Рыночная доля! Это очевидный, но не единственный возможный ответ.

По различным оценкам в 2011 году на долю компании Apple приходилось более 5% персональных компьютеров/ноутбуков по всему миру. Это достаточно серьезная доля рынка: ОС Linux установлена менее чем на 2% всех компьютеров, а доля Google ChromeOS и того меньше. Достижение компьютерами на базе Mac OS максимального уровня популярности за последние 15 лет совпало по времени с появлением атак с использованием фальшивых антивирусов, нацеленных на компьютеры Apple. Мы обнаружили атаку и написали о ней в блоге в апреле, а потом снова в мае 2011 года. Теперь это совпадение уже не кажется странным. Кстати, то, что вредоносное ПО для компьютеров Apple стало распространенным именно сейчас, скорее всего, не связано с тем, что раньше не было эксплойтов для Apple или с тем, что в системе Mac OS X уделяется какое-то особенное внимание безопасности. Во время «Месяца багов Apple» (Month of Apple Bugs), прошедшего в 2007 году, было показано, что Mac OS X и код, написанный для этой системы, полны уязвимостей, которые злоумышленники вполне могут использовать. На хакерских конкурсах регулярно создаются эксплойты для Safari, Quicktime и других программ, установленных на устройствах Apple. И все же до прошлого года система не привлекала внимания широких масс киберпреступников.

На конференции по безопасности CanSecWes, которая проходила в Ванкувере, Канада, я подменил Костина Райю и сделал доклад о нашем участии в исследовании командных серверов Duqu.

Тем временем, Google Chrome взломали. Опять. Сдаётся мне, что 60 тысяч долларов — не такие уж большие деньги за обнаружение уязвимости нулевого дня в Chrome, даже с учетом обхода песочницы. Вызывает удивление обнаружение сразу нескольких 0-day уязвимостей, особенно учитывая, как хорошо браузер показал себя на состязании хакеров Pwn2Own.

Я также нашёл весьма любопытными ответы Алекса Райса (Alex Rice) из Facebook на вопросы слушателей после презентации. Презентация Алекса была посвящена социальному CAPTCHA-коду — вторичной аутентификации, использующей фотографии френдов, которая начинает действовать, когда система подозревает, что аккаунт пользователя скомпрометирован или захвачен фишерами.

Введение этой системы означает, что массовые фишинг-атаки на Facebook ушли в прошлое — они стали неэффективными. Тем не менее, на презентации было много комментариев по поводу того, как эту систему можно обойти в ходе целевой атаки.

Очевидно, любую систему, которая устраняет целый класс атак, не влияя при этом на удобство пользователей, следует считать большим успехом. Facebook заслуживает похвалы за это решение; однако, компания пока получает в основном критику от пользователей.

Такое количество критики беспокоит: мы не должны отвергать идеи или системы только из-за того, что они оказались не слишком эффективными против целевых атак. Хорошо бы отойти от черно-белой парадигмы восприятия. В конце концов, большая часть (кибер-)преступности не направлена на четко определенные цели. Давайте не будем об этом забывать.

Многие из приложений, которыми мы пользуемся, бесплатные. Однако называть их бесплатными не совсем правильно – вы платите тем, что просматриваете рекламные объявления. Все мы сталкиваемся с этим на боковых панелях Facebook, Google и практически любого сервиса, который не требует платы за свое использование. Реклама позволяет многим таким сервисам собирать большую аудиторию и получать прибыль.

Однако в случае Android, а также iOS, рекламодатели стали действовать очень агрессивно. Теперь с помощью разных видов рекламы они собирают ваши данные. Давайте подробнее рассмотрим, с чем может столкнуться пользователь.

Баннерная реклама – наиболее распространенный вид рекламы, хорошо знакомый всем, кто использует мобильные приложения. Баннеры появляются поверх приложения и часто содержат целевую рекламу, использующую сервисы геолокации.

