Информационная безопасность-2021 в мемах и твитах

Вспоминаем самые интересные события индустрии информационной безопасности в 2021-м — в мемах и твитах.

Информационная безопасность-2021 в мемах

В 21 веке для привлечения всеобщего внимания к уязвимости недостаточно подробного описания и доказательств работоспособности. Необходимо хлесткое маркетинговое название, логотип — и непременная пачка мемов в Твиттере. Всевозможные исследователи, IT-журналисты, работники индустрии и сочувствующие им пользователи развлекают друг друга смешными картинками.

И в целом это работает — увидев мем, многие идут почитать, что же случилось, и иногда в результате предпринимают меры для устранения уязвимости. Ну или хотя бы делают все возможное, чтобы самому не наступить на те же грабли и не стать в итоге мемом. Кроме того, по количеству мемов по итогам очередного инцидента можно составить некоторое представление о масштабах проблемы. Если бы мы ориентировались в кибербезопасности исключительно по мемам, то 2021 год запомнился бы нам вот таким…

Январь: обновленная политика конфиденциальности WhatsApp

Год начался с того, что миллионы пользователей WhatsApp внезапно осознали обновление политики конфиденциальности сервиса. Результатом стал массовый исход в Telegram и, с подачи одного известного собаковода, в Signal — оба мессенджера отметили значительный рост аудитории. А ситуацию с новой политикой конфиденциальности WhatsApp лучше всего подытожил вот этот мем:

Февраль: эпический разбор безопасности IoT-камер FootfallCam 3D plus

С безопасностью в IoT-устройствах дела обстоят плохо — об этом знают уже, наверное, все. Но даже когда тебе кажется, что ты уже видел все, некоторым производителям «умных» устройств удается тебя удивить. Просто почитайте эту ветку в Твиттере — и поймете, о чем мы говорим (берегите лицо, без множественных фейспалмов точно не обойдется):

Март: уязвимость ProxyLogon

В начале марта компания Microsoft выпустила заплатки для Exchange, которые устраняли несколько серьезных уязвимостей в системе. В принципе, рядовое событие, но есть нюанс: некоторые из этих уязвимостей активно использовались атакующими, причем происходило это, по некоторым данным, как минимум с января. Так что к моменту выпуска патча число взломанных организаций в США перевалило за 30000.

Апрель: Signal троллит Cellebrite

Для тех, кто не знает: Cellebrite производит оборудование для, что называется, компетентных органов, которое позволяет сотрудникам легко и удобно взламывать смартфоны и выкачивать из них интересующую информацию. Поэтому компания занимает особенное место в сердцах поборников приватности. В конце 2020 года в Cellebrite заявили о том, что их продукция начинает «поддерживать» Signal. В ответ команда Signal опубликовала исследование уязвимостей в оборудовании Cellebrite и сопроводила это бесподобным тизером:

Май: ransomware-атака на Colonial Pipeline

Colonial Pipeline, крупнейшая в США система трубопроводов, по которым перекачиваются нефтепродукты, была атакована шифровальщиком-вымогателем, что привело к перебоям с поставками бензина и дизельного топлива по всему юго-восточному побережью страны. Инцидент вызвал кучу дискуссий о том, как следует защищать предприятия такого рода, а в качестве мема по социальным сетям разошлось объявление самой компании о поисках нового менеджера по кибербезопасности с комментарием «теперь-то они, наверное, нашли нормальный бюджет»:

Июнь: конгрессмен случайно опубликовал пароль от почты и пин-код

Американский конгрессмен Мо Брукс, являющийся членом комитета Палаты представителей США по вооруженным силам и, в частности, работающий в подкомитете, занимающемся вопросами кибербезопасности, внес необычный вклад в популяризацию идеи безопасного хранения паролей. В личном Твиттере он опубликовал фотографию своего монитора вместе с наклейкой, на которой был пароль от учетной записи Gmail и ПИН-код. Живая классика! Твит провисел несколько часов и разошелся на мемы. В результате Брукс таки его удалил, но, конечно, было уже поздно — читатели успели сделать скриншот и опубликовать с ехидным комментарием:

