Криптовалютам зачастую приписывают суперанонимность, которой пользуются мошенники во всем мире. На самом же деле большинство сетей, включая Bitcoin, хранят полную историю транзакций. Это позволяет следователям размотать даже самые запутанные следы из тысячи транзакций и десятков учетных записей.

На днях стало известно об аресте семейной пары из США - Ильи Лихтенштейна и Хизер Морган, которым инкриминируют мошенничество, преступление против США и отмывание средств, добытых незаконным путем. Министерство юстиции уже провело крупнейшую конфискацию в своей истории, изъяв оставшиеся от взлома криптобиржи Bitfinex ₿94 тыс. на сумму $4,1 млрд.

Источник изображения: криптовалютная биржа StormGain

Взлом Bitfinex произошел в 2016 году: проведя 2000 транзакций на внешний кошелек 1CGA4s5..., хакерам удалось похитить ₿119 754, что на тот момент составляло $71 млн. Чтобы замести следы и обналичить средства, в последующие годы злоумышленники создали аккаунты в даркнете AlphaBay и десяток аккаунтов на различных криптобиржах под вымышленными именами или с участием фиктивных лиц.

Источник изображения: justice.gov

Чтобы скрыть историю транзакций, Лихтенштейн и Морган проводили переводы со счета на счет, нередко прибегая к монетам с повышенной анонимностью, в частности, Monero. Но, как это обычно бывает, повсюду оставляли хлебные крошки. Так, при создании аккаунтов на одной из криптовалютных бирж (VCE1) мошенники прописывали схожие e-mail адреса, используя одного и того же провайдера из Индии. После запроса биржей дополнительных документов Илья и Хизер перестали выходить на связь, в результате чего были заморожены 18 счетов с общим депозитом на $186 тыс.

Из-за стилистической схожести аккаунтов следователи прошлись по цепочке транзакций каждого из них, установив родство. Несколько из них привели к счетам на имя LICHTENSTEIN криптовалютной биржи в США (VCE5), открытым еще в 2015 году.

Источник изображения: justice.gov

Поскольку для открытия счета на криптовалютной бирже в США Лихтенштейн использовал водительские права, следователи установили личность подозреваемого и прочие аккаунты и счета на территории США. Так выяснилось, что Лихтенштейн создал фиктивную фирму SalesFolk, якобы принимающую криптовалюту в счет оплаты за предоставленные услуги. Дальнейший анализ транзакций подтвердил непосредственную связь с украденными средствами из Bitfinex, которые через многочисленные звенья цепи перетекали на банковские счета Лихтенштейна и Морган.

В какой-то момент злоумышленники уверовали в свою безнаказанность и стали использовать "кластер 3686mu" для оплаты покупок в криптовалюте, тем самым сократив сложность цепочки. Например, 3 мая 2020 года через него прошла оплата подарочной карты в Walmart (NYSE:WMT) на $500. IP-адрес использовался подменный, однако по запросу спецслужб "облачный провайдер" открыл имя арендатора и почту - они вели прямо к Лихтенштейну. Аналогично была оплачена покупка нового iPhone, который доставили по адресу проживания пары.

Источник изображения: justice.gov

После того как было собрано достаточно улик против семейной пары, спецслужбы с ордером на обыск обратились к сетевому провайдеру и запросили копии всех личных документов, хранящихся на "облаке". После расшифровки закодированных файлов следователи получили доступ ко всем криптоадресам, использовавшимся в цепочке, а также закрытые ключи. Это позволило вывести всю сумму оставшихся средств на счета Министерства юстиции без ведома мошенников.

На данный момент собранных улик недостаточно, чтобы предъявить обвинение во взломе Bitfinex, однако следователи рассчитывают на чистосердечное признание, поскольку по остальным статьям Лихтенштейну и Морган грозит до 20 лет лишения свободы.
 
 
Аналитическая группа StormGain

Суд в Мюнхене обязал владельца веб-сайта выплатить 100 евро в качестве возмещения ущерба за передачу личных данных пользователя, а именно IP-адреса в Google через библиотеку шрифтов Google Fonts без согласия человека.

Google Fonts - это сервисная библиотека для встраивания шрифтов от Google, позволяющая разработчикам добавлять шрифты в свои приложения и веб-сайты для Android, просто ссылаясь на таблицу стилей. По состоянию на январь 2022 года Google Fonts представляет собой хранилище для 1358 семейств шрифтов.

По мнению суда несанкционированное раскрытие IP-адреса истца веб-сайтом, представляет собой нарушение прав пользователя на неприкосновенность частной жизни и что администратор ресурса теоретически может объединить собранную информацию с другими сторонними данными для идентификации лица, стоящего за этим IP. Как говорится в постановлении - истец утратил контроль над личными данными в пользу Google.

В соответствии с GDPR элементы данных, такие как IP-адреса, рекламные идентификаторы и файлы cookie, считаются личной идентифицирующей информацией, что обязывает компании, запрашивать явное разрешение пользователей, на обработку таких сведений. Подобная практика не новая и вы наверняка не раз видели всплывающие уведомления на ресурсах и в рунете, но с процессуальной точки зрения прецедент уникален и может вызвать неподдельный интерес со стороны правоохранителей, активистов и правозащитных организаций.

Кроме того, суд постановил владельцу веб-сайта прекратить раскрытие IP-адресов из-за библиотеки шрифтов, а также предоставить потерпевшей стороне информацию о том, какие персональные данные он хранит и обрабатывает.

Не так давно подобной инцидент с Google уже имел место быть, когда Австрийский орган по защите данных постановил, что использование Google Analytics веб-сайтом NetDoktor, нарушает регламент GDPR, поскольку данные посетителей экспортируются на серверы Google в США, тем самым открывая двери для потенциальных клиентов и слежки со стороны ее спецслужб.

А так, казалось бы всего лишь шрифт.

В администрации США сообщили, что Белый дом и Кремль проводят переговоры по кибербезопасности. Теперь Москве, по данным New York Times, передали имена преступников.

Так, советник Белого дома по кибербезопасности Энн Нюбергер участвовала в серии необъявленных виртуальных встреч со своим коллегой из Кремля. Это произошло несколько недель назад. Сначала были споры внутри американской разведки о том, сколько информации раскрывать России. В итоге США выдали РФ имена и другие детали о нескольких хакерах. Они якобы активно устраивали атаки на Америку.

По словам одного из чиновников, США хотят, чтобы РФ произвела аресты. А еще газета называет глубочайшими за последние годы "идущие переговоры по контролю над вооружениями".

Ранее телеканал NBC сообщил, что серверы Национальной стрелковой ассоциации США подверглись кибератаке с помощью вируса-вымогателя. Журналисты высказали предположение, что вирус могли написать хакеры группировки Grief, которую ранее связывали с Россией.

Кэмерон Эбботт, Роб Пулхэм, KL Gates

В середине мая российское правительство (по-тихому) опубликовало отчет, в котором говорилось, что иностранные хакеры успешно взломали киберсистемы российского правительства. В отчете предполагается, что высокопрофессиональные хакеры преследовали интересы иностранного государства или что их поддерживало конкретное государство, но не делается никаких заявлений относительно того, кто мог за этим стоять.

Агентство Reuters отметило, что обычно, публикация такого рода отчетов, от имени госучереждений, предназначена для того, чтобы сообщить иностранным государствам, что правительству известно о любых попытках взлома или киберкриминальных группах. Этому отчету, как ни странно, российские СМИ уделили очень мало внимания.

В отчете также говорится, что хакеры использовали в своей атаке двух ведущих российских поставщиков услуг облачного хранения данных - Яндекс и Mail.ru. Яндекс отказался от комментариев, а Mail.ru опубликовал заявление о том, что его облачный сервис не был взломан и не использовался для распространения какого-либо вредоносного ПО на момент взлома.

Российские официальные лица заявили, что хакеры были хорошо подготовлены и продемонстрировали глубокое знание программного обеспечения "Лаборатории Касперского" (российской антивирусной лаборатории). Несмотря на это, как прокомментировал Касперский, хакеры не смогли успешно использовать его системы.

Так что, возможно, неудивительно, что истинная природа атаки неясна. Но это, безусловно, урок, что каждый может стать жертвой изощренных злоумышленников работающих от государства или при его поддержке (факт, который наше федеральное правительство не упускает из виду в своей Стратегии кибербезопасности на 2020 год ).

Отчет сформирован на основе анализа серии целенаправленных атак профессиональной кибергруппировки на федеральные органы исполнительной власти (ФОИВ) Российской Федерации. Эти атаки были выявлены в 2020 году специалистами центра противодействия кибератакам Solar JSOC компании "Ростелеком-Солар" совместно с НКЦКИ (Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России). Отчет содержит данные открытой части исследования, разрешенные для публичного распространения.

Уровень злоумышленников (используемые технологии и механизмы, скорость и качество проделанной ими работы) позволяет квалифицировать их как кибернаемников, преследующих интересы иностранного государства. Такие злоумышленники могли долго находиться внутри инфраструктуры и не выдавать себя. Главной целью хакеров была полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из закрытых сегментов и почтовой переписки ключевых сотрудников ФОИВ.

Для проникновения в инфраструктуры ФОИВ злоумышленники использовали три основных вектора атак:

· фишинг (тщательно проработанный под специфику деятельности органа госвласти)

· эксплуатация уязвимостей веб-приложений, опубликованных в сети Интернет

· взлом инфраструктуры подрядных организаций (Trusted Relationship)

Уже внутри периметра хакеры собирали информацию об устройстве сети и о ключевых сервисах. Для получения максимального контроля они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе высокий уровень скрытности за счет использования легитимных утилит, недетектируемого ВПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти.

После полной компрометации инфраструктуры, целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.

Технические особенности атак:

· разработанное злоумышленниками ВПО для выгрузки собираемых данных использовало облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты "Yandex Disk" и "Disk-O". Подобное ВПО ранее нигде не встречалоссь;

· хакеры явно изучили особенности административной работы с одним из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети.

9/Апр/21 Pogran1970

"Холодная война 2.0" между Россией и США с каждым днем становится горячее. Прежде всего от обвинений и угроз в адрес нашей страны, на которые Вашингтон не скупится. Ракетными ударами пока, слава богу, не грозят, но вот сделать нам больно с помощью кибероружия - это уже обещают открыто. Так чего нам ждать со дня на день: отключения связи и электричества, транспортного коллапса, техногенного катаклизма? Оказывается, бояться в цифровом мире, в котором мы оказались, надо другого. Да и спохватились мы, к сожалению, поздно. Ровно как в июне 1941-го.

Да, угроза хакерской атаки на объекты нашей критической инфраструктуры - энергетику, транспорт, городское хозяйство - вещь вполне реальная. Устроить блэкаут, проникнув в системы управления энергосистем, могут не только герои экшен-фильмов. Но эта опасность давно осознана - и люди научились от таких угроз защищаться. Есть куда более опасная проблема цифрового мира, которую еще только предстоит осознать и парировать. Так считает один из гуру российской IT-сферы, основатель группы компаний DZ Systems Дмитрий ЗАВАЛИШИН, который дал эксклюзивное интервью "МК".

СПРАВКА "МК"

Дмитрий Завалишин родился в Москве в 1967 году. С 1985 года - в сфере информационных технологий.

Окончил альма-матер многих отечественных айтишников - Московский инженерно-физический институт (МИФИ). Работал в вычислительном центре Центрального статистического управления СССР. В 2000-2004 годах руководил разработкой и развитием портала Яндекса, тогда же создал Яндекс.Маркет. В 2005 году открыл компанию Digital Zone, специализирующуюся на разработке программного обеспечения, из нее и выросла его группа компаний. Член программного комитета Института развития Интернета. Один из основателей ежегодной конференции программистов и пользователей OS DAY.

Киберугрозы

- Дмитрий, в начале марта киберкомандование минобороны США провело конференцию, посвященную планам ведения кибервойн. Авторы доклада сравнили стратегию кибератак на объекты критической инфраструктуры России или Китая с бомбардировками немецких городов авиацией США и Великобритании во время Второй мировой. Это не преувеличение? Насколько тяжелыми для нас могут быть последствия таких атак?

- Действительно, угроза атак реальна. Информационная защищенность огромного количества объектов довольно слабая. В каком-то объеме она существует. Но мало кто уверен, что она в реальном объеме работает.

Конечно, есть определенный опыт обеспечения информационной безопасности. Некоторые организации даже специально нанимают хакеров, чтобы они проверяли защищенность сетей. Но будем честны: по большому счету это делают очень-очень немногие структуры и в небольшом количестве.

То есть я полагаю, что есть огромное количество объектов, которым можно нанести ощутимый ущерб через информационные системы. Но это если посмотреть на вопрос с одной стороны. Я считаю, что есть куда более существенные угрозы и риски нашей безопасности в киберпространстве или цифровом мире. Попробую объяснить.

Во-первых, у меня большие сомнения, что тот ущерб, о котором я говорил, можно нанести на очень большую глубину и с большой длительностью. Есть примеры очень масштабных отказов, например в системах энергоснабжения, и опыт по устранению их последствий. Они, кстати, случались без всяких хакерских атак, а по техническим причинам.

Если помните, лет 15 назад в Москве и нескольких областях был огромный blackout, когда половина столицы была обесточена. Не работали светофоры, поезда метро не ходили. Но Москва все это пережила без каких-то бешеных проблем. И относительно быстро все было восстановлено.

Есть некоторый режим дублирования автоматических систем переходом в ручное управление. Этот механизм более-менее существует все еще. То есть в случае кибератаки на нас в течение какого-то небольшого срока система будет восстановлена в режиме ручного управления.

Поэтому анонсированные в США кибератаки я бы не рассматривал в качестве смертельной угрозы. К тому же, знаете, есть поговорка: собака, которая много лает, редко кусает. Поэтому, когда в США озвучивают эту угрозу, я бы ее не очень опасался. Это скорее словесная интервенция, чтобы посеять страх. Но вряд ли именно это будет сделано. Хотя бы из-за опасения ответного удара. Ведь пока никто не знает, как и чем ответят на такую атаку Россия или Китай.

Хотя, конечно, известен случай реального нападения Соединенных Штатов на ядерную инфраструктуру Ирана. Тогда вирус поразил систему управления центрифугами по обогащению урана, они были выведены из строя, что задержало реализацию ядерной программы Тегерана. Это сделали США, и это зафиксированный случай.

Но, повторю, такое воздействие возможно скорее фрагментарно и ненадолго. А вот чего действительно, на мой взгляд, надо опасаться больше, чем прямого внешнего деструктивного воздействия, и что мы пока в полной мере не осознали - это те немыслимые по объемам потоки информации обо всех нас, которые ежесекундно уплывают за границу, в США. Там очень и очень многое знают про нас, ведут постоянную аналитику.

Фото: пресс-службa ГК DZ Systems

Мюллеру и не снилось

- Как в кино про Штирлица: "мы все под колпаком у Мюллера"?

- Можно сказать, что Мюллер со своими методами слежки и сбора информации отдыхает. Если мы возьмем количество инструментов, благодаря которым западные страны могут сегодня получать информацию о нас, то оно просто потрясающее.

- Имеете в виду гаджеты с геолокацией, телефонные видеокамеры, американские приложения WhatsApp, Facebook, Instagram? Говорят, эти приложения могут скачивать и другую информацию с гаджета или компьютера и передавать ее.

- Да, WhatsApp или Facebook, к примеру, по законам США обязаны предоставлять своим спецслужбам доступ ко всему и ключи шифрования. Но возьмите и обычные банковские кредитные карты, которыми мы расплачиваемся. Все наши транзакции известны, и все отслеживаются. По транзакциям кредитной карты о человеке можно узнать очень многое, включая место, где он работает, куда ездит, что покупает.

Это сведения, которые вы размещаете в социальных сетях, информация, которая снимается с ваших телефонов, включая очень точную геолокацию. При желании по этим данным о вас можно узнать все, включая не только предприятие, где вы работаете, но и то, в какую проходную вы заходите и даже в каком кабинете сидите.

- Допустим, о каждом из нас кто-то все знает. Чем это опасно?

- Огромные объемы информации о нас анализируются и могут быть использованы в чьих-то интересах. На основании всех этих данных можно формировать воздействие на объекты той же самой критической инфраструктуры.

- То есть уязвимости могут быть не только в компьютерных программах, но и в таком элементе информационной системы, как человек?

- Человек - это вообще-то обязательный пункт в любой системе информационной безопасности. Вот смотрите, совершенно банальная, элементарная ситуация. Может быть, она не так часто встречается, но вполне вероятна.

