​Как работают токены аутентификации и в чем их отличия от паролей

Часть 2

• ❓Как работает JWT?
Если есть данные, достоверность которых следует подтвердить, нам надо подписать их секретным ключом, используя HMAC. Для этого применяется такой же способ хеширования, что и для одноразовых паролей, только вместо шести цифр берется весь хеш целиком. Единственная разница — это сам алгоритм хеширования: в таких токенах SHA-1 считают слишком коротким и небезопасным, поэтому обычно используют SHA-256.

• 📌 Главная задача JWT — подтверждение личности создателя токена и сопутствующих данных. Обычно содержимое токена — логин или другой идентификатор пользователя.

• 🕹 Давайте попробуем создать свой токен. Продолжим нашу маленькую историю с публикацией фотографии фейерверка в соцсети: мы ввели одноразовый пароль, сервер подтвердил нашу личность и хочет выдать токен, чтобы мы смогли с его помощью открыть наше приложение.

• ⚙️ Любой токен состоит из трех частей: заголовка со служебной информацией, данных и подписи. Так как стандартом безопасности считается SHA-256, то мы запишем его в наш заголовок.

{
 "alg": "HS256"
}

• ⚙️ Внутри самого токена будет храниться информация об идентификаторе аккаунта, в который мы только что вошли.

{
 "user_id": 123456
}

• ⚙️ Закодируем наши данные и заголовок в Base64 и соединим их через точку. Это делается, чтобы безопасно пересылать данные через HTTP: eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjogMTIzNDU2fQ. Теперь, зная и данные, и заголовок, мы можем посчитать ее хеш, который содержит наш пароль — строку QWERTYUI12345678.

$ echo -n 'eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjogMTIzNDU2fQ' | openssl sha256 -hmac 'QWERTYUI12345678'
e0a6b48a961ee3fc7eb38afcdb1a8ef22efb0572e1d5333b85db2aa66919e98e

• ⚙️ Этот хеш нам тоже надо перевести в кодировку Base64 и затем присоединить к уже имеющейся строке из заголовка и данных: eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjogMTIzNDU2fQ.4Ka0ipYe4/x-s4r82xqO8i77BXLh1TM7hdsqpmkZ6Y4 — это и есть наш токен. Можно пользоваться!

• 📃 Подробнее про стандарт JWT можно почитать на сайте организации RFC, а про реализацию для своего любимого языка — на сайте jwt.io.

• ✔️ Заключение
Теперь Вы знаете, что происходит каждый день, когда ты открываешь браузер и заходишь в какой-нибудь веб-сервис. Понимая, как это работает, ты сможешь лучше защитить свои данные, а возможно, даже решишь применить какой-то из этих методов в своих разработках.


@SingleSecurity 🛡

​📌 Появился инструмент для «пиратского» продления поддержки Windows 7

• ⏳Совсем скоро, 14 января 2020 года будет прекращена поддержка Windows 7. Хотя ОС еще в прошлом году уступила пальму первенства Windows 10 и продолжает постепенно терять популярность, доля Windows 7 по-прежнему составляет около 30% рынка.

• 🖥 Так как пользователей у Windows 7 по-прежнему немало и перспектива перехода на другую ОС прельщает не всех, они уже сейчас думают о том, как бесплатно использовать расширенную поддержку (Extended Security Updates, ESU).

• ♻️ Напомню, что расширенная поддержка – это платная услуга Microsoft, с помощью которой корпорация продолжит поставлять обновления безопасности компаниям и предприятиям, использующим Windows 7, вплоть до 2023 года. Стоимость такой поддержки составляет от 25 до 200 долларов за одну рабочую станцию, в зависимости от версии ОС (Enterprise или Pro), а также времени, на протяжении которого компании требуются обновления. Причем использовать ESU могут только предприятия малого и среднего бизнеса и компании с соглашениями о корпоративном лицензировании.

• ⚙️ В прошлом месяце Microsoft уже выпустила тестовое обновление KB4528069, которое позволяет администраторам проверить, готовы ли их системы к работе с расширенной поддержкой. И, как уже выяснили пользователи, после установки обновления нужно предоставить системе лицензионный ключ ESU, который и разрешает использование расширенной поддержки. В итоге сообщество форумов My Digital Life уже нашло способ обхода ограничений Microsoft, который позволяет разрешить установку расширенных обновлений на всех системах. Инструмент благополучно справляется с установкой тестового ESU.

• ❓И хотя Microsoft, вероятнее всего, может изменить способ проверки, пользователи десятилетиями взламывают и пиратят Windows, так что можно предположить, что и ограничение на установку ESU не станет для них препятствием.


@SingleSecurity 🛡

​❗️📌 74% российских пользователей рискуют личными данными в открытых Wi-Fi сетях

• 👥 Аналитики компании ESET провели опрос и изучили привычки россиян, относительно использования публичных сетей Wi-Fi. Как выяснилось, что к общедоступным точкам Wi-Fi подключаются 74% пользователей. Наиболее популярными местами для подключения стали: кафе (в мультивариативном опросе этот вариант выбрали 49%), отели (42%), аэропорты (34%) и торговые центры (35%).

