Массовый переход веб-сайтов на протокол HTTPS, шифрующий обмен данными между компьютером пользователя и сайтом, произошел за последние годы во многом благодаря деятельности Фонда электронных рубежей (EFF), правозащитной организации, борющейся за соблюдение прав свободы личности в Интернете. Еще десять лет тому назад, отмечают в EFF, обмен информацией в WWW практически повсеместно происходил в режиме открытого текста.

Толчком к началу кампании за повсеместное внедрение HTTPS для EFF стало событие, происшедшее 26 января 2006 года, — в штаб-квартиру организации пришел бывший сотрудник AT&T Марк Клейн и рассказал, что в этой компании специалисты АНБ США устроили «секретную шпионскую комнату», позволившую спецслужбе получить доступ ко всему трафику Интернета, проходившему через провайдера.

Одним из результатов последовавшей кампании по переводу сайтов на шифрование в 2011 году стало появление браузерного плагина HTTPS Everywhere, созданного в партнерстве с Tor Project, — он принудительно переключает соединение в режим обмена данными по защищенному протоколу TLS, если он поддерживается сайтом.

В то время лишь около тысячи сайтов из первого миллиона в рейтинге Alexa пользовались HTTPS. В 2013 году Эдвард Сноуден рассказал миру о тотальной слежке АНБ за пользователями WWW, и в EFF начали регулярную публикацию «Отчета о шифровании Всемирной паутины» с рейтингом онлайн-компаний, отражавшим уровень внедрения защитных технологий. Рейтинг составляется в форме «матрицы оценочных карточек», таблицы, в которой каждая ячейка — это флажок, свидетельствующий о выполнении или невыполнении участником той или иной технической задачи.

Инициатива принесла свои плоды — в целом ряде онлайн-компаний стали активно работать над тем, чтобы заполнить все клетки в таблице «галочками». Тем не менее, очень многие сайты по-прежнему не использовали шифрование. Тогда в EFF совместно с Мичиганским университетом и Mozilla учредили удостоверяющий центр Let's Encrypt, который стал выдавать всем желающим бесплатные сертификаты шифрования и тем самым радикально упростили перевод сайтов на HTTPS. Как следствие, в августе 2018 года доля HTTPS-сайтов в верхнем миллионе Alexa достигла уже 50%.

На этом в EFF останавливаться не собираются: в организации надеются добиться шифрования не только WWW, но и вообще всего трафика Интернета. В этой связи в фокусе внимания EFF сейчас находится ряд новых технологий.

Одна из них — Encrypted Server Name Identification. Технология SNI — это расширение протокола TLS, которое позволяет на одном сервере сосуществовать нескольким зашифрованным сайтам, доступным по одному IP. Выбор нужного сайта выполняется с помощью SNI, однако его имя при этом передается открытым текстом.

Доработанный вариант, Encrypted SNI, шифрует идентификационную информацию, но атакующий по-прежнему может выяснить доменное имя в связи с открытостью системы DNS. Чтобы помешать этому, предлагается шифровать и систему доменных имен.

Конкретно, обсуждаются два варианта такой технологии — DNS over HTTPS (DoH) и DNS over TLS (DoT). Первый подразумевает разрешение доменных имен по протоколу HTTPS, второй — шифрование запросов к DNS и ее ответов с помощью TLS. Как объясняют в EFF, преимущество DoH — значительное затруднение цензуры в Интернете, а недостаток — усложнение обнаружения вредоносной активности для операторов сетей. В случае DoT компромисс противоположный: эта технология облегчает и обнаружение вредоносной активности, и цензуру. В EFF признаются, что еще не выбрали, какой из двух вариантов шифрования DNS предпочесть.

Борются в EFF и за защиту электронной почты. В последнее время на почтовых серверах достаточно широко стало применяться расширение STARTTLS, которое позволяет зашифровать обмен информацией с клиентским приложением, но его можно легко обойти с помощью атаки посредника с подменой сертификата. По данным EFF, в некоторых странах это активно делается на уровне провайдеров, например, в Тунисе из 96% сообщений электронной почты заголовки STARTTLS удаляются.

