Ай-да новости: самое-самое за 2018й.

Мальчики и девочки, приветствую вас в заключительном в этом году выпуске «Ай-да-новостей». Под занавес календаря всегда чешется подвести итоги, причём так, чтобы в новый год с хорошим настроением :). Поэтому сегодня будем говорить про самые громкие-глупые-смешные-странные новости из мира IT и кибербезопасности в 2018-м.

Про профессиональную работу СМИ, объективность, расследования, проверку источников – вот это вот всё. Точнее про отсутствие всего этого! В октябре в Bloomberg Businessweek вышло «расследование» с громким названием за авторством известного «банного журналиста». Название расследования в переводе не нуждается — «The Big Hack». Речь в нём шла о продукции компании Super Micro, куда, по сведениям догадайтесь кого (конечно анонимных источников), уже несколько лет внедряются китайские шпионские «жучки». Чипы якобы обнаружили сотрудники Apple и Amazon, а расследованием с 2015 года занимаются американские власти. А потом начинается интересное…

US plans to retaliate by implanting tiny “chips” in all hardware sent to China according to 17 unnamed sources. pic.twitter.com/ovqChUm6EI

— Brian Bartholomew (@Mao_Ware) October 6, 2018

Amazon опровергает данные о жучках, Тим Кук из Apple говорит, что всё это враньё и просит отозвать статью. Super Micro заявляет, что не получала никаких жалоб от клиентов или запросов от властей. (Что-то мне это напоминает!) За сутки после публикации статьи акции Super Micro упали на 60%. В компании пригласили независимую компанию для проведения расследования, которое не подтвердило обвинений журналистов, но Bloomberg не спешит извиняться. Хотя от безысходности в издании уже назначили нового журналиста для дополнительного расследования.

Bloomberg Businessweek® — DOES IT EVEN MATTER IF IT HAPPENED?™ https://t.co/0fMmZZCmmu

— Tavis Ormandy (@taviso) December 11, 2018

Утечки данных становятся такой обыденностью, что мы уже не сильно реагируем на них в инфопотоке. А зря, рано или поздно они могут коснуться каждого из нас. В этом году были обнародованы данные миллиардов (!) пользователей, некоторых по нескольку раз. Вот лишь самые громкие случаи: утекло 380 000 данных по кредиткам клиентов British Airways, а 9,4 миллиона пассажиров пострадали от взлома авиакомпании Cathay Pacific; одна из самых последних новостей года из туристического сектора – взлом сети отелей Marriott, скомпрометированы данные 500 миллионов клиентов; ранее в этом году 1,5 миллиона человек, включая премьер-министра Сингапура, пострадали из-за самой масштабной в истории страны атаки на министерство здравоохранения; данные 2 миллионов клиентов потерял T-Mobile; ну, и пожалуй, самый громкий скандал с данными – утечка у Facebook (пострадало до 50 миллионов пользователей) с кучей интересной информации типа геолокации, поисковыми запросами, контактными данными и т.п. Ещё один гигант – Google ­– заявил о закрытии соцсети Google+ после просочившейся информации о потерянных данных, которую они не собирались обнародовать. Но не успев ещё закрыть сервис, компания недавно вновь пострадала от второй утечки. Тут вылезает ещё один важный вопрос. Всё тайное когда-нибудь становится явным, и прятать такого рода утечки/взломы под ковёр, как минимум, недальновидно. В сегодняшних реалиях крупный бизнес должен быть всегда готов к такого рода атакам и потерям, а также, должен быть готов сообщить об этих происшествиях клиентам, инвесторам и любым другим причастным сторонам.

«Умный» город, «умный» дом – это не какой-то набор фантастических картинок из фильмов про будущее. Мы уже приехали. Но к этому «умному» образу жизни прилагается и «Большой брат». Кто-то скажет: «Ну, и пусть! Мне нечего скрывать!». А кто-то, я надеюсь, задумается о том, чем он делится с различными приложениями своих смартфонов и прочими IoT гаджетами.

А вот лишь несколько примеров недавних патентов техгигантов, от которых у меня мурашки по телу (обзор сделан в газете Observer): приложение, позволяющее определять уровень шума, производимого детьми – если ребенок внезапно перешёл на шёпот, родителей предупредят о «планируемых шалостях»; технология, определяющая уровень влажности, температуру и освещённость в помещении, сможет подсказать Google, чем занимается пользователь – спит, готовит, смотрит телевизор или собирается принять ванну, а тут и таргетированная реклама шампуня подоспеет.

Keeping an eye on tech patents is a very useful way of spotting important trends. This in today’s Observer — about digital assistants — is useful. pic.twitter.com/6yrYQU8KEM

— Jamie Bartlett (@JamieJBartlett) November 11, 2018

В этом году у меня случилось ещё одно немного жутковатое открытие о популярной форме интернет-мошенничества из Нигерии, замешанном на ритуальных жертвоприношениях, заклинаниях и прочем мракобесии. Преступников, промышляющих этой киберчертовщиной называют yahoo plus boys. Этимологию прозвища не нашёл, может кто знает. В основном это молодёжь, ищущая лёгких заработков. Они используют нехитрый набор приёмов социальной инженерии, замешанный на местных вуду-практиках, который якобы должен помогать им в вымогательствах денег у своих жертв. По ссылке можно ознакомиться с научной работой, исследующей этот уже не новый феномен. Особенно улыбнул термин «кибер-спиритизм» :) А выросла вся эта история из давно известных мошеннических рассылок нигерийских писем.

А под конец небольшая заготовка из папочки под названием «Рука-лицо». Дело в том, что киберзлодеи тоже люди, и ляпы, факапы и прочие глупости случаются с ними также, как со всеми остальными.

Вот совестливый майнер оставлял в коде послания с извинениями, адресованные своим жертвам. Мол, сами мы не местные, же не манж па сис жур, жизнь заставила.

Apologetic Miner returns with updated apology note. Yes, he’s actually deploying this via ADB (port 5555) to vulnerable Android devices. pic.twitter.com/YQYKV08vQj

— Stefan Tanase (@stefant) October 20, 2018

Желаю в грядущем 2019-м всем причастным к кибербезопасности оставаться на светлой стороне! Так победим!

Картинка отсюда