إذا نظرت إلى اختيارنا للأخبار المهمة لعام 2018 ، فقد تشعر أنك لم يتغير شيء في 2019 الماضية. لا تزال نقاط الضعف في الأجهزة تبدو واعدة (آخر مثال:
تجاوز ملحقات Guard Guard على معالجات Intel) ولا تزال غير مطبقة في هجمات حقيقية. لكن التعلم الآلي يستخدم في الممارسة ، على سبيل المثال ، للهندسة الاجتماعية عالية التقنية. ساعد تقليد صوت رئيس المنظمة
في سرقة مليون يورو ،
ونظمت مايكروسوفت مسابقة لإنشاء خوارزمية تكتشف dipfeyki.
لم تختف التهديدات من الإنترنت أيضًا ، وفي عام 2019 ، كانت هناك المزيد من الدراسات حول الجيل الجديد من إنترنت الأشياء. مثال حديث:
الخداع الصوتي باستخدام مكبرات الصوت الذكية. كل هذه أمثلة للهجمات الواعدة التي يمكن أن تصبح (بشكل طبيعي ، فجأة) ذات صلة في المستقبل. في الوقت الحالي ، يتم مهاجمة البنية الأساسية التقليدية:
أطلق خبراء Kaspersky Lab على الهجمات المستهدفة من ransomware ransomware أحد الموضوعات الرئيسية لهذا العام. ارتبطت الأخبار البارزة لهذا العام بالهجمات الناجحة على البنية التحتية ، والتي تتسم بأهمية حاسمة ونقص التمويل المزمن - أنظمة تكنولوجيا المعلومات في البلديات والمستشفيات.
من بين هذه المجموعة الواسعة من الأحداث في مجال أمن المعلومات ، من الصعب اختيار شيء مهم حقًا ، وهذا أمر طبيعي: الدراسات النظرية أو الهجمات الحقيقية التي تغير أفكارنا حول حماية البيانات بشكل جذري على جهاز شخصي أو في السحابة ، ونادراً ما تحدث. لذلك ، لدينا اليوم أخبارًا غير قياسية: ليس لديهم اختراقات أو ثورات ، ولكن هناك طرق بحث مؤامرات ودرامية وغير تافهة.
الخصوصية - فشل السنة
تجرأنا على استدعاء 2019 عام الخصوصية
مرة أخرى في يناير . في عام 2018 ، بدأ عدد قليل من الخبراء ، ولكن أيضًا الوسائط التقليدية وحتى المستخدمين العاديين ، في طرح أسئلة معقدة للشركات حول معالجة بيانات المستخدم الشخصية. بدأ كل شيء بفضيحة في Facebook و Cambridge Analytica ، ويتم
إجراء تحقيقات هذا العام ضد أكبر مجمعي البيانات الشخصية ، مثل Facebook و Amazon و Google ، ويتم
تغريمهم بشدة . تتم مناقشة كل حادث كبير تقريبًا يتعلق بتسريب كلمات المرور أو البيانات الشخصية على نطاق واسع ، وفي بعض الأحيان يتم انتقاد القرارات المعقولة. في يوليو ، قدمنا أمثلة على "الهجمات الغامضة على الخصوصية": استخدام المعلومات حول مستخدمي خدمات Google من أجل reCaptcha v3 "الآلي" ، ودمج معرفات Facebook في البيانات الوصفية للصور وحقوق التطبيق للهواتف الذكية التي تعمل بنظام Android.
من الجيد أن الموضوع قيد المناقشة. من المؤسف عدم ظهور حلول للمشكلة مفهومة للمستخدم ومنحه بعض التحكم على الأقل في معالجة البيانات الشخصية. من الناحية النظرية ، كان من المفترض أن يكون قانون الناتج المحلي الإجمالي الأوروبي الذي تم تقديمه في عام 2018 قد حسّن من حالة الخصوصية ، لكننا نعرف جميعًا كيف انتهى الأمر: الآن في نصف المواقع التي تحتاجها لإغلاق ليس فقط نافذة الاشتراك في الإعلامات ، واقتراح تنزيل التطبيق والاشتراك في النشرة الإخبارية ، ولكن وشكل الناتج المحلي الإجمالي. قد يكون من الممكن إيقاف تشغيل نقل البيانات إلى شبكات الإعلانات ، ولكن على محمل الجد ، هل يقوم شخص ما بذلك على أساس مستمر؟ في يونيو ، تم
تمرير مشروع قانون يشبه الناتج المحلي الإجمالي في كاليفورنيا. ومع ذلك ، يبدو أن أي نشاط تشريعي في التكنولوجيا المتقدمة له تأثير نصف فقط إذا لم يكن مدعومًا بواسطة حلول تقنية. هذا هو نفس منع مجرمي الإنترنت من سرقة معلومات بطاقة الائتمان دون توفير الحماية الكافية لبطاقات الائتمان.
كمستهلكين ، فإننا ، من ناحية ، ننتقد (في كثير من الأحيان للسبب) مطوري البرامج والأجهزة
لالتقاط لقطات شاشة من أجهزة التلفزيون الذكية ،
واستهداف الإعلانات عن طريق رقم الهاتف على Twitter ،
والاستماع إلى الرسائل الصوتية الخاصة في الوضع اليدوي. من ناحية أخرى ، نستخدم بنشاط نتائج هذه المعالجة للبيانات الشخصية: في خدمة الموسيقى مع التوصيات ، في المستكشف الذي يتذكر مكان السيارة ، في مساعد صوتي يذكرك بالاتصال بـ Gennady. والسؤال هو ، ماذا تفعل الشركات مع ملف التعريف الخاص بنا ، إلى جانب تحقيق الفوائد لنا شخصيًا؟ يبدو أن الإجابة معروفة فقط لمائة خبير من جهة البائع ، ولا أحد غيره.
