Все больше пользователей задумываются о том, как их действия в интернете фиксируются самыми разными сайтами и сервисами. Поток данных, который собирается о каждом из нас, может включать информацию о посещенных страницах, местоположении, привычках потребления контента, покупках и так далее. В итоге мы рискуем столкнуться не только с неумеренным количеством таргетированной рекламы, но и с утечками личной информации. Чтобы повысить собственную безопасность и приватность онлайн, важно пользоваться браузером, который умеет блокировать трекеры и рекламные скрипты, не передает данные о пользователе без его согласия, а также предлагает дополнительные инструменты защиты.

В этой статье мы разберем шесть наиболее популярных решений для любителей приватности. Они отсекают большую часть навязчивой рекламы, запрещают сайтам следить за вами и сохранять ваши данные без вашего ведома, а также зачастую предлагают возможности для анонимного поиска информации или даже встроенную VPN. При этом современные “приватные” браузеры больше не выглядят чужаками на фоне гигантов вроде Google Chrome или Microsoft Edge: у них есть расширения, привычные инструменты для работы с вкладками и удобные настройки интерфейса. Но самое главное, они делают упор на безопасный, свободный от слежки серфинг.

Далее мы рассмотрим каждый из этих браузеров отдельно. Но сначала давайте кратко обсудим, почему трекеры стали такой серьезной проблемой и как именно приватно-ориентированные браузеры решают вопрос с вашей безопасностью.

Зачем нужен браузер, ориентированный на конфиденциальность?

Современные веб-сайты буквально завалены различными скриптами, которые собирают данные о пользователях. Иногда это нужно самим сайтам, чтобы понимать свою аудиторию, улучшать контент и держать статистику. Но чаще всего речь идет о третьих сторонах (трекерах), которые объединяют информацию из разных источников для рекламных и аналитических целей. Именно поэтому вы можете заметить, что после посещения интернет-магазина одна и та же реклама “преследует” вас практически на всех сайтах.

Такая сборка пользовательских данных – огромная индустрия. За кулисами ряд крупных корпораций и маркетинговых компаний аккумулируют колоссальные массивы информации о том, кто вы, где живете, чем интересуетесь, какие товары покупаете и даже о чем переписываетесь. Нередко это делается без вашего ведома. Если говорить более предметно, то конфиденциальность скомпрометирована, когда ваш IP-адрес, cookie-файлы, история просмотров, цифровой “отпечаток” (fingerprint) и многие другие параметры сливаются в общую базу.

Чтобы уменьшить объем собираемых о вас данных, можно воспользоваться несколькими стратегиями: установить VPN, использовать анонимные поисковики, пользоваться специнструментами для блокировки рекламы и скриптов. Но главное – сменить браузер на тот, что умеет встраивать механизмы приватности с самого начала. Так вы избавитесь от множества проблем “из коробки”.

Ниже мы рассмотрим шесть известных вариантов, которые сочетают функциональность, удобство и повышенный акцент на безопасность. Каждый из них предлагает что-то свое: одни полностью отказываются от передачи данных даже на уровне телеметрии, другие предлагают встроенный VPN, третьи максимально упрощают переход с Chrome, а четвертые добавляют необычные фишки вроде принудительного удаления куки. Выбор за вами.

1. Mozilla Firefox

Первый в нашем списке – проверенный временем Mozilla Firefox. Когда-то Firefox был настолько популярен, что многие из нас устанавливали его первым делом после каждой переустановки Windows, чтобы только не пользоваться Internet Explorer. Позже Google Chrome стал новым “королем” среди браузеров, однако Firefox продолжал совершенствоваться, делая особый акцент на приватность и открытость кода. Именно поэтому многие энтузиасты, которым не нравится политика крупных корпораций, до сих пор отдают предпочтение Firefox.

Почему Firefox считается хорошим выбором в плане конфиденциальности?

• Включенная по умолчанию расширенная защита от слежки (Enhanced Tracking Protection), которая отсекает трекеры и рекламные скрипты.
• Блокировка межсайтовых cookies, чтобы рекламодатели не могли отследить, какие сайты вы посещали и какую активность там проявляли.
• Наличие разных режимов защиты: Standard, Strict и Custom. Для большинства пользователей подойдет Standard, но если вы готовы к возможным сбоям в работе некоторых сайтов, можно включить Strict. В Custom же вы вольны тонко настраивать, какие скрипты можно пропускать, а какие – блокировать.
• Регулярные обновления и открытый исходный код. Mozilla является некоммерческой организацией, поэтому нет ощущения, что компания заинтересована в сборе и продаже пользовательской информации.

Преимущества использования Firefox:

• Хорошая совместимость с большинством современных сайтов (в отличие от некоторых других “нишевых” проектов, где отдельные сервисы могут работать некорректно).
• Наличие большого каталога расширений. Если вы любите настраивать свой браузер под себя, в Firefox вы найдете множество дополнений для блокировки рекламы, VPN, менеджеров паролей и т.д.
• Высокая скорость работы и сравнительно низкое потребление ресурсов по сравнению с “тяжелым” Chrome.
• Удобный синхронизированный аккаунт: можно хранить закладки, пароли и историю посещений в облаке Mozilla, а доступ к ним получать со всех своих устройств.

Если вы хотите достаточно простой, известный и при этом уважающий вашу приватность браузер – начните с Firefox. Скачать Mozilla Firefox можно с официального сайта бесплатно, в том числе и для мобильных платформ.

2. Brave

Когда кто-то привык к экосистеме Chromium (на которой базируются Google Chrome, Microsoft Edge, Opera), ему бывает трудно “переехать” на что-то совсем иное. Да, Firefox выглядит знакомо, но в нем нет 100% совместимости с расширениями Chrome, а визуальные нюансы тоже важны. Вот тут на сцену выходит Brave – браузер, созданный на базе Chromium, но при этом заточенный под приватность.

Что делает Brave особенным?

• Блокирует рекламу и трекеры “из коробки”: Brave Shields справляются не только с баннерами, но и со скриптами, которые отслеживают вашу активность.
• “Отклеенная” от Google версия Chromium: разработчики Brave убрали практически все, что может собирать данные в пользу Google. То есть вы получаете знакомый интерфейс и совместимость с расширениями Chrome, но без лишних отсылок к корпорации.
• Механизм синхронизации без аккаунта Google: данные можно синхронизировать по специальной фразе (зашифрованной), не раскрывая свою почту и другую личную информацию.
• Быстрая загрузка страниц и экономия трафика: отсутствие рекламы и блокировка трекеров ускоряют работу и в результате снижают потребление сетевых ресурсов.

Кроме того, Brave можно установить и на смартфон, чтобы сохранить единый опыт. Недавно в браузер добавили собственную AI-поисковую систему, которая, по заверению разработчиков, не следит за действиями пользователя. А для тех, кто хочет еще больше конфиденциальности, существует платная версия Brave с встроенной VPN. Хотя, разумеется, VPN всегда можно подключить отдельно через любое другое приложение или расширение.

Если хотите попробовать, но сомневаетесь – можно сначала установить Brave как дополнительный браузер. Часто пользователи переносят туда самые “деликатные” операции, вроде интернет-банкинга, чтобы минимизировать риски слежки и утечек. Скачать Brave можно бесплатно.

3. LibreWolf

LibreWolf – это проект энтузиастов, которые взяли за основу Firefox и “докрутили” его в плане приватности до максимально строгих параметров. Цель LibreWolf – защитить пользователя от любых способов отслеживания, в том числе самых современных методов цифрового отпечатка (fingerprinting), к которым относятся статистические анализы разрешения экрана, системных шрифтов, настроек браузера и так далее.

Что отличает LibreWolf от “ванильного” Firefox?

• Полностью отключена любая телеметрия. Firefox, будучи продуктом Mozilla, все же может собирать анонимные статистические данные. LibreWolf вырезает и эту функциональность, чтобы гарантировать нулевой сбор.
• По умолчанию встроен популярный блокировщик uBlock Origin. Он не только убирает рекламу, но и предотвращает загрузку вредоносных скриптов.
• Отключена поддержка DRM (Digital Rights Management). Это спорный момент: DRM помогает воспроизводить защищенный лицензионный контент вроде Netflix. LibreWolf считает, что DRM может использоваться и для отслеживания, поэтому отключает его. Соответственно, придется смириться с невозможностью просмотра некоторых видео или искать обходные пути.
• Регулярные обновления в ногу с Firefox (обычно через несколько дней после выхода основной версии), но без вмешательств, которые могли бы ослабить политику приватности.

LibreWolf доступен для Windows, macOS и Linux, но на мобильных платформах его официального варианта нет. Поэтому, если вы хотите обеспечить единую синхронизацию между смартфоном и компьютером, у LibreWolf не будет встроенного решения. Однако вы можете использовать Firefox на телефоне, а LibreWolf – на ПК, зная, что оба варианта предлагают хороший уровень защиты, хотя и с разной степенью “жесткости” подхода.

Для энтузиастов приватности это, безусловно, один из лучших вариантов. Также это отличный выбор, если вы хотите обучиться тонкостям настройки браузера. Вам точно придется разбираться с расширениями и параметрами, чтобы получить максимум удобства. Скачать LibreWolf можно с официального сайта проекта.

4. Mullvad

Компания Mullvad известна многим как разработчик одного из самых уважаемых VPN-сервисов на рынке. В отличие от крупных конкурентов, компания особенно гордится тем, что не собирает журналы (no logs) и принимает оплату анонимно (можно заплатить даже наличными). Совсем недавно Mullvad выпустила свой собственный браузер, созданный в сотрудничестве с Tor Project.

Как устроен Mullvad Browser?