• 🕳 Также пользователи рассказали, с какой целью они обычно подключаются к общественному Wi-Fi. Так, 66% пользователей переписываются в соцсетях, 43% читают новости, 24% проверяют электронную почту.

• ❗️ Еще 10% заходят в банковские приложения и даже совершают онлайн-покупки. Примечательно, что каждый пятый респондент звонит по аудио- и видеосвязи, никак не заботясь о защите передаваемого трафика.

• 🔑 Исследователи напоминают, что такие виды активности представляют опасность для личных данных.

• 🔎  К примеру, злоумышленники могут перехватить трафик, учетные данные от аккаунтов в социальных сетях, платежную информацию. К сожалению, создание поддельных точек доступа и отсутствие шифрования передаваемой информации — это лишь некоторые из опасностей публичных сетей Wi-Fi. Аналитики ESET советуют не забывать об этом и не терять бдительности.


@SingleSecurity 🛡

​🔒 Виды шифрования и защиты трафика, выбор софта

• 📌 Неважно, по каким причинам Вы решили шифровать то, что пересылаете через интернет. Это может быть забота о секретности личных данных, попытка обойти запреты того или иного государства или другие мотивы. В современном мире простым людям доступен неплохой выбор криптостойких шифрованных протоколов и программ, которые их реализуют. В этой публикации мы пройдемся по всем классам таких решений (пусть многие из них и широко известны), обсудим надежность и посмотрим, какие доступны реализации.

• 🖥 Прокси-серверы
Прокси-серверы — самый доступный способ анонимизировать трафик: они дешевы и широко распространены. Их принцип работы очень прост: прокси — это почтальон, который доставляет конверты с письмами вместо тебя, аккуратно стирая имя отправителя, и возвращает ответ лично тебе в руки.

• ⚙️ Изначально эта технология была призвана защищать внутренние корпоративные сети от остального интернета (сотрудники получали доступ из внутренней сети в интернет через шлюз), но стала исторически первым способом анонимизировать трафик.

• 🔀 Работая через прокси, компьютер все свои запросы перенаправляет через посредника (прокси-сервер), и уже посредник, представляясь твоим компьютером, запрашивает данные у сайтов. Прокси-серверы узкоспециализированы, поэтому на каждый тип интернет-соединения имеется свой тип прокси. Например, для FTP (File Transfer Protocol) есть FTP-прокси. Подробно мы разберем три типа прокси-серверов.

• ↩️ HTTP и HTTPS могут работать только с запросами HTTP, а вся разница между ними в том, что HTTPS шифрует передаваемые данные, а HTTP — нет. Поэтому прокси HTTP не рекомендуются к пользованию, они могут лишь менять адрес IP, а данные защитить они неспособны. Также будь осторожен с выбором самого прокси-сервера, так как некоторые не только не защитят твои данные, но и могут раскрыть личность.

• ⚠️ Важно
Обращайте внимание на тип сервера — transparent proxy или anonymous proxy. Первые не будут скрывать твою личность!

• 🕹 Использовать такой прокси несложно: найди в интернете или создай сервер, которому сможешь доверять, и, открыв настройки браузера (доступ к сети), введи данные.

• 🔎 Тип SOCKS применяется в тех приложениях, которые либо не используют HTTP и HTTPS, либо не имеют встроенной поддержки прокси-серверов. В отличие от предыдущего типа, этот априори не будет публиковать твой IP, поэтому об анонимности можно не беспокоиться. Однако SOCKS сам по себе не предоставляет никакого шифрования, это лишь транспортный протокол. Чтобы применять его, есть, например, утилита Shadowsocks.

• ❓SOCKS4 и SOCKS5 — это разные версии серверов. Убедительно рекомендую использовать пятую версию, так как она имеет много возможностей и более безопасна. Например, поддерживает использование логина и пароля, запросы DNS. А лучше даже использовать Shadowsocks — это SOCKS5 на стероидах. Тут есть и мощное шифрование, и скрытие трафика, и возможность обходить различные блокировки. Есть клиенты как для компьютера, так и для смартфона, позволяющие оставаться под защитой постоянно.

• 📲 Чтобы начать использовать SOCKS в привычных программах, не нужно ничего особенного. В Firefox и µTorrent эта функция встроена и доступна в настройках. Для Google Chrome есть расширение Proxy Helper. Можно воспользоваться универсальными программами вроде SocksCap или ProxyCap.

• 📄 Список множества бесплатных HTTP, HTTPS и SOCKS прокси-серверов можно найти либо с помощью поиска, либо в Википедии.

#СПРАВОЧНИКАНОНИМА
#ПРИВАТНОСТЬДЛЯНАЧИНАЮЩИХ

@SingleSecurity 🛡

​🔒 Виды шифрования и защиты трафика, выбор софта

Часть 2

• ♻️ VPN
VPN (Virtual Private Network — виртуальная частная сеть) также изначально не задумывалась как средство защиты и анонимизации трафика. Ее задачей было объединить компьютеры в единую сеть, даже если они находятся за множество километров друг от друга. Ключевой особенностью стало то, что соединения VPN всегда защищались шифрованием, так как использовались в корпорациях и позволяли подключать несколько филиалов к головному офису.

