Rappelez-vous ce post, dans 10 ans tout le monde dira: maintenant, ils ont tout écrit correctement dans le condensé. Ou vice versa: ils n'ont pas deviné du tout, en aucun endroit. Prédire l'avenir est voué à l'échec, car la prédiction est toujours basée sur la connaissance du présent et du passé. Le prochain 2019 est décrit dans le Blade Runner de Philip Dick, qui savait néanmoins prévoir. Selon le roman (et un peu pour le film), nous vivons tous dans un monde dysfonctionnel où il pleut constamment, il y a des voitures volantes et des robots, mais pas d'animaux du tout.
C'est pourquoi les
prévisions des experts
de Kaspersky Lab sont très pratiques, elles sont plus susceptibles d'être conçues pour les professionnels de la sécurité qui ont besoin d'identifier les tendances pour l'année prochaine. Mais encore, essayons de choisir les événements de 2018, qui peuvent devenir la base de quelque chose de plus en sécurité de l'information, pertinent depuis longtemps. En préparation, nous avons utilisé les matériaux de ce blog pendant toute l'année, c'est donc un format unique: digérer les résumés.
Spectre et fusion
Les vulnérabilités
découvertes uniquement dans les processeurs Intel (Meltdown), et celles trouvées dans presque tous les processeurs modernes (Spectre), sont les principales nouvelles de l'année. Traitons immédiatement Meltdown: il s'agit d'une vulnérabilité privée que vous pouvez fermer et oublier (jusqu'à ce que vous en trouviez une autre). Spectre ne peut tout simplement pas être fermé comme ceci: une attaque théorique sur un système vulnérable implique à la fois un certain comportement du matériel et certaines caractéristiques du code de l'application attaquée. Il peut y avoir de nombreuses options pour les attaques de type Spectre, comme plusieurs études l'ont montré cette année. Par exemple,
une modification de Spectre avec la possibilité d'écraser des cellules de mémoire morte ou
NetSpectre , une attaque qui peut être effectuée à distance, sur le réseau et même sans exécuter de code sur le système attaqué.
Toutes les attaques de type Spectre appartiennent à la catégorie des attaques sur des canaux tiers: lorsque certaines informations secrètes ne sont pas transmises en clair, mais sont extraites d'une analyse du temps de réponse ou (dans le cas des attaques traditionnelles par canal latéral) des fluctuations du courant consommé par l'appareil. En général, il s'agit d'un analogue d'un dispositif d'espionnage pour «écouter» les vibrations du verre dans la pièce où la conversation est en cours. Il est trop tôt pour parler d'une application pratique de ces attaques. Par exemple, dans le cas de NetSpectre, dans des conditions idéales, il était possible de «voler» des données secrètes à une vitesse de quatre bits par minute. Et personne ne discute même de savoir si ce sont les données qui sont nécessaires - dans le sens où il y a des informations vraiment importantes entre elles. La recherche autour du Spectre peut «tirer» dans 10 ans, ou cela peut rester un sujet de niche de la protection des appareils, où vous devez tout protéger et tout de tout pour éviter.
Existe-t-il une histoire similaire dans laquelle la recherche purement scientifique a acquis des contours pratiques afin d'évaluer les délais? Vous pouvez consulter la fonction de hachage cryptographique
SHA-1 . Il a été développé par la US National Security Agency en 1995. Dix ans plus tard, en 2005, les chercheurs ont montré pour la première fois que la puissance de calcul nécessaire pour rechercher les collisions (deux ensembles de données générant le même hachage) était moins nécessaire que prévu théoriquement (mais toujours beaucoup). En 2012, le score était de 2 au onzième degré d'années-serveur en 2015. Mais en 2015, les serveurs se sont avérés meilleurs que prévu, de nouveaux calculs
ont montré un chiffre ridicule de 49 jours pour certains services de renseignement de l'État. Cela suffisait à reconnaître l'algorithme de hachage comme peu fiable: en 2017, les fabricants de tous les principaux navigateurs ont cessé de l'utiliser pour générer des certificats SSL. La même année, des chercheurs de Google et du CWI Institute ont montré une
attaque pratique : ils ont créé deux PDF différents qui donnent le même hachage lors de l'utilisation de SHA-1.
Au total, 22 ans d'existence de la technologie, 12 ans de recherche scientifique et, pensez-vous, aucun avantage pour le cybercriminel: même l'expérience avec deux PDF était encore un exercice purement scientifique. Spectre peut devenir vraiment dangereux si les fabricants de processeurs continuent de l'ignorer, et ils essaient parfois: de nouvelles recherches sur le sujet sont parfois accompagnées de commentaires de fournisseurs selon lesquels il s'agit censément d'un comportement standard, d'une fonctionnalité et non d'un bug.
