Новости DarkNet | Приёмки /Крипта /Криминал и многое другое.

[Baton24]

 

[Baton24]

Последние события​

Операции правоохранительных органов​

• Операция Disruptor (Operation Disruptor): В 2020 году правоохранительные органы провели координированную операцию Disruptor, направленную на подрыв деятельности даркнет-маркетплейсов, занимающихся продажей незаконных товаров и услуг.
• В ходе операции было изъято более 6,5 млн долларов США наличными и в криптовалюте, а также арестовано множество лиц, причастных к деятельности в Даркнете.

Консолидация рынков​

• Закрытие Evolution Marketplace: В 2021 году был закрыт Evolution Marketplace, одна из крупнейших даркнет-площадок, в результате действий правоохранительных органов.
• Прекращение работы Evolution Marketplace заметно снизило объёмы нелегальной торговли наркотиками, крадеными данными и другими запрещёнными товарами и услугами.

Финансирование​

• Инвестиции в инструменты мониторинга Даркнета: Компании в сфере кибербезопасности получают значительное финансирование для разработки и совершенствования инструментов мониторинга Даркнета, позволяющих бизнесу выявлять и предотвращать киберугрозы, исходящие из тёмной сети.
• Например, платформа для анализа Даркнета DarkOwl привлекла 10 млн долларов США на расширение своих возможностей по мониторингу и анализу активности в Даркнете, чтобы выявлять потенциальные угрозы.

Объём рынка​

• Оценка объёма экономики Даркнета: Несмотря на операции правоохранительных органов, экономика Даркнета продолжает развиваться.
• Точный объём экономики Даркнета оценить трудно из-за его скрытого характера, но полагают, что ежегодный оборот исчисляется миллиардами долларов от продажи наркотиков, поддельных товаров, украденных данных и прочей нелегальной деятельности.

Инновации в области криптовалют​

• Распространение анонимных криптовалют: Даркнет-маркетплейсы и пользователи всё чаще переходят на ориентированные на конфиденциальность криптовалюты, такие как Monero и Zcash, чтобы сохранять анонимность и избегать преследования правоохранительными органами.
• Эти криптовалюты обладают улучшенной анонимностью и безопасностью по сравнению с Bitcoin, что делает их привлекательными для нелегальных транзакций в Даркнете.

Регулирование​

• Законодательные меры в борьбе с деятельностью в Даркнете: Правительства и регуляторы по всему миру предпринимают законодательные усилия, чтобы противостоять Даркнету и укреплять системы кибербезопасности.
• Среди этих мер — усиленное наблюдение за даркнет-маркетплейсами, ужесточение наказаний за киберпреступления и международное сотрудничество в борьбе с преступными сетями, действующими в Даркнете.

Основные выводы​

Даркнет представляет собой скрытый сегмент интернета, не индексируемый стандартными поисковиками, часто ассоциируемый с незаконной деятельностью. Он предоставляет платформу для анонимного общения, нелегальной торговли и других противоправных действий.

Несмотря на то, что у Даркнета есть легитимные применения (например, защита приватности и свободы слова в репрессивных режимах), он в основном известен связью с киберпреступностью, наркотрафиком, хакерством и иными преступными схемами.

По мере развития технологий необходимо совершенствовать и меры противодействия нелегальной деятельности в Даркнете, чтобы обеспечить более безопасную онлайн-среду для всех пользователей.

 

[Baton24]

Исследование: компании выделяют рекордные 13,2% IT-бюджетов на кибербезопасность.
Компании тратят в 1,5 раза больше на IT-безопасность, чем 5 лет назад.

Глобальные расходы на информационную безопасность демонстрируют устойчивый рост с 8,6% от ИТ-бюджетов в 2020 году [1] до 13,2% в 2024 году [9], с прогнозом сохранения этого уровня в 2025 году. Ключевыми драйверами роста являются: усложнение кибератак, переход на гибридные модели работы, внедрение технологий искусственного интеллекта и усиление регуляторных требований. Организациям рекомендуется адаптировать бюджетное планирование с учетом отраслевой специфики и зрелости систем безопасности [22].

Введение: Эволюция кибербезопасности в корпоративных ИТ-стратегиях​

В эпоху цифровой трансформации информационная безопасность стала не просто технической необходимостью, но и стратегическим бизнес-императивом для организаций всех размеров и отраслей. Три фундаментальных фактора определяют критичность инвестиций в кибербезопасность сегодня: экспоненциальный рост киберугроз, расширение цифровой поверхности атак и ужесточение регуляторных требований. По данным Всемирного экономического форума, кибератаки входят в пятерку главных глобальных рисков наравне с климатическими изменениями и экономической нестабильностью.

Обеспечение адекватного финансирования мер по защите информационных активов стало ключевым фактором поддержания непрерывности бизнеса и репутации компаний. Согласно исследованиям, средняя стоимость утечки данных в 2023 году превысила 4,5 миллиона долларов США, при этом негативные последствия для бизнеса могут ощущаться на протяжении нескольких лет после инцидента. В этих условиях руководители бизнеса и ИТ-департаментов стоят перед сложной задачей определения оптимального уровня инвестиций в информационную безопасность.

Настоящий отчет представляет комплексный анализ тенденций в области глобальных расходов на информационную безопасность как доли от общего ИТ-бюджета за период с 2020 по 2025 год. Исследование опирается на данные ведущих международных аналитических агентств, включая Gartner, Forrester, IDC, и отраслевые опросы руководителей информационной безопасности (CISO). Особое внимание уделяется изменениям в приоритетах финансирования, отраслевой специфике расходов и ключевым драйверам инвестиций в цифровую защиту.

Глобальные расходы на информационную безопасность как процент от ИТ-бюджета: 2020 год​

Согласно данным опроса руководителей информационной безопасности (CISO), проведенного IANS Research и Artico Search, в 2020 году расходы на безопасность составляли в среднем 8,6% от общего ИТ-бюджета. Этот показатель отражает бюджетные приоритеты организаций в начале периода пандемии COVID-19, которая оказала значительное влияние на ИТ-расходы. Несмотря на потенциальную переориентацию бюджетов, необходимость защиты данных в условиях массового перехода на удаленную работу сохраняла свою актуальность, что нашло отражение в относительно высокой доле расходов на безопасность.

Другие источники указывают, что в 2020 году компании в среднем планировали потратить около 6% своего ИТ-бюджета на безопасность [3]. При этом наблюдалась значительная дифференциация в зависимости от отрасли. Так, компании, занимающиеся разработкой программного обеспечения и интернет-сервисами, прогнозировали расходы на уровне 8,7%, банки и финансовые учреждения — 7,3%, а государственные службы — 6,7%. Такой разброс свидетельствует о том, что уровень инвестиций в кибербезопасность напрямую зависел от специфики деятельности, степени цифровизации и регуляторных требований, предъявляемых к каждой отрасли.

Анализ структуры среднего бюджета на кибербезопасность в 2020 году показывает, что наибольшая часть средств приходилась на обеспечение безопасности операционной инфраструктуры (50%). Значительные доли также занимали управление уязвимостями и мониторинг безопасности (20%), управление, риски и соответствие требованиям (GR&C) (16%), а также безопасность приложений (14%).

Примечательно, что еще в 2016 году аналитики Gartner рекомендовали предприятиям тратить на ИТ-безопасность от 4 до 7 процентов своих ИТ-бюджетов, в зависимости от зрелости их систем и уровня подверженности рискам. Сравнение этих рекомендаций с фактическими показателями 2020 года свидетельствует о растущем признании критической важности кибербезопасности и увеличении соответствующих инвестиций.

 

[Baton24]

Глобальные расходы на информационную безопасность как процент от ИТ-бюджета: 2021 год​

В 2021 году наблюдался дальнейший рост доли расходов на безопасность в ИТ-бюджетах по сравнению с предыдущими годами. Одно из исследований показало, что средняя организация стала выделять более пятой части (21%) своего ИТ-бюджета на кибербезопасность, что представляет собой скачок на 63% [5]. Такой существенный рост мог быть обусловлен продолжающимся влиянием пандемии, увеличением числа кибератак, нацеленных на удаленных сотрудников, и усилением внимания к вопросам устойчивости к киберугрозам.

Анализ Forrester за 2021 год, посвященный распределению бюджетных средств на безопасность, сравнивал организации, тратящие на безопасность от 0% до 20% ИТ-бюджета, с теми, чей уровень расходов превышал 20%. Исследование выявило, что значительная часть средств по-прежнему направлялась на локальные технологии безопасности, что могло свидетельствовать о неоптимальном распределении бюджета в условиях активной миграции в облако.

Согласно отчету IANS Research и Artico Search, в 2021 году рост бюджетов на безопасность составил 16%. Этот двузначный рост подтверждает тенденцию увеличения инвестиций в кибербезопасность как доли от ИТ-расходов.

Примечательно, что 2021 год стал критической точкой в понимании необходимости комплексного подхода к кибербезопасности. Серия резонансных кибератак, включая инциденты с SolarWinds, Colonial Pipeline и JBS Foods, продемонстрировала, что уязвимости в цифровой безопасности могут иметь каскадный эффект, затрагивающий целые отрасли и цепочки поставок. Это привело к пересмотру традиционных подходов к формированию бюджетов на ИТ-безопасность с акцентом на превентивные меры и комплексные решения.

Глобальные расходы на информационную безопасность как процент от ИТ-бюджета: 2022 год​

В 2022 году тенденция к увеличению расходов на кибербезопасность продолжилась. По данным IANS Research и Artico Search, бюджеты на безопасность выросли на 17% [1]. Однако, несмотря на рост доли расходов на безопасность в ИТ-бюджетах, средний прирост бюджетов на безопасность за цикл 2022-2023 годов составил всего 6%, что значительно ниже 17% роста предыдущего года. Это замедление могло быть связано с экономической неопределенностью и инфляционным давлением, оказавшими влияние на общие ИТ-расходы. Тем не менее, доля расходов на безопасность относительно ИТ-бюджетов увеличилась с 8,6% в 2020 году до 11,6% в 2022 году. Это говорит о том, что, несмотря на экономические ограничения, организации продолжали уделять приоритетное внимание кибербезопасности, выделяя на нее большую часть своих ИТ-средств.

Аналитики Forrester оценили среднюю долю расходов на кибербезопасность в 5,7% от годового ИТ-бюджета. При этом прогнозировалось, что в 2024 году доминирующую позицию в бюджетах на кибербезопасность займет программное обеспечение, на которое будет приходиться 35,9% глобальных расходов и до 39,4% в крупных предприятиях. Разница в средних значениях, представленных разными агентствами, может быть обусловлена различиями в методологиях исследований и выборках респондентов.

Важно отметить, что в 2022 году существенно изменилась структура расходов на кибербезопасность. В ответ на геополитическую нестабильность и растущую угрозу целенаправленных кибератак, организации начали перераспределять бюджеты в пользу защиты от продвинутых постоянных угроз (APT), укрепления защиты критической инфраструктуры и повышения устойчивости к атакам программ-вымогателей. Многие предприятия внедрили или расширили программы киберстрахования, что также отразилось на общей структуре расходов на безопасность.

Глобальные расходы на информационную безопасность как процент от ИТ-бюджета: 2023 год​

В 2023 году, по данным IANS Research и Artico Search, средний прирост бюджетов на безопасность составил 6%, что соответствует показателю предыдущего цикла 2022-2023 годов. Доля расходов на безопасность в ИТ-бюджетах в среднем составила 11,6%, продолжив тенденцию роста с 2020 года. Это подтверждает, что кибербезопасность становится неотъемлемой частью ИТ-расходов, несмотря на возможное замедление темпов роста общих бюджетов на безопасность.

