Всего новостей: 2555954, выбрано 3 за 0.003 с.

Новости. Обзор СМИ  Рубрикатор поиска + личные списки

?
?
?  
главное   даты  № 

Добавлено за Сортировать по дате публикации  | источнику  | номеру 

отмечено 0 новостей:
Избранное
Списков нет

Эйгес Павел в отраслях: Финансы, банкиСМИ, ИТвсе
Эйгес Павел в отраслях: Финансы, банкиСМИ, ИТвсе
Россия > Финансы, банки. СМИ, ИТ > forbes.ru, 18 декабря 2017 > № 2427733 Павел Эйгес

Мобильный криптосейф: как защитить биткоины от хакеров

Павел Эйгес

директор ООО «Открытая мобильная платформа»

Самый удобный способ хранения криптовалют оказывается самым небезопасным

Крупные преступные группы полностью переключились на криптоиндустрию, предупреждают ведущие консультанты по защите данных. Взлет суммарной капитализации криптовалют до $370 млрд, «биткоиновая лихорадка» и возможность скрыться за анонимностью блокчейна сделали криптоиндустрию желанной мишенью для хакеров всего мира. По разным данным они уже украли криптовалют на сумму от $168 млн до $300 млн. В ход идут фишинговые сайты, популярностью не уступающие оригинальным, и даже звонки мобильным операторам с просьбой переключить номер абонента на устройство мошенника. Но главными троянскими воротами криптовалютного фрода стали мобильные устройства. Управлять кошельком со смартфона удобнее, чем использовать аппаратные, десктопные или онлайн-кошельки, но весь вопрос в том, с какого.

Хакерские отмычки любят Android

Подарком для охотников за чужой криптовалютой стали уязвимости ОС Android, одной из самых распространенных (87,4% всех мобильных устройств) и, в силу этого, уязвимых операционных систем — Android. Количество различных сервисов-кошельков в Google Play уже превышает 2000, ежемесячно появляются новые. По данным исследования High-Tech Bridge, более 66% из приложений не используют безопасный протокол HTTPS, а более 94% уязвимы по трем и более параметрам. Кроме того, практически все протестированные приложения (более 96%) применяют устаревшие методы шифрования данных.

Но даже в случае полной безопасности приложений гарантии от кражи цифровых денег минимальны. Дело в нативной уязвимости самой ОС Android: для защиты данных нужны регулярные обновления операционной системы, которые в силу многообразия производителей и конечных устройств приходят с большим временным лагом. К моменту релизу новой версии ОС программы-шпионы успевают обновиться десятки раз и найти новые бреши, и так по кругу. Говоря проще, любой криптокошелек на Android может внезапно стать чужим.

Другие серьезные проблемы: прошивки для Android, собирающие личные данные, например, «Прошивка без проводов (FOTA)» и SecureRandom — компонент системы, отвечающей за генерацию случайных чисел, задействованный при использовании практически всех bitcoin-кошельков для Android.

Об опасностях смартфонов на базе Android владельцам криптовалют заявлял и представитель самого Google — владельца ОС — Майк Хирн и авторитетный эксперт по защите данных Крис Мейер. Оба специалиста называли наиболее существенной проблемой уже упомянутый SecureRandom. Основатель bitcoinmine.club Джоби Викс, отметил уязвимость мобильных гаджетов при хранении криптовалют, комментируя атаку хакера на собственный смартфон, в результате которой он потерял более 100 биткоинов. Словом, использование устройств на базе этой системы дает возможность для неавторизованного доступа к биткойн ключам, причем несколькими путями.

Помимо «шпионских» прошивок, проблем с генерацией случайных чисел, а также потенциально опасных приложений, существуют более изощренные программные средства для взлома, например, новая версия бага Stagefright («боязнь сцены»), использующая уязвимость форматов mp3 и mp4 для атаки устройств через отправку MMS-сообщений. Программа активирует вредоносный код даже после просмотра превью на видео. По признанию главы отдела безопасности компании Адриана Людвига, «сцены боятся» 95% всех устройств Android, новой версии бага 99%. Если предположить, что даже каждый пятый владелец криптовалют использует мобильные кошельки на Android устройствах, то при нынешней капитализации криптовалют, угроза нависла над $74 млрд и десятками тысяч пользователей.

