приложения! Подобные уязвимости не найти техническими средствами, только человек может понять, что здесь что-то не так.
Что подпись этим ключем не должна быть валидна для другого сервиса, как в случае с Майкрософт.
Поэтому доверяйте проверку ваших сервисов профессионалам. Если даже у Майкрософт возникла такая проблема, то что уж говорить про сервисы меньшего размера?
А приложенная картинка ... ну, так нейросетка видит один легендарный объект китайского фольклора,который китайское правительство регулярно использует после очередных обвинений в хакерских атаках.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
👍13😁7🔥1
Опечатки и порочные практики как угроза информационной безопасности
Мы привыкли, что основные угрозы в ИБ связаны так или иначе с действиями злоумышленников. Тем не менее, каждый год происходят сотни случаев разглашения конфиденциальной информации по банальной невнимательности. И кажется, у нас есть совершенно восхитительный пример.
Как известно, в США используют домен .MIL для инфраструктуры, связанной с военными. Сделав всего одну опечатку, .MIL превращается в .ML, а армия США - в Мали (такое государство в Африке). Забавно, но факт — голландский подрядчик, управляющий страновым доменом Мали утверждает, что с 2014 года американские военные отправили 117 тысяч (!) электронных писем в эту страну, а "только в прошлую среду пришло около тысячи". Секретной информации они не содержали, а вот конфиденциальной, включая данные военных и членов их семей, а также дипломатическую переписку — вполне.
Голландский подрядчик утверждает, что с 2014 года он безуспешно пытается донести суть проблемы до американской армии, которая ее просто игнорировала. В Пентагоне заявили, что решают проблему — а тем временем, срок передачи контроля над доменом правительству Мали истекает.
Судя по всему, чтобы решить проблему наверняка, американцам стоит переименовать Мали. По крайней мере, это будет проще, чем отучить людей совершать ошибки.
Мы привыкли, что основные угрозы в ИБ связаны так или иначе с действиями злоумышленников. Тем не менее, каждый год происходят сотни случаев разглашения конфиденциальной информации по банальной невнимательности. И кажется, у нас есть совершенно восхитительный пример.
Как известно, в США используют домен .MIL для инфраструктуры, связанной с военными. Сделав всего одну опечатку, .MIL превращается в .ML, а армия США - в Мали (такое государство в Африке). Забавно, но факт — голландский подрядчик, управляющий страновым доменом Мали утверждает, что с 2014 года американские военные отправили 117 тысяч (!) электронных писем в эту страну, а "только в прошлую среду пришло около тысячи". Секретной информации они не содержали, а вот конфиденциальной, включая данные военных и членов их семей, а также дипломатическую переписку — вполне.
Голландский подрядчик утверждает, что с 2014 года он безуспешно пытается донести суть проблемы до американской армии, которая ее просто игнорировала. В Пентагоне заявили, что решают проблему — а тем временем, срок передачи контроля над доменом правительству Мали истекает.
Судя по всему, чтобы решить проблему наверняка, американцам стоит переименовать Мали. По крайней мере, это будет проще, чем отучить людей совершать ошибки.
Engadget
An email typo has reportedly sent millions of US military messages to Mali
A typo has reportedly routed millions of US military emails — some containing highly sensitive information — to Mali. The problem stems from entering .ML instead of .MIL for the receiving email address domain. As reported by the Financial Times, the one-letter…
🔥22👍10
3side кибербезопасности
Опечатки и порочные практики как угроза информационной безопасности Мы привыкли, что основные угрозы в ИБ связаны так или иначе с действиями злоумышленников. Тем не менее, каждый год происходят сотни случаев разглашения конфиденциальной информации по банальной…
И вдогонку к предыдущему посту: никакого злого умысла, просто человеческий фактор.
https://xakep.ru/2023/07/19/virustotal-leak/
https://xakep.ru/2023/07/19/virustotal-leak/
XAKEP
На VirusTotal случайно загрузили данные сотен сотрудников спецслужб и крупных компаний
Сотрудник принадлежащей Google платформы VirusTotal случайно загрузил на сайт файл с именами и адресами электронной почты сотен людей, работающих в спецслужбах, министерствах обороны и крупных компаниях по всему миру. В частности, в список попали лица, связанные…
🔥13👍4😁2
О зарплатах, или почему специалист по ИБ может зарабатывать меньше, чем дизайнер
Тут на Хабре вышло интересное исследование — они на собственных данных собрали статистику по зарплатам в IT. К IT традиционно причислили и ИБ (что не вполне корректно), но это мелочи. Посмотрев на итоговые цифры, мы видим интересное: среди "технических" специальностей специалисты по безопасности зарабатывают ... меньше всех. Более того, это единственная специальность, в которой зарплаты в отдельных городах ... падают. Да, можно обсуждать репрезентативность выборки, но в целом проблема есть.