• ⚙️ VPN имеет два режима: объединение двух локальных сетей между собой через интернет и подключение отдельного компьютера к удаленной локальной сети (удаленный доступ). Последний и послужил основой для некоммерческого, персонального варианта. Защита данных в соединении VPN предоставляется двумя техниками, которые зачастую используются вместе:

✔️ PPP (Point-to-Point Protocol) используется для защиты на уровне канала данных, то есть на самом низком из возможных. Его задача — обеспечить стабильное соединение между двумя точками в интернете, а также предоставить шифрование и аутентификацию.
✔️ PPTP (Point-to-Point Tunneling Protocol) является расширением и дополнением PPP. Для работы этого протокола устанавливается два соединения — основное и управляющее.

• ⏳ Из-за того что придуман этот протокол был в далеком 1999 году его безопасность оставляет желать лучшего. Ни один из методов шифрования, работающих с PPTP, не устойчив. Часть из них подвержена расшифровке даже в автоматическом режиме. Потому я не советую использовать PPTP. Этот протокол имеет серьезные уязвимости как в аутентификации, так и в шифровании и позволяет злоумышленнику очень быстро вскрыть канал и получить доступ к данным.

• 📡 Более новый способ создания соединения — еще один протокол, построенный поверх PPP, — L2TP (Layer 2 Tunneling Protocol). Цель этого протокола — не столько защитить соединение, сколько полностью регламентировать процесс сообщения компьютеров в сети. Данный протокол, кроме создания соединений VPN, также используется, например, для подключения банкоматов к офисам банков, что служит некоторой гарантией. Хотя и стоит учесть, что собственного шифрования у L2TP нет.

• 🔐 L2TP не защищает сами данные, передаваемые в его рамках. Для этого обычно используется протокол IPsec (IP security). Он призван защищать содержимое пакетов IP и благодаря этому может шифровать любые виды соединений. Для VPN из двух возможных режимов используется лишь туннельный, защищающий не только данные передаваемого пакета в сети, но и его заголовки. Благодаря этому со стороны не будет видно, кто отправитель данных.

• 🔒 IKE и IKEv2 (Internet Key Exchange) — строгие алгоритмы шифрования и защиты данных, передаваемых по информационному каналу. Используется исключительно с IPsec, так как является его защитным слоем — именно благодаря IKE данные в соединении остаются под замком. В общем-то, эти алгоритмы и послужили основой для развития всех современных средств и утилит создания соединений VPN, но настало время поговорить о том, что и из чего выбирать.

• 🧾 С распространением SSL и TLS протокол PPP был расширен до SSTP (Secure Socket Tunneling Protocol) и в таком виде работает не через открытое соединение, а по SSL. Это гарантирует надежное шифрование и защиту от потери пакетов. Но стоит учитывать, что SSTP был разработан в Microsoft, а Microsoft сотрудничает с правительствами, поэтому доверять SSTP можно только с учетом этого.

• 📡🔒 OpenVPN — самое популярное решение для создания защищенного соединения. Этот протокол открыт и предоставляет самую серьезную защиту, поэтому ему можно доверять. Настройка соединения вряд ли займет больше пары минут.

• SoftEther — мультиклиент для работы как с описанными выше протоколами, включая OpenVPN, так и со своим собственным, не менее безопасным, чем OpenVPN.

В таблице ниже — небольшое резюме по этим решениям. ⬇️

#СПРАВОЧНИКАНОНИМА
#ПРИВАТНОСТЬДЛЯНАЧИНАЮЩИХ

@SingleSecurity 🛡

🔒 Виды шифрования и защиты трафика, выбор софта

Часть 3

• ⚙️ Tor
Tor (The Onion Router) — одно из лучших средств для обеспечения анонимности в Сети. Схема работы подразумевает трехкратную защиту данных и анонимизацию трафика.

• ♻️ Как описано в самом названии, Tor использует так называемую луковую маршрутизацию: твои данные — это сердцевина лука, а их защита — слои вокруг. Так, каждый из промежуточных серверов Tor снимает свой слой защиты, и только третий, последний из них, достает сердцевину и отправляет запрос в интернет.

• 🕹 Работу всей системы обеспечивают тысячи энтузиастов по всему миру, борющиеся за права человека и приватность. Благодаря этому для каждого отдельного сайта строится собственная цепочка промежуточных серверов Tor, что дает полную защиту: каждый сайт — новая личность.

• ❗️Большой плюс Tor — стабильность работы и большая забота об анонимности: благодаря усердиям многих специалистов он работает даже в Китае, стране, которая широко известна своим строжайшим подходом к блокировкам и наказаниями за их обход.

• 💡 Для упрощения жизни пользователям разработчики создали Tor Browser, основанный на Firefox, и улучшили его дополнениями, запрещающими сайтам следить за тобой. Например, HTTPS Everywhere заставляет веб-сайты использовать шифрование, а NoScript отключает выполнение скриптов на странице, фактически запрещая собирать любые данные пользователя.