«Банки» для криптовалют

Альтернативы, конечно, же есть. Специальные средства, такие, например, как аппаратные кошельки, которые в народе называют «безопасными флешками», безусловно, резко снижают риски. Сами криптоключи в них ограждены от ПО устройства, передающего информацию. Но при этом возникают сложности с количеством устройств, непривычным управлением и дополнительными функциональными неудобствами. В общем, аппаратная версия кошелька не является полноценной альтернативой смартфону. Использование же специализированного смартфона, заточенного под безопасность: со специальной ОС, защищенной и с точки зрения криптографифии, и антивирусной системой, работающей более эффективно в силу регулярных обновлений системы операционной, — да и в целом не подверженной такому шквалу атак вирусов и шпионов, сохранит и удобство, и портативность.

Мобильные операции с криптовалютами — это удобно. И отказ от них едва ли снизит интерес злоумышленников к криптоиндустрии. Для сохранения возможности переводить криптовалюты из любой точки мира с одновременным обеспечением безопасности активов достаточно правильно выбрать аппаратные средства. Безопасность сбережений начинается с отношения к ним. Подобно классическим деньгам, которые мы защищаем прочными стенами и надежными дверями банковских сейфов, криптовалюты следует защищать устройствами, вероятность взлома которых сравнима, с вероятностью ограбления банка.

Россия > Финансы, банки. СМИ, ИТ > forbes.ru, 18 декабря 2017 > № 2427733 Павел Эйгес


США. Россия > СМИ, ИТ. Внешэкономсвязи, политика > forbes.ru, 24 ноября 2017 > № 2400730 Павел Эйгес

Facebook виляет элитой: победа Трампа — лишь вершина «айсберга»

Павел Эйгес

директор ООО «Открытая мобильная платформа»

Как иконы прогрессивной мысли превратились в политическое оружие, а общество этого не заметило

Американское медиапространство и общественное мнение вот уже несколько месяцев сотрясается от скандалов, порожденных победой в президентской гонке Дональда Трампа. Отдельной главой этой саги стала история о российском следе в этой победе, а точнее о ботах (роботах, автоматически выполняющих команды через интерфейсы, предназначенные для людей), якобы покупавших в Facebook рекламу в поддержку кандидата от республиканцев. 3 тысячи постов, будь даже эта версия правдивой, разумеется, не смогли бы изменить результаты предвыборной гонки, но сама по себе технология влияния на общественное мнение через управление контентом, как выясняется, успешно применялась на десятках миллионов пользователей и не раз, причем самими цифровыми гигантами. И эти факты, куда более примечательные, не получают громкой огласки, не провоцируют волн служебных расследований и общественного негодования.

Не останавливаясь на изучении хроники событий, отметим лишь, что в итоге The Wall Street Journal опубликовала новость о дезавуировании российского вмешательства. Данные из доклада Facebook были удалены, а «понимание компанией российской активности» было объявлено «слишком спекулятивным». Гораздо интереснее проследить первопричины таких явлений — крайне непубличные события, которые заставили политических консультантов обратиться к подобным инструментам управления общественным мнением и поверить в их силу. Как завещал киногерой Владимира Высоцкого, «неслыханных преступлений не бывает: что-нибудь подобное где-нибудь, когда-нибудь, с кем-нибудь уже было».

«Небезопасная Америка»

Предвыборная агитационная кампания Трампа в социальных сетях, с российским следом или без него, достойна оказаться в учебниках по технологиям пиара в социальных сетях (SMM). По словам Президента США, все его аккаунты в социальных сетях являются «собственным видом медиа», так как за ними следят почти 100 млн человек.

Например, роль сервиса микроблогов Twitter, где у Трампа около 30 млн подписчиков, 45-ый по счету хозяин Белого Дома в интервью Fox News оценил так: «Я думаю, что мог бы не быть здесь сейчас, если бы не было Twitter…». Но это если говорить о публичной активности в социальных медиа: выражении позиции, полемике с другими участниками и так далее. Но ведь была и другая сторона.

Известно, что предвыборная риторика Дональда Трампа во многом строились на осуждении нелегальной иммиграции, критике исламизации США и террористической угрозе. Одним из наиболее эффективных инструментов, формирующих нужные стереотипы, у электората стало применение социальных сетей с непосредственным влиянием на информационное поле пользователей.