Итак, средняя зарплата ИБ-специалиста в России (по данным Хабра) — 120 тысяч рублей, это меньше, чем у тестировщика. Причем в госсекторе ситуация может быть радикально хуже — про то, как в "госуху" искали специалиста по ИБ за 15 (!) тысяч рублей в месяц мы уже писали. В целом, проблема ИБ — это проблема любого риск-менеджмента или поддерживающей функции. Сам по себе кибербез не приносит прибыли (если вы, конечно, не занимаетесь продажей именно его).
В общем, когда снова услышите об утечках, особенно в госсекторе — не удивляйтесь. Когда услышите новости о том, что "в России не хватает специалистов по ИБ" — просто улыбнитесь. В реальности, специалистов хватает — им просто не готовы платить. И мы знаем достаточно ситуаций, когда грамотные ИБ-специалисты уезжают из России не из-за политики, а просто потому, что в условной Польше предложили зарплату в 3 раза больше.
На самом деле, реальной борьбы с утечками на уровне государства сейчас практически не ведется, и утечки клиентских данных никого особо не волнуют. Если бы волновали — в России давно бы появились оборотные штрафы за потерю данных. Но их нет и почти наверняка не будет.
Собственно, одна из причин, по которым появился 3side — это желание как-то изменить сложившуюся картину, когда 10 000 продажников продают услуги 1000 ИБ-специалистов.
Тут на Хабре вышло интересное исследование — они на собственных данных собрали статистику по зарплатам в IT. К IT традиционно причислили и ИБ (что не вполне корректно), но это мелочи. Посмотрев на итоговые цифры, мы видим интересное: среди "технических" специальностей специалисты по безопасности зарабатывают ... меньше всех. Более того, это единственная специальность, в которой зарплаты в отдельных городах ... падают. Да, можно обсуждать репрезентативность выборки, но в целом проблема есть.
Итак, средняя зарплата ИБ-специалиста в России (по данным Хабра) — 120 тысяч рублей, это меньше, чем у тестировщика. Причем в госсекторе ситуация может быть радикально хуже — про то, как в "госуху" искали специалиста по ИБ за 15 (!) тысяч рублей в месяц мы уже писали. В целом, проблема ИБ — это проблема любого риск-менеджмента или поддерживающей функции. Сам по себе кибербез не приносит прибыли (если вы, конечно, не занимаетесь продажей именно его).
В общем, когда снова услышите об утечках, особенно в госсекторе — не удивляйтесь. Когда услышите новости о том, что "в России не хватает специалистов по ИБ" — просто улыбнитесь. В реальности, специалистов хватает — им просто не готовы платить. И мы знаем достаточно ситуаций, когда грамотные ИБ-специалисты уезжают из России не из-за политики, а просто потому, что в условной Польше предложили зарплату в 3 раза больше.
На самом деле, реальной борьбы с утечками на уровне государства сейчас практически не ведется, и утечки клиентских данных никого особо не волнуют. Если бы волновали — в России давно бы появились оборотные штрафы за потерю данных. Но их нет и почти наверняка не будет.
Собственно, одна из причин, по которым появился 3side — это желание как-то изменить сложившуюся картину, когда 10 000 продажников продают услуги 1000 ИБ-специалистов.
👍36🔥2
Легендарный Кевин Митник скончался
Он умер 16 июля на 60 году жизни после годичной борьбы с раком поджелудочной железы. В этот раз обвести смерть вокруг пальца ему не удалось.
У него осталась жена и еще не родившийся первый ребенок.
Сложной найти человека из кибербезопасности, кто не знал бы о нем, не читал его книги или хотя бы не слышал истории об этом удивительном человеке.
Он один из первых открыто рассказывал о методах социальной инженерии на публике. На его книгах учились и мошенники и пентестеры соц. инженеры, как и автор этих строк, который по настоящему влюбился в это направление после книг Кевина.