Совершенно очевидно, что все наши секретные ученые на Западе известны. И вот по геопозиции телефона те, кто этим ученым интересуется, знают, куда он заходит, где работает, с кем общается. Проанализировав контакты, могут составить подробный каталог всех людей, которые работают с ним на том или ином важном объекте.

А дальше уже, как говорится, вопрос техники или методов, используемых в работе с интересующим субъектом: давление, шантаж, подкуп... Понятно, что большинство наших людей достаточно патриотичны, чтобы не поддаться ни на какие методы. Но сводки ФСБ, к сожалению, показывают, что находятся и те, кто готов сотрудничать, поддается на шантаж или подкуп. И вы не знаете, сколько их на самом деле.

Например, помните ту ситуацию, когда произошла авария космической ракеты "Протон" из-за того, что при сборке один из датчиков технарь установил "вверх ногами". И подобных ЧП, где случайным образом виноват какой-то стрелочник, немало. А если предположить во всем этом некую систему, принцип работы которой мы не знаем?

Мы же не знаем, действительно ли произошла случайность или кто-то совершил непреднамеренную ошибку. А может, кому-то заплатили миллион долларов, чтобы он ошибся?!

Только не приписывайте мне призывы к поиску врагов народа. Я о другом. Я о масштабе проблемы. О том, что из нашей страны выкачиваются террабайты и террабайты информации, которая анализируется, и неизвестно, где и как будет использована, возможно, против нас же.

Троянский конь цифровой эры

- То есть мы вместе со всеми благами цифрового мира пустили к себе настоящего троянского коня?

- Можно сказать только одно: на Западе существует механизм обработки огромных данных, которые у нас никак не защищены и выброшены в открытый доступ. Этот механизм вполне может использоваться против нас, и мы не знаем, насколько массово он используется. Де-факто у нас просто нет такой информации.

Вот все это я бы считал куда более опасной угрозой и большей проблемой, чем проблема нападения на критическую инфраструктуру или возможность устроить отказ огромного количества систем электропитания. Да, повторюсь, это тоже возможно, но это дает короткий эффект. На ручной режим управления системы всегда перевести можно.

А вдруг цель наших визави - постоянно отслеживать нас и постоянно наносить мелкие, точечные уколы, создавать проблемы, которые не выглядят как воздействие извне, а создают впечатление череды неприятностей или неприятных случайностей? И вы, когда вам сообщают о каждом новом ЧП, думаете: ну надо же, опять что-то случилось, или не запустилось, или упало. И понемногу все эти "случайные" ЧП выстраиваются в общую довольно неприглядную картину. Вот, мол, какие мы криворукие, не способные ни к чему, неорганизованные люди, которые не могут наладить работу сложных систем.

- Вроде того, что "земля у нас обильная, порядка только нет, приходите и владейте нами"?

- Вот-вот. А ведь это вполне может быть потоком небольших, крошечных, точечных диверсий, которые не очень сложно организовать. А результат - огромные имиджевые потери, снижение конкурентоспособности, упущенные инвестиции.

- И как бороться с информационной обнаженностью?

- Вопрос очень-очень сложный. С моей точки зрения, единственный способ успешной борьбы с проблемой, который существует, - это то, что называется великая китайская противопожарная стена - Firewall. То есть фактически создание закрытого информационного контура, в котором живет вся страна. Но для России это тяжелее реализовать, чем для Китая. Хотя не то чтобы совсем уж невозможно.

Объясню, что я имею в виду. Дело в том, что у России есть небольшой, но существенный плюс. Вот посмотрите, если возьмем, например, Францию, то она не может позволить себе отказаться от англоязычного контента в Интернете. То есть французы вынуждены работать с материалами на английском языке, потому что французского контента недостаточно для того, чтобы полностью обеспечить некоторую социальную среду, которая замкнута внутри страны.

А Россия в отличие от той же Франции достаточно велика, и количество контента на русском языке вполне достаточно для того, чтобы, в принципе, среднестатистический человек мог жить в Интернете, не интересуясь зарубежным контентом.

Так что теоретически некая автаркия возможна. Но, во-первых, она неприятна в этическом смысле. А во-вторых, создает определенные проблемы кросс-культурным коммуникациям.

Киберкомандование Пентагона планирует компьютерные удары. Фото: ru.wikipedia.org

Нас сосчитали

- Что надо для создания своего информационного контура?

- Безусловно, нужна ключевая инфраструктура, которая бы контролировала полностью все на нашей стороне. Что к ней относится? Все инструменты онлайн-взаимодействия. В этом направлении работа идет.

Например, сделана платежная система "Мир". Она полностью контролирует денежные транзакции внутри России. То есть информация о денежных операциях в рамках системы "Мир" уже не уплывает за рубеж, не пройдет через другие страны. Если мы даем сотруднику секретного завода карточку "Мир", то узнать, где он ей расплачивается, зарубежным интересантам уже невозможно.

Куда сложнее решать вопрос с мессенджерами. Через них идут огромные потоки информации. Причем идут в США. Сейчас голосовые коммуникации процентов на 70 перешли в мессенджеры. Огромное количество голосовых звонков совершается не через обычную телефонию, а через мессенджеры. Их инфраструктура позволяет очень многое отслеживать.

Теоретически зарубежные инструменты коммуникации, конечно, должны быть заблокированы здесь, внутри страны. Чтобы нельзя было отслеживать взаимодействие людей и строить карты этого взаимодействия. Это очень важная вещь.

Есть интересный факт, известный еще со времен Союза. Советская милиция уже тогда знала, что по трем первым телефонным звонкам можно точно идентифицировать человека. Вы можете уехать в Нью-Йорк, но, если вы оттуда сделаете три звонка, можно вас вычислить на 100%, потому что ближайший круг общения людей довольно уникален. Как правило, мы сначала звоним родителям, супругам и лучшим друзьям.

Соответственно, по контактам в соцсетях тоже можно про человека очень многое узнать. Поэтому соцсети, мессенджеры, онлайн-коммуникации - и видео, и голосовые, - все, что относится к современной информационной инфраструктуре, без которой мы уже не можем жить, все это должно быть в той или иной степени локализовано в стране.

Сегодня в существенной степени люди перестали пользоваться такими приложениями, как World или Excel. Очень многие используют онлайн-версии этих программ, например Google.doc или похожие инструменты. Это тоже огромный слой информации, которая просачивается за пределы страны. И он тоже требует какой-то локализации.

- А можно привести пример непроизвольной утечки информации?

- Покажу на примере нашей группы компаний. Она полностью живет в Google-документах. То есть все наши внутренние документы, строго говоря, известны зарубежным владельцам соответствующего сервиса. Вся деловая информация, включая наши контракты, контрагентов, финансовые данные, аналитику. Все, что у нас происходит в компании, в режиме онлайн можно анализировать за рубежом.

Ну хорошо, мы средний бизнес и не особо интересны. Но если это крупная компания, то на основании этих данных можно проводить серьезнейший промышленный шпионаж, который позволяет просто-напросто эффективнее конкурировать.

К примеру, у зарубежной компании есть российский конкурент. И получается, мы дарим ей всю информацию, то есть помогаем усилить экономику той стороны и ослабить экономику нашу. И это эффективно вполне себе действует. Это не сложно. Здесь не требуется какого-то волшебного слова. Мы уже отдали данные, они находятся там, и вполне доступны. Мало того, они проиндексированы, их можно автоматизированно обрабатывать, не прибегая к ручному труду.

- Хорошо, когда-нибудь мы создадим в России свой информационный контур. Но ведь он тоже будет кем-то контролироваться. Например, спецслужбами. С этим как?

- Это вечный вопрос соотношения личных прав и свобод и безопасности. Если наша страна и наши люди заинтересованы в собственном развитии, на что, собственно, хочется надеяться, то будут найдены правильные решения, чтобы соблюсти баланс, и они не будут во вред стране и людям.

Правоохранительные органы у нас давно имеют возможность доступа к информации с санкции прокурора. Соответствующие органы уже много лет назад приходили и в Яндекс.Почту, и другие компании, чтобы получать от них содержимое почтового ящика, в случае если содержание этой почты имело отношение к какому-то расследуемому делу. Сейчас им дали возможность более оперативно получать такую информацию без санкции прокурора, на основании более простых документов. Причина - бывают ситуации, в которых прямо сейчас и здесь происходит правонарушение.

Например, теракт, и нужно прямо сейчас отследить местоположение террористов по телефону, без волокиты и необходимости запрашивать разрешение.

В вопросе личных прав и безопасности надо искать разумный баланс. Мы хотим иметь более эффективные правоохранительные органы? Значит, у них должна быть возможность оперативно реагировать на угрозы, работать на упреждение, а не бить по хвостам. Если ограничить их возможности, обращаясь к личным правам на защиту информации, можно снизить их эффективность. Ну и, конечно, надо думать, как не допустить в этом вопросе злоупотреблений.

Запрет или стимул?

- Как вы относитесь к недавней ситуации с торможением Твиттера?

- Все очень просто. Существует понятие государственной юрисдикции. Сервис, который приходит в страну извне, должен подчиняться ее законам, исполнять требования. Это даже не предмет разговора. То есть здесь все правильно делали.

Причем сам подход заслуживает внимания. Метод, который сейчас применяется, с одной стороны, не является абсолютно административным и деструктивным. Нет такого общественного напряжения. У этого шага очень выраженный экономический эффект для той стороны. Потому что у нее снижаются показы рекламных баннеров, количество транзакций, и это очень четко у них видно, на их экономических метриках. Они видят, что начинают в России меньше зарабатывать. С другой стороны, соцсеть не выключили, она живет - пожалуйста, но денежный поток снизился. И понятно, что он может снизиться еще. Это очень правильное давление на карман. Молодцы, правильно сделали.

- Это технически сложно сделать или уже научились?

- Это довольно сложно сделать.

- В России могут появиться аналоги Facebook, Twitter или ТикТок? Когда? Что для этого надо?

- На самом деле это экономическая проблема. Ситуация неприятная. Налицо обидное технологическое отставание. Но факт есть факт. В принципе, сделать реплики зарубежных интернет-сервисов не очень сложно. Но это требует вложений и работы. У нас, кстати, есть реплики многих зарубежных социальных сетей и сервисов. Они, конечно, не сказать что идеальны и полностью соответствуют зарубежным аналогам. В чем-то они уступают, но уступают не катастрофически.

Существует, например, сеть ВКонтакте. Вполне нормальная, ею можно пользоваться. Она, наверное, в чем-то уступает Фейсбуку, но не настолько сильно, что жить нельзя. Можно.

Существует видеохостинг российский RuTube наряду с американским YouTube. Создан очень давно, много людей им пользуется, и опять же никакой особенной технологической проблемы в его создании нет. Проблема в другом. Покрытие у YouTube очень большое. Очень много людей им пользуется. Его знают все, и если вы выкладываете свой ролик на YouTube, то получаете огромную аудиторию. Если выкладываете на RuTube, то получаете меньшую аудиторию. Хуже того, аудитория YouTube полностью перекрывает аудиторию RuTube.

Выкладывая ролик только на зарубежный сервис, вы гарантированно получаете всю возможную аудиторию. Выкладывая в RuTube, получаете меньшую аудиторию. В этом и проблема. Люди предпочитают чужой сервис просто потому, что у него аудитория больше. То же самое касается Facebook и ВКонтакте.

Вообще ВКонтакте довольно известный в России сервис. Им многие пользуются. Но существует слой людей, которые живут только в Фейсбуке. Им там привычнее и проще.

Это, возможно, вопрос антимонопольной службы. Западные сервисы, имея мощный ресурс, заняли очень сильные позиции на нашем рынке. И очень трудно их превзойти именно по этой части.

- Это безвыходная ситуация?

- Я полагаю, что она требует государственного участия. Может быть, каких-то преференций для наших компаний. Я знаю, например, что есть идея сделать так, чтобы доступ через Интернет к российским сервисам был бесплатный. То есть два тарифа на интернет-трафик. Если хочешь получать доступ к внешним социальным сетям и сервисам, получается дороже. А если через внутренние сервисы - дешевле. Не знаю, сработает это или нет.

Наверное, надо больше пропагандировать свои разработки, над ними надо больше работать технически, чтобы они были более привлекательными для пользователя, чем зарубежные. Я не думаю, что в принципе невозможно эту ситуацию решить. Более того, я уверен, что возможно. Но политическая воля в этом случае, скорее всего, потребуется.

- Китай смог эту задачу решить, потому что там огромная внутренняя аудитория?

- Нет, они просто жестко закрыли все внешние сервисы, как говорится, железной рукой выключили у себя Facebook и прочие сервисы made in USA.

Сегодня у них существует огромный объем внутренних сервисов, которые очень эффективно сделаны. Кстати, некоторый китайский опыт и для нас представляет определенную ценность. Китайцы, например, очень активно работают над взаимодействием в своих сервисах и их совместимостью. Кроме того, у них внутренние сервисы обеспечивают некоторые возможности, которые тот же Facebook обеспечить не может.

У нас тоже есть такие примеры. Вот Яндекс.Такси является примером успешной конкуренции с зарубежными сервисами. Ведь он выходил на рынок, когда зарубежные сервисы в России уже были. И тем не менее он смог достичь очень хорошего положения на рынке и фактически обойти конкурентов чисто рыночными усилиями.

- Некоторые говорят, что комплексную информационную безопасность в стране не обеспечить, не создав единый орган управления, своего рода министерство цифровой безопасности. Как вы к этой идее относитесь?

- Мне кажется, формирование нового органа или передача этой функции в ведение существующего органа - просто технический вопрос. Это вопрос, на чьей двери, условно говоря, будет висеть табличка "Ты отвечаешь за информационную безопасность". Это может быть замминистра в Минцифры, а может быть какой-то человек в ФСБ. Это абсолютно не принципиально.

Вообще проблема информационной безопасности - вопрос осознания проблемы. Причем в том аспекте, о котором я говорил и который пытался описать. Проблема не в том, что на нас нападут или могут напасть и это будет действительно война, а проблема в том, что нас медленно, аккуратно вскрывают, как раковину, и делают беззащитными. Мелочным, но непрерывным давлением по всему фронту снижают нашу эффективность, постепенно, исподволь усложняя жизнь страны.

Стало известно о том, что в процессорах Intel обнаружены две критические уязвимости, эксплуатация которых позволяет перехватить контроль над устройством. Об этом пишут Известия со ссылкой на данные специалистов по информационной безопасности из компании Positive Technologies.

Согласно имеющимся данным, речь идёт о недокументированных производителем возможностях. Доступ к ним открывается в особом режиме, который чаще всего доступен только инженерам Intel, но в определённых сценариях он может быть активирован злоумышленниками. Эти уязвимости преимущественно затрагивают процессоры, которые используются в нетбуках, планшетах и кассовых аппаратах. Однако, специалисты считают, что аналогичные недокументированные возможности могут присутствовать во всех актуальных процессорах Intel, что представляет собой серьёзную потенциальную угрозу.

Две недокументированные инструкции в процессорах Intel, которые могут использоваться для изменения микрокода с целью захвата контроля над процессором и всей системой, выявили сотрудники Positive Technologies Марк Ермолов и Дмитрий Скляров, которые работали вместе с независимым исследователем Максимом Горячим. Эксперты отмечают, что упомянутые инструкции "позволяют обойти все существующие механизмы защиты архитектуры x86 в современных процессорах". Скрытые функции были обнаружены в процессорах Intel семейства Atom, которое обновляется и сейчас. В рамках исследования удалось выявить косвенные признаки, указывающие на то, что обнаруженные инструкции могут поддерживаться всеми современными процессорами Intel.

Выявленные уязвимости потенциально опасны для пользователей устройств на базе процессоров Intel Atom. Речь идёт о чипах с низким энергопотреблением, которые в основном применяются в нетбуках, планшетах, POS-терминалах и кассовых аппаратах.

Не менее 30 тысяч американских компаний были взломаны из-за уязвимости в программном обеспечении Exchange Server компании Microsoft. Об этом в своем блоге написал американский журналист, специалист в области кибербезопасности Брайан Кребс со ссылкой на источники.

По его словам, в последние несколько дней хакеры, связанные с Киев, взломали электронные почты американских небольших компаний, администраций и "сотен тысяч" предприятий по всему миру. Из-за уязвимости в версиях Exchange Server 2013-2019 злоумышленники получают "полный удаленный контроль над затронутыми системами".

По словам эксперта, в настоящий момент группа взломщиков действует не так, как обычно ведут себя другие хакеры, связанные с Китаем - они не выбирают цели для взлома.

Ранее Microsoft обвинила китайских хакеров в атаке на ведомства США.