• Браузер базируется на движке Firefox, но дополнительно использует наработки Tor Project. Главная идея – свести к минимуму любые следы, которые вы оставляете в интернете, не прибегая к маршрутизации через сеть Tor.
• В браузер встроен Mullvad VPN при наличии активной подписки, что добавляет второй слой анонимности.
• По умолчанию везде включен режим “приватного просмотра”. Никаких сохраненных куки, истории поиска и прочих данных, которые могут выдать вашу личность.
• Нет никакой телеметрии и встроенной аналитики. В Mullvad считают, что слежка в любом виде несовместима с принципами их компании.
• Предустановлен uBlock Origin для блокировки рекламы и трекеров.

Таким образом, Mullvad Browser старается приблизиться к уровню анонимности Tor Browser, но без специфического маршрутизирования через сеть Tor (которое может быть медленнее и заблокировано на некоторых ресурсах). Если же вам нужно максимально скрывать свой трафик – вы всегда можете сочетать Mullvad Browser и сам Tor (или включать VPN от Mullvad), получая “двойную броню”.

Однако помните, что для качественной защиты вашего трафика нужно иметь активную подписку на Mullvad VPN. Конечно, можно использовать браузер и без этого, но в таком случае вы получите только блокировку рекламы, трекеров и приватный режим, а IP останется без дополнительной маскировки. Скачать Mullvad Browser и узнать о VPN-подписке можно на официальном сайте компании.

5. Safari

Когда речь заходит о Safari, многие пользователи PC невольно думают, что это эксклюзивный браузер для компьютеров Mac и устройств Apple. Действительно, Safari предустановлен на iPhone, iPad и Mac, где он отлично оптимизирован и обычно считается самым быстрым в экосистеме. Но мало кто знает, что существует версия Safari и для Windows (правда, она уже давно не обновлялась официально, так что использовать ее в 2025 году на PC может быть не лучшей идеей). Тем не менее многие считают Safari одним из наиболее приватных среди “корпоративных” браузеров.

В чем преимущества Safari с точки зрения конфиденциальности?

• Apple активно продвигает политику “Intelligent Tracking Prevention” – систему, которая идентифицирует и блокирует межсайтовые трекеры и куки.
• Safari не передает Google и другим крупным игрокам данные о каждом вашем шаге. Конечно, у Apple тоже есть своя экосистема, но в плане рекламы компания не так агрессивна, как некоторые конкуренты.
• Ускоренная работа на устройствах Apple и грамотная оптимизация под чипы M-серии. Это не напрямую относится к приватности, но позволяет быстрее загружать страницы, что косвенно снижает время контакта с потенциально опасными сайтами.

Сложности при использовании Safari на Windows:

• Официальная поддержка Windows прекращена уже давно, так что вам придется искать старые версии, которые не гарантируют актуальных механизмов безопасности.
• Даже если вы найдете версию Safari для Windows, многие современные веб-технологии могут работать нестабильно, что создаст дополнительные трудности при ежедневном пользовании.

Если вы являетесь владельцем Mac или iPhone, то Safari – отличный выбор для быстрой и безопасной работы в сети. Браузер хорошо синхронизируется с iCloud, не обменивается данными с Google, а Intelligent Tracking Prevention уже заблокировала огромное количество трекеров по умолчанию. Но если вы пользователь Windows, возможно, стоит обратить внимание на другие варианты – Firefox, Brave или Mullvad. Подробнее о Safari можно узнать на официальном сайте Apple.

6. DuckDuckGo Browser

Компания DuckDuckGo давно стала синонимом “безопасного поиска”, ведь ее основной продукт – одноименная поисковая система – известна тем, что не собирает историю запросов и не строит на ней рекламные профили пользователей. Учитывая это, было логичным шагом с их стороны предложить и полноценный браузер, призванный развивать идею анонимности.

Основные особенности браузера DuckDuckGo:

• Safe Search: ваш поисковый запрос не связывается с учетной записью и не используется для последующего таргетинга.
• Блокировка трекеров и рекламных скриптов. Философия у DuckDuckGo та же, что и у Brave: никаких межсайтовых куки, минимизация возможной идентификации пользователя.
• Встроенный AI-сервис: по аналогии с Bing Chat или ChatGPT, DuckDuckGo предлагает свой собственный инструмент для помощи в поисковых запросах. При этом, согласно заявлению компании, запросы не сохраняются и не используются для обучения рекламных алгоритмов.
• Реклама есть, но не таргетированная. Вы можете столкнуться с баннерами, но они не будут “преследовать” вас, исходя из истории просмотров.

С одной стороны, это прекрасный способ получить защиту от трекеров в привычном Chromium-подобном интерфейсе (браузер DuckDuckGo тоже базируется на движке Blink, который лежит в основе Chromium). С другой стороны, если вы очень чувствительны к любым видам рекламы, стоит учесть, что встроенного VPN здесь нет, а часть рекламы все же отображается (хоть и не нацелена конкретно на вас).

DuckDuckGo Browser отлично подходит тем, кто постоянно пользуется поиском DuckDuckGo, ведь все инструменты интегрированы прямо в браузер. Да и само приложение выглядит минималистично и легко в освоении. Попробовать DuckDuckGo Browser можно на официальном сайте.

Какой браузер выбрать?

Каждый из перечисленных браузеров ориентирован на конфиденциальность, но у всех своя специфика и целевая аудитория:

• Mozilla Firefox: универсальный выбор для тех, кто хочет простой, знакомый интерфейс без компромиссов по функциональности. Подходит для новичков, которые хотят чуть больше приватности, чем дает Chrome.
• Brave: лучший вариант для тех, кто не хочет покидать “мир Chromium” и привык к расширениям из Chrome Web Store. При этом бесплатно получает встроенный блокировщик рекламы и отсутствие привязки к учетной записи Google.
• LibreWolf: выбор энтузиастов, которым важна абсолютная строгость настроек. Это Firefox, но без телеметрии, с предустановленным блокировщиком и отключенным DRM.
• Mullvad: продукт проверенной VPN-компании. Практически Tor Browser без использования сети Tor, но с возможностью “добавить” VPN. Предназначен для самых требовательных к анонимности пользователей.
• Safari: отличный штатный вариант для пользователей Apple-устройств, особенно если хочется все “из коробки” и без длительных настроек. Для Windows, увы, уже неактуален.
• DuckDuckGo Browser: логичное продолжение философии DuckDuckGo – приватный поиск и приватный браузер в одном флаконе. Есть реклама, но она не таргетированная, что для многих пользователей приемлемо.

Если ваша цель – полный контроль над интернет-серфингом, начиная с блокировки трекеров и заканчивая отсутствием каких-либо рекламных алгоритмов, тогда попробуйте LibreWolf или Mullvad. Если вы предпочитаете что-то близкое к классическому Chrome, но без вмешательства Google, берите Brave. А для поклонников Apple очевидный ответ – Safari, если вы используете iOS или macOS.

Дополнительные советы по защите конфиденциальности

Помимо выбора браузера, есть еще несколько способов усилить свою приватность в интернете:

1. Используйте VPN: VPN-маскировка IP-адреса – это один из важнейших шагов к анонимности. Если ваш IP скрыт, сайтам будет сложнее создать о вас полный “портрет”.
2. Настраивайте расширения: даже если в браузере уже есть встроенный блокировщик, можно добавить uBlock Origin, Privacy Badger или другие плагины, чтобы усилить фильтрацию рекламы и трекеров.
3. Отключайте Javascript или используйте режим чтения: если нужно просто почитать статью без лишних элементов, режим чтения или отключение скриптов помогают отфильтровать рекламу. Правда, функциональность некоторых сайтов будет ограничена.
4. Чаще чистите куки и кэш: при желании можно настроить автоматическую очистку при закрытии браузера. Тогда меньше шансов, что сайты будут “узнавать” вас со временем.
5. Будьте внимательны к разрешениям: не все сайты должны получать доступ к камере, микрофону или геолокации. Всегда проверяйте, что именно запрашивает страница.

Дополнительно стоит проверить настройки своего браузера на предмет опций, связанных с отправкой диагностических данных разработчикам или “улучшенной статистики”. В приватно-ориентированных браузерах такие функции, как правило, либо отключены по умолчанию, либо оформлены опционально.

Заключение

В условиях, когда сбор данных и навязчивая реклама становятся глобальным трендом, стоит вспомнить, что свобода действий и право на приватность – это неотъемлемая часть нашего цифрового пространства. Мы имеем полное право выбирать, оставлять ли наши данные на всех сайтах и сервисах или же защитить их с помощью специализированных решений.

Браузеры с упором на конфиденциальность – это первый и один из самых важных шагов на пути к более безопасной онлайн-жизни. Даже если вы не активист и не переживаете, что правительство или корпорации стоят за вами “по пятам”, все равно приятно осознавать, что ваш почтовый ящик не захламится тоннами спама, а рекомендации по контенту не будут насквозь пропитаны информацией о каждой вашей минуте в сети.

И в то время как некоторые пользователи считают, что переход на другой браузер – это слишком радикально, опыт показывает, что современные приватные браузеры могут быть столь же удобны, как Chrome или Edge, без потери функциональности. У них есть и собственные “фишки”, вроде интегрированных блокировщиков рекламы и легкой синхронизации без аккаунта Google. Конечно, идеальных решений не бывает, и у каждого браузера есть плюсы и минусы, но в целом это отличный шаг на пути к цифровой независимости.

Надеемся, что наш обзор помог вам разобраться в ключевых возможностях и особенностях каждого решения. Выбирайте тот браузер, который кажется вам наиболее удобным и отвечающим вашим требованиям по безопасности. И помните: чем осознаннее мы защищаем себя в сети, тем сложнее становится корпорациям и злоумышленникам эксплуатировать наши данные без нашего ведома.