Кому то покажется, что его методы в 2023 устарели, но это не так, просто адаптируйте их под реальность и смотрите глубже. Методы описанные им вечны!
Как и он будет вечен в памяти его последователей.
Он умер 16 июля на 60 году жизни после годичной борьбы с раком поджелудочной железы. В этот раз обвести смерть вокруг пальца ему не удалось.
У него осталась жена и еще не родившийся первый ребенок.
Сложной найти человека из кибербезопасности, кто не знал бы о нем, не читал его книги или хотя бы не слышал истории об этом удивительном человеке.
Он один из первых открыто рассказывал о методах социальной инженерии на публике. На его книгах учились и мошенники и пентестеры соц. инженеры, как и автор этих строк, который по настоящему влюбился в это направление после книг Кевина.
Кому то покажется, что его методы в 2023 устарели, но это не так, просто адаптируйте их под реальность и смотрите глубже. Методы описанные им вечны!
Как и он будет вечен в памяти его последователей.
👏24🔥14🤯8👍7🤔2❤1😁1
Хакинг в ногу
Вот тут всплыла совершенно потрясающая история — один очень талантливый хакер, продававший в даркнете данные со взломанных машин и корпоративные учетки, случайно продал и свои данные.
Но для начала немного предыстории. Разделение труда давно дошло до злоумышленников в сети. Даже термин такой появился — RaaS (ransom-as-a-service), по аналогии с SaaS. Грубо говоря, первичные уязвимости собирают одни, ломают другие, деньги выводят третьи, схема получается достаточно сложная и многоэтапная. Есть даже определенная конкуренция между производителями malware, в том числе по цене. Там забавно, но история не про это.
Так вот, наш герой занимался поисками тех самых первичных уязвимостей, заражая компьютеры тысячами и продавая за копейки содержимое — дальше уже другие люди разбирались, что с этим делать. Есть такой класс вредоносных программ — инфостилеры (по-сути троян, который собирает информацию по системе жертвы). Продавал он логи этих самых инфостилеров в даркнете любому желающему, в том числе (очевидно) полиции и "белым" исследователям.
Очевидно, что таких "низкоуровневых" злоумышленников довольно много, заражают друг друга они регулярно, но наш герой пошел дальше — он ухитрился продать доступ к собственному (!) компьютеру, что достаточно быстро обнаружили израильтяне из Hudson Rock, ну а дальнейшее было делом техники. К слову, те же исследователи утверждают, что подобную ошибку допускали тысячи злоумышленников до него.
А теперь менее смешная часть этой истории
Инфостилеры — это вообще совершенно типовая проблема. Каждый год злоумышленниками похищаются сотни тысяч записей клиентов, так что именно они вместе с шифровальщиками останутся ключевой проблемой и в этом, и в следующем году. Тут есть еще какой момент — злоумышленники не пытаются целенаправленно атаковать одну конкретную компанию, они работают "по площадям", говоря простым языком, и дальше продолжают атаки там, где это может быть наиболее эффективно.
В общем, занимайтесь защитой. По крайней мере, пока не все хакеры продадут полиции компромат на самих себя.
Вот тут всплыла совершенно потрясающая история — один очень талантливый хакер, продававший в даркнете данные со взломанных машин и корпоративные учетки, случайно продал и свои данные.
Но для начала немного предыстории. Разделение труда давно дошло до злоумышленников в сети. Даже термин такой появился — RaaS (ransom-as-a-service), по аналогии с SaaS. Грубо говоря, первичные уязвимости собирают одни, ломают другие, деньги выводят третьи, схема получается достаточно сложная и многоэтапная. Есть даже определенная конкуренция между производителями malware, в том числе по цене. Там забавно, но история не про это.
Так вот, наш герой занимался поисками тех самых первичных уязвимостей, заражая компьютеры тысячами и продавая за копейки содержимое — дальше уже другие люди разбирались, что с этим делать. Есть такой класс вредоносных программ — инфостилеры (по-сути троян, который собирает информацию по системе жертвы). Продавал он логи этих самых инфостилеров в даркнете любому желающему, в том числе (очевидно) полиции и "белым" исследователям.
