Jika Anda melihat
pilihan berita penting kami untuk 2018, Anda mungkin merasa bahwa tidak ada yang berubah di 2019 terakhir. Kerentanan perangkat keras masih terlihat menjanjikan (contoh terbaru:
melewati Guard Guard Extensions pada prosesor Intel) dan masih belum diterapkan dalam serangan nyata. Tetapi pembelajaran mesin digunakan dalam praktik, misalnya, untuk rekayasa sosial berteknologi tinggi. Tiruan suara kepala organisasi
membantu mencuri satu juta euro, dan Microsoft
menyelenggarakan kompetisi untuk menciptakan algoritma yang mendeteksi dipfeyki.
Ancaman dari Internet terhadap berbagai hal juga belum hilang, dan pada 2019 ada lebih banyak studi tentang IoT generasi baru. Contoh terbaru:
phishing suara menggunakan speaker pintar. Semua ini adalah contoh serangan yang menjanjikan yang dapat (secara alami, tiba-tiba) menjadi relevan di masa depan. Saat ini, infrastruktur tradisional sedang diserang: ahli Lab Kaspersky
menyebut serangan yang ditargetkan ransomware ransomware salah satu topik utama tahun ini. Berita penting tahun ini dikaitkan dengan serangan yang berhasil terhadap infrastruktur, yang sangat penting dan kekurangan dana secara kronis - sistem TI di kota dan rumah sakit.
Dari berbagai peristiwa di bidang keamanan informasi, sulit untuk memilih sesuatu yang benar-benar signifikan, dan ini normal: studi teoretis atau serangan nyata yang secara radikal mengubah gagasan kami tentang perlindungan data pada perangkat pribadi atau di awan, untungnya, jarang terjadi. Oleh karena itu, hari ini kita memiliki berita top non-standar: mereka tidak memiliki terobosan atau revolusi, tetapi ada intrik, drama dan metode penelitian non-sepele.
Privasi - Kegagalan Tahun Ini
Kami berani menyebut tahun 2019 sebagai tahun privasi
di bulan Januari . Pada tahun 2018, tidak hanya beberapa ahli, tetapi juga media tradisional, dan bahkan pengguna biasa, mulai mengajukan pertanyaan kompleks kepada perusahaan tentang pemrosesan data pribadi pengguna. Semuanya dimulai dengan skandal dengan Facebook dan Cambridge Analytica, dan
investigasi tahun ini sedang dilakukan terhadap agregator data pribadi terbesar, seperti Facebook, Amazon dan Google, dan mereka
sangat didenda . Hampir setiap insiden besar yang melibatkan kebocoran kata sandi atau data pribadi dibahas secara luas, dan terkadang keputusan yang masuk akal pun dikritik. Pada bulan Juli, kami
memberikan contoh ambigu "serangan terhadap privasi": penggunaan informasi tentang pengguna layanan Google untuk "otomatis" reCaptcha v3, menanamkan pengidentifikasi Facebook dalam metadata gambar dan hak aplikasi untuk smartphone Android.
Bagus topiknya sedang dibahas. Sangat buruk bahwa solusi untuk masalah tersebut, dapat dimengerti oleh pengguna dan memberinya setidaknya beberapa kendali atas pemrosesan data pribadi, belum muncul. Secara teori, undang-undang GDPR Eropa yang diperkenalkan pada 2018 seharusnya telah meningkatkan situasi privasi, tetapi kita semua tahu bagaimana itu berakhir: sekarang pada setengah dari situs yang Anda butuhkan tidak hanya menutup jendela untuk berlangganan pemberitahuan, proposal untuk mengunduh aplikasi dan berlangganan buletin, tetapi dan formulir GDPR. Dimungkinkan untuk mematikan transfer data ke jaringan iklan, tetapi serius, setidaknya seseorang melakukannya secara berkelanjutan? Pada bulan Juni, tagihan seperti GDPR
disahkan di California. Namun demikian, tampaknya setiap kegiatan legislatif di bidang teknologi tinggi hanya memiliki setengah efek jika tidak didukung oleh solusi teknis. Ini sama dengan melarang penjahat cyber mencuri informasi kartu kredit tanpa memberikan perlindungan yang memadai kepada kartu kredit itu sendiri.
Sebagai konsumen, kami, di satu sisi, mengkritik (sering karena alasan) pengembang perangkat dan perangkat lunak untuk
mengambil tangkapan layar dari TV pintar,
menargetkan iklan berdasarkan nomor telepon di Twitter,
mendengarkan pesan suara pribadi dalam mode manual. Di sisi lain, kami secara aktif menggunakan hasil pemrosesan data pribadi ini: dalam layanan musik dengan rekomendasi, dalam navigator yang mengingat di mana mobil diparkir, dengan asisten suara yang mengingatkan Anda untuk memanggil Gennady. Pertanyaannya adalah, apa lagi yang dilakukan korporasi dengan profil kami, selain membawa manfaat bagi kami secara pribadi? Jawabannya tampaknya hanya diketahui oleh seratus ahli di pihak vendor, dan tidak ada orang lain.