Оставайтесь в безопасности и приятного веб-серфинга!

Вы когда-нибудь замечали странное совпадение: просто упомянули вслух, что хотите купить новую беговую дорожку, а спустя час ваш телефон вдруг выдает баннер с рекламой спорттоваров? Для многих это — пугающая загадка. Мы начинаем подозревать, что нас повсюду «прослушивают»: смартфоны, смарт-колонки, телевизоры, ноутбуки, «умные» холодильники...

В этом посте мы разберемся, действительно ли наши устройства ведут непрерывную аудиоразведку, чтобы «кормить» нас прицельной рекламой, или же всё можно списать на мощные алгоритмы анализа данных (которые, к слову, тоже знают о нас очень многое). Также вы узнаете, откуда именно нас могут «слушать»: рассмотрим смартфоны, смарт-колонки, Smart TV и даже «умные» пылесосы.

1. Почему реклама становится такой точной?

Поскольку мы живем в эпоху больших данных, наши цифровые следы говорят о нас гораздо больше, чем любое прослушивание. Каждый клик, каждое посещение сайта, лайк, подписка — всё это собирается и обрабатывается. Алгоритмы машинного обучения сопоставляют огромное количество профилей, чтобы выдать вам максимально релевантную рекламу. И нередко этого вполне достаточно, чтобы создать впечатление тотальной слежки.

Но когда происходит нечто, что кажется уже совсем «мистическим» (обсудили с другом покупку новой косметики — и тут же видите рекламу именно этой серии), возникает вопрос: «Неужели приложения включают микрофон смартфона и слушают нас?»

Крупные компании утверждают, что им не нужно «подслушивать» 24/7: они и так собирают о нас детальную информацию. Однако, чтобы не строить догадки на пустом месте, давайте разберемся, откуда именно вас могут слушать и как это вообще работает.

2. Основные устройства, через которые могут подслушивать

Когда мы говорим «нас подслушивают», обычно подразумеваем смартфоны и социальные сети. Но в реальности каналов, через которые может утекает наша речь (и другая приватная информация), куда больше. Ниже рассмотрим самые распространенные устройства, которые потенциально способны «слушать» нас, даже если мы этого не осознаем.

2.1. Смартфоны и планшеты

Самые очевидные подозреваемые — это наши телефоны и планшеты. Они всегда рядом, оснащены микрофонами, камерами, GPS и кучей датчиков. Причем для большинства пользователей смартфон — главный помощник и основное средство связи.

• Многозадачность и фоновые процессы: на телефоне нередко запущены десятки приложений, некоторые из них могут работать в фоновом режиме и теоретически иметь доступ к микрофону, если вы выдали соответствующее разрешение.
• Голосовой поиск и ассистенты: «Окей, Google», «Привет, Siri», «Алиса» — любая из этих функций подразумевает, что телефон постоянно «слушает» в ожидании триггер-фразы. В идеале, идёт лишь распознавание ключевых слов, но периодически случаются ошибки и «ложные срабатывания».
• Зловредные приложения: в магазинах приложений периодически обнаруживают вредоносное ПО, способное тайно включать микрофон и перехватывать данные.

Современные мобильные ОС (iOS и Android) всё больше ограничивают возможности доступа к аппаратным ресурсам. Например, на iPhone теперь есть индикаторы (зелёная/оранжевая точки), показывающие использование микрофона и камеры. Однако не все внимательно на это смотрят, и не все версии устройств/операционных систем поддерживают такие «показатели прозрачности».

2.2. Смарт-колонки и голосовые помощники

Смарт-колонки (Amazon Echo с Alexa, Google Nest, Яндекс.Станция с Алисой и т.д.) предназначены именно для того, чтобы реагировать на ваши голосовые команды. Они обладают микрофонами высокой чувствительности, способными улавливать слова на большом расстоянии.

• Постоянное ожидание активационного слова: колонки «слушают» непрерывно — иначе никак не поймут, что вы сказали «Окей, Google» или «Алиса». Хотя формально в этот период идёт лишь локальное распознавание, были случаи, когда устройства «случайно» отправляли записи на сервер.
• Инциденты с прослушиванием: в прессе не раз писали о случаях, когда фрагменты разговоров пользователей попадали к подрядчикам компаний-разработчиков, якобы для «улучшения качества распознавания».
• Удобство vs. безопасность: люди любят смарт-колонки за их удобство и интеграцию с умным домом. Но чем плотнее колонка «встроена» в вашу жизнь, тем теоретически больше данных она может унести куда-то «наверх».

2.3. Smart TV и телевизоры

Современные «умные» телевизоры — это не просто экраны для просмотра, а фактически медиацентры с операционными системами, приложениями, микрофонами (для голосового управления) и камерами (для видеозвонков или жестового управления).

• Голосовой поиск: многие ТВ поддерживают голосовой ввод для поиска контента. Значит, микрофон есть, и он периодически «слушает».
• Сбор метаданных: производители Smart TV могут собирать информацию о том, что вы смотрите, как переключаете каналы и какие приложения запускаете. Но нередко (что пугает пользователей) телевизоры отправляют и аудиосигналы для облачной обработки.
• Программные уязвимости: Smart TV не так часто обновляются, как смартфоны, поэтому уязвимости могут долгое время быть не закрыты. Злоумышленники теоретически могут воспользоваться этим, чтобы получать доступ к микрофону/камере.

2.4. Компьютеры и ноутбуки

Настольные ПК, ноутбуки и даже планшеты для многих — рабочая станция, центр развлечений и соцсетей. Они обычно оснащены веб-камерой и встроенным микрофоном, которые, конечно, могут стать «окном» для подслушивания.

• Фоновое ПО и трояны: на компьютерах, особенно под управлением Windows, периодически обнаруживают программы-шпионы, которые могут включать микрофон и совершать аудиозапись.
• Интегрированные голосовые ассистенты: Windows имеет Cortana, macOS — Siri. Хоть они и не так популярны на ПК, но тоже существуют и «слушают» в режиме ожидания (если включены).
• Рабочие видеоконференции: Zoom, Skype, Teams — всё это приложения, которым часто даётся доступ к микрофону по умолчанию. При неправильных настройках или багах они могут «случайно» не отключать микрофон даже после завершения звонка.

2.5. «Умные» устройства и IoT

Мир «интернета вещей» (IoT — Internet of Things) растёт экспоненциально: умные холодильники, стиральные машины, пылесосы, лампочки, камеры наблюдения. Некоторые из них тоже имеют микрофоны (например, домашние камеры безопасности со звуком, или «умные» игрушки с функцией распознавания голоса).

• Игрушки с голосовым управлением: есть примеры «умных» кукол, которые могут взаимодействовать с детьми, задавать вопросы и отвечать. Они, в свою очередь, записывают речь и передают её на серверы.
• Устройства слежения за домом: системы безопасности с микрофонами могут передавать аудио в облако. При ненадёжной защите такие системы легко взломать.
• Уязвимости и «лень» производителя: многие IoT-устройства создаются бюджетно, без серьёзного внимания к безопасности. Иногда пароли по умолчанию вообще не меняют, и тогда любое злоумышленное подслушивание — вопрос времени.

На первый взгляд, зачем холодильнику знать, о чём вы говорите? Но если ему нужен голосовой интерфейс, значит есть микрофон. А значит, есть и потенциальный риск подслушивания.

2.6. Автомобили и бортовые системы

Современные автомобили превращаются в настоящие компьютеры на колёсах. В них есть системы голосового управления, Bluetooth-телефония, а иногда и встроенные камеры.

• Голосовые ассистенты в машинах: некоторые марки авто интегрируют Amazon Alexa, Google Assistant или собственные решения. Машина «слушает», чтобы распознать «включи музыку» или «построй маршрут». Точно так же, как домашняя колонка, она может «случайно» записать лишнее.
• Встроенные микрофоны для звонков: Hands-Free системы, позволяющие вам разговаривать по телефону без рук, тоже работают через микрофон. Иногда автомобили могут сохранять фрагменты разговоров для улучшения шумоподавления.
• Телематика и диагностика: современные машины собирают массу данных о вашем стиле вождения, геолокации и т.д. Это не голосовая информация, но всё равно часть общей картины слежки.

Всё это звучит пугающе, но важно помнить: наличие аппаратного микрофона не гарантирует, что вас действительно круглосуточно пишут и передают в облако. Однако, понимая все возможные каналы, мы лучше осознаём риски и можем адекватно к ним подготовиться.

3. Механизмы и технологии прослушивания

Технически подслушивать можно по-разному. Причём это могут быть как легитимные сервисы (голосовые ассистенты), так и откровенно вредоносные методы (трояны, шпионские программы).

• Распознавание ключевых слов (горячих фраз): устройства ждут «Окей, Google» или «Привет, Siri», отслеживая звук в реальном времени. Чаще всего это ограничивается локальным анализом с целью экономии ресурсов, и только при распознавании «триггера» микрофон начинает полную запись. Но если система ошиблась, то может случиться отправка части разговора на сервер.
• Фоновое включение микрофона: если приложение (легитимное или вредоносное) получило права на использование микрофона, оно может вести запись без вашего ведома. В Android и iOS есть механизмы, указывающие на использование микрофона, но некоторые программы умеют обходить эти защиты (особенно на рутованных/джейлбрейкнутых устройствах).
• Социальная инженерия: иногда не нужно даже технических ухищрений — пользователь сам даёт право на запись. Например, устанавливает новое приложение, которое запрашивает разрешение «для удобства» или «для активации голосом». Прокликая все «да», мы фактически сами разрешаем подслушку.
• Аппаратные закладки: редкий, но пугающий сценарий: злоумышленники могут внедрять в микросхемы специальные чипы для слежки (т.н. hardware backdoor). Это сложно и дорого, в основном фигурирует в шпионских историях, но теоретически возможно.