https://twitter.com/Josh_Moon/status/1401678401946243073

Июль: уязвимость PrintNightmare

Исследователи вроде бы по ошибке опубликовали на сайте GitHub доказательство осуществимости атаки через уязвимости CVE-2021-34527 и CVE-2021-1675 в диспетчере очереди печати Windows (Print Spooler). Опасаясь, что злоумышленники не мешкая примут опубликованный метод на вооружение, Microsoft выкатила срочный патч, даже не дожидаясь традиционного вторника. Причем пропатчили даже устаревшие Windows 7 и Windows Server 2012. Правда, патч решал проблему не до конца, а некоторые принтеры вообще перестали работать после его установки.

Август: Black Hat и DEF CON

В августе все было достаточно спокойно — по меркам 2021 года. Разумеется, не обошлось без нескольких инцидентов, достойных увековечивания в мемах, но больше всего запомнились страдания завсегдатаев конференций BlackHat и DEF CON, которые в этом году из-за ограничений, связанных с COVID-19, не попали в Лас-Вегас.

https://twitter.com/Djax_Alpha/status/1423741831968342016

Сентябрь: уязвимость OMIGOD

Пользователи Microsoft Azure внезапно выяснили, что когда они выбирают ряд сервисов, то при создании виртуальной Linux-машины платформа устанавливает на нее агент управления Open Management Infrastructure. И это было бы не так страшно, если бы а) в агенте не было давно известных уязвимостей, б) об установке этого агента хоть как-нибудь извещали клиентов, в) у OMI была предусмотрена нормальная автоматическая система обновлений, и ж) эксплуатация уязвимостей не была столь простой.

Октябрь: Facebook удалил себя из Интернета

Октябрь запомнился крупным сбоем в работе Facebook. Судя по отчетам ликвидаторов аварии, в результате некоего обновления DNS-серверы Facebook стали недоступны из Интернета. В связи с этим более шести часов пользователи самой сети и ряда других сервисов компании, включая Facebook Messenger, Instagram и WhatsApp, не могли залогиниться и изливали свое недовольство в альтернативных сетях и мессенджерах (перегружая в свою очередь и их). При этом по Интернету ходили дикие слухи — например, что администраторы компании не могут попасть к серверам, потому что пропускная система у них завязана на тот же Facebook.

Ноябрь: поддельные Green Pass

На самом деле наделавшие шума валидные подделки европейских цифровых сертификатов вакцинированного появились в конце октября, но основная волна всеобщего, так сказать, удивления пришлась на ноябрь. Что произошло: в Интернете начали продавать поддельные Green Pass, которые проходили проверку, а в качестве примера демонстрировали сертификаты, выписанные на имя Адольфа Гитлера, Микки Мауса и Губки Боба. Судя по новостям, проблема распространения поддельных Green Pass все еще актуальна.

Декабрь: уязвимость Log4Shell

Практически весь декабрь прошел под знаменем Log4Shell — критической уязвимости в библиотеке Apache Log4j. Из-за повсеместного использования этой библиотеки в Java-приложениях уязвимыми оказались миллионы программ и даже устройств. Несколько раз Apache Foundation выпускала патчи, и несколько раз исследователи находили методы обхода контрмер. Уже через несколько дней после первой публикации ботнеты начали сканировать Интернет в поисках уязвимых программ, а авторы шифровальщиков взяли уязвимость на вооружение. Удачных мемов на тему Log4Shell было настолько много, что кто-то даже создал сайт с подборкой.

https://twitter.com/secbro1/status/1469328495847346177

Что тут скажешь — будем надеяться, что следующий год будет все-таки поспокойнее. С наступающим вас, дорогие читатели!

Советы

Школа и киберугрозы

Почему в сфере образования следует внимательно относиться к кибербезопасности и как правильно защитить школу от возможных атак.

Как путешествовать безопасно

Собираетесь в отпуск? Мы разработали руководство для путешественников, которое поможет провести время с удовольствием, безопасно и полностью отвлечься от рутины.