Опрос Moody's, проведенный в 2023 году, показал, что организации, имеющие кредитный рейтинг, выделяли на кибербезопасность 8% своих технологических бюджетов, что выше показателя 2019 года в 5%. Эти данные также свидетельствуют о постепенном увеличении доли ИТ-бюджета, направляемой на нужды кибербезопасности.

2023 год стал переломным моментом в подходах к инвестициям в кибербезопасность в контексте внедрения технологий искусственного интеллекта (ИИ). С одной стороны, организации начали активно использовать ИИ для усиления своих возможностей по обнаружению и предотвращению угроз, что потребовало дополнительных инвестиций. С другой стороны, рост применения вредоносного ИИ киберпреступниками создал новые категории угроз, требующие соответствующих мер защиты. Это способствовало перераспределению бюджетов в пользу интеллектуальных систем безопасности и платформ автоматизированного анализа угроз.

Глобальные расходы на информационную безопасность как процент от ИТ-бюджета: 2024 год​

Согласно данным IANS Research и Artico Search, в 2024 году расходы на безопасность составляют 13,2% от общего ИТ-бюджета, что значительно выше показателя 2020 года в 8,6%. За последние пять лет наблюдался устойчивый рост этого показателя с 8,6% в 2020 году до 13,2% в 2024 году. Средний рост бюджетов на безопасность в 2024 году составил 8%, увеличившись с 6% в 2023 году, однако он все еще ниже двузначных показателей 2021 и 2022 годов. Эти данные демонстрируют значительное увеличение доли ИТ-бюджетов, направляемой на кибербезопасность, хотя темпы роста, возможно, несколько замедлились, что может указывать на определенную стабилизацию.

2024 год характеризуется повышенным вниманием к проблеме "возврата инвестиций" (ROI) в кибербезопасность. В условиях экономической неопределенности руководители компаний требуют более четкого обоснования затрат на безопасность и измеримых показателей эффективности. Это привело к растущему интересу к метрикам кибербезопасности, риск-ориентированному подходу к инвестициям и более тесной интеграции показателей безопасности с ключевыми показателями эффективности бизнеса. Одновременно с этим, возросла значимость киберустойчивости как ключевого компонента общей устойчивости бизнеса, что также повлияло на приоритеты в бюджетировании .

 

[Baton24]

Прогноз глобальных расходов на информационную безопасность как процент от ИТ-бюджета: 2025 год​

По прогнозам Elisity, крупные предприятия, планирующие свои бюджеты на кибербезопасность в 2025 году, ожидают, что расходы на безопасность составят в среднем 13,2% от ИТ-бюджетов, что выше 8,6% в 2020 году. Этот прогноз указывает на то, что тенденция выделения значительной части ИТ-бюджетов на кибербезопасность сохранится и в 2025 году, на уровне 2024 года.

Другие исследования показывают, что в 2025 году предприятия, как ожидается, будут выделять на расходы по безопасности в среднем около 11% своих ИТ-бюджетов, при этом наблюдаются значительные различия в зависимости от отрасли. Например, для технологической отрасли и здравоохранения прогнозируется выделение 13,3% ИТ-бюджета на кибербезопасность, для сферы бизнес-услуг — 13,2%, для потребительских товаров и услуг — 9,7%, для финансовых услуг — 9,6%, для производства — 6,1%, а для розничной торговли — 6,0%.

Gartner прогнозирует 15-процентный рост расходов на кибербезопасность в 2025 году, при этом глобальные расходы, как ожидается, достигнут 212 миллиардов долларов США . Учитывая прогноз Gartner по общемировым ИТ-расходам в размере 5,74 триллиона долларов США в 2025 году, доля расходов на кибербезопасность может составить приблизительно 3,7%. Важно отметить, что методология Gartner может включать более широкий спектр расходов в определение "ИТ-расходы", что может объяснять расхождение с данными о доле выделяемой части ИТ-бюджета.

IDC прогнозирует рост мировых расходов на безопасность на 12,2% в годовом исчислении в 2025 году . Этот прогноз также указывает на сохраняющуюся тенденцию к увеличению инвестиций в кибербезопасность.

Прогнозы на 2025 год отражают ожидаемый переход к более интегрированному подходу в обеспечении кибербезопасности. Вместо фрагментированных решений компании будут стремиться к унификации своей стратегии безопасности с акцентом на платформенные решения, предлагающие комплексную защиту и упрощенное управление. Ожидается, что значительная часть инвестиций будет направлена на решения, обеспечивающие безопасность многооблачных и гибридных сред, защиту конфиденциальных данных и управление идентификацией с учетом новых форматов работы. Особое внимание будет уделено технологиям, способным адаптироваться к постоянно меняющемуся ландшафту угроз с минимальным вмешательством человека.

Ключевые факторы, влияющие на распределение ИТ-бюджета в сфере кибербезопасности​

Наблюдаемые изменения в распределении ИТ-бюджетов в пользу кибербезопасности обусловлены рядом ключевых факторов. Продолжающаяся популярность удаленной работы, переход от VPN к модели нулевого доверия и активное использование облачных технологий продолжают стимулировать увеличение расходов на кибербезопасность. Беспрецедентный рост числа кибератак и расширение поверхности атак также требуют выделения больших объемов финансирования .

Регуляторные требования и возросшие киберриски являются еще одним важным фактором, способствующим увеличению инвестиций в кибербезопасность. Развитие искусственного интеллекта (ИИ) и генеративного ИИ (GenAI) также приводит к росту инвестиций в программное обеспечение для безопасности, включая безопасность приложений, защиту данных и конфиденциальности, а также защиту инфраструктуры. Кроме того, глобальный дефицит квалифицированных специалистов по кибербезопасности стимулирует инвестиции в сервисы безопасности. Нередко значительное увеличение бюджетов на кибербезопасность является реакцией на внешние факторы, такие как инциденты, утечки данных или растущие риски, связанные с внедрением ИИ .

Можно выделить четыре основные категории факторов, влияющих на распределение бюджетов на кибербезопасность:

1. Технологические факторы:
   
   • Цифровая трансформация и расширение цифровой поверхности
   • Внедрение облачных и периферийных вычислений
   • Интеграция промышленных систем управления (ICS) в корпоративные сети
   • Развитие технологий искусственного интеллекта и машинного обучения
   • Распространение интернета вещей (IoT) и подключенных устройств
2. Операционные факторы:
   
   • Переход на гибридные и удаленные модели работы
   • Использование персональных устройств в рабочих целях (BYOD)
   • Дефицит квалифицированных кадров в области кибербезопасности
   • Потребность в автоматизации процессов безопасность
   • Необходимость обеспечения непрерывности бизнеса
3. Регуляторные факторы:
   
   • Ужесточение требований к защите персональных данных (GDPR, CCPA и др.)
   • Отраслевые стандарты соответствия (PCI DSS, HIPAA и др.)
   • Обязательное раскрытие информации об инцидентах
   • Требования к национальной безопасности и критической инфраструктуре
   • Ответственность руководства за управление киберрисками
4. Факторы угроз:
   
   • Рост количества и сложности кибератак
   • Профессионализация киберпреступности (модель Ransomware-as-a-Service)
   • Целенаправленные атаки со стороны государственных субъектов
   • Использование искусственного интеллекта в атаках
   • Атаки на цепочки поставок и экосистемы партнеров

 

[Baton24]

Заключение: Тенденции и перспективы расходов на кибербезопасность​

Анализ данных ведущих международных аналитических агентств показывает устойчивую тенденцию к увеличению доли ИТ-бюджетов, выделяемой на информационную безопасность, в период с 2020 по 2024 год. Прогнозы на 2025 год указывают на возможную стабилизацию или продолжение роста этих расходов . Различные агентства приводят несколько отличающиеся цифры, что может быть связано с различиями в методологиях и охвате исследований, однако общая траектория указывает на возрастающее значение кибербезопасности в структуре ИТ-расходов.

Ключевые факторы, такие как эволюция угроз, технологический прогресс (включая облачные технологии и ИИ) и усиление регуляторного давления, будут и впредь определять уровень инвестиций в кибербезопасность . Организациям следует придерживаться стратегического подхода к формированию бюджетов на кибербезопасность, учитывая специфические риски и отраслевой контекст.

Результаты исследования позволяют сформулировать ряд практических рекомендаций для руководителей бизнеса и ИТ-департаментов:

1. Стратегический подход к бюджетированию: Переход от реактивного к проактивному планированию инвестиций в кибербезопасность с учетом специфики отрасли, размера организации и уровня зрелости существующих систем безопасности.
2. Риск-ориентированное распределение ресурсов: Приоритизация инвестиций на основе комплексной оценки рисков для критически важных бизнес-процессов и активов .
3. Измерение эффективности инвестиций: Внедрение методологий для количественной оценки эффективности расходов на кибербезопасность, включая показатели снижения рисков и экономической отдачи.
4. Интеграция безопасности в цифровую трансформацию: Включение требований безопасности на ранних этапах реализации проектов цифровой трансформации, что позволяет избежать дорогостоящих исправлений на поздних стадиях.
5. Оптимизация инвестиций через консолидацию: Пересмотр существующего портфеля решений безопасности в пользу интегрированных платформ, способных снизить операционные расходы и повысить эффективность защиты.
6. Диверсификация стратегии защиты: Сбалансированное распределение инвестиций между предотвращением угроз, их обнаружением, реагированием на инциденты и восстановлением после них.

В долгосрочной перспективе можно ожидать дальнейшей эволюции подходов к финансированию кибербезопасности, характеризующейся следующими тенденциями

• Переход от восприятия кибербезопасности как "центра затрат" к пониманию ее как "центра создания ценности" и конкурентного преимущества
• Развитие моделей совместного финансирования безопасности бизнес-подразделениями и ИТ-департаментами
• Усиление интеграции между бюджетами на кибербезопасность и страхованием киберрисков
• Формирование новых метрик для оценки окупаемости инвестиций в безопасность
• Увеличение доли операционных расходов (OpEx) в структуре затрат на безопасность благодаря модели "безопасность как услуга" (SECaaS)

Таким образом, несмотря на возможное замедление темпов роста бюджетов на кибербезопасность в ближайшие годы, их стратегическая важность для обеспечения устойчивости и конкурентоспособности бизнеса будет только возрастать . Организациям следует рассматривать инвестиции в кибербезопасность не как вынужденные затраты, а как необходимое условие успешного функционирования в цифровой экономике.

Методология исследования​

Настоящий анализ основан на данных ведущих международных аналитических агентств, включая Gartner, Forrester, IDC, а также на результатах отраслевых опросов и исследований, проведенных IANS Research, Artico Search, Moody's и другими организациями. Источники информации включают публично доступные отчеты, аналитические материалы, пресс-релизы и презентации, опубликованные в период с 2020 по 2024 год.

Для обеспечения объективности и полноты представленных данных были использованы различные методологические подходы к оценке доли расходов на кибербезопасность в ИТ-бюджетах. В некоторых случаях наблюдаются расхождения в показателях, представленных разными источниками, что может быть обусловлено различиями в методологиях исследований, определениях ключевых понятий и выборках респондентов.

При анализе тенденций и формулировании прогнозов учитывались как количественные показатели, так и качественные оценки экспертов в области кибербезопасности и управления ИТ-бюджетами. Прогнозы на 2025 год основаны на экстраполяции существующих трендов с учетом ожидаемых изменений в технологической, регуляторной и экономической среде.

​

 

[Baton24]

Кибератака по клику: Archer делает больно… но в учебных целях.

Обзор модуля регулируемых атак на онлайн-полигоне Standoff Defend.

Рынок информационной безопасности сталкивается с рядом серьезных проблем. Во-первых, многие компании оказались без эффективных средств защиты, что вынудило их экстренно менять IT-ландшафт. Во-вторых, при модернизации инфраструктуры безопасность нередко отходит на второй план, а отсутствие слаженного взаимодействия между отделами IT и ИБ создает уязвимости, которыми пользуются злоумышленники. Кроме того, в отрасли наблюдается нехватка квалифицированных специалистов, что повышает риски для бизнеса.

