Следующая новость
Предыдущая новость

Итоги 2018: инциденты, уязвимости, тренды

26.12.2018 19:32
Итоги 2018: инциденты, уязвимости, тренды

Содержание статьи

  • Meltdown и Spectre
  • Утечки данных повсюду
  • Битва за Telegram
  • Криптовалюты и их проблемы
  • Epic fail
  • Крупные слияния
  • Интернет, который мы потеряли

2018 год подходит к концу. А значит, пришло время подвести итоги.

Уходящий год следовал практически тем же курсом, что и его предшественник. К сожалению, мы не можем сообщить о каких-либо значительных улучшениях в той или иной области и в основном наблюдаем развитие ранее установившихся трендов. К примеру, одной из основных угроз для рядовых пользователей и бизнеса по-прежнему остаются шифровальщики и вымогатели, хотя специалисты по безопасности говорят об этой проблеме и методах защиты от нее уже очень давно. Также не спешит улучшаться и обстановка в сфере IoT: устройств интернета вещей становится все больше, и в массе своей они все так же небезопасны, а производители порой вообще не трудятся выпускать патчи.

Множество рисков по-прежнему сосредоточено и вокруг рынка криптовалют. После стремительного роста курсов в конце прошлого года в 2018 году можно было наблюдать очередной виток увеличения интереса к этой области, как среди простых пользователей, так и среди преступников. Всевозможные скрытые майнеры определенно могли бы посоревноваться с шифровальщиками за звание самых распространенных угроз года.

Итоги 2018: инциденты, уязвимости, тренды

Meltdown и Spectre

Уязвимости Meltdown и Spectre (CVE-2017-5754, а также CVE-2017-5753 и CVE-2017-5715), информация о которых была опубликована в январе 2018 года, взбудоражили всю индустрию, ведь выяснилось, что практически все современные процессоры (выпущенные после 1995 года) имеют фундаментальные проблемы, решить которые простыми софтверными патчами возможно далеко не всегда. Фактически под угрозой оказались все устройства, работающие с уязвимыми процессорами: от телевизоров и смартфонов до серверов и рабочих станций.

Используя эти уязвимости, легко нарушить изоляцию адресного пространства, прочитать пароли, ключи шифрования, номера банковских карт, произвольные данные системных и других пользовательских приложений в обход любых средств защиты и на любой ОС. Обе проблемы дают возможность проводить атаки по стороннему каналу (side channel attack), используя недостатки физической реализации процессоров.

Информацию об уязвимостях раскрыли раньше запланированного срока. Крупным компаниям стало известно о проблеме еще летом 2017 года, однако в начале января информация о глобальных проблемах «во всех процессорах сразу» неожиданно просочилась в прессу. Компании были вынуждены ускорить выход исправлений и выступить с официальными заявлениями, чтобы пресечь слухи, становившиеся все безумнее.

Мало того что само существование Meltdown и Spectre представляет огромную проблему для всей индустрии и для простых пользователей, ситуацию дополнительно ухудшили и сами производители уязвимых решений. Дело в том, что софтверные патчи и микрокоды, призванные обезопасить устройства от Meltdown и Spectre, в итоге выпускались в спешке и на протяжении многих месяцев порождали всевозможные сбои и баги.

Зачастую патчи оказывались несовместимы с антивирусными решениями, вызывали отказ в работе, провоцировали появление BSOD и частые перезагрузки и даже создавали новые уязвимости. В итоге распространение патчей и микрокодов неоднократно приостанавливали и возобновляли, что привело к невероятной путанице.

В конечном итоге из-за этого представители Intel, AMD, ARM, Apple, Amazon, Google и Microsoft были вынуждены держать ответ перед комитетом сената США по энергетике и торговле, объясняя, как такое произошло.

Хуже того, даже правильно установленные и работающие исправления негативным образом сказываются на производительности процессоров, и ничего поделать с этим, к сожалению, нельзя. Хотя большинство исследователей сходятся во мнении, что во время работы над обычными задачами рядовой пользователь не заметит никакой разницы, в некоторых случаях потеря производительности все же может оказаться существенной.

По разным данным и оценкам, после установки патчей процессоры могут терять 5–50% своей мощности. Конкретные цифры зависят от множества факторов: архитектуры, железа, ОС, исполняющихся задач и так далее. Острее всего снижение производительности ожидаемо проявляется на старых моделях процессоров и старых ОС.

Вариации атак на Meltdown и Spectre

Вскоре после того, как о Meltdown и Spectre стало известно миру, ИБ-специалисты и исследователи предупредили, что в будущем наверняка появятся новые варианты этих уязвимостей и способы их эксплуатации. Нечто подобное ранее можно было наблюдать в развитии проблемы Rowhammer.
К сожалению, прогнозы специалистов полностью оправдались, и к концу 2018 года были обнаружены следующие разновидности данных проблем.

Meltdown:

  • L1TF (L1 Terminal Fault) или Foreshadow;

  • вариант 3а;

  • вариант 1.2;

  • Lazy FP;

  • Meltdown-BR и Meltdown-PK.

Spectre:

  • вариант 1.1;

  • вариант 4;

  • BranchScope;

  • SgxSpectre;

  • SpectreNG;

  • SpectreRSB;

  • NetSpectre;

  • SplitSpectre;

  • Spectre-PHT, Spectre-BTB, Spectre-RSB и Spectre-BHB.

Итоги 2018: инциденты, уязвимости, тренды

Утечки данных повсюду

Одной из главных проблем в сфере информационной безопасности по-прежнему остаются утечки данных. Они происходят постоянно и случаются как с небольшими фирмами, так и с крупнейшими представителями ИТ-рынка и даже с киберпреступниками. Порой вина за такие инциденты лежит на самих сотрудниках пострадавшей компании, демонстрирующих халатное отношение к защите, а порой «сливы» данных — результат хорошо спланированных и тщательно проработанных хакерских операций, защититься от которых действительно было сложно.

Утечки данных не только ставят под угрозу рядовых пользователей, они могут быть использованы преступниками для атак типа password reuse, когда даже простой брутфорс превращается в серьезное оружие. Хуже того, личные данные людей, попавшие в руки третьих лиц, могут использоваться для кражи личности, мошенничества со страховкой, банального шантажа и множества других видов скама.

Кстати, напомним, что осенью 2018 года инженеры Mozilla объявили о запуске бесплатного сервиса Firefox Monitor, разработанного в содружестве с агрегатором утечек Have I Been Pwned. Сервис позволяет проверить, не были ли скомпрометированы email-адрес и связанные с ним аккаунты. Советуем не пренебрегать этой возможностью.

Также с сожалением отметим, что в этом году пароли 123456 и qwerty снова оказались одними из самых используемых.

Итоги 2018: инциденты, уязвимости, тренды

Facebook и Cambridge Analytica

Наиболее громким инцидентом прошедшего года определенно стал масштабный скандал, в центре которого оказалась компания Facebook.

Весной 2018 года широкой общественности стало известно, что британская компания Cambridge Analytica сумела заполучить информацию о 87 миллионах пользователях Facebook (без ведома последних). Сбор данных велся под видом простого опроса, для участия в котором нужно было войти через Facebook.

Итоги 2018: инциденты, уязвимости, тренды

Таким образом было «опрошено» около 270 тысяч человек, но в то время API социальной сети позволял собрать данные о друзьях этих пользователей, что в итоге и принесло «исследователям» информацию о десятках миллионов человек. Эти данные были использованы для составления психологических портретов и разработки персонализированной рекламы. Так как основным вектором работы Cambridge Analytica были алгоритмы анализа политических предпочтений избирателей, данные пользователей социальной сети использовались во время десятков избирательных кампаний в различных странах мира.

В итоге социальную сеть обвинили в наплевательском отношении к данным своих пользователей, халатности и замалчивании случившегося, а Cambridge Analytica подозревали едва ли не в связях со спецслужбами и влиянии на результаты выборов (в том числе американских). Весь мир в одночасье заговорил о том, какая огромная ответственность лежит на компаниях, с которыми пользователи сами делятся своими личными данными. И какую невероятную ценность весь этот материал представляет для маркетологов, политологов и многих других заинтересованных лиц.

