книги хакеры / Как_защитить_себя_в_цифровом_мире_

чем мы говорим, — не профиль в привычном нам виде, а подборка данных, известных социальной сети о конкретном человеке. От зарегистрированных в соцсетях пользователей в такие профили поступает информация о людях, с которыми они как-то связаны. Соцсеть собирает данные о всех связях между людьми, чтобы в дальнейшем предлагать их друг другу в «друзья», выстраивая глобальный комплекс связей. Многие пользователи электронной почты получали от социальных сетей, в которых они не состоят, письма с приглашением в них зарегистрироваться. Соцсети под разными предлогами выманивают у своих пользователей доступ к спискам их контактов и, получив его, рассылают по ним свой рекламный спам с помощью почтовых роботов. При этом, если у одного пользователя, загрузившего свой список контактов, будет только ваш номер телефона, у второго — ваш номер и фотография, а третий опубликует у себя вашу фотографию, не указав, кто конкретно находится на снимке (причем все эти трое могут быть не связаны между собой), алгоритмы соцсети сопоставят данные из всех четырех источников. Система свяжет трех пользователей сети, так как они знакомы с вами, и предложит им подружиться [444]. А еще создаст ваш теневой профиль, в котором будут сохранены связи со всеми тремя пользователями (которые впоследствии будут предложены вам в «друзья», если вы зарегистрируетесь), а также будет ваш телефон и обе фотографии (благодаря алгоритмам распознавания лиц). Учитывая, что, вероятнее всего, номер телефона или адрес электронной почты в списке хотя бы одного пользователя сопровождается именем, а часто — и фамилией, система сопоставит их с вашим телефоном и запишет в теневой профиль. Таким образом в него вносится любая информация, в том числе и «потенциально реальные» имя/фамилия из списков контактов и псевдоним, под которым вы впоследствии можете захотеть зарегистрироваться.

Фотографии с вашим изображением могут попадать в интернет без вашего ведома разными путями. Например, ваши друзья могут публиковать совместные фотографии, иногда даже указывая, кто изображен на снимке вместе с ними. Вас могут зафиксировать системы видеонаблюдения, повсеместно устанавливаемые в городах как государственными организациями, так и коммерческими компаниями. Вы можете случайно попасть в кадр, когда посторонние люди, например туристы, ведут фотосъемку. Ваши фотографии могут попасть в открытый доступ в результате утечек из различных баз данных, причем вместе с фото там может храниться текстовая информация о вас, цифровые копии ваших документов и т.п.

Важный аспект при использовании устройств интернета вещей, на который сегодня почти не обращают внимания не только их владельцы, но и производители, — защита от несанкционированного доступа. В соответствующей главе мы подробно рассмотрим угрозы, связанные с IoT-девайсами, а сейчас обратим внимание только на те, которые связаны с устройствами, оборудованными камерами.

КЕЙС Уязвимость, возникшая из-за дефолтной и неизменяемой связки логина и пароля [[51]] администратора в прошивках IoT-девайсов, привела к созданию в 2016 г. одного из крупнейших ботнетов [[52]] под названием Mirai, состоящего из более чем 400 000 зараженных устройств. С помощью Mirai злоумышленники смогли вести крайне мощные DDoS-атаки, в том числе против сервис-провайдера Dyn, что вывело из строя сотни сайтов, включая Twitter, Netflix, Reddit и GitHub [445]. Угроза заражения Mirai (как и возникновения других ботнетов) была актуальна, и более того, в момент написания этой книги, создавались новые модификации трояна для других типов устройств, например телевизоров и беспроводных презентационных систем. Атаки с помощью ботнетов становятся более мощными, достигая интенсивности в десятки гигабит в секунду [446].