Push-уведомления – это уведомления, которые инициирует удаленный сервер, в отличие от pull-уведомлений, при которых данные запрашивает устройство. Push-уведомления часто появляются в области уведомлений.

Формы для ввода контактных данных/подписки на рассылки (Capture Forms/Signup Ads) – появляются при запуске или использовании приложения. Как правило, они занимают весь экран, предлагая пользователю оформить подписку на рекламные рассылки или получить дополнительную информацию о рекламном объявлении.

Блокировка контента (Content Locks) – дополнительный контент доступен только после ответа пользователя на рекламное объявление – например, подписки на получение уведомлений или ввода адреса электронной почты.

Стены приложений (App Walls) – списки популярных приложений, которые появляются во время игр и предлагают попробовать другие приложения, также продвигаемые рекламной сетью.

Иконки приложений – ярлыки приложений, которые появляются на основном экране. Недавний пример – иконка поиска, которая появляется при установке приложения через определенную рекламную сеть.

Как работает эта реклама?

Рекламный код вставляется в приложения с помощью SDK (software development kit – набора инструментов для разработки ПО). В данном случае это блок кода, который разработчик вставляет в уже существующее приложение.

Представляет ли она опасность?

Правильный ответ здесь – «возможно, да». На самом деле все зависит от того, какую рекламную сеть выберет разработчик приложения. Во многих случаях реклама остается просто досадной помехой, которая, тем не менее, позволяет вам играть бесплатно. В других случаях SDK создателей рекламы намного агрессивнее и позволяет им собирать большое количество пользовательской информации, включая, но не ограничиваясь, следующими данными:

IMEI – это число идентифицирует ваше устройство в мобильной сети. Оно специфично для конкретного устройства и не изменяется при смене SIM-карты.

IMSI – это число идентифицирует вашу SIM-карту.

Модель устройства Версия ОС Код страны Язык Jailbreak/Root Status GEO-локация Номер телефона

Помимо этого, некоторые SDK, позволяющие помещать на основном экране ярлыки, затем собирают информацию обо всех действиях, предпринятых пользователем после клика по иконке. К примеру, иконка поиска, используемая в Apperhand SDK, направляла пользователей на страницу поиска, где все их действия фиксировались. Компания Google отказалась изъять такие приложения под предлогом того, что они не нарушают условия пользовательского соглашения Android App Store.

Собираемая таким образом информация используется для того, чтобы оценить вас как потребителя. И даже если затем она используется ответственной компанией, это достаточно большой объем данных о человеке. Представьте, что вы сознательно установили приложение, которое имеет доступ к идентификационному номеру (ID) вашего телефона и SIM-карте, знает ваши GPS-координаты и номер телефона. Стоит запустить такое приложение, и оно запрашивает у вас адрес электронной почты, собирает список всех ваших закладок, а затем помещает на основном экране иконку поиска и фиксирует все ваши поисковые запросы.

В США полиция без ордера не имеет права собрать о вас такое количество данных. Так почему же рекламодателям это разрешено?

Будет ли сервис Bouncer эффективным инструментом в борьбе с вредоносным ПО в приложениях на базе Android?

Компания Google приняла правильные и, безусловно, необходимые меры, однако полностью проблема пока не решена. Судя по опубликованным об этом сервисе данным, все приложения будут проверяться на наличие уже известного вредоносного ПО. Другими словами, будет применяться система мультисканирования или нечто подобное, а значит, качество детектирования будет напрямую зависеть от того, какой антивирусный движок для анализа приложений будет использовать Google. Качество у всех движков очень разное, поэтому существует вероятность того, что некоторые вредоносные приложения не будут квалифицированы как вредоносные. Еще одним шагом Google станет эмуляция. Прием хороший, однако и его можно обойти: с помощью «обмана» эмулятора или запрограммировав приложение «вести себя» во время эмуляции как невредоносное. Короче говоря, те же приемы, которые используются для преодоления защиты Windows, теперь могут применяться и на Android.