Если говорить о масштабном, постоянном и системном сборе голосовых данных (с миллиардами пользователей) со стороны крупных корпораций, то это выглядело бы невероятно дорого и сложно. Хотя мы не можем исключать ничего на 100%, есть куда более эффективные способы собрать ваши личные данные — через историю поиска, соцсети и «куки».

4. Голосовые помощники: помощник или секретный шпион?

Голосовые помощники вроде Siri, Google Assistant, Amazon Alexa и Яндекс.Алисы — классический пример «точки подозрения». Ведь они созданы именно для того, чтобы слушать речь пользователя.

В идеальном сценарии всё выглядит так:

1. Колонка/телефон анализирует фоновую речь в режиме офлайн, пытаясь распознать ключевую фразу, например «Окей, Google».
2. Как только фраза распознана, включается полноценная запись. Аудио отправляется на серверы компании, где оно обрабатывается мощными алгоритмами распознавания речи.
3. Помощник формулирует ответ и возвращает его пользователю. Запись может сохраняться на серверах для улучшения качества распознавания (если вы разрешили это в настройках).

Однако бывали скандалы, когда случайные активации приводили к тому, что ассистенты записывали приватные разговоры, а «более того» — эти записи позже прослушивались подрядчиками, нанятыми для улучшения алгоритмов. Некоторые пользователи находили в личном кабинете целые треки с личными разговорами, что вызывало праведный гнев и большие вопросы к корпорациям.

Самый известный случай произошёл с Amazon Alexa: было зафиксировано, что часть аудиозаписей сохранялась и передавалась сотрудникам, которые вручную транскрибировали и классифицировали их для обучения системы. Google и Apple оказались в похожих ситуациях. В результате все они были вынуждены внедрить механизмы, позволяющие пользователям самостоятельно удалять эти записи и запрещать их использование в обучающих целях.

Вывод: даже если у крупных компаний нет цели массово подслушивать вашу повседневную жизнь для рекламы, теоретически любой голосовой помощник способен случайно записывать фрагменты разговоров. А дальше вопрос — насколько качественно защищены эти данные, кто имеет к ним доступ и не могут ли утечки попасть «не в те руки».

5. Примеры из жизни: реальность или совпадения?

Чтобы показать, что «совпадения» бывают пугающе точными, вот несколько историй, которые активно обсуждались в интернете:

1. Разговоры о свадьбе и внезапная реклама колец. Молодая пара обсуждала варианты обручальных колец при личной встрече, без каких-либо электронных запросов. На следующий же день жена видит в соцсетях рекламу ювелирных салонов, а мужу в почту прилетают письма от свадебных организаторов. Совпадение? Возможно. Но ощущение, что кто-то подслушал — очень сильное.
2. Ребёнок захотел щенка — реклама кормов и ветеринарных клиник. Человек утверждает, что не вводил никаких поисковых запросов, лишь упомянул в разговоре с супругой, что ребёнок просит завести собаку. Спустя пару дней лента соцсетей наполнилась рекламой собачьих аксессуаров и кормов.
3. Всплеск «прослушки» перед праздниками. Некоторые пользователи замечали, что в период перед большими праздниками (Новый год, Black Friday) реклама становится особенно «наводящей на мысль», что якобы компании активнее «слушают», чтобы точнее продавать подарки. Хотя, скорее всего, это совпадает с тем, что люди сами больше ищут подарки и тем самым «подсказывают» алгоритмам.

Каждый такой случай сложно проверить научными методами: люди часто забывают, что они вводили в поисковиках или о чём упоминали в переписке. Мы оставляем множество цифровых следов. Алгоритмы могут угадать наши желания с невероятной точностью, и всё же чувство, что нас «подслушивают», не даёт покоя.

6. Мифы и реальность: что говорят IT-гиганты?

Google, Apple, Amazon и прочие громко заявляют, что не используют непрерывные аудиозаписи пользователей для рекламы. Они объясняют точность таргетинга анализом поведения в интернете:

• История поиска
• Просмотренные ролики на YouTube
• Лайки, подписки и интересы в соцсетях
• Переходы по рекламным ссылкам
• Геолокация и др.

По официальным заявлениям, «подслушка» 24/7 экономически невыгодна: миллиарды часов аудио пришлось бы обрабатывать, а выгода от этого была бы сомнительной, учитывая затраты на сервера и риск законодательных санкций. Однако репутационные скандалы, связанные с голосовыми помощниками, показали, что фрагментарная запись бесед всё же имеет место, хотя и объясняется «исключительно для улучшения качества».

Можно поверить в то, что глобальной тайной прослушки не происходит, но также стоит помнить, что время от времени всплывают разные скандалы, показывающие, что компании не всегда прозрачны. А вредоносные приложения и ПО могут «подслушивать» без ведома IT-гигантов, используя дыры в системе безопасности или неаккуратность пользователей.

7. Как понять, что вас действительно слушают?

Определить, ведётся ли реальная прослушка, не так просто. Тем не менее, есть некоторые косвенные признаки, на которые стоит обратить внимание:

• Частая активация индикатора микрофона: на современных смартфонах и компьютерах есть индикаторы, сигнализирующие, что микрофон или камера в работе. Если вы замечаете, что они включаются без очевидной причины, стоит проверить, что за приложение их запускает.
• Быстрая разрядка батареи: постоянная запись и передача аудио тратит много энергии. Если устройство стало разряжаться подозрительно быстро, имеет смысл проверить процессы в фоновом режиме.
• Неожиданные звуки или шумы во время звонков: это больше стереотип из прошлого, но иногда из-за некачественного ПО или вмешательства шпионских программ могут появляться странные фоновое эхо, щелчки.
• Приложения с лишними разрешениями: иногда можно зайти в настройки и увидеть, что «игра-головоломка» имеет полный доступ к микрофону. Вопрос: зачем ей это?
• Наличие шпионского ПО: антивирус или специальные утилиты могут сигнализировать о троянах, которые пытаются перехватить аудиопоток.

Если вы обнаружили что-то подобное, немедленно проверьте список приложений с доступом к микрофону и удалите те, которые подозрительны или не используются. Обновите антивирусную базу и выполните полную проверку системы.

8. Практические советы по защите конфиденциальности

Чтобы снизить риск реальной (или воображаемой) прослушки, достаточно соблюдать несколько цифровых гигиенических правил.

8.1. Контролируйте разрешения приложений

• Периодически проверяйте, какие программы могут пользоваться микрофоном, камерой и GPS.
• Отключайте доступ там, где это не нужно.
• Будьте особенно осторожны с приложениями, запрошенными вне официальных магазинов.

8.2. Регулярно обновляйте ПО

• Операционные системы смартфонов, телевизоров, колонок и компьютеров, как правило, получают патчи безопасности — устанавливайте их своевременно.
• Антивирусные базы должны быть актуальными, чтобы своевременно обнаруживать новое вредоносное ПО.

8.3. Используйте антивирус и антишпионские утилиты

• Для Android рекомендуется проверенный антивирус из Google Play, например Kaspersky, Avast, ESET и пр.
• На Windows, помимо встроенного Windows Defender, можно установить сторонние решения для комплексной защиты.
• На iOS риск меньше, но в случае джейлбрейка нужно быть особенно осторожным.

8.4. Отключайте микрофон и камеру физически

• Многие ноутбуки имеют механические шторки на камерах или специальные клавиши, отключающие микрофон.
• Смарт-колонки можно выключать из розетки, когда они не нужны (хотя это не всем удобно).
• Отдельные ТВ-приставки и консоли тоже поддерживают физическое отключение микрофона.

8.5. Проверяйте настройки голосовых ассистентов

• Если не пользуетесь — просто отключите ассистента, уберите разрешения.
• Очистите историю голосовых запросов, например в аккаунте Google или Siri.
• Узнайте, сохраняются ли записи на серверах. Если да, смотрите, можно ли это отключить.

8.6. Применяйте здоровую долю скепсиса

• Иногда реклама действительно кажется «чтением мыслей», но, возможно, это результат обычного таргетинга и ваших подсознательных действий (запросы, клики, задержки на страницах).
• Не стоит впадать в паранойю, но и игнорировать риски тоже не следует.

9. Есть ли смысл паниковать? Итоги и размышления

Наверняка вы слышали мнение, что «у крупных корпораций просто нет нужды нас слушать», и «это всё теория заговора». Частично это правда: крупные игроки (Google, Meta, Apple, Amazon) могут собрать о нас достаточно сведений из открытых источников — наших кликов, лайков, постов, геометок, истории поиска. Это проще и дешевле, чем анализировать гигантский поток аудио.

Но это не отменяет того, что некоторые данные всё же передаются на их серверы, в том числе звуковые фрагменты для улучшения алгоритмов. Случаются утечки, «ложные срабатывания» ассистентов, и никто не застрахован от взлома или недобросовестных подрядчиков.

Также есть множество небольших компаний и приложений, которые не обладают мощными технологиями больших данных, но хотят максимально эффективно продавать рекламу. Они могут пытаться собирать аудио без ведома пользователей (особенно если разработчики недобросовестны). Вкупе с уязвимостями, отсутствием шифрования и прочими факторами это делает риск реальным.