В большинстве случаев уязвимости в IoT-устройствах позволяют хакерам вести ботнет-атаки, но они также могут использоваться для шпионажа за владельцами или вывода девайсов из строя. Например, ведя атаку с учетом особенностей и уязвимостей облачной архитектуры, злоумышленник может получить административный доступ к камере и не только наблюдать за происходящим в зоне видимости камеры и управлять углом ее обзора (если камера имеет данную функцию), но и клонировать камеру, чтобы настоящий владелец видел изображение с камеры-клона на стороне злоумышленника, а настоящая камера при этом отключалась [447]. В процессе исследования видеокамер (видеонянь) типа Samsung SmartCam эксперты «Лаборатории Касперского» смогли перехватить видеоизображение, подслушать звук и даже извлечь информацию об их местонахождении. Мошенники могут таким образом выяснить местонахождение камеры, дождаться отъезда жильцов и проникнуть в дом. При этом они способны для усыпления бдительности владельца клонировать камеру и передать ему поддельное изображение (статичную фотографию интерьера) либо просто вывести камеру из строя [448].

Примечание. Стоит отметить, что многие уязвимости, обнаруженные исследователями в устройствах Samsung SmartCam, уже закрыты разработчиком, но данная информация касается только одной линейки

аппаратного и программного обеспечения устройств возникает все больше новых уязвимостей [449].

Многие IoT-девайсы с камерами дополнительно оснащены микрофоном и динамиком, и злоумышленник, определив, что дома нет никого, кроме ребенка, может втереться к нему в доверие и попросить открыть дверь, заявив, что в подъезде его ждет подарок и т.п. [450] КЕЙС В 2014 г. на одном из российских сайтов в открытом доступе

велась трансляция с тысяч взломанных веб-камер частных лиц и компаний из 250 стран мира. В большинстве случаев были доступны трансляции с камер на американском континенте (свыше 4500), но можно было получить доступ и к камерам в Европе, в том числе в России — в домах жителей Королева, Москвы, Краснодара и других городов. Это стало возможным из-за того, что владельцы камер использовали дефолтные связки логина и пароля [451]. Впоследствии сайт закрыли, но трансляции по-прежнему ведутся на других ресурсах в интернете [452].

Особенное внимание стоит уделять современным «умным» игрушкам и IoT-устройствам, с которыми взаимодействуют дети. Злоумышленники могут взламывать такие устройства и наблюдать за детьми и даже общаться с ними. Ребенок мало знает о безопасности и соблюдении конфиденциальности. Более того, если он использует «умную» игрушку, то может разговаривать с ней, как разговаривает с обычной куклой. Тогда риск утечки приватных данных особенно велик. Случаи с такими игрушками, как кукла My Friend Cayla [453] или плюшевые животные CloudPets [454], мы обсудим в главе, посвященной IoTустройствам. Преступник может выяснить, когда родителей нет дома или где хранятся определенные вещи и т.п. Угрожая ребенку, злоумышленник может вынудить его не рассказывать родителям об их коммуникациях и выяснить информацию, необходимую для совершения преступления.

КЕЙС В 2016 г. злоумышленник взломал видеоняню с системой ночного видения и шпионил за трехлетним сыном семейной пары из Вашингтона. Иногда он разговаривал с мальчиком, чем очень пугал его. Сначала родители не верили ребенку, но однажды мать вошла в детскую и услышала фразу «Проснись, маленький мальчик, папа ищет тебя», произнесенную злоумышленником [455].

Кроме того, многие «умные» игрушки могут снабжаться мобильным приложением и подключаться к нему через уязвимый протокол Bluetooth, часто без пароля. В результате находящийся поблизости злоумышленник может не только следить за ребенком, но и общаться с ним.

персональную информацию — например, для регистрации профиля ребенка или в процессе коммуникации с ребенком (игрушки могут записывать и передавать реплики ребенка на серверы компанииразработчика, где их распознают и отвечают на них). Так, куклы My Friend Cayla предлагают детям сообщить имена родителей, информацию о месте жительства, название школы и т.д. Злоумышленники могут перехватить такую информацию и использовать ее при планировании преступлений [456].

«Взрослым игрушкам» тоже угрожает утечка персональных данных, в том числе и фотографий с видеозаписями. Например, вибратор Siime Eye американской компании Svakom «прославился» тем, что в зоне действия беспроводной сети любой желающий, используя дефолтный логин и пароль, может подключиться к нему и просматривать изображение со встроенной в него камеры [457].

Видеоконференции

Аудио- и видеоконференции часто используются в корпоративной среде для проведения совещаний, особенно если в компании есть сотрудники, которые работают удаленно. Особенный всплеск интереса к видеоконференциям произошел весной 2020 г., во время пандемии COVID-19, когда во многих странах из-за карантина вынужденно перешли на дистанционные формы обучения и работы.