• ✅ Скачать Tor, как и прилагающийся к нему браузер, можно на официальном сайте проекта Tor Project.

• ⚙️ DPI
К сожалению, все эти средства могут оказаться бесполезными, если твой провайдер начал блокировки с применением DPI (Deep Packet Inspection) — системы глубокого анализа сетевого трафика. Цель DPI — отбрасывать все, что не похоже на работу обычного человека за обычным компьютером, то есть блокировать любую подозрительную активность. А все способы анонимизации трафика априори подозрительны, поэтому программы зачастую дают сбои или в принципе отказываются работать.

• ⚙️ Но и с этим можно бороться. Почти для каждой из описанных возможностей защищать канал связи есть надстройки, помогающие обходить зоркое око анализаторов DPI. Например, Shadowsocks имеет встроенную защиту от DPI и притворяется, что выполняет обычное подключение к удаленному серверу.

• 📌 OpenVPN сам по себе легко различим, но stunnel позволяет также обойти анализ пакетов. Stunnel маскирует канал VPN под соединение SSL, которое с виду безобидно: это может быть и простой браузер, который обращается к сайту по HTTPS. Благодаря этому заблокировать такой туннель непросто. Если перестараться, можно заблокировать вообще все.

• 🔑 Обходить DPI также помогает tls-crypt, режим, введенный в версии OpenVPN 2.4, который шифрует трафик VPN.

• 👥 Создатели Tor Browser специально работают над обходом средств анализа DPI. При подключении к сети Tor можно воспользоваться транспортом-прослойкой, которая обеспечивает беспрепятственное подключение к первому серверу защищенной сети. Этот транспорт можно либо выбрать из списка (это общедоступные серверы), либо получить персональный на официальном сайте Tor Bridges.

• 🔎 Лучше всего себя показывает obfs4 — это обфускатор, перемешивающий передаваемые данные так, что в сети их нельзя определить. DPI обычно пропускает такие пакеты, поскольку не может предположить, что находится внутри.

• 🖥 Еще есть несколько программ, которые пытаются тем или иным способом обмануть анализ пакетов, например разбивая их на мелкие части или меняя заголовки. В их числе GoodbyeDPI или Green Tunnel с простым графическим интерфейсом — они не скрывают ни IP, ни данные, но обходят блокировку.

• 💡 Кардинальным решением можно считать проект Streisand, его русское описание есть на GitHub. Это палочка-выручалочка в мире безопасности данных. Эта утилита всего за несколько минут развертывает и настраивает на удаленном сервере сразу несколько сервисов для защиты данных, а также дает подробную инструкцию по ним

​• ⚖️ Итог
Для сохранения нашей с Вами интернет-безопасности и анонимности придумано множество технологий самого разного уровня. Часть из них проверена временем, другая помогает против новейших методов цензуры. Благодаря этому мы еще можем оставаться невидимыми, нужно лишь не забывать пользоваться этой возможностью.

#СПРАВОЧНИКАНОНИМА
#ПРИВАТНОСТЬДЛЯНАЧИНАЮЩИХ

@SingleSecurity 🛡

​📌 Осуждённый в США хакер теперь преподаёт кибербезопасность в Китае

• ⚖️ Осуждённый в США китайский киберпреступник в настоящее время ведёт компьютерные курсы в одной из средних школ Китая. Помимо прочего, он передаёт ученикам знания по части кибербезопасности.

• ⛓ Юй Пинган в своё время провёл 18 месяцев в следственном изоляторе Сан-Диего — его обвиняли во взломе и кибератаках на американские компании.

• ⏳В феврале 2019 года Пингана признали виновным, назначив срок, который Юй уже и так отбыл в изоляторе. Поэтому преступнику разрешили вернуться в Китай.

• 📄 По данным обвинения, среди пострадавших от рук китайского гражданина компаний были такие гиганты, как Qualcomm, Pacific Scientific Energetic Materials и Riot Games. В судебных документах отмечалось, что Пинган похитил у американских корпораций некие сведения, характер которых не раскрывается.

• 👥 При этом представители Qualcomm отказались комментировать ситуацию, пресс-секретарь Riot Games заявил, что никакие данные компании не попали в руки третьих лиц, а Pacific Scientific вообще не отреагировала на просьбу прокомментировать предположительный взлом.

• ⚙️ Юй Пинган отметился использованием специфического хакерского инструмента под названием Sakula, позволяющего получить удалённый доступ к атакуемым компьютерам. Следователи так и не выяснили, разработал ли Пинган эту программу сам или где-то купил её.

• 📃 В материалах дела также можно было найти и онлайн-псевдоним, под которым действовал китайский киберпреступник — Goldsun.

• 🎓 В настоящее же время, как сообщает Reuters, 39-летний Юй Пинган преподаёт компьютерные курсы, включая кибербезопасность, в одной из школ Шанхая.


@SingleSecurity 🛡

​⚠️ Опубликованы худшие пароли 2019 года

• 👥 Разработчики менеджера паролей NordPass опубликовали  список из 200 наиболее используемых и слабых паролей уходящего года, обнаруженных в результате различных взломов и утечек данных.