Apprentissage automatique
L'étude de la restauration de l'image sur le moniteur par la nature du bruit émis par le bloc d'alimentation de ce moniteur lui-même semble également douteuse du point de vue d'une application réelle. Néanmoins, les chercheurs, bien qu'avec de grandes réserves, ont réussi à restaurer l'image sur l'écran d'affichage, enregistrant et analysant uniquement le grincement du système électrique, en utilisant des réseaux de neurones convolutifs et en les faisant glisser en comparant le bruit parasite et les images. Dans un sens, il s'agit également d'une attaque contre des canaux tiers: la capture de données via un endroit où personne ne s'attendait à une panne.
Et ici, il est dans "Blade Runner" (cette fois dans le film) est juste bien prédit - au moment correspondant du tournage du style condo à huit bits:
Il y a le contrôle vocal, le traitement d'image intelligent (plus sur cet épisode -
ici ), en général, Hollywood dans toute sa splendeur. Bien que la véritable étude soit loin de ces sommets techniques, elle s'inscrit parfaitement dans le canon des réalisations incroyables et fantastiques de l'économie nationale. Ou bien ça le sera. Et que va-t-il se passer? Imaginons: identification fiable des utilisateurs sur le Web par la façon dont ils déplacent la souris, font défiler l'écran du smartphone et tiennent le téléphone en main. Détermination de l'humeur par la voix. La menace de la vie privée due aux données collectées et traitées massivement qui aide à construire un profil avec des caractéristiques d'une personne dont il n'a pas lui-même connaissance. Identification faciale générique dans les rues. Oh attendez, ce n'est pas l'avenir, c'est le présent!
Eh bien, toutes ces technologies ne nuisent pas nécessairement à l'humanité - au contraire, elles peuvent aider. L'apprentissage automatique est logique là où seul le bruit blanc a été vu auparavant. Cela offre de nouvelles opportunités et apporte de nouveaux risques, au moins en termes de stockage des données collectées. Au maximum, des technologies telles que la recherche scientifique sur les moniteurs rendront incroyablement difficile de garder quelque chose de secret. Bien que vous puissiez acheter directement des machines à écrire, vous pourrez probablement restaurer l'intégralité du texte au son des touches.
IoT et équivalent
L'un des résumés les plus populaires de cette année a été
consacré aux vulnérabilités des routeurs Mikrotik, D-Link et TP-Link. Assimiler les routeurs à l'Internet des objets est une idée controversée, nous formulerons soigneusement: les risques graves à l'avenir seront présentés par des appareils qui fonctionnent de manière autonome, communiquent principalement avec leur propre type et le font de telle manière que peu de gens savent exactement ce qui se passe là-bas. Les routeurs sont un sacrifice si important, depuis les deux dernières années, ils ont été attaqués massivement, ont tous les signes de dispositifs autonomes, et leur compromis devient tôt ou tard perceptible.
Les victimes évidentes d'un avenir IoT incertain sont les haut-parleurs intelligents et d'autres appareils qui surveillent le propriétaire de l'appareil 24h / 24. Jusqu'à présent, les nouvelles à leur sujet ressemblent à des blagues: soit un haut-parleur intelligent au milieu de la nuit se met à
rire , soit un résident allemand reçoit une voix d'une
personne complètement différente d'Amazon sur demande au sein du RGPD. Tout ce qui est connecté à votre réseau domestique et qui a sa propre relation avec des serveurs externes est potentiellement vulnérable. Alors que la discussion sur les appareils intelligents tourne uniquement autour de la confidentialité, il est possible que nous parlions bientôt d'isoler l'IoT de tout le reste: pourquoi votre compteur d'électricité devrait-il avoir accès à votre partage de fichiers?
Dans les idées sur l'avenir, nous avons souvent tendance à glisser vers les extrêmes: il y aura soit une belle utopie, soit un homme sombre et cyberpunk. Chers éditeurs, nous suggérons que tout ira bien, même sans voitures volantes. Mais même ainsi, l'ère de «l'ordinateur personnel» en tant qu'appareil utile mais facultatif tel qu'une calculatrice se termine. Le temps commence où les gens sont complètement intégrés dans le réseau, interagissent avec lui chaque minute et en dépendent. Par conséquent, il ne faut pas prendre à la légère même les menaces théoriques pesant sur la capacité de travail de ce monde. Ce monde peut être différent, mais en général il n'est pas assez mauvais pour essayer de ne pas le briser. Cela fonctionnera-t-il? Nous continuerons d'observer. Bonne année! Le premier condensé de la nouvelle année sera publié le 14 janvier.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.