Российские власти начали проявлять серьезное беспокойство в связи с распространением в Telegram ботов, которые за относительно небольшую плату позволяют получить подробную информацию почти о любом жителе страны. Раньше такие возможности были только у опытных пользователей даркнета или силовиков, а теперь доступны любому зарегистрировавшемуся в мессенджере. Рынок ботов активно растет. По мнению юристов, их деятельность незаконна. Но механизмов противодействия ни у государства, ни у граждан пока нет. На ситуацию может прямо повлиять только сам Telegram, но его основатель Павел Дуров неохотно сотрудничает с властями.

Пробить за 60 секунд

В 2020 году в Telegram активизировалось создание ботов (робот, который может выполнять последовательность действий и имеет встроенный поисковый механизм), позволяющих пользователю мессенджера получить информацию практически о любом человека. Впервые такие сервисы появились еще несколько лет назад, но если раньше их были единицы, то сейчас можно найти уже пару десятков. В числе старейших и самых крупных - "Глаз Бога", "Архангел", Smart_SearchBot и AVinfoBot.

Используя их и элементарную логику можно узнать очень многое об объекте интереса. Если загрузить в бот, например, имя человека, он выдаст подборку из 10-20 номеров телефонов, привязанных к этому имени. По номеру телефона можно получить уже фото владельца, ссылки на его соцсети, выгрузку объявлений из сервиса "Авито", адрес электронной почты и номер автомобиля. По номеру автомобиля можно узнать еще больше: адрес прописки, паспортные данные, информацию о машине и ее фотографии. В некоторых случаях в перечне информации по запросу могут быть пароли от электронной почты и социальных сетей, а иногда даже подробное досье на человека отдельным файлом. Корреспондент "Ъ", например, нашел с помощью одного из ботов свои персональные данные и пароли от e-mail.

Как правило, владельцы таких сервисов скупают или получают бесплатно утекшие базы данных ведомств и компаний, говорит основатель компании "Интернет Розыск" (разрабатывает решения по информационной безопасности) Игорь Бедеров (см. интервью). Все утечки собираются в СУБД (система управления базами данных), поясняет он. Так, благодаря утекшей в 2020 году базе пользователей "ВКонтакте" можно по адресу страницы в соцсети узнать номер телефона, а база ГИБДД поможет выяснить данные об автомобиле и его владельце (см. инфографику).

Также разработчики ботов используют программы для парсинга - сбора данных из открытых источников. Парсинг сервисов бесплатных объявлений, например "Авито", позволяет объединить имя объекта поиска, его почту и номер телефона. Боты также могут собирать данные юридических лиц, подключившись к легальным информационно-аналитическим системам, например "СПАРК-Интерфакс" или Kartoteka.ru.

Задействованы и возможности самого Telegram. Осенью 2020 года в мессенджере появилась новая функция: можно отправить боту геоточку, и он в радиусе 100 м от нее покажет аккаунты всех пользователей, которые находятся там в данный момент или были какое-то время назад.

Мы пробиваем, нас пробивают

Боты для поиска информации о людях в основном работают по трем бизнес-моделям. Это может быть подписка на определенный период (день, месяц или год), в рамках которого число запросов неограниченно. Стоимость подписок варьируется от 65 руб. до 2,5 тыс. руб. за день. Другой вариант - розничная покупка запросов (например, 1, 100 или 500). Есть и тарифные планы, в которые входят, например, пакет из 500 запросов на месяц и полное досье на человека. Тариф подходит для служб безопасности, юридических компаний, финансовых организаций и людей, "чей образ мышления требует знать больше обычного", следует из его описания.

Опрошенные "Ъ" эксперты сходятся во мнении, что для запуска подобных сервисов не требуется серьезных вложений. В первую очередь нужен виртуальный облачный сервер для хранения баз данных и их обработки, поясняет господин Бедеров. Покупать физические серверы для этого не нужно. В среднем, по оценке эксперта, таким сервисам нужно 200-300 Тбайт пространства для стабильной работы. Объем баз данных "Архангела" составляет сотни терабайтов, анонимно рассказали "Ъ" его администраторы. В числе прочих затрат - покупка утечек баз данных, многие из которых зачастую можно найти и в свободном доступе, разработка программ-парсеров и зарплаты сотрудникам.

По усредненным оценкам экспертов, для старта работы бота достаточно 1 млн руб. Эти средства пойдут на привлечение команды из десяти человек, покупку баз данных и аренду облачных хранилищ. По словам представителя Smart_SearchBot, в первый год работы проект потребовал от его создателей не более $10 тыс. (примерно 730 тыс. руб. по курсу ЦБ на 18 февраля).

Потенциальная годовая маржа подобных ботов может оцениваться в 200 млн руб. в год, полагает господин Бедеров. Эту оценку подтверждает собеседник "Ъ" на рынке.

Инвестиции в запуск "Архангела" окупились в первый же месяц, говорят его администраторы. По их словам, первые полгода проект работал в закрытом режиме, был доступен только определенным клиентам и в публичное поле вышел только в середине 2020 года. Зато теперь месячные обороты "Архангела", по словам его представителя, исчисляются "далеко не несколькими миллионами рублей".

Стратегия продвижения таких площадок не отличается от таковой у обычных Telegram-каналов. Это могут быть покупка постов, перекрестных ссылок и другое сотрудничество. По словам расследователя "Роскомсвободы" Андрея Каганских, в конце 2020 года "Глаз Бога" закупал рекламу в Telegram-канале "Двач" (542 тыс. подписчиков), пытаясь расширить аудиторию.

Основными пользователями ботов для пробива людей один из участников рынка называет ревнивых супругов и автолюбителей, которые хотят, например, найти владельца подрезавшей их на дороге машины. Также, добавляет он, сервис может представлять интерес, например, для владельцев недвижимости, которые хотят узнать больше о потенциальном арендаторе. Чаще всего люди пытаются выяснить через бот номера телефонов, электронную почту или найти аккаунты человека в социальных сетях, добавляют в Smart_SearchBot.

Рынок таких решений продолжит расти, уверен аналитик центра мониторинга и реагирования на кибератаки Solar JSOC "Ростелекома" Александр Ненахов, поскольку боты "дают простой инструмент поиска широкому кругу лиц: если раньше подобные сервисы приходилось искать в даркнете и это было непросто, то сейчас для этого просто нужен Telegram".

Основное преимущество Telegram как канала для роста нового бизнеса в его анонимности, считает руководитель технологической практики КПМГ в России и СНГ Николай Легкодимов. Другие мессенджеры, по его мнению, не вызывают высокого доверия у пользователей. Сервис WhatsApp, принадлежащий американской соцсети Facebook, в январе, например, обновил пользовательское соглашение, обязав всех пользователей делиться с ней данными. По новому пользовательскому соглашению, Facebook получит сведения о номере телефона, трансакциях и IP-адресах.

Брешь, пробитая в законодательстве

Законность работы ботов и действий их клиентов вызывает очевидные сомнения. Владельцы и пользователи подобных ботов попадают под действие административного кодекса и могут быть оштрафованы за нарушение правил обработки персональных данных на сумму 3 тыс. руб., говорит преподаватель Moscow Digital School Вадим Перевалов.

Теоретически они могут попасть под действие и Уголовного кодекса за нарушение неприкосновенности частной жизни, допускает доцент факультета права ВШЭ Александр Савельев. В таком случае штраф, по его словам, уже составит до 200 тыс. руб., но в отношении злоумышленников может быть принято решение и о лишении свободы до двух лет.

Владельцы таких сервисов фактически перекладывают ответственность с себя на пользователя. "При использовании бота человек подтверждает, что он получил письменное согласие на обработку персональных данных от человека, чьи данные он хочет проверить",- говорят в "Архангеле". Если такого согласия нет, человек нарушил закон, отмечают представители сервиса.

Но на деле наказать человека за использование бота практически невозможно. "Органам сложно выявить факт использования бота конкретным человеком, установить его личность, а потом собрать формальные доказательства нарушения с его стороны, если только речь не идет о проверке уже изъятого мобильного телефона",- говорит господин Перевалов. По его мнению, единственный возможный способ наказывать пользователей таких площадок - выяснять, кто переводил денежные средства на счета владельцев бота. "В таком случае можно было бы выписывать штрафы всем пользователям, которые совершали платежи, но сейчас таких законодательных механизмов просто не существует",- добавляет эксперт.

Власти и госорганы обратили внимание на деятельность ботов в Telegram только в начале 2021 года, когда в одном из каналов появились персональные данные полицейских и росгвардейцев, участвующих в задержаниях на митингах в поддержку Алексея Навального (см. "Ъ" от 30 января). После публикации в "Ъ" Роскомнадзор потребовал от Telegram прекратить распространение персональных данных граждан, поскольку это угрожает их безопасности. 6 февраля основатель Telegram Павел Дуров заявил о блокировке этих каналов.

В Госдуме неохотно признают, что сегодня фактически нет механизмов, чтобы остановить работу подобных площадок. "Пользователи и администраторы ботов, конечно, совершают преступление, если в их работе используются слитые базы данных. Но эта область юридически попадает в серую зону",- говорит депутат фракции "Единой России" Антон Горелкин. Он констатирует, что запрет или регулирование работы таких площадок сегодня зависит исключительно от воли Павла Дурова, который пока неохотно идет на контакт с российскими властями. Сам господин Дуров и официальный представитель Telegram в России обсуждать этот вопрос с "Ъ" не захотели.

Никита Королев

Цена вопроса

Александр Журавлев - о защите своих прав в случае утечки персональных данных

Персональные данные граждан - лакомый товар, и их незаконный оборот с годами только растет. Последствия этого для граждан могут быть разными: от назойливой рекламы и возможности "пробить" человека до мошенничества в банковской и других сферах. Но сейчас российское законодательство не готово адекватно ответить на растущие вызовы.

Владельцы Telegram-ботов, позволяющих за плату получить данные о конкретном человеке, с юридической точки зрения занимаются обработкой персональных данных. Таким образом, и клиенты таких ботов, и их владельцы выступают операторами персональных данных. Но законно обрабатывать их они могут лишь при согласии гражданина, то есть субъекта персональных данных. Получение и распространение информации без его согласия - нарушение закона.

Конечно, российское законодательство формально позволяет пострадавшим защитить себя, если данные распространяются без их ведома: можно взыскать моральный вред или убытки. Но на практике взыскать убытки не удавалось пока никому, поскольку невозможно доказать причинно-следственную связь, которая к этим потерям привела. В случае с анонимными ботами и ответчика-то найти зачастую невозможно.

Пострадавший может обратиться в Роскомнадзор, который вправе начать проверку и, если найдет владельца бота, может оштрафовать его и обратиться в суд. Но штрафы от таких разбирательств идут в бюджет, а не гражданину.

Наконец, остается вариант обратиться в правоохранительные органы. Но уголовных дел, в которых фигурируют Telegram-боты, еще не было. В целом по простым делам с утечками данных виновные, как правило, отделываются незначительным штрафом или условным сроком.

Получается, что у наших граждан фактически нет эффективных инструментов защиты своих прав в случае утечки и распространения персональных данных. А у российских операторов, обрабатывающих такие данные, нет стимула их защищать. Но россияне понимают, что так быть не должно: по данным ВЦИОМа, увеличение штрафов для интернет-площадок за нарушения, допущенные при обработке персональных данных, одобряют 58% опрошенных.

В отличие от России, действующее в Евросоюзе законодательство по защите персональных данных сформировало прозрачный оборот данных граждан на практике и стимулирует операторов данных их защищать. Это стало возможным, поскольку над нарушителями закона фактически висит "дамоклов меч" в виде штрафов до 4% от оборота компании.

Российская система ответственности за такие нарушения, на мой взгляд, нуждается в кардинальных реформах с опорой на европейский опыт. Административным штрафам необходима прогрессивная шкала, а граждане должны иметь право взыскивать фиксированную компенсацию за утечку их данных. Наказание должно учитывать характер нарушения, масштаб оператора данных и принимаемые им меры для их защиты.

Ключевую роль будет играть правоприменение, поэтому для таких дел нужен специальный суд, ведь масштабы незаконной добычи "новой нефти", то есть данных, с годами будут лишь расти. Параллельно следует совершенствовать законодательство о регулировании подобных ботов, которые уже в ближайшее время могут стать главным оружием киберпреступников. Первые шаги для этого должны быть сделаны со стороны государства.

Александр Журавлев, председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России.

"Все прошлые утечки покажутся нам ничтожными"

Игорь Бедеров, основатель компании "Интернет Розыск"

О перспективах рынка Telegram-ботов для поиска данных о людях рассказал "Ъ" основатель информационно-аналитической компании по предупреждению и расследованию преступлений "Интернет Розыск" Игорь Бедеров.

- Как появился рынок ботов для "пробива" людей?

- Еще в 1980-е годы в КГБ впервые задумались о сборе данных на советских электронно-вычислительных машинах (ЭВМ). Тогда появились СУБД (системы управления базой данных). Это были базы ГАИ и прототип "Розыск-Магистрали" (государственная база данных, в которой собираются данные о перемещении россиян.- "Ъ"). Уже после развала Союза базы данных стали физически утекать: продавались на дисках всем желающим. Это был первый этап формирования рынка.

Второй начался примерно в 2009 году вместе с развитием скоростного интернета, социальных сетей и государственных открытых информационных систем. На рынке появились сервисы-агрегаторы, которые собирали открытую информацию и сводили ее в один массив, формируя на людей своеобразные досье. Здесь особенно помогали соцсети: раньше пользователи "ВКонтакте", например, часто оставляли открытыми номера телефонов, и подобные программы собирали их. Сейчас 90% сервисов на рынке - агрегаторы данных.

Третий этап начался в 2019 году. К уже имеющимся решениям добавляется глубокий автоматизированный анализ информации на основе искусственного интеллекта (ИИ). Теперь каждый выгруженный элемент данных о человеке подвергается анализу: система, например, находит номер телефона, а затем по цепочке добавляет к нему больше информации. То есть то, что раньше делала группа аналитиков, теперь делает бот, написанный, например, на языке программирования Python.

- Вы используете утекшие базы данных в своей работе?

- Нет, мы работаем строго в рамках законодательства и сотрудничаем с правоохранительными органами.

- Как именно сотрудничаете?

- У нас есть несколько решений, частичный доступ к которым мы открыли всем. Правоохранителям мы открыли доступ полностью. Например, мы запустили сеть Telegram-ботов - деанонимайзеров. Их пользователи дают согласие на передачу своих данных: номера телефона, страницы в соцсети, геолокации, информации о смартфоне и так далее. В обмен они получают доступ к уже сформированной базе людей. Все данные собраны в СУБД, доступ к которой мы бесплатно предоставляем силовым структурам, потому что считаем это правильным.

- То есть вы сделали добровольный троян, только внутри Telegram?

- По сути - да, приманку для злоумышленников.

- Я слышал, что правоохранители используют боты, которые выгружают информацию о членах разных открытых каналов и чатов, а потом ищут корреляцию. Это возможно?

- Такие сервисы действительно есть, силовики пользуются ими. Мне известно о существовании трех ботов, которые постоянно выгружают из разных чатов списки участников, а затем сопоставляют их по интересам. В выгрузку по человеку идет, например, его номер телефона и список каналов и чатов, на которые он подписан.

- Как дальше будет развиваться рынок таких ботов?

- Сервисы будут эволюционировать в сторону аналитики с использованием ИИ. Параллельно будут развиваться технологии идентификации на основе информации, собранной для таргетированной рекламы. Представьте, какие сумасшедшие массивы данных о нас собрали Google или Apple: психологический и виртуальный портрет, запросы, предпочтения, половые, возрастные, социальные характеристики. Осталось разработать сервисы, которые будут сопоставлять эти данные с конкретными людьми. С учетом развития ИИ и технологий больших данных до этого остается сделать маленький шаг. Как только он будет сделан, все прошлые утечки персональных данных покажутся нам ничтожными.

Интервью взял Никита Королев

Эксперты АНО "Информационная культура" проанализировали приватность государственных мобильных приложений в России.

Государственные органы, госучреждения и госкорпорации начинают проявлять интерес к созданию мобильных приложений. Такие приложения создаются с разными целями: от оказания государственных услуг до предупреждение рисков в борьбе с пандемией.

Активная разработка государственными органами мобильных приложений, а также появление требований по их обязательной предустановке создали уникальную ситуацию обязательности мобильных приложений на устройствах пользователей и, как следствие, особого внимания к приватности этих приложений.

При этом разработчики государственных приложений пользуются теми же инструментами, сервисами и продуктами отслеживания пользователей, что и частные разработчики.