В частности, агентство Bloomberg опубликовало данные о том, что ключевую роль в формировании необходимых стереотипов в американском обществе через Facebook и YouTube сыграло digital-агентство Harris Media по заказу общественной организации «Безопасная Америка». По данным Bloomberg, антимусульманская кампания «Безопасной Америки» выстраивалась при активной поддержке сотрудников Facebook и Google, которые оказывали помощь специалистам Harris Media в точной настройке таргетирующих сервисов месседжей.

Анонимный источник Bloomberg в Harris Media сообщил, что основной целью рекламы «Безопасной Америки» было формирование страха у целевой аудитории. Также этот источник подтвердил прямую связь Harris Media с Google и Facebook. В числе прочего издание сообщает о личной встрече представителей «Безопасной Америки» совместно с Harris Media с официальными лицами из Google и Facebook для обсуждения эффективности рекламной кампании в июне 2016 года.

В дальнейшем «Безопасная Америка» распространяла вирусные видеоролики через YouTube и Facebook, пользуясь рекомендацией этих площадок по наиболее эффективному целевому воздействию (таргетингу). Этот контент в различных вариантах спровоцировал волну антиисламских настроений в американском обществе, что позволило Трампу с его программой получить внушительное количество голосов.

«Неинформированное согласие» на манипуляцию вашим мнением

Характерным примером возможностей массового влияния социальных сетей на большие группы людей является исследование Facebook по изменению настроения, которое проводилось в 2012-м году. Более 600 тыс. пользователей неосознанно стали участниками эксперимента по так называемому эмоциональному «заражению».

Для воздействия на испытуемых использовался специально подготовленный контент, который размещался в их новостной ленте. По замыслу организаторов, контент преимущественно содержал материалы с «позитивными» сообщениями. Семантика, лексика и иные особенности текстовых сообщений в таком контенте содержали информацию об эмоциях, чувствах и т.п. (невербальные сигналы не использовались). На основе экспериментов были сделаны выводы о том, что через Facebook можно «заразить» пользователя радостью, депрессией, страхом, гневом.

В 2014 году исследователями Адамом Крамером, Джейми Гиллори и Джеффри Хэнкоком, были представлены экспериментальные доказательства возможности «эмоционального заражения» (формирования определенных эмоций) исключительно путем публикации постов в Facebook, без прямого контакта пользователей друг с другом. Для получения валидных результатов понадобилась всего 1 неделя, исследование проводилось с 10 по 18 февраля 2012 года.

Многие пользователи Facebook, были возмущены тем, что исследователи не следовали принципу информированного согласия и эксперимент проводился без их ведома. Гражданские активисты задались вопросом, сколько людей стали жертвами эксперимента и посредством намеренного изменения ленты были доведены до депрессии. Оценок негативных последствий эксперимента не проводилось, руководство Facebook ограничилось формальными извинениями.

Ещё одним малоизвестным социальным экспериментом Facebook, проведенным без согласия пользователей стало саботирование работы их же Android-приложения. Намеренное внедрение ошибок в код приложения, о котором сообщили в прошлогоднем сообщении The Information, практиковалось на протяжении нескольких лет. Эксперимент проводился с целью выявить время, за которое пользователи отказываются от использования неработоспособного ПО. Как и в случае с социальным экспериментом, с заражением эмоциями ни один из пользователей не уведомлялся об участии в эксперименте.

Однако наиболее масштабным подобным эксперимент по своему размаху стал проект Facebook 2010 года, который был напрямую связан с выборами в Конгресс США. Так в рандомизированном контролируемом исследовании по «политической мобилизации», не давая на то предварительного согласия, участвовало более 61 000 000 человек. В процессе эксперимента выяснилось, каким образом сообщения в ленте пользователей влияют на их политическое самовыражение, а также определялось, насколько возможно такое влияние на друзей пользователей, получивших сообщения и «друзей друзей». Данные о результатах эксперимента были опубликованы в 2012 году.

В результате исследователи пришли к выводу, что влияние «социальной передачи» дружеских сообщений в реальном мире было даже выше чем, чем влияние сообщений на таргетированных пользователей. Таким образом, было экспериментально доказано, что репост сообщения близкими друзьями обладает большим мотивационным потенциалом, нежели другие источники. Исследование опять-таки проводилось с пренебрежением к принципу информированного согласия: ни один из пользователей не был предупрежден об участии в исследовании.

