Конфиденциальность личных данных, не только персональных, но и всех других - это один из ключевых моментов в современной информационной безопасности. Адрес электронной почты или номер сотового телефона у современного пользователя привязан к множеству аккаунтов сервисов, некоторые из которых, например Госуслуги или банковские сервисы, весьма критичны.

К сожалению, те же сервисы, которые требуют от нас оставлять свои данные, относятся к их хранению и обработке спустя рукава. Подтверждением чему являются многочисленные утечки, которые мы наблюдаем в последнее время.

Новый курьезный случай произошел на днях. Оказалось, что абсолютно любой человек может удалить ваш аккаунт мессенджера WhatsApp. И для этого ему достаточно лишь знать ваш номер телефона и иметь любой адрес электронной почты. Надо просто написать письмо в администрацию WhatsApp определенного образца с просьбой удалить аккаунт по причине потери смартфона.

Сам процесс деактивации в данном случае предусматривался как мера защиты в случае, когда пользователь потерял свой телефон и хочет сделать недоступным свою переписку для лиц, которые могут его случайно найти. Но, к сожалению, во время процедуры активации администрация WhatsApp не требует никаких дополнительных сведений, которые могли бы подтвердить личность владельца.

Исследователь Джейк Мур провел эксперимент и удачно удалил тестовый аккаунт, используя эти недостатки процедур WhatsApp. Единственным положительным моментом является то, что учетная запись не удаляется полностью сразу, а остается в деактивированном состоянии 30 суток. И уже потом удаляется навсегда.

В данном случае, к сожалению, никаких мер по защите от злодеев посоветовать не можем. Только внимательно следить за состоянием аккаунтов WhatsApp, которыми вы редко пользуетесь и проверять их хотя бы раз в месяц. И не хранить важную переписку на учетной записи, привязанная к которой SIM-карта вам недоступна.

Надеемся, что владеющая WhatsApp компания Meta оперативно изменит процедуру удаления потерянного аккаунта.

͏В самого начала работы нашего канала мы постоянно рассказываем про необходимость и важность обновления имеющегося программного обеспечения, а также всевозможных устройств Интернета вещей.

К сожалению, это не всегда возможно и вот почему.

Существует два понятия в управлении жизненным циклом продукта - EOS и EOL.

EOS или End-of-Support означает конец поддержки компанией производителем своего продукта. EOL или End-Of-Life - это конец жизненного цикла продукта.

И в том и в другом случае производитель программного обеспечения или устройства Интернета вещей прекращает выпускать обновления, в том числе обновления безопасности. А следовательно любая уязвимость, которая будет найдена после наступления EOS или EOL останется неисправленной навечно и любой хакер сможет воспользоваться ей для взлома.

Разные производители относятся к жизненному циклу своих продуктов по разному. Кто-то старается как можно дольше продолжать поддержку. А кто-то плевал на пользователей и даже при выявлении критичной уязвимости говорит, что его это больше не касается и пусть покупатели мучаются сами.

Показательной иллюстрацией прекрасно служит последние события вокруг одного из устройств американской компании Cisco - адаптера для VoIP-телефонии SPA112, с помощью которого телефонный трафик передается через Интернет.

На первый взгляд устройство достаточно старое - впервые на рынок оно было выведено 11 лет назад и компания Cisco заявила о его End-of-Life. С другой стороны - шлюз по прежнему активно используется в бизнесе, а в Яндекс.Маркете и Сбермаркете даже продаются новые экземпляры.

В мае этого года была обнаружена критичная уязвимость нулевого дня, которая позволяла злоумышленнику взять устройство под полный контроль. В ответ на это компания Cisco заявила, что в связи с EOL ничего делать они не будут. А на своем сайте написала прямо - "Компания Cisco не выпускала обновлений для устранения этой уязвимости. Обходных путей для устранения этой уязвимости не существует". То есть пользователь даже если сильно захочет никак не сможет снизить риск эксплуатации хакером выявленной ошибки.

Один из исследователей безопасности, известный под псевдонимом FullSpectrum, изучил уязвимость, написал программный код, с помощью которого ее можно эксплуатировать и выложил его в открытый доступ. А поскольку после взлома хакер может получить контроль над устройством навечно, то FullSpectrum в шутку назвал эту дырку уязвимостью вечного дня.

Вполне вероятно, что это шуточное обозначение войдет в обиход специалистов по информационной безопасности.

Что же необходимо делать в случае, если программное обеспечение или устройство достигло EOS или EOL? Выкинуть его и купить новое. Никаких других вариантов защиты от появляющихся новых уязвимостей просто нет.