Сложившаяся практика приводит к тому что в мобильных приложениях, создаваемых разработчиками государственных приложений, присутствует значительное число трекеров, передающих сведения о пользователях третьим сторонам, а сами приложения получают большое число разрешений на телефоне пользователя, тем самым давая возможность как самим приложениям, так и встроенным трекерам получать доступ к ключевым возможностям смартфонов: камере, хранилищу данных и программ, отслеживанию местонахождения и многому другому.

Происходит это при отсутствии должного внимания со стороны регуляторов внутри государства, служб контроля качества заказчиков этих приложений, отсутствия методических рекомендаций и иных способов юридического и технического контроля.

Исследование, проведенное Инфокультурой, представляет собой анализ практик использования сервисов отслеживания граждан на государственном уровне, через мобильные приложения, создаваемые органами власти и государственными учреждениями.

В рамках исследования были изучены 44 мобильных приложения, созданных для государственных и муниципальных органов, госучреждений и госкорпораций. Проведенный анализ показал наличие в них 20 различных встроенных сторонних - то есть не имеющих отношения к их разработчикам и органам власти - трекеров, а также использование 88 уникальных разрешений для доступа к данным и функциям устройства:

• большинство приложений из выборки (88%) имеют хотя бы один встроенный сторонний трекер, которые передают данные третьим лицам - сторонним компаниям;
• 19 приложений (43%) передают данные как минимум 3 сторонним компаниям - владельцам отслеживающих трекеров;
• трекеры компаний Facebook и Google используются в большинстве приложений;
• около половины используемых в государственных мобильных приложениях трекеров относится к аналитическому типу, данные о геолокации собирает около 15% трекеров, в рекламных и маркетинговых целях также около 15%;
• большая часть трекеров, используемых в государственных мобильных приложениях, принадлежит компаниям юрисдикции США (86%), а приложение "Услуги РТ" использует трекер организации в юрисдикции Японии;
• все приложения запрашивают как минимум 5 разрешений на доступ к данным и функциям устройства. При этом каждое приложение из выборки использует хотя бы одно потенциально опасное разрешение;
• из списка потенциально опасных разрешений приложения чаще всего запрашивают доступ на чтение и запись во внешнее хранилище данных, доступ к точному и приблизительному местоположению, камере и получению информации об устройстве.

Что было выявлено:

• Трансграничная передача данных не учитывает трудности регулирования и правовые проблемы, с которыми сталкивается индустрия отслеживания и мобильной рекламы.
• Устройство мобильных приложений, в т.ч. государственных, приводит к ситуации трансграничной передачи персональных данных, не просто игнорируемой российскими регуляторами, но и самими же регуляторами осуществляемой.
• Отсутствуют практики, рекомендации и требования по передаче данных приложениями, разработанными за счет бюджетных средств.

На основании проведенного анализа были подготовлены рекомендации для органов власти, регуляторов и органов контроля, надзора и аудита:

1

Разработка мобильных приложений органами власти и бюджетными учреждениями должна быть предметом обязательного государственного регулирования, закрепленного в форме НПА - федерального закона или постановления Правительства РФ.

2

Должны быть созданы методические рекомендации по применению трекеров и запросу разрешений мобильными приложениями, созданными за бюджетные средства и в рамках выполнения функций и задач органов власти и органов местного самоуправления.

3

Необходимо осуществлять регулярный, не реже чем 1 раз в квартал, мониторинг соблюдения требований и рекомендаций по обеспечению приватности государственными мобильными приложениями.

4

Анализ мобильных приложений, создаваемых за счет бюджетных средств, должен быть предметом внимания органов контроля, надзора и аудита, в том числе в части проверки на соответствие практик сбора и передачи данных федеральному законодательству.

5

Органы аудита, надзора и контроля должны принимать участие в формировании этических и методических требований к мониторингу государственных мобильных приложений, предупреждать потенциальные нарушения до их возникновения.

Более широкий набор рекомендаций, в том числе для разработчиков мобильных приложений и пользователей, приведен в разделе "Рекомендации".

Введение

Пользователи мобильных приложений пребывают в неведении о том, какие данные о них собираются, а затем - как и кем эти данные используются. Механизм сбора и обработки данных должен быть прозрачным для пользователя: кто, какие и для чего данные собирает, каким образом это делает, как хранит, куда передает.

Исходя из этого возникают следующие вопросы:

• Как проникновение государства в мобильный телефон гражданина повлияет на его безопасность?
• Как должны быть устроены государственные мобильные приложения?
• Как предустановка мобильных приложений в качестве разрешенного отечественного ПО может повлиять на безопасность пользователей?
• Как предустановка повлияет на конкуренцию среди компаний разработчиков мобильных приложений?

Активная разработка государственными органами мобильных приложений, а также появление требований по их обязательной предустановке создало уникальную ситуацию наличия мобильных приложений на устройствах пользователей и, как следствие, особого внимания к приватности этих приложений.

Это внимание граждан особенно подкрепляется подтверждениями о том, что собираемые данные, например, во время пандемии COVID-19, могут использоваться и в иных целях, например, расследования преступлений.

Данное исследование представляет собой анализ практик использования сервисов отслеживания граждан на государственном уровне, через мобильные приложения, создаваемые разработчиками государственных приложений в Российской Федерации.

Контекст

Использование мобильных приложений для решения разных задач стало повседневной нормой для большинства граждан. Мобильные приложения облегчают жизнь, решают проблемы и являются сервисами первой необходимости. Однако для корректной работы или для исполнения собственной бизнес-модели, основанной на рекламе, они собирают много пользовательских данных, лично о нас и наших действиях. Развитие мобильного интернета [1] по России способствует росту его аудитории [2], что также влияет на привлекательность рынка для мобильной рекламы.

[1] - по данным компании Mediascope в России в 2019 году пользователями мобильного интернета являются 84,6 млн человек, или 68,9% жителей в возрасте от 12 лет - это все те, кто как минимум 1 раз в месяц заходил в интернет с помощью мобильных устройств (URL: mediascope.net/news/1081884)

[2] - В декабре 2019 года Министерство цифрового развития России сообщали о том, что потребление мобильного интернет-трафика по сравнению с 2018 годом увеличилось в 1,5 раза и составило более 10,9 млрд Гб. В 2019 г. количество абонентских устройств мобильной связи выросло по сравнению с 2018 г. на 7,1 % и составило 309,6 млн ед. Причем из них 70.9% используют стандарт 3G и только 8,7 % - LTE. Рынок мобильной рекламы в России в 2018 году вырос на 32 % и оценивается в 92,4 млрд рублей.

Например, только пользователи Android установили государственное приложение Госуслуги (Минцифры России) уже более 10 млн раз, а приложение Налоги ФЛ (ФНС России) - более 5 млн. Эти приложения входят в топ-100 самых популярных мобильных приложений Рунета.

У государства появился новый устойчивый интерес - создание мобильных приложений. Закреплению этого интереса способствовала также пандемия нового коронавируса. Отслеживание контактов через телефон - это самая популярная технология борьбы с коронавирусом. Коронавирусная пандемия 2020 года стала индульгенцией для разработки и внедрения отслеживающих технологий, технические возможности для которых были и ранее, но легитимность и этические основания на их внедрение появляются только сейчас. Основная и декларируемая цель таких технологий - помочь системе общественного здравоохранения справляться с нагрузкой и снизить уровень распространения вируса.

Так в 2020 году появились следующие государственные мобильные приложения:

• Государственные услуги СТОП коронавирус (Минцифры) - более 1 млн установок из Google Play.
• Социальный мониторинг (Правительство Москвы) - наиболее нашумевшее приложение 2020 года, обязательно для Москвичей, заболевших коронавирусом. Более 100 тысяч установок из Google Play.
• Check Covid-19 (Правительство Москвы) - более 10 тысяч установок из Google Play.
• Госуслуги.COVID трекер (Минцифры России) - более 10 тысяч установок из Google Play.

Однако данные о местоположении относятся к особо чувствительным в связи со способностью раскрывать конфиденциальные данные о поведении людей, моделях поведения и личной жизни. В большинстве юрисдикций, в т.ч. в России, данные о местоположении рассматриваются как особая категория данных, подлежащих более надежной защите, получение которых сторонними лицами требует получения явно выраженного согласия. При этом наряду с вопросами, связанными с потенциальной пользой использования этих данных, встают также вопросы этики и угрозы нарушения приватности из-за возможных злоупотреблений или несанкционированных утечек.

Среди тренда по отслеживанию коронавирусных контактов также прослеживается направление - принятие жалоб от граждан. Минцифры России запустило мобильное приложение "Госуслуги Жалобы" для принятия обращений граждан по № 59-ФЗ (имеет уже более 10 тысяч установок из Google Play), а Правительство Москвы создаст мобильное приложение для ИТ-системы "Помощник Москвы", цель которого - подавать жалобы на тех, кто нарушает правила парковки, а также отслеживать больных коронавирусом, нарушающих карантин.

Государственные мобильные приложения могут быть интегрированы с государственными информационными системами, которые, с одной стороны, помогут верифицировать данные о пользователях, а с другой - предоставляя доступ к персональным данным, позволяют составлять цифровые профили, что повышает риски злоупотребления при принятии решений и неправомерного использования данных, в т.ч. по причине возможных утечек.

Дополнительно с 2021 года вступит в силу закон о принудительной предустановке отечественного ПО. Пока до конца неизвестен механизм того, как именно будет реализована предустановка ПО на телефоны, и то, будет ли у пользователя возможность удалять эти приложения.

Отслеживание пользователей через мобильные приложения (мобильный трекинг) - транснациональное явление. Оно заключается в высокой юридической и технической подвижности разработчиков мобильных приложений и сервисов для них. В частности, переключение между серверами от одной страны в другую может осуществляться за доли секунд, замена юрисдикции владельца сервиса чуть сложнее, но также может происходить без особых сложностей. При этом большое число сервисов выстраивают цепочки операторов данных, связанные между собой технологически и, относительно свободно, обменивающиеся информацией пользуясь тем, что не содержат данных, которые ранее не считались персональными.

Все это значительно усложняет не только работу регуляторов, но и приводит к невозможности пользователю знать всех операторов его данных и адекватно защитить свои права.

Проведенное в 2018 году Норвежским обществом потребителей исследование дало анализ популярных приложений для знакомств (т.н. дейтинговых приложений) и вскрыло сеть распространения персональных данных пользователей тысячам компаний, с которыми сотрудничали авторы/владельцы мобильных приложений. Результаты этого и других исследований ложатся в основу расследований и наложения штрафов, которые проводят органы власти, в первую очередь Евросоюза во многих странах, и которые нацелены против использования персональных данных граждан без явного и осмысленного их согласия.

Подобная практика использования бизнес-моделей, основанных на слежке, подробно была рассмотрена Шошанной Зубофф (Shoshana Zuboff) в книге "Надзорный капитализм". Она и другие авторы определяют именно эту бизнес-модель как основную для многочисленных мобильных приложений, как бесплатных, так и коммерческих создаваемых в экосистемах Google и Apple.

В каком-то смысле экосистемы Google и Apple специально созданы именно под эту бизнес-модель, в первую очередь, интегрируя сервисы владельца экосистемы в создаваемые мобильные приложения, выпуская инструменты разработки, использующие эти сервисы и обеспечивающие значительное удобство для разработчиков мобильных приложений использованием большого числа сервисов "из коробки" (без дополнительных усилий и платы).

Коммерческие компании и частные разработчики не единственные используют механизмы слежки за пользователями. По мере развития технологий государственные органы, госучреждения и госкорпорации (далее - разработчики государственных приложений) также начинают проявлять интерес к созданию мобильных приложений.

Такие приложения создаются с разными целями, зачастую определяемыми направлениями цифровизации государственного управления. К ним можно отнести:

• оказание государственных услуг;
• идентификация гражданина;
• информирование и предупреждение о событиях/погоде/происшествиях;
• вовлечение граждан в совместную деятельность, инициативные и волонтерские проекты;
• предупреждение рисков при пандемиях (COVID-19 мониторинг, например);
• и многое другое.

При этом разработчики государственных приложений пользуются теми же инструментами, сервисами и продуктами отслеживания пользователей, что и частные разработчики.

Сложившаяся практика приводит к тому, что в мобильных приложениях, создаваемых разработчиками государственных приложений, присутствует значительное число трекеров, передающих сведения о пользователях третьим сторонам, а сами приложения получают большое число разрешений на телефоне пользователя, тем самым давая возможность как самим приложениям, так и встроенным трекерам получать доступ к ключевым возможностям смартфонов: камере, хранилищу данных и программ, отслеживанию местонахождения и многому другому. И происходит это в условиях отсутствия должного внимания со стороны регуляторов внутри государства, служб контроля качества заказчиков этих приложений, отсутствия методических рекомендаций и иных способов юридического и технического контроля.

Внешние сервисы трекеров, как правило, интегрируются в приложения с помощью специального кода, SDK, предоставляемого сервисом трекинга. Подобный код может быть выявлен с помощью так называемого статического анализа проверки наименований классов (отдельных компонентов) в мобильных приложениях, для чего используются такие инструменты и сервисы, как Exodus Privacy. Эта технология применима к устройствам в экосистеме Google (Android), но ее невозможно применять к устройствам Apple (iOS) по причинам требований Apple DRM, явным образом запрещающем декомпиляцию приложений для этой платформы. Другими, более сложными технологиями, являются системы тестовых стендов с перехватом трафика от мобильных приложений к онлайн сервисам. Например, такой подход использовался Privacy International в исследовании "How Apps on Android Share Data with Facebook".

С учетом этих ограничений, многочисленные общественные организации, общества защиты прав потребителей, экспертные и научные центры, такие как Exodus Privacy, Privacy International, Norway Consumer Council и многие другие, ведут исследования приватности мобильных приложений и экосистем в целом, в основном охватывая экосистему Android.

Правительство РФ через федеральные органы власти, органы власти города Москвы и других субъектов федерации в последние годы значительно активизировались в разработке мобильных приложений. Помимо широкой популярности у приложения портала Госуслуги, имеющего более 10 миллионов установок на устройства пользователей, только Минцифры России распространяется 8 приложений, а Мэрией Москвы - 18 приложений.

Методика исследования

Инструменты

При проведении исследования использовалась база трекеров проекта Exodus Privacy, а также приложение для командной строки Exodus Standalone. APK файлы мобильных приложений были выгружены через API Google Play с помощью специально разработанных для этого скриптов на языке Python.

Данные

Были собраны данные сведения о 44 мобильных приложениях (Приложение 1), созданных органами власти, государственными учреждениями и госкомпаниями. Их поиск осуществлялся по сайтам органов власти, поиска в сети Интернет (Google, Yandex), поиска в Google Play.

По каждому приложению были собраны сведения о запрашиваемых приложением разрешениях и используемом коде мобильных трекеров. Для этого использовалась база Exodus Privacy и сведения, извлекаемые из APK файлов приложений с помощью статического анализа сведений о java-классах в приложениях (Приложение 2).

Собранные данные, за исключением файлов мобильных приложений, опубликованы как открытые данные на портале "Данные НКО" (ngodata.ru).

Принципы формирования результатов

При подготовке данных использовался автоматизированный метод сбора данных о мобильных приложениях, который включает загрузку метаданных о трекерах с портала Exodus Privacy, извлечение APK приложений в соответствии с их кодами в Google Play. Недостающие данные в описаниях трекеров (компания-издатель, описание, юрисдикция) дополнялись вручную на основе общедоступной информации, опубликованной на веб-сайте трекера или компании-издателя трекера (Приложение 3).

При анализе юрисдикций в данном исследовании они были определены по местонахождению компании-владельца трекера и юрисдикции, указанной в базах проекта Exodus Privacy, дополнительно, по итогам сбора сведений о каждом приложении, эта юрисдикация проверялась вручную на основе сведений с сайтов компаний.

Для обнаружения трекеров использовался сервис Exodus Privacy, с помощью которого каждое приложение, выгруженное из Google Play, проходило статический анализ и выявление каждого стороннего трекера. Для всех трекеров были собраны сведения:

• наименование компании владельца/разработчика трекера;
• страна, в юрисдикции которой находится владелец/разработчик трекера.

Итоговые данные сводились с помощью написанных скриптов на языке Python и были перепроверены вручную.