Хотя представители Facebook не раз публично извинялись за случившееся, имидж компании сильно пострадал, о чем явно говорят подорванное доверие пользователей, потерявшие в цене акции компании и многочисленные судебные иски. Теперь социальная сеть делает все возможное, чтобы пользователи поверили: компания стремится измениться к лучшему и учится на своих ошибках. Например, Facebook расширила программу bug bounty, призвав исследователей искать приложения, которые могут злоупотреблять данными, полученными от Facebook (то есть информацией пользователей). Также разработчики Facebook стали «заворачивать гайки» и для самих сторонних приложений, использующих API социальной сети. В частности, если пользователь не притрагивается к приложению более трех месяцев, теперь оно автоматически лишается доступа к его данным.

«Мы недостаточно фокусировались на предотвращении злоупотреблений и недостаточно думали о том, как люди могут использовать эти инструменты для нанесения ущерба. Для полного осознания нашей ответственности нам не хватило широты взгляда на вещи. Это была моя ошибка», — заявил в интервью The New York Times глава Facebook Марк Цукерберг.

Другие скандалы Facebook

Одним лишь скандалом из-за Cambridge Analytica дело не ограничилось. В 2018 году компания Facebook была связана и с другими неприятными инцидентами, приведшими к утечкам данных.

  • Из-за бага в работе функции «Посмотреть как» (View as) были скомпрометированы данные как минимум 30 миллионов человек

  • Было обнаружено приложение NameTests, злоупотреблявшее данными пользователей Facebook. Оно давало любому желающему доступ к информации о 120 миллионах человек

  • Как выяснилось после инцидента с Cambridge Analytica, соцсеть официально делилась данными пользователей с 52 сторонними компаниями и 61 разработчиком приложений

Итоги 2018: инциденты, уязвимости, тренды

От авиакомпаний до спамеров

Как уже было сказано выше, от утечек данных не застрахован никто. И хотя никому по-прежнему не удалось отобрать пальму первенства у компании Yahoo, которая еще в 2016 году призналась в утечке данных полутора миллиардов (sic!) пользователей, серьезных происшествий в 2018 году было немало. Вспомним наиболее яркие случаи.

Своеобразный антирекорд этого года принадлежит международной сети отелей Marriott. В конце года был обнаружен взлом, случившийся еще в 2014 году. Проникновение в систему произошло за два года до того, как Marriott приобрела сеть Starwood (включая такие бренды, как W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton и Design Hotels). Как оказалось, злоумышленники похитили информацию обо всех постояльцах, которые прибегали к услугам системы Starwood за последние годы, а это около 500 миллионов человек.

В конце лета о взломе и утечке данных сообщил один из самых посещаемых сайтов в интернете Reddit. Неизвестные злоумышленники сумели обойти двухфакторную аутентификацию в аккаунтах нескольких сотрудников компании и похитили самые разные данные: от исходных кодов до email-адресов пользователей и бэкапов БД.

ИБ-специалисты обнаружили, что на андеграундных хакерских форумах свободно продается информация о 200 миллионах жителей Японии. Так как население страны в настоящее время оценивается в 127 миллионов человек, исследовали заключили, что база злоумышленников содержит дубликаты (около 36%) и «мусорную», недействительную информацию.

В похожей ситуации оказались и 120 миллионов бразильских налогоплательщиков. Специалисты обнаружили в Сети незащищенную и свободно доступную БД, содержащую личные данные миллионов человек, включая идентификационные номера налогоплательщиков (Cadastro de Pessoas Físicas, CPF), телефоны, адреса, информацию о кредитах, данные о военной службе и другие.

Была скомпрометирована информация о 92 миллионах пользователей популярного гибрида социальной сети и генеалогического сайта MyHeritage. К счастью, финансовая информация, а также результаты ДНК-тестов пользователей в руки неизвестных злоумышленников не попали.

Осенью 2018 года хакерским атакам и утечкам данных подверглись крупные авиакомпании British Airways и Cathay Pacific. Была скомпрометирована информация миллионов пассажиров, включая личные и финансовые данные.

У самих хакеров тоже случаются подобные проколы. Например, из-за ошибки операторов ботнета Trik достоянием общественности стала база 43 миллионов почтовых адресов, использовавшаяся для рассылки спама.

Иронично, но подобные промахи допускают даже разработчики спайвари, продающие легальные решения для слежки простым гражданам. Компании TheTruthSpy и Spyfone уличили в халатном отношении к безопасности — посторонние лица смогли получить доступ к данным их клиентов и даже информации, которую собирала созданная компаниями спайварь.

Итоги 2018: инциденты, уязвимости, тренды

Утечки исходных кодов

Еще один интересный вид утечек данных — это утечки исходных кодов. Чтобы оценить всю потенциальную серьезность таких инцидентов, достаточно вспомнить, к каким последствиям привела публикация исходников IoT-вредоноса Mirai или похищенного у АНБ хакерского инструментария, обнародованного в открытом доступе хак-группой The Shadow Brokers.

Весной 2018 года хак-группа, называющая себя Dark-Liberty Team, опубликовала в открытом доступе исходный код iBoot — одной из ключевых составляющих устройств Apple, которая отвечает за процесс доверенной загрузки ОС. Фактически именно iBoot стартует одним из первых после включения устройства (до него запускается только Boot ROM), он находит и верифицирует ядро, проверяя, имеет ли оно необходимые подписи Apple, а затем передает ему управление или переключает девайс в режим восстановления.

Сначала исходники были размещены на GitHub, но компания Apple оперативно подала жалобу о нарушении DMCA (Digital Millennium Copyright Act, «Закон об авторском праве в цифровую эпоху»), после чего администрация GitHub поспешила удалить спорный контент. Вскоре исходные коды вновь появились в Сети, но уже в зоне .onion, то есть в даркнете.

В марте 2018 года в открытом доступе были опубликованы исходные коды PoS-малвари TreasureHunter. Из-за чего произошла утечка, доподлинно неизвестно, однако после эксперты прогнозировали прирост PoS-малвари. Похожие пики активности после утечки исходных кодов уже не раз демонстрировали другие угрозы, например банкер Zeus или мобильный банкер BankBot.

Еще один интересный репозиторий был удален с GitHub в конце лета 2018 года. Он также был закрыт из-за жалобы на нарушение DMCA, на этот раз поданной представителями компании Snap Inc. Как оказалось, в мае 2018 года обновление iOS-версии приложения случайно раскрыло часть исходных кодов Snapchat, которые в итоге и распространились по Сети. После закрытия репозитория СМИ обнаружили его копии на GitHub и других платформах.

Все на том же GitHub появился и исходный код популярного инструмента DexGuard, который разрабатывает компания Guardsquare. Этот платный аналог ProGuard используется для обфускации и защиты Android-приложений от обратного инжиниринга и взлома. DexGuard применяется разработчиками для защиты от взлома и клонирования приложений (порой это связано с пиратством), сбора учетных данных и других проблем.

Случай, выделяющийся из череды похожих инцидентов, произошел летом текущего года. Тогда был арестован бывший сотрудник NSO Group, который похитил исходные коды легальной коммерческой спайвари и попытался продать их в даркнете за 50 миллионов долларов. Напомню, что широкую известность NSO Group получила в 2016–2017 годах, когда специалисты по информационной безопасности обнаружили мощные шпионские инструменты Pegasus и Chrysaor, разработанные компанией и предназначенные для iOS и Android. Тогда эксперты называли NSO Group не иначе, как «торговцами кибероружием».

Итоги 2018: инциденты, уязвимости, тренды

Битва за Telegram

Весной и летом 2018 года противостояние Роскомнадзора и мессенджера Telegram, берущее начало еще в прошлом году, стало одной из самых обсуждаемых тем в Рунете. Роскомнадзор попытался ограничить доступ к мессенджеру на территории РФ, однако эта затея так и не увенчалась успехом.