• 🔎 Исследователи изучили базу, содержащую более 500 000 000 паролей, и в NordPass отмечают, что это не такой огромный дамп, как можно подумать. К примеру, обнаруженная в начале текущего года «Коллекция №1» насчитывала почти терабайт утекших данных: 2 692 818 238 записей.

• ❗️К сожалению, в 2019 году практически ничего не изменилось. Наиболее популярные пароли все еще очевидны и легко угадываются. Это могут быть комбинации чисел (12345, 111111, 123321), распространенные женские имена (Nicole, Jessica, Hannah) и просто наборы символов, образованные горизонтальными или вертикальными линиями на клавиатуре (asdfghjkl, qazwsx, 1qaz2wsx). И даже самый очевидный пароль — «password» — по-прежнему используют 830 846 человек из изученной выборки.

• 📌 👥 Исследователи объясняют, что пользователи просто не хотят запоминать сложные пароли и напрягаться, а многие также искренне считают, что им нечего скрывать. Против этого аргумента эксперты приводят простую аналогию:

«Пользователи думают, что им нечего скрывать. Однако вы закрываете дверь, когда выходите из дома. Даже если внутри нет ничего ценного, вы все равно не хотели бы, чтобы незнакомцы осматривали ваши личные вещи. Так почему бы не применить ту же логику к вашей онлайн-жизни?
Возможно, вам нечего скрывать, однако если все кончится тем, что вы лишитесь доступа ко всем  своим учетным записям: электронной почте, хранилищам файлов, где хранятся все ваши фотографии, социальным сетям и так далее? Представьте, что вам нужно заплатить тысячи долларов, чтобы вернуть себе доступ. Слабый пароль — это неизбежная катастрофа, поэтому примите меры, чтобы остановить ее, пока не стало слишком поздно».

• 📃 Полный список худших паролей 2019 года можно найти в блоге специалистов, а мы приводим ТОП-10.

#Безопасностьдоступа
#Приватностьданных


@SingleSecurity 🛡

​⚠️🚰 Количество утечек данных в России увеличилось на 40%

• 👥 Специалисты компании InfoWatch сообщают, что за 2019 год в сеть просочились более 14 миллиардов конфиденциальных данных по всему миру и в будущем эта цифра будет только расти

• 📃 «Во всем мире количество утечек конфиденциальной информации из компаний и государственных организаций увеличилось на 10% по сравнению с 2018 годом, тогда как в России число данных происшествий выросло более чем на 40%». – «Что касается скомпрометированных записей персональных данных, то их объем увеличился примерно в шесть раз, составив около 170 миллионов. В банковской сфере данный показатель составил 1 миллион (меньше 1% от общего числа скомпрометированных данных)».

• 💬 По словам экспертов, две трети от всего вала скомпрометированных данных оказались в глобальной паутине по вине инсайдеров. Остальные  - вследствие системных сбоев.

#Приватностьданных

@SingleSecurity 🛡

​⚙️ 👁 Google запретит отслеживать пользователей через cookies в Chrome

• ⏳В течение двух лет Google планирует заблокировать стандартные методы отслеживания пользователей в Сети, к которым прибегают различные аналитические и рекламные компании. Для этого в браузере Chrome будут реализованы дополнительные инструменты.

• 📌 Основная задача, согласно замыслу интернет-гиганта, — переработать механизм внедрения файлов cookies в браузер пользователей.

• 🕹 Специализирующиеся на рекламе компании привыкли помешать cookies на сторонние веб-сайты, чьими владельцами они не являются. Команда Google убеждена, что для повышения конфиденциальности пользователей этому стоит положить конец.

• 🔎 Кстати, Apple ещё в 2017 году решила бороться с методами рекламных компаний, реализовав в браузере Safari похожую концепцию. Однако долю Safari на рынке нельзя сравнивать с Chrome — последний более чем в три раза превосходит браузер от Apple.

• ❗️Само собой, план Google не сулит ничего хорошего собирающим пользовательские данные компаниям, однако разработчики считают, что вопрос конфиденциальности людей важнее. В то же время этот шаг никак не ударит по собственному рекламному бизнесу Google, так как корпорация собирает информацию о людях другими способами.

• ✔️ Интернет-гигант подчеркнул, что новые ограничения не вступят в силу до тех пор, пока не будет найдена более конфиденциальная альтернатива взаимодействия рекламных компаний и пользователей.


#Googlecookies
#Приватностьданных

@SingleSecurity

​⚠️ ⚙️ 🕹 25 приложений собирали деньги с пользователей даже после окончания пробного периода

• 👥 Специалисты компании Sophos выявили в каталоге Google Play 25 приложений, которые продолжали собирать деньги с пользователей после окончания пробного периода. Интересно, что эти приложения суммарно были установлены более 600 000 000 раз.

• 📌 💀 Такие приложения называют термином «fleeceware». Этим словом с недавних пор начали обозначать приложения, которые злоупотребляют функциональностью Android, позволяющей приложениям иметь пробный период, по окончании которого со счета пользователя начинают списываться деньги.