Для решения этих проблем мы существенно обновили онлайн-полигон Standoff Defend* — виртуальную среду, которая помогает компаниям проверить защитные механизмы, а специалистам по ИБ — отработать навыки выявления атак и расследования инцидентов в условиях, приближенных к реальным.

Онлайн-полигон Standoff Defend — это полноценная виртуальная копия IT-инфраструктуры, созданная для проверки навыков специалистов по информационной безопасности. Он объединяет более 1500 виртуальных машин в единую экосистему, доступную 24/7, и позволяет участникам тренироваться в выявлении и расследовании атак в условиях, максимально приближенных к реальным.


Одна из ключевых задач онлайн-полигона — создание динамичной и реалистичной среды, в которой атаки развиваются естественным образом, а защитники могут работать с реальными сценариями угроз. Однако без моделирования пользовательской активности и регулируемых атак инфраструктура полигона оставалась бы статичной. Чтобы устранить этот пробел, мы разработали модуль Archer — инструмент, обеспечивающий непрерывную симуляцию событий внутри экосистемы Standoff.

Archer делает онлайн-полигон Standoff Defend максимально приближенным к реальным условиям, помогая специалистам по ИБ работать с актуальными киберугрозами и совершенствовать свои навыки.

На Standoff Defend модуль Archer отвечает:

• за симуляцию активности пользователей;
• создание регулируемых атак для отработки навыков расследования;
• мониторинг и поддержку виртуальных офисов за счет автоматизации управления инфраструктурой в условиях растущего числа участников.

Таким образом, Archer делает онлайн-полигон не просто тестовой средой, а полноценным пространством для обучения, экспериментов и отработки защитных стратегий в реальном времени.

Что такое синтетический трафик​

Реальные атаки могут совершать как киберпреступники, так и команды красных (red team). Особняком стоят регулируемые атаки. Синтетический трафик — это вид сетевого трафика, который генерируется автоматически с использованием специальных инструментов и программного обеспечения. Он предназначен для имитации действий реальных пользователей, проверки производительности и стабильности сетевых сервисов, а также для тестирования систем безопасности. Основные виды использования синтетического трафика:

• тестирование производительности сетевых сервисов;
• проверка доступности и надежности сетевых сервисов;
• тестирование систем безопасности;
• обучение персонала.

Системы эмуляции и моделирования хакерских атак не призваны заменить живой трафик. Они служат дополнительным инструментом для обучения специалистов по ИБ. В условиях онлайн-полигона использование регулируемых атак имеет ряд преимуществ, среди которых:

• гибкая настройка цепочек атак;
• выбор разного уровня сложности, включая мимикрию под реальные киберпреступные группировки с применением их техник и методов;
• запуск атак в любое время;
• настройка длительности проведения атак.

Кроме того, такие системы можно регулярно пополнять экспертизой о новейших атаках и киберугрозах.

 

[Baton24]

Для чего был создан модуль Archer​

Идея нового модуля выросла из клиент-серверного приложения, которое команда Standoff исторически использовала для симуляции пользовательской активности, чтобы связанная игровая инфраструктура более чем из 1500 виртуальных машин выглядела для участников кибербитв Standoff живой. В 2024 году специалисты Positive Technologies усовершенствовали инструмент, расширив его новыми возможностями для имитации кибератак по запросу.

С помощью техник матрицы MITRE ATT&CK модуль Archer способен выстроить атаку любой длительности и сложности. Сценарии регулируемых атак формируются на основе реальных киберинцидентов, произошедших в мире. Для команд SOC модуль выступает в роли учителя: специалисты по ИБ в комфортном темпе могут подготовиться к отражению нападений различного уровня сложности, изучить актуальные тактики и техники злоумышленников, а также выстроить грамотное взаимодействие внутри команды.

Про атакующую часть модуля Archer​

Сам Archer является фреймворком, который может расширяться и встраивать в себя любые модули для проведения атак любой сложности. Это не значит, что атаки Archer построены на других инструментах. Для проведения тестирования экспертизы и тренировки синих команд в Archer встроены атаки разного уровня сложности. Одни и те же техники MITRE ATT&CK, как, например, встраивание провайдера Windows SSP (T1547.005 — Boot or Logon Autostart Execution: Security Support Provider), могут быть реализованы разными способами для облегчения либо, наоборот, усложнения процесса обнаружения атаки. Все это дает возможность для создания более реалистичной картины во время проведения тренировок на основе актуальных инцидентов.

Наши эксперты сами разрабатывают атакующие модули. Для этого требуется изучение внутреннего устройства Windows, исследование протоколов, реверс-инжиниринг инструментов атаки без открытого исходного кода и создание своих собственных PoC. Специалисты, участвующие в создании Archer, понимают, как проводятся атаки сторонними инструментами, и знают, как обходить инструменты защиты. Уровень экспертизы дает возможность формировать атаки c использованием syscalls, ассемблера, внутренних и не задокументированных функций и структур Windows. Это значительно усложняет обнаружение атак и таким образом позволяет обучать команды из SOC навыкам расследования нелегитимных действий.

Archer Toxic — это своего рода маячок (beacon), который по команде может производить разведку и атаки компьютерных систем по сети. Все то, что можно делать во время постэксплуатации, может выполнять модуль Toxic. Самое главное — что это все происходит полностью автоматически, без участия оператора.

Благодаря модульности и системе плагинов сам Archer может выступать в роли атакующего и совершать разведку, подключаться по разным протоколам, получать первоначальный доступ. Кроме того, Archer может воздействовать на конечную цель — красть данные или использовать программу-шифровальщик.

Решаемые задачи​

Демонстрация векторов атак без привлечения экспертов полезна в случаях, когда требуется:

• Воспроизвести атаку в точности и неограниченное количество раз

В процессе повышения экспертизы специалистов по ИБ важную роль играет проверка ранее освоенных навыков. Провести ее можно посредством имитации атаки, которую в прошлом защитники уже отработали. Маловероятно, что белые хакеры на онлайн-полигоне смогут регулярно и неизменно повторять одни и те же действия, поэтому для этой задачи как нельзя лучше подходят системы эмуляции атак.

• Провести атаки определенной сложности

Гибкая настройка последовательностей атак с регулировкой степени сложности позволяет обучать защитников нелинейно: например, сначала они могут изучить список техник по закреплению в системе или повышению привилегий и отточить настройку средств защиты и процессы SOC по их успешному обнаружению и реагированию. Затем можно будет перейти к действиям, предпринимаемым на следующем этапе атаки.

• Реализовать высокопрофессиональные кибератаки с применением специфических техник и кастомизированных инструментов

Работа с живым «красным» трафиком на онлайн-полигоне показала, что исследователи безопасности редко раскрывают на этой площадке весь свой потенциал. Модуль Archer восполняет этот пробел: по одному клику он выполняет комплексные сценарии атак с использованием техник любой сложности.

• Обеспечить максимальное покрытие матрицы MITRE ATT&CK

Сообщество сильнейших исследователей в области кибербезопасности не в силах покрыть абсолютно все тактики и техники, которыми злоумышленники пользуются в атаках на корпоративную инфраструктуру. В некоторых случаях специалистам необходимо оттачивать навыки противодействия определенным видам атак и верифицировать конкретные стратегии защиты организации. Модуль Archer эффективен в решении подобных задач.

 

[Baton24]

Как Archer формирует сценарии атак.

Минимальное количество вредоносных действий может быть разным. В среднем в цепочке атак, которые использует модуль Archer, APT-группировки совершают 20 и более вредоносных действий. На схеме представлена относительно линейная цепочка атак. Она формируется по аналогии с существующей инфраструктурой с помощью конструктора. Могут быть различные варианты, добавляться отдельные ветки, дополнительные шаги, ведущие к реализации недопустимого события. Следует отметить, что атаку из примера выше можно воспроизвести за любой промежуток времени. Если необходим интенсив, то эта атака может выполниться за 5–10 минут. Если условия необходимо приблизить к реальной активности киберпреступной группировки, чтобы потренировать команду SOC, продолжительность атаки можно растянуть на несколько часов. Например, специально задерживать ее на нужных этапах с целью провести дополнительную разведку внутри сети, прежде чем достигнуть намеченной цели.

Как формируются цепочки атак​

В зависимости от конечной цели клиента, цепочки атак могут формироваться разными способами. Archer может выполнять атаки для тренировки команд SOC, проверять средства защиты на стороне клиента, а также проводить точечные атаки, чтобы проверить реагирование на конкретные техники из матрицы MITRE ATT&CK.

Если есть запрос на обучение для команды SOC, то первым делом команда Archer проводит исследование наиболее релевантных киберинцидентов, произошедших в последнее время в мире. В зависимости от сложности реализации и предпочтений конечного потребителя экспертная команда разбирает отчет на конкретные техники и тактики. В конце концов на основе выбранных техник и составляется цепочка с заложенным уровнем сложности, максимально приближенным к реальному.

Зачем тренироваться на онлайн-полигоне​

Хакерские атаки в реальной жизни могут привести к критически опасным инцидентам, которые могут болезненно ударить по компании. Платформа Standoff 365 — это площадка для повышения защищенности любой компании от киберугроз. А специалисты по информационной безопасности здесь могут прокачать свои навыки: в удобном режиме они могут изучить трендовые кибератаки и, если столкнутся с ними вживую, будут уже точно знать, как реагировать на ту или иную угрозу и как устранить ее с гарантированным результатом. Участие в кибербитве дает возможность в безопасной среде наблюдать за действиями атакующих, отрабатывать реагирование на инциденты и их расследование, отлаживать навыки использования средств защиты, а также улучшать командное взаимодействие и обучать начинающих специалистов. Например, за несколько дней кибербитвы Standoff участники могут получить опыт, эквивалентный многомесячной работе в реальных условиях, что особенно важно для аналитиков SOC и команд безопасности.

С сентября 2024 года специалисты по ИБ разного уровня могут не ждать новых кибербитв и на практике изучать тактики сильнейших белых хакеров — участников кибербитвы Standoff. Эксперты Standoff отобрали наиболее интересные, по их мнению, инциденты по итогам кибербитв и предоставляют возможность бесплатно их расследовать на онлайн-симуляторе Standoff Cyberbones. Также доступна коммерческая версия с расширенным функционалом и больших количеством заданий.

Онлайн-полигон Standoff Defend играет ключевую роль в этой экосистеме, предоставляя платформу для постоянных практических тренировок. В отличие от разовых учений, полигон доступен 24/7, а значит, специалисты могут регулярно совершенствовать свои навыки, тестировать защитные механизмы и адаптироваться к новым типам атак. Это делает его незаменимым инструментом как для команд ИБ, так и для бизнеса, стремящегося защитить свою IT-инфраструктуру от реальных угроз.

 

[Baton24]

Соседи воруют ваш интернет прямо сейчас? Неудобная правда о Wi-Fi.

Подробный обзор актуальных методов взлома Wi-Fi и эффективных способов защиты.

Помните то время, когда интернет был привязан к месту проводом, словно собака на цепи? Сегодня это кажется далеким прошлым. Wi-Fi ворвался в нашу жизнь, даруя свободу — работать с ноутбуком на уютной террасе кафе, серфить интернет в парке или устроить видеоконференцию прямо из кухни своего дома. Беспроводные сети незаметно, но прочно вплелись в ткань нашей повседневности, став таким же естественным элементом среды обитания, как электричество или водопровод.

Но за каждой технологической свободой скрывается своя цена. В случае с Wi-Fi — это безопасность. Пока мы наслаждаемся комфортом беспроводного мира, цифровые "хищники" не дремлют, высматривая уязвимости в наших сетях. Их цель проста: получить доступ к личным данным или превратить ваше интернет-соединение в инструмент для своих темных дел.