Dengan kata lain, tidak ada yang benar-benar berguna dengan privasi pada 2019 yang terjadi. Ini masih Wild West dengan salon dan kereta perampokan, di mana sebagian kecil penduduk marah oleh keadaan saat ini. Saya berharap bahwa pada tahun 2020 akan ada beberapa standar etika untuk pemrosesan dan penyebaran data pribadi yang dipahami dan digunakan orang oleh layanan jaringan sebagai keunggulan kompetitif yang pasti. Pada awal tahun di CES, Apple sudah mencoba melakukan ini, yang, menurut pernyataannya sendiri, tidak memperdagangkan data pelanggan. Masalahnya adalah bahwa privasi data pada smartphone ditentukan tidak hanya oleh pengaturan sistem, tetapi juga oleh perilaku aplikasi. Dan di dalamnya situasinya
jauh dari ideal .
Peretasan Notepad
Hadiah dalam nominasi "tidak ada yang bisa dihancurkan dalam aplikasi ini, tapi kami mampu" diterima oleh sebuah
studi oleh pakar Google Project Zero Tavis Ormandy. Dia menemukan kerentanan dalam Kerangka Layanan Teks, alat berbasis teks kuno dengan hak istimewa luas pada Windows. Kerentanan yang ditutup pada bulan Agustus secara teoritis dapat digunakan untuk menjalankan kode arbitrer dengan hak sistem.
Contoh mengeksploitasi kerentanan ditampilkan dalam video. Yang paling menarik adalah bahwa Notepad tidak ada hubungannya dengan itu: tidak ada kerentanan khusus dalam aplikasi ini. Tetapi menggunakan Kerangka Layanan Teks, Ormandy mampu menunjukkan masalah dengan gaya tradisional: ketika kode arbitrer dijalankan dari aplikasi yang tampaknya tidak berbahaya, dalam hal ini, konsol dimulai dari Notepad.
Rantai pasokan
Topik utama tahun ini: serangan rantai pasokan. Studi paling menarik tahun ini adalah analisis serangan ShadowHammer oleh para ahli Kaspersky Lab. Program reguler untuk memperbarui driver perangkat Asus, yang dikenal sebagai Asus Live Update, telah dimodifikasi dan didistribusikan selama beberapa waktu dari server pabrikan. Jumlah korbannya relatif sedikit (puluhan ribu), tetapi mereka yang melancarkan serangan ini tidak mengejar jumlahnya. Kode berbahaya tidak melakukan sesuatu yang ilegal di komputer korban, kecuali alamat MAC perangkat jaringan cocok dengan daftar target yang dijahit ke dalam tubuh program.
ShadowHammer adalah contoh dari serangan kelas tinggi modern: target tunggal, stealth maksimum, metode pengiriman non-sepele. Tetapi ini bukan satu-satunya varian dari serangan rantai pasokan ketika suatu perangkat atau perangkat lunak dimodifikasi sebelum dikirimkan ke konsumen. Ini bukan tentang kerentanan dalam perangkat lunak atau perangkat keras yang masih harus Anda manfaatkan, tetapi tentang situasi di mana Anda membeli laptop
yang sudah dapat diakses seseorang . Dapat diasumsikan bahwa serangan seperti itu tidak mungkin meluas, tetapi tidak. Musim panas ini, kami
menulis tentang perangkat Android China yang dilengkapi dengan backdoor out of the box. Kemungkinan besar, pabrikan tidak ada hubungannya dengan itu juga: mereka meretas kontraktor yang bekerja pada pemasangan telepon.
Apa yang diharapkan dari 2020? Pakar Kaspersky Lab
menganggap jaringan seluler generasi kelima
sebagai salah satu area yang βsulitβ. Dengan penyebaran 5G, kami tidak hanya akan menerima komunikasi seluler dengan kecepatan Internet kabel tercepat, tetapi juga distribusi massa "pintar" dan bukan perangkat yang terus-menerus mengirimkan data. Ancamannya jelas: jika 5G benar-benar menjadi sarana komunikasi utama bagi kebanyakan orang, Anda harus waspada meretas jaringan itu sendiri atau operator telekomunikasi untuk mencuri data dan serangan DDoS. Secara umum, ini berlaku untuk teknologi jaringan komputer lainnya: semakin kita bergantung pada asisten digital, layanan jaringan untuk menyimpan data, jaringan sosial untuk komunikasi, semakin kita bergantung pada mereka, semakin serius kita tentang ancaman, apakah itu serangan terhadap rekening bank atau pelanggaran rahasia kehidupan pribadi. Ancaman maya adalah sisi kebalikan dari kemajuan, dan jika ada lebih banyak ancaman, maka kemajuan juga terjadi. Pada catatan positif ini, editor terkasih mengucapkan selamat tinggal kepada Anda sampai Tahun Baru!