Si vous regardez notre
sélection de nouvelles importantes pour 2018, vous pourriez avoir le sentiment que rien n'a changé au cours de l'année 2019. Les vulnérabilités matérielles semblent toujours prometteuses (le dernier exemple:
contourner les extensions Guard Guard sur les processeurs Intel) et ne sont toujours pas appliquées dans les attaques réelles. Mais l'apprentissage automatique est utilisé dans la pratique, par exemple, pour l'ingénierie sociale de haute technologie. L'imitation de la voix du chef de l'organisation a
permis de voler un million d'euros, et Microsoft a
organisé un concours pour créer un algorithme qui détecte dipfeyki.
Les menaces de l'Internet des objets n'ont pas disparu non plus, et en 2019, il y a eu plus d'études sur la nouvelle génération d'IoT. Un exemple récent: le
phishing vocal à l' aide d'enceintes intelligentes. Tous ces exemples sont des attaques prometteuses qui peuvent (naturellement, soudainement) devenir pertinentes à l'avenir. À l'heure actuelle, l'infrastructure traditionnelle est attaquée: les experts de Kaspersky Lab ont
qualifié les attaques ciblées de ransomware ransomware de l'un des principaux sujets de l'année. Les nouvelles très médiatisées de l'année ont été associées à des attaques réussies contre l'infrastructure, qui est à la fois d'une importance critique et chroniquement sous-financée - les systèmes informatiques dans les municipalités et les hôpitaux.
À partir d'un tel éventail d'événements dans le domaine de la sécurité de l'information, il est difficile de choisir quelque chose de vraiment significatif, et c'est normal: des études théoriques ou de véritables attaques qui changent radicalement nos idées sur la protection des données sur un appareil personnel ou dans le cloud, heureusement, se produisent rarement. Par conséquent, aujourd'hui, nous avons une actualité non standard: ils n'ont pas de percées ou de révolutions, mais il y a des méthodes de recherche intrigantes, dramatiques et non triviales.
Confidentialité - Échec de l'année
Nous avons osé appeler 2019 l'année de la confidentialité
en janvier . En 2018, non seulement quelques experts, mais aussi les médias traditionnels, et même des utilisateurs ordinaires, ont commencé à poser des questions complexes aux entreprises sur le traitement des données personnelles des utilisateurs. Tout a commencé par un scandale avec Facebook et Cambridge Analytica, et cette année, des
enquêtes sont menées contre les plus grands agrégateurs de données personnelles, comme Facebook, Amazon et Google, et elles sont
lourdement condamnées . Presque chaque incident majeur impliquant la fuite de mots de passe ou de données personnelles est largement discuté, et parfois même des décisions raisonnables sont critiquées. En juillet, nous avons
donné des exemples de telles «attaques contre la vie privée» ambiguës: l'utilisation d'informations sur les utilisateurs des services Google pour le reCaptcha v3 «automatisé», l'intégration des identifiants Facebook dans les métadonnées d'image et les droits d'application pour les smartphones Android.
C'est bien que le sujet soit en discussion. Il est regrettable que des solutions au problème, compréhensibles par l'utilisateur et lui donnant au moins un certain contrôle sur le traitement des données personnelles, ne soient pas apparues. En théorie, la loi européenne GDPR introduite en 2018 aurait dû améliorer la situation de la confidentialité, mais nous savons tous comment cela s'est terminé: maintenant sur la moitié des sites, vous devez fermer non seulement la fenêtre pour vous abonner aux notifications, la proposition de télécharger l'application et de vous abonner à la newsletter, mais et formulaire GDPR. Il peut être possible de désactiver le transfert de données vers les réseaux publicitaires, mais sérieusement, au moins quelqu'un le fait de façon continue? En juin, un projet de loi de type GDPR a été
adopté en Californie. Néanmoins, il semble que toute activité législative dans le domaine de la haute technologie n'ait qu'un demi-effet si elle n'est pas soutenue par des solutions techniques. Cela revient à interdire aux cybercriminels de voler des informations de carte de crédit sans fournir aux cartes de crédit elles-mêmes une protection adéquate.
En tant que consommateurs, nous, d'une part, critiquons (souvent pour la cause) les développeurs d'appareils et de logiciels pour
prendre des captures d'
écran des téléviseurs intelligents,
cibler les annonces par numéro de téléphone sur Twitter,
écouter les messages vocaux privés en mode manuel. D'autre part, nous utilisons activement les résultats de ce traitement des données personnelles: dans un service de musique avec des recommandations, dans un navigateur qui se souvient où la voiture est garée, dans un assistant vocal qui vous rappelle d'appeler Gennady. La question est, qu'est-ce que les entreprises font d'autre avec notre profil, en plus de nous apporter des avantages personnels? La réponse ne semble être connue que d'une centaine d'experts du côté du vendeur, et personne d'autre.