Звучит тревожно? Безусловно. Но знание — лучшая защита. В этой статье мы проведем вас по цифровым джунглям Wi-Fi безопасности: раскроем популярные методы взлома, покажем инструменты из арсенала хакеров и, самое главное, вооружим вас практическими знаниями, как превратить вашу беспроводную сеть в настоящую цифровую крепость.

Введение: опасности незащищённого Wi-Fi​

Незащищённая или слабо защищённая Wi-Fi сеть — это лакомый кусок для злоумышленников. Если в вашу сеть может проникнуть кто-то посторонний, это чревато массой проблем. В лучшем случае чужак просто «позаимствует» ваш трафик, чтобы посмотреть видео или скачать файлы. В худшем — он может перехватывать ваши личные данные, логины и пароли, читать электронную почту, обманывать ваши устройства с помощью атак «человек посередине» (Man-in-the-Middle), а также использовать ваше подключение к интернету для противозаконных действий.

Именно по этой причине так важно понимать, какими способами может производиться атака на Wi-Fi сеть и как закрыть уязвимости. Чем лучше вы осведомлены о методах взлома, тем легче будет разобраться, какие настройки нужны и как вовремя выявить подозрительную активность в своей сети.

Обзор методов взлома Wi-Fi​

Со временем специалисты в сфере кибербезопасности совершенствуют стандарты шифрования и протоколы аутентификации, однако злоумышленники не отстают. Появляются новые эксплойты, техники обхода и утилиты, позволяющие при определённых условиях взломать даже современные стандарты вроде WPA3. Рассмотрим наиболее распространённые подходы.

Перехват handshake WPA2/WPA3​

Самый популярный и, к сожалению, действенный на практике метод — это перехват «рукопожатия» (handshake) при установке соединения между точкой доступа и клиентом. Чтобы упростить процесс, злоумышленники нередко устраивают так называемый «deauthentication attack» — принудительно отключают устройство жертвы от Wi-Fi (например, через подменённые пакеты в сети), а затем, когда устройство повторно подключается к сети, производится захват handshake.

Зачем нужен handshake? В случае с WPA2 и WPA3 это часть процесса шифрованного обмена ключами, которая позволяет определить пароль сети (точнее, его хэш). Имея на руках этот хэш, атакующий переходит к этапу перебора. При условии слабого или среднего по сложности пароля скорость современного перебора (брютфорс или словарная атака) зачастую приводит к успешному результату. Если же пароль достаточно сложный, а точка доступа настроена грамотно, злоумышленник рискует потратить огромное количество времени или так и не достичь цели.

Атака через WPS: уязвимость Pixie Dust​

WPS (Wi-Fi Protected Setup) — технология, призванная упростить подключение устройств к беспроводной сети. Теоретически, нажал кнопку на роутере, ввёл восьмизначный PIN и вуаля — устройство подключено. Однако именно эта функция стала источником ряда уязвимостей. Одна из самых известных — Pixie Dust. Она основывается на слабых механизмах генерации случайных чисел при проверке WPS-PIN. В ряде роутеров процесс проверки PIN-кода устроен так, что позволяeт злоумышленнику за считанные минуты угадать заветную комбинацию.

Сценарий атаки выглядит примерно так: злоумышленник запускает специализированную утилиту (например, Reaver), которая отправляет пакеты на роутер и подбирает PIN. При определённых условиях, если роутер уязвим, время подбора PIN может занять совсем немного — иногда минуты или часы, в зависимости от качества реализации WPS на конкретном устройстве. После удачного подбора PIN злоумышленник получает пароль от Wi-Fi (при стандартных настройках роутера).

 

[Baton24]

Подбор паролей (брутфорс и словарная атака)​

Один из классических методов, который используют как новички, так и опытные пентестеры — это прямой перебор паролей. Тут всё упирается в скорость, списки словарей и вычислительные мощности.

• Брутфорс (Brute Force) — перебор всех возможных комбинаций символов. Эффективность такого метода зависит от сложности пароля и возможностей атакующего. Если говорить о длинных паролях (12+ символов), то брютфорс при современных возможностях может растянуться на годы, а то и десятилетия.
• Словарная атака (Dictionary Attack) — подбор слов из заранее сформированных списков (dictionary files). В словарь входят самые распространённые пароли пользователей, именования, фразы, числа, даты, комбинации вроде «qwerty123» и т.д. На удивление часто люди используют именно такие упрощённые варианты.

Оба метода могут дополняться так называемыми правилами мутации (mutation rules), которые модифицируют слова в словаре — добавляя цифры, знаки препинания, меняя регистр букв и т.д. Инструменты вроде Hashcat могут обрабатывать миллион и больше комбинаций в секунду, в зависимости от конфигурации видеокарт, что делает словарные атаки довольно эффективными при распространённых паролях.

Evil Twin (Злой близнец)​

Это один из наиболее коварных методов атаки на Wi-Fi. Злоумышленник создаёт поддельную точку доступа, полностью имитирующую настоящую — с тем же SSID (именем сети) и иногда даже с тем же MAC-адресом. Затем с помощью атаки деаутентификации пользователи отключаются от легитимной сети и автоматически переподключаются к поддельной, поскольку устройства обычно запоминают SSID и пытаются подключиться к самой сильной сети с таким именем.

Когда жертва подключается к «злому близнецу», весь её трафик проходит через оборудование атакующего, что позволяет перехватывать незашифрованные данные, включая пароли, личную информацию и даже создавать поддельные веб-сайты для фишинга.

Методы защиты от Evil Twin:

• Внимательно проверяйте, к какой сети вы подключаетесь, особенно в общественных местах
• Используйте VPN для шифрования всего своего трафика
• Обращайте внимание на предупреждения браузера о недостоверных сертификатах
• Включите опцию «Подтверждать подключение к новым сетям» на ваших устройствах

KRACK (Key Reinstallation Attack)​

В 2017 году исследователи обнаружили серьёзную уязвимость в протоколе WPA2, названную KRACK. Эта атака позволяет злоумышленнику воспроизвести, расшифровать и даже подделать пакеты данных в защищённой WPA2 сети. Атака работает путём манипуляции с процессом четырёхстороннего рукопожатия, когда устройство подключается к сети.

Во время атаки KRACK злоумышленник может заставить жертву переустановить уже используемые криптографические ключи, нарушая фундаментальное предположение протокола о том, что ключи используются только один раз. Это позволяет атакующему расшифровывать весь трафик пользователя и даже внедрять вредоносный код в защищённые соединения.

Защита от KRACK:

• Регулярно обновляйте прошивки маршрутизаторов и операционные системы всех устройств
• Переходите на протокол WPA3, если ваше оборудование его поддерживает
• Используйте HTTPS-соединения и VPN для дополнительного шифрования данных

Dragonblood (уязвимости WPA3)​

Протокол WPA3, представленный как более безопасная замена WPA2, также оказался не лишён уязвимостей. В 2019 году исследователи обнаружили набор уязвимостей под общим названием Dragonblood. Эти уязвимости затрагивают механизм Simultaneous Authentication of Equals (SAE), также известный как Dragonfly handshake, который используется в WPA3 для защиты от офлайн-атак с перебором паролей.

Уязвимости Dragonblood позволяют злоумышленникам проводить атаки по сторонним каналам и атаки отказа в обслуживании, потенциально восстанавливая пароли от Wi-Fi. Хотя эти атаки сложнее реализовать на практике по сравнению с атаками на WPA2, они демонстрируют, что даже новейшие стандарты безопасности не являются абсолютно надёжными.

Защита от Dragonblood:

• Всегда устанавливайте последние обновления прошивки для вашего маршрутизатора
• Используйте длинные и сложные пароли, которые будет трудно подобрать даже при компрометации хэша
• Рассмотрите возможность использования многоуровневой защиты сети

Инструменты «хакера» для Wi-Fi​

На просторах интернета можно найти множество специальных программ и утилит для тестирования безопасности беспроводных сетей. Они широко применяются и в легитимных целях, например, специалистами по информационной безопасности и аудиторами. Но в руках недобросовестного пользователя эти инструменты становятся орудием взлома. Ниже перечислим самые известные.

• Aircrack-ng. Этот набор утилит популярен уже много лет. С его помощью проводят перехват handshake (команда airodump-ng), осуществляют деаутентификацию клиентов, а затем брутфорсят пойманный хэш (уже утилитой aircrack-ng). Есть версии для Linux, Windows и macOS. В комплексе с другими инструментами вроде aireplay-ng даёт практически полный набор возможностей.
• Hashcat. Мощнейшая программа для перебора хэшей на GPU (видеокартах). Умеет работать с различными алгоритмами, включая WPA/WPA2. Если у атакующего есть пара-тройка современных видеокарт, перебор большого списка паролей может идти очень быстро.
• Reaver. Специализированная утилита для взлома WPS. Именно через Reaver обычно осуществляют Pixie Dust-атаку. Поддерживает ряд опций, включая ограничение времени ожидания ответа от роутера, указание конкретного PIN и прочие тонкие настройки.
• Wifite. Сценарный инструмент, который автоматизирует большую часть рутины. Он по очереди проверяет доступные точки доступа, пытается их «сломать» самыми разными методами, используя под капотом aircrack-ng, reaver, pyrit и другие программы. Удобен для начинающих — запустил, выбрал цель, а дальше софт сам выдает набор команд.
• Wireshark. Мощный анализатор сетевого трафика, который позволяет перехватывать и анализировать пакеты данных в сети. Хотя Wireshark сам по себе не является инструментом взлома, он незаменим для анализа перехваченного трафика и поиска уязвимостей в сетевых протоколах.
• WiFi Pineapple. Специализированное устройство для проведения различных типов атак на беспроводные сети, включая создание поддельных точек доступа (Evil Twin), отслеживание и перехват трафика. Позиционируется как инструмент для аудита безопасности, но может использоваться и со злым умыслом.
• Bettercap. Современный фреймворк для проведения атак «человек посередине», который позволяет перехватывать и модифицировать сетевой трафик в реальном времени. Bettercap имеет модульную структуру и поддерживает работу с Wi-Fi сетями, Bluetooth и другими протоколами.
• Fluxion. Автоматизированный инструмент для социальной инженерии, который создаёт клон легитимной точки доступа с поддельной страницей авторизации. Когда пользователь вводит пароль от своей Wi-Fi сети на поддельной странице, Fluxion автоматически перехватывает и проверяет его.

Нелегитимный взлом сети по своей сути ничем не отличается от процедур, которые проводят аудиторы кибербезопасности. Разница лишь в конечной цели. Поэтому важно понимать, как действуют эти утилиты, чтобы суметь обезопасить свою сеть.

 

[Baton24]

Проблемы безопасности IoT-устройств в Wi-Fi сетях​

Современный умный дом всё чаще наполняется устройствами интернета вещей (IoT): смарт-лампы, камеры, термостаты, холодильники, телевизоры и множество других гаджетов. Однако многие из них имеют серьёзные проблемы с безопасностью, создавая дополнительные уязвимости в вашей Wi-Fi сети.

Основные проблемы безопасности IoT:​

• Слабые пароли по умолчанию. Многие устройства поставляются с предустановленными паролями, которые легко найти в интернете или подобрать (например, «admin/admin», «1234» и т.д.).
• Отсутствие регулярных обновлений. Производители часто не выпускают обновления безопасности для своих устройств, оставляя известные уязвимости незакрытыми.
• Небезопасная передача данных. Некоторые устройства передают данные в незашифрованном виде или используют устаревшие протоколы шифрования.
• Широкие возможности доступа. IoT-устройства часто запрашивают избыточные разрешения для доступа к различным функциям сети.