При проведении групповой онлайн-конференции используется специальное программное обеспечение, например Skype или Zoom. Интерес к последнему сервису возник из-за наличия веб-интерфейса и возможности запланировать конференцию (например, дистанционный урок в школе). Благодаря этим особенностям Zoom опередил по популярности Skype, но он существенно менее безопасен. Как выяснилось, в Zoom присутствует немалое количество уязвимостей, и, хотя разработчики стараются их оперативно закрывать, некоторые бреши могут оставаться. В частности, в клиенте для операционной системы Windows были обнаружены проблемы, позволяющие злоумышленникам перехватывать учетные данные пользователей и даже получать удаленный доступ к файлам на их устройствах, подключаться к чужим конференциям, демонстрировать посторонний контент [458]. Кроме того, алгоритмы сквозного шифрования применяются лишь при передаче трафика от пользователей до серверов компании [459], т.е. доступ к содержимому аудио- и видеоконференций могут получить сотрудники компании и прочие субъекты. Поэтому для онлайн-конференций безопаснее использовать Skype, в полной мере

этом переписка в чатах Zoom шифруется полноценно.

КЕЙС В марте 2020 г. эксперты компании Motherboard выяснили, что приложение Zoom для iOS без разрешения пользователей передает их персональные данные на серверы корпорации Facebook, даже если у клиентов Zoom нет аккаунтов в этой социальной сети. Такая практика не редкость для приложений, разработанных с применением Facebook SDK (Software Development Kit — комплект для разработки программного обеспечения, позволяющий легко интегрировать сайт или приложение с Facebook [460]), но пользователи Zoom не были осведомлены (в том числе и в уведомлении о политике конфиденциальности) о том, что предоставляют свои персональные данные третьим лицам. Передавались сведения о дате и времени запуска приложения Zoom; об используемом устройстве, например о модели; о часовом поясе и городе, где находился пользователь; операторе сотовой связи, а также уникальный идентификатор рекламы. Впоследствии эти функции были удалены из кода приложения Zoom [461].

Кроме того, для защиты доступа к конференциям часто используются простые пароли (либо вообще не защищаются паролями, что позволяет простым перебором ID сессий получать доступ к конференции), которые с легкостью могут быть взломаны, а идентификаторы конференций, в том числе с паролями, нередко попадают в открытый доступ. Получать несанкционированный доступ к конференциям злоумышленники могут не только для целевой атаки на человека или предприятие, но и для троллинга. У корпоративных аккаунтов может быть постоянный идентификатор, а это означает, что если пароль не меняется, то злоумышленник, завладев ссылкой, может попадать в конференции на постоянной основе. Просмотрев список участников, он может перезайти, используя имя легитимного участника. Чтобы предотвратить такие ситуации, следует использовать не только сложные пароли и двухфакторную аутентификацию, но и такие настройки безопасности, как «комната ожидания», в которой будущие участники конференции ждут до тех пор, пока организатор не разрешит им доступ [462]. Чтобы защититься от утечки информации, для проведения Zoomконференций следует использовать только официальный клиент, доступный на сайте https://zoom.us или из магазинов мобильных приложений Google Play либо App Store, аналогично и для проведения конференций — если вам нужно приложение Microsoft Teams, то загружайте его только с официального

сайта https://www.microsoft.com/ru-ru/microsoft-teams/group-chat- software; так вы избежите риска установки фишингового приложения.

проведения конференций: злоумышленники создают копии сайтов типа Zoom и рассылают ссылки на них в фишинговых сообщениях. В целях защиты нужно проверять адрес посещаемого ресурса и обмениваться ссылками и данными по отдельным защищенным каналам, например в закрытых группах в мессенджерах.

Защита от мошенничества, связанного с фотографиями

При публикации в интернете фотографий, особенно детских, ставьте перед собой следующие вопросы:

использованная в качестве аватара, видна всем посетителям. Возможно, стоит использовать фотографию, не

позволяющую достоверно опознать изображенного на ней человека. Кроме того, в некоторых социальных сетях всем пользователям могут быть доступны графические файлы, сохраненные в определенных папках. Вы можете проверить, какие фотографии доступны всем пользователям, посетив свою страницу в социальной сети без авторизации на сайте, а также от имени пользователя, который не является вашим другом (например, в сети «ВКонтакте» это можно сделать, добавив аргумент ?as=-1 к адресу вашей

страницы: https://vk.com/ваш_идентификатор?as=-1).