Другим полезным действием будет оценка производителя. Если со времени выпуска на рынок продукта прошло несколько лет, а компания уже отказывается его поддерживать, то стоит задуматься - покупать что-нибудь в следующий раз у этой фирмы или нет.

͏Компания Apple выпустила очередное обновление для всей линейки своих устройств - iPhone, iPad, iWatch, Mac и Apple TV.

На iPhone, iPad и Mac закрыто две уязвимости нулевого дня. Первая из них - та, про которую мы писали две недели назад. Она была закрыта срочным обновлением безопасности (не с первого раза), а теперь появилась в большом сборном обновлении всей операционной системы.

Вторая закрытая уязвимость нулевого дня, по заявлению Apple, принадлежит к группе уязвимостей, которые использовались злоумышленниками для проведения Операции Триангуляции, выявленной весной этого года специалистами Лаборатории Касперского. Как и в случае с первой подобной дыркой, устраненной месяц назад, Apple странным образом заявляет, что она могла быть использована только до версии iOS 15.7. Зачем тогда ее исправлять в iOS 16.6?! Понятно, что производители iPhone темнят.

Еще одна уязвимость нулевого дня устранена в tvOS и watchOS, то есть касается iWatch и Apple TV, которые также необходимо срочно обновить.

Как всегда напоминаем, что применить выпущенный патч можно самому, не дожидаясь автоматического обновления. Это можно сделать через Настройки->Обновление ПО либо Настройки->Основное->Обновление ПО. Если же автоматическое обновление у вас отключено, то это сделать необходимо обязательно.

͏Буквально на днях мы рассказывали про понятия End-of-Support и End-of-Life, которые подразумевают прекращение выпуска обновлений для программного обеспечения или какого-либо компьютерного устройства. По странному совпадению появилась прекрасная иллюстрация нашего комментария о необходимости тщательного выбора производителя, чтобы не испытывать на себе печальные последствия раннего EOS или EOL.

Чуть больше десяти лет назад компания Google начала продвигать свою операционную систему для ноутбуков под названием Chrome OS. В качестве плюсов по сравнению с Windows или MacOS указывались высокая скорость работы, портативность устройств и высокая автономность, позволявшая работать без подзарядки намного дольше. Линейка таких ноутбуков получила название Хромбуки.

Ноутбуки, выпускавшиеся под управлением Chrome OS, к концу второго десятилетия нашего века достигли внушительной доли в 5% в США и почти 2% в остальном мире. В 2020-2021 году уверенно вышли на рубеж в 10%, в первую очередь по причине распространенности в учебных заведениях США, Европы и Японии.

Все было бы прекрасно, если бы не политика Google, принятая в 2014 году, которая ограничивала срок поддержки Chrome OS пятью годами с момента выхода конкретной модели на рынок. Если к этому добавить отсутствие физической возможности поставить на Хромбук другую операционную систему, что являлось требованием Google,то картина вырисовывается безрадостная.

При этом срок 5 лет не следует отсчитывать от момента покупки Хромбука, ведь вы можете купить его через год, два, а то и три после официального вывода модели на рынок. Более того, некоторые из Хромбуков, поддержка которых заканчивается в этом году, все еще продаются новыми в сети.

Американский образовательный фонд PIRG недавно даже направил руководству Google письмо с просьбой продлить срок службы 13 моделей Хромбуков, срок выхода обновлений для которых истекает через три месяца. Пока что Google глухи к этим обращениям и, вероятно, останутся такими же и впредь. Срок поддержки некоторых из этих моделей составляет чуть больше четырех лет.

Мораль этой истории проста - не следует покупать Хромбуки в частности и брендированные устройства от Google в общем. Например, Google Pixel. Хотя от использования Android мы конечно вряд ли куда денемся.

͏Рассказывая о проблемах информационной безопасности устройств Интернета вещей мы не зря делали упор на то, что во многих случаях наличие подключения к Интернету у элементов умного дома зачастую не просто бесполезно, а даже вредно!

Мы не одни так думаем и буквально вчера компания ESET, известная в России как автор антивируса NOD32 (сейчас официально не продается), выпустила статью об опасностях использования хакерами роботов-пылесосов в качестве устройства слежения за их хозяевами.

Домашние роботы-пылесосы, появившись в конце первого десятилетия 21 века, к настоящему времени достигли впечатляющего уровня развития. У них есть различные датчики, микрофоны, GPS и даже видеокамеры. Все это, само собой, изначально предназначено для более эффективной ориентации в пространстве, но ведь хакерам-то все равно.