В то же время, зачастую «суперточная реклама» объясняется обыкновенным поведением пользователей в сети. Мы ищем или кликаем что-то похожее, а потом удивляемся. Но ведь алгоритмы предиктивной аналитики действительно способны напугать своим умением «угадывать», что нам нужно.

Стоит ли паниковать? Скорее важно относиться к вопросу сбалансированно:

• Не стоит «надевать шапочку из фольги» и подозревать, что каждое ваше слово где-то записывается и анализируется.
• Не нужно быть наивным и игнорировать возможность прослушки. Если вы заметили странное поведение устройств, проверьте их.

Наша задача — разумно заботиться о своей приватности и не предоставлять возможность шпионить всем подряд. Если где-то и существует глобальная «подслушка», то бороться с ней должны на законодательном уровне и в рамках международных договорённостей о конфиденциальности. А в быту нам помогут простые меры предосторожности: проверка разрешений, антивирусы, отключение микрофона, когда не нужен, и грамотная работа с настройками.

10. Полезные ссылки и дополнительные материалы

• Как управлять историей голосовых запросов в Google
• Управление записями Siri и «Диктовки» (Apple)
• Настройки и управление Яндекс.Алисы
• Amazon Alexa и политика конфиденциальности
• Поддержка Samsung Smart TV и вопросы безопасности
• Netflix: настройки конфиденциальности на смарт-телевизорах
• Google Account: Панель управления данными и конфиденциальностью
• Поддержка Microsoft (Cortana и настройки приватности)
• Apple: Руководство по безопасности (macOS)
• Антивирусные приложения для Android

Как видите, любой крупный производитель обычно имеет разделы, посвящённые приватности. Там вы можете узнать, какие данные собираются и как управлять доступом к микрофону/камере. Хоть это и не спасёт мир от возможных злоумышленников, но точно повысит общий уровень вашей информационной безопасности.

Заключение

Итак, «слушают» ли нас действительно ради рекламы? Возможно, но вряд ли это массовая практика со стороны крупных корпораций: им дешевле и надёжнее анализировать ваше поведение в интернете. Однако существуют десятки других способов утечки аудио — от вредоносных приложений до случайных активаций голосовых помощников. А ещё есть производители IoT, которые не всегда уделяют достаточно внимания защите.

Чтобы избежать превращения дома в «Большого Брата», достаточно несколько элементарных действий:

• Выключать микрофон и камеру, когда реально не нужно.
• Следить, какие приложения получили доступ к микрофону и камерам.
• Обновлять системы и приложения, использовать антивирусные решения.
• Разумно относиться к установке новых программ из непроверенных источников.

А самое главное — не забывайте, что лучший способ «защититься» от назойливой рекламы — не выдавать слишком много информации о себе добровольно. И будьте готовы к тому, что рекламные алгоритмы и без всякой прослушки смогут вычислить, что вы сегодня мечтаете о новой пицце, а завтра — о поездке к морю. Добро пожаловать в эпоху больших данных!

В любой ситуации лучше сохранять спокойствие, не впадать в паранойю, но и не относиться к вопросу халатно. Пусть ваши устройства действительно служат вам, а не собирают о вас досье 24 часа в сутки. Немного скепсиса, немного осторожности — и вы сможете наслаждаться удобствами современного «умного» мира, не став при этом жертвой тотальной подслушки.

Сейчас 2025-й год, и будущее, которое представляли себе писатели-фантасты, — наступило. По крайней мере, в части автоматизации производства и промышленной робототехники. Некоторые современные заводы проектируются с таким расчётом, что на конвейере будет минимальное количество людей, в идеале — ни одного.

▍ Полностью автономное производство

Промышленное производство в мире быстро автоматизируется. Согласно отчёту World Robotics 2024, количество действующих промышленных роботов достигло 4,3 млн штук (+10% за год). По уровню автоматизации лидируют Южная Корея (1012 роботов на 10 000 рабочих) и Сингапур (770). На третье место вырвался Китай (470), обогнав Германию (429). В прошлом году на Китай пришёлся 51% всех новых роботов в мире (+276 288 шт.).

Промышленные роботы Kuka на заводе Tesla, источник

Полностью автоматизированные фабрики появились довольно давно. Так, японская робототехническая компания FANUC Ltd. открыла свою первую полностью автоматизированную линию в 2001 году. Там роботы собирают других роботов, совершенно не нуждаясь в человеческом участии и даже присмотре.

По информации журнала Business 2.0, к 2003 году небольшой автономный завод ROBOT Factory (3700 м²) возле горы Фудзи выдавал по 50 роботов в сутки, работая без присмотра до месяца. Они останавливаются только тогда, когда нет места для хранения продукции. Грузовики увозят новых роботов — и процесс возобновляется. Завод работает без освещения, отопления и кондиционеров.

FANUC ROBOT Factory

Аналогичные производства запустили в начале 2000-х и другие компании. В Коннектикуте (США) компания ABA-PGT производит пластиковые шестерёнки для различных устройств, от принтеров до разбрызгивателей. Рабочие приходят на завод утром, чтобы забрать коробки, заполненные за ночь.

Компания Air Products & Chemicals в Аллентауне (Пенсильвания, США) дистанционно управляет установками по охлаждению и сжижению кислорода и азота из воздуха. Некоторые цеха неделями работают без присмотра.

Установка для разделения воздуха Air Products & Chemicals в Нанкинском химическом промышленном парке (NCIP), Восточный Китай, источник

В компании FANUC использование роботов вышло за пределы заводского цеха. В 2001 году компания открыла автоматизированный кухонный центр, который готовит 2000 обедов для рядовых сотрудников. Боты варят рис, упаковывают ланчбоксы и моют посуду.

▍ Новые заводы Xiaomi

Хотя автоматизированные заводы существуют давно, компания Xiaomi вывела их на новый уровень, внедрив систему ИИ, которая оптимизирует процесс. То есть это производство не только автономное, оно ещё и самостоятельно совершенствуется.

В июле 2024 года компания открыла в Пекине автономную фабрику Xiaomi Smart Factory (об этом сообщали на Хабре). Это «оцифрованное» производство, максимально похожее на игру Factorio. Оно работает полностью автоматически, а люди только наблюдают, чтобы всё шло нормально.

Строительство фабрики площадью 81 000 м² обошлось в 2,4 млрд юаней ($327,6 млн), что не так уж и много по современным меркам. Здесь собирают 10+ млн флагманских смартфонов в год, а именно новые Xiaomi MIX Fold 4 и MIX Flip.

Исполнительный директор Лэй Цзюнь (Lei Jun) говорит, что компания начала исследовать эту тему с 2017 года. В 2019 году в Ичжуане (пригород Пекина) запустили полностью автоматизированный экспериментальный конвейер в «лабораторных» условиях, на 1 млн телефонов в год. Сейчас же его масштабировали в 11 раз (столько конвейеров на новой фабрике) и усовершенствовали. Разработано ПО для управления производством, спроектированы и изготовлены роботы, большинство оборудования собственного производства Xiaomi.

Единственные люди на заводе сидят в центре управления War Room перед гигантским экраном системы управления Xiaomi Hyper IMP (Intelligent Manufacturing Platform).

Xiaomi Hyper IMP не только осуществляет мониторинг. Это по сути цифровая копия завода, которая дублирует все процессы в малейших деталях, а также идентифицирует проблемы и подсказывает, как оптимизировать процесс.

Кадры из презентации Xiaomi Hyper IMP

В прошлом году компания также открыла завод по производству электромобилей Xiaomi EV Factory тоже с высокой степенью автономности.

Xiaomi EV Factory

Свой первый электромобиль SU7 компания представила в марте 2024 года. Это решение удивило представителей индустрии. Никто не предполагал, что производитель электроники может освоить автомобильное производство с нуля, без опыта. Но Xiaomi спроектировала не только автомобиль, но целый завод и оборудование для конвейера.

На новом заводе роботы собирают по 40 автомобилей в час, то есть новая машина сходит с конвейера каждые 76 секунд.

Процесс сборки автомобиля начинается с Hyper Die-Casting 79100 Cluster — новой системы, разработанной Xiaomi, которая объединяет вылитое под давлением (die-casting) заднее днище автомобиля из сплава на основе титана. Сектор литья под давлением площадью 840 м² занимает на фабрике центральное место, обеспечивая высокую скорость производства. Как сообщается, благодаря литью 72-х компонентов в едином кластере процесс позволяет избежать сварки 840-х соединений.

Xiaomi SU7

Завод располагается в выделенной государством Зоне экономико-технологического развития (технопарк) на окраине Пекина. На конвейере работают только промышленные роботы, с очень редким присутствием людей, которые следят за некоторыми крупными механизмами и выталкивают боковые двери с конвейера.

Несколько самодвижущихся роботов перемещают паллеты и детали по фабрике и вежливо останавливаются, чтобы пропустить посетителей, которые зашли на экскурсию.

В кузовном цехе 100% ключевых производственных процессов полностью автоматизированы, а общий уровень автоматизации составляет 91%. Всего на конвейере 39 промышленных роботов.

По информации компании, это одна из всего двух систем в Китае, которая достигла стопроцентной автоматизации сборки «четырёх дверей, двух капотов и крыльев». Точность сборки составляет ±0,5 мм, таких сверхузких зазоров сложно добиться при человеческом участии.

Роботы также отвечают за покраску и отделку кузова. Слой краски толщиной 120 мкм наносится по методу 3C2З — три слоя и два запекания. Этот процесс, включающий два дополнительных этапа по сравнению с традиционными методами, используемыми в промышленности, как утверждается, улучшает гладкость краски на 8%.

