«Думаете, ваш iPhone в безопасности от хакеров? Это то, что они хотят, чтобы вы думали…»
Джон Нотон
Забудьте о хваленых гарантиях iOS от Apple-злоумышленники спокойно взламывали и входили в течение многих лет.
Всякий раз, когда есть что-то, что некоторые люди ценят, для этого будет рынок. Несколько лет назад я провел увлекательный час с детективом, исследующим онлайн-рынки, которые существуют в так называемой “темной паутине” (стенография для частей сети, которые вы можете получить только с помощью браузера Tor и некоторых полезных адресов). Рынки, которые нас интересовали, были теми, на которых торгуются украденные данные кредитных карт и другие конфиденциальные данные.
Больше всего меня поразила очевидная нормальность всего этого. Это в основном eBay для мошенников. Есть продавцы, предлагающие товары (диапазоны украденных данных карты, Facebook, Gmail и другие логины и т.д.) и игроки, заинтересованные в покупке же. Различные категории этих краденых товаров более или менее дороги. (Самые дорогие логины, насколько я помню, были для PayPal). Но самое смешное было то, что некоторые из рынков работали с системой “репутации”, как и eBay, некоторые поставщики имели рейтинги надежности 90% плюс и т. д. Некоторые покупатели также. Другие были менее высоко оценены. Итак, размышлял один, среди воров действительно есть честь.
Но в этом преступном мире ценны не только кредитные карты и логины. Наиболее высоко ценимыми "товарами “являются то, что хакеры называют” эксплойтами" – т. е. специальные знания об уязвимостях в операционных системах или другом программном обеспечении, которые могут быть использованы злоумышленниками в злонамеренных целях. И в этой категории действительно, действительно ценными являются подвиги "нулевого дня". Они направлены на уязвимости программного обеспечения, которые до их обнаружения были полностью неизвестны; другими словами, они являются уязвимостями без известных исправлений и поэтому могут использоваться до тех пор, пока не будет найдено исправление.
На айфонах ничего не происходит, что Apple не проверила, тогда как на Android все идет. Но iOS-это самодовольная монокультура.
Есть, как и следовало ожидать, специализированные рынки, на которых торгуются эксплойты нулевого дня. Некоторые из самых заядлых покупателей являются органами безопасности правительства. Я уверен, что GCHQ, АНБ и ЦРУ, например, поддерживают запасы эксплойтов нулевого дня, некоторые из которых были обнаружены их выродками вместе с некоторыми купленными на рынке. Но есть и другие, еще менее пикантные клиенты тоже. И есть продавцы различной степени прозрачности и целостности, которые работают на рынке. Такие компании, как Zerodium, например, который описывает себя как “ведущую платформу для приобретения эксплойтов для премиальных нулевых дней и передовых возможностей кибербезопасности”, работают открыто. Их метод работы, по-видимому, предполагает соединение этических хакеров и компьютерных ученых, которые обнаружили уязвимости, с организациями, чьи компьютерные системы могут пострадать от них и поэтому будут ценить предупреждение.
Реклама
Некоторые эксплойты нулевого дня могут принести высокие цены. На этой неделе Zerodium объявил, что он заплатит $2.5 m исследователям безопасности, которые предоставляют эксплойты, которые позволяют полностью захватить телефоны Android, не требуя, чтобы цель нажимала на что-либо. Но большой новостью в объявлении было то, что Zerodium оценивал те же самые виды эксплойтов в операционной системе iOS от Apple всего за $2 млн. Учитывая, что система Android, как известно, завалена уязвимостями безопасности, в то время как iOS считается относительно безопасной, несоответствие выглядело как опечатка. Конечно, вознаграждение за взлом более безопасной системы должно быть выше?
В принципе, да. Но 29 августа исследователи из группы анализа угроз Google обнаружили, что вредоносные веб-сайты тайно и успешно взламывали iPhone в течение многих лет. Взломанные сайты использовались в "неизбирательных атаках на водопой" против своих посетителей, используя эксплойты iPhone zero-day. Простого посещения взломанного сайта было достаточно для того, чтобы сервер эксплойта атаковал iPhone, и если это было успешно, установите имплантат мониторинга. По оценкам Google, эти сайты получали "тысячи посетителей" в неделю. И загадочный отрывок в отчете Google – “быть мишенью может означать просто родиться в определенном географическом регионе или быть частью определенной этнической группы” – привел к лихорадочным предположениям, что виновником был Китай, а целью-его мусульманское уйгурское меньшинство.
Это открытие неожиданной уязвимости iOS стало шоком для мира, который предполагал, что упорядоченная, жестко контролируемая программная экосистема Apple будет более безопасной, чем хаотичная, многоверсионная и неполиберальная система Android. Ничто, помните, не идет на iPhone, который Apple не проверила и не одобрила, тогда как все идет на Android. Но следствием этого является то, что iOS является самодовольной монокультурой – огромной миллиардной монокультурой. Это имеет два последствия. Во-первых, это сочная цель для нападающих. Другой является то, что если вы уверены, что ваш телефон является безопасным, то вы будете кавалер в том, что вы делаете с ним. Что заставляет задуматься, сколько уйгуров теперь жалеют день, когда они впервые подумали о покупке iPhone.
То, что я читаю
Ни за что на свете!
Две системы, один мир. Это тема вдумчивого эссе на сайте Project Syndicate Йошки Фишера, бывшего министра иностранных дел Германии, о перспективе биполярного мира, в котором доминируют Китай и США.
Слово на улице
Есть какой-то замечательный репортаж Мацея Чегловского на его idlewords.com блог о том, каково быть среди демонстрантов на улицах Гонконга.
Вот как это делается…
Как рецензировать роман: название характерно острого, забавного и проницательного эссе о литературном центре Мэри-Кей Уилмерс, соучредителя и давнего редактора лондонского обзора книг.
Раз уж ты здесь ... …
... у нас есть небольшая просьба. Больше людей читают и поддерживают независимую журналистику Guardian, чем когда-либо прежде. И в отличие от многих новостных организаций, мы выбрали подход, который позволяет нам сохранить нашу журналистику доступной для всех, независимо от того, где они живут или что они могут себе позволить. Но нам нужна ваша постоянная поддержка, чтобы продолжать работать так, как мы делаем.
Guardian будет заниматься самыми важными вопросами нашего времени-от эскалации климатической катастрофы до широко распространенного неравенства до влияния больших технологий на нашу жизнь. В то время, когда фактическая информация является необходимостью, мы считаем, что каждый из нас, во всем мире, заслуживает доступа к точной отчетности с честностью в своей основе.
Наша редакционная независимость означает, что мы сами устанавливаем свою повестку дня и высказываем свое мнение. Журналистика Guardian свободна от коммерческих и политических предубеждений и не зависит от владельцев или акционеров-миллиардеров. Это означает, что мы можем дать голос тем, кто менее слышен, исследовать, где другие отворачиваются, и строго бросить вызов тем, кто у власти.
Нам нужна ваша поддержка, чтобы продолжать предоставлять качественную журналистику, поддерживать нашу открытость и защищать нашу драгоценную независимость. Каждый вклад читателя, большой или маленький, настолько ценен.