Жизнь у бразильских хакеров удалась. Из-за отсутствия специального закона, направленного против киберпреступлений, они чувствуют себя настолько неуязвимыми, что без зазрения совести сообщают о совершенных кражах и хвастаются своими криминальными доходами. Этому было посвящено несколько слайдов в нашей презентации на последней конференции Virus Bulletin. На Youtube можно найти множество роликов, где бразильские банковские мошенники и кардеры рассказывают о своих доходах, добытых нечестным путем, и насмехаются над своими жертвами (здесь лишь один пример; на Youtube можно найти еще несколько подобных роликов). Также можно запросто найти профили мошенников в соцсетях типа Twitter, Tumblr и т.д. Все делается в открытую и без всякого страха быть пойманными.

Для помощи новым «предпринимателям» или просто новичкам, которым интересна киберпреступная жизнь, бразильские киберпреступники начали предлагать платные курсы. Некоторые пошли еще дальше, создав школу киберпреступности, где любой, кто хотел бы жить за счет криминальных доходов, но не владеет технической стороной дела, за деньги может получить необходимые навыки. На вебсайте, где предлагаются такие курсы и рекламируется «школа», потратив немного времени, можно найти курсы «Как стать банковским мошенником», «Всё, что нужно спамеру» и «Как осуществлять defacement сайтов».

В последнее время было много разговоров о некоей программе, установленной на мобильных устройствах - Carrier IQ. Предполагаемой задачей этой программы, по словам производителей, является сбор метрик для усовершенствования многих функций устройства, на котором она установлена. Говорили и о том, что эта программа имеет доступ к слишком многим личным данным пользователя.

По данным исследования, проведенного Trevor Eckhart, Carrier IQ имеет доступ практически ко всему, что вы делаете на своем устройстве – от нажатия клавиш на клавиатуре до имен пользователя и паролей, пересылаемых через SSL-зашифрованное соединение (правда, прежде чем они будут зашифрованы). И хотя новое исследование показало, что никакие личные данные на самом деле эта программа не собирает, потенциал для злоупотреблений очень высок.

Я понимаю рассерженных покупателей. Я не хочу, чтобы мои текстовые сообщения или электронную почту читали, чтобы видели все, что я искал в Интернете. А как же быть с корпорациями? Как насчет того, что на этих устройствах может быть что-то, являющееся интеллектуальной собственностью?

Эта программа может быть атакована. Я еще никогда не видел ПО без уязвимостей. Разве эту программу нельзя взломать? Разве не возможна утечка данных, к которым она имеет доступ?

Мне кажется, самым важным здесь является то, что «пострадавшие» практически беспомощны. Обычный пользователь просто не может удалить эту программу самостоятельно. По сообщениям тех, кто столкнулся с этой проблемой, даже если пользователь получает полный доступ к функциям системы («root» или «jailbreak»), чтобы удалить программу, появляются сообщения о том, что это нарушает функциональность или даже приводит к временному выходу телефона из строя. Некоторые пользователи перепрошивают свои устройства нестандартными прошивками. Эти нестандартные прошивки полностью заменяют установленную производителями аппарата операционную систему. В некоторых случаях даже после этого пользователи обнаруживают файлы Carrier IQ в своих устройствах.

Мы не рекомендуем большинству пользователей пытаться получить root-доступ к функциям системы или перепрошивать свои устройства нестандартными прошивками. Это полностью разрушает защитный модуль вашего устройства. Более того, нестандартные прошивки могут быть очень сложными и зачастую никак не проверяются экспертами безопасности. Можно ли считать, что эти прошивки опаснее, чем приложение с правами уровня администратора, которое может фиксировать всю вашу активность? Трудно ответить.