بمعنى آخر ، لم يحدث شيء مفيد حقًا مع الخصوصية في عام 2019. لا يزال هذا الغرب المتوحش مع الصالونات وسرقة القطارات ، والتي يشعر فيها جزء صغير من السكان بالغضب بسبب الحالة الراهنة للأشياء. أود أن يكون هناك في عام 2020 بعض المعايير الأخلاقية لمعالجة ونشر البيانات الشخصية التي يفهمها الناس ويستخدمونها بواسطة خدمات الشبكة كميزة تنافسية محددة. في بداية العام في CES ، كانت شركة آبل تحاول بالفعل القيام بذلك ، والذي ، وفقًا لبيانها ، لا يتداول بيانات العميل. المشكلة هي أن خصوصية البيانات على الهاتف الذكي لا تتحدد فقط من خلال إعدادات النظام ، ولكن أيضا من خلال سلوك التطبيقات. وفيها الوضع
أبعد ما يكون عن المثالية .
القرصنة المفكرة
تلقت جائزة الترشيح "لا يوجد شيء يمكن كسره في هذا التطبيق ، لكننا تمكنا من ذلك" من خلال
دراسة أجراها خبير Google Project Zero Tavis Ormandy. اكتشف ثغرة أمنية في Text Services Framework ، وهي أداة قديمة تستند إلى النصوص ولديها امتيازات واسعة على Windows. من الناحية النظرية يمكن استخدام ثغرة أمنية مغلقة في أغسطس لتشغيل تعليمات برمجية عشوائية مع حقوق النظام.
يظهر مثال على استغلال ثغرة أمنية في الفيديو. الشيء الأكثر إثارة للاهتمام هو أن المفكرة لا علاقة لها به: لا توجد ثغرة أمنية على وجه التحديد في هذا التطبيق. ولكن باستخدام Framework Services Framework ، كان Ormandy قادرًا على توضيح المشكلة بالطريقة التقليدية: عند تنفيذ التعليمات البرمجية التعسفية من تطبيق يبدو غير ضار ، في هذه الحالة ، تبدأ وحدة التحكم من المفكرة.
سلسلة التوريد
موضوع رئيسي في السنة: هجمات سلسلة التوريد. كانت
الدراسة الأكثر إثارة للاهتمام هذا العام تحليل هجوم ShadowHammer من قبل خبراء Kaspersky Lab. تم تعديل البرنامج العادي لتحديث برامج تشغيل جهاز Asus ، والمعروف باسم Asus Live Update ، وتوزيعه لبعض الوقت من خوادم الشركة المصنعة. كان هناك عدد قليل نسبيًا من الضحايا (عشرات الآلاف) ، لكن الذين شنوا هذا الهجوم لم يطاردوا الأرقام. لم تفعل الشفرة الخبيثة أي شيء غير قانوني على أجهزة الكمبيوتر الضحية ، إلا إذا كان عنوان MAC لجهاز الشبكة يطابق قائمة الأهداف المخزنة في نص البرنامج.
ShadowHammer هو مثال على هجوم حديث من الدرجة العالية: الأهداف الفردية ، أقصى قدر من التسلل ، طريقة التسليم غير التافهة. ولكن هذا ليس البديل الوحيد لهجوم سلسلة التوريد عندما يتم تعديل جهاز أو برنامج قبل تسليمه للمستهلك. لا يتعلق الأمر بالثغرة الأمنية في البرامج أو الأجهزة التي لا تزال بحاجة إلى أن تكون قادرًا على استغلالها ، بل يتعلق بالموقف عند شراء جهاز كمبيوتر محمول
يمكن لشخص ما الوصول إليه بالفعل . يمكن افتراض أن مثل هذه الهجمات من غير المرجح أن تصبح واسعة النطاق ، ولكن لا. في هذا الصيف ،
كتبنا عن أجهزة أندرويد الصينية المجهزة بنقطة خلفية. على الأرجح ، لم يكن للمصنعين أي علاقة به أيضًا: لقد اخترقوا المقاولين الذين عملوا على الهواتف المحمولة.
ماذا تتوقع من عام 2020؟
يعتبر خبراء كاسبرسكي لاب
أن شبكات الجيل الخامس المحمولة
هي واحدة من المناطق "الصعبة". مع انتشار شبكة 5G ، لن نتلقى فقط اتصالات محمولة بسرعة الإنترنت السلكي بأسرع ، ولكن أيضًا التوزيع الشامل للأجهزة "الذكية" وليس الأجهزة التي تنقل البيانات باستمرار. تكون التهديدات واضحة: إذا أصبحت شركة 5G هي الوسيلة الرئيسية للاتصال لمعظم الناس ، فينبغي أن تكون حذراً من اختراق الشبكة نفسها أو مشغلي الاتصالات لسرقة البيانات وهجمات DDoS. بشكل عام ، ينطبق هذا على أي تقنية أخرى لشبكات الكمبيوتر: كلما زاد اعتمادنا على المساعدين الرقميين ، وخدمات الشبكة لتخزين البيانات ، والشبكات الاجتماعية للاتصال ، وكلما زاد اعتمادنا عليها ، زاد خطورتنا حول التهديدات ، سواء كان ذلك هجومًا على حساب مصرفي أو انتهاك أسرار الحياة الشخصية. تهديدات الإنترنت هي الجانب الآخر للتقدم ، وإذا كان هناك المزيد من التهديدات ، فسيحدث التقدم أيضًا. على هذه الملاحظة الإيجابية ، يقول المحررون الأعزاء وداعاً لك حتى العام الجديد!