К тому же никто не исключал фактор инсайдерской утечки от сотрудников компании-производителя. В прошлом году журналисты MIT Technology Review ухитрились раздобыть в сети фотографии из различных домов, в том числе интимного характера, например, сидящей на унитазе женщины. Все эти фото объединяло одно - они были сделаны с низкого ракурса. В ходе последующих разбирательств выяснилось, что снимки были сделаны пылесосами iRobot Roomba J7 и втайне от владельцев переданы компании-партнеру производителя для оптимизации алгоритмов передвижения. А несколько сотрудников этой фирмы не удержались от публикации некоторых фотографий в закрытых группах в социальных сетях.

Как вы наверное знаете, роботы-пылесосы iRobot активно продаются и в России.

Другой пример - в 2020 году группа исследователей из Университетов Сингапура и Мэриленда разработали способ использования лазерных датчиков навигации робота-пылесоса для подслушивания звуков внутри помещения. Лазер направлялся на какую-либо поверхность и по изменениям освещенности, появляющимся из-за микровибраций в следствии распространения звуковой волны, мог считывать голоса и другие звуки.

В случае взлома робота-пылесоса хакер может получать (если такие модули есть в устройстве):
- аудиозаписи с микрофонов, предназначенных для голосового управления;
- видеозаписи с видеокамер;
- схему помещения, полученную с помощью датчиков;
- данные о распорядке дня владельца;
- а также использоваться в качестве точки дальнейшего взлома домашней Wi-Fi сети или, к примеру, смартфона владельца, к которому робот-пылесос подключается через Bluetooth.

Какие меры информационной безопасности можно предпринять?

Во-первых, желательно не покупать роботы-пылесосы с возможностью подключения к Интернету, ведь если нет подключения, то и хакеру не добраться до устройства.

Во-вторых, постарайтесь приобрести помощника , который управляется гироскопом и акселерометром. То есть не имеет датчиков, с помощью которых строит карту помещения.

В-третьих, если таких роботов-пылесосов найти не удалось, постарайтесь максимально отключить функции, которые могут вас скомпрометировать. Хотя бы и ценой комфорта. Например, отключите голосовое управление. Если есть возможность - отключите дистанционное управление. Запретите передачу данных устройства к производителю.

Наконец, как мы уже говорили, проверьте репутацию производителя - как часто он обновляет прошивку своих продуктов и мобильные приложения, использует ли шифрование передаваемых данных и двухфакторную аутентификацию для подключения к роботу-пылесосу. И, само собой, не забывайте своевременно обновляться и меняйте установленные по умолчанию пароли доступа.

͏"Praemonitus praemunitus" - говорили древние римляне. Что означает - "Предупрежден - значит вооружен".

Именно исходя из этих соображений мы рассказываем вам про различные уязвимости и слабости в защите тех или иных устройств и программ. Чтобы вы могли вовремя предпринять меры, направленные на защиту своей информации.

Сегодня мы напишем про очередную уязвимость, которая может коснуться лично вас, а также познакомим подписчиков с одним очень важным термином из области информационной безопасности.

Знакомьтесь - Proof-of-Concept или сокращенно PoC. В общем смысле это означает подтверждение той или иной идеи, метода. С точки зрения информационной безопасности этот термин применяется чтобы обозначить демонстрацию работоспособности уязвимости. То есть фактически PoC представляет собой эксплойт - программный способ воспользоваться уязвимостью.

Почему это важно для рядовых пользователей? Потому что появление PoC на публичных или хакерских ресурсах означает, что теперь любые заинтересованные лица смогут воспользоваться незакрытой уязвимостью для проведения атаки.

Самая страшная ситуация с точки зрения ИБ история возникает когда Proof-of-Concept уязвимости уже появился, а обновление, ее закрывающее , еще нет. К счастью, в нашем случае ситуация не такая плачевная.

Неделю назад была появилась информация об уязвимости, которая затрагивает роутеры ASUS RT-AX56U V2 и RT-AC86U и приводит к выполнению произвольного кода неаутентифицированным пользователем. То есть любой хакер, не зная абсолютно никаких учетных данных, может взять эти модели маршрутизаторов под контроль. Последние версии прошивки не подвержены атакам с использованием этой дырки.

Данные продукты компании ASUS активно продаются в России, то есть могут стоять у вас дома.

Три дня назад исследователями в сети был опубликован PoC уязвимости. А некоторые эксперты высказывают мысль, что эта уязвимость может влиять и на другие модели роутеров ASUS.

В совокупности это значит только одно - если вы используете маршрутизатор от компании ASUS, то именно сейчас тот самый момент, когда вам надо срочно обновить его программное обеспечение. Ибо, как говорил Ленин - "Вчера было рано, а завтра будет поздно". Хотя, конечно, обновляться никогда не рано.

͏Небольшая заметка в отношении каналов распространения вредоносных программ или, в просторечье, вирусов.