Короче говоря, на многих пользовательских устройствах прячется приложение с правами уровня администратора, ведущее журнал ваших действий. Даже если пользователь заключил с провайдером годовой фиксированный контракт, провайдер не обязан уведомлять пользователя об установленной на его устройстве программе. Мало того, что эта программа имеет широчайший доступ к вашим персональным данным, вы еще и не можете ее просто так удалить. Даже если вы поняли, как это сделать, вы можете сломать свое устройство. Я не имею ничего против повышения качества связи. Я ненавижу, когда прерываются звонки. Что мне совсем не нравится, так это то, что провайдеры намеренно не информируют меня о том, что они делают с моими данными на устройстве, за которое я заплатил, и к тому же лишают меня возможности что-то на нем удалять или от чего-то отказываться. Мало того, что это незаконно, это совершенно неэтично.

Итак, что можно сделать? Несмотря на то, что присутствие Carrier IQ в устройстве можно обнаружить, в настоящее время просто удалить его нельзя. Возможно, правильнее всего будет поговорить с вашим провайдером. Если он установил Carrier IQ на ваше устройство, а вы этого не хотите, свяжитесь с отделом клиентского обслуживания и выразите свое возмущение.

Эксперты по сетевой безопасности сообщают о появлении в сети писем якобы от второй жены полковника Муаммара Каддафи — Сафии Фаркаш аль-Бараази.

Письма распространяются с адреса mrs.safiagadaffi2 AT gmail.com. К мейлу приаттачен документ Word, в котором пользователю в лучших традициях «нигерийских» писем предлагается поучаствовать в хранении 20 тонн золота. Чтобы помочь безутешной даме, чей супруг «сталкивается с некоторыми проблемами в Ливии», следует сообщить г-же Каддафи свои имя, возраст, адрес, род занятий и номер мобильного телефона.

Эксперты еще раз предупреждают об опасности запуска вложений от неизвестных отправителей и отмечают, что никто не будет предлагать деньги по электронной почте только потому, что их слишком много.

Создатели вредоносного ПО запустили в сеть новую, особенно хитроумную троянскую программу, заставляющую своих жертв самостоятельно переводить деньги мошенникам со своего банковского счета.

При попытке жертвы войти на свой банковский аккаунт, троянец создает ложное сообщение об ошибочном перечислении на него средств и замораживании счета. Вредоносная программа фальсифицирует цифру остатков средств на счету на зараженной машине, чтобы процесс выглядел более убедительным. Жертве предлагается заполнить фальшивую онлайн-форму перевода средств обратно отправителю.

Об этой новой версии трояна URL Zone Trojan сообщил эксперт в области компьютерной безопасности Брайан Кребс (Brian Krebs). Пока неизвестно, сколько пользователей уже стали жертвами мошенников. Впервые троянец был замечен в Германии. Федеральная криминальная полиция страны (Bundeskriminalamt) распространила предупреждение, в котором просит пользователей сообщать обо всех подобных случаях с указанием названия банка.

Эксперты отмечают, что времена изменились. Вместо того чтобы красть личные данные пользователей, мошенники изобретают новые уловки, чтобы заставить их самостоятельно расстаться с деньгами — например, под угрозой заморозки счета.

Знаете, какая смс-ка является самой популярной? Вопрос «-Ты где?».
Не знаю насчет всего мира, но уж в России совершенно точно. Но все идет к тому, что очень скоро эта смс потеряет свою актуальность.

Несколько дней назад Gartner опубликовал ТОП-10 самых перспективных мобильных приложений до 2012 года. Первое место в этом списке занимают LBS (Location-Based Services).

Технология определения местоположения пользователя мобильного телефона, конечно, не нова, и то, что вокруг нее возникнет масса сервисов, позволяющих получать актуальную для конкретного пользователя информацию – ожидается давно и этот процесс постоянно идет.

Однако, вот какое дело...

