Не только слабый пароль. 3 типичные ошибки в интернете, которые приводят к опасным последствиям

Получается, что как бы не шифровался, если захотят, то взломают (((

Ростелеком в состоянии сделать что-то полезное?

Как технически происходит мониторинг кредитной истории?

Статья с Хабра про публичный wifi. Как говорится, не всё так однозначно )) Нам каждый раз рассказывают про то, что если подключиться к публичному Wi-Fi, то может случиться что-то ужасное. А, собственно, что? Трафик перехватят; Пароли утекут; Смартфон будет взломан; Установят какой-то мессенджер без вашего согласия. Причем транслируют инструкции «не пользоваться публичными/открытыми Wi-Fi» множество ИБ-компаний, включая вполне именитых экспертов. Но, кажется, это карго-культ 2015 года, и давайте попробуем разобраться, почему и как так вышло! Дисклеймер! В статье умышленно рассматривается самый частый сценарий — подключение к Wi-Fi смартфона обычного человека. А не того, кто находится в розыске ФСБ/ФБР/Интерпола. Подключение ноутбука же ныне значительно более редкий и очень детерминированный сценарий, ведь выстрелить себе в ногу с небезопасной настройкой ноута значительно проще, особенно если ты из IT. Итак, обычный человек, обычный современный смартфон. Поехали? Классическая торговля страхами Классическая торговля страхами ❯ Современные векторы атак и их ограничения В современном мире массовых атак есть разница между атаками на Андроид и IOS устройства. Из-за большей открытости и более простой установки неподписанных приложений на Андроид именно эта платформа стала основной целью массовых атак. В рамках нашего повествования это не так существенно, поэтому я буду упоминать обезличенный «смартфон» и лишь по необходимости уточнять ОС, где есть существенная разница с точки зрения безопасности. Объект нашего исследования — смартфон Васи, который, возможно, не самый новый флагман, но еще поддерживается ответственным производителем! На момент написания статьи под это описание подходят десятки моделей смартфонов, выпущенных с 2020 года. Злоумышленник, назовем его GarNik (никнейм выдуман автором), которого мы будем рассматривать, имеет полный контроль над Wi-Fi точкой доступа и роутером, и не важно, сам ли он поднял эту сеть или захватил контроль над легитимной. Наш хакер не очень технически подкован, но очень упорен и верит в успех! Ведь он начитался множество статей, что небезопасно подключаться к публичному Wi-Fi, и уверен, что сейчас-то он сможет нагуглить множество атак на клиентов его точки доступа! Всё ведь должно быть просто? Да? И вот наш Вася, ввиду плохо работающего или вовсе не работающего мобильного интернета, подключился к Wi-Fi, на котором ждет своих жертв GarNik. Как же можно атаковать Васю и его устройство? И можно ли? ❯ Перехват трафика Трафик Васи под контролем, вот она, победа, да? Увы, нет, почти 100% трафика современного смартфона передается с шифрованием. А значительная часть приложений используют и SSL-pinning, не позволяющий подменять сертификат даже на иной доверенный! Его возможно обойти, но это требует рутовых прав на самом телефоне. А может, попробовать SSLstrip? Попробуем заставить жертву подключиться к серверу без шифрования? Это требует следующего: Сервер должен позволять работать без шифрования по HTTP. Не должно быть SSL-пиннинга, HSTS, HTTPS-only и иных механизмов, умышленно заставляющих включить шифрование. Почти ни одно приложение подобным критериям не соответствует. А даже если такое приложение найти, то получим данные именно этого приложения, не более. К тому же злоумышленник должен таргетировать конкретное уязвимое приложение. Для наиболее результативных атак у злоумышленника все еще должен быть доверенный сертификат! Да, доверенного сертификата у GarNik нет, а значит, шифрование не вскрыть даже при ошибках приложений. Все остальное, что передается незашифрованным — мусор и не позволяет провести атаку на современный смартфон. Можно выяснить обрывки сведений, например: номер телефона, домены, на которые заходят приложения, геолокацию (что в данном случае еще более бесполезно, вот же он сидит под Wi-Fi), какие приложения использует Вася, да и в целом всё. Для Васи это несущественно, как и для большинства других пользователей. ❯ Возможная эксплуатация Нужен настоящий взлом. Ведь пишут про эксплойты для смартфонов! Точно что-то должно быть под телефон 2020-го года, да? А вот нет, последняя успешная и публичная цепочка эксплойтов на атаку на чипы Wi-Fi была в 2019 году. Она успешно закрыта обновлениями и была бы эффективна в момент ее публикации и какое-то недолгое время после. Даже непубличных эксплойтов, подходящих под Wi-Fi атаку с выполнением кода на смартфоне, за последнее время нет. А Васин телефон просто устанавливает обновления сам, вот и вся защита. А если вспомнить все вот эти крутые 0-day 0/1-click? Такие