За рамками исследования:

• В данном исследовании не анализировался трафик мобильных приложений. Это представляет ограничение и проблему следующего характера: без динамического анализа сетевого трафика всех приложений мы не можем точно утверждать, какие данные отправляются в каждый трекер. Различные трекеры служат разным целям. Без дальнейших тонких различий между такими целями, представленные цифры не могут иллюстрировать все разнообразие отслеживания данных третьими сторонами и возможных последствий.
• Не измерялись масштабы сбора персональных данных разработчиками самих приложений, в первую очередь из-за невозможности воспроизвести все ситуации, в которых приложения могут применяться и юридических ограничений по полной декомпиляции приложений.
• Данные о трекерах собраны на основе общедоступной информации, без каких-либо внутренних знаний о сборе данных экосистем. Исследования ограничены сведениями о том, какие конкретно данные и куда они передаются, передаются ли они дальше компаний-издателей третьим сторонам.
• Приложения не анализировались на наличие рекламного идентификатора Android в исходном коде и не сопоставлялись с кодом трекеров.

Результаты анализа

В результате анализа было выявлено что:

• 39 из 44 мобильных приложений используют сторонние отслеживающие трекеры;
• 38 из 44 мобильных приложений используют сторонние сервисы, находящиеся юридически и инфраструктурно вне российской юрисдикции (США и Япония);
• 19 приложений (43%) передают данные как минимум 3 сторонним компаниям
• наиболее популярный трекер Google Firebase Crashlytics используется для отслеживания сбоев в работе приложения;
• 5 приложений не использовали ни одного стороннего трекера - это: ЕГР ЗАГС, Госуслуги.Дороги, Липецкая область, HISTARS, Работа в России.

Трекеры

Трекеры - это технологии отслеживания, которые разработчики приложений используют для добавления функциональности приложений от сторонних сервисов: авторизация с помощью почты или соцсетей, аналитические метрики, сбор ошибок, оценка производительности и др. Код трекера интегрируется в исходный код приложения, получая таким образом доступ к данным мобильного устройства.

Трекеры передают собранные данные третьей стороне - непосредственно своей компании-издателю, и могут использоваться для скрытого сбора данных, а затем перепродажи данных. Трекеры дают издателям представление о том, как используются их сервисы. Для явного обнаружения скрытой передачи данных и конечных получателей данных необходимы технические испытания генерируемого трафика приложений.

При разработке в мобильных приложениях используют готовые комплекты для разработки программного обеспечения (SDK), разрешения (permissions) для доступа к данным и функциям устройства для корректной работы, а также в них может быть встроен специальный отслеживающий код (трекер), разработанный третьими лицами.

По итогам анализа всех приложений сторонние трекеры были обнаружены в большинстве из них, в 39 из 44 (89%) приложениях были обнаружены сторонние отслеживающие трекеры. В общей сложности было обнаружено 20 уникальных трекеров. При этом было выявлено 5 приложений, которые не имеют ни одного встроенного трекера: ЕГР ЗАГС, Госуслуги.Дороги, Липецкая область, HISTARS, Работа в России.

A Flourish sankey chart

Рис 1. Связи и пересечения, наблюдаемые для государственных мобильных приложений и установленных в них трекерах

19 приложений (43%) передают данные как минимум 3 сторонним компаниям - владельцам отслеживающих трекеров. Наибольшее число трекеров было обнаружено в приложениях Moscow transport (10 трекеров) и Мои документы онлайн (9 трекеров), чему трудно найти обоснование с учетом того, что каждый из этих трекеров создает дополнительные ограничения при использовании приложения, "отнимая" часть процессорного времени, трафика и памяти у устройства.

Наиболее часто встречаются трекеры компании Google, что, можно предположить, связано с инструментами разработки, предлагаемыми компанией, которая и является владельцем и строителем экосистемы приложений на Android. В частности, трекеры Google Firebase Analytics и Google CrashLytics используются, в первую очередь, для отслеживания работы приложений и помогают разработчикам при отладке их мобильных приложений.

Самым популярным российским трекером, принадлежащим компании "Яндекс", является трекер AppMetrica. Этот трекер установлен в 16 приложениях (36%).

Половина используемых трекеров в государственных мобильных приложениях относится к аналитическому типу. Они предназначены для сбора данных о пользователях и предоставления разработчикам трекеров аналитики по их поведению, действиям и тому подобного по каждому пользователю и по отдельным сегментам.

15% трекеров используются для сбора данных о геолокации и еще 15% - это трекеры рекламных сетей, предназначенные для таргетирования рекламы.

Юрисдикции трекеров

Юрисдикция трекера - это юрисдикция компании, которая является владельцем/разработчиком сервера трекера. Как правило это страна местонахождения штаб-квартиры, но на практике юрисдикция должна быть указана явным образом в соглашении о конфиденциальности и условиях использования сервиса. Юрисдикция определяет то, законами какой страны/территории руководствуется данная организация. Например, на компании в Евросоюзе распространяются требования GDPR, компании в России - закон о персональных дагнных в РФ, в США - зависит от штата и так далее. Главная значимость юрисдикции в правах граждан на доступ к информации.

Другая особенность юрисдикций трекеров - это соблюдение требований местных правительств и специальных служб о доступе к данным. Например, трекеры в Швейцарии могут предоставлять данные только по решению суда, в то время как компании в США, Евросоюзе, России и других странах обязаны это делать в соответствии со своим законодательством, как правило, не требующим от специальных служб судебного решения.

При передаче данных в ту или иную юрисдикцию допустимо исходить из того факта, что, при необходимости, правоохранительные органы и специальные службы этих стран имеют возможность и право на доступ к переданным туда сведениям.

За каждым из сторонних трекеров всегда стоит юридическое лицо, компания, сервера которой, условия использования и политика приватности привязаны к конкретной стране.

На основе анализа юрисдикций сторонних трекеров было выявлено что 38 из 44 приложений (86%) имеют встроенные сторонние трекеры, принадлежащие иностранным юрисдикциям. Подавляющее большинство находится в юрисдикции США, один трекер - в юрисдикции Японии.

 

Таблица 1. Трекеры приложений и каким юрисдикциям они принадлежат (Приложение 4)

Название приложения	Создатель приложения	Количество трекеров, принадлежащих иностранным юрисдикциям	Название трекеров	Юрисдикции
Московский транспорт	Департамент транспорта Москвы	9	Google CrashLytics, Google Analytics, Google Firebase Analytics, Facebook Analytics, Facebook Login, Facebook Share, Google Tag Manager, Amplitude, Mapbox	США
Мои Документы Онлайн- все МФЦ, оплата и госпошлина	Electronic Store	8	Google CrashLytics, Google Analytics, Google Firebase Analytics, Facebook Analytics, Facebook Login, Facebook Places, Facebook Share, Google Tag Manager	США
Добродел	Правительство Московской Области	5	Google CrashLytics, Google Firebase Analytics, Facebook Analytics, Facebook Login, Facebook Share	США
Услуги РТ	ООО "Управление Информационными Проектами"	4	Google Analytics, Google Firebase Analytics, Google Tag Manager, Google Analytics Plugin (Cordova)	США, Япония
Активный гражданин	Информационный город ГКУ	4	Google CrashLytics, Google Analytics, Google Firebase Analytics, Google Tag Manager	США
Парковки Москвы	Департамент транспорта Москвы	4	Flurry, HockeyApp, Google CrashLytics, Google Firebase Analytics	США
Госуслуги Санкт-Петербурга	СПБ ГУП "СПБ ИАЦ"	3	Flurry, Google CrashLytics, Google Firebase Analytics	США
Госуслуги Москвы	Информационный город ГКУ	3	Google CrashLytics, Google Firebase Analytics, Facebook Login	США
Наш город	Информационный город ГКУ	3	Flurry, Google CrashLytics, Google Firebase Analytics	США
Проверка чеков ФНС России	ФНС России	3	Google Firebase Analytics, Microsoft Visual Studio App Center Crashes, Microsoft Visual Studio App Center Analytics	США
МВД РОССИИ	Министерство внутренних дел Российской Федерации	3	Google CrashLytics, Google Analytics, Google Tag Manager	США
Госуслуги Югры	Депинформтехнологий Югры	3	Google Firebase Analytics, Mapbox, Google AdMob	США
Учет посещаемости	Информационный город ГКУ	2	Google CrashLytics, Google Firebase Analytics	США
Госуслуги СТОП Коронавирус	Минцифры России	2	CrashLytics, Google Firebase Analytics	США
ПФР Электронные сервисы	ПФР	2	Google CrashLytics, Google Firebase Analytics	США
ЕМИАС.ИНФО	ГКУ ИАЦ в сфере здравоохранения города Москвы	2	Google Firebase Analytics, Google AdMob	США
Check Covid-19	Информационный город ГКУ	2	Google Firebase Analytics, Google AdMob	США
Иду в музей	Информационный город ГКУ	2	Google Firebase Analytics, AltBeacon	США
Налоги ФЛ	ФНС России	2	Google Firebase Analytics, Google AdMob	США
АнтиКонтрафакт Алко	Росалкогольрегулирование	2	Google CrashLytics, Google Firebase Analytics	США
Личный кабинет предпринимателя	ФНС России	2	Google Firebase Analytics, Google AdMob	США
ЕИС	Казначейство России	2	Google Firebase Analytics, Google AdMob	США
Госуслуги Красноярского края	Министерство цифрового развития Красноярского края	2	Google CrashLytics, Google Firebase Analytics	США
Дневник МЭШ	Информационный город ГКУ	2	Google Firebase Analytics, Google AdMob	США
Моя Москва - официальное приложение портала mos.ru	Информационный город ГКУ	2	Google CrashLytics, Google Firebase Analytics	США
Электронный дом Москва	Информационный город ГКУ	2	Google CrashLytics, Google Firebase Analytics	США
Библиотека МЭШ	Информационный город ГКУ	2	Google CrashLytics, Google Firebase Analytics	США
Социальный мониторинг	Информационный город ГКУ	2	Google CrashLytics, Google Firebase Analytics	США
Госуслуги	Минцифры России	2	Google Firebase Analytics, Google AdMob	США
ФССП	Сайтсофт	2	Google CrashLytics, Google Firebase Analytics	США
Следственный комитет РФ	Сайтсофт	2	Google CrashLytics, Google Firebase Analytics	США
Мой Мосэнергосбыт	Integrator IT	2	Google CrashLytics,Google Firebase Analytics	США
Мой Налог	ФНС России	1	Google Firebase Analytics	США
Госуслуги.Дети	Минцифры России	1	Google Firebase Analytics	США
Я - инспектор	Федеральная служба по труду и занятости	1	Microsoft Visual Studio App Center Analytics	США
Карта жителя НО	Мининформ Нижегородской области	1	Google Firebase Analytics	США
Zaryadye	Информационный город ГКУ	1	Estimote	США
Госуслуги Московской области	Правительство Московской Области	1	Google Firebase Analytics	США

Таблица 2. Юрисдикции трекеров и их количество

Юрисдикции трекеров	Количество приложений
США	38
Россия	16
Япония	1

Можно обратить внимание, что из российских сервисов сторонних трекеров преобладает сервис AppMetrika от компании Яндекс. Это может быть связано как с незрелостью российского аналитического и рекламного рынка и отсутствием сервиса мониторинга работы приложений для разработчиков, так и с отсутствием методических рекомендаций по использованию российских сервисов.

Разрешения

Разрешения - это те права, которые получает мобильное приложение на вашем устройстве. Эти права могут быть неопасными, не связанными с доступом к личными данным, например, получение приблизительных сведений о местонахождении, а могут нести потенциальную угрозу слежки или злонамеренного использования, например доступ к точным координатам или же к камере устройства.

Некоторые приложения зависят от доступа к конфиденциальной информации пользователя, связанной с журналами вызовов, хранилищем и SMS-сообщениями. Разрешения необходимы для работы приложения, однако приложения могут запрашивать и собирать избыточное (излишнее) количество данных.

К потенциально опасным разрешениям относятся разрешения, которые могут повлиять на конфиденциальность пользователя или работу устройства в соответствии с уровнями защиты Android от Google (для Android 6.0, уровень API 23). Пользователь должен в явно выраженном виде дать согласие на предоставление доступа этим разрешениям. К ним относятся доступы к камере, контактам, календарю, данным о приблизительном или точном местоположении, микрофону, датчикам, хранилищу, совершению звонков, отправке SMS и другие.

При проведении исследования в 44 приложения было выявлено 88 разрешений, из которых 12 относятся к потенциально опасным согласно списку уровней защиты для Android от Google.

Все приложения запрашивают как минимум по 5 разрешений на доступ к данным и функциям устройства, значительная часть этих разрешений являются безопасными и не требуют особого внимания. Все 44 приложения запрашивают доступ к интернету и не могут работать в автономном режиме.

Все приложения из выборки используют хотя бы одно потенциально опасное разрешение. Например, приложение ДИТ Москвы "Учет посещаемости" запрашивает доступ к камере, а приложение "Госуслуги Красноярского края" хочет совершать телефонные вызовы.

Из списка потенциально опасных разрешений приложения чаще всего запрашивают:

• доступ на чтение и запись во внешнее хранилище данных;
• доступ к точному и приблизительному местоположению;
• доступ к камере;
• получение информации об устройстве.

Таблица 3. Какие небезопасные разрешения используются и их количество

Название небезопасного разрешения	Количество приложений
Запись во внешнее хранилище данных	38
Доступ к точному местоположению	34
Чтение внешнего хранилища памяти	33
Доступ к камере	31
Доступ к приблизительному местоположению	25
Получение информации об устройстве (определяет номер телефона и идентификатор устройства)	10
Доступ к вызову	9
Запись в календарь	7
Чтение календаря	6
Запись аудио	5
Чтение контактов	2
Получение информации об аккаунтах	1

Таблица 4. Другие разрешения приложений

(https://www.infoculture.r...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Sat, 30 Jan 2021 10:15:27 +0300 waplaw 620630 https://www.news2.ru/story/619716/

В сети РЖД обнаружилась гигантская брешь, позволяющая даже обычным пользователям проникать в нее и получать доступ к критически важным системам. Они смогут подключаться к информационным табло на перронах, системам вентиляции и даже к камерам наблюдения, а опытный хакер получит возможность вывести их из строя на несколько дней или недель.

 

Взлом РЖД

ИТ-сеть "Российских железных дорог" (РЖД) оказалась максимально уязвимой к взлому и проникновению даже пользователями, не имеющими большого опыта в хакерстве. Это доказал пользователь Habr под псевдонимом Mysterious grey-hat hacker Alexey (@LMonoceros) из Новосибирска.

LMonoceros искал в интернете незащищенные прокси, но вместо них нашел открытый доступ значительной части компьютерной сети РЖД - к тысячам камер наблюдения (на путях и в офисах), IP-телефонам и FreePBX- и IPMI-серверам, а также к целому ряду внутренних сервисов и систем компании, например, к системе управления кондиционированием и вентиляцией помещений, доступ к которой извне, в теории, осуществляться не должен. Он смог подключиться даже к системам управления табло на перронах и целому парку различных сетевых устройств.

В их числе были и многочисленные роутеры, часть которых работала на устаревшем ПО и без паролей, что открывает еще больший простор для "творчества".

Камеры РЖД может просматривать любой желающий

По мнению LMonoceros, у РЖД не работает система безопасности. Он отметил отсутствие системы обнаружения вторжения, межсетевых экранов, а также политики управления паролями, поскольку множество сетевых устройств работают в сети компании без них.

Возможные последствия

LMonoceros подсчитал, к чему может привести открытый доступ к сети госкомпании на примере камер наблюдения. По его данным, в сети РЖД около 10 тыс. камер приблизительно от 10 производителей, стоимость случайно выбранной из списка - в пределах 13 тыс. руб. Он рассчитал, что на вывод из строя всех этих камер, с учетом повторяющихся моделей и вендоров, у гипотетического хакера уйдет не больше недели, и в итоге он нанесет ущерб компании как минимум на 130 млн руб.

Программа для работы с информационными табло

Оперативно заменить тысячи и тем более десятки тысяч камер РЖД не сможет - часть она возьмет из запасов, но основную массу придется закупать путем объявления торгов. Это означает, то российские ЖД-пути и сопутствующие помещения будут без видеонаблюдения, по подсчетам LMonoceros, не меньше месяца. "А вот это уже опасность террористической угрозы. Чтобы ее хоть как-то снизить потребуется на 10 тыс. объектов существенно усилить охрану. То есть даже на маленькую ЖД-станцию потребуется дополнительно шесть человек охраны. Кажется, счет уже уходит на миллиарды", - добавил он.

Помимо этого, LMonoceros оказался не единственным, обнаружившим гигантскую брешь в сети РЖД. Он выявил определенные доказательства того, что в ней присутствует как минимум один посторонний. "Очень много признаков, что в этой сети кто-то "живет"", - написал он.