В качестве решения предлагается протокол SMTP MTA-STS (Mail Transfer Agent Strict Transport Security), который делает обязательной проверку действительности сертификата шифрования. Перевод почтовых серверов на этот протокол — процедура относительно сложная, в связи с чем в EFF начали проект STARTTLS Everywhere, в рамках которого предлагаются меры по облегчению внедрения MTA-STS.

Чтобы ускорить переход к тотальному шифрованию Интернета, в EFF планируют начать публикацию новой матрицы оценочных карточек, — рейтинга, который будет учитывать использование участниками современных криптографических технологий. Пока что с содержанием новой таблицы в EFF не определились: помимо поддержки Encrypted SNI, шифрования DNS и MTA-STS в ней могут быть и другие технологии, например, TLS 1.3 и HSTS.

В организации признают, что достичь амбициозной цели полного шифрования трафика Интернета будет непросто, учитывая что решением соответствующих технических задач в EFF занимаются всего восемь разработчиков.

Специалисты фирмы WootCloud обнаружили еще три ботнета, нацеленных на заражение корпоративных систем видеоконференций Polycom HDX. Первый ботнет такого рода, названный OMNI, специалисты выявили в августе прошлого года. Новые ботнеты (они получили названия Bushido, Hades и Yowai) основаны на кодах ботнета Mirai, которые появились в сети в 2016 году. Хотя сам Mirai уже не проявляет активности, на его основе было создано по крайней мере 13 других ботнетов. Bushido, Hades и Yowai распространяются через подключения по протоколу Telnet и методом перебора подбирают пароли к устройствам Polycom HDX и другим устройствам. Не исключается также использование уязвимостей в прошивке устройств, считают в WootCloud. Компания Polycom выпустила бюллетень по безопасности, в котором сообщается, что уязвимыми являются устройства Polycom HDX с прошивками 3.1.13 и более старых версий.

В январе компания предупреждала пользователей о необходимости менять на устройствах установленные по умолчанию пароли и блокировать доступ к ним через Интернет. Тем не менее, по оценкам специалистов WootCloud, через Интернет можно подключиться к тысячам устройств Polycom HDX. Даже одно зараженное устройство подвергает опасности всю корпоративную сеть, в которой оно установлено.

Как показали исследователи из Аделаидского (Австралия) и Вермонтского университета (США), даже после удаления страницы в социальной сети информацию о пользователе можно продолжать собирать из публикаций его друзей. Результаты их исследования опубликованы в журнале Nature Human Behaviour. Авторы полагают, что им впервые удалось оценить, какую информацию о человеке можно извлечь из анализа его взаимодействий с друзьями.

Ученые изучили свыше 30 млн сообщений в Twitter и с помощью методов теории информации и вероятности оценили возможность прогноза поведения людей на основе текстов, которые они публикуют в сети. Как оказалось, для достижения той же точности прогнозов, что и по данным, принадлежащим самому пользователю, достаточно проанализировать данные 8-9 его друзей.

Многие люди думают, что в социальных сетях они делятся только информацией о себе, отмечают авторы, но это не так — пользователи неизбежно раскрывают информацию и о своих друзьях. Социальные сети используют прогнозирование поведения пользователей для таргетирования, чтобы пользователи видели публикации, которые будут им наиболее интересны. Но у этой технологии есть и обратная сторона — например, в политических дискуссиях пользователи рискуют получать информацию только с одной стороны, подчеркивают исследователи.

Компания Carbonite, предоставляющая решения в области резервного копирования и восстановления данных, приобрела за 618 млн долл. компанию Webroot, которая занимается разработкой антивирусов, межсетевых экранов и других средств защиты компьютеров, в том числе на основе облачных технологий и использующих возможности машинного обучения. Сделка уже была одобрена советами директоров обеих компаний.