Противостояние компании Telegram Messenger LLP и российских надзорных органов началось в 2017 году. Тогда Telegram был зарегистрирован в реестре организаторов распространения информации (после продолжительного скандала), хотя Павел Дуров подчеркивал, что компания тем самым не берет на себя никаких дополнительных обязательств и не собирается предоставлять кому-либо доступ к переписке пользователей. Когда представители мессенджера отказались передать ФСБ ключи шифрования, суд оштрафовал компанию за совершение административного правонарушения (статья 13.31 часть 2.1 КоАП РФ).

После этого Telegram Messenger LLP заручилась поддержкой юристов международной правозащитной группы «Агора» и обратилась в суд с требованием признать незаконным приказ ФСБ от 19 июля 2016 года № 432 (Об утверждении порядка представления организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет»).

Компания попыталась доказать, что данный приказ противоречит закону об информации, закону об ФСБ, а также был принят неуполномоченным органом с превышением полномочий. 20 марта 2018 года Telegram проиграла этот процесс, после чего представители Роскомнадзора обратились в суд с требованием о блокировке. В итоге 13 апреля 2018 года Таганский суд города Москвы принял решение блокировать мессенджер, и уже 16 апреля 2018 года Роскомнадзор перешел к решительным действиям.

Попытки блокировать Telegram привели лишь к своеобразному повторению ситуации с интернет-рацией Zello (только в большем масштабе). Дело в том, что разработчики Zello уклонялись от блокировки в РФ, прибегая к услугам Amazon Web Service, постоянно меняя адреса. В итоге Роскомнадзор начал блокировать адреса AWS, и представители Amazon попросили Zello прекратить использовать Amazon AWS для подобной деятельности.

Разработчики Telegram использовали аналогичную тактику, и под блокировку попали десятки миллионов адресов, принадлежащих компаниям Amazon, Google, Microsoft, крупным хостинг-провайдерам Digital Ocean, Hetzner, OVH и другим.

Хотя блокировки сказывались на работе самого Telegram лишь незначительно, они предсказуемо стали мешать нормальному функционированию множества других сайтов, систем и сервисов. К примеру, практически сразу после начала блокировок в Viber перестали работать голосовые звонки; в какой-то момент с перебоями работал даже Google («задело» как сам поисковик, так и другие сервисы компании, к примеру переводчик и аналитику); пользователи жаловались на недоступность Twitch, PlayStation Network, Steam, Battle.net; о проблемах сообщали крупные ретейлеры, малый бизнес и многие, многие другие. Но представители Роскомнадзора утверждали, что большинство из этих сообщений неверны, а СМИ следует лучше проверять информацию.

В отличие от ситуации с Zello «веерные блокировки» не привели к аналогичному результату. Хотя в Роскомнадзоре не раз уверяли, что с представителями Google и Amazon «ведется диалог», Telegram для iOS и Android так и не был удален из официальных каталогов приложений (Роскомнадзор затребовал удаление в соответствии с решением суда), а мессенджер так и не «попросили на выход».

С самого начала Павел Дуров четко обозначил свою позицию и заявил, что не собирается уступать давлению властей. На своей странице «ВКонтакте» глава Telegram неоднократно благодарил пользователей за поддержку и даже писал, что начал выплачивать Bitcoin-гранты администраторам VPN и прокси-серверов «в рамках Цифрового Сопротивления — децентрализованного движения в защиту цифровых свобод и прогресса». Кроме того, Дуров заявлял о твердом намерении и далее тратить на поддержание доступности Telegram миллионы долларов. А в своем Telegram-канале Дуров благодарил не только пользователей, но и компании Apple, Google, Amazon и Microsoft за то, что те не стали «принимать участие в политической цензуре».

С апрельских событий прошло уже больше полугода, 2018-й подошел к концу, а Telegram в России по-прежнему работает без VPN, прокси и дополнительных ухищрений. Больше не делает громких заявлений Роскомнадзор, ранее сообщавший, что «деградация сервиса составляет в течение суток от 15 до 35–40% на различных смартфонах», а также оценивавший примерно в 25% отток рекламы из Telegram-каналов и отток пользователей мессенджера. Новые IP-адреса не попадают под блокировку сотнями тысяч.

Однако называть это противостояние завершенным определенно еще рано. Так, в конце декабря 2018 года СМИ сообщили, что в будущем году Роскомнадзор планирует внедрить новую технологию борьбы с запрещенными сайтами и сервисами, в том числе и с Telegram. Речь идет о технологии DPI (deep packet inspection), и, по оценкам источников, власти готовы потратить на это около 20 миллиардов рублей.

Хотя Александр Жаров опроверг информацию в интервью ТАСС, он также заметил:

«Мы, безусловно, работаем над подходами к эффективной, точечной блокировке контента не только сайтов, но и приложений. Потому что это может потребоваться, в том числе в чрезвычайной ситуации. Но говорить о том, что такое-то решение готово, эта конкретная разработка будет применяться и она стоит столько-то рублей, рано».

Нужно сказать, что «под прицелом» в итоге может вновь оказаться не только Telegram. В последние месяцы Роскомнадзор живо интересуется деятельностью таких компаний, как Facebook, Twitter и Google.

К примеру, в конце ноября 2018 года обнаружилось, что в отношении компании Google было возбуждено административное дело. Проблема заключалась в том, что Google не подключен к федеральной государственной информационной системе (ФГИС), при помощи которой должна фильтроваться поисковая выдача. Из выдачи должны исключаться заблокированные в России сайты, перечень которых и содержит ФГИС.

В итоге в середине декабря Google действительно была оштрафована на 500 тысяч рублей в соответствии с частью 1 статьи 13.40 КоАП РФ. В Роскомнадзоре сообщили, что в ближайшее время регулятор может возбудить еще одно административное дело против компании, так как намерен «добиваться соблюдения российского законодательства». Заместитель главы Роскомнадзора Вадим Субботин и вовсе заявил, что, если Google и далее продолжит игнорировать требования о фильтрации поисковой выдачи от запрещенного контента, в российское законодательство могут быть внесены изменения, которые позволят блокировать поискового гиганта в РФ.

Facebook и Twitter, в свою очередь, до сих пор не локализовали базы данных пользователей в России. В связи с этим представители Роскомнадзора направили компаниям уведомления о необходимости соблюдения закона. По словам главы ведомства Александра Жарова, ответа от компаний будут ждать 30 дней, то есть до 17 января 2019 года.

«В случае отрицательного ответа мы возбуждаем административное дело, штрафуем их на 5000 рублей в связи с этим и определим срок, в течение которого они должны будут локализовать эти данные: от шести месяцев до года», — говорит Жаров.

Более того, Жаров выразил надежду, что в течение этого времени будут введены оборотные штрафы, которые станут для компаний более существенным стимулом исполнять законодательство.

Итоги 2018: инциденты, уязвимости, тренды

Криптовалюты и их проблемы

В прошлом году, еще до того, как стоимость Bitcoin преодолела 20 тысяч долларов, эксперты уже отмечали сложившийся тренд повышенного внимания к криптовалютам и всему, что с ними связано. А после того, как в декабре 2017 года курсы превзошли даже самые смелые ожидания, интерес к этой области закономерно возрос еще, в том числе и в преступном мире.

Поэтому совсем неудивительно, что 2018 год продолжил развивать тенденции, оформившиеся ранее. Киберпреступников не останавливает даже тот факт, что с декабря 2017 года криптовалюты значительно подешевели и в настоящее время потеряли большую часть своей стоимости. Майнинговых вредоносов все равно стало значительно больше, и добывать криптовалюту за чужой счет пытаются как при помощи заражения мощных серверов и крупных компаний, так и на мобильных устройствах, наводняя каталоги приложений и Сеть приложениями со скрытыми майнерами.

Продолжает процветать и криптоджекинг (cryptojacking). Суть этого явления предельно проста: в код сайтов внедряют специальные скрипты, которые конвертируют мощности CPU посетителей ресурса в криптовалюту. Фактически это простой майнинг через браузеры. Так как с этой напастью активно борются производители защитных решений, блокировщиков рекламы и так далее, злоумышленники стали маскировать майнинговые скрипты иными способами. Например, популярный сервис для браузерного майнинга Coinhive теперь предлагает своим клиентам услугу сокращения URL (cnhv.co). Вот как описывают этот сервис сами операторы Coinhive:

«Если у вас есть ссылка, по которой вы хотели бы переадресовать пользователя, с помощью cnhv.co вы можете создать ее сокращенную версию. Пользователю придется высчитать определенное количество хешей (которое задаете вы), а затем он будет автоматически направлен на целевой URL».