En d'autres termes, rien de vraiment utile avec la confidentialité en 2019 ne s'est produit. Il s'agit toujours du Far West avec des salons et des vols de train, dans lesquels une petite partie de la population est indignée par l'état actuel des choses. Je voudrais espérer qu'en 2020, il y aura des normes éthiques pour le traitement et la diffusion des données personnelles que les gens comprennent et utilisent par les services de réseau comme un certain avantage concurrentiel. Au début de l'année au CES, Apple tentait déjà de le faire, ce qui, selon sa propre déclaration, n'échange pas de données clients. Le problème est que la confidentialité des données sur un smartphone est déterminée non seulement par les paramètres système, mais également par le comportement des applications. Et en eux, la situation
est loin d'être idéale .
Hacking Notepad
Le prix dans la nomination "il n'y a rien à casser dans cette candidature, mais nous avons pu" est reçu par une
étude de Tavis Ormandy, expert de Google Project Zero. Il a découvert une vulnérabilité dans Text Services Framework, un ancien outil basé sur du texte avec de larges privilèges sur Windows. La vulnérabilité fermée en août pourrait théoriquement être utilisée pour exécuter du code arbitraire avec des droits système.
Un exemple d'exploitation d'une vulnérabilité est présenté dans la vidéo. La chose la plus intéressante est que le Bloc-notes n'a rien à voir avec cela: il n'y a aucune vulnérabilité spécifiquement dans cette application. Mais en utilisant le Text Services Framework, Ormandy a pu démontrer le problème dans le style traditionnel: lorsque du code arbitraire est exécuté à partir d'une application apparemment inoffensive, dans ce cas, la console démarre à partir du Bloc-notes.
Chaîne d'approvisionnement
Un sujet majeur de l'année: les attaques de la chaîne d'approvisionnement. L'
étude la plus intéressante de cette année a été l'analyse de l'attaque de ShadowHammer par des experts de Kaspersky Lab. Le programme régulier de mise à jour des pilotes de périphériques Asus, connu sous le nom d'Asus Live Update, a été modifié et distribué pendant un certain temps à partir des serveurs du fabricant. Il y a eu relativement peu de victimes (des dizaines de milliers), mais ceux qui ont lancé cette attaque n'ont pas poursuivi les chiffres. Le code malveillant n'a rien fait d'illégal sur les ordinateurs victimes, à moins que l'adresse MAC du périphérique réseau ne corresponde à la liste des cibles cousues dans le corps du programme.
ShadowHammer est un exemple d'attaque moderne de grande classe: cibles uniques, furtivité maximale, méthode de livraison non triviale. Mais ce n'est pas la seule variante d'une attaque de chaîne d'approvisionnement lorsqu'un appareil ou un logiciel est modifié avant d'être livré au consommateur. Il ne s'agit pas d'une vulnérabilité logicielle ou matérielle que vous devez encore pouvoir exploiter, mais de la situation lorsque vous achetez un ordinateur portable
auquel quelqu'un a déjà accès . On pourrait supposer que de telles attaques sont peu susceptibles de se généraliser, mais non. Cet été, nous avons
écrit sur les appareils Android chinois équipés d'une porte dérobée prête à l'emploi. Très probablement, les fabricants n'avaient rien à voir non plus: ils ont piraté des entrepreneurs qui travaillaient sur des téléphones clignotants.
Qu'attendre de 2020? Les experts de Kaspersky Lab
considèrent les réseaux mobiles de cinquième génération
comme l' un des domaines «difficiles». Avec la diffusion de la 5G, nous ne recevrons pas seulement des communications mobiles avec la vitesse de l'Internet filaire le plus rapide, mais aussi la distribution de masse d'appareils «intelligents» et pas tellement qui transmettent constamment des données. Les menaces sont claires: si la 5G devient vraiment le principal moyen de communication pour la plupart des gens, vous devriez vous méfier du piratage du réseau lui-même ou des opérateurs de télécommunications pour voler des données et des attaques DDoS. En général, cela est vrai pour toute autre technologie de réseau informatique: plus nous comptons sur des assistants numériques, des services de réseau pour stocker des données, des réseaux sociaux pour la communication, plus nous dépendons d'eux, plus nous sommes sérieux face aux menaces, qu'il s'agisse d'une attaque sur un compte bancaire ou violation des secrets de la vie privée. Les cybermenaces sont le revers du progrès, et s'il y a plus de menaces, alors le progrès a également lieu. Sur cette note positive, chers éditeurs, vous dites au revoir jusqu'à la nouvelle année!