Очевидно, что таких "низкоуровневых" злоумышленников довольно много, заражают друг друга они регулярно, но наш герой пошел дальше — он ухитрился продать доступ к собственному (!) компьютеру, что достаточно быстро обнаружили израильтяне из Hudson Rock, ну а дальнейшее было делом техники. К слову, те же исследователи утверждают, что подобную ошибку допускали тысячи злоумышленников до него.
А теперь менее смешная часть этой истории
Инфостилеры — это вообще совершенно типовая проблема. Каждый год злоумышленниками похищаются сотни тысяч записей клиентов, так что именно они вместе с шифровальщиками останутся ключевой проблемой и в этом, и в следующем году. Тут есть еще какой момент — злоумышленники не пытаются целенаправленно атаковать одну конкретную компанию, они работают "по площадям", говоря простым языком, и дальше продолжают атаки там, где это может быть наиболее эффективно.
В общем, занимайтесь защитой. По крайней мере, пока не все хакеры продадут полиции компромат на самих себя.
Telegram
SecAtor
Хакер из киберподполья спалился, заразив свой собственный компьютер вредоносным ПО для кражи информации.
После чего выйти на след преступника смогли исследователи из израильской компании Hudson Rock, которые по итогу раскрыли его настоящую личность.
Известный…
После чего выйти на след преступника смогли исследователи из израильской компании Hudson Rock, которые по итогу раскрыли его настоящую личность.
Известный…
😁14👍5🔥2👨💻1
Взлом на камеру — почему СМИ так плохо показывают ИБ
Одна из ключевых проблем работы с ИБ в СМИ — это зачастую полное непонимание того, как это самое ИБ устроено. О нем пишут как о чем-то оторванном от реальности, как будто это сериал или кино. Особенно часто это происходит в различных роликах, так или иначе связанных со взломом, когда сотрудники СМИ говорят: "Давайте сделаем так, как нам надо, а не так, как есть на самом деле".
Еще в самом начале работы 3side к нам приходили журналисты, которым нужно было снять документальный фильм про стартапы. И они говорили: "ну, вы же занимаетесь кибербезом, можете показать, как реально можно что-то взломать". Мы отвечали — окей, давайте покажем как есть на самом деле. И это было совершенно не зрелищно.
В итоге это часто сводится к предложению, например, взять его ноутбук и взломать его. Окей, но этот ноутбук (например) не журналиста, а компании. А значит делать это без договора просто незаконно. Во-вторых, не факт, что я прямо сейчас смогу это сделать. В-третьих, это почти наверняка будет не зрелищно.
Собственно, на этом наш разговор закончился, и точек соприкосновения мы не нашли. ИБ - это не магия, это обычная техническая работа, иногда сложная, иногда монотонная. В итоге истории про "взломайте ноутбук или аккаунт в ВК" приводят к маргинализации сообщества, а главное — они показывают совершенно недостоверную картину, нанося вред культуре ИБ в России. Один из немногих примеров довольно реалистичных взломов - сериал Мистер Робот.
Лучшее, что можно сделать — найти баланс между зрелищностью и достоверностью. Очень красивый пример — это Standoff, там все красиво, наглядно и максимально реалистично. А истории про "взломанный wifi" — это довольно грустно.
Одна из ключевых проблем работы с ИБ в СМИ — это зачастую полное непонимание того, как это самое ИБ устроено. О нем пишут как о чем-то оторванном от реальности, как будто это сериал или кино. Особенно часто это происходит в различных роликах, так или иначе связанных со взломом, когда сотрудники СМИ говорят: "Давайте сделаем так, как нам надо, а не так, как есть на самом деле".
Еще в самом начале работы 3side к нам приходили журналисты, которым нужно было снять документальный фильм про стартапы. И они говорили: "ну, вы же занимаетесь кибербезом, можете показать, как реально можно что-то взломать". Мы отвечали — окей, давайте покажем как есть на самом деле. И это было совершенно не зрелищно.
В итоге это часто сводится к предложению, например, взять его ноутбук и взломать его. Окей, но этот ноутбук (например) не журналиста, а компании. А значит делать это без договора просто незаконно. Во-вторых, не факт, что я прямо сейчас смогу это сделать. В-третьих, это почти наверняка будет не зрелищно.
Собственно, на этом наш разговор закончился, и точек соприкосновения мы не нашли. ИБ - это не магия, это обычная техническая работа, иногда сложная, иногда монотонная. В итоге истории про "взломайте ноутбук или аккаунт в ВК" приводят к маргинализации сообщества, а главное — они показывают совершенно недостоверную картину, нанося вред культуре ИБ в России. Один из немногих примеров довольно реалистичных взломов - сериал Мистер Робот.
