Si observa nuestra
selección de noticias importantes para 2018, puede tener la sensación de que nada ha cambiado en el último 2019. Las vulnerabilidades de hardware todavía parecen prometedoras (el último ejemplo:
eludir las extensiones Guard Guard en los procesadores Intel) y aún no se aplican en ataques reales. Pero el aprendizaje automático se utiliza en la práctica, por ejemplo, para la ingeniería social de alta tecnología. La imitación de la voz del jefe de la organización
ayudó a robar un millón de euros, y Microsoft
organizó un concurso para crear un algoritmo que detecta dipfeyki.
Las amenazas de Internet de las cosas tampoco han desaparecido, y en 2019 hubo más estudios sobre la nueva generación de IoT. Un ejemplo reciente:
phishing de voz con altavoces inteligentes. Todos estos son ejemplos de ataques prometedores que pueden (naturalmente, de repente) volverse relevantes en el futuro. En el presente, la infraestructura tradicional está siendo atacada: los expertos de Kaspersky Lab
calificaron los ataques dirigidos de ransomware como uno de los principales temas del año. Las noticias de alto perfil del año se asociaron con ataques exitosos a la infraestructura, que es de importancia crítica y con escasez crónica de fondos: sistemas de TI en municipios y hospitales.
De una gama tan amplia de eventos en el campo de la seguridad de la información, es difícil elegir algo realmente significativo, y esto es normal: estudios teóricos o ataques reales que cambian radicalmente nuestras ideas sobre la protección de datos en un dispositivo personal o en la nube, afortunadamente, rara vez ocurren. Por lo tanto, hoy tenemos una noticia principal no estándar: no tienen avances ni revoluciones, pero hay métodos de investigación intrigantes, dramáticos y no triviales.
Privacidad - Fracaso del año
Nos atrevimos a llamar a 2019 el año de la privacidad
en enero . En 2018, no solo unos pocos expertos, sino también medios tradicionales, e incluso usuarios comunes, comenzaron a hacer preguntas complejas a las empresas sobre el procesamiento de datos personales de los usuarios. Todo comenzó con un escándalo con Facebook y Cambridge Analytica, y este año se están llevando a cabo investigaciones contra los principales agregadores de datos personales, como Facebook, Amazon y Google, y están
fuertemente multados . Casi todos los incidentes importantes que involucran la fuga de contraseñas o datos personales se discuten ampliamente y, a veces, incluso se critican decisiones razonables. En julio,
dimos ejemplos de tales "ataques a la privacidad" ambiguos: el uso de información sobre los usuarios de los servicios de Google para el reCaptcha v3 "automatizado", incorporando identificadores de Facebook en metadatos de imagen y derechos de aplicación para teléfonos inteligentes Android.
Es bueno que se esté discutiendo el tema. Es malo que no hayan aparecido soluciones al problema, comprensibles para el usuario y que le den al menos algo de control sobre el procesamiento de datos personales. En teoría, la ley europea de GDPR introducida en 2018 debería haber mejorado la situación de privacidad, pero todos sabemos cómo terminó: ahora en la mitad de los sitios debe cerrar no solo la ventana para suscribirse a las notificaciones, la propuesta de descargar la aplicación y suscribirse al boletín, sino y formulario GDPR. Es posible desactivar la transferencia de datos a las redes publicitarias, pero en serio, ¿al menos alguien lo hace de forma continua? En junio, se
aprobó un proyecto de ley similar al GDPR en California. Sin embargo, parece que cualquier actividad legislativa en alta tecnología solo tiene un efecto medio si no está respaldada por soluciones técnicas. Esto es lo mismo que prohibir a los ciberdelincuentes robar información de tarjetas de crédito sin proporcionarles a las tarjetas de crédito la protección adecuada.
Como consumidores, nosotros, por un lado, criticamos (a menudo por la causa) a los desarrolladores de dispositivos y software por
tomar capturas de
pantalla de televisores inteligentes,
dirigir anuncios por número de teléfono en Twitter,
escuchar mensajes de voz privados en modo manual. Por otro lado, utilizamos activamente los resultados de este procesamiento de datos personales: en un servicio de música con recomendaciones, en un navegador que recuerda dónde está estacionado el automóvil, en un asistente de voz que le recuerda llamar a Gennady. La pregunta es, ¿qué más hacen las corporaciones con nuestro perfil, además de brindarnos beneficios personalmente? La respuesta parece ser conocida solo por un centenar de expertos del lado del vendedor, y nadie más.