Популярный у специалистов по информационной безопасности сервис VirusTotal, принадлежащий компании Google, опубликовал отчет, в котором описал тенденции в области вредоносных программ в первой половине 2023 года.

Самое интересное для наших подписчиков - специалисты утверждают, что основным каналом доставки вирусов являются сообщения электронной почты. Это как раз и есть тот самый фишинг, про который мы рассказывали ранее, равно как и про методы противодействия ему.

Также обращаем внимание на то, что в связи с введением компанией Microsoft в прошлом году определенных мер, направленных на недопущение использования форматов Microsoft Office - DOC, XLS и пр. для доставки вирусов (если кому интересно - отключили автоматическое выполнение макросов), ведущим форматом распространения вредоносного ПО через электронную почту стали файлы PDF.

Другим интересным моментом является растущее использование файлов с расширением ISO, что позволяет вирусам обходить некоторые защитные меры антивирусных решений.

͏Почти два месяца назад мы рассказывали про то, как хакеры взламывали моды для игры Minecraft, чтобы заразить игроков вредоносным ПО, предназначенным для кражи учетных данных с атакованных компьютеров.

Поскольку Minecraft является, вероятно, самой популярной игрой в мире, а основная ее аудитория, само собой, - дети, которые совершенно не уделяют внимание вопросам информационной безопасности, то интерес злоумышленников к атакам на игроков не ослабевает.

На сей раз хакеры используют уязвимость под названием BleepingPipe, с помощью которой они могут захватывать уязвимые сервера модификаций для Minecraft, а уже с их позиций атаковать игроков, которые подключились к этим серверам и устанавливать на их компьютеры вирусы. И дальше, как и в прошлый раз, воровать учетные данные.

9 июля было обнаружено, что хакеры чуть ли не в прямом эфире взламывают игроков, использующих модификации для Minecraft под названием EnderCore, BDLib и LogisticsPipes. Эта информация не получила широкого распространения до тех пор, пока не стало ясно, что уязвимость BleepingPipe также затрагивает следующие модификации:
- Smart Moving 1.12;
- Brazier;
- DankNull;
- Gadomancy;
- Advent of Ascension (Nevermine) версии 1.12.2;
- Astral Sorcery версии 1.9.1 и старше;
- EnderCore версий раньше 1.12.2-0.5.77;
- JourneyMap версий старше 1.16.5-5.7.2;
- Minecraft Comes Alive (MCA) версий с 1.5.2 по 1.6.4;
- RebornCore версий старше 4.7.3;
- Thaumic Tinkerer версий старше 2.3-138.

Сообщество безопасности Minecraft сообщает, что хакеры активно сканируют сервера Minecraft в Интернете на наличие уязвимости, поэтому приведенный список модификаций может быть неполным.

Каковы же меры безопасности:
1. Обновить все модификации для Minecraft до последних версий.
2. Установить разработанный Сообществом безопасности Minecraft мод, предотвращающий эксплуатацию уязвимости BleepingPipe.
3. Сделать внеочередную проверку компьютера с помощью антивирусной программы.

͏В настоящее время широкое распространение получила компьютерная периферия, которая для подключения к стационарным компьютерам или мобильной технике использует сеть Wi-Fi. Это действительно очень удобно - подключил, к примеру, домашний или офисный принтер к Wi-Fi и после этого не надо возиться с проводами, достаточно отправить документ на распечатку на сетевой принтер с любого устройства в этой же сети.

Но, к сожалению, как всегда при появлении новых удобных функций одновременно появляются и новые угрозы информационной безопасности.

Один из мировых лидеров в производстве оргтехники, компания Canon, предупреждает пользователей своих принтеров, что большинство моделей (всего 196) сохраняют в памяти настройки сети Wi-Fi, к которой они были ранее подключены. Эти настройки, которые включают в себя сетевой SSID, пароль, тип сети (WPA3, WEP и т. д.), назначенный IP-адрес и пр., могут быть извлечены из памяти устройства сотрудником сервисного центра при ремонте или новым владельцем принтера. В дальнейшем эти данные могут быть использованы для атаки на вашу сеть.

Canon дает следующие советы по безопасности:

1. Сделать очистку настроек Wi-Fi:
- Сбросить все настройки (Сбросить настройки --> Сбросить все)
- Включить беспроводную локальную сеть
- Сбросить все настройки еще раз

2. Для моделей, у которых нет функции «Сбросить все» в меню настроек:
- Сбросить настройки локальной сети
- Включить беспроводную локальную сеть
- Сбросить настройки локальной сети еще раз

Если эти инструкции не применимы к вашей модели принтера, Canon рекомендует обратиться к прилагаемому руководству по эксплуатации.