Как защитить свою сеть с IoT-устройствами:​

• Создайте отдельную сеть для IoT. Используйте функцию создания гостевой сети на вашем роутере и подключайте все умные устройства только к ней, изолируя их от основной сети с компьютерами и смартфонами.
• Меняйте стандартные пароли. Обязательно измените все пароли, установленные по умолчанию на ваших устройствах.
• Регулярно обновляйте прошивки. Следите за выходом обновлений безопасности и оперативно устанавливайте их.
• Отключайте неиспользуемые функции. Если ваше устройство имеет функции, которыми вы не пользуетесь (например, удалённый доступ), лучше их отключить.
• Используйте VPN на уровне маршрутизатора. Это создаст дополнительный уровень защиты для всех устройств в вашей сети.

Как обнаружить взлом​

Предположим, вы начали замечать, что интернет стал «проседать» по скорости или что роутер ведёт себя странно. Конечно, сбои могут быть связаны со множеством факторов, включая работу провайдера или неполадки в оборудовании. Тем не менее, стоит знать ряд признаков, которые могут указывать на возможное проникновение в вашу сеть.

• Неизвестные устройства в списке подключений. В веб-интерфейсе роутера чаще всего можно посмотреть список MAC-адресов устройств, которые в данный момент подключены к сети. Если вы обнаружили что-то постороннее и уверены, что это не ваш ноутбук или смартфон, стоит насторожиться.
• Аномальный рост трафика. Заметное увеличение загрузки и отдачи, когда вы сами не скачиваете больших файлов, может свидетельствовать о том, что кто-то использует ваш канал для своих нужд.
• Сбрасываются настройки роутера. Если вдруг настройки сети, логин/пароль доступа к админ-панели или другие параметры меняются без вашего ведома, это явно тревожный сигнал. Злоумышленник может попытаться заблокировать ваши устройства и закрепить свою позицию в сети.
• Подозрительные логи роутера. Если роутер ведёт логи (журналы событий), вы можете заметить частые попытки подключения, многочисленные ошибки авторизации или повторяющиеся сессии в непредвиденное время суток.
• Странное поведение браузера или устройств. Если ваш браузер постоянно перенаправляется на неизвестные сайты, появляются лишние рекламные вкладки или ваши устройства начинают работать медленно и нестабильно — это может указывать на атаку DNS-спуфинга через скомпрометированный роутер.
• Необычная активность на ваших онлайн-аккаунтах. Если вы замечаете входы в свои учётные записи с неизвестных устройств или местоположений, это может быть результатом перехвата ваших данных через скомпрометированный Wi-Fi.
• Индикаторы на роутере. Частое и интенсивное мигание индикаторов передачи данных в периоды, когда вы не используете интернет активно, может указывать на несанкционированный доступ.
• Изменение DNS-серверов. Проверьте настройки DNS-серверов вашего роутера. Если они изменены на неизвестные вам адреса, это явный признак компрометации, так как злоумышленники часто меняют DNS для перенаправления пользователей на поддельные сайты.

При обнаружении подобных признаков не паникуйте, но действуйте решительно: меняйте пароль сети, обновляйте прошивку роутера, проверяйте настройки безопасности, а при необходимости обращайтесь к специалистам.

Специализированные инструменты для проверки безопасности Wi-Fi​

Для самостоятельной проверки безопасности вашей беспроводной сети можно использовать легитимные инструменты, которые помогут выявить уязвимости до того, как ими воспользуются злоумышленники:

• Acrylic Wi-Fi Home — простое приложение для Windows, которое показывает доступные Wi-Fi сети, их параметры, уровень сигнала и используемый тип шифрования.
• WiFi Inspector от Avast — бесплатный инструмент, который сканирует вашу сеть на наличие уязвимостей и показывает все подключенные устройства.
• Fing — приложение для смартфонов, которое быстро сканирует вашу сеть и показывает все подключенные устройства, их IP и MAC-адреса.
• Wireshark — для более продвинутых пользователей, позволяет анализировать сетевой трафик и выявлять подозрительную активность.
• WiFi Analyzer — приложение для Android, которое помогает определить оптимальный канал для вашего Wi-Fi и выявляет перегруженные участки спектра.

Регулярное использование таких инструментов поможет вам лучше контролировать безопасность своей сети и своевременно реагировать на потенциальные угрозы.

Способы защиты Wi-Fi​

Самое главное — защиту Wi-Fi нужно воспринимать не как единоразовое действие, а как комплекс мер, которые вы регулярно пересматриваете и обновляете. Злоумышленники не стоят на месте, поэтому и вам стоит держать руку на пульсе. Ниже мы рассмотрим ключевые шаги, которые помогут максимально усложнить жизнь «взломщикам» и повысить безопасность вашей беспроводной сети.

Надёжный пароль​

Это первое и самое важное правило. Короткие и простые пароли вроде «12345678» или «qwerty111» злоумышленники вычисляют буквально за секунды или минуты. Рекомендуется использовать пароль длиной не менее 12 символов, включающий в себя строчные и заглавные буквы, цифры и специальные символы (например, «!@#» и т.д.). Избегайте очевидных комбинаций типа даты рождения или имени вашего питомца.

 

[Baton24]

Отключение WPS​

Если вы не пользуетесь функцией Wi-Fi Protected Setup, лучше её полностью отключить через веб-интерфейс роутера. WPS сильно упрощает жизнь при подключении устройств, но одновременно становится слабым местом. Опыт показывает, что многие производители оснащают свои роутеры WPS-модулем с уязвимостями, а обновления прошивки не всегда «латают» эту дыру полностью.

Выбор современного стандарта шифрования (WPA2 или WPA3)​

Если ваш роутер ещё использует устаревший WEP (Wired Equivalent Privacy), немедленно переключайтесь хотя бы на WPA2. Лучше, если оборудование поддерживает WPA3 — самый современный стандарт, который усложняет атаку перебора, применяя к ключам более надёжные криптографические методы. Не все устройства (особенно старые) корректно работают с WPA3, но если у вас современный роутер, имеет смысл активировать этот режим.

Включение 802.11w (защита управляющих кадров)​

802.11w — это стандарт, который обеспечивает защиту управляющих кадров (Management Frames Protection). Многие атаки, связанные с деаутентификацией, используют незашифрованные пакеты, заставляя устройство «сбрасывать» подключение. Если 802.11w активирован, подобные пакеты должны быть зашифрованы и подписаны, что усложняет работу злоумышленнику. Проверьте, есть ли такая опция в настройках роутера и клиентских устройств, и включите её.

Регулярное обновление прошивки роутера​

Производители периодически выпускают обновления прошивок (firmware) для своих маршрутизаторов. Эти обновления не только добавляют новые функции, но и закрывают обнаруженные уязвимости. На практике многие пользователи годами не заглядывают в админ-панель, не говоря уже о ручном обновлении. Не ленитесь проверять наличие новой версии — вы так сможете устранить критические прорехи в безопасности.

Сильный пароль на админ-панель​

Зачастую владельцы роутеров оставляют административные учётные данные по умолчанию: логин и пароль наподобие «admin/admin». Это крайне опрометчиво. Если злоумышленник зайдёт в веб-интерфейс, он получит полный контроль над устройством: сможет отключить защиту, просмотреть все подключённые устройства, настроить перенаправление трафика (DNS-spoofing) и т.д. Установите сложный пароль для входа в админ-панель и, если возможно, смените стандартное имя пользователя.

MAC-фильтрация (дополнительная мера)​

В роутерах часто присутствует функция фильтрации MAC-адресов. Вы можете разрешить подключение к Wi-Fi только определённому списку устройств (по их MAC). Однако стоит помнить, что злоумышленник может подделать MAC-адрес, если он перехватил ваш трафик и знает, какие устройства в сети уже есть. Поэтому MAC-фильтрация не является панацеей, а лишь дополнительным шагом на пути к безопасности.

Сегментация сети​

Полезный приём — разделить домашнюю или корпоративную сеть на несколько сегментов: скажем, выделить отдельную «гостевую» сеть. Это актуально, когда к вам часто приходят друзья, коллеги или посетители. Гостевая сеть может иметь более простые настройки, но с ограниченным доступом к вашим внутренним ресурсам. Таким образом, даже если кто-то и взломает гостевую сеть, он не получит прямого доступа к основным устройствам в вашей локальной сети.

Использование VPN​

Виртуальная частная сеть (VPN) создаёт зашифрованный туннель для всего вашего интернет-трафика. Это особенно важно при использовании общественных Wi-Fi сетей, но может быть полезно и для домашней сети. Существуют решения для настройки VPN непосредственно на маршрутизаторе, что позволяет защитить трафик всех устройств в сети одновременно.

Скрытие SSID (с оговорками)​

Хотя скрытие имени вашей сети (SSID) не является надёжной защитой само по себе (опытный злоумышленник легко обнаружит скрытую сеть), это может стать дополнительным барьером для случайных атак. Учтите, что скрытый SSID может создавать неудобства при подключении новых устройств, так как придётся вводить имя сети вручную.

Настройка брандмауэра (файервола)​

Большинство современных маршрутизаторов имеют встроенный брандмауэр, который можно настроить для блокировки нежелательного входящего трафика. Уделите время настройке правил брандмауэра, которые разрешают только необходимые подключения и блокируют всё остальное, особенно из интернета к вашим устройствам.

Мониторинг и аудит​

Регулярно проверяйте список подключённых устройств, просматривайте логи, наблюдайте за скоростью и стабильностью сети. При любом подозрительном поведении реагируйте незамедлительно. Часто взлом становится очевиден слишком поздно, когда уже произошло утечка данных.

Заключение​

Взлом Wi-Fi сетей — это реальная угроза, которая давно вышла за рамки «курьёзных историй». Множество распространённых инструментов доступны в публичном доступе, и даже новичок при наличии минимальных знаний способен создать проблемы владельцу беспроводной сети, воспользовавшись уязвимостями и слабыми настройками. Однако хорошая новость в том, что вы можете достаточно надёжно защитить свою сеть, если подойдёте к этому вопросу серьёзно и комплексно.

Надёжный пароль, отключение WPS, современные стандарты шифрования (WPA2/WPA3), регулярные обновления прошивки, использование функций вроде 802.11w, мониторинг подключённых устройств — все эти меры в сумме дадут высокий уровень безопасности. Да, стопроцентной неуязвимости не существует, но взломщику придётся приложить намного больше сил и времени, и зачастую это становится ключевым сдерживающим фактором.

Кроме того, не забывайте о безопасности своих IoT-устройств: меняйте пароли по умолчанию, используйте отдельную сеть или гостевой сегмент, отключайте неиспользуемые функции и следите за обновлениями. Злоумышленники часто пользуются уязвимостями именно в умных гаджетах, о которых владельцы не задумываются.

Если вы хотите ещё глубже разобраться в теме, обратите внимание на специалистов по кибербезопасности на securitylab.ru. Регулярно проверяйте, что ваши роутеры и устройства работают с актуальным софтом, и не забывайте о базовой цифровой гигиене. Ведь гораздо проще предотвратить проникновение, чем потом бороться с его последствиями.

 

[Baton24]

Сага об ABAC: как построить систему управления доступом к звездолёту. Часть 1. Атрибуты.

Чтобы объяснить атрибутивную модель доступа (ABAC), ребята из RooX начали сочинять фантастический роман.