Лучшее, что можно сделать — найти баланс между зрелищностью и достоверностью. Очень красивый пример — это Standoff, там все красиво, наглядно и максимально реалистично. А истории про "взломанный wifi" — это довольно грустно.
👨💻21👍6🔥3
Новый инструмент защиты или контроля?
Google Web Environment Integrity
Архитектура современных браузеров такова, что зачастую доверять им совершенно невозможно. Почему?
- Имитировать легитимный браузер крайне легко, чем пользуются ботоводы накручивающие рекламу.
- Изменять код на клиенте - проще простого, чем пользуются в фишинге и этим же пользуются вредоносные расширения.
- Отделить реального комментатора от бота-манипулятора в социальных сетях, можно только по контенту и статистике, но не по браузеру.
- Читерство в веб-играх, неконтролируемо.
- С атаками на перебор паролей, тоже не всегда все просто (да в 2023 году!).
При этом подобные проблемы на мобильных устройствах стоят гораздо менее остро, там есть возможность проверить целостность кода и отсутствие root-прав. Но этим часто и злоупотребляют.
Разработчики Google хотят внедрить схожий механизм проверки содержимого браузера, как они говорят с целью защиты.
Цель благая, но какие подводные камни?
1. Блокировщики рекламы могут попасть под удар, они намеренно изменяют код и защита должна это видеть.
2. Это уникальный сбор данных о браузере, фактически супер-fingerprinting, который будут видеть только Google.
3. Фактически заблокировав доступ к этому API, многие сайты могут перестать открываться.
А что с другими браузерами? Это станет обязательным, уровня "интернет-паспорт"?
И вот в этом и кроется основнойсрач генерирующий споры момент.
- Сейчас разработчики утверждают, что не собираются влиять на работу блокировщиков рекламы или иных плагинов и расширений.
- Фингерпринтинг и слежку отвергают, хотят лишь регулировать скорость доставки контента до конечного устройства.
Сейчас проект располагается на личном Github одного из разработчиков, Google намеренно абстрагируется от столь неоднозначной технологии.
Она с точки зрения защиты дает Google большие возможности, но с большой силой приходит большая ответственность, как ей распорядится компания, увидим. Это может стать как благом для пользователей, так и проклятием для всего интернета.
Google Web Environment Integrity
Архитектура современных браузеров такова, что зачастую доверять им совершенно невозможно. Почему?
- Имитировать легитимный браузер крайне легко, чем пользуются ботоводы накручивающие рекламу.
- Изменять код на клиенте - проще простого, чем пользуются в фишинге и этим же пользуются вредоносные расширения.
- Отделить реального комментатора от бота-манипулятора в социальных сетях, можно только по контенту и статистике, но не по браузеру.
- Читерство в веб-играх, неконтролируемо.
- С атаками на перебор паролей, тоже не всегда все просто (да в 2023 году!).
При этом подобные проблемы на мобильных устройствах стоят гораздо менее остро, там есть возможность проверить целостность кода и отсутствие root-прав. Но этим часто и злоупотребляют.
Разработчики Google хотят внедрить схожий механизм проверки содержимого браузера, как они говорят с целью защиты.
Цель благая, но какие подводные камни?
1. Блокировщики рекламы могут попасть под удар, они намеренно изменяют код и защита должна это видеть.
2. Это уникальный сбор данных о браузере, фактически супер-fingerprinting, который будут видеть только Google.
3. Фактически заблокировав доступ к этому API, многие сайты могут перестать открываться.
А что с другими браузерами? Это станет обязательным, уровня "интернет-паспорт"?
И вот в этом и кроется основной
- Сейчас разработчики утверждают, что не собираются влиять на работу блокировщиков рекламы или иных плагинов и расширений.
- Фингерпринтинг и слежку отвергают, хотят лишь регулировать скорость доставки контента до конечного устройства.
Сейчас проект располагается на личном Github одного из разработчиков, Google намеренно абстрагируется от столь неоднозначной технологии.
Она с точки зрения защиты дает Google большие возможности, но с большой силой приходит большая ответственность, как ей распорядится компания, увидим. Это может стать как благом для пользователей, так и проклятием для всего интернета.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
👍10🤔4🔥1