Наконец мы собрались мыслями и приступили к наверное последнему важному пункту в нашем списке обязательных мер информационной безопасности для рядовых пользователей.

Речь идет о парольной политике. То есть как придумать, запомнить и хранить устойчивый к подбору пароль.

Раньше мы уже рассказывали ранее, на современном уровне развития компьютерной техники подбор паролей для злоумышленников намного облегчился. Причина проста – с повышением быстродействия компьютера повышается и мощность перебора паролей. Прямой подбор пароля называется Bruteforce (в переводе – «грубая сила») и он, на самом деле, достаточно сложен. Хакеры используют специальные словари возможных паролей, проводят предварительную разведку и применяют всевозможные инструменты для того, чтобы увеличить вероятность угадывания атакуемого пароля.

Вы, возможно, видели знаменитую таблицу, в которой указано примерное время подбора паролей в зависимости от их сложности и длины. Эта таблица подготовлена компанией Hive System и она регулярно обновляется. На данный момент последняя ее версия датируется апрелем этого года и просчитывается для различных аппаратных и программных средств.

Ниже мы приведем две таблицы: первая показывает сколько нужно современному хакеру, чтобы подобрать ваш пароль с помощью системы на основе видеокарты RTX 4090 (продается в магазинах от 140 тысяч рублей), а вторая показывает с какой скоростью пароль будет взломан с помощью Chat GPT. В качестве примера – пароль длиной 10 символов из заглавных и прописных букв будет взломан Chat GPT за 4 минуты, а системой с RTX 4090 за одну неделю. Если же оставить только пропись, то время изменится на «мгновенно» и 14 минут соответственно.

͏Следующий важный момент в информационной безопасности, который связана с паролями. А точнее с учетными данными в общем.

Пользователь может придумать сложный и, как следствие, труднозапоминаемый пароль. Один. Или два. А остальные он забудет. Просто потому что человеческая память не приспособлена для запечатления множества строк типа "Fg7%kj9)Fpri_HyT6".

С этим простым, но труднодоступным для некоторых специалистов, фактом, как правило, не считаются различного рода корпоративные политики по информационной безопасности. Потому что сотрудники ИБ или ИТ, которые их готовят, твердо уверены только в том, что пароль должен быть сложным и должен регулярно меняться. А еще он не должен повторяться.

В итоге даже если пользователь придумал и запомнил раз или два трудноподбираемый пароль, то раза с третьего у наго закончится фантазия и оперативная память. Если он несознательный пользователь, то свой очередной пароль он просто забудет. А если сознательный - запишет на бумажечку. И оставит около рабочего компьютера.

Каков же выход? Делать сложные, но похожие пароли, чтобы не забыть их самому? Нет. Потому что существует такая штука как "утечка данных".

Рано или поздно логины и пароли с одного из множества онлайн-сервисов, которыми вы пользуетесь, утекут в результате взлома. В дальнейшем они попадут на специализированные форумы в Даркнете, где их купят другие хакеры. Которые занимаются подбором паролей пользователей. Собрав внушительную коллекцию таких баз данных злоумышленники смогут разгадать ваш способ формирования паролей. Не говоря уже о том, что смогут войти в вашу учетную запись, если вы используете одинаковые пароли на разных ресурсах.

Есть два решения. Первое - использовать менеджер паролей. Второе - использовать правильный способ формирования стойких и запоминающихся паролей. Мы склоняемся ко второму и объясним почему в следующих постах.

͏Продолжим обсуждение вопроса правильной парольной политики.

В прошлый раз мы определили, что есть два способа как создать надежный пароль для каждого сервиса и не забыть его - использовать менеджер паролей или использовать свой мозг, основываясь на правильном методе формирования паролей.

Обсудим менеджеры паролей.

Уже из названия очевидно, что это такое, - программа, которая помогает формировать для каждой используемой учетной записи свой стойкий пароль и надежно их хранить в зашифрованном виде специализированном цифровом хранилище, требуя от пользователя знания только одного мастер-пароля.

Плюс этой технологии несомненен - это автоматизация всей работы с паролями. Пользователю нет совершенно никакой необходимости запоминать пароли, ведь программа все сделает за него. Даже может автоматически заполнить учетные данные при входе. А если у менеджера паролей есть облачное хранилище, то его можно использовать без привязки к конкретному устройству.

Теперь куча минусов:

- Если вы забудете свой мастер-пароль (маловероятно, но возможно), то все ваши пароли в менеджере будут утеряны. Надо в то же время заметить, что некоторые менеджеры паролей, преимущественно на мобильных устройствах, позволяют использовать сканирование лица или снятие отпечатка пальца для доступа в хранилище.