При этом, по данным аналитиков из Рейнско-Вестфальского технического университета Ахена, всего десять пользователей ответственны за размещение 85% ссылок, связанных с майнинговым сервисом Coinhive. Эксперты подсчитали, что в месяц Coinhive добывает Monero на 250 тысяч долларов США. Хотя, помимо Coinhive, существуют и другие аналогичные сервисы, он удерживает пальму первенства с большим отрывом.

Итоги 2018: инциденты, уязвимости, тренды
Итоги 2018: инциденты, уязвимости, тренды

Скам

Как уже было сказано выше, криптовалюты по-прежнему вызывают огромный интерес у рядовых пользователей, а значит, и у скамеров, которые всегда «держат нос по ветру» и ищут новые способы обмана доверчивых граждан.

Обилие самых разных мошеннических предложений, скрытых майнеров, а также рекламы фальшивых и подозрительных ICO привели к тому, что Facebook и Instagram вообще запретили публиковать связанную с криптовалютами рекламу (позже полный запрет был снят для доверенных рекламодателей), компания Google запретила распространять через Chrome Web Store расширения для майнинга и тоже ограничила рекламу, а Apple запретила майнинг через приложения на своих устройствах.

Увы, нельзя сказать, что компании просто перестраховывались. Чтобы убедиться в этом, достаточно вспомнить лишь несколько громких инцидентов, произошедших в 2018 году. К примеру, в начале года преступники провели несколько фальшивых ICO, обманув инвесторов.

Так, официальное ICO проекта Experty, занимающегося VoIP-связью на блокчейне, должно было стартовать 31 января, однако мошенники опередили настоящих разработчиков. Пользователи, заранее подписавшиеся на уведомления от Experty, получили письма, в которых объявлялось об официальном старте ICO и начале продаж токенов Experty (EXY). Для покупки токенов инвесторам было предложено перечислять средства на указанный в тексте послания Ethereum-кошелек. Разумеется, эти сообщения оказались фальшивкой, а данный кошелек не имел никакого отношения к разработчикам Experty, которые организовывали настоящую продажу токенов через сервис Bitcoin Suisse. Тем не менее пользователи поверили. Судя по содержимому Ethereum-кошелька мошенников, им удалось привлечь более 150 тысяч долларов.

Как именно произошла утечка контактов пользователей, заинтересованных в ICO Experty, до конца неясно. Судя по всему, неизвестный хакер получил доступ к базе пользовательских email-адресов через компьютер одного из сотрудников, который занимался Proof-of-Care проекта.

Практически аналогичная участь постигла криптовалютный проект Bee Token, который разрабатывает сервис аренды жилья, похожий на Airbnb. Официальное ICO Bee Token стартовало 31 января и завершилось 2 февраля. Разработчики успешно собрали 5 миллионов долларов США, как и было запланировано. Но, как выяснилось, параллельно с этим мошенники тоже успели «заработать» почти миллион долларов.

Одновременно с началом настоящего ICO злоумышленники начали распространять свои собственные письма и сообщения в Telegram, в которых выдавали себя за представителей команды Bee Token, рассказывали о старте ICO и предлагали инвесторам переводить средства на Ethereum-кошельки. Стоит ли говорить, что кошельки из фальшивых сообщений принадлежали самим мошенникам? СМИ сумели отследить три кошелька злоумышленников, где было обнаружено около миллиона долларов.

Если кажется, что хуже этих двух случаев уже ничего быть не может, вспомним, что стартап LoopX, обещавший пользователям разработать мобильное приложение для торговли криптовалютой на базе собственного уникального проприетарного алгоритма, вообще оказался фальшивкой. Разработчики LoopX исчезли в неизвестном направлении, а все аккаунты проекта в социальных сетях, включая Facebook, Telegram и YouTube, были удалены. ICO проекта стартовало еще в январе 2018 года, и, когда команда LoopX исчезла, с инвесторов успели собрать 276,21 Bitcoin и 2446,70 Ethereum. То есть на продаже токенов LoopX Coin мошенники заработали около 4,5 миллионов долларов по курсу на тот период.

Также о доверчивости и наивности пользователей ярко свидетельствуют и другие, почти комичные случаи. В начале текущего года мы рассказывали о предельно простой мошеннической схеме, которая полюбилась скамерам в Twitter. Тогда эксперты заметили, что преступники создают в социальной сети поддельные профили, которые имитируют настоящие аккаунты известных личностей. Затем они спамят записями от лица этих аккаунтов, предлагая пользователям поучаствовать в бесплатной раздаче криптовалюты. Для участия в раздаче, конечно же, нужно перевести немного денег на счет злоумышленников.

С тех пор у многих известных личностей в профилях появились не только галочки верификации, но и недвусмысленные приписки в духе «не раздаю криптовалюту!». Также с подобным скамом борются и сами разработчики Twitter, но, увы, практически безрезультатно.

Преступники идут в ногу со временем и постоянно меняют «почерк». Так, в ноябре 2018 года обнаружилось, что теперь злоумышленники не создают новые учетные записи в Twitter, а взламывают верифицированные аккаунты других пользователей и компаний, меняют их имя на Elon Musk, а затем объявляют от имени Маска о большой раздаче криптовалюты — 10 тысяч биткойнов. В числе взломанных учетных записей были обнаружены аккаунты лейбла Marathon Artists, издательства Pantheon Books, крупного британского ретейлера Matalan и многих других.

Дополнительно взлому подверглись учетные записи правительственных учреждений, включая аккаунты колумбийского министерства транспорта и Национального управления по ликвидации последствий стихийных бедствий Индии. Через них хакеры привлекали внимание к действиям поддельного Маска, создавая видимость легитимности происходящего.

Фальшивые профили «Илона Маска» продвигали несколько вредоносных сайтов, и условия «раздачи криптовалюты» выглядели так же, как раньше: якобы для верификации адреса пользователь должен отправить на указанный адрес от 0,1 до 3 BTC, а в ответ он получит в 10–30 раз больше.

Самое грустное, что всего за один день мошенники получили почти 400 переводов и «заработали» таким образом 28 биткойнов (примерно 180 тысяч долларов по курсу на тот период).

Итоги 2018: инциденты, уязвимости, тренды

Атаки на биржи

Рассказывая о рисках и угрозах, связанных с криптовалютами, нельзя не упомянуть множество атак на криптовалютные биржи, имевших место в 2018 году. Именно это — одна из главных причин, по которой эксперты крайне не рекомендуют постоянно держать средства в кошельках бирж и обменников.

Январь. Крупная японская биржа Coincheck сообщила об ограблении, которое может стать самым крупным инцидентом такого рода в истории. Злоумышленники похитили у компании криптовалюту NEM (XEM) на сумму, превышающую 533 миллиона долларов по курсу на тот момент.

Февраль. От рук злоумышленников пострадала итальянская биржа BitGrail. С кошелька ресурса похитили более 17 миллионов монет Nano (XRB, ранее проект носил имя RaiBlocks), что было эквивалентно примерно 180 миллионам долларов на момент публикации официального заявления об инциденте.

Март. В Google Play нашли фальшивое приложение, маскировавшееся под официальное приложение одной из крупнейших криптовалютных бирж в мире — Poloniex. На самом деле никакого официального приложения у биржи не было. К счастью, подделка не успела начать собирать данные жертв, только переадресовывала пользователей на официальный сайт биржи. Очевидно, ее авторы хотели сначала набрать базу лояльных пользователей.

Март. Мишенью для еще одной атаки стала еще одна биржа-гигант —Binance. Эту атаку готовили несколько месяцев. В ходе ряда успешных фишинговых кампаний злоумышленники собрали учетные данные от аккаунтов множества пользователей. Для этого они в основном использовали поддельные домены, имитирующие настоящий домен Binance при помощи Unicode-символов (так называемая омографическая атака). Получив доступ к массе чужих учетных записей, преступники не только продали все альткойны своих жертв по рыночной стоимости и конвертировали их в биткойны, но стали скупать криптовалюту Viacoin (VIA), из-за чего курс VIA стремительно пошел вверх, а объем торгов возрос с обычных 1–4 миллионов долларов в день до 250 миллионов.