• 🖥  По умолчанию пользователи должны отменять пробные периоды приложений вручную, чтобы избежать последующей оплаты. Но статистика гласит, что большинство пользователей просто удаляют приложения, если они им не нравятся, а большинство разработчиков интерпретируют это как отмену пробного периода и не взимают плату.

•  🔍 Однако в прошлом году ИБ-специалисты впервые заметили приложения, которые злоупотребляли данной функциональностью, игнорировали удаление и окончание пробного периода, и продолжали брать с пользователей немалые деньги (от 100 до 240 долларов в год) за самые простые инструменты, такие как сканеры QR-кодов и калькуляторы.

• 📈 Теперь эксперты Sophos обнаружили еще один набор таких fleeceware-приложений.  Учитывая, что суммарно они насчитывают более 600 000 000 установок, аналитики полагают, что для их раскрутки могли использоваться мошеннические схемы: приложения могли использовать сторонние сервисы с оплатой за установку и покупать поддельные пятизвездочные отзывы, чтобы повысить свой рейтинг в Play Store. Список fleeceware-приложений, с указанием их неочевидной для пользователей стоимости, можно увидеть ниже.

#Новости
#Приватностьданных

#Новости
#Приватностьданных

@SingleSecurity 🛡

​💀👥 Мошенники выманивают деньги у пользователей под видом выплат за утечки данных

• ⚠️ Мошенники обещают пострадавшим пользователям денежную компенсацию, но, чтобы получить ее, необходимо купить временную социальную страховку. Этот вид скама эксплуатируется не только в России, но и в Алжире, Египте, ОАЭ и других странах.

• 📌 Мошенники действуют от имени выдуманной организации — Фонда защиты персональных данных, якобы основанного Федеральной торговой комиссией США. На специально созданном фейковом сайте сообщается, что этот фонд выплачивает компенсации пользователям, пострадавшим от утечек данных, и получить их могут граждане любой страны мира.

• ❗️Пользователю предлагается проверить, не оказались ли его личные данные в общем доступе: для этого нужно указать имя, фамилию, телефонный номер и свои страницы в социальных сетях. После этого сообщается, что его данные, в том числе фотографии, видео, контакты, были обнаружены в одной из утечек, что дает право получить компенсацию, исчисляемую в тысячах долларов США.

• 🕹 Затем мошенники просят ввести номер социального страхования (SSN), но вне зависимости от того, вводит ли пользователь настоящий номер или сообщает об его отсутствии, сайт выдает уведомление об ошибке и предложение купить временный за 9 долларов США. Жертва перенаправляется в форму оплаты — русско- или англоязычную в зависимости от IP-адреса пользователя. Цена указывается соответственно либо в рублях, либо в долларах.

• 💀 Авторы этой схемы, скорее всего, говорят на русском языке, так как отдельные её составляющие очень похожи на те, что в последнее время используются в скаме в России и странах СНГ, — рассылки и объявления о возможности выиграть крупную сумму в лотерею, получить вознаграждение за опрос, выплаты от пенсионного фонда, хорошо оплачиваемую работу диспетчером такси. В них предлагают лёгкие деньги, но для их получения всегда нужно внести небольшую сумму, необходимую якобы в качестве комиссии или закрепительного платежа. Теперь к этим рассылкам добавилась и схема, эксплуатирующая проблемы, связанные с утечками личных данных. Поскольку некоторые организации уже выплачивают соответствующие штрафы, мошенники не остаются в стороне и тоже пытаются заработать на этом.

#Новости
#Приватностьданных

@SingleSecurity 🛡

​📉 Mozilla уволила 70 сотрудников из-за проблем с доходами, несвязанными с поиском

• 🦊📉 Издание TechCrunch сообщило, что 70 из 1000 сотрудников по всему миру Mozilla были уволены, так как надежды организации на источники дохода, не связанные с поиском, пока не оправдались. В будущем сокращения могут ждать и других сотрудников, так как Mozilla все еще изучает, как все это повлияет на филиалы в Великобритании и Франции.

💬 «Возможно, вы помните, что в 2019 и 2020 годах мы ожидали получить доход от новых продуктов по подписке, а также более высокие доходы от источников, несвязанных с поиском. Этого не произошло, — пишет временная глава Mozilla Митчелл Бейкер в письме для сотрудников. — В нашем плане на 2019 год мы недооценили, сколько времени потребуется для создания и выпуска новых продуктов, приносящих доход. Учитывая опыт, приобретенный в 2019 году, и то, что мы узнали о темпах инноваций, мы решили использовать более консервативный подход к прогнозированию доходов на 2020 год. Также мы согласились тем, что нужно жить по средствам и в обозримом будущем не тратить больше, чем зарабатываем».

• 💬 Также сообщается, что руководство Mozilla рассматривало вопрос о закрытии собственного фонда инноваций (Mozilla innovation fund), но пока было принято решение, что он нужен для продолжения разработки новых продуктов, на что организация в общей сложности выделяет 43 миллиона долларов.

• 📌 Дело в том, что много лет основным источником доходов Mozilla остается поиск. Компании платят сотни миллионов долларов, чтобы стать поисковой системой по умолчанию в Mozilla Firefox. Google был основным клиентом Mozilla на протяжении многих лет, но также Mozilla заключала сделки с Yahoo!, Yandex, Baidu и другими поисковиками. В последние годы эти сделки обеспечивали более 90% доходов Mozilla.

