2 июня 2014

Kaspersky Daily: лучшие статьи мая

Новости

За май, даже несмотря на праздники, произошло много всего интересного, и мы успели опубликовать в нашем блоге более двух десятков разных статей. Теперь пришло время подвести итоги ушедшего месяца и собрать вместе самые интересные материалы последних четырех недель: от ошибок, которые мы совершаем в Facebook, до появления криптолокера на Android.

5mistakesПять главных ошибок, которые все делают в Facebook

Удобные и интересные, социальные сети уже стали нашей привычкой, но поведение пользователя в социальной сети порой не очень хорошо обдумано. Существуют типичные ошибки, которые совершаются основной частью пользователей соцсетей и могут привести к денежным потерям, нанести ущерб репутации или испортить отношения с кем-то важным. Мы собрали пять основных ошибок среднестатистического владельца аккаунта в Facebook и подробно разобрали каждую из них. Почему не стоит публиковать свою полную биографию, чем может обернуться дружба с неизвестными в реальности людьми и что может произойти, если установить на аккаунт небезопасный пароль, — ответы на все эти вопросы мы дали в виде полезных советов.

smartГлупые ошибки умных домов

Информационная безопасность — тема, актуальная не только для компьютеров, привычных нам мобильных устройств и бытовой техники, но и для так называемых умных домов. И если у ноутбуков и смартфонов с безопасностью все более или менее неплохо, то вот со специфическими системами для компьютеризации жилища ситуация несколько иная. Не так давно специалисты компании AV-Test.org провели тестирование семи комплектов оборудования типа «умный дом» и выяснили, что четыре из них имели серьезные проблемы с безопасностью: обнаруженные в компонентах систем уязвимости позволяют с относительной легкостью проводить серьезные атаки как на домашнюю сеть и подключенные к ней устройства, так и на компоненты самого дома. Причем в некоторых случаях делать это можно не только изнутри системы, но и извне. Учитывая, что такие системы способны централизованно управлять в доме электроснабжением, отоплением, безопасностью, а также дверями и окнами, злоумышленник при условии проникновения в систему сможет манипулировать любой из этих частей общей инфраструктуры и причинить какой-нибудь вред как непосредственно жилищу, так и его обитателям. Конечно, на рынке представлено множество моделей систем типа «умный дом», и проведенный экспертами из AV-Test.org эксперимент охватывает лишь малую их часть, но общая тенденция налицо: умные дома уже научились работать с Интернетом и современными девайсами, но открыть дверь могут не только хозяину, но и какому-нибудь негодяю. Подробнее о слабых местах и недостатках умных домов читайте в статье «Глупые ошибки умных домов».

watchdogsРеалистичный взгляд на хакеров в игре Watch_Dogs

Среди аспектов безопасности, которые волнуют широкую общественность, важное место занимают защита частной жизни и массовая слежка, и идея, что каждое наше движение где-то записывается, уже не кажется такой нелепой, как тогда, когда ее выдвинул Оруэлл 60 лет назад. В жизни гражданин мало что может с этим сделать, но в Watch_Dogs, новой игре от Ubisoft, повсеместно раскинутую сеть наблюдения можно растянуть по своему вкусу — по крайней мере, на это способен Эйден Пирс, главный герой. Игра, в разработке которой эксперты «Лаборатории Касперского» выступили советниками, разворачивается в современном Чикаго, где главный герой старается защитить свою семью от серьезной опасности. Голливуд экранизирует хакерский «быт» уже пару-тройку десятилетий, начиная с «Военных игр», через «Хакеров» далее к «Матрице» и «Рыбе-мечу», но исследователи и хакеры всегда критиковали то, как их изображают на экране. Чтобы не стать объектом насмешек профессионалов, разработчики игры из Ubisoft обратились в «Лабораторию Касперского» и попросили проверить сценарий Watch_Dogs на предмет несоответствия реальности. В итоге выяснилось, что сценаристы Ubisoft хорошо поработали и обошлись без белиберды вроде непробиваемых файрволов и хакеров, ломающих систему шифрования под дулом пистолета, так что нашим спецам оставалось лишь несколько замечаний и правок. Что получилось в итоге, вы уже можете оценить сами: игра вышла и продается в магазинах.

lockerCryptoLocker: теперь и на Android?

Вы, вероятно, слышали про существование специальных зловредов-вымогателей, блокирующих ваш ПК и требующих деньги за разблокировку. Похоже, что теперь аналогичная зараза может подкинуть проблем владельцам устройств на базе Android: недавно стало известно о появлении под эту платформу программы-вымогателя, практически полностью блокирующей смартфон. Причем распространяется она среди злоумышленников с упоминанием печально известного криптолокера, что, конечно, заставляет напрячься: все-таки вымогатели-шифровальщики на Android — это пока еще экзотика. Одним из первых специалистов, обнаруживших заразу, оказался известный в определенных кругах исследователь-безопасник под ником Kafeine. Он выяснил, что, когда жертва с Android-устройством заходит на сайт, зараженный данным конкретным штаммом зловреда, сервер тут же перенаправляет пользователя на порносайт, который, в свою очередь, использует методы социальной инженерии для того, чтобы вынудить его скачать файл APK. Именно этот пакет, маскирующийся под порноприложение, и содержит вредоносный код. Таким образом, с одной стороны, у нас есть хорошие новости: новый блокер создаст проблемы только в том случае, если вы по глупости или недосмотру пустите его к себе на смартфон, самостоятельно установив программу. С другой стороны, есть новости похуже: попав в систему, зловред действительно блокирует доступ к основным функциям операционки. В частности, попытки запустить любое приложение, вызвать какую-либо функцию или даже просто открыть список запущенных программ оказываются бесполезны. Затрагивает ли блокер данные на смартфоне — читайте в нашем посте.

lockСохраняйте спокойствие и бдительность, OpenID и OAuth уязвимы

Спустя всего несколько недель после обнаружения опасной уязвимости Heartbleed появилась еще одна, не менее приятная новость: на сей раз проблемы были обнаружены в популярных интернет-протоколах OpenID и OAuth. Первый применяется, когда вы входите на какие-то веб-сайты с помощью своего логина и пароля от Google, Facebook, «ВКонтакте» и так далее. Второй играет важную роль, когда вы разрешаете приложениям, сайтам или сервисам доступ к своему профилю в соцсети, не отправляя при этом в сторонние сервисы своего имени и пароля от соцсети. Эти две технологии обычно используются вместе и, как выясняется, могут передать ваши данные в чужие руки. Типичный сценарий атаки при этом выглядит так: пользователя заманивают на фишинговый сайт, провоцируют нажать на кнопки типа «Войти через Facebook» или «Авторизоваться через Google», а затем предлагают ввести логин и пароль или (если пользователь уже вошел в соцсеть) просто дать доступ к своему профилю, после чего авторизация и разрешение на доступ к профилю отправляются на неверный (фишинговый) сайт с помощью переадресации. В итоге злоумышленник получает ключ доступа (токен OAuth) к пользовательскому профилю, причем у него будут те же права, которые имеет оригинальное приложение/сервис, сайт которого был подделан. В лучшем случае это будут только базовые данные о пользователе, а в худшем — возможность считывать контакты жертвы, рассылать им сообщения и так далее. Причем данная угроза, вероятно, не скоро исчезнет с горизонта, поскольку решать проблему нужно одновременно и у провайдера авторизации (Facebook/LinkedIn/Mail.ru и пр.), и у сайта, который ею пользуется. О том, что следует делать и как себя обезопасить, мы подробно рассказали в нашей статье.