Пару дней назад один мой коллега, находившийся в то время в Сан-Франциско на конференции RSA, поведал в фейсбуке о том, что во время выступления приглашенного Билла Клинтона, сервисы по определению местоположения абонента (GPS и мобильные) немножко «сошли с ума» - за 2 минуты мой коллега, согласно Google Maps, успел побывать в Берлине, Диснейленде во Флориде и вернуться в Сан-Франциско.
Тут же другой участник конференции RSA также сообщил, что его положение практически всю неделю определялось как флоридский Диснейленд и ему теперь тяжело будет объяснить боссу, что он там делал вместо работы в Сан-Франциско :)

Шутки-шутками, но мы имеем дело с весьма интересным процессом в поведении людей. С одной стороны, пользователи мобильных устройств сами и добровольно все активней и активней начинают публиковать свое реальное местоположение! На протяжении времени я постоянно наблюдаю сообщения от моих коллег, отправленных при помощи, например Foursquare, о том, что вот они приехали домой (и карта города) или находятся сейчас в таком-то аэропорту. Такой уровень публичности уже даже не идет в сравнение с теми объемами персональной информации, которые люди раньше делали доступной о себе. Если раньше Location ограничивалось сухой строчкой «Moscow», то сейчас люди «говорят» - «прямо сейчас я нахожусь вот тут!» с точностью до нескольких метров.

С другой стороны, к мониторингу местоположения людей интерес все больше и больше проявляют не только соответствующие органы, но и работодатели. Ваша компания может предоставить вам служебный телефон и корпоративный тариф, но взамен будет получать информацию о том, где вы находитесь. Особенно, когда сотрудник находится в командировке – такой мониторинг может быть даже закреплен юридически!

Ситуация абсолютно выигрышная для Location-based сервисов – одни хотят сообщать, вторые хотят использовать. Последствия? Самые ужасные. Вот всего лишь один из свежих примеров – история о том, как людей похитили и убили, используя информацию с их смартфонов, Facebook и Google.

Ок, вы скажете, что это исключение и вообще я параноик. Возможно. Но разве трудно представить себе ситуацию, когда супруги отслеживают перемещение друг друга в течение дня - и потом устраивают скандалы, если кто-то оказался где-то не там? Или работодатель, обнаруживший, что телефон сотрудника находится в Диснейленде, как в истории описанной выше? И ведь не сошлешься на то, что во всем виноват Билл Клинтон :)

В общем, развитие подобных сервисов довольно скоро приведет к такому витку проблем с защитой частной жизни, по сравнению с которыми все предыдущее покажется безобидными шалостями.

На месте производителей мобильных приложений я бы уже задумался о создании такого приложения, которое бы не сообщала мое реальное местоположение, а наоборот – сообщало бы ненастоящее!

Я бы купил.

Ну, или по-крайней мере сделал бы все, чтобы подобный функционал появился в нашем Mobile Security продукте :)

В Бруклине выдвинуты обвинения против гражданина Малайзии, воровавшего финансовую информацию посредством взлома сетевых ресурсов. Среди его жертв числятся региональный банк федеральной резервной системы США, ряд кредитных союзов федерального подчинения и контрагент министерства обороны, занимавшийся тыловым обеспечением американских вооруженных сил.

Согласно обвинительному акту, Лин Мун Пу (Lin Mun Poo) получил доступ к счетам кредитных организаций, используя уязвимость на сервисе FedComp американской компании, предоставляющей услуги по обработке финансовой информации. Украденные реквизиты хакер использовал для отъема денежных средств либо выставлял на продажу на черном рынке. Его арестовали во время «делового» визита в США, где он намеревался произвести торговый обмен с партнерами. Агенты Секретной службы изъяли у Лин Пу лэптоп, на котором обнаружили свыше 400 тыс. номеров кредитных и платежных карт, принадлежащих клиентам разных финансовых организаций.

Совокупные потери американских институтов, пострадавших от действий этого хакера, по самым скромным подсчетам, составляют не менее 20 млн. долларов. Лин Пу инкриминируются осуществление несанкционированного доступа к защищенным ресурсам, хищение конфиденциальной информации при отягчающих обстоятельствах, умышленное нанесение ущерба. Если малазийца признают виновным по всем пунктам, его заключат под стражу на срок до 10 лет.