Июнь. Южнокорейскую биржу Coinrail можно назвать сравнительно небольшой: она замыкает список топ-100 по версии CoinMarketCap. В июне с серверов компании были похищено порядка 30% всего альткойн-портфеля биржи, в частности ICO-токены проектов Pundi X (NPXS), NPER (NPER) и Aston (ATX). Хотя представители Coinrail не назвали точную сумму, оказавшуюся в руках взломщиков, по данным СМИ, ущерб составил порядка 40 миллиардов вон, то есть около 37 миллионов долларов США.

Июнь. В 2017 году крупная биржа Bithumb уже подвергалась компрометации. Тогда со счетов ресурса было похищено неизвестное количество Bitcoin и Ethereum. В этом году биржу взломали повторно. На этот раз неизвестные похитили 35 миллиардов вон, то есть около 31 миллиона долларов в криптовалюте. По данным экспертов, за взломом, возможно, стояла известная северокорейская хакерская группировка Lazarus (она же Hidden Cobra и BlueNoroff).

Июль. Децентрализованная криптовалютная платформа Bancor была вынуждена приостановить работу из-за хакерской атаки. Неизвестные скомпрометировали кошелек, использовавшийся для обновления смарт-контрактов. При этом проблема не затронула пользователей платформы. Злоумышленникам удалось похитить более 12 миллионов долларов в ETH-эквиваленте (24 984 ETH). Также было украдено 229 356 645 NPXS (примерно миллион долларов на тот момент) и 3 200 000 BNT (около 10 миллионов долларов на тот момент).

Сентябрь. Японская криптовалютная биржа Zaif, существующая с 2014 года, в результате ограбления лишилась 60 миллионов долларов. 14 сентября атакующие опустошили горячие кошельки ресурса, похитив средства в трех криптовалютах (Bitcoin, Bitcoin Cash и MonaCoin). Из похищенных 6,7 миллиарда иен сама биржа владела лишь 32% средств (2,2 миллиарда иен), тогда как остальные 4,5 миллиарда принадлежали пользователям ресурса.

Октябрь. Канадская биржа MapleChange сообщила о взломе, произошедшем из-за некоего «бага». Разработчики заявили, что неизвестные злоумышленники похитили все средства со счетов обменника. Вскоре после этого все аккаунты MapleChange были удалены (включая аккаунты в Telegram и Discord), а в сообществе поднялась паника. Пользователи заподозрили MapleChange в экзит-скаме, то есть попытке сбежать с деньгами клиентов. Позже представители MapleChange восстановили учетные записи и заявили, что отключили социальные сети временно, чтобы обдумать выход из сложившейся ситуации. Также разработчики отметили, что не смогут возместить убытки пострадавшим, но пообещали открыть кошельки с оставшимися средствами, чтобы люди могли попытаться вывести хотя бы что-то. Сообщество по-прежнему подозревает руководство обменника в попытке экзит-скама.

Октябрь. Из-за атаки торговая платформа Trade.io лишилась 50 миллионов собственных токенов платформы, Trade Token (TIO). Хакеры похитили токены с холодного кошелька проекта, и их стоимость по курсу на момент атаки составляла порядка 7,8 миллиона долларов. Как именно произошла атака, неясно. Дело в том, что представители платформы уверяют, что соблюдали все необходимые правила безопасности при работе с холодным кошельком и пользовались защищенными банковскими ячейками. Известно, что эти ячейки не были скомпрометированы.

Ноябрь. Взлом одного из крупнейших в мире сервисов веб-аналитики StatCounter, которым пользуются сотни тысяч сайтов, оказался связан с атакой на биржу Gate.io. Злоумышленники внедрили в скрипт StatCounter вредоносный код, при помощи которого получили возможность перехватывать Bitcoin-транзакции в веб-интерфейсе биржи. С помощью видоизмененного скрипта преступники подменяли любые Bitcoin-адреса, введенные пользователями, на свои собственные, куда в итоге и уходили средства. Для каждой жертвы использовались разные адреса, и основной кошелек преступников вычислить не удалось.

Итоги 2018: инциденты, уязвимости, тренды

Epic fail

Ошибаются все, но далеко не всем удается признать и исправить свои ошибки, а также выйти из положения, сохранив лицо. И когда наблюдаешь за развитием некоторых событий, их участникам хочется выдать медаль с надписью Epic fail или вознаградить их усилия утешительным «ты пытался». В этом разделе мы собрали несколько самых выдающихся «падений в лужу».

Итоги 2018: инциденты, уязвимости, тренды

Chrome 69

Минувшей осенью разработчики браузера Chrome подверглись настоящему шквалу критики. Дело в том, что в начале сентября 2018 года в свет вышел Chrome 69, который вызвал множество вопросов у ИБ-специалистов, СМИ и сообщества.

К примеру, пользователям и специалистам не понравилось полное сокрытие WWW и поддоменов из адресной строки. Так разработчики браузера решили сделать интерфейс проще и удобнее, отказавшись от «сложных и ненужных» частей URL, которые лишь запутывают пользователей. По мнению девелоперов, чтение URL-адресов усложняют отображающиеся в строке адреса мобильные поддомены, WWW и прочие элементы. В итоге возникла весьма странная ситуация. Так, если пользователь хотел посетить www.xakep.ru, то в адресной строке отображалось просто xakep.ru. То же самое происходило с m.facebook.com, который превращался просто в facebook.com.

Подобное «упрощение» не понравилось многим само по себе, но вскоре обнаружилось множество багов, связанных с реализацией новой функциональности. Например, конструкция subdomain.www.domain.com не должна превращаться в subdomain.domain.com, а http://www.example.www.example.com не должен образовывать example.example.com, однако происходило именно это.

Также в Chrome 69 появилась принудительная авторизация в браузере, которую многие эксперты сочли навязчивой и вводящей в заблуждение. Оказалось, пользователей принудительно авторизуют в Chrome, если они вошли в свой аккаунт Google или любой другой сервис компании, например Gmail или YouTube. Для этого браузер использовал механизм Sync. Нововведение вызвало тревогу, так как получалось, что Google имела возможность связать трафик человека с конкретным браузером и устройством.

Кроме того, было замечено, что даже после получения команды на удаление всех файлов cookie, куки для сервисов Google из Chrome 69 не удаляются до тех пор, пока пользователь не разлогинится и не повторит эту процедуру. В противном случае браузер удалит файлы, но тут же воссоздаст их снова для поддержания авторизации.

В итоге инженеры Google были вынуждены обратить внимание на недовольство сообщества: с релизом Chrome 70 (октябрь 2018 года) они пересмотрели некоторые внесенные в код изменения.

В браузер добавили настройку Allow Chrome sign-in («Разрешить вход в Chrome»), с помощью которой можно регулировать автоматический вход в браузер и его зависимость от авторизации в других сервисах Google. Также был доработан UI, появились более понятные индикаторы, которые помогают понять, когда вход в браузер выполнен и когда включена или отключена синхронизация. Кроме того, Chrome 70 стал корректно удалять все файлы cookie, не делая исключений для сервисов самой Google. Проблема исключения из адресной стройки WWW и мобильных поддоменов тоже разрешилась похожим образом, но лишь временно. Разработчики решили пока отменить внесенные изменения и отправили функциональность на доработку.

Итоги 2018: инциденты, уязвимости, тренды

Windows 10 1809

Октябрьское обновление 2018 года для Windows 10 (Windows 10 1809, оно же Windows 10 October Update) определенно войдет в историю как одно из наиболее проблемных.

В октябре, сразу вскоре после релиза обновления, обнаружилось, что в некоторых случаях оно удаляет файлы из папок с документами и картинками. Пользователи жаловались на исчезновение сотен гигабайт данных. Как оказалось, проблема была связана с OneDrive: если файлы отсутствуют в облачном хранилище, но присутствуют в директории usersUser, то после установки обновления они могут быть «потеряны». По данным Microsoft, проблема коснулась лишь примерно 0,01% пользователей, но распространение апдейта были приостановлено.