Carbonite начала работу в 2005 году, обслуживая индивидуальных пользователей и предприятия малого бизнеса. Сейчас у компании свыше 1,5 млн пользователей. В 2016 году Carbonite приобрела у Seagate подразделение EVault, что позволило ей начать предлагать крупным предприятиям гибридные средства резервного копирования и восстановления данных.

Компания Webroot была создана в 1997 году. Последний финансовый год она завершила с доходом в 215 млн долл. В компании работает около 600 человек. В Carbonite считают, что экосистемы компаний взаимно дополняют друг друга. В частности, у Carbonite будет возможность реализовывать свои продукты партнерам Webroot среди провайдеров управляемых сервисов и разработчиков средств дистанционного мониторинга и управления.

Компания Cisco намерена добиваться принятия во всем мире законов, обеспечивающих защиту личных данных, и признания ее фундаментальным правом человека. Такие законы, как считают в компании, должны основываться на четырех принципах: безопасности, прозрачности, подотчетности и возможности инноваций. Во-первых, закон должен определить ответственность за обеспечение конфиденциальности данных, целостности, доступности и возможности восстановления в случае аварий. Операторы должны публиковать правила сбора, использования, передачи и раскрытия данных, а контроль должен осуществляться ответственными лицами на основе оценки рисков. И наконец, закон должен давать возможность реализации проектов повышения прозрачности с участием разных заинтересованных сторон.

В США Cisco выступает за принятие федерального закона о защите данных, гарантирующего совместимость различных режимов защиты данных, предотвращающего фрагментацию ответственности и гарантирующего потребителям возможность защиты своих прав без дорогостоящих судебных процессов. В Австралии Cisco выступала против закона, требующего от провайдеров обеспечения доступа к зашифрованным данным.

Объем продаж систем управления отношениями с клиентами (CRM) в 2017 году вырос до 39,5 млрд долл., обогнав объем продаж СУБД (36,8 млрд долл). А в 2018 году CRM-системы стали не только самым крупным, но и самым быстрорастущим сегментом рынка, утверждают аналитики Gartner. По оценкам, продажи CRM-систем за год вырастут на 16%. Особенно быстрый рост — больше 20% в год — наблюдается среди систем для управления лидами, работы с мнениями клиентов и управления выездным обслуживанием. На рынке постоянно появляются новые разработчики, но у крупнейших компаний, выпускающих CRM-системы, продажи растут быстрее, чем в среднем по рынку, отмечают аналитики, и они успешно развивают перекрестные продажи клиентам дополнительных компонентов.

В CRM, как правило, хранится большое количество личных данных клиентов, отмечают аналитики. Из-за этого они представляют больший риск с точки зрения выполнения требований нового Общего регламента о защите данных (GDPR), принятого в прошлом году в Евросоюзе. Расходы на обеспечение соблюдения требований GDPR увеличат бюджеты программ информационной безопасности и взаимодействия с клиентами. Компаниям придется вкладывать средства в технологии маркетинга, предотвращения потери данных и управления информацией о безопасности.

Еще один архив с украденными адресами электронной почты и паролями, на этот раз под названием «Коллекция №2-№5» появился в сети. Размер архива составляет более 600 Гбайт. Как и предыдущий архив «Коллекция №1», он состоит из множества файлов, полученных злоумышленниками из разных источников. По оценкам исследователей из Института Хассо Платтнера (Потсдамский университет), по крайней мере 611 млн из адресов и паролей в новом архиве не встречаются в предыдущем и, таким образом, общее количество сочетаний адресов и паролей в обеих «коллекциях» составляет порядка 2,19 млрд.

