Дайджест событий в области информационной безопасности: февраль 2021 г.

А у кого есть инвайт?

Событие месяца — Clubhouse. С момента появления в информационном пространстве этой платформы постоянно идёт её исследование на безопасность. Несколько энтузиастов уже успели написать инструменты для записи разговоров в комнатах, а разработчики Clubhouse со свой стороны постепенно закрывают такие возможности. Но есть и такие моменты, которые пока никак не комментируются, а именно отсутствие шифрования, использование китайских серверов, получение доступа к данным аккаунтов Twitter и многое другое. Пользоваться, конечно, можно, но необходимо понимать риски и разобраться в настройках приложения, для этого можно воспользоваться гайдом от Avast. Одними из первых Clubhouse проанализировали корейские исследователи, и основные претензии были к:

отсутствию шифрования (это позволит выявить реальный IP пользователя или подменять часть данных в пакетах — добавлять лишние звуки в трансляцию);

отсутствию системы контроля входа пользователя (нет возможности понять, не залогинился ли кто-либо еще под тем же аккаунтом);

слабой защите аутентификации (четырехзначный пин, а это около 3-х недель перебора с ожиданием повторного входа, но пользователю будут сыпаться сообщения с пинами и будет понятно, что-то кто-то пытается подобрать пин);

расположению части серверов в Китае.

Выводы стандартные — рисковать ли собственными персональными данными решать пользователям. И пока Clubhouse вряд ли подходит для проведения мероприятий, где утечка данных критична. Для битв с сетевыми активистами… скорее всего нет никакой опасности в использовании Clubhouse, разве только ущерб собственному имиджу и потраченные нервные клетки.

Украдены данные 21 млн пользователей VPN для Android

На теневом рынке появились в продаже данные пользователей SuperVPN, GeckoVPN, ChatVPN. Основная угроза в том, что данные достаточно полные, чтобы осуществлять атаки, и пользователи не будут подозревать об этом. Самое неприятное, если верить пользователю, разместившему базу на продажу, то компании не особо заботились о надежности хранения данных.

Наосинтили

Журналисты The New York Times провели расследование и определили несколько тысяч участников «захвата» Капитолия 6 января 2021 г. Через перекрестные ссылки (cross-reference) из социальных сетей и рекламные идентификаторы исследователи смогли создать подробные треки передвижений участников от их домов до Капитолия. В самой статье журналисты задаются вопросами свободы и слежки частными компаниями.

Получается, что частные компании собирают большой объем информации о пользователях через свои приложения и обещают, что данные останутся анонимными, но фактически немало компаний могут эти данные получить, сопоставить и проанализировать. Результатом станет деанонимизация и полная информация о любом пользователе.

Мы можем лишь правильно настраивать разрешения для приложений или просто отказаться от их использования. Дело в том, что, даже если у одного приложения отключена геолокация, то через рекламный идентификатор путем сопоставления с множеством данных от других приложений все равно можно получить достаточно подробные и достоверные данные о пользователе. Какого-то одного действенного способа защиты персональных данных нет. Можно не использовать приложения, но сегодня это уже невозможно по очевидным причинам. В последней версии iOS достаточно много новых настроек и политик для приложений, но все равно, если у одного приложения есть доступ к геолокации, то в рекламном идентификаторе он также уже есть.

Сигнал из Ирана

Из-за запрета в Иране мессенджера Signal в январе 2021 г. компания предложила использовать TLS-прокси. Однако исследователь DuckSoft опубликовал статью, в которой рассказал, что Иран способен отследить и заблокировать такие прокси из-за из-за особенности кода Signal.

768%

Такой рост атак на RDP был зафиксирован в 2020 г., что связано с переводом сотрудников на удаленку. Компания ESET опубликовала отчет об угрозах за четвертый квартал 2020 г.

Помимо роста атак на RDP, выросло количество атак на цепочки поставок (число атак за четвертый квартал было равно значению за три предыдущих квартала вместе взятых); те, кто занимался банковскими троянами, переключаются на вымогательское ПО (ransomware); наибольшее количество спама было зафиксировано по теме COVID. В отчете есть и верное предсказание — количество атак, связанных с криптовалютами, будет расти, что подтверждается уже сейчас. Очевидно, что такой быстрый рост курсов криптовалют вызвал интерес не только у инвесторов, но и у хакеров. Сейчас на операторов приходится большая нагрузка, у самих систем есть много проблем с безопасностью, а новички-инвесторы еще не очень хорошо разбираются во всех особенностях, чем хакерские группировки и пользуются. Также в пользу хакеров играют различия в отношении к статусу криптовалютных активов в разных юрисдикциях.

Инфосек

Журнал Infosecurity выпустил статью о том, что информационную безопасность можно увеличить за счет дайверсити. Им виднее.