Социальный спрут

Жалобы на подобные махинации транснациональных корпораций бесполезны, потому что пользователи таких сервисов как Facebook, YouTube, Google+ отреклись от возможности их совершать, просто поставив галочку в поле «согласен с пользовательским соглашением». Тем самым вы на самом деле подтверждаете, что согласны наполнять свои ленты любым контентом, использовать часть личных данных в целях рекламы и маркетинга, а также снимаете с социальных сервисов ответственность за работу их приложений.

Масштаб проблемы глобален, так как количество пользователей Facebook превышает 2 млрд человек, а суммарная аудитория всех сервисов Google превышает это количество. Для среднестатистического американца Facebook, Twitter и YouTube уже давно являются основными источниками информации о мире, кроме того соцсети также являются одним из наиболее популярных способов коммуникации. По данным edisonresearch.com, Facebook является наиболее крупной и востребованной соцсетью среди людей всех возрастов с общей долей на мировом рынке не менее 64%. Более 50 % используют Facebook через смартфон. Более миллиарда пользователей YouTube ежеминутно загружают около 300 часов видеоконтента.

В России ситуация схожая. В 2016-м году социальные сети обогнали телевидение как источник новостной информации. Среди всех источников контента наиболее популярным в России является смартфон иностранного производства. 80 млн этих устройств по умолчанию используют поиск Google, самым популярным видеосервисом является Youtube. В России Facebook занимает второе по популярности место среди соцсетей с долей 27,7%, а Google – первое среди поисковых систем долей 49,82% (по данным seo-auditor за 2017 год). При этом в последние полтора года эти сервисы всё активнее наращивают пользовательскую аудиторию в России, что, по некоторым оценкам, может быть связано с предстоящими выборами. Таким образом, это позволяет с большой долей вероятности говорить о том, что сегодня Россия фактически лишена информационного суверенитета в новых социальных медиа.

США. Россия > СМИ, ИТ. Внешэкономсвязи, политика > forbes.ru, 24 ноября 2017 > № 2400730 Павел Эйгес


Россия > СМИ, ИТ > forbes.ru, 17 ноября 2017 > № 2391349 Павел Эйгес

Бронежилет для смартфона. Как бизнесу защититься от вирусов-вымогателей

Павел Эйгес

директор ООО «Открытая мобильная платформа»

Вопрос о том, какое устройство можно использовать на работе — личное или специальное — сейчас стоит жестко как никогда

В современном мире большинство служебных процессов выполняются работниками с помощью личных смартфонов и планшетов. Вместе с тем, целая индустрия киберпреступности за несколько лет перенацелилась с компьютеров и серверов именно на эти устройства. И вопрос о том, какое устройство можно использовать на работе — личное или специальное — сейчас стоит жестко как никогда. Государству и корпорациям нужно либо поднять брошенную преступниками перчатку и принять вызов, либо готовиться подсчитывать многомиллиардные убытки.

Атака вируса, воровавшего данные популярных меcсенджеров (SpyDealer) и вируса, списывавшего деньги с терминалов электронной оплаты (Neutrino), сменились наступлением вымогателей DoubleLocker и BadRabbit (Плохой кролик), блокирующих экраны до получения выкупа в криптовалюте. Последний, к слову, скорее всего, придуман авторами знаменитого Пети (Petya), вируса поразившего сервера крупных государственных структур, корпораций и частного бизнеса по всему миру.

Судить о реальных масштабах убытков бизнеса трудно, потому что мы видим лишь ту часть айсберга, которая хочет быть увиденной. Но масса «зловредов» — в основном программ-шпионов — никогда не покажется из-за кулис, а ущерб, которые от них понесли компании, не будет обнародован во избежание репутационных потерь.

Уязвимость бизнеса

На самом деле уязвимость бизнеса перед все новыми волнами киберпреступлений скрыта в двух очевидных фактах: практически все вирусы сейчас создаются именно для атаки на одну, самую массовую, операционную систему, которая управляет 86% всех телефонов на планете; и именно устройства, управляемые этой операционной системой, используются в рабочих целях — а значит хранят массу нужной хакерам информации. На Западе практика применения собственных гаджетов на работе называется BYOD, что дословно переводится «принеси свое личное устройство» (bring your own device).