Любой пользователь Интернета с большой вероятностью сможет найти в «коллекциях» хотя бы один из используемых им адресов электронной почты, особенно, если этот адрес использовался для регистрации на различных сайтах. На сайте Института Платтнера работает сервис, позволяющий проверить, не встречается ли указанный адрес в выложенных в сеть архивах. Хотя по имеющимся данным невозможно узнать, соответствует ли имеющийся в архивах пароль реальному и действует ли этот пароль до сих пор, в случае обнаружения адреса в базе данных пароль рекомендуется сменить.

По подсчетам специалистов юридической фирмы DLA Piper, с момента вступления в силу в мае 2018  года европейского общего регламента о защите данных (GDPR) в ЕС было подано 59430 уведомлений о происшествиях, связанных с нарушениями защиты данных. Регламент требует от компаний уведомлять регулирующие органы и граждан, чьи личные данные могли попасть в чужие руки, в течение 72 часов после того, как о происшествии стало известно. Большинство уведомлений было подано в Нидерландах (15400 уведомлений), Германии (12600) и Великобритании (10600).

Однако за все это время регулирующие органы наложили на компании только 91 штраф за нарушения GDPR, и не все из них были связаны с утечкой данных — например, самый большой штраф в 50 млн евро был наложен на Google за обработку личных данных в целях рекламы без предварительного получения разрешения. В Германии штраф в 20 тыс. евро получила компания, не использовавшая для защиты паролей криптографические хэши, а в Австрии штраф в 4800 евро был наложен за применение системы видеонаблюдения, в поле зрения которой попала часть общественного тротуара. Регулирующие органы не успевают рассмотреть все уведомления, полагают в DLA Piper.

Специалисты фирмы Securonix отмечают, что за последние несколько месяцев выросло число атак на облачную инфраструктуру с помощью автоматизированных средств. Атаке подвергаются разные облачные платформы с неустраненными уязвимостями, а основной целью атак является установка модулей для криптомайнинга или удаленного доступа, а также программ-вымогателей.

Часто наблюдается использование червя XBash, впервые замеченного специалистами в мае 2018 года. Он заражает как серверы на базе Windows, так и на базе Linux. В некоторых случаях после получения доступа к базе или хранилищу данных вирусы удаляют их и оставляют сообщения с требованием выкупа, хотя на самом деле восстановить данные уже невозможно. В других случаях они устанавливают модули для добычи криптовалют, самой популярной из которых является Monero.

Списки командных серверов для вирусов взломщики выкладывают на Pastebin и аналогичных сервисах. В докладе Securonix перечислены часто встречающиеся признаки взлома: хэши различных файлов вирусов и IP-адреса командных серверов. В докладе также приводятся правила для межсетевых экранов, позволяющие частично нейтрализовать атаки и шаблоны для создания правил обнаружения атак.

Мошенники применили против клиентов Сбербанка социальную инженерию, сообщает «Коммерсантъ». На мобильных телефонах высвечивались номера телефонов Сбербанка: в одном случае это был номер 900, в другом — +7 (495) 500-55-50. Сомневавшемуся клиенту злоумышленники присылали СМС с подтверждением с короткого номера 900 и предоставляли информацию по счетам. Они также знали ФИО жертвы и паспортные данные.

Мошенники звонили, чтобы якобы предупредить клиента о попытке несанкционированного списания денег с карты. Человеку перезванивали много раз в течение часа и прекращали это делать только после того, как он сам через онлайн-банк блокировал карту.

Эксперты говорят, что звонок мошенников с официального номера технически реализуем: достаточно скачать специальное приложение на мобильный телефон. Также информацию о клиенте можно собрать через соцсети и по номеру автомобиля. Однако точное знание баланса на счетах свидетельствует об инсайде в банке, полагают специалисты. Предотвратить такие утечки сложно: у финансовых организаций низкая мотивация бороться с ними, поскольку ответственность за утечку банковской тайны не слишком хорошо прописана. Поэтому пока клиентам, имеющим подозрения, остается только самостоятельно перезванивать в банк: позвонить мошенники могут с любого номера, но у них нет возможности на этот же номер звонок принять.