… Капитан Марк Дуглас широченными прыжками преодолевал последние метры до звездолета под шквальным огнем люминоидов. «Корабль, открыть правый шлюз, включить стартовые!» — крикнул он, надеясь, что недавнее попадание не повредило передатчик. Дверь шлюза откатилась. «Значит, ещё есть шанс», — мелькнул в голове нервный обрывок мысли.
Марк уклонился от очередного залпа, оттолкнулся от пыльной поверхности планеты и кубарем вкатился на палубу. «Закрыть шлюз! Взлетаем!» Шлюз с грохотом захлопнулся, и Марк почувствовал тяжесть ускорения. Он был спасен, но предстояло еще разобраться, что так разозлило доброжелательных до этого светлячков. …

Привет! Мы — RooX, российский разработчик системы аутентификации и авторизации RooX UIDM. В ней мы реализовали полноценную атрибутивную модель доступа (ABAC, Attribute-based access control). ABAC позволяет создавать детализированные политики доступа, с ней можно учесть максимальное количество нюансов, чтобы минимизировать риск несанкционированных действий.

Эта модель описана довольно давно, но она требовательна к вычислительным мощностям и скорости интеграций между системами, так что технические возможности для ее полноценного использования появляются только сейчас.

Модель ABAC нравится нам настолько, что мы сочинили фрагменты фантастического романа, чтобы проиллюстрировать ее работу.

Что такое ABAC​

Итак, ABAC — подход к управлению доступом к информационным ресурсам, в рамках которого право совершения тех или иных действий пользователя вычисляется по набору свойств — атрибутов.

Атрибуты могут относиться к чему угодно и кому угодно. Их удобно делить на 4 категории.

1. Атрибуты субъектов, то есть тех, кто получает доступ.
   Имя — Марк, должность — капитан, раса — землянин, скорость бега — впечатляющая.
2. Атрибуты объектов, то есть того, к чему запрашивается доступ.
   Инвентарный номер звездолета — Roo37X, шлюз — по правому борту, двигатели — стартовые.
3. Атрибуты действия, то есть на что запрашивается доступ.
   Шлюз — открыть (желательно очень быстро), двигатели — запустить.
4. Атрибуты окружения/среды. Что происходит в окружающей среде в момент запроса на действие субъекта по отношению к объекту.
   Местное время — на закате, место — пыльная поверхность планеты.

В RooX UIDM авторизация на основе ABAC учитывает эти атрибуты и их комбинации в правилах доступа, что позволяет бизнесу гибко подходить к вопросам авторизации сотрудников, клиентов и партнеров. Например, разрешать сотрудникам входить в информационные системы только в рабочие часы, предлагать клиенту пройти дополнительный фактор аутентификации при входе с нового устройства и так далее. В целом подход призван предусмотреть все нюансы сценариев авторизации и повысить уровень кибербезопасности.


Можно сказать, что ABAC как концепция появилась в 2001, когда консорциум OASIS разработал стандарт для управления доступом на основе атрибутов, который получил название XACML (англ. eXtensible Access Control Markup Language).

Теперь давайте попробуем «приземлить» эти довольно абстрактные слова на пример со звездолётом.

Капитанский доступ (атрибуты субъекта)​

… Марк вспомнил, как еще кадетом стажировался под началом командора Лиама Риджа. Корабль был огромный, но ему с должностью помощника инженера были доступны только его каюта, кают-компания на второй палубе и часть инженерного отсека. Он уже тогда представлял, как однажды произнесет: «Корабль, капитанский доступ». …

В этом отрывке нельзя не заметить акцент на должность в вопросе прав доступа. Человеку, с должностью «помощник инженера» доступны лишь несколько помещений корабля, а человеку с должностью «капитан» — все. Должность — атрибут субъекта.

Часто должность по большей части определяет бизнес-роль сотрудника и, соответственно, его обязанности и права. Модель доступа, которая основывается исключительно на роли, так и называется — ролевая модель доступа, или RBAC (role-based access control).

 

[Baton24]

Важное замечание. В сети встречаются материалы, в которых RBAC и ABAC противопоставляются друг другу, а также статьи, где RBAC, ABAC и другие модели доступа (DAC, MAC, ReBAC) составляют некий последовательный список. Если бы модели именовались по цветам, такие статьи имели бы заголовки вида «Красное или белое: какую модель выбрать» или «Топ 8 моделей доступа: бело-оранжевый, оранжевый, бело-зелёный, синий…».

В действительности ABAC — универсальная модель доступа, она определяет архитектуру и общий подход. С помощью нее можно реализовать все остальные модели. В частности, RBAC — это ABAC, в котором значение имеет лишь один атрибут субъекта — его роль.

В аналогии с цветами ABAC — это, скорее, RGB, в котором правильно оперируя значениями R, G и B, можно получить и красное, и белое.


Вернемся к кадету Марку.

Внимание, вопрос. Можно ли с уверенностью утверждать, что в указанном отрывке описывается «чистый» RBAC?

(минута пошла)

Правильный ответ: благодаря одному слову мы можем с уверенностью утверждать, что в указанном отрывке описывается вовсе не RBAC, а ReBAC (relationship-based access control) — модель, в которой имеют значения отношения между элементами системы. И которая тоже реализуется на ABAC.

И это слово — «его». «Его каюта» — это словосочетание означает, что между Марком и помещением (субъектом и объектом) есть отношения принадлежности. И доступ зависит от этих отношений. В свою каюту он может войти, а в чужую (надеемся) — по умолчанию, нет.

Куй железо, пока горячо (атрибуты объекта)​

… Харуто Инамори, ремонтник третьего класса, вошел в парковочный ангар. Заявка на ремонт была из тех, что он делал с закрытыми глазами: диагностика навигационной системы одного из транспортных шаттлов.
Харуто дошел до указанного в заявке места — шестая линия, ячейка двадцать четыре. Шатл выглядел как новый, без единой царапины на корпусе. Это было необычно.
Ремонтник активировал свой портативный интерфейс и запустил процедуру подключения к информационной системе шаттла. Однако, экран его устройства быстро замерцал и выдал сообщение об ошибке: «Отказ доступа. Обратитесь к администратору.»
— Интересно... — пробормотал Харуто. Обычно эти кораблики были готовы к диагностике без задержек.
Он взглянул на инвентарный номер шаттла, выгравированный на корпусе, и ощутил неприятных холодок в груди. Быстро сверился с заявкой. В ней стоял другой номер.
— Что за чертовщина здесь творится? — пробормотал он себе под нос. …

Харуто не смог подключиться к информационной системе шаттла, поскольку доступ был выдан на шатл с другим инвентарным номером. Номер шаттла — атрибут объекта.

… Винд потер ушибленный лоб… насколько же он крепко задумался, что не заметил, что дверь корабля не открылась… С другой стороны, а почему она не открылась?
Инженер похлопал себя по месту на предплечье, где был вживлен индивидуальный чип. Суеверие, конечно. Постукивание по неработающим приборам или потряхивание их с целью починки никак не могло сработать с рациональной точки зрения. Однако срабатывало...
Тем временем дверь оставалась закрытой. Поборов порыв ударить и по ней, Винд набрал на коммуникаторе Марка Дугласа. Единственное разумное объяснение тому, что корабль не пускает его внутрь — капитан не на борту. Но это было бы крайне подозрительно…

Корабль не пускает инженера на борт, потому что первым в данной ситуации на борт должен был взойти капитан. Нет капитана, нет конфетки, в смысле, доступа на корабль.

На первый взгляд, речь идет о субъектах — капитане и инженере. Даже возникает соблазн ввести какую-то еще группу атрибутов, что-то про взаимоотношения субъектов, но на самом деле присутствие капитана на борту — это просто свойство звездолета, то есть атрибут объекта.

В Петропавловске-Камчатском — полночь (атрибуты среды)​

… Андрей бежал по коридорам, стараясь по возможности не задевать других посетителей космического порта. Надо же было забыть коробочку с подарком для Лиры! Если он не успеет попасть на корабль до десяти вечера по локальному времени, придется объясняться с Дугласом, по какой такой важной причине он просит исключение из регламента ночного доступа на корабль. Капитан, конечно, ситуацию поймет, но, как говорится, возьмёт Андрея на заметку…

В политики доступа можно заложить зависимость от параметров окружающей среды. Например, это могут быть время или геолокация. Для физического мира — параметры атмосферы, освещенность и прочее. В случае компьютерного окружения — модель устройства, идентификатор сети и так далее.

 

[Baton24]

Примеры:

• Давайте не будем позволять открывать шлюз звездолета, если температура за бортом выше 3000℃ (в звезду случайно влетели или от плазменного заряда не увернулись) или содержание метана в атмосфере снаружи превышает 4,4%.
• Или не будем пускать на борт некоторых членов экипажа после 22:00 при швартовке в порту — увольнительная так увольнительная.
• Или отправим пройти дополнительный фактор аутентификации, если вход в приложение для сотрудника происходит из недоверенной сети (wifi в кафешке вместо корпоративного).
• Или заблокируем доступ к интернет-банку (и намекнем отключить VPN), если по геолокации понятно, что случилось невозможное перемещение.

Сто раз отмерь, один отрежь (атрибуты действия)​

… Андрей осторожно выглянул в проем двери и немедленно вжался в стену, инстинктивно перестав дышать. Задача добраться до выхода резко осложнилась — в холле хватало светлячков. Правда, у них у всех полоска на головогруди была желтого цвета, значит, это был молодняк. Если верить разведке, мощность оружия люминоидов зависела от возраста. «Желтоголовикам» была доступна лишь минимальная мощность, чтобы не перестреляли своих же.
Андрей проверил щиты — выдержат пару прямых попаданий. В ответ на третье, допустим, костюм впрыснет в тело медкоктейль. Четвертое убьет его в любом случае.
«Если разведка нам не врет, у меня фора в три выстрела. Не так уж и мало», — подумал Андрей. …

У действий, доступ к которым прописывается с помощью ABAC, тоже могут быть атрибуты. Молодому люминоиду из отрывка выше доступны выстрелы только на минимальной мощности. Мощность выстрела — это атрибут действия.


Важно: что считать отдельными действиями, а что одним действием, но с разными значениями атрибутов — вопрос, который решается индивидуально на стадии проектирования.

Например, открыть и закрыть дверь шлюза можно спроектировать как разные действия: действие1 — открыть, действие2 — закрыть. А может быть действие будет одно — «сдвинуть», а атрибутом станет куда сдвинуть — «вправо» или «влево». Или действие одно — сделать что-то с дверью, а атрибут — что именно сделать: открыть, закрыть, заблокировать, отстрелить при катапультировании и так далее.

Еще несколько примеров атрибутов действия:

• Максимальная скорость пилотирования звездолета в зависимости от квалификации пилота.
• Максимальная скорость вождения арендованного автомобиля в зависимости от ограничения в данном месте дороги (какая прекрасная могла бы быть связка между системой управления автомобилем и системой управления дорогой и какие прекрасные могли бы быть глюки этой связки).
• Максимальная сумма финансовой операции для клиента банка в зависимости от пакета обслуживания.
• Сколько записей в результатах поиска можно показать за один раз.

***​

ABAC-модель помогает справляться с самыми сложными задачами по аутентификации и авторизации не только в звездолетах. В портфолио RooX есть проекты разработки и внедрения систем управления доступом для различных отраслей. Система объединяет единый вход, многофакторную аутентификацию и управление правами доступа, то есть в одном решении есть SSO, MFA и IDM. Хотите узнать, как RooX UIDM может улучшить процессы в вашей компании? Напишите нам на — мы готовы показать, как все работает.

Внимание, конкурс!​

1. Сочините свой фрагмент романа, в котором действие будет так или иначе опираться на ABAC. Объем – до 1000 знаков с пробелами.
2. Пришлите этот фрагмент на до 30 апреля с объяснением модели доступа, описанной в фрагменте. От одного автора принимаем один фрагмент.
3. Ждите запроса на данные для доставки. Мы выберем лучшие фрагменты и отправим авторам наш мерч.

 

[Baton24]

Может ли ваш телевизор шпионить за вами?
Как уберечься от слежки и сохранить приватность.

