Security for all - #17 - 26 июля 2018
Кто наследил? - Отслеживание пользователей
Сегодня
Взломан аккаунт певицы и актрисы Селены Гомез; Microsoft запускает новую программу вознаграждений для сервисов идентификации; ботнет из 18 000 устройств за один день.
Основная тема - как сайты отслеживают пользователей и как нам от этого защищаться.
Картинка недели
https://cs11.pikabu.ru/post_img/2018/07/26/9/1532619877178374151.png
Вспомогательные темы
Bug bounty - это своеобразное предложение от некоторых сайтов и разработчиков ПО, согласно которому любой человек, который отправил информацию о проблеме может получить за это компенсацию. В сфере информационной безопасности такие программы достаточно распространены, а размер выплат зависит от важности бага и величины возможного ущерба от его эксплуатации.
OpenID - открытый стандарт. Позволяет пользователям логиниться на разные ресурсы с использованием одного набора логина и пароля, которые управляются так называемым провайдером.
Новости
Взломан аккаунт певицы и актрисы Селены Гомез (Selena Gomez)
21 летняя жительница Нью Джерси взломала аккаунт певицы Селены Гомез. После чего она добралась до фотографий и выложила их в интернет. Согласно заявлениям прокурора, обвиняемая уже несколько раз получала доступ к аккаунтам Селены в промежутке между июнем 2015 и февралем 2016 года. Аккаунт певицы также был взломан августе 2017, но установить виновника не удалось.
Как сообщает LA Times доступ к аккаунтам Apple iCloud и Yahoo был получен с помощью секретных вопросов, ответы на которые можно было найти в публичном доступе.
Чтобы не стать жертвой подобного взлома, используйте уникальные пароли для сайтов, включайте по возможности двухфакторную аутентификацию. И не используйте легкие секретные вопросы. Всегда пользуйтесь для них информацией, которую знаете только вы.
https://thehackernews.com/2018/07/selena-gomez-email-hacking.html
Microsoft запускает новую программу вознаграждений для сервисов идентификации
Компания Microsoft запустила новую программу вознаграждения за найденные уязвимости в сервисах аутентификации. Компания заявила, что она инвестирует в создание и разработку сервисов идентификации, которые будут предоставлять надежные механизмы логина и сессий.
Новая программа включает в себя сервисы Microsoft Account и Azure Active Directory, а также некоторые имплементации спецификации OpenID. В зависимости от важности и критичности бага выплаты могут составлять от $500 до $100 000.
https://thehackernews.com/2018/07/microsoft-bug-bounty.html
Злоумышленник за день создал ботнет из 18 000 устройств
Всего один день понадобился злоумышленнику для того, чтобы создать ботнет из 18 000 роутеров. Для заражения использовалась уязвимость с идентификатором CVE-2017-17215. Этой уязвимости, позволяющей удаленное выполнение кода, подвержены роутеры Huawei. Для активации нужно послать специально сформированный пакет на порт 37215.
Как сообщил в своем твиттере исследователь компании New Sky Security Анкит Анубхав (Ankit Anubhav), злоумышленник сам связался с ним и предоставил список IP адресов взломанных устройств. Массированный скан устройств Huawei, который был виден на графиках компании 360 Netlab также результат работы этого взломщика. Мотивы атакующего не очень понятны, он лишь сказал, что хотел “создать самый большой ботнет”.
Не забудьте проверить обновления для своего роутера. Иначе есть шанс, что он также легко и незатейливо станет частью ботнета :)
https://www.anti-malware.ru/news/2018-07-19-1447/26887
Tracking
Сегодня я хотел бы затронуть тему отслеживания. Но не отслеживания в реальном мире, а отслеживания посещаемых пользователем сайтов. Информация о том, какие сайты мы посещаем, сколько там времени проводим, чем интересуемся, может быть очень полезна, например, рекламодателям.
Технология
Давайте разбираться, каким образом один сайт может узнать, что мы посетили какой-то другой. Сайт, который будет собирать информацию назовем агрегатором. Посещаемые будем называть целевыми сайтами.
Целевые сайты иногда заинтересованы в отслеживании пользователей. Поэтому на них либо добавляется скрипт, либо внедряется какой-то ресурс, например картинка. Причем внедряемый ресурс не обязательно должен быть виден пользователю, достаточно того, что браузер его запросит со стороннего сайта.
Давайте начнем с добавляемых ресурсов, с ними интереснее. В протоколе HTTP есть заголовок referer. Он пишется без удвоенной R, что не соответствует английской грамматике. В этом заголовке браузер передает серверу адрес страницы, с которой он переходит или делает запрос. Таким нехитрым образом агрегатор получил путь.