Реальным преимуществом полной автоматизации процесса покраски является возможность быстро перепрограммировать его, замена краски занимает 40 минут. Поэтому SU7 предлагается в девяти цветах, тогда как по статистике средняя модель автомобиля на рынке в настоящее время представлена только в шести.

Даже процесс контроля качества здесь полностью автоматизирован. Для обнаружения дефектов в литых деталях и оценки размеров кузова используется лидар с точностью ±0,05 мм. Каждая деталь также проверяется ИИ-системой, которая анализирует 28 рентгеновских снимков высокого разрешения. Ультрафиолетовый сканер ищет дефекты во всём экстерьере, включая прозрачные детали, такие как люк на крыше и фары.

▍ Гигантские заводы BYD

Китайская компания BYD (Build Your Dreams) считается мировым лидером в производстве электромобилей (EV) и батарей к ним, с 2023 года она обошла Tesla по продажам.

К примеру, вот размеры нового завода BYD в сравнении с Гигафабрикой Tesla:

Спутниковые снимки показывают, что постройки BYD чётко ориентированы по сторонам света, в отличие от окружающей реальности

На строительстве завода в Чжэнчжоу задействованы сотни единиц техники:

BYD также является мировым лидером среди автопроизводителей по количеству научно-технического персонала: 110 000 инженеров (общий штат компании более 700 000). За последние два года компания взяла на работу почти 50 000 выпускников вузов.

Платформа BYD e-platform 3.0

Конечно, BYD активно использует промышленных роботов, но до полностью автономного производства ещё далеко. На конвейере по-прежнему работают сотни тысяч обычных рабочих, а также на строительстве новых заводов. Более того, недавно власти Бразилии остановили строительство новой фабрики BYD за использование труда, близкого к рабскому. Например, людям приходилось спать на кроватях без матрасов, без личных шкафчиков.

На один туалет приходился на 30 человек, так что им приходилось вставать в очередь с 4 утра, чтобы успеть к началу рабочего дня в 5:30.

Работодатель забирал паспорта и удерживал 60% зарплаты рабочих, остальное выплачивали китайскими деньгами.

Еду готовили на улице:

Как сообщается, из рабских условий удалось спасти более 160-ти китайских рабочих.

Бразильский завод должен был стать первой производственной площадкой BYD за пределами Азии. Компания планирует также открыть заводы в Турции, Мексике и Пакистане.

▍ Цифровые модели заводов

Ещё одна интересная тенденция последнего времени — разработка цифровой модели производства до его строительства. Например, цифровая копия завода BMW создаётся на платформе Nvidia Omniverse. Эта облачная платформа для сервисов Метавселенной поддерживает язык 3D-описания сцен Universal Scene Description (USD), так что она совместима со средствами автоматизированного проектирования и конструирования, которые использует BMW, такими как Siemens Process Simulate, Autodesk Revit и Bentley Systems MicroStation.

Цифровая модель позволяет оптимально разместить роботов в ограниченном пространстве. BMW разработала кастомное приложение Factory Explorer на основе Omniverse USD Composer.

Объекты размещают как в игре Factorio, а потом на реальном заводе повторяют дизайн. Расходы на цифровую модель окупаются, потому что внесение изменений и переоптимизация на существующих объектах обходятся очень дорого и приводят к простоям производства. Для симуляции отдельных этапов производства Nvidia также сотрудничает с другими автопроизводителями, включая Mercedes, Volvo, Toyota, General Motors, Lotus и Lucid.

В принципе, на таком же принципе основаны программы по 3D-дизайну интерьеров, когда вы можете подобрать мебель и обстановку для дома, квартиры или комнаты ещё до строительства/ремонта. Все размеры просчитываются с точностью до миллиметра, чтобы не случилось неприятных сюрпризов.

Apple старается собирать как можно меньше данных:

Компания Apple старается собирать и хранить минимальное количество данных, необходимых для работы служб, которыми вы пользуетесь.

Давайте же погрузимся в GDPR-дамп моих данных и взглянем, насколько старание Apple собирать меньше данных сильно.

Запросить такой же дамп, если вы живете в Евросоюзе (возможно, из других стран тоже можно), можно по этой ссылке.

Дамп представляет из себя множество ZIP архивов с CSV и JSON файлами внутри. Встречаются также пустые null-файлы. Видимо там что-то пошло не так.

Структура папок следующая:

Hidden text

Это действительно огромный массив информации (я еще не заказывал дампы icloud photos, там вообще думаю будет веселье). В целом, все что тут есть, действительно связано со мной, но также есть очень интересные данные, которые подтверждают то, что Apple, в общем-то, плевать хотела на свои заявления и хранит вообще все, что может только собрать, без каких-либо политик по удалению ваших старых данных. Давайте посмотрим на самую мякотку.

Apple ID Account Information.csv - внутри обнаруживаем информацию о всех формах Apple ID, которые вы когда либо заполняли, со всей необходимой конкретикой, например:

Ваш Apple ID Number - DSPersonID, какой вы по счету у Apple, я, например 1341894157й, дата создания, тип платежной карты, адрес, телефоны, адреса доставки и так далее. Полный список полей:

Hidden text

Вроде бы ничего странного, компания должна хранить такие данные, однако это вообще вся история изменений моего Apple ID, с 2010 года. Это действительно нужно Apple? (риторический вопрос). Вот что они сами говорят:

Apple retains personal data only for so long as necessary to fulfill the purposes for which it was collected, including as described in this Privacy Policy or in our service-specific privacy notices, or as required by law

Перевод:

Apple хранит персональные данные только до тех пор, пока это необходимо для достижения целей, для которых они были собраны, в том числе так, как описано в настоящей Политике конфиденциальности или в наших уведомлениях о конфиденциальности для конкретных услуг, или в соответствии с требованиями законодательства.

Интересно, какой purpose хранить данные о моем Apple ID в 2010 году? (риторический вопрос)

Двигаемся дальше - Apple ID Device Information.csv

В данном файле хранится информация об устройствах, которые привязаны сейчас и были привязаны когда либо к вашему Apple ID. Не ясно, зачем хранятся устройства, которые давным-давно отвязаны и проданы. Самая старая запись уходит в 2019 год, думаю тут либо они раз в 5 лет чистят, либо лишь 5 лет назад начали собирать данную информацию. (Update: остальное, что постарше - в отдельном файле - читайте дальше).

Список полей:

Hidden text

Data & Privacy Request History.csv

В данном файле хранится информация о запросе информации по GDPR. Сейчас он содержит 2 моих запроса.

Поля:

Request ID
Category Name
Request Time
Activity Type
Apple ID Number
Access Category Completed Time
Request Completed Time
Archive Size
Maximum File Size
Transfer Success Count
Transfer Failure Count
Developer Name
Request Status
Transfer Type
Schedule Type

Теперь мы погружаемся в папку Apple Media Services Information. Это, де-факто, App Store, бывший iTunes и все, что приносит Apple деньги. И вот тут ребята развернулись на полную.

Внутри вас ждет много информации, например:

• Вся история Apple Music, даже если вы ей уже не пользуетесь и удалили свою библиотеку. Лайки аж с 2015 года!
• Какое-то отслеживание в notifications-userJourneys.csv и тегирование в notifications-userTags.csv - явно прослеживается профайлинг или А/В тесты. Данные эксперименты ставились надо мной в 2022 году, а данные все так же хранятся.
• В GameCenter Friend Count.csv хранится история изменений счетчика моих друзей, аж с 2021 года. Зачем это Apple (риторический вопрос)?
• В Billing Information History.csv хранится история изменений всех ваших биллинг адресов с начала создания Apple ID. 2010 год.
• В Customer Device History - Computer Authorizations.csv - аналогично, те устройства, которые я удалил с Apple ID, не использую, продал - с 2010 года - все хранится.
• В App Install Activity.csv хранится информация об установленных вами приложениях, как из App Store, так и не из него. Да, если вы пользуетесь ad-hoc установкой, либо ваша организация распространяет in-house приложения, то Apple следит за этим. На каком основании Apple отслеживает установки приложений, которые им не принадлежат, да еще и в сторонних организациях, нарушая базовые принципы приватности - да потому, что могут, правда? Я отправил репорт об этом в Apple Product Security две недели назад - до сих пор жду ответа.

Дальше - возможно самый веселый файл из всех - App Store Click Activity.csv - 39 мегабайт каждого моего тапа внутри App Store начиная с 2022 года. Это просто поражает воображение, этот файл даже в предпросмотре macOS не может открыться!

Оцените объем собираемых данных:

AB Test
Account Match
Action Context
Action Details
Action Type
Action URL
App
Apple ID Number
Application Name
AppStore Referral ID
Billing Currency Code
Channel Partner
Channel Partner ID
Channel Partner Type
Channel Product Code
Click Target
Click Target Type
Client ID
Content Location
Contingent Price ID
Event Date Time
Event Type
External Referral App Name
External Referral URL
Final Search Term
Free App Adam ID
Free App Amount
Free App Content ID
Free App Currency Code
Free App Developer ID
Free App Genre
Free App Product Type
Free App Timestamp
Free App Transaction ID
Hardware Model
Hardware Type
Host App Name
Impressed Content Names
IP City
IP Country Code
Is Apple One Subscription
Is Arcade Subscription
Is Personalized
Is Purchase
Is Redownload
Item Descriptions
Item ID
Language ID
Location
Major OS Version
Offer Eligibility Type
Offer Placement
Offer Placement Type
Offer Trial ID
Offer Type
Offer Variant
Operating System Languages
OS
OS Build Number
OS Version
Page
Page Context
Page Custom ID
Page Details
Page Display Type
Page History
Page ID
Page Reason Type
Page Type
Page URL
Page Variant ID
Platform
Post Time
Pre-Tax Price
Price
Purchase Date
Purchased Item Descriptions
Purchased List
Referral App Name
Referral URL
Referring URL
Search Filters
Search Tab Term
Search Term
Search Term Source
Search Terms Selected
Software
Store Front
Store Front Header
Subscription State
Tab
Tab Indicator
Term
Timezone Offset Min
Total Amount
Transaction ID
URL
User Agent
Widget Name
Widget Size
Widget Type

Аналогичный файл - Apple Music Click Activity V3.csv - всего лишь 24 мегабайта.