- Мастер-ключ может быть скомпрометирован, к примеру в ходе взлома одного из устройств, с которого производился доступ к менеджеру паролей, в этом случае к хакеру попадут сразу все пароли из хранилища. Для предотвращения этого некоторые менеджеры паролей используют двухфакторную аутентификацию (что это такое мы писали в посте, ссылка на который есть в закрепе).

- Доверяя менеджеру паролей все свои пароли вы вверяете судьбу своих аккаунтов в руки людей, которых лично вы не знаете и не можете быть уверены в полной безопасности цифрового хранилища от внешних (например, физическое повреждение облачного хранилища в условиях отсутствия своевременного резервного копирования) и внутренних угроз (например, от недобросовестных сотрудников).

- Менеджеры паролей такие же программы как и все остальное ПО и точно также в них появляются уязвимости, которые могут быть найдены хакерами и использованы для кражи паролей пользователей.

Последний пункт имеет достаточно много подтверждений:
- в январе 2023 года пользователи менеджера Norton Password Manager были уведомлены о возможной утечке их парольных данных и личной информации в результате предшествовавшего этому взлома инфраструктуры производителя ПО компании NortonLifeRock;
- в июне 2019 года найдена ошибка в системе генерации паролей Kaspersky Password Manager, которая позволяла с помощью подбора Bruteforce определить пароль зная лишь примерное время создание учетной записи на ресурсе;
- в августе 2022 года хакеры взломали инфраструктуру менеджера LastPass, но, по словам представителей сервиса, не смогли украсть информацию о паролях (далеко не факт, что это соответствует действительности). Защиту сетевой инфраструктуры значительно улучшили, после чего в декабре хакеры взломали LastPass второй раз;
- в мае 2023 года в менеджере KeePass обнаружили уязвимость, которая позволяла злоумышленникам извлечь мастер-пароль;
- множество других инцидентов.

Что же делать? Использовать правильный способ формирования и запоминания паролей. Как это сделать мы расскажем в следующем посте.

͏Мы решили прервать серию постов о парольной политике. Потому что вчера был второй вторник месяца.

Это значит что Microsoft выпустила ежемесячное обновление всего своего ПО под названием Patch Tuesday, о котором мы уже неоднократно писали раньше.

В этом обновлении всего устранено 87 уязвимостей, среди которых две уязвимости нулевого дня. Обе эти дырки использовались хакерами для проведении атак в дикой природе.

Одна из них позволяла компьютерным преступникам запускать вредоносный код на атакуемом компьютере с помощью специально сформированного документа Microsoft Office. К примеру, можно было прислать такой документ жертве на почту и ни одна антивирусная программа его бы не распознала как вредоносный.

Обращает на себя внимание, что Microsoft знало об этой уязвимости еще в первой половине июля, но на ее исправление потребовался целый месяц. Впрочем, для Microsoft такое поведение не редкость, к сожалению. Иногда представители компании вообще заявляют исследователям, что найденная теми уязвимость, собственно, уязвимостью не является и исправлять они ее не будут. А потом, после поднявшегося шума в результате опубликования этой информации в Интернете, судорожно пытаются исправить ситуацию.

Напоминаем, что при стандартных настройках операционной системы Patch Tuesday скачается автоматически и будет установлен при очередной перезагрузке или завершении работы Windows. Но если этого не произошло, то все вопросы с обновлением можно решить в Центре обновления Windows, который может быть найден простым набором слова «обновление» в строке поиска операционной системы внизу слева либо в разделе «Обновление и безопасность» Параметров системы.

͏Не Microsoft'ом единым жива информационная безопасность.

Вчера же, во "вторник патчей", компания Adobe, которую большинство пользователей знает по программам Photoshop, Acrobat и Reader, также выпустила большое сборное обновление для своих продуктов.

Приложениями Acrobat и Reader многие пользуются для работы с PDF-файлами. Программы на самом деле очень удобные и богатые на функционал. Отличие между ними следующее - Reader бесплатный и предназначен только для чтения PDF-файлов, а Acrobat требует покупки лицензии и позволяет эти файлы также редактировать.

В обновлении Acrobat и Reader производитель исправил 30 уязвимостей, из которых ровно половина является критическими. Среди этих ошибок и те, которые приводят к выполнению вредоносного кода на атакованном компьютере. Логично, что использование этих уязвимостей возможно при помощи вредоносных PDF-файлов. Поэтому всегда помните о том, что не стоит открывать подозрительные документы.

Обновление Adobe Acrobat и Adobe Reader периодически осуществляется в автоматическом режиме, но если вы не хотите лишний раз рисковать и дожидаться этого, то обновить программу можно и вручную. Для этого необходимо в меню Acrobat и Reader войти в пункт Справка -> Проверить наличие обновлений. При наличии доступного патча пользователю будет предложено загрузить его, что и следует сделать.