К сожалению, удаление файлов оказалось далеко не единственной проблемой 1809. После того как обновление переработали и выпустили снова (на этот раз только для участников программы Microsoft Insider), выяснилось, что оно провоцирует BSOD на компьютерах и ноутбуках производства HP.

Затем владельцы некоторых систем обнаружили, что у них пропал звук и появилось лаконичное сообщение «Аудиоустройство не установлено». При этом на машине могли использоваться абсолютно любые аудиодрайверы (Realtek, Intel и так далее). Как оказалось, причиной были некорректные драйверы, распространившиеся через Windows Update.

Вскоре в 1809 нашли еще одну проблему, связанную со встроенной функциональностью ОС и распаковкой архивов ZIP. В нормальных обстоятельствах при распаковке архива операционная система спрашивает у пользователя, нужно ли перезаписать существующие файлы, если в указанной директории уже содержится данный контент. Однако 1809 не спрашивала некоторых пользователей ни о чем подобном. При попытке распаковать архив (или перетащить один из файлов архива в новое место) туда, где уже существуют те же самые файлы, ОС попросту перезаписывала их без всяких предупреждений.

Заметили нечто странное и разработчики: после релиза 1809 возникла проблема с приложениями UWP (Universal Windows Platform, универсальная платформа Windows) — они попросту «ломались». Корень бага скрывался в API broadFileSystemAccess, который мог ошибочно выдавать приложениям UWP доступ ко всем пользовательским файлам, документам, фото и даже файлам, хранящимся в OneDrive. В нормальных обстоятельствах приложения UWP должны быть ограничены определенными директориями (Temp, AppDataLocal, AppDataRoaming и директорией самого приложения), а разработчики могут лишь запросить у пользователя дополнительный доступ к другим локациям. Однако в версии 1809 разрешение пользователя не требовалось, и broadFileSystemAccess мог автоматически использоваться для доступа ко всей файловой системе.

В конце ноября 2018 года была представлена новая, в очередной раз переработанная версия 1809. Разработчики Microsoft потратили на исправление многочисленных багов больше месяца, но, увы, лишь привнесли в код новые изъяны.

Например, в перевыпущенной версии 1809 наблюдаются проблемы с сетевыми дисками — к ним попросту невозможно подключиться, и баг пообещали устранить лишь в 2019 году. Также апдейт пока не получат и владельцы видеокарт Radeon HD 2XXX и 4XXX: у них наблюдаются серьезные проблемы с производительностью, а браузер Edge может демонстрировать ошибки. Кроме того, возникли проблемы с совместимостью с такими решениями Trend Micro, как OfficeScan и Worry-Free Business Security.

Хуже того, обновленная версия 1809 оказалась неспособна нормально работать с iCloud и VPN компании F5 Network. Из-за этого распространение обновления вновь было временно остановлено для пользователей iCloud для Windows версии 7.7.0.27, а пользователям с уже обновленной ОС просто не давали установить эту версию iCloud (они видели ошибку, сообщающую, что их ОС слишком новая). В настоящий момент проблему с iCloud исправили, но, похоже, злоключения пользователей Windows 10 1809 на этом не закончились. Продолжим следить за ситуацией в 2019 году. 🙂

Итоги 2018: инциденты, уязвимости, тренды

«Невзламываемый» кошелек Макафи

Одной из самых нелепых и смешных историй прошедшего года определенно стала рекламная кампания криптовалютного кошелька Bitfi, которую развернул в сети небезызвестный Джон Макафи.

В начале августа 2018 года Макафи предложил всем желающим попробовать хакнуть криптовалютный кошелек Bitfi, называя устройство «невзламываемым» и предлагая 250 тысяч долларов любому, кто сумеет доказать обратное. ИБ-сообщество раскритиковало Макафи, заявив, что он поставил очень странные «условия задачи», из-за которых может сколь угодно долго утверждать, что Bitfi никто не взломал. Так, исследователям предложили приобрести устройство за 120 долларов США. При этом кошелек уже содержит криптовалюту с неизвестной парольной фразой. Требовалось извлечь токены с устройства, и лишь после этого оно должно было считаться взломанным. При этом ключ, использующийся для доступа к криптовалюте, не хранится на самом устройстве.

Эксперты быстро выяснили, что «невзламываемое» устройство представляет собой смартфон на Android, из которого удалили часть компонентов (в основном отвечающих непосредственно за сотовую связь). Специалистам удалось получить к девайсу root-доступ и обнаружить, что тачскрин сообщается с чипсетом посредством незашифрованного протокола I2C. То есть в теории злоумышленники могут «прослушивать» эти коммуникации и извлечь парольную фразу сразу же после того, как она была набрана на экране. Хуже того, кошельки оказались практически никак не защищены от несанкционированного вмешательства. То есть Bitfi можно было вскрыть и исследовать, а он продолжал работать как ни в чем не бывало.

И хотя Макафи стоял на своем (деньги не похищены? Кошелек не взломан!), исследователи развлекались как могли — на устройстве удалось даже запустить Doom. Для этого потребовалось установить и выполнить произвольный код, а также реализовать чтение и запись из хранилища и RAM, запись в кадровый буфер и чтение данных с тачскрина.

Итоги 2018: инциденты, уязвимости, тренды

После этого Джон Макафи все же признался в интервью, что называть Bitfi именно словом «невзламываемый» было неразумно. Впрочем, он все равно был убежден, что кошелек не может считаться взломанным, и подчеркнул, что под «взломом» подразумевалось именно хищение токенов и ничего более. Также Макафи не преминул напомнить, что все, что он делает, — это лишь маркетинг.

В итоге 15-летний исследователь Салим Рашид (Saleem Rashid) (именно он запустил Doom на устройстве) опубликовал у себя в Twitter видео, где продемонстрировал получение парольной фразы и соли — двух элементов, необходимых для генерации приватного ключа, которым защищены средства. Локальный эксплоит позволил извлечь ключи с устройства.

Рашид и его коллега Райан Кастеллуччи (Ryan Castellucci) объяснили, что применили к кошельку атаку cold boot (атаку методом холодной перезагрузки). Как оказалось, получение root-доступа к устройству не полностью очищало RAM, а Bitfi хранил ключи в памяти дольше, чем заявляли его разработчики. В результате эксплуатация проблемы заняла менее двух минут, и данный метод не требовал даже какого-либо специфического оборудования.

Вскоре после публикации PoC-видео и доказательства взлома Bitfi разработчики криптовалютного кошелька опубликовали в своем официальном микроблоге сообщение, не на шутку разозлившее ИБ-сообщество. Авторы Bitfi сообщили, что наняли некоего «опытного специалиста по информационной безопасности», который подтвердил наличие уязвимостей, обнаруженных исследователями. Также разработчики пообещали исправить проблемы в кратчайшие сроки. В комментариях к этой записи специалисты со всего мира интересовались, каким же образом команда Bitfi намерена исправлять уязвимости, для которых, скорее всего, нужно менять аппаратную начинку устройства.

Кроме того, в заявлении сообщалось, что программа bug bounty, которая «вызывала понятный гнев и раздражение со стороны исследователей», немедленно закрывается. Обещанное вознаграждение в размере 250 тысяч долларов не было выплачено Рашиду и Кастеллуччи или кому-либо другому. Вместо этого разработчики поблагодарили экспертов за труды и пообещали запустить новую программу вознаграждений за уязвимости на платформе Hacker One.

И наконец, создатели Bitfi согласились убрать слово «невзламываемый» из описаний своего продукта, так как оно и некоторые «другие действия» компании оказывали контрпродуктивное воздействие на ситуацию.

За столь впечатляющее неумение справляться с уязвимостями и принимать критику разработчики Bitfi удостоились премии Pwnie.