• 📊 Так как доля Firefox на рынке постепенно снижается и зависимость доходов от партнерских отношений с поисковыми системами (которые тоже снижаются) вызывает понятное беспокойство, руководство Mozilla ищет новые источники дохода. В основном это различные продукты по подписке, никак не связанные с поиском. К примеру, организация занимается разработкой собственного VPN-сервиса, который будет доступен по подписке за 4,99 долларов США в месяц (пока услуга еще не доступна для широкой общественности). Также Mozilla предлагала вариант поддержки для компаний за 10 долларов США за одного пользователя, но быстро отказалась от этой идеи, сообщив, что  все еще изучает корпоративный сегмент.

#НовостиMozilla

@SingleSecurity 🛡

​💀 🔑 Уязвимости в плагине WordPress Database Reset позволяют захватить или стереть БД сайта

• 👥 Специалисты Wordfence сообщают, что в начале января в популярном плагине WordPress Database Reset, установленном более чем на 80 000 сайтов, обнаружены опасные уязвимости. Это плагин, разработанный WebFactory Ltd, предназначен для облечения настройки баз данных и быстрого сброса к настройкам по умолчанию. В итоге баги могут быть использованы для захвата сайтов и обнуления таблиц в БД.

• 1️⃣ Первая проблема, отслеживаемая как CVE-2020-7048,  набрала 9,1 баллов по десятибалльной шкале оценки уязвимостей CVSS. Эксперты обнаружили, что ни одна из функций БД не защищена каким-либо проверками или предупреждениями, из-за чего любой пользователь имеет возможность сбросить любые таблицы БД без аутентификации. Все, что потребуется для обнуления сайта — простой запрос на удаление сообщений, страниц, комментариев, пользователей, загруженного контента и так далее.

• 2️⃣ Вторая уязвимость носит идентификатор CVE-2020-7047 и имеет 8,1 по шкале CVSS. Этот баг позволяет любому аутентифицированному пользователю (независимо от уровня привилегий) не только выдать самому себе административные права, но и отобрать права у других пользователей одним простым запросом. Таким образом, злоумышленник останется единственным администратором и полностью захватит управление сайтом.

💬 «Каждый раз, когда происходит сброс таблицы wp_users,  удаляются все пользователи, включая любых администраторов, за исключением текущего пользователя, вошедшего в систему. Пользователь, отправляющий такой запрос, будет автоматически повышен до администратора, даже до этого если он был простым подписчиком», — рассказывают специалисты.

• ⚠️ 📌 Всем пользователям уязвимого плагина рекомендуется немедленно обновить его до последней версии (WP Database Reset 3.15). Пока это успели сделать только 8% пользователей.

только 8% пользователей.

#WordPress
#Безопасностьдоступа
#Приватностьданных

@SingleSecurity 🛡

​🏛 📌 Сбербанк: Правило первое — никому не передавать персональные данные

• ⚠️ Поскольку россияне все чаще сталкиваются с деятельностью кибермошенников, Сбербанк считает необходимым напомнить: передавать кому бы то ни было персональные данные крайне опасно.

• ❗️Речь идёт в первую очередь о такой информации, как реквизиты банковских карт и счётов, а также о паспортных данных.

• 💬 Представитель Сбербанка Станислав Кузнецов отметил, в сфере онлайн-банкинга или интернет-торговли действуют свои стандарты безопасности, поэтому передача персональных данных там — вполне обычное явление. В любых других случаях, передавая личную информацию третьим лицам, вы подвергаете себя неоправданному риску.

• ⚠️ «Первое правило — никаких персональных данных! Вы не должны передавать такую информацию ни лично, ни по телефону, ни каким-либо другим способом».

• ⏳ В прошлом году, например, одной из самых серьёзных киберугроз стали фишинговые атаки, с которыми столкнулись многие российские компании. За организацией подобных операций стояло несколько киберпреступных группировок.

• ✔️ Представитель Сбербанка особо отметил русскоязычную группу RTM, которая рассылала фишинговые письма 10-15 раз в месяц. Благодаря использованию современного софта группировке удавалось доставлять свои сообщения десяткам тысяч компаний.

#Приватностьданных

@SingleSecurity 🛡

​♻️ Microsoft выпустила анализатор исходного кода для поиска уязвимостей

• ⚙️ Microsoft выпустила «Microsoft Application Inspector», кросс-платформенный инструмент с открытым исходным кодом, который поможет разработчикам быстро исследовать код стороннего программного обеспечения на наличие уязвимостей.

• 📌 Этот анализатор исходного кода будет полезен тем, кто внедряет сторонние компоненты (например, библиотеки) в свои проекты — так будет легче выявлять проблемы безопасности.

• 💡«Заимствование кода, безусловно, имеет свои преимущества: экономия времени, улучшение качества и возможность обмена полезной информацией. Однако за таким подходом кроются определённые риски», —  объясняют специалисты Microsoft.

