如果您查看我们
精选的 2018年重要新闻,您可能会感到在过去的2019年没有任何变化。 硬件漏洞看起来仍然很有希望(最新示例:
绕过 Intel处理器上
的 Guard Guard扩展),并且仍未应用于实际攻击中。 但是机器学习实际上是在例如高科技社会工程学中使用的。 模仿该组织负责人的声音
帮助窃取了100万欧元,微软
组织了一场竞赛,以开发一种检测dipfeyki的算法。
物联网的威胁也没有消失,2019年有更多关于新一代物联网的研究。 最近的一个例子:使用智能扬声器进行
网络钓鱼 。 所有这些都是有前途的攻击的示例,这些攻击将来可能(自然而然地)变得很重要。 当前,传统的基础设施正在受到攻击:卡巴斯基实验室专家
称勒索软件的有针对性攻击勒索软件是今年的主要主题之一。 本年度备受关注的新闻与对基础设施的成功攻击有关,基础设施的攻击既至关重要,又长期资金不足-市政和医院的IT系统。
从信息安全领域中如此广泛的事件中很难选择真正重要的事情,这是正常的:幸运的是,理论研究或实际攻击从根本上改变了我们有关个人设备或云中数据保护的观念。 因此,今天我们有了一个非标准的头条新闻:它们没有突破或革命,但有阴谋,戏剧和非平凡的研究方法。
隐私-年度失败
我们大胆地将2019年称为隐私
年 。 在2018年,不仅有一些专家,而且传统媒体甚至普通用户都开始向公司询问有关处理用户个人数据的复杂问题。 这一切都始于Facebook和Cambridge Analytica的丑闻,而今年针对Facebook,Amazon和Google等最大的个人数据聚合商进行了
调查 ,并对其
处以高额罚款 。 几乎所有涉及密码或个人数据泄露的重大事件都得到了广泛讨论,有时甚至批评了合理的决定。 7月,我们
给出了此类模棱两可的“隐私攻击”示例:将Google服务用户的信息用于“自动” reCaptcha v3,将Facebook标识符嵌入图像元数据和Android智能手机的应用程序权限中。
讨论话题很好。 糟糕的是,没有出现用户可以理解并为他提供至少一些控制个人数据的控制权的问题的解决方案。 从理论上讲,2018年出台的欧洲GDPR法应该会改善隐私状况,但是我们都知道它的结局:现在在一半的站点上,您不仅需要关闭订阅通知的窗口,还需要关闭下载应用程序和订阅新闻通讯的提议,但是和GDPR表格。 可能会关闭到广告网络的数据传输,但是严重的是,至少有人持续进行数据传输吗? 6月,类似于GDPR的法案在加利福尼亚
通过 。 但是,如果没有技术解决方案的支持,高科技领域的任何立法活动似乎只会发挥一半的作用。 这与禁止网络犯罪分子在没有为信用卡本身提供足够保护的情况下窃取信用卡信息相同。
作为消费者,我们一方面批评(通常是出于原因)设备和软件开发人员从智能电视中
截取屏幕截图 ,在Twitter上按电话号码
定位广告 ,以手动方式
收听私人语音消息。 另一方面,我们正在积极使用处理个人数据的结果:在提供建议的音乐服务中,在记住汽车停放位置的导航器中,在提醒您致电Gennady的语音助手中。 问题是,除了给我们个人带来好处之外,公司还对我们的形象有何作用? 答案似乎只有卖方方面的一百位专家知道,而没有其他人知道。
换句话说,2019年隐私方面没有发生任何真正有用的事情。 仍然是狂野的西部,有轿车和火车抢劫案,一小部分人口对目前的状况感到愤怒。 我希望到2020年,将有一些道德标准用于处理和传播个人数据,人们可以通过网络服务理解和使用这些数据,这是绝对的竞争优势。 年初在CES上,苹果公司已经在尝试这样做,根据其自己的声明,它不交易客户数据。 问题在于,智能手机上的数据隐私不仅取决于系统设置,还取决于应用程序的行为。 在他们看来,情况
远非理想 。
黑客记事本
Google Project Zero小组专家Tavis Ormandy进行的一项
研究获得了提名“该应用程序没有什么可改变的,但是我们能够做到”的奖项。 他在Text Services Framework中发现了一个漏洞,Text Services Framework是一个古老的基于Windows的具有广泛特权的基于文本的工具。 从理论上讲,八月份关闭的漏洞可以用于运行具有系统权限的任意代码。
视频中显示了利用漏洞的示例。 最有趣的是,记事本与之无关:此应用程序中没有专门的漏洞。 但是,使用文本服务框架,Ormandy能够以传统方式演示该问题:从看似无害的应用程序执行任意代码时,在这种情况下,控制台从记事本启动。
供应链
一年中的一个主要主题:供应链攻击。 今年最有趣的
研究是卡巴斯基实验室专家对ShadowHammer攻击的分析。 已从制造商的服务器修改并分发了用于更新Asus设备驱动程序的常规程序,称为Asus Live Update。 受害人数相对较少(成千上万),但发动这次袭击的人并没有追逐这些人数。 除非网络设备的MAC地址与程序主体中缝制的目标列表匹配,否则恶意代码不会对受害计算机执行任何非法操作。
ShadowHammer是现代高级攻击的一个示例:单一目标,最大隐身性,非平凡的交付方式。 但这不是在将设备或软件交付给消费者之前对其进行修改的供应链攻击的唯一变体。 这与您仍然需要能够利用的软件或硬件中的漏洞无关,而与购买
某人已经可以使用的笔记本电脑时的情况有关。 可以假设这种攻击不太可能广泛传播,但是没有。 今年夏天,我们
写了有关开箱即用后门的中国Android设备。 制造商极有可能与之无关:他们砍掉从事手机更新工作的承包商。
2020年会有什么期望? 卡巴斯基实验室专家
认为第五代移动网络
是 “困难”领域之一。 随着5G的普及,我们不仅将以最快的有线Internet的速度来接收移动通信,而且还将获得“智能”的大规模分发,而不是不断传输数据的设备。 威胁是显而易见的:如果5G实际上成为大多数人的主要通信手段,则应警惕入侵网络本身或电信运营商以窃取数据和DDoS攻击。 通常,对于任何其他计算机网络技术都是如此:我们越依赖数字助理,用于存储数据的网络服务,用于通信的社交网络,我们对它们的依赖就越多,我们对威胁的重视就越严重,无论是对银行帐户的攻击还是对银行的攻击侵犯隐私。 网络威胁是进步的反面,如果威胁更多,那么也会发生进步。 以此积极的态度,亲爱的编辑们会与您道别,直到新年!