Такая концепция (BYOD), вообще говоря, обязана своему появлению новой технологической революции 2000-х годов, точнее массовому распространению личных смартфонов. Сотрудники, естественно, начали использовать их для переговоров, просмотра и отправки почты, планирования работы, аккумулируя на них массу коммерчески важной информации.

Эта практика и по сей день ценится корпорациями за удобство, несмотря на явную киберугрозу. Считается, что использование привычных рабочих сервисов и приложений, скачанных из «магазинов» GooglPlay и зачастую «инфицированных», повышает производительность. Также долгое время, было принято думать, что благодаря личным мобильникам на работе персонал всегда остается на связи. Однако на деле, использование личных телефонов, позволяющих общаться в социальных сетях и играть на работе в игры, по оценкам Лаборатории Касперского, снижает деловую эффективность почти на треть (26%).

Способы защиты

Общая мировая тенденция на защиту бизнес-информации и происшествия, связанные с корпоративным кибершпионажем, вынудили IT-директоров задуматься над способами защиты телефонов сотрудников на работе. Для обеспечения элементарной информационной «гигиены» и контроля за использованием их стали наделять системами управления и контроля мобильных устройств (MDM), мобильными антивирусными программами и системами криптографической защиты. Но сотрудникам такая практика, конечно, не нравится: никто не хочет жертвовать возможностями своего гаджета в угоду корпоративным ценностям.

Кроме того, чтобы все эти системы работали исправно, нужно постоянно следить за регулярными обновлениями целого «зоопарка» разных устройств, а остающиеся в системе безопасности «щели» все равно достаточно велики, чтобы пропустить «вирус» или «шпион». Альтернативой этому варианту стали закупки персональных, заточенных под каждую отдельную корпорацию, версий устройств на базе все той же системы Android.

Такие корпоративные смартфоны удобнее для служб технической поддержки, поскольку требуют к себе меньше внимания. Однако стоимость такой кастомизации может колебаться от десятков до сотен тысяч долларов. Мало того, корпоративным программистам по мере роста киберугрозы стало понятно, что уязвимость устройств на базе Android находятся в самой операционной системе.

Она представляет из себя лучшую мишень для хакеров мира не только в силу своей популярности, но и в силу того, что требует отдельных обновлений под каждый тип устройства, которых выпускаются сотни. И в случае с индивидуальными версиями, созданными под каждую корпорацию, обновления либо запаздывают, либо вовсе не приходят. А без обновлений самого операционного «ядра» телефон становится почти беззащитен перед вирусной угрозой. Ни один антивирус не успевает справится с автоматизированным вирусным «конвейером», пишущим по десятке новых вирусов в минуту.

Сотрудники под прицелом

Сама практика защиты мобильных данных привела большие структуры к самому логичному выходу: устройствам под управлением специализированных мобильных операционных систем, уже обладающих богатым арсеналом встроенных систем защиты, например, все той же криптографической или системой управления устройствами. Во-первых, они никогда не станут столь же желанной мишенью для армии «вирусов», потому что эту армию ради одной компании не сможет содержать ни один преступный синдикат. Во-вторых, закупка таких решений обходится в итоге дешевле закупки новых корпоративных телефонов или поддержки личных устройств на базе Android.

Эти устройства, конечно, ограничены в игровом и развлекательном функционале, но именно поэтому они и называются рабочими. И именно поэтому у сотрудников остаются собственные гаджеты, которые никто не отнимает. Работая в крупной бизнес или государственной структуре, необходимо отдавать себе отчет в том, что твой смартфон уже под прицелом мошенников, и для них он легкая добыча. Поэтому просто не нужно объединять разные понятия. Костюм ведь никто не обвиняет в том, что он не останавливает пули. Вот и специальный мобильник для работника крупной корпорации или чиновника: все равно, что бронежилет для силовика. Просто необходимая защита. Тяжелее пиджака от Armani, но зачем тебе Armani, если ты под обстрелом АК47? И чем дольше представители крупных корпораций и госструктур будут приходить к этой мысли, тем быстрее им потом придется переодеваться.

Россия > СМИ, ИТ > forbes.ru, 17 ноября 2017 > № 2391349 Павел Эйгес


Нашли ошибку? Выделите фрагмент и нажмите Ctrl+Enter