• ❓«Как правило, вы доверяете вашей команде разработчиков, но в ваших проектах зачастую есть компоненты извне. Насколько хорошо вы знаете такие компоненты и насколько им можно доверять?».

• 👤 В Microsoft подчёркивают, что современные веб-приложения часто содержат сотни сторонних компонентов, насчитывающих десятки тысяч строк кода. Всё это писали тысячи программистов. Корпорация из Редмонда считает, что такие условия не позволяют обеспечить разработку по-настоящему защищённого кода.

• 👥 Авторы Application Inspector утверждают, что им удалось создать уникальный анализатор кода, который не помечает отдельные секции как «плохие» или «хорошие», а просто обращает внимание разработчиков на отдельные части.

• ⚙️🕹 Инструмент способен проверить миллионы строк кода компонентов, написанных на разных популярных языках программирования.

#Разработка
#Программирование
#Приватностьданных

@SingleSecurity

​✉️💀 Всего 5% пользователей могут распознать фишинговое письмо

• ⁉️С какой долей вероятности вы сможете вычислить фишинговое письмо? Большинство людей считают, что они без труда определят злонамеренные электронные сообщения, но на деле это не так — по данным Security.org, лишь 5% пользователей способны безошибочно распознать фишинг.

• 👥 Исследователи оросили около тысячи человек, результаты многих могут удивить: 96% респондентов знали о фишинге, 88% считали, что могут вычислить такие письма.

• 📊 При этом 47% не подозревали, что фишинг можно осуществить через софт; 43% полагали, что рекламные объявления безопасны; а 30% опрошенных не догадывались, что площадки соцсетей могут быть источником фишинга.

• 📈 Фишинг, бесспорно, считается одной из главных киберугроз на сегодняшний день. Так, в 2018 ФБР насчитало более 26 300 жертв данной формы атак. Фишинг прочно занимает место в топ-4 наиболее распространённых киберпреступлений.

• 🔖 Среди опубликованных результатов исследования интересно выделить одну инфографику, на которой отмечен процент пользователей, не подозревающих, что фишинг можно осуществить через софт или соцсети:

• 🕹 Но самый удручающий результат аналитики получили при вычислении процента людей, способных по-настоящему отличить фишинг от нормального письма. Таких набралось всего 5%.

#Приватностьданных

@SingleSecurity 🛡

​Топ-10 самых эксплуатируемых в атаках уязвимостей

• 👥 Аналитики Recorded Future изучили часто встречавшиеся в 2019 году наборы эксплойтов и наиболее заметные кибератаки за тот же период.

• 📃 Результаты показали, что из числа самых популярных брешей шесть уже встречались в 2018 году — все они затрагивают продукты от Microsoft: Internet Explorer и Microsoft Office.

• ⚙️ Помимо этого, место в топе себе прочно обеспечили дыры в Adobe Flash Player и других проектах Adobe. Например, брешь в Flash Player участвовала в атаках мощного шифровальщика GandCrab.

• 📌 Ещё одна уязвимость, но уже в Internet Explorer, — Double Kill была вектором атаки в кампаниях по распространению трояна Trickbot. Несмотря на то, что проблему пропатчили в мае 2018 года, количество уязвимых систем до сих пор достаточно велико.

• 🔎 Согласно отчёту Recorded Future десятка самых популярных уязвимостей за 2019 год выглядит так:

✔️ CVE-2018-15982 – Adobe Flash Player
✔️ CVE-2018-8174 – Microsoft Internet Explorer
✔️ CVE-2017-11882 – Microsoft Office
✔️ CVE-2018-4878 – Adobe Flash Player
✔️ CVE-2019-0752 – Microsoft Internet Explorer
✔️ CVE-2017-0199 – Microsoft Office
✔️ CVE-2015-2419 – Microsoft Internet Explorer
✔️ CVE-2018-20250 – Microsoft WinRAR
✔️ CVE-2017-8750 – Microsoft Internet Explorer
✔️ CVE-2012-0158 – Microsoft Office

#Уязвимости
#Приватностьданных

@SingleSecurity 🛡

​Adobe выпустила внеплановые патчи для критических уязвимостей в After Effects и Media Encoder

• 🏛⚙️ Компания Adobe выпустила два внеплановых патча After Effects и Media Encoder, исправив критические уязвимости, которые могут использоваться для удаленного выполнения произвольного кода в контексте текущего пользователя. К счастью, пока нет информации о том, что какая-то из этих ошибок уже используется хакерами.

• ⚙️ Обе проблемы связаны с out-of-bounds записью в память, и для их эксплуатации злоумышленнику достаточно убедить жертву открыть специально подготовленный файл с помощью уязвимого ПО. Ошибки были обнаружены специалистами Trend Micro Zero Day Initiative и независимым ИБ-экспертом Фрэнсисом Провенчером (Francis Provencher)

1️⃣ Первая уязвимость, CVE-2020-3764, затрагивает Adobe Media Encoder 14.0 и более ранних версий,
2️⃣ Вторая уязвимость, CVE-2020-3765, касается Adobe After Effects 16.1.2 и более ранних версий.

#Новости
#Уязвимости

@SingleSecurity 🛡