стоят под современные операционные системы смартфона от полумиллиона до нескольких миллионов долларов, и явно не по бюджету GarNik. Он бы на такие деньги лучше открыл очередной стартап. Да и такие уязвимости чаще всего не требуют нахождения в одной сети с устройством, если такое есть, то проще, как Pegasus, установить вредонос удаленно. Фактически ни одного способа выполнить код от имени какого-то приложения Васи и нет, а уж поднять привилегии до рута — задача еще более дорогая! Если бы Вася был дипломат, миллиардер или шпион, то да, деньги бы на это потратили. Но и методы были бы иные :) ❯ Социальная инженерия Но раз технически всё так плохо, можно воспользоваться социальной инженерией! Показать страничку, где Васю попросят сообщить код от Госуслуг, или скачать и установить APK-файл. Но, кажется, зачем тут Wi-Fi? С таким же успехом можно ссылку/файл прислать куда-либо жертве или позвонить, как мошеннические колл-центры. Wi-Fi-точка гораздо хуже подходит к подобному вектору. А Васю учили в его компании подозрительно смотреть на предлагаемые к установке файлы, а уж код из СМС от Госуслуг и вовсе поверг бы его в панику и побудил как можно быстрее отключиться от сети. Ведь Вася сто раз уже слышал про колл-центры и про опасность присылаемых кодов. GarNik сдался, ни один «клиент» его сети не принес ему ничего. А ведь было вложено немало сил! Кстати, каких? ❯ Условия благоприятные для атаки Чтобы максимизировать успех, злоумышленнику нужно очень многое: Поднять точку доступа в популярном месте, однако без иных открытых точек поблизости. Держать ее максимально долго и с сильным сигналом. Размещать оборудование самостоятельно или с помощью подельника. Ловить/провоцировать перебои сотовой сети, ведь чаще всего люди сидят на мобильном интернете. И даже в таком случае всё, что ему будет доступно в большинстве случаев — социальная инженерия, которую можно было сделать значительно проще и не прибегая к огромному риску для себя. Даже минимальный улов не гарантирован, в отличие от случая массового фишинга! GarNik ушел читать про фишинг, он снова поверил в успех, а о негативном опыте думать не привык, как и учиться на своих ошибках. Думаю, он еще вернется с новым кейсом к нам на разбор. ❯ Реальность Когда я готовил эту статью, то посетил два хороших мероприятия по кибербезу и спросил у коллег-расследователей, известно ли им о каких-либо живых кейсах взлома устройств через Wi-Fi или о случаях размещения вредоносных Wi-Fi. Все ответили «нет». Злоумышленники, прекрасно понимая риски и невысокие перспективы подобных атак, ими просто не пользуются. Гораздо эффективнее и безопаснее для них — протащить в магазин приложений вредоносные приложения или разослать качественный фишинг. ❯ А почему все так говорят А как так вышло? Кто обманул нашего неудавшегося хакера? Его обманул карго-культ. С начала 2010-х в кибербезных СМИ стали писать об опасностях публичных Wi-Fi, и до условного 2015–2017 года в этом был смысл. Смартфоны того времени были не настолько security by design, как сейчас. Но главные атаки были на трафик: ICQ — основной и открытый мессенджер; WhatsApp до 2013 года не имел никакого шифрования; VK преимущественно работал на HTTP как минимум до середины 2010-х; Об SSL-pinning и вовсе никакие приложения не слышали; Изоляция приложений внутри смартфона была значительно хуже; Подпись пакетов и исполняемых файлов использовалась в разы реже; Из-за повального использования HTTP вместе с HTTPS работал и SSLstrip у множества банков; Основные коммуникации были через веб-морды, а не приложения. И прочее, прочее. К слову, тогда большинство людей на Wi-Fi садились с ноутбуком! Поэтому пугалки-то были скорее для них. А почему карго-культ? Каждый год эксперты с умным лицом повторяли тезисы прошлого года, а технологии безопасности шли вперед. В итоге культ остался, а смысл его уже никто и не помнит. Все просто повторяют то, что уже не имеет отношения к реальности, совсем не рефлексируя. А я для вас сделал ревью. Но значительная часть ИБ-компаний и тех, кто продает трехбуквенные технологии «защиты трафика», продолжают умышленно тиражировать эти пугалки. Просто чтобы наживаться на страхе неопытных пользователей! Например, ваш провайдер видит то же самое, что было рассмотрено в этой статье. Подобные манипуляции от продажников/пиарщиков достойны общественного порицания. ❯ Выводы Современный обновленный смартфон — крепость, он сам защищает вас от очень многого. Обновляйте его, и покупайте обновляемые модели популярных производителей. Атаковать ваш смартфон без вашей ошибки — крайне сложная и невыгодная задача. Так получилось просто потому, что современные смартфоны разрабатывались уже в эру зрелого подхода к безопасности. А если вы будете начеку с точки зрения социальной инженерии, то публичные Wi-Fi для вас точно не будут угрозой.)