Если вы хотите полностью скрыть свое лицо, в том числе на аватаре, от алгоритмов распознавания, но не хотите отказываться от публикации снимков, попробуйте затруднить распознавание лица (как для алгоритмов, так и для посторонних посетителей). Например, сфотографируйтесь вполоборота, под необычным углом, наденьте очки в толстой оправе, маску или капюшон либо скорчите гримасу [464]. Примечание. Пандемия COVID-19 в 2020 г. поспособствовала усовершенствованию систем распознавания лиц, так как большинство граждан были вынуждены носить маски для защиты от вируса. Улучшенные алгоритмы распознавания лиц (особенно в Китае), используя в качестве ключевых данных глаза, способны распознавать лица людей, носящих маски, очки и поддельные бороды [465].

изображения/метаданные не сохраняются на сервере и не могут быть перехвачены по каналам передачи данных.

людям? Защищайте чужую приватность: не публикуйте фотопортреты людей без их ведома. Кроме того, так вы избежите возможных претензий и даже преследований со стороны тех, кому не нравится публикация их фотоизображений.

Знаете ли вы человека, который вступает с вами в переписку (например, в

социальной сети или в мессенджере типа Skype) и просит ваши фотографии или видео? Если пользователь вам незнаком, никогда нельзя передавать ему какие-либо данные о себе, в том числе фотографии и видеозаписи. Очень вероятно, что это злоумышленник, пытающийся методами социальной инженерии выудить у вас личные сведения, а затем шантажировать вас, угрожая опубликовать их в открытом доступе.

Вы уверены, что злоумышленники не подглядывают за вами с помощью

камеры вашего устройства и не имеют доступа к вашим фотографиям? Особенно вопрос актуален для публичных людей, на которых могут быть нацелены атаки злоумышленников. Если вы известная персона, можно задать несколько дополнительных вопросов:

o Защищены ли надежным паролем ваши устройства, имеющие функцию фото/видеозаписи? Сменили ли вы дефолтные учетные записи, пароли и логины на IoT-устройствах, таких как веб-камеры, телевизоры, игровые консоли? Установлены ли надежные пароли на смартфонах и компьютерах, нет ли доступа к ним у посторонних?

oЗаблокирован ли доступ к устройству через потенциально уязвимые порты

ипротоколы, такие как Telnet? Следует отключить и/или заблокировать функции видео- и аудиозаписи, если они не используются. Инструкции по отключению/включению портов и функций приведены в прилагаемых к устройству руководствах пользователя (в электронном виде руководства

доступны также на сайте производителя). Возможно, стоит задуматься о приобретении нового устройства, лучше защищенного от несанкционированного доступа.

o Обновлены ли прошивки и программное обеспечение компьютеров и прочих устройств, имеющих доступ в интернет? [467] Особое внимание следует уделить шлюзу — устройству (например, маршрутизатору), через которое все остальные девайсы в вашем доме получают доступ в интернет. Получив к нему доступ, злоумышленник сможет влиять на все устройства в вашей домашней (локальной) сети, например сети Wi-Fi.

o Необходим ли установленным на вашем устройстве приложениям и службам доступ к микрофону, камере и галерее изображений? Проверьте,

какие приложения имеют доступ к фотографиям, микрофону и камере, причем не только на мобильных устройствах

(Android: https://support.google.com/googleplay/answer/6270602?hl=ru, iOS: https://support.apple.com/ru-ru/guide/iphone/welcome/ios (раздел

«Конфиденциальность»)), но и на компьютере

(инструкция: https://club.esetnod32.ru/articles/analitika/glaz-da-glaz/).

Кроме того, можно установить специальное антивирусное программное обеспечение, способное контролировать безопасность устройства и уведомлять

пользователя о том, какие приложения запрашивают разрешения на доступ к камере и пр. (подробнее — в разделе «Антивирусное программное обеспечение»).