Комментарий РЖД

Представители РЖД отреагировали на публикацию LMonoceros, сообщив CNews, что утечки персональных данных клиентов компании после "возможного" проникновения в сеть одного ее из подразделений компании не было. "РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет", - рассказали CNews в компании.

В РЖД утверждают, что персональным данным ее клиентов ничего не угрожает

"РЖД непрерывно совершенствует собственную ИТ-инфраструктуру - одну из самых масштабных в России - тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной ИТ-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением", - отметили представители РЖД.

Громкий взлом через Wi-Fi "Сапсана"

В ноябре 2019 г. РЖД столкнулась с не менее серьезным случаем взлома. Пользователь Habr @keklick1337 из Москвы сумел проникнуть во внутреннюю сеть компании через Wi-Fi поезда "Сапсан", о чем написал 15 ноября 2019 г.

Сделал он это прямо со своего мобильного устройства, находясь в салоне поезда. "Все настроено ужасно, одинаковые пароли везде - признак хорошего админа, и хранение данных в текстовых документах тоже гуд. ... Все, кто подключен к их Wi-Fi подвержены снифу трафика, ибо все идет через их прокси, можно легко собирать HTTP-трафик, но если чуть постараться, то и HTTPS (проверено). К данным пассажиров рейса получить доступ не составляет труда, и занимает это от силы 20 минут", - написал @keklick1337.

"Сапсан" оказался не только быстрым, но и "дырявым" поездом

Он добавил также, что несколько лет назад уже обращался в РЖД с сообщением об уязвимости в ее сети. "Они побрили меня с выплатой и просто исправили ее, так что отношение у меня к ним не ахти", - подытожил @keklick1337.

В конце ноября 2019 г., по информации РИА "Новости", специалисты РЖД провели проверку сети и не обнаружили в ней уязвимостей, так или иначе влияющих на утечку критических данных. Об этом сообщил лично директор РЖД по информационным технологиям Евгений Чаркин, занявший эту должность в декабре 2015 г.

"Почему удалось взломать? Наверное, потому что злоумышленник. Наверное, из-за "фана". Юный натуралист", - добавил тогда Чаркин. Он сообщил, что после этого случая будет проведена некая дополнительная работа.

(https://safe.cnews.ru/new...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Thu, 14 Jan 2021 09:23:03 +0300 ramstor 619716 https://www.news2.ru/story/619603/ Твиттер опубликовал статистику по количеству уничтоженных аккаунтов с прошлой пятницы.

На текущий момент оно составляет 70 тысяч и продолжает расти.

Официальная формулировка причины - "аккаунты были вовлечены в публикацию содержимого, ассоциированного с QAnon, и занимались распространением конспирологических теорий".

То есть теперь для уничтожения аккаунта достаточно обвинить в "конспирологической теории", причем даже без указания конкретной теории, чтобы сторонний наблюдатель сам мог оценить адекватность теории (а также ее критиков).

Полный текст релиза (на английском)

(https://blog.twitter.com/...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Tue, 12 Jan 2021 11:00:35 +0300 X86 619603 https://www.news2.ru/story/619050/

Руководство Центра спецназначения по обеспечению безопасности движения МВД три года собирало секретные данные маршрутов движения первых лиц России через чаты в WhatsApp. Об этом рассказали Би-би-си двое бывших и один действующий сотрудник Центра. Среди объектов госохраны, которых сопровождает спецбатальон, - президент, премьер, председатель Совфеда, руководство Совбеза, ФСБ, лидеры иностранных государств.

Центр спецназначения по обеспечению безопасности движения (ЦСН БДД, далее Центр) входит в структуру МВД России. У Центра есть свой институт, батальон сопровождения, рота с инспекторами ДПС, отдел регистрации.

Центр занимается профилактикой и контролем безопасности на дорогах на крупных международных мероприятиях - от чемпионата мира по футболу до Универсиады в Красноярске.

Но важнейшая задача Центра - сопровождать кортежи первых лиц страны.

Вместе с ФСО и ведомственными службами безопасности они расчищают маршруты и сопровождают кортежи так называемых ОГО - объектов госохраны - от президента до руководителя ФСБ, а также лидеров иностранных государств, посещающих Россию.

Как маршруты Путина попали в WhatsApp

В конце 2016 года командиром спецбатальона ЦСН БДД стал полковник полиции Анатолий Макаренков.

В конце декабря телеграм-канал "ВЧК-ОГПУ" рассказал, что после занятия руководящей позиции в Центре полковник велел командирам всех восьми взводов спецбатальона собирать секретные данные о передвижениях первых лиц.

Информацию об этом распоряжении Би-би-си подтвердили бывшие сотрудники Центра - старший инспектор майор Василий Ветитнев и один из отставных офицеров, служивших в спецбатальоне.

Приказ о сборе данных подтвердил Би-би-си и действующий сотрудник центра, не уполномоченный давать официальные комментарии и попросивший об анонимности.

Фабулу этой истории Ветитнев изложил в жалобе генпрокурору Игорю Краснову в ноябре. Би-би-си ознакомилась с копией его заявления. Из рассказа майора следует, что полковник требовал от каждого командира взвода создать совместный с подчиненными групповой чат в WhatsApp и передавать туда информацию из кодовой таблицы о своем местонахождении и передвижении объектов госохраны.

 

Многим сотрудникам спецбатальона не нравилась передача данных о кортежах в мессенджере

Эти чаты с ежедневно обновляемыми данными о маршрутах первых лиц существуют уже три года. По словам сотрудников спецбатальона, в них числится более 200 человек.

В таблицах в чатах есть позывные объектов госохраны, номера их машин, время проезда кортежа, пункты назначения и фамилии инспекторов в экипажах сопровождения.

В жалобе генпрокурору Ветитнев так описал ситуацию:

"Штаб-квартира компании WhatsApp находится в США, методы шифрования и безопасность при отправке сообщений неизвестны, также можно сделать скриншот и информация будет доступна третьим лицам, поэтому руководство ЦСН БДД МВД России (Ермаков В.Н. и Макаренков А.А.), отдавшее распоряжение о создании групп в WhatsApp для контроля нахождения сотрудников СБ, само нарушило режим секретности и Федеральный закон РФ <...> „О государственной тайне", подвергло и подвергает [риску] безопасность руководство Российской Федерации и объектов государственной охраны, и подлежит серьезному служебному разбирательству".

Борьба с недовольными

Ветитнев и другой собеседник Би-би-си - действующий сотрудник спецбатальона - отмечают, что их вынуждали передавать данные о кортежах первых лиц в WhatsApp под давлением. В том числе под угрозой лишения ежегодных премий - более 100 тысяч рублей.

"Я и многие сотрудники [спецбатальона] выражали недовольство этими требованиями, однако Макаренков наши жалобы игнорировал. И на тех сотрудников, которые проявляли недовольство, давили - и психологически, и по службе, много вариантов было вплоть до увольнения. С этой ситуацией столкнулся и я", - рассказал Ветитнев Би-би-си.

Сейчас майор судится в Мосгорсуде с МВД - в конце сентября его временно отстранили от службы, а через два месяца, в декабре, - уволили. На сайте Мосгорсуда карточки дела нет - в связи с секретностью предмета спора.

 

Ветитнева отстранили под предлогом нарушений при работе с секретными сведениями - после того как начальник Центра Ермаков приказал ему вывернуть карманы и обнаружил у него бумажку с кодовой таблицей с расшифровкой сообщений о маршрутах.

Ветитнев считает приказ незаконным, так как эти таблицы ему выдало начальство, он их никому не передавал. Да и вообще никто не распоряжался о том, что эти кодировки маршрутов следует выучить наизусть и уничтожить.

В иске он упирает на то, что таблицы используют все инспекторы спецбатальона при сопровождении кортежей первых лиц - это необходимая часть их работы, при передвижении на большой скорости тяжело вспомнить все коды маршрутов. А ошибка с расшифровкой кода (например, перепутать поворот направо и налево) чревата угрозой для безопасности первых лиц.

В разговоре с Би-би-си майор связал отстранение со своим явным недовольством приказом о передаче данных о кортежах через WhatsApp. В иске он рассказывает про свой 20-летний стаж в МВД, медали "За отличие в службе" II и III степени. Ветитнев продемонстрировал Би-би-си многочисленные ведомственные благодарности и почетные грамоты.

Он представил Би-би-си и пленку разговора с Макаренковым, где при обсуждении увольнения затронул тему приказа передавать данные в мессенджере. Судя по записи, замначальника ЦСН БДД осведомлен о существовании подобных чатов, но отрицает, что давал приказ собирать данные о кортежах.

Начальник Центра Валерий Ермаков отказался разговаривать с корреспондентом Би-би-си, предложив направить запрос в управление общественных связей МВД: "Я ни на какие вопросы отвечать не буду и комментарии давать не буду". Макаренков не ответил на звонки и сообщения Би-би-си. Би-би-си также обратилась с запросом в МВД и ожидает ответа.

Ответа на жалобу в генпрокуратуру по существу Ветитнев за полтора месяца так и не получил - надзорный орган спустил жалобу на инстанцию ниже, в прокуратуру Москвы.

В чем здесь нарушение закона

На практике секретные данные о передвижениях объектов госохраны должны передаваться по спецсвязи (для этого выделяются специальные радиостанции) только сотрудникам Федеральной службы охраны (ФСО) и дежурному спецбатальона.

Ветитнев предполагает, что Макаренков организовал сбор данных именно через командиров взводов, поскольку регулярные личные запросы к дежурному вызвали бы подозрения.

Макаренков - уроженец Калужской области. До этого много лет он прослужил инспектором на "первой спецтрассе" - у Кремля, где, по мнению опрошенных Би-би-си сотрудников спецбатальона, мог завязать связи с высокопоставленными чиновниками и силовиками.

Многих знакомых по службе он привел в ЦСН БДД, собирая жалобы на нелояльные ему кадры и постепенно увольняя их, говорит Би-би-си Ветитнев.

 

Впрочем, все собеседники Би-би-си из спецбатальона затрудняются объяснить подоплеку такого серьезного интереса полковника к сбору секретных сведений. В ответ на вопросы подчиненных о целесообразности чатов в WhatsApp Макаренков ссылался на усиление контроля за сотрудниками и антикоррупционные меры.

Но как связан проезд кортежей первых лиц страны и антикоррупционные меры внутри спецбатальона - неясно.

"Мне кажется, передача информации о передвижениях первых лиц государства в иностранный мессенджер WhatsApp подвергает опасности руководство нашего государства, и поэтому я решил обратиться к журналистам", - объяснил Ветитнев Би-би-си.

Чем чревата утечка данных о кортежах

Для начала необходимо разобраться, выясняет ли Макаренков только местонахождение подчиненных или интересуется маршрутами передвижения высших лиц, прокомментировал Би-би-си генерал-майор ФСБ в отставке Александр Михайлов.

"Надо понять, что он контролирует. Сейчас, когда появились новые технологии, все с резьбы слетели, [просят]: „А сфотографируй себя, где ты находишься", - сказал Михайлов Би-би-си. - Тему должны изучить управления собственной безопасности МВД и ФСО, чтобы понять, с какой целью он [Макаренков] это делает".

Если сведения о кортежах носят секретный характер, то руководству Центра грозит дисциплинарная ответственность и отстранение от службы, прогнозирует адвокат Вадим Багатурия, бывший сотрудник Следственного комитета при прокуратуре.

В ФСО должны определить, не являются ли действия Макаренкова избыточными и не нанесут ли они ущерб безопасности охраняемых лиц, добавил Михайлов.

В то же время генерал ФСБ признает устаревание прежней формы контроля - через звонок в дежурную часть. В ней есть дополнительное звено, а в чате WhatsApp "достаточно кнопку нажать".

Александр Коржаков, бывший начальник службы безопасности Бориса Ельцина, в разговоре с Би-би-си вспомнил, что при нем в 1990-е годы было всего шесть объектов госохраны, включая президента: "Сейчас уже больше 40 объектов, и непонятно, каких... [людей] там охраняют. Если бы они пользу для страны хотя бы маленькую приносили..."

(https://www.bbc.com/russi...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Fri, 01 Jan 2021 10:40:02 +0300 X86 619050 https://www.news2.ru/story/618583/

19 декабря 2020 года состоялся финал IV Кейс-чемпионата по ИБ RISC. В 2020 году из-за ограничений, связанных с распространением коронавирусной инфекции, чемпионат полностью прошел в онлайн-формате. По итогам двух этапов конкурса победителями Чемпионата стала команда "КБУ" Челябинского радиотехнического техникума. Второе место заняла команда "НеSOCрушимые" Сибирского государственного университета науки и технологий имени академика М.Ф. Решетнева. Третье - команда "C-S" Иркутского национального исследовательского технического университета. В первом отборочном туре приняли участие 118 команд, 6 из которых были допущены до финала. В конкурсе капитанов победителем стал Анашкин Егор - капитан сборной "НеSOCрушимые" Сибирского государственного университета науки и технологий имени академика М.Ф. Решетнева.

Традиционно конкурсные задания участников Чемпионата оценивали руководители служб безопасности крупнейших российских компаний. "В этом году, не смотря на смену формата, все финалисты выступили очень достойно. Знания - на высочайшем уровне. И судить с каждым годом становится все сложнее. Среди судей в этот раз было много споров. Мы старались учесть презентацию команды, количество выступающих от команды, ответы на дополнительные вопросы и прочие моменты. Было очень здорово. Ребята - большие молодцы. Каждому из вас желаю удачи. Большое спасибо организаторам за возможность принять участие в чемпионате уже во второй раз. Для меня это большая честь", - поделился Александр Виноградов, член жюри, руководитель рабочей группы в составе комитета: Защита информации и безопасность инфраструктуры в платежных системах НП "НПС".

"Несмотря на то, что для RISC это уже четвертый чемпионат, чемпионат в 2020 году стал особенным, и многое для нас было впервые. Впервые, из-за сложной эпидемиологической ситуации, финал чемпионата мы полностью провели в онлайн. Впервые, мы пригласили к участию студентов средних специальных учебных заведений. И как показал финал, мы сделали это не зря. И наконец, в 2020 году мы побили рекорд по количеству участников - 118 команд из 22 городов. Для сравнения, в 2018 году мы собрали 114 команд из 11 городов России. География наша расширяется. Это было что-то невероятное от начала до конца. Спасибо всем членам жюри, ведущим, спонсорам, каждому участнику чемпионата! Вы - лучшие!", - поделилась Мария Сидорова, руководитель ассоциации RISC.

"Мероприятие прошло отлично. Выступления команд демонстрирует качественную подготовку в своих учебных заведениях. Особо выделю подготовку Челябинской команды. Поздравляю победителей!", - добавил Евгений Царев, ведущий Чемпионата, Управляющий RTM Group.

"Наша команда впервые участвуют в профильном Чемпионате по ИБ и для нас это был очень крутой опыт. Возможность оценить свои знания применяя их на практике в решении кейса - это бесценно! Получив призовое место, мы получили мощнейший заряд и мотивацию для дальнейшей прокачки наших навыков в области ИБ. Отдельную благодарность хотелось бы адресовать организаторам, что смогли провести этот Чемпионат в столь непростых условиях. Также невозможно не отметить профессионализм и работу экспертов, которые во время защит и по ходу всего конкурса давали нам объективную оценку наших знаний и умений!", - добавил Ашимов Султан, капитан команды C-S, Иркутский национальный исследовательский технический университет.

"Хотелось бы выразить огромную благодарность организаторам данного Кейс-чемпионата, что они несмотря на пандемию, смогли объединить столько команд и столько городов для такой интересной борьбы. Участие в чемпионате такого уровня несомненно это увлекательно, интересно, да ещё и колоссальный опыт как в решении ситуаций по информационной безопасности, так и в совместной работе в команде. А впереди у нашей команды будет плодотворный год подготовки к V Кейс-чемпионату по ИБ RISC, в котором мы обязательно примем участие и поборемся за почётное первое место.", - отметила Владислава Фомичева, член команды "НеSOCрушимые", Сибирский государственный университет науки и технологий имени академика М.Ф. Решетнева.

Победители кейс-чемпионата были награждены почетными кубками и медалями, а также призами от организаторов и партнеров конкурса. В этом году специальным призом Чемпионата стали билеты на международную конференцию РусКрипто 2021 с оплаченным проживанием в Солнечный Park Hotel SPA. RISC выражает огромную признательность всем членам жюри, ведущему конкурса, а также спонсорам проекта - компаниям "Альтирикс системс", Deiteriy, "Академия информационных систем" - за доверие и поддержку IV Кейс-чемпионата по ИБ RISC.