Думаю, если вы пользуетесь другими сервисами Apple, как TV, Fitness, Arcade и т.д. - вас там профилируют еще больше. Больше сервисов - больше данных.

Напомню, пожалуй:

Компания Apple старается собирать и хранить минимальное количество данных, необходимых для работы служб, которыми вы пользуетесь.

Вот они, самые интересные сервисы для Apple. И знаете что? Вы не можете отказаться от сбора такой информации! Нигде не написано, что именно они собирают, если бы взять их требования по App Privacy, то они сами же все и нарушают!

Шуткой смотрится следующий файл - Limit Ad Tracking Information.csv

Давайте чуток передохнем, вот вам разделитель:

А вот и нет. Согласитесь, нормально собирать и хранить информацию о том, что вы купили [нет], простите, взяли в аренду (Apple Media Services EULA):

Apps made available through the App Store are licensed, not sold, to you....Scope of License: Licensor grants to you a nontransferable license to use the Licensed Application on any Apple-branded products

Перевод:

Приложения, доступные через App Store, лицензируются, а не продаются вам....Объем лицензии: Лицензиар предоставляет вам непередаваемую лицензию на использование Лицензированного приложения на любых продуктах Apple.

А что, если я скажу, что они хранят информацию о том, как именно вы это сделали?

Purchase Flow Events.csv - вся информация о том, как именно я покупал, что я кликал, как долго я думал - с 2021 года.

Action Context
Action Details
Action Type
Adjusted Event Time
Apple ID Number
Application Name
ASN State
Authorization List
Billing Information
BuyInfo Country
BuyInfo Price
BuyInfo Subscription Catalog Name
Click Target
Click Target Type
Client ID
Commerce Application Name
Commerce Event-Ask To Buy?
Commerce Event-Head of Household ID
Commerce Event-Head of Household?
Commerce Flow
Commerce Flow Type
Commerce Purchase List
Data Location
Dialog Application ID
Dialog Application Name
Dialog Code
Dialog ID
Dialog Price
Dialog Type
Event Date Time
Event Type
Family Status
Fraud Check Result
Fraud Check Status
Free Application Name
Hardware Family
Hardware Model
Head of Household ID
Host App Name
Operating System
Operating System Version
Page
Page Details
Page ID
Page Type
Page URL
Paid Purchased Price
Payment Method Added
Purchase List
Purchased Price
Recovery Category
Recovery Optimization
Recovery Recommendation
Recovery Sub Category
Reference
Result Error Key
Result type
Store Front
Store Front Header
Topic
User Actions
Visit End Time
Visit ID
Visit Start Time

Redemption Click Activity.csv - туда же. Профайлинг в Apple силен, товарищи!

Идем дальше. Я уже говорил, что Apple хранит информацию о всех устройствах (и их серийных номерах) которые когда-либо использовались вами. Есть даже отдельный файл для старых устройств - Device Registration History Pre iOS8 and Yosemite.csv - там все серийники и аккаунты - все есть.

Выводы

Apple кичится своей политикой по сбору данных, что она уважает приватность и конфиденциальность и собирает лишь необходимо минимальное количество данных - а на деле, используя свою монополию и контроль над "экосистемой" собирает огромное количество информации, хранит ее сколь угодно, использует ее для аналитики и профайлинга своих клиентов.

Сбор клиентских данных вырос до таких масштабов, что туда попали данные об использовании систем и приложений сторонних компаний, на сбор которых Apple точно не получала никаких разрешений. Это нарушает кофиденциальность никак не связанных с Apple людей и компаний.

Благодаря европейским законодателям я лично узнал, и каждый может узнать, как на самом деле обстоят дела с вашими данными у Apple.

Совет злоумышленникам - если вы незаконно получили доступ к Apple ID - сразу скачайте дамп данных - лучше этой базы данных могут быть только записи в государственных реестрах.

P.S.

Я был зарегистрированным разработчиком у Apple много лет, однако информации из этого сервиса в дампе данных нет, я запросил его у Apple отдельно - пока что ответа нет (прошло две недели).

В этом дампе должна быть информация о профайлинге меня как пользователя и разработчика, ибо я провел очень интересное расследование с использованием джейлбрейкнутого устройства и выяснил, как именно эппл трекает почти каждый тап на ваших устройствах, каждое открытие приложений; со своего барского плеча разрешает или запрещает вам использовать их. Исследовать было достаточно тяжело, ибо закрытость операционной системы и непрозрачность Apple это затрудняют.

Считается, что автором этой программы был американский биолог доктор Джозеф Льюис Эндрю Попп‑младший. Получателями в основном были врачи, исследователи и те, кто интересуется сектором информационных технологий. И никого — из США.

Присылались дискет не только подписчикам журнала, но и участникам конференции Всемирной организации здравоохранения (ВОЗ), посвящённой СПИДу. Выбор темы был неслучайным: в то время страх перед новым биологическим вирусом был крайне высок, а знания о компьютерных вирусах — минимальными. Это сделало атаку особенно эффективной. О ней писали в информационных бюллетенях.

Как это работало

Дискета содержала интерактивный опросник и оценку риска заражения ВИЧ. Программа обещала предоставить новые данные о СПИДе, что привлекло внимание врачей, исследователей и IT‑специалистов. После заполнения анкеты программа показывала на экране интересную статистику о СПИДе, и можно было распечатать её на принтере.

Однако после установки программа блокировала доступ к файлам, шифруя их имена (но не содержимое), и требовала выкуп. На экране появлялось сообщение с просьбой отправить деньги на почтовый ящик в Панаме. Это сообщение также могло быть автоматически распечатано на подключённом к компьютеру принтере. При каждом последующем процессе загрузки одно и то же сообщение появлялось снова и снова. В случае отказа программа угрожала «серьёзными последствиями», включая потерю данных и неработоспособность компьютера.

Сумма выкупа составляла 189 долларов за «годовую лицензию» или 378 за «пожизненное» использование. Несмотря на примитивность программы (шифрование было основано на простой замене символов), её создание потребовало значительных усилий.

Стоимость распространения дискет оценивалась в £10 000 (около $38 600 по сегодняшнему курсу). Попп также зарегистрировал компанию «PC Cyborg» в Панаме и арендовал жильё в Лондоне для координации атаки.

Последствия атаки

Влияние первого публично задокументированного трояна‑шифровальщика было огромным. «Организация по борьбе со СПИДом в Италии потеряла десять лет безвозвратных исследований, потому что запаниковала после установки и запуска программы», — писал Virus Bulletin в 1992 году. «Многие администраторы компьютеров были уволены из европейских компаний, потому что диск со СПИДом выявил их халатность».

Даже спустя год после первого распространения дискеты по‑прежнему сообщалось о зашифрованных корневых каталогах, появившихся после запуска троянца. По некоторым оценкам, около 5% получателей дискет установили программу, что привело к заражению примерно 1000 компьютеров.

Как Джозеф Попп стал главным подозреваемым

Британские следователи в сотрудничестве с ФБР иэкспертом по кибербезопасности Джимом Бейтсом в течение двух лет собрали множество доказательств, связывающих биолога Джозефа Льюиса Эндрю Поппа‑младшего с созданием и распространением троянца «AIDS». Согласно отчёту Virus Bulletin, ключ для шифрования данных содержал имя «Dr. Joseph Lewis Andrew Popp Jr.». Кроме того, в дневнике Поппа были найдены записи от апреля 1988 года, свидетельствующие о том, что план с дискетами разрабатывался в течение 20 месяцев.

Следователи надеялись привлечь Поппа к ответственности. Всё началось с его ареста в аэропорту Схипхол в Амстердаме в канун Рождества 1989 года. Попп возвращался с семинара ВОЗ в Найроби, где узнал о последствиях своей атаки. Его странное поведение привлекло внимание: он написал на багаже другого пассажира «Доктора Поппа отравили». При нём также нашли материалы, связанные с компанией «PC Cyborg». Несмотря на это, его отпустили и разрешили вернуться в Огайо. Однако в январе 1990 года США экстрадировали его в Великобританию по запросу New Scotland Yard.

Суд над Поппом должен был стать важным шагом в борьбе с киберпреступностью, но всё пошло не по плану. В 1992 году судья Джеффри Ривлин отказался рассматривать дело, так как психиатр признал Поппа психически невменяемым после того, как он начал вести себя крайне странно: носил картонную коробку на голове, вставлял бигуди в бороду для «защиты от радиации» и надевал презервативы на нос. В итоге его освободили, и он скончался в 2006 году в результате автомобильной аварии. Это решение стало разочарованием для полиции и прокуратуры, которые обвиняли его в 11 случаях вымогательства.

Возможный мотив учёного, получившего образование в Гарварде, остаётся загадкой. Сообщается, что незадолго до инцидентов ему не удалось подать заявку на должность в ВОЗ, что могло быть поводом для мести. Однако это только лишь догадки.

Наследие первой программы-вымогателя

Хотя атака Поппа была относительно примитивной, она заложила основы для современных киберпреступлений. Сегодня программы‑вымогатели используют сложные методы шифрования, двойное вымогательство (угрожая утечкой данных) и даже предлагают свои услуги как Ransomware‑as‑a‑Service (RaaS). Киберпреступники зарабатывают миллиарды, а их атаки становятся всё более изощрёнными.