Смарт-телевизор в современной гостиной — это уже не просто экран для просмотра эфира или стримингового видео. Он умеет подключаться к интернету, запускать приложения, принимать голосовые команды и даже совершать видеозвонки. Впрочем, все эти удобства несут в себе дополнительный риск: злоумышленники могут использовать уязвимости устройства в своих интересах. Кроме того, сама концепция «умного телевидения» вызывает вопросы: «Неужели мой телевизор может подслушивать или шпионить за мной?»

Ни для кого не секрет, что в последние годы разгорелось множество скандалов вокруг утечек данных, активности хакеров и правительственных программ слежки. Масла в огонь подливают сами производители телевизоров, которые, как оказалось, нередко собирают сведения о ваших предпочтениях и передают их рекламодателям. Где именно проходит грань между законными маркетинговыми исследованиями и вторжением в личную жизнь — вопрос сложный. Но важно помнить одно: если устройство подключено к интернету и имеет камеру или микрофон, потенциальная угроза вторжения в личное пространство существует. В этой статье мы разберёмся, как именно может осуществляться шпионаж, почему смарт-телевизоры становятся мишенью для хакеров и самое главное — как защитить себя и свою семью от подобных рисков.

Почему смарт-телевизоры уязвимы​

Смарт-телевизор — это по сути компьютер с операционной системой и набором сервисов. Android TV, Tizen (Samsung), webOS (LG), Roku OS и другие платформы обеспечивают богатый функционал, но, как и любое ПО, могут содержать уязвимости. Фирменные функции, такие как голосовое управление, видеоконференции или интеграция со смартфонами, делают процесс использования более удобным, но при этом раскрывают новые возможности для злоумышленников:

• Доступ к микрофону и камере. Некоторые телевизоры позволяют совершать видеозвонки, давать голосовые команды и распознавать речь. Без должной защиты хакеры могут удалённо включать микрофон или камеру, превращая ваш дом в «реалити-шоу».
• Сбор и продажа пользовательских данных. Производители телевизоров иногда проводят мониторинг просмотров и передают информацию рекламным компаниям. Самый известный пример — штраф компании Vizio в 2017 году, когда её обвинили в сборе данных о зрителях без их ведома.
• Уязвимые роутеры и сетевые устройства. Смарт-ТВ подключён к тому же интернет-соединению, что и другие гаджеты. Если у вас слабая защита роутера или простые пароли, злоумышленникам будет проще проникнуть в сеть и устроить атаку на телевизор.
• Совместимость с USB-накопителями и сторонними приложениями. Возможность устанавливать файлы через флешки или неофициальные источники (особенно в Android TV) повышает риск занести троян или другое вредоносное ПО.

Одним словом, всё, что делает телевизор «умным» и «подключённым», одновременно может стать точкой входа для хакеров, правительственных служб или даже самих производителей, желающих получить дополнительную выгоду от пользовательских данных.

Реальные угрозы: от банальных слежек до ботнетов​

Шпионаж через камеру и микрофон​

Микрофоны стали появляться почти во всех современных гаджетах, и смарт-телевизоры — не исключение. Голосовые помощники делают управление удобным, но создают возможность для злоумышленников незаметно активировать «прослушку». К примеру, WikiLeaks публиковал материалы о секретных программах под названием Weeping Angel, ориентированных на смарт-телевизоры Samsung. В режиме «ложного выключения» устройство продолжало записывать звук и передавать данные через Wi-Fi. Подобные инструменты могли бы появиться и у других хакерских группировок или правительственных органов.

Вмешательство производителей​

Не всегда «шпионаж» является откровенно преступным. Некоторые производители встраивают в прошивку механику сбора информации о просмотрах и предпочтениях, чтобы анализировать пользовательские привычки и продавать эти данные рекламным партнёрам. Проблема в том, что зачастую подобные практики мало афишируются и фактически не получают полноценного согласия пользователя.

Взлом через уязвимые сетевые устройства​

Если ваш смарт-ТВ подключён к старому роутеру со стандартным паролем, то злоумышленник может получить к нему доступ с помощью даже несложных инструментов. Известны случаи, когда кабельные приставки или Wi-Fi-роутеры массово эксплуатировались хакерами, которые устанавливали на них ботнет-программы (например, Mirai). Подобные сети заражённых устройств выполняют DDoS-атаки, а иногда и другие операции, опасные для владельцев.

Поставочные атаки​

Теоретически смарт-телевизор может быть скомпрометирован на уровне производства. Это называют supply chain attack. Случается редко, но бывало, когда на заводе в официальную прошивку попадал троян. Такие случаи могут затрагивать целые партии устройств и выявляются уже после жалоб пользователей или независимых исследований специалистов по кибербезопасности.

Новые методы «умного» шпионажа​

• CovertBand. Исследователи из Университета Вашингтона показали, что с помощью специальных «почти неслышимых» звуков (так называемых «chirp»-сигналов) можно отслеживать перемещение людей по комнате. Если телевизор оснащён звуковой системой и микрофоном, злоумышленники теоретически могут превратить устройство в «радар» на базе низкоуровневого сонара.
• Радиосигналы и уязвимости в браузерах. Некоторые смарт-телевизоры имеют встроенные браузеры, у которых могут быть дыры в защите. Хакеры передают код через слабозащищённые радиосигналы, «захватывая» несколько устройств в радиусе действия передатчика.
• Алгоритмы распознавания паттернов. Сегменты видеопотока (например, Netflix или YouTube), даже в зашифрованном виде, могут быть изучены путём анализа частоты и объёма пакетов. Так злоумышленники без прямого взлома могут выяснить, что именно вы смотрите.

Чем опасны трояны и другое вредоносное ПО для смарт-ТВ​

Заражение телевизора трояном или другой вредоносной программой может привести к целому ряду последствий:

1. Кража личных данных. Логины, пароли от стриминговых сервисов или социальных сетей, платёжные данные (если вы покупаете фильмы напрямую) — всё это может попасть в руки злоумышленников.
2. Шпионаж. Через встроенную камеру и микрофон можно подглядывать и подслушивать. В худшем случае хакер получает «живую трансляцию» из вашей гостиной.
3. Ботнет. Ваш телевизор превращается в «зомби», участвующий в DDoS-атаках. Часто жертвы этого даже не замечают, пока не начнутся проблемы с производительностью или скоростью сети.
4. Нежелательные изменения настроек. Злоумышленник может менять каналы, громкость, устанавливать посторонние приложения, а иногда и шифровать файлы, требуя выкуп.
5. Сбор маркетинговых данных. Если трюк провернут не хакеры, а производители, вы можете стать объектом агрессивной рекламы и анализа поведения.

Хотя телевизор редко содержит столько критичных данных, сколько смартфон или компьютер, его взлом открывает хакерам путь в домашнюю сеть и к другим вашим устройствам. Поэтому опасность нельзя недооценивать.

Как «натурально» может происходить слежка со стороны производителей​

В погоне за удобством (голосовое управление, персональные рекомендации) производители добавляют функции сбора телеметрии. В некоторых смарт-телевизорах эти механизмы по умолчанию активны. Известны случаи, когда сами производители или рекламодатели эксплуатируют подобные функции, чтобы отслеживать предпочтения и продавать данные о зрителях:

• Сбор и последующая перепродажа обезличенных данных о том, что вы смотрите.
• Привязка к IP-адресу или другим идентификаторам, что позволяет определять вашего интернет-провайдера и примерное местоположение.
• Создание поведенческих профилей для таргетированной рекламы.

В большинстве случаев эти действия легальны и описаны в многостраничных «Пользовательских соглашениях», но мало кто читает такие документы внимательно. Этические вопросы такой слежки остаются открытыми, ведь пользователь не всегда в курсе, какие именно данные собираются, как обрабатываются и кому продаются.

 

[Baton24]

Советы по защите Smart TV​

Если полностью отказаться от «умных» функций сегодня практически невозможно, есть смысл сосредоточиться на мерах, которые значительно снижают риски и защищают вашу конфиденциальность. Ниже приводятся восемь основных рекомендаций, включая ряд конкретных шагов по настройке телевизора и домашней сети.

1. Регулярно обновляйте программное обеспечение
   Производители смарт-телевизоров и приложений периодически выпускают обновления, закрывающие уязвимости и повышающие безопасность. Как только видите уведомление о новом апдейте, не откладывайте установку.
2. Обезопасьте свой роутер
   Задайте сложный пароль, отключите WPS и функции, которыми не пользуетесь, и при возможности используйте встроенный фаерволл. Если у вас модель роутера с прошивкой 5-летней давности, стоит задуматься об обновлении устройства.
3. Используйте официальные приложения и безопасные источники
   Старайтесь скачивать ПО только из официальных магазинов (Google Play, Samsung Store, LG Content Store и т.д.). Если вы решите установить APK-файл «со стороны», предварительно проверьте его антивирусом и изучите отзывы.
4. Отключайте или ограничивайте доступ к камере и микрофону
   Если не используете функцию голосовых команд или видеозвонков, попробуйте полностью отключить их в настройках. Физически заклейте объектив камеры непрозрачной плёнкой или поставьте слайдер-шторку, когда камера не нужна.
5. Откажитесь от «лишнего» интернета на телевизоре
   Если ваша модель уже устарела или вы не уверены в её надёжности, можно отключить Wi-Fi и пользоваться отдельной приставкой-«стиком» (Chromecast, Fire TV и т.д.). Они часто получают более регулярные обновления безопасности.
6. Изучайте условия пользовательских соглашений
   При первом включении телевизора или очередном обновлении не поленитесь прочитать, какие именно данные собираются. Иногда можно отказаться от некоторых пунктов, не теряя при этом критически важных функций.
7. Изменяйте стандартные пароли и следите за настройками
   Многие устройства (кабельные приставки, смарт-боксы) имеют одинаковый пароль по умолчанию. Сразу поменяйте его на более сложный. Это же правило касается любого «умного» гаджета в вашем доме.
8. Защитите себя антивирусными решениями
   Хотя классические антивирусы для телевизоров — редкое явление, вы можете защитить компьютер и смартфон, через которые загружаете файлы. Также используйте комплексное решение (например, Kaspersky Premium или его аналоги), чтобы поддерживать кибербезопасность на уровне всей домашней сети.

Специальные угрозы и «шпионские» примеры​

Vizio и сбор пользовательских данных​

В 2017 году компанию Vizio оштрафовали на 2,2 миллиона долларов за то, что она собирала данные о зрителях и продавала их сторонним организациям, не уведомив пользователей должным образом. Этот громкий случай привлечён к общественному вниманию, однако не означает, что остальные производители полностью «белые и пушистые».

Set-Top Box уязвимости и «серийные» пароли​

Многие кабельные операторы и провайдеры интернет-телевидения раньше использовали одинаковые пароли и «бэкдоры» в приставках. Хакеры легко получали доступ сразу к тысячам устройств, создавая обширные сети для DDoS-атак и кражи данных. Сегодня ситуация улучшается, но старое оборудование всё ещё может быть под ударом.

Mirai и IoT-ботнеты​

Одним из самых громких случаев стал ботнет Mirai, который «приручал» бытовые IoT-девайсы: камеры, маршрутизаторы и даже смарт-телевизоры. Используя слабые или стандартные пароли, Mirai проникал в систему и консолидировал заражённые устройства в единую сеть. Результатом были масштабные DDoS-атаки, заметно затронувшие инфраструктуру интернета.

Weeping Angel​

Разоблачённая WikiLeaks программа Weeping Angel, ориентированная на Samsung Smart TV, позволяла спецслужбам записывать звук через микрофон, даже если телевизор формально находился в «спящем» режиме. «Сон» оказывался лишь симуляцией — по сути, все сенсоры оставались активными.