(http://www.risc.today/)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Fri, 25 Dec 2020 11:52:05 +0300 perfectraise 618583 https://www.news2.ru/story/617947/

В США при поддержке иностранного правительства хакерская группа сумела получить доступ к системе министерства финансов и Национального управления по телекоммуникациям и информации и похитить их данные.

Об этом сообщает со ссылкой на свои источники информационное агентство Reuters.

"Правительство Соединенных Штатов осведомлено об этих сообщениях, и мы предпринимаем все необходимые шаги для выявления и устранения любых возможных проблем, связанных с этой ситуацией", - заявил официальный представитель Совета нацбезопасности Джон Уллит.

В данный момент в разведке США присутствуют опасения, что хакеры, нацелившиеся на министерство финансов и Национальное управление по телекоммуникациям и информации министерства торговли, использовали аналогичный инструмент для проникновения в другие правительственные учреждения.

К тому же в издании рассказали, что взлом настолько серьезен, что привел к заседанию Совета национальной безопасности в Белом доме.

(https://strana.ua/news/30...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Mon, 14 Dec 2020 20:30:02 +0300 ramstor 617947 https://www.news2.ru/story/617494/ Специалисты фирмы CyberMDX обнаружили, что более 100 моделей медицинских устройств производства General Electric Healthcare поставляются со скрытыми аккаунтами, которые имеют одинаковые учетные данные по умолчанию и могут быть использованы посторонними. Среди затронутых проблемой устройств: компьютерные томографы, рентгеновские аппараты, специализированные МРТ-системы. "Невидимые" пользователям учетные записи включены в прошивки устройств и используются серверами GE Healthcare для подключения к локальным девайсам и их обслуживания, запуска проверок работоспособности систем, получения логов, загрузки обновлений и так далее. Так по данным CyberMDX, скрытые учетные записи предоставляют доступ к следующим сервисам и функциям:

• FTP (порт 21): используется для получения исполняемых файлов с сервера обслуживания;
• SSH (порт 22);
• Telnet (порт 23): используется сервером обслуживания для выполнения шелл-команд;
• REXEC (порт 512): используется сервером обслуживания для выполнения шелл-команд.

Список уязвимых устройств можно увидеть здесь.

Проблема в том, что все эти аккаунты используют одни и те же учетные данные по умолчанию, которые можно без труда найти в интернете и злоупотреблять ими, получив доступ к системам и собрав личные данные пациентов. Специалисты говорят, что им пока неизвестно о каких-либо злоупотреблениях этой проблемой, однако это еще не означает, что таковых не было.

В настоящее время инженеры GE Healthcare стараются помочь больницам и другим поставщикам медицинских услуг перенастроить все проблемные устройства, на которых присутствуют такие учетные записи. Компания советует клиентам связаться со своей службой поддержки, чтобы изменить пароли от этих жестко закодированных аккаунтов (сделать это, к сожалению, могут только сотрудники GE Healthcare).

Единственной хорошей новостью в данных обстоятельствах является то, что, по данным CyberMDX, для использования таких учетных записей и получения доступа к устройству злоумышленник должен иметь доступ к внутренней сети больницы. Эксперты подчеркнули, что не обнаружили случаев, когда проблемные устройства были бы доступны через интернет.

(https://xakep.ru/2020/12/...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Wed, 09 Dec 2020 01:53:00 +0300 bitcoin2007 617494 https://www.news2.ru/story/615915/

Американские соцсети регулярно оказываются в эпицентре различных скандалов, связанных с незаконной блокировкой, цензурой и утечкой информации.

Так, на днях стало известно, что Twitter заблокировал публикацию New York Post о темном прошлом Хантера Байдена - сына победителя последних президентских выборов США Джо Байдена. Также отличился и Facebook, который не стал блокировать статью, но ограничил ее распространение.

Однако если раньше подобные вещи сходили руководству соцсетей с рук, то на этот раз им пришлось давать показания перед Судебным комитетом Сената.

В ходе заседания гендиректор Twitter Джек Дорси признал неправомерность действий своей компании. В свое оправдание он заявил, что пару лет назад соцсеть уже блокировала несколько текстов вышеназванного СМИ, так как они якобы были получены путем взлома. Позже IT-гигант признал, что это было ошибочное решение и попросил издание удалить твит со статьями, а затем опубликовать их заново. СМИ, в свою очередь, отказались это сделать и требовали просто отмены блокировки. Однако, как утверждает Дорси, такой процедуры в Twitter на тот момент не было, поэтому аккаунт издания остался заблокированным.

Стоит отметить, что согласно разделу 230 Закона о порядочности в коммуникациях, соцсети не несут ответственности за заявления, опубликованные пользователями, так как сами не создают данный контент или не редактируют его, как это имеют право делать СМИ. Однако многие в США убеждены, что, блокируя определенный контент, как, например, статью New York Post, они принимают редакционные решения.

Во избежание подобных ситуаций в будущем Дорси предложил расширить 230 раздел.

Любопытно, что если бы такая же ситуация произошла с российским СМИ, то руководство американских сетей вообще никак бы на это не отреагировало. Они чтят лишь законы своей страны. В связи с этим возникает вполне законный вопрос - а не пора ли в РФ создать собственные соцсети и поисковики? Очевидно, что только так можно обеспечить безопасность государственного суверенитета России.

! ! ! УЯЗВИМОСТИ IT ! ! ! Wed, 18 Nov 2020 10:49:33 +0300 Bambambigelow 615915 https://www.news2.ru/story/615339/ Неизвестные залили исходный код GitHub.com и GitHub Enterprise в специальный раздел для DMCA-жалоб на GitHub. Причем исходники были опубликованы через коммит, оформленный таким образом, будто он исходит от самого главы GitHub, Нэта Фридмана (Nat Friedman).

Однако в сообщении, опубликованном на YCombinator Hacker News, Фридман заявил, что исходники выложил не он, а GitHub не подвергался каким-либо компрометациям. По его словам данная утечка включает не весь код GitHub, а только GitHub Enterprise Server. Данный продукт предназначен для компаний, с его помощью они могут запускать GitHub Enterprise на своих локальных серверах, если, к примеру, по соображениям безопасности им необходимо хранить исходники локально.

Фридман пишет, что этот код "утек" еще несколько месяцев тому назад из-за ошибки самих инженеров GitHub, которые по ошибке отправили необфусцированные и незащищенные исходники клиентам.

В своем послании глава GitHub пообещал, ошибки, которые использовал неизвестный, скоро будут исправлены, и неавторизованные лица более не смогут прикреплять код к проектам других людей и подделывать чужие личности.

Стоит отметить, что один из этих багов уже использовали совсем недавно. Все началось с удаления с GitHub проекта youtube-dl и его многочисленных копий, из-за чего недовольные пользователи принялись заливать исходный код youtube-dl куда только могли, включая тот самый репозиторий с уведомлениями DMCA на GitHub.

Вероятно, неизвестный, опубликовавший исходные коды GitHub Enterprise Server, тоже протестовал против удаления youtube-dl и удовлетворения жалобы RIAA, как и многие другие пользователи.

(https://xakep.ru/2020/11/...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Mon, 09 Nov 2020 21:31:24 +0300 C++ 615339 https://www.news2.ru/story/614617/ Исследователи из российской компании Positive Technologies годами изучают скрытые возможности по отладке процессоров компании Intel. Нетрудно сообразить, что сервисный доступ к процессорам позволяет получить контроль над процессором и вычислениями. Безопасникам необходимо знать, как и при каких условиях процессоры могут быть скомпрометированы. И всплывает много интересного.

Как выяснилось, из процессоров Intel можно извлечь секретный ключ для дешифровки исправлений микрокодов микропроцессоров, а это - возможность узнать о потенциальных дырах в продуктах компании, о которых она, по понятным причинам, не будет трубить на каждом углу. В результате для хакеров появляется возможность освоить обратную разработку - так называемый реверс-инжиниринг. Изучая расшифрованный патч кода микропроцессора, злоумышленник может восстановить механизм работы уязвимости процессоров, которая была закрыта при помощи этого патча, и о которой Intel могла умолчать.

Возможность извлечения секретного ключа для дешифровки исправлений микрокода процессоров несколько лет назад обнаружили три исследователя Positive Technologies: Максим Горячий, Дмитрий Скляров и Марк Ермолов. Уязвимость SA-00086 была подтверждена для процессоров Intel Celeron, Pentium и Atom на архитектуре Intel Goldmont и позволяла выполнять код по своему выбору внутри подсистемы Intel Management Engine. Вскоре компания Intel выпустила патч, устраняющий уязвимость SA-00086, но кто мешает установить на систему с уязвимым процессором старый микрокод и воспользоваться уязвимостью?

Продолжив исследования, специалисты из Positive Technologies смогли использовать уязвимость для доступа к сервисному режиму процессоров, названному в Intel "Red Unlock". Инженеры компании используют этот режим для отладки микрокода перед публичным выпуском новых процессоров. Недокументированный отладчик Chip Red Pill (привет кинофильму "Матрица") позволяет выполнять на процессоре вещи, которые будут запрещены штатному изделию. Для обмена данными с процессором в этом случае нужен либо специальный адаптер, либо подключение по USB. Тем самым получить доступ можно будет только к локальному ПК, но не удалённо.

Зато локальный доступ к ПК (процессору) позволяет извлечь секретный ключ для дешифровки патчей, "прилетевших" по сети. Не секрет, что микрокод часто исправляется в процессорах, уже покинувших заводы и сборочные цеха, и установленные в работающих системах. Какую уязвимость и какие ошибки устраняет такой патч, зачастую неизвестно, но перехват ключа и анализ расшифрованного кода заплатки может раскрыть на это глаза.

В компании Intel не считают подобное проблемой, поскольку патч SA-00086 давно реализован в микрокоде, и вероятность того, что кто-то станет возиться с заменой прошивок на уязвимые с последующим анализом исправлений, крайне мала. Что же касается возможности загрузить в процессор микрокод хакера, то она сохраняется лишь до перезагрузки системы и не страшна в большинстве сценариев угроз.

(https://3dnews.ru/1024105...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Fri, 30 Oct 2020 05:59:47 +0300 X86-9 614617 https://www.news2.ru/story/611696/ На форуме 4chan и файлообменном сервисе Mega.nz неизвестный опубликовал архив (torrent, 43 ГБ), включающий полные исходные тексты операционных систем Windows XP SP1, Windows Server 2003, MS DOS 3.30, MS DOS 6.0, Windows 2000, Windows CE 3, Windows CE 4, Windows CE 5, Windows Embedded 7, Windows Embedded CE, Windows NT 3.5 и Windows NT 4. Подтверждения, что это актуальные исходные тексты указанных систем пока нет. Отмечается, что в архиве собрана коллекция имеющихся утечек кода Microsoft, ранее циркулировавших в хакерских форумах.

В архиве также удалось найти корневые ключи для создания цифровых подписей сертификатов NetMeeting.

(https://www.opennet.ru/op...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Fri, 25 Sep 2020 21:47:56 +0300 X86 611696 https://www.news2.ru/story/609758/

Раскрыты сведения о проблемах в организации защиты в сети компании Tesla, позволивших полностью скомпрометировать инфраструктуру, осуществляющую взаимодействие с автомобилями потребителей. В том числе, выявленные проблемы давали возможность получить доступ к серверу, отвечающему за поддержание канала связи с автомобилями и отправку команд, передаваемых через мобильное приложение.

В итоге, атакующий сумел через инфраструктуру Tesla получить root-доступ к информационной системе любого автомобиля или удалённо передать на автомобиль управляющие команды. В том числе была продемонстрирована возможность отправки на автомобиль таких команд, как запуск двигателя и разблокировка дверей. Для получения доступа требовалось лишь знание VIN-номера автомобиля жертвы.

Уязвимость была выявлена в начале 2017 года исследователем безопасности Джейсоном Хьюзом (Jason Hughes), который сразу проинформировал компанию Tesla о проблемах и обнародовал выявленные им сведения только спустя три с половиной года после инцидента. Отмечается, что компания Tesla в 2017 году устранила проблемы в считанные часы после получения уведомления об уязвимости, после чего кардинально усилила защиту своей инфраструктуры. За выявление уязвимости исследователю было выплачено вознаграждение, размером 50 тысяч долларов США.

Разбор проблем с инфраструктурой Tesla начался с декомпиляции инструментария, предлагаемого для загрузки с сайта toolbox.teslamotors.com. Пользователям автомобилей Tesla, имеющим учётную запись на сайте service.teslamotors.com, предоставлялась возможность загрузки всех модулей для разработчиков. Модули были зашифрованы простейшим способом, а ключи шифрования отдавались тем же сервером.

Декомпилировав полученные модули в код на языке Python, исследователь обнаружил, что в коде встречаются вшитые учётные данные для разных сервисов Tesla, находящихся во внутренней сети компании, вход в которую осуществляется через VPN. В том числе в коде удалось найти учётные данные пользователя одного из хостов в поддомене "dev.teslamotors.com", находящегося во внутренней сети.

До 2019 года для подключения автомобилей к сервисам Tesla применялся VPN на базе пакета OpenVPN (впоследствии был заменён на реализацию на основе websocket) с использованием генерируемого для каждого автомобиля ключа. VPN использовался для обеспечения работы мобильного приложения, получения списка станций зарядки аккумуляторов и в других подобных сервисах. Исследователь попытался просканировать сеть, доступную после подключения своего автомобиля по VPN и обнаружил, что доступная клиентам подсеть на должном уровне не изолирована от внутренней сети Tesla. В том числе оказался достижим хост в поддомене dev.teslamotors.com, к которому были найдены учётные данные.

Скомпрометированный сервер оказался узлом для управления кластером и отвечал за доставку приложений на другие серверы. При входе на указанный хост удалось получить часть исходных текстов внутренних сервисов Tesla, включая mothership.vn и firmware.vn, отвечающие за передачу команд на автомобили клиентов и доставку прошивок. На сервере также были найдены пароли и логины для доступа к СУБД PostgreSQL и MySQL. Попутно выяснилось, что доступ к большинству из компонентов можно получить и без найденных в модулях учётных данных, оказалось достаточно отправить HTTP-запрос к Web API из доступной клиентам подсети.

Среди прочего на сервере был найден модуль, внутри которого был файл good.dev-test.carkeys.tar с ключами к VPN, применяемыми в процессе разработки. Указанные ключи оказались рабочими и позволили подключиться к внутреннему VPN компании vpn.dev.teslamotors.com. На сервере также был найден код сервиса mothership, изучение которого позволило определить точки подключения ко многим управляющим сервисам. Было выяснено, что большинство данных управляющих сервисов доступны на любом автомобиле, в случае подключения с использованием найденных VPN-ключей для разработчиков. Через манипуляцию с сервисами удалось извлечь обновляемые ежедневно ключи доступа для любого автомобиля, а также копии учётных данных любого клиента.

Указанные сведения позволяли определить IP-адрес любого автомобиля, с которым установлено соединение через VPN. Так как подсеть vpn.dev.teslamotors.com не была должным образом отделена межсетевым экраном через простые манипуляции с маршрутизацией удалось добраться до IP клиента и подключиться к его автомобилю по SSH с правами root, воспользовавшись полученными ранее учётными данными клиента.

Кроме того, полученные параметры VPN-соединения к внутренней сети позволяли отправлять запросы к любым автомобилям через Web API mothership.vn.teslamotors.com, которые принимались без дополнительной аутентификации. Например, при проведении тестов удалось продемонстрировать определение текущего местоположения автомобиля, разблокировать двери и запустить мотор. В качестве идентификатора для выбора цели атаки используется VIN-номер автомобиля.

(https://www.opennet.ru/op...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Wed, 02 Sep 2020 12:35:12 +0300 ramstor 609758 https://www.news2.ru/story/609743/ "Рука Кремля" скоро оживет - так часто о ней упоминается в американском информационном пространстве. Любое расхождение с истеблишментом, и вот уже Россия снова в чем-то виновата. Без доказательств и аргументов - просто виновата. Штатам пора прекращать устраивать это антироссийское шоу - несерьезно это и непрофессионально.

Провластные соцсети вроде Facebook и Twitter продолжают банить аккаунты людей, которых в США связывают с тем самым российским вмешательством в американские выборы, которое, к слову, так и не было доказано, ибо его не существовало. Так, недавно было заблокировано 13 аккаунтов. Ну разве взрослые люди так поступают? Что за нелепая истерия?

По мнению политолога Романа Романова, американские соцсети страдают антироссийской паранойей. Он отмечает, что Россию могут обвинить в любом мероприятии и любой записи в СМИ или соцсети.