͏Это завершающий и, пожалуй, главный пост в серии постов о парольной политике.

В предыдущих постах мы рассказали почему важно иметь стойкий и уникальный пароль для каждой из своих учетных записей, а также почему, по нашему мнению, не стоит слишком доверять менеджерам паролей.

К сожалению, все советы по созданию запоминаемых надежных и уникальных паролей, которые мы смогли найти в сети, таковыми не являются. Пароли либо не уникальны, либо не надежны, либо их невозможно запомнить, если их больше 2-х.

Поэтому делимся своим оригинальным методом. Разумеется, вы можете его модифицировать под себя как вам будет удобно.

1. Выбираем достаточно длинную кодовую фразу. Например, "вместе весело шагать по просторам и конечно припевать лучше хором".

2. Выкидываем из нее все короткие слова – "вместе весело шагать просторам конечно припевать лучше хором".

3. Записываем ее в английской транслитерации – "vmeste veselo shagat prostoram conechno pripevat luchshe horom".

4. Выбираем спецсимвол – например, *.

5. Вам надо придумать пароль для конкретного логина. Например, для почты "bestmail@yandex. ru".

6. Считаем количество символов в названии сайта yandex, оно равно 6.

7. Выбираем из кодовой фразы седьмое (6+1) слово – это будет "luchshe". Если количество слов в кодовой фразе меньше получившегося числа, то просто считаем по второму кругу. И т.д.

8. Берем первые и последние буквы из адреса почты и названия почтового сервиса – "bestmail@yandex. ru". Первые оставляем неизменными, последние превращаем в прописные – получилось b,L,y,X.

9. Чередуем буквы из выбранного слова кодовой фразы и полученные из названия адреса и сервиса буквы – lbuLcyhXshe.

10. В начало пароля добавляем число букв в выбранном слове кодовой фразы luchshe, то есть 7. В конец пароля добавляем выбранный ранее спецсимвол - *.

Ваш пароль для электронной почты "bestmail@yandex. ru" - "7lbuLcyhXshe*".

И самое хорошее, что вы, зная принцип его формирования, в любой момент сможете его вспомнить заново. Даже если для этого вам понадобиться минута свободного времени.

Пользуйтесь на здоровье.

͏Забавный случай произошел на конференции DEF CON, посвященной вопросам информационной безопасности, которая проходила на прошлой неделе в американском городе Лас Вегас.

У некоторых из участников конференции на их iPhone стали всплывать странные окна, которые предлагали использовать их Apple ID для подключения к какому-то неизвестному Apple TV.

Вскоре выяснилось, что автором этого хакерского розыгрыша является исследователь Джей Бохс. Он заявил, что сделал это специально, чтобы указать на то, что функция Bluetooth в iPhone на самом деле не отключается в меню, которое вызывается свайпом пальца сверху вниз.

Резюмируя - функция Bluetooth у iPhone полностью отключается только через Настройки. Если вы отключите ее через выпадающее сверху меню, то это всего лишь приостанавливает прием смартфоном соединений, требующих сопряжения с другим телефоном. Но сам Bluetooth при этом продолжит работать.

Между тем, как известно, существует целый класс хакерских атак, использующий уязвимости в различных реализациях Bluetooth.

Вряд ли кто-то из наших подписчиков будет регулярно включать и выключать Bluetooth через Настройки своего iPhone, но предупредить о существующих рисках мы просто обязаны. Самое печальное, что на iPhone и антивируса-то не поставишь, потому что для смартфонов от Apple нет антивирусов (почему так случилось - мы объясняли в этом посте).

͏Мы уже не раз рассказывали про устройства Интернета вещей (или IoT) и те угрозы информационной безопасности, которые связаны с их использованием. Особенно с учетом того, что дела с защитой у этих устройств обстоят намного хуже, чем у традиционных компьютеров или мобильных девайсов.

Мы глубоко убеждены в том, что современная мода на подключение к Интернету всего подряд оборачивается, зачастую, возникновением несоразмерных угроз информационной безопасности. В первую очередь это относится к устройствам умного дома. Вот тому свежее подтверждение.

Исследователи Катанийского Университета и Университета Лондона выяснили, что цепочка уязвимостей в умных лампочках TP-Link Tapo L530E и приложении TP-Link Tapo, предназначенном для управления ими, позволяют хакерам украсть пароль от Wi-Fi сети, к которой эти лампочки подключены.

TP-Link Tapo L530E - самая продаваемая в мире модель умных лампочек. Приложение для ее управления скачано только с Google Play больше 10 миллионов раз. Активно продается она и в России.