Вторая задача - идентифицировать разных пользователей. Для этого используются куки. Если при обращении к сайту агрегатора пользователь не идентифицирован и в его браузере нет куки, то сервер задает для нее уникальное значение. В дальнейшем все запросы к сайту агрегатора будут идти с этой кукой, и можно будет с легкостью отличить одного пользователя от другого.
У скриптов возможностей еще больше. Они могут получить текущий адрес сайта, для которого его загрузили и отправить запросом на сайт агрегатора. Могут отслеживать как вы перемещаете мышь, на каких элементах ее останавливаете. Обычно люди останавливают курсор на интересующих их элементах или ведут там, куда падает их взгляд. Если правильно интерпретировать эту информацию, можно узнать много интересного.
Плюсы
У отслеживания есть плюсы. Как минимум для владельцев сайтов. Обычно они хотят знать, кто к ним приходит - пол, возраст, и откуда - через поиск, с других сайтов или еще как-то. Поэтому на сайты добавляются метрики, которые позволяют это делать. В нашей стране наиболее распространены Yandex и Google, а они обычно точно знают, кто вы. Зная кто, как и когда к ним приходят, сайты могут готовить предложения удовлетворяющие их аудиторию. В некоторых случаях пользователи от этого тоже выигрывают.
Минусы
Из минусов первым я бы выделил угрозу приватности. Агрегатор будет знать, чем мы интересуемся, что ищем. В некоторых случаях эта информация может достаточно точно идентифицировать пользователя, раскрыть его неафишируемые интересы.
Второй минус чисто технический. Раз сайты добавляют к себе скрипты и сторонние ресурсы, значит на их скачивание и обработку будут тратиться ресурсы. Ресурсы процессора, а как следствие и батарея, если речь про мобильные устройства. Трафик, за который мы платим. Время, которое тратится на загрузку сайта. Иногда время загрузки сайта с дополнительными ресурсами сильно выше, чем если бы эти ресурсы не грузились.
Do Not Track
Не всем понравилось, что за ними следят. Поэтому был придуман “официальный” способ отказа. Он так и называется по английски - Do Not Track или сокращенно DNT. Если пользователь не желает, чтобы его действия отслеживались, он ставит в настройках браузера галочку, и тот начинает посылать сайтам куку заголовок с именем DNT и значением 1. Это должно изменить поведение сайта-агрегатора по отношению к пользователю. Изменяет или нет - другой вопрос.
С этой опцией связана интересная история. В свое время Microsoft в режиме экспресс настройки Internet Explorer 10 включала опцию по-умолчанию, за что встретила шквал критики со стороны компаний, занимающихся рекламой. В веб сервер Apache был добавлен патч, игнорирующий этот заголовок у данного браузера. Считалось, что пользователь сам должен сделать осознанный выбор. Патч, к слову сказать, через месяц-полтора был удален.
Надеюсь вы без проблем найдете на просторах интернета инструкции по включению данной опции в своем браузере, а после сможете оценить ее эффективность или неэффективность.
Расширения-блокировщики
Возможно, опция Do Not Track и работает, но она полагается на честную реализацию на стороне агрегатора. Более кардинальным решением может быть блокировка нежелательных ресурсов с использованием расширений для браузера или на уровне DNS запросов. Но такой подход обычно блокирует всю рекламу. Что может сказаться на сайтах, которые предлагают бесплатный контент, а живут только за счет доходов от рекламы. Но тут решает каждый сам - отключать всю рекламу или нет.
Хотя некоторые сайты определяют наличие блокировщиков и либо просят отключить, но показывают контент, либо совсем не показывают, пока не отключишь.
Обобщение
Давайте подведем итог. Отслеживание можно организовать с помощью встроенного на сайт скрипта или ресурса. Отслеживание помогает сайтам предлагать нужный контент, но тратит ваше время и ваши ресурсы.
Для блокировки отслеживания можно воспользоваться опцией Do Not Track или полной блокировкой нежелательного контента, например, с помощью расширений браузера.
Естественно, я рассказал только основную информацию. У рекламодателей и агрегаторов есть еще козыри в рукаве.
Вишенка
Ну а напоследок небольшая вишенка на торте, хотя для кого-то это давно известный факт. Касается этот факт электронной почты. Многие письма сейчас отправляются в формате HTML. С помощью ресурсов, которые используются в таких письмах, можно также понимать, когда письмо было прочитано. Если было.
Но и с этим борются. Некоторые почтовые сервисы загружают сторонние ресурсы к себе при получении письма. Поэтому отправитель не имеет возможности отследить открытие. Если же вы пользуетесь почтовой программой, то вероятно она не загружает изображения сразу, а делает это только с вашего разрешения. Это тоже помогает в защите от отслеживания.
–
На сегодня у меня все. Быть невидимкой или нет, решать вам. До следующей недели.