En otras palabras, no sucedió nada realmente útil con la privacidad en 2019. Esto sigue siendo el Salvaje Oeste con salones y robo de trenes, en el que una pequeña parte de la población está indignada por el estado actual de las cosas. Me gustaría esperar que en 2020 haya algunas normas éticas para el procesamiento y la difusión de datos personales que las personas entiendan y utilicen por los servicios de red como una ventaja competitiva definitiva. A principios de año en CES, Apple ya estaba tratando de hacer esto, que, según su propia declaración, no intercambia datos de clientes. El problema es que la privacidad de los datos en un teléfono inteligente está determinada no solo por la configuración del sistema, sino también por el comportamiento de las aplicaciones. Y en ellos la situación
está lejos de ser ideal .
Hackear Bloc de notas
El premio en la nominación "no hay nada que romper en esta aplicación, pero pudimos" es recibido por un
estudio realizado por el experto del equipo Google Project Zero, Tavis Ormandy. Descubrió una vulnerabilidad en Text Services Framework, una antigua herramienta basada en texto con amplios privilegios en Windows. La vulnerabilidad cerrada en agosto podría usarse teóricamente para ejecutar código arbitrario con derechos del sistema.
En el video se muestra un ejemplo de explotación de una vulnerabilidad. Lo más interesante es que el Bloc de notas no tiene nada que ver con eso: no hay vulnerabilidad específicamente en esta aplicación. Pero utilizando el Marco de servicios de texto, Ormandy pudo demostrar el problema en el estilo tradicional: cuando se ejecuta código arbitrario desde una aplicación aparentemente inofensiva, en este caso, la consola comienza desde el Bloc de notas.
Cadena de suministro
Un tema importante del año: los ataques a la cadena de suministro. El
estudio más interesante de este año fue el análisis del ataque ShadowHammer por parte de expertos de Kaspersky Lab. El programa regular para actualizar los controladores de dispositivos Asus, conocido como Asus Live Update, fue modificado y distribuido por algún tiempo desde los servidores del fabricante. Hubo relativamente pocas víctimas (decenas de miles), pero quienes lanzaron este ataque no persiguieron los números. El código malicioso no hizo nada ilegal en las computadoras de las víctimas, a menos que la dirección MAC del dispositivo de red coincida con la lista de objetivos cosidos en el cuerpo del programa.
ShadowHammer es un ejemplo de un ataque moderno de clase alta: objetivos únicos, sigilo máximo, método de entrega no trivial. Pero esta no es la única variante de un ataque a la cadena de suministro cuando un dispositivo o software se modifica antes de que se entregue al consumidor. No se trata de una vulnerabilidad en el software o hardware que aún necesita poder explotar, sino de la situación cuando compra una computadora portátil a la
que alguien ya tiene acceso . Se podría suponer que es poco probable que tales ataques se generalicen, pero no. Este verano,
escribimos sobre dispositivos Android chinos equipados con una puerta trasera lista para usar. Lo más probable es que los fabricantes tampoco tuvieran nada que ver con eso: piratearon a los contratistas que trabajaban con teléfonos intermitentes.
¿Qué esperar de 2020? Los expertos de Kaspersky Lab
consideran que las redes móviles de quinta generación
son una de las áreas "difíciles". Con la propagación de 5G, no solo recibiremos comunicaciones móviles con la velocidad del Internet por cable más rápido, sino también la distribución masiva de dispositivos "inteligentes" y no tan que transmiten datos constantemente. Las amenazas son claras: si 5G realmente se convierte en el principal medio de comunicación para la mayoría de las personas, debe tener cuidado de piratear la red o los operadores de telecomunicaciones para robar datos y ataques DDoS. En general, esto es cierto para cualquier otra tecnología de red informática: cuanto más dependemos de los asistentes digitales, los servicios de red para almacenar datos, las redes sociales para la comunicación, cuanto más dependemos de ellos, más graves somos sobre las amenazas, ya sea un ataque a una cuenta bancaria o violación de los secretos de la vida personal. Las amenazas cibernéticas son el reverso del progreso, y si hay más amenazas, el progreso también tiene lugar. En esta nota positiva, ¡queridos editores se despiden hasta el Año Nuevo!