Что делать, если вы подозреваете взлом​

Если телевизор начинает вести себя необычно (сам переключает каналы, перезагружается, открывает странные всплывающие окна), имеет смысл:

• Перезагрузить или сбросить настройки до заводских, предварительно сохранив нужные данные.
• Установить все доступные обновления прошивки.
• Проверить роутер: сменить пароль, обновить ПО, отключить неоправданно активированные функции.
• Посмотреть, какие приложения установлены, и удалить всё подозрительное.
• Связаться со службой поддержки производителя или провайдера. В некоторых случаях есть официальные инструкции по проверке устройства на вредоносное ПО.

Самое главное — не игнорировать странности. Даже если окажется, что это простой сбой, лучше перестраховаться, чем быть жертвой незаметного шпионажа.

Заключение​

Смарт-телевизоры дают массу преимуществ: от простого доступа к стриминговым платформам до видеозвонков и игр. Но они также несут в себе новые риски: от внедрения троянов на заводском уровне до скрытой слежки за пользователями в домашних условиях. Сами производители не всегда играют на стороне покупателя, а злоумышленники активно ищут уязвимые устройства, чтобы использовать их для кибератак или сбора данных.

Главная мысль заключается в том, что смарт-ТВ — это полноценный компьютер, работающий под управлением операционной системы, и относиться к нему нужно соответствующе. Выполняйте обновления прошивки, используйте только проверенные источники для загрузки приложений, настраивайте роутер с сильными паролями, выключайте камеру и микрофон, когда они не нужны. Если считаете, что безопасность телевизора оставляет желать лучшего, отключите встроенную сеть и применяйте отдельные устройства вроде стриминг-«стиков» — так вы облегчите обновление и контроль над безопасностью.

В конечном счёте, в эпоху «умного дома» вы сами несёте ответственность за свою цифровую гигиену. Производители и провайдеры улучшают защиту, но взлом и шпионаж по-прежнему реальность. Взвешенный подход и понимание потенциальных угроз помогут вам наслаждаться всеми преимуществами смарт-телевизоров, не становясь жертвой хакеров или нежелательного сбора данных.

 

[Baton24]

Твоя цифровая жизнь стоит четырёх слов. Главное — выбрать не те, что в песне.

Всего несколько слов спасут вас от утечки данных.

Каждый клик, каждая регистрация, каждое онлайн-действие оставляет за собой цифровой след. И этот след — ваши личные данные — становится всё более ценной добычей для тех, кто ищет способы проникнуть в вашу цифровую жизнь. Стандартные пароли, даже самые запутанные, уже не гарантируют безопасности. Почему? Потому что методы взлома становятся всё более изощрёнными, а киберпреступники — всё более изобретательными.

В этой игре, где на кону ваша конфиденциальность, важно не просто следовать устаревшим правилам, а искать новые, более надёжные стратегии. Одним из таких решений становятся парольные фразы — комбинации слов, которые, на первый взгляд, кажутся простыми, но на самом деле способны обеспечить гораздо более высокий уровень защиты, чем традиционные пароли. Давайте разберёмся, почему переход на парольные фразы — это не просто модный тренд, а необходимость, и как правильно их создавать, чтобы обеспечить максимальную безопасность ваших данных.

Почему классические пароли больше не работают​

Обычные пароли — это первое, на что нацеливаются киберпреступники. Они используют:

 

[Baton24]

— брутфорс-атаки, перебиравшие миллионы комбинаций в секунду;

— социальную инженерию, чтобы убедить вас выдать пароль;

— инструменты автоматизации, которые выявляют повторяющиеся шаблоны в популярных паролях.

Даже четырёхзначный PIN-код от банковской карты можно подобрать за пару минут. Усложнение паролей (например, добавление заглавных букв и символов) действительно увеличивает их стойкость — но одновременно делает их почти невозможными для запоминания. В результате пользователи создают шаблонные пароли вроде «Password!», где первая буква — заглавная, а в конце — восклицательный знак. А такие комбинации — первые в словарях взломщиков.

Что такое парольная фраза и почему она лучше​

Парольная фраза — это последовательность случайных слов, не связанных между собой. Например: ЗелёныйФонтанКосмосСлон. Такие фразы:

— длиннее обычных паролей,

— легче запоминаются,

— устойчивее к брутфорсу и другим видам атак.

Чтобы взломать фразу длиной в 16 символов, даже с использованием только строчных букв, злоумышленнику придётся перебрать более 43 секстиллионов вариантов. Это — 43 000 000 000 000 000 000 000. Представьте, сколько времени уйдёт у атакующего на такую задачу!

Преимущества парольных фраз​

1. Повышенная безопасность. Длина и непредсказуемость словосочетаний делают их практически неуязвимыми к перебору.
2. Простота запоминания. В отличие от бессмысленных сочетаний символов, слова запоминаются легче — особенно если составить из них образ.
3. Универсальность. Парольную фразу можно использовать в разных системах: от почты и банкинга до рабочих приложений.

Но есть и минусы:

— Некоторые сервисы ограничивают длину пароля.

— Не все платформы разрешают использовать пробелы.

— Пользователи могут составлять предсказуемые фразы, что снижает безопасность.

Как создать надёжную парольную фразу: 5 шагов​

1. Используйте несвязанные между собой слова.​

Выбирайте минимум 4 слова, не имеющие общего смысла. Например: КрабЛимонВетерЛестница. Избегайте цитат, поговорок или популярных выражений.

2. Делайте фразу длинной.​

Чем длиннее фраза — тем лучше. Стремитесь к 16 и более символам. Например: КосмическийТюленьПрыгаетНаГитаре.

3. Избегайте очевидных шаблонов.​

Не используйте даты рождения, имена домашних животных или последовательности клавиш — всё это легко угадывается.

4. Добавляйте элементы сложности (по желанию).​

Можно вставить символы, цифры или заглавные буквы: Тюлень@Смеётся77НаСолнце. Это увеличит стойкость, но постарайтесь не усложнить фразу настолько, чтобы её нельзя было вспомнить.

5. Создайте ассоциацию.​

Представьте себе визуальную сцену. Например, если ваша фраза — ПингвинЖаритБлиныНаМарсе, вообразите это. Чем ярче картинка, тем проще её вспомнить.

Примеры надёжных парольных фраз​

— СлонТихоХодитПоПустыне

— КовбойЛетитЧерезОблака

— ФиолетовыйПёсПоётНочью

— ТанцующийРоботПьётКофе

— МолчащийКорабльЛовитРадугу

Запоминаются? А главное — их практически невозможно угадать.

Как хранить и защищать парольные фразы​

Даже самая надёжная фраза теряет смысл, если она записана на стикере рядом с монитором. Вот что стоит сделать:

— Используйте менеджер паролей. Он надёжно сохранит все ваши фразы и автоматически подставит их при входе.

— Не используйте одну фразу на нескольких сервисах. Если взломали один аккаунт, остальные тоже окажутся под угрозой.

— Обновляйте фразы регулярно. Особенно — после утечек данных или подозрительных уведомлений о входе.

— Включайте двухфакторную аутентификацию. Даже если фраза станет известна злоумышленнику, без второго фактора доступа он не получит.

Ключевые выводы​

— Традиционные пароли устарели: их сложно запомнить, но легко взломать.

— Парольные фразы — безопаснее, длиннее и проще для запоминания.

— Лучше использовать 4 и более случайных слова, несвязанных между собой.

— Избегайте шаблонов, простых ассоциаций и повторного использования.

— Храните фразы с помощью надёжного менеджера и применяйте MFA.

Заключение​

Простые пароли, которые когда-то казались достаточными, сегодня становятся лёгкой добычей для злоумышленников. Даже если они выглядят «сложными» — с символами, заглавными буквами и цифрами — это больше не гарантия безопасности. Наоборот, чрезмерная сложность приводит к тому, что пользователи записывают такие пароли на бумажках или используют один и тот же во всех сервисах — что делает систему уязвимой не из-за технологии, а из-за человеческого фактора.

Парольные фразы предлагают совершенно другой подход. Они строятся не на хаосе символов, а на запоминающихся образах и длине, что делает их невероятно стойкими к автоматизированным атакам. Их можно легко придумать, не полагаясь на генераторы, и легко держать в памяти, не прибегая к уловкам. Они работают на пересечении двух важнейших принципов: высокой криптостойкости и удобства для пользователя.

Использование парольных фраз помогает сделать первый и самый важный барьер безопасности действительно надёжным. Когда вы применяете их в сочетании с другими мерами — двухфакторной аутентификацией, менеджерами паролей, регулярной сменой учётных данных — вы существенно снижаете риски, связанные с компрометацией аккаунтов.

В мире, где ваша личность, финансы и профессиональная репутация могут быть украдены за считанные секунды, выбор надёжной парольной фразы — это не просто рекомендация, а необходимость. Это простое действие, которое может стать решающим фактором в защите ваших ценных данных.

 

[Baton24]

Методы взлома паролей — инструменты и передовой опыт.

Только представьте: кто-то пытается проникнуть в вашу личную жизнь, завладеть вашими секретами, вашими деньгами. В современном мире это часто начинается с банальной попытки взлома пароля. И хотя технологии защиты шагнули далеко вперед, этот способ по-прежнему остается одним из самых опасных инструментов в руках киберпреступников.

В материале рассматриваются не только технические аспекты, но и психологические приемы, которые могут быть задействованы злоумышленниками. Важно помнить: речь идет исключительно об образовательных и исследовательских целях. Практическое использование описанных методов допустимо лишь в рамках легальной, этически обоснованной деятельности (например, при тестировании защищенности собственных систем).

Что такое взлом паролей и почему он важен​

Взлом паролей — это процесс получения несанкционированного доступа к системе или данным путем подбора, дешифровки или кражи пароля. Современные инструменты для этого процесса активно используют ИИ, GPU и автоматизацию. С появлением вредоносного ПО вроде Redline и ClipBanker пароли часто просто крадутся с зараженных устройств.

Согласно отчету Google Cloud Threat Horizons Report за 2023 год, в 86% случаев компрометации учетных записей причиной были именно украденные или угаданные учетные данные. Атаки становятся все более целенаправленными и переходят от взлома систем к взлому идентичности.

Парольная атака: онлайн и офлайн​

Все методы взлома делятся на две большие категории: онлайн-атаки (происходят в реальном времени на сервере) и офлайн (работа с украденными хешами).

Онлайн-атаки​

Происходят непосредственно на сайтах или в приложениях. Атакующий вводит пароли в реальном времени. Такой способ сравнительно медленный и легко отслеживается, но при отсутствии защиты (капчи, MFA, ограничений по IP) он все еще эффективен.

Офлайн-атаки​

Атакующий заранее получает базу данных с хешами паролей и работает с ними локально, вне зоны действия систем обнаружения. Такой подход более эффективен, поскольку не требует соблюдения ограничений по скорости и количеству попыток, и позволяет использовать ресурсоемкие инструменты без риска быть замеченным.

Распространенные методы взлома паролей​

Фишинг​

Классический и до сих пор один из самых действенных методов — получение пароля напрямую от пользователя с помощью поддельных писем, сайтов или мессенджеров. Это не технический, а социальный взлом, который эффективно обходит даже самые надежные системы шифрования.

Brute force (грубой перебор)​

Перебор всех возможных комбинаций символов. Эффективен для коротких паролей без спецсимволов, но становится практически бесполезным против длинных случайных фраз.

Dictionary-атаки​

Использование заранее подготовленных словарей — списков популярных паролей, имен, фраз и комбинаций. Часто используется в сочетании с добавлением символов (например, "password123!").

Credential stuffing​

Использование логинов и паролей, украденных из других сервисов. Пользователи часто используют одни и те же пароли, и это делает credential stuffing особенно опасным.

Password spraying​

В отличие от brute force, здесь используется один (или несколько) популярных паролей, но на множество учетных записей. Это позволяет избежать блокировок за множество неудачных попыток входа.