Итоги 2018: инциденты, уязвимости, тренды

Обновления CCleaner

В прошлом году компанию Piriform, разрабатывающую популярнейшую утилиту CCleaner, предназначенную для очистки и оптимизации ОС семейства Windows, приобрела компания Avast. После этого различные неприятные изменения в работе CCleaner происходят с завидной регулярностью. Например, вышедшая в мае текущего года версия CCleaner 5.43 лишила пользователей бесплатной версии возможности отказаться от обмена данными. Версия CCleaner 5.44, вышедшая в июне, обзавелась всплывающей рекламой. А затем появилась CCleaner 5.45, где оказалось нельзя отказаться от активного мониторинга и сложно было даже завершить саму работу программы.

В отличие от предыдущих версий 5.45 попросту не имела соответствующих настроек приватности, позволяющих избавиться от этого обезличенного сбора данных. И хотя у пользователей все же оставалась возможность открыть настройки и там отказаться от системного и активного мониторинга, те снова включались уже при следующем запуске программы (разумеется, без спроса).

Хуже того, даже закрыть новую версию CCleaner оказалось непросто. Программа сворачивалась в область уведомлений, а ее иконка никак не помогала прервать работу. Фактически единственным способом закрытия CCleaner стала принудительная ликвидация через «Диспетчер задач».

После того как странное поведение CCleaner 5.45 раскритиковали не только пользователи, но и ИБ-специалисты и отраслевые СМИ, разработчики решили прислушаться к общественному мнению. Было принято решение вернуться к версии 5.44, которая снова стала самой «свежей» из всех доступных для загрузки. Разработчики пообещали, что доработают новую версию и в ней появится возможность завершения работы программы. Также обещали, что клининговая функциональность будет четко отделена от аналитической, а для управления ими добавятся соответствующие настройки, которые CCleaner будет запоминать (в том числе после закрытия).

Но вскоре у пользователей CCleaner появился новый повод для возмущений. Спустя всего месяц после неудачного релиза и отката версии 5.45 утилита стала самопроизвольно обновляться до версии 5.46, невзирая на заданные настройки обновления (то есть даже если автообновление было отключено). Более того, оказалось, что после перехода на новую версию все настройки программы сбрасываются к значениям по умолчанию, то есть активируется сбор и использование анонимных данных о пользователе в пользу Avast и Piriform.

В Piriform объяснили, что с релизом версии 5.46 разработчики принудительно перевели некоторых пользователей на данную версию, чтобы удовлетворить некие «законные требования» и предоставить пользователям большую анонимность и прозрачность в вопросах приватности.

Представители Avast, в свою очередь, заявили, что обновление до версии 5.46 является критическим и призвано защитить пользователей от неких угроз безопасности и потери данных, которая, например, может произойти в ходе софтверного или аппаратного конфликта. В компании заверили, что переход на CCleaner 5.46 не имеет ничего общего с механизмом автоматического обновления, который пользователи CCleaner Professional при желании могут отключить (а пользователи бесплатной версии вообще не имеют).

Сообщалось, что CCleaner 5.46 якобы разрешает некие проблемы со стабильностью и защищает пользователей Windows от возникновения неполадок (к примеру, потери личных данных в Chrome или потенциальных проблем с драйверами после обновления ОС). Также в новой версии было улучшено управление настройками приватности, и она лучше отвечает требованиям GDPR.

Кроме того, разработчики утверждали, что в ходе обновления настройки приватности не сбрасываются до значений по умолчанию, а происходящие в настройках изменения они объяснили вступлением в силу GDPR и критикой со стороны сообщества (в частности, полученной после релиза проблемной версии 5.45). То есть утверждалось, что изменились сами настройки и их структура и поэтому после обновления пользователи увидели совсем иную картину.

При этом многие представители ИБ-сообщества продолжают настаивать на том, что компания подчеркнуто игнорирует предпочтения пользователей и насильно навязывает им обновления.

Итоги 2018: инциденты, уязвимости, тренды

Крупные слияния

В этом году произошло сразу несколько резонансных слияний, которым мы просто не могли не уделить внимания, подводя итоги года.

Итоги 2018: инциденты, уязвимости, тренды

TRON и BitTorrent

Летом 2018 года стало известно, что компания TRON Foundation, основателем которой является известный блокчейн-предприниматель и создатель криптовалюты Tron Джастин Сан (Justin Sun), приобрела компанию BitTorrent Inc., разрабатывающую популярнейшие клиенты μTorrent и BitTorrent. По неофициальным данным, стоимость сделки составила 120 миллионов долларов США (изначально сообщалось о 140 миллионах, но эту информацию опроверг бывший глава BitTorrent Ашвин Навин).

Джастин Сан и разработчики TRON официально рассказали о дальнейших планах относительно BitTorrent и ее продуктов. Компания не станет изменять свою бизнес-модель, заниматься майнингом, а торрент-клиенты точно не станут платными, и их разработка будет продолжена.

Кроме того, в официальном блоге TRON был анонсирован «секретный проект» Atlas, который должен объединить TRON и BitTorrent, что, как ожидается, должно пойти на пользу обоим:

«В настоящее время мы рассматриваем возможность использования протокола TRON для улучшения протокола BitTorrent, чтобы тот стал быстрее и продлял срок жизни BitTorrent-роев. Я надеюсь, что интеграция TRON и BitTorrent в будущем позволит обеим сторонам работать совместно и стать лучше, — пишет Сан. — Интегрируя TRON и BitTorrent, мы хотим улучшить существующий сейчас альтруизм. В настоящий момент у пиров [peer], которые завершили загрузку, нет стимулов продолжать сидировать [seed] контент.

Мы намерены увеличить награду для пиров, которые сидируют торренты, вливая больше ресурсов в торрент-экосистему.
Сеть TRON будет протоколом, который ляжет в основу нашего секретного проекта. Сотни миллионов пользователей BT по всему миру станут частью экосистемы TRON.

BT станет крупнейшим приложением в сети TRON, что позволит TRON превзойти Ethereum по ежедневным транзакциям и стать наиболее влиятельным блокчейном в мире».

В открытом письме Сан подчеркнул, что интегрировать в продукцию BitTorrent что-либо, связанное с майнингом, не планируется и все эти нововведения не скажутся на пользователях негативным образом.

В настоящее время известно, что пользователи BitTorrent и µTorrent смогут оплачивать премиальные продукты торрент-клиентов с помощью криптовалют Bitcoin (BTC), Binance Coin (BNB) и TRON (TRX). Поощрять пользователей будут с помощью токенов TRX. BitTorrent подключит пиринговую сеть к блокчейну TRON, за токены можно будет приобрести специальные услуги и дополнительные опции (например, увеличенную скорость загрузки), а авторы контента смогут вознаграждать токенами сидеров.

Итоги 2018: инциденты, уязвимости, тренды

Microsoft и GitHub

Компания Microsoft приобрела крупнейший хостинг репозиториев GitHub за 7,5 миллиарда долларов. Многих пользователей сделка не на шутку встревожила, и в Сети даже появились петиции против слияния, а операторы GitLab, BitBucket и SourceForge сообщили о значительном приросте трафика — разработчики тысячами перемещали свои проекты на другие хостинги.

Представители Microsoft заверили, что осознают всю ответственность перед сообществом разработчиков, практически не собираются вмешиваться в работу GitHub, он продолжит независимое существование и по-прежнему останется полностью открытым и бесплатным.

Новый CEO GitHub Нэт Фридман (Nat Friedman) заявил, что «Microsoft покупает GitHub, потому что ей нравится GitHub», а также подчеркнул, что компания стремится лишь к тому, чтобы «GitHub стал еще лучше».

Итоги 2018: инциденты, уязвимости, тренды

IBM и Red Hat

Осенью 2018 года о грядущем слиянии объявили компании IBM и Red Hat. Сумма сделки составит порядка 34 миллиардов долларов США, то есть IBM готова заплатить 190 долларов США за одну акцию Red Hat, хотя сейчас капитализация компании оценивается в 20,5 миллиарда долларов. Сделка уже одобрена руководством обеих компаний.

После завершения сделки (это должно произойти во второй половине 2019 года) Red Hat сохранит свою структуру и продолжит работать как отдельное подразделение IBM, которое, в свою очередь, войдет в состав подразделения Hybrid Cloud. Red Hat продолжит разработку своих опенсорсных решений и работу над открытыми проектами, в которых участвует.