Найденных уязвимостей всего 4 штуки. Комбинируя их, злоумышленник может получить контроль над умной лампочкой, а потом и перехватить пароль от используемой Wi-Fi сети.

Авторы статьи связались с компанией TP-Link и та пообещала скоро внести исправления как в мобильное приложение, так и в прошивку лампочек. И вот в этом моменте нас начинают обуревать сомнения, поскольку никаких конкретных сроков обновления производитель не указал. Так что вполне возможно,что уязвимости не будут закрыты вообще. Для IoT это в порядке вещей.

Владельцы же умных лампочек TP-Link Tapo L530E встают перед неприятным выбором - рисковать безопасностью своей домашней сети либо совсем отказаться от использования весьма недешевых световых устройств и ждать когда же выйдут обновления.

Есть еще один выход - использовать для устройств IoT отдельную Wi-Fi сеть. Это 5-й с половиной и последний шаг к достижению относительной информационной безопасности в нашей методике. Все вместе мы соберем и опишем в следующем посте.

͏Сегодня - последняя пятница уходящего лета, а значит наступила пора сделать большой пост, который бы объединил все те методики и приемы информационной безопасности, про которые мы рассказывали в течение трех с лишним месяцев.

Давайте представим, что наше защищаемое (компьютер, смартфон, IoT) устройство или информация - это дом, который стоит за забором. Забор символизирует внешний периметр, проникнув через который хакер сможет попасть в систему и заниматься своими грязными делами.

Во-первых, забор от времени ветшает, в нем появляются дырки. Да и делали его разные люди, поэтому в некоторых местах через него можно перелезть или сделать подкоп. К сожалению, мы не в состоянии эти дырки найти и закрыть, мы не специалисты. Зато строители, к счастью, сами могут это сделать и они предлагают время от времени нам залатать эти дырки.

Как вы поняли, мы говорим про уязвимости. Поэтому крайне необходимо как можно быстрее закрыть дыры в заборе, через которые преступники смогут к вам залезть. То есть своевременно обновляться.

Во-вторых, даже если воры попали во двор их еще можно остановить. Для этого желательно держать пару собак, которые будут охранять ваше имение. Эти собаки - это антивирусные программы. Некоторых из них, с хорошей родословной, можно купить за деньги, а другие, бесплатные, скорее всего будут обычными дворовыми кабыздохами, но даже они лучше чем ничего.

В-третьих, воры могут угадать ваш пароль на калитке, как раньше часто бывало с кодовыми замками на подъездах, где три кнопки никогда не менявшегося пароля истирались до такой степени, что их было заметно невооруженным взглядом. Поэтому необходимо использовать только сложные пароли, которые отличаются от друга, особенно если калиток несколько. Это - правильная парольная политика.

В-четвертых, на некоторых калитках можно использовать сложные замки, которые вместе с паролем требуют от вас отпечатка пальца или сканирования сетчатки глаза. Это двухфакторная аутентификация или 2FA.

Наконец, то есть в-пятых, хакера можете пустить вы сами, если он переоденется в вашу любимую бабушку или доставщика пиццы. Поэтому надо тщательно проверять, кого вы пускаете в свой двор. Это - защита от фишинга.

Таким образом, можно перечислить пять основных правил информационной безопасности: своевременное Обновление, Антивирусы, правильные Пароли, защита от Фишинга, двухфакторная аутентификация или 2FA. Из заглавных букв перечисленных пунктов несложно вывести достаточно запоминающееся слово ФОПА2.

ФОПА2 - это волшебная формула, которая не даст хакерам вас взломать!

В самом популярном архиваторе WinRAR обнаружили уязвимость, которая позволяет хакерам создавать специально созданные архивы RAR и ZIP, в которых содержатся вредоносные документы PDF, текстовые файлы TXT или картинки в формате JPG.

При открытии таких документов срабатывает вредоносный скрипт, который может установить одну из нескольких разновидностей вируса на компьютер пользователя, в том числе Remcos RAT - троян удаленного доступа, дающий злоумышленнику практически полный контроль над атакованной системой.

Уязвимость в WinRAR была обнаружена компанией Group IB в июле этого года, но, как сообщают эксперты, она активно используется хакерами еще с апреля. Выявленные атаки направлены преимущественно на пользователей форумов, посвященных криптовалютам и акциям. Но это совершенно не значит, что все остальные находятся в безопасности.

Уязвимость была закрыта в недавнем обновлении WinRAR 6.23 которую можно скачать по этой ссылке.

Как всегда повторим, что своевременное обновление всего спектра используемого программного обеспечения - это залог безопасности вашей информации.