Причем неважно, демократы или республиканцы пишут что-либо или организовывают, стоит связать людей или издание с РФ, как все начнут обвинять нашу страну во всех грехах, будто Россия - страна масонов и иллюминатов

Политтехнолог Наталия Елисеева отмечает, что американские соцсети только позиционируют себя центром свободы слова, а на деле они только и делают, что цензурируют.

"Опять мы видим попытку обвинить Россию. Нет никаких реальных доказательств и никакой настоящей связи. Это очередная "охота на ведьм". Такова устоявшаяся модель поведения американцев. Даже если там нет следов России, они все равно будут обвинять Россию", - отметила она, имея ввиду ресурс Peace Data, который связали с РФ.

По-хорошему, нужно сформировать некий единый фронт против неприемлемой деятельности Facebook и Twitter. Или и вовсе запретить их деятельность на территории нашей страны. Последний вариант, пожалуй, оптимальный.

! ! ! УЯЗВИМОСТИ IT ! ! ! Wed, 02 Sep 2020 10:44:29 +0300 lusia_lusi 609743 https://www.news2.ru/story/609250/

По сведениям экспертно-аналитического центра ГК InfoWatch, за 2019 год случаи утечки персональных данных и платежной информации составили 86%. Мы, сами того не подозревая, сливаем огромное количество информации о себе, пользуясь интернетом, мобильными приложениями и VPN. Основатель сервиса блокировки рекламы Салават Ханов рассказал о том, как избежать трекинга и сохранить свои личные данные.

Не доверяйте приложениям

Следует осознанно относиться к каждому вашему действию внутри приложения и задавать себе вопрос "А зачем сервису это нужно?". Например, приложения могут запрашивать доступ к вашему местоположению. При этом, если вы один раз позволили приложению узнать, где вы находитесь, оно может продолжать получать доступ снова и снова. Пару лет назад случился скандал, связанный с компанией Uber и данными клиентов. Компанию обвиняли в слежке за пользователями даже после окончания поездки. Однако утечку информации о геолокации можно предотвратить. Геопозиция определяется с помощью комбинации данных публичных точек доступа Wi-Fi, GPS и Bluetooth. Но iOS постоянно улучшает концепцию безопасности системы. И совсем недавно компания Apple анонсировала функцию, которая позволит сообщить только приблизительное местоположение. Также в разделе "Конфиденциальность" можно посмотреть список приложений, которым вы предоставили определенный доступ.

Различные банковские приложения тоже могут получить данные от нас самих, а именно - доступ к контактам. Каждый раз, когда мы отправляем средства кому-то из них, приложение задает вопрос о доступе к контактам. Если пользователь один раз дал доступ - приложение автоматически может его получить. Однако в настройках самого телефона можно отключить доступ к адресной книге. Перед регистрацией в приложении не забывайте изучить политику конфиденциальности. Мало кто полностью читает этот документ. Чаще всего мы просто сразу соглашаемся с условиями использования. Важно помнить о том, что приложения не могут получить информацию, если вы перекрыли к ней доступ.

Используйте надежные пароли

Обратите внимание на свой пароль. Никогда не используйте цифры или слова, которые можно связать с вашими данными: ФИО, адрес, номер мобильного телефона. Также старайтесь создавать разные пароли для каждой площадки. Стоит использовать комбинации букв, цифр и символов, а также чередовать строчные и прописные буквы, если это возможно. В 2019 году независимые исследователи составили список самых популярных и ненадежных паролей. В них входят: женские имена (Николь, Джессика, Ханна), числовые комбинации (111111, 123321, 12345), и строки букв, которые образуют вертикальную или горизонтальную линию на QWERTY-клавиатуре ({ scramble1}, {scramle2}, 1qaz2wsx и т. д.). Самое интересное, что на пятом месте - обычное слово "пароль", которым, по статистике, пользуются 830 846 человек.

Чтобы создать максимально надежный пароль, можно использовать специальный генератор паролей или проверить свою комбинацию из цифр и букв при помощи менеджера паролей. К примеру, Dashlane, LastPass, 1Password и другие. Также в качестве дополнительного уровня защиты можно использовать многофакторную аутентификацию. Это могут быть аппаратный ключ безопасности или биометрические данные.

Оформите виртуальную карту

Покупая что-то в интернете, мы рискуем стать жертвами мошенников. Однако для транзакций можно использовать другую банковскую карту с небольшим объемом средств, в том числе виртуальную. Специальная виртуальная карта предназначена для платежей в интернете и выпускается только в электронном виде, сохраняя анонимность пользователя. Также стоит обратить внимание на фотографии вашей карты, которые вы отправляете родственникам или друзьям. Мессенджеры, в которых вы делитесь фотографией карты, могут быть опасны. Так, например, в июне 2020 года произошла утечка данных нескольких миллионов пользователей Telegram. Можно использовать виртуальный номер для регистраций на различных сайтах, а свой реальный номер давать только родственникам и друзьям.

Осознанно относитесь к интернет-потреблению

Нажимая на рекламный баннер в интернете или переходя по ссылке, подумайте несколько раз. Существует такой тип отслеживания, как цифровой отпечаток. Это уникальный профиль, который создается на основе данных вашего компьютера (программного обеспечения, дополнений, настроек, установленных шрифтов и даже выбранного вами веб-браузера). Всё это может быть использовано для создания цифрового отпечатка. Ваш отпечаток позволяет компании следить за вами в течение 2-3 месяцев, даже если вы регулярно очищаете хранилище браузера. Чтобы брокеры данных не смогли вам навредить, можно оставить ложный цифровой след. Например, можно сделать так, чтобы настоящая история браузера просто потерялась. Для этого установите расширение Blurr. Оно само будет посещать разные сайты в фоновом режиме и создавать ложный цифровой отпечаток. Чаще всего компании используют наши данные для настройки интернет-рекламы. Брокеры данных собирают информацию о вас и продают их различным сервисам. О вас пытаются узнать всё, что в дальнейшем можно использовать - проблемы, примерный достаток, ориентацию, хобби и даже болезни. Происходит этот процесс благодаря так называемым трекерам, специальным скриптам на веб-сайтах, предназначенным для получения данных. Основываясь на нашем интернет-потреблении, рекламодатели могут узнать не только ФИО, геолокацию, но и данные банковской карты.

Особенно стоит обратить внимание на бесплатные сервисы. Любой сервис, который демонстрирует пользователю релевантные товары и услуги, потенциально собирает и анализирует пользовательские данные.

Забудьте про бесплатный VPN

Первоначальная функция VPN-сервисов - это защита персональных данных. Но последние новости говорят об обратном. Около 20 млн аккаунтов пользователей VPN-сервисов были слиты в сеть. Однозначно, наибольшую опасность представляют бесплатные VPN-сервисы. Как мы знаем, бесплатный сыр бывает только в мышеловке. Так или иначе, любой компании, которая предоставляет услуги бесплатно, надо как-то существовать. Самый очевидный путь заработка для сервиса - продажа информации, которую он собирает. Сервисы VPN пропускают поток трафика через собственные серверы, поэтому знают о пользователях даже больше, чем они сами. Рекламные объявления, которые мы видим ежедневно, размещаются на основе личных данных пользователей, которые собрали различные сайты и приложения. Если вы заметили, что бесплатный VPN заботливо показывает вам рекламу, значит, он тоже собирает ваши данные. Но утечка данных пользователей опасна не только парой-тройкой рекламных объявлений. Помимо слива данных и возможности получить вирусы, это может грозить получением ваших логина и пароля злоумышленниками. Работу VPN можно сравнить с трубой, по которой идет поток данных для обхода блокировок. Но в этой трубе может стоять камера, которая снимает и сохраняет все действия. Это могут быть не только логины и пароли, но и возможно очень ценные данные. Как правило, платные VPN не допускают слива данных. А бесплатные могут. Совсем недавно журналисты The Best VPN провели исследование о политике конфиденциальности бесплатных VPN и обнаружили сервисы, которые допускают продажу личных данных. Среди них: Hola, Betternet, Psiphon, TouchVPN, HotSpot Shield, ZPN, FinchVPN, Opera VPN, HoxxVPN. Мы редко задумываемся о том, что и как публикуем в интернет и какие сервисы скачиваем. Создание информационной безопасности начинается в первую очередь с повышения уровня культуры защиты данных. Относитесь осознанно к тому, чем пользуетесь каждый день, фильтруйте информацию и развивайте критическое мышление.

(https://i24.info/images/n...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Wed, 26 Aug 2020 21:12:28 +0300 i24info 609250 https://www.news2.ru/story/608754/

Компания Comparitech обнародовала информацию о наличии в Сети незащищенной базы данных с 235 миллионами профилей пользователей Instagram, TikTok и YouTube. Она содержала извлеченные из публичных профилей сведения, включая логины, полные имена пользователей, контактную информацию, изображения, статистику о числе подписчиков, данные о возрасте, гендере и так далее.

Хотя вся информация является публично доступной, правила всех трех сервисов запрещают извлекать данные из профилей, сообщает SecurityLab.

Достоянием общественности стали данные 192 миллионов профилей Instagram, 42 миллионов профилей TikTok и 4 миллионов профилей YouTube.

Дальше события развивались следующим образом: исследователи предположили, что найденная БД собрана ныне несуществующей компанией Deep Social, которая в 2018 году была заблокирована Facebook и Instagram за извлечение данных из профилей пользователей. В ответ представители Deep Social переадресовали их в компанию Social Data, специализирующуюся на продаже информации о популярных блогерах маркетинговым фирмам. Однако в Social Data заявили, что не считают формирование БД противоправным действием.

"Все данные доступны любому человеку с доступом в интернет. Даже без существования базы данных любой точно так же может прибегнуть к фишингу или связаться с любым человеком, который указывает телефон или адрес электронной почты в своем профиле в соцсетях. Пользователи, не желающие предоставлять информацию, закрывают свои аккаунты".
Social Data

Этот инцидент по мнению экспертов является одной из самых масштабных утечек данных на сегодняшний день. Так что проверьте конфиденциальность настроек ваших профилей.

(https://habr.com/ru/compa...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Thu, 20 Aug 2020 23:15:35 +0300 ramstor 608754 https://www.news2.ru/story/608520/

Представители компании ESET, занимающиеся информационной безопасность, рассказали о подробностях действий банковского трояна Mekotio, угрожающего пользователям Google Chrome. Как оказалось, из-за вируса пропадает не только криптовалюта.

Ранее стало известно, что вредоносное программное обеспечение ворует пользовательскую криптовалюту. Помимо этого, Mekotio может выполнять функции бэкдора, такие как перезагрузка устройств или ограничение доступа к настоящим банковским сайтам, недавно было замечено и воровство данных из браузера Google Chrome.

Благодаря вредоносному ПО хакеры могут получить пользовательские данные, а также попытаться уничтожить важную информацию с диска C: Windows.Троян очень сложно заметить из-за маскировки под обновление, необходимое для обеспечения безопасности девайса. Как правило, Mekotio распространяют через спам-сообщения с конечной ссылкой на вредоносный ZIP-архив.

Сейчас вирус регулярно совершенствуется - его создатели вводят новые способы маскировки, а это делает троян более опасным.

! ! ! УЯЗВИМОСТИ IT ! ! ! Mon, 17 Aug 2020 20:36:02 +0300 i24info 608520 https://www.news2.ru/story/607816/ Вчера суд рассматривал­ вопрос о возможном выходе под залог для 17-летнего жителя Флориды Грэма Айвена Кларка (Graham Ivan Clark), которого обвиняют в недавней атаке на Twitter. Из-за пандемии коронавируса заседание проходило в удаленном режиме, то есть в формате видеоконференции Zoom. Журналисты, присутствовавшие на заседании, сообщили, что в итоге судья Кристофер Нэш (Christopher Nash) был вынужден приостановить слушание из-за так называемого Zoom-Bombing'а.

Проблема заключалась в том, что конференция не была защищена паролем, так как слушание было публичным. По какой-то причине в настройках не был отключен звук для посетителей, а также им не запрещалось занимать экран. То есть присоединиться к конференции мог любой желающий, и этим незамедлительно воспользовались тролли.

Многочисленные пранкеры представлялись сотрудниками CNN и BBC, прерывали заседание криками и громкой музыкой, а потом вовсе стали транслировать порно. При этом судья и адвокаты сторон долгое время старались сохранять спокойствие и, как ни в чем не бывало, возобновляли обсуждения после каждой подобной "шутки".

Независимый ИБ-журналист Брайан Кребс пишет у себя в Twitter, что все могло быть и хуже: вместо обычного ролика с PornHub тролли могли бы транслировать в конференцию детское порно, и тогда все, кто записывал происходящее (а таких было немало), моли попасть под юридическое преследование за хранение такого контента.

Кребс отмечает, что судьям, проводящим процессы в онлайне, стоит лучше разбираться в происходящем. Подводя итог, Кребс опубликовал скриншот, запечатлевший лицо прокурора Эндрю Уоррена, который неожиданно обнаружил на экране порноролик. Сам Уоррен пишет, что ему хотелось бы надеяться, что это был первый и последний раз, когда ему пригодилось выражение лица "кто-то только что прервал судебное заседание порнографией".

В итоге судья Кристофер Нэш все же вынес решение, хотя и потратил большую часть времени на очистку конференции от троллей. Залог для Грэма Айвена Кларка был определен в размере 725 000 долларов США, то есть в шесть раз больше, чем тот "заработал" на своей афере с биткоинами (около 120 000 долларов США).

Сообщается, что будущие судебные заседания будут защищены паролями.

(https://xakep.ru/2020/08/...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Fri, 07 Aug 2020 05:44:58 +0300 X86 607816 https://www.news2.ru/story/607674/ Журналисты Bleeping Computer обратили внимание, что с недавних пор Windows 10 и Windows Defender считают файл hosts (C:\Windows\system32\driver\etc\hosts) опасным, если в нем прописаны настройки, блокирующие сбор телеметрии.

По информации издания, с конца июля измененный файл hosts определяется как представляющий угрозу "SettingsModifier: Win32/HostsFileHijack". Если получив такое предупреждение пользователь нажимает "Подробнее", ему не объясняют ничего, лишь сообщают, что файл демонстрирует "потенциально нежелательное поведение".

Если пользователь согласится устранить "угрозу", система очистит файл hosts и вернет его к состоянию по умолчанию. Также есть возможность проигнорировать проблему, но это разрешит любые модификации hosts в будущем, в том числе и вредоносные.

Основатель Bleeping Computer, Лоренс Абрамс, отмечает, что в целом проблема ложноположительных срабатываний на файл hosts не нова, однако в последние недели люди вдруг стали массово жаловаться на подобные предупреждения (1, 2, 3, 4, 5).

Абрамс пишет, что он решил, будто дело опять в ложноположительных срабатываниях, но все же провел несколько тестов. Как оказалось, достаточно заблокировать через файл hosts серверы Microsoft, собирающие телеметрию, и тогда-то начинаются проблемы. В частности, проблемы возникают, если попытаться заблокировать следующие адреса.

• www.microsoft.com
• microsoft.com
• telemetry.microsoft.com
• wns.notify.windows.com.akadns.net
• v10-win.vortex.data.microsoft.com.akadns.net
• us.vortex-win.data.microsoft.com
• us-v10.events.data.microsoft.com
• urs.microsoft.com.nsatc.net
• watson.telemetry.microsoft.com
• watson.ppe.telemetry.microsoft.com
• vsgallery.com
• watson.live.com
• watson.microsoft.com
• telemetry.remoteapp.windowsazure.com
• telemetry.urs.microsoft.com

Из-за этого специалист пришел к выводу, что Microsoft, по всей видимости, недавно обновила Defender таким образом, чтобы он определял, если серверы компании были добавлены в файл hosts, и пользователь пытается блокировать сбор телеметрии.

В компании Microsoft пока никак не прокомментировали ситуацию.

(https://xakep.ru/2020/08/...)]]> ! ! ! УЯЗВИМОСТИ IT ! ! ! Wed, 05 Aug 2020 06:15:19 +0300 X86 607674

Название разрешения	Количество приложений
Аутентификация по отпечатку пальца	14 - Мой налог, Госуслуги.Дети, Мои Документы Онлайн, Карта жителя НО, ПФР, Услуги РТ, Госуслуги Москвы, Налоги ФЛ, Личный кабинет предпринимателя, Моя Москва, Госуслуги Московской области, Госуслуги, Госуслуги Югры, Мой Мосэнергосбыт
Использование биометрических данных	10 - Личный кабинет предпринимателя, Мой налог, Госуслуги.Дети, Мои Документы Онлайн, Карта жителя НО, Госуслуги Мос