В IBM считают, что поглощение Red Hat выведет компанию на новый уровень и изменит ситуацию на рынке облачных технологий. Как пишет генеральный директор IBM Джинни Рометти (Ginni Rometty), после завершения сделки компания станет крупнейшим в мире поставщиком в области гибридных облачных технологий.

В свою очередь, руководство Red Hat убеждено, что присоединение к IBM поспособствует росту влияния открытого ПО и поможет донести продукцию Red Hat до большего числа людей.

Итоги 2018: инциденты, уязвимости, тренды

Интернет, который мы потеряли

В интернете постоянно появляются новые сайты, сервисы, платформы и целые социальные сети. Другие, напротив, «уходят на покой» или полностью меняют свой формат. В 2018 году мы лишились сразу нескольких крупных проектов и решений, о которых вспомним ниже.

SkyTorrents

Появившийся в прошлом году «пиратский» трекер SkyTorrents обещал, что «сайт навсегда останется свободным от рекламы или будет закрыт». Ресурс очень быстро дошел до той стадии, когда стал привлекать несколько миллионов посетителей в день, трафик резко возрос, а вместе с ним увеличились и расходы на содержание. Администраторы трекера остались верны своим убеждениям, гласившим, что реклама компрометирует приватность пользователей. Они попытались собирать пожертвования, это не слишком помогло. В итоге трекер ушел в офлайн, но оставил после себя гигантскую базу, насчитывающую около 15 миллионов торрентов. Команда SkyTorrents выразила надежду, что кто-нибудь продолжит их дело и, воспользовавшись базой ресурса, возродит трекер, развивая дальше идею свободного от рекламы «пиратского» пространства.

Tor Messenger

Разработчики Tor Project прекратили разработку анонимного мессенджера Tor Messenger, который был представлен в 2015 году. В блоге команды были названы три основные причины прекращения разработки:
1. Tor Messenger был построен на базе клиента Instantbird, разработку которого остановили в 2017 году.
2. Проблема метаданных, которые сохраняются на сторонних серверах, оказалась более значительной, чем предполагалось изначально. Разработчики Tor Messenger ничего не могли с этим поделать.
3. У команды попросту не хватило ресурсов. Даже после 11 выпущенных версий Tor Messenger по-прежнему находился на стадии бета-тестирования и никогда не проходил внешний аудит (только два внутренних).

Goo.gl

Прекратил свою работу сервис для сокращения ссылок goo.gl, запущенный в далеком 2009 году. Разработчики объяснили, что с тех пор утекло много воды, на рынке появилось множество аналогичных проектов, а потом мобильные устройства, голосовые ассистенты и приложения вообще изменили интернет до неузнаваемости. По мнению инженеров Google, в настоящее время в сервисе для сокращения ссылок более нет нужды. Консоль goo.gl будет доступна зарегистрированным пользователям, уже имеющим короткие ссылки, до 30 марта 2019 года. По истечении этого срока существующие ссылки продолжат перенаправлять пользователей по нужным адресам, однако доступ к консоли и добавление новых URL будут закрыты.

Сериализация Java

Разработчики Oracle решили отказаться от поддержки функциональности сериализации и десериализации данных в языке Java. Главный архитектор платформы Java Марк Рейнхолд (Mark Reinhold) открыто назвал добавление поддержки сериализации в Java в 1997 году «ужасной ошибкой». По его мнению, больше трети всех уязвимостей Java были так или иначе связаны с этой функциональностью. В настоящее время, в рамках проекта Amber, инженеры Oracle работают над отказом от встроенной поддержки сериализации в основном теле языка. Обещают, что при необходимости у девелоперов останется возможность пользоваться операциями сериализации при помощи нового фреймворка.

Сайты со старыми ROM’ами

Компания Nintendo начала юридически бороться с сайтами, распространяющими ROM’ы старых игр. Представители компании обратились в суд с жалобой на ресурсы LoveROMS.com и LoveRETRO.co, обвинив их в нарушении авторских прав и незаконном использовании торговых марок. Вскоре оба ресурса ушли в офлайн, а за ними последовал еще один крупный и известный сайт — Emuparadise.me, распространявший старые ROM’ы более восемнадцати лет. Спустя несколько месяцев стало известно, что владельцы LoveROMS и LoveRETRO решили не пытаться противостоять Nintendo в правовом поле, и стороны урегулировали вопрос мировым соглашением, а также бессрочным судебным запретом. Операторы сайтов признали все обвинения в свой адрес и обязались выплатить компании 12,23 миллиона долларов, отдать домены, а также никогда не нарушать авторских прав Nintendo впредь.

Google+

Компания Google приняла решение закрыть Google+ в апреле 2019 года. Одной из главных причин для этого стала общая непопулярность проекта. Попытка создать собственную социальную сеть определенно окончилась неудачей, так как даже согласно официальной статистике вовлеченность пользователей стремится к нулю: 90% сессий длятся менее пяти секунд. Хуже того, в API Google+ были найдены две уязвимости, одна из которых существовала в коде с 2015 по 2018 год. Баги могли привести к утечке личных данных более 500 тысяч пользователей, хотя в компании уверяют, что нет никаких свидетельств того, что уязвимостями действительно кто-то пользовался.

Google Allo и Hangouts

Мессенджер Allo с end-to-end-шифрованием, представленный Google в 2016 году, будет закрыт в марте 2019 года. Проект, отличавшийся встроенной интеграцией с «умным» голосовым ассистентом Google Assistant, так и не нашел свою аудиторию.
Такая же судьба постигла и более долгоиграющий проект Google, мессенджер Hangouts, некогда объединивший в себе Google Talk, Google+ Messenger, а также часть Google+, которая позволяла создавать групповые видеоконференции на десять человек. Точная дата ликвидации мессенджера пока неизвестна, а пользователей должны перевести на корпоративные решения Hangouts Chat и Hangouts Meet.

Бонус: Winamp

Завершим эту подборку на хорошей ноте и вспомним о программе, неожиданно «восставшей из мертвых». Осенью разработчики Winamp внезапно анонсировали, что легендарный медиаплеер, который не обновлялся с 2013 года, вернется в 2019 году с новой версией. Переработанный Winamp обещает стать универсальным решением для прослушивания всего — подкастов, радио, плейлистов и многого другого.

Максимально коротко

За год произошло немало событий, которым не досталось полноценного места в нашем отчете. Тем не менее мы считаем, что они тоже заслуживают упоминания, пусть и совсем краткого.

  • Зимние Олимпийские игры в Пхенчхане были атакованы вайпером Olympic Destroyer, который сохранил активность и после закрытия Олимпиады.

  • Сложный вредонос VPNFilter инфицировал как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR, TP-Link, ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE, а также NAS производства QNAP в 54 странах мира.

  • В Android нашли уязвимость, связанную с работой широковещательных сообщений (Broadcast). Баг позволяет перехватывать конфиденциальные данные.

  • Создатели известного IoT-вредоноса Mirai не получат тюремных сроков, так как активно сотрудничают с ФБР и помогают раскрывать преступления.

  • Найден криптографический баг, представляющий опасность для многих имплементаций Bluetooth и миллионов самых разных устройств.

  • Эксперты обнаружили сразу 13 опасных проблем в процессорах AMD.

  • Еще одна «процессорная» уязвимость, TLBleed, вынудила разработчиков OpenBSD отказаться от поддержки технологии Hyper-Threading в процессорах Intel.

  • Арест лидера не прекратил деятельность известной хак-группы Cobalt: злоумышленники продолжают атаковать крупные банки России, СНГ и Румынии.

  • Был обнаружен вредонос [Triton[(https://xakep.ru/2017/12/15/triton/), предназначенный для атак на специфическое оборудование производства Schneider Electric, а через него на промышленные системы управления и объекты ключевой инфраструктуры.

  • Вступил в силу Общий регламент по защите данных (General Data Protection Regulation, GDPR), заставляющий всех игроков рынка (не только в ЕС) по-новому посмотреть на вопросы обработки и хранения персональных данных.

Источник

Последние новости