Какие проблемы возникают при детектировании и реагировании на угрозы ?

Большое количество различных детектов часто основаны только на правилах из базы известных сетевых угроз IDS, они требуют значительных трудозатрат на расследования и не позволяют увидеть полноценную картину происходящего в сети, из-за чего невозможно контролировать происходящее в сети и обеспечить покрытие всей инфраструктуры.

Часто в сети рассредоточено множество конечных устройств и специфических операционных систем, которые не поддерживают установку агентов, но нуждаются в защите.

При этом у аналитика SOC может не быть инструментов, единого окна, где бы он смог понять, что происходит с этими устройствами, и во время детектировать атаку.

Согласно статистике ЦМУ ССОП, защиты периметра недостаточно, более 90% организаций не защищены от внешних атак. От 1 часа до 5 дней в среднем тратят злоумышленники, чтобы проникнуть во внутреннюю сеть организации.

Согласно исследованию Vectra AI:

• Почти три четверти (71%) специалистов SOC каждую неделю беспокоятся, что пропустят настоящую атаку, погребенную под потоком оповещений.
• 62% специалистов SOC утверждают, что поставщики услуг безопасности заваливают их бессмысленными оповещениями, чтобы избежать ответственности за нарушение.
• 50% специалистов SOC считают, что они не могут успеть за растущим числом угроз безопасности.
• 55% говорят, что более эффективные инструменты безопасности помогут облегчить их рабочую нагрузку в SOC.

Согласно отчету ESG, 45% респондентов неоднократно подвергались атакам посредством зашифрованного трафика. Таким образом злоумышленники чаще всего проводят эксфильтрации данных, коммуникации с C&C, внедрение вредоносного ПО.

У 32% опрошенных представителей ИБ-специалистов возникают проблемы с детектированием и блокированием соединений с C&C.

Причем здесь NDR и что это такое?

Принцип работы NDR согласно KuppingerCole:

Очень кратко NDR (Network Detection and Response) можно описать как развитие концепции NTA (Network Traffic Analysis) - детектирование неизвестных угроз в сетевом трафике через отклонение в поведении. NDR расширяет технологии детектирования, контроля сети, управления инцидентами и активного реагирования на потенциальные угрозы.

NDR позволяет детектировать продвинутые угрозы, автоматизировать реагирование, предоставить инструменты для проактивного поиска угроз и расследований, помогающие службам безопасности сократить время расследовать инциденты и минимизировать угрозы.

На наш взгляд, именно уникальные задачи, решаемые продуктом, определяют NDR как класс решений.

Какие задачи решает NDR

Согласно KuppingerCole:

• Защита от направленных атак, APT, 0-day атак в реальном или близком к реальному времени;
• Снижение времени на детектирование вторжений в сеть и компрометации инфраструктуры;
• Детектирование угроз в зашифрованном трафике;
• Видимость всего, происходящего в сети;
• Обогащение детектов с помощью сопоставления подозрительной сетевой активности с актуальными IoC и техниками TTP, используемыми злоумышленниками;
• Активный поиск угроз, детальный анализ событий и нахождение связей между событиями;
• Детектирование угроз, проникающих в сети организаций через устройства сотрудников (BYOD);
• Защита от уязвимостей EPP - отсутствие настройки или последних обновлений;
• Обеспечение безопасности специфических или устаревших ОС, которые не поддерживают агентов, или агенты слишком сильно нагружают ОС;
• Защита устройств IoT и IIoT, устройств промышленного сегмента, не поддерживающих агентов.

Какие еще задачи может решать NDR:

• Детектирование shadow it - нарушение политик ИБ, туннели, несанкционированный доступ к ресурсам, использование запрещенного ПО и другое;
• Обход периметровых СЗИ - уязвимости в конфигурации/ACL, не обновленные базы угроз;
• Предоставление аналитику возможности проведения расследований по всей сети в едином окне;
• Детектирование неконтролируемых точек доступа в сеть организации.

Детектируемые NDR угрозы

Кратко опишем кейсы детектирования NDR:

• Горизонтальное перемещение;
• Внедрение вредоносного ПО;
• Изучение Active Directory (Active Directory Enumeration);
• Направленные атаки APT-группировок, 0-day атаки;
• Различные аномальные отклонения от прогнозируемого нормального поведения, созданные на базе реального трафика организации;
• DNS-туннелирование (по частоте коммуникаций и объему);
• Command and Control-трафик (C2-трафик) (по частоте и объему коммуникаций);
• Активность ботнетов;
• Эксфильтрация данных;
• Необычные заголовки HTTP и сертификаты SSL/TLS;
• Использование DGA;
• Сканирование портов и другие техники разведки;
• DDoS-атаки;
• Использование паролей в открытом виде
• Использование уязвимых протоколов и понижение версии шифрования ;
• Атаки на учетные записи протоколов - AD, SSH, RDP, HTTP, FTP, SQL и другие;
• Подозрительный RDP-трафик и/или удаленное исполнение файлов;
• Крипто-майнинг;
• Атаки типа Honeypot Buster

Как реализовано активное реагирование в NDR?

Согласно Market Guide for Network Detection and Response 2020 от Gartner, активное реагирование в NDR может быть реализовано различными методами в зависимости от интеграций с другими системами защиты:

• с NGFW - отправка команд для блокирования подозрительного трафика;
• с NAC - отправка команд для отключения доступа к сети NAC;
• с SOAR - отправка событий для инициации плейбуков реагирования;
• с EDR - сдерживание коммуникаций скомпрометированных эндпоинтов.

Ручное активное реагирование может быть реализовано с помощью расширенных функций threat hunting (проактивного поиска угроз) и реагирования на инциденты, например, NDR-системы позволяют приоритизировать события безопасности, на которые нужно отреагировать в первую очередь.

Согласно Market Guide for Network Detection and Response 2024, активное реагирование поддерживает изоляцию хоста или блокирование трафика, напрямую или через интеграции.

Согласно KuppingerCole Report LEADERSHIP COMPASS“ 2024 реагирование может быть реализовано посредством:

• Взаимодействия через API для интеграции с системами SOAR (security orchestration, automation, and response);
• Автоматического реагирования/плейбуков для разрыва сессий, сетевой изоляции хоста/подсети, блокировки IP.

Какие требования предъявляют к NDR?

Согласно Market Guide for Network Detection and Response 2024 и KuppingerCole Report LEADERSHIP COMPASS“ 2024 аналитики мировых агентств предъявляют следующие требования к системам класса NDR:

Network Traffic Analysis (NTA)

Анализ сетевого трафика или телеметрии в реальном или близком к реальному времени позволяет не только проводить расследования инцидентов, но также оперативно детектировать угрозы и использовать реагирование. При анализе происходит ассоциация пользователей и приложений с сетевым трафиком. Системы NTA способны строить модели нормального поведения пользователей и детектировать отклонения от них.

Частота коммуникаций и ассоциация трафика с приложениями позволяют более тонко настраивать профили на уязвимые протоколы приложений. Идентификация пользователей помогает при анализе и реагировании.

Определение направления сетевого потока очень важно как для детектирования угроз, так и для проведения расследований и восстановления картины произошедшего инцидента, например:

• детектирования связи с командными центрами ботнетов (C&C) - отстуки из сети организации в интернет;
• эксфильтрация данных - выкачивание их из сети организации в интернет;
• медленные сканирования - сканирования сетевых ресурсов внутри сети организации.

Поддержка сетевой телеметрии (Netflow) позволяет обеспечить защиту тех сегментов, в которых очень сложно или невозможно подать сетевой трафик для анализа.

Поддержка различных типов инсталляций, таких как облачные среды, физические и виртуальные аплайнсы, удаленные филиалы, ЦОДы

Не менее важна поддержка различных типов инсталляций, таких как различные облачные среды, on-premise, удаленные филиалы, ЦОДы. Здесь все достаточно понятно: необходимо поддерживать анализ трафика со всех типов инфраструктуры, а не только отдельных сегментов. С точки зрения российской реальности, сегмент NDR для облачных сред пока отсутствует ввиду не слишком глубокого проникновения СЗИ в публичные облачные сервисы. Именно поддержка всей инфраструктуры позволяет контролировать всю сеть.

Очень важный аспект, не указанный явно, подразумевает поддержку NDR-системой различной и территориальной распределенной инфраструктуры. Решение должно предоставить возможности для работы с сетевым трафиком такой инфраструктуры, то есть поддерживать централизованное детектирование, реагирование.

Использование единой консоли для управления детектированием, проактивного поиска угроз и расследований позволяет существенно снизить нагрузку на персонал и увеличить скорость обработки инцидентов.

Детектирование угроз в зашифрованном трафике

К задаче детектирования угроз в зашифрованном трафике есть несколько подходов, самый очевидный - его расшифровка (decryption). В случае инсталляции системы NDR “в разрыв” каналов, возникает вопрос отказоустойчивости, производительности и возможности покрытия необходимой инфраструктуры. Раскрытие TLS 1.3 несет определенные работоспособности приложений использующих этот протокол.

Не все решения NDR могут устанавливаться “в разрыв”. В данном случае расшифровка трафика требует достаточно сложной схемы инсталляции, при которой decryptor расположен “сбоку”, и NDR с помощью пакетного брокера (NPB) получает расшифрованный трафик по запросу, а не весь поток по умолчанию. При таком сценарии узким местом становится поддержка передачи трафика по требованию на стороне NPB.

Какие альтернативные подходы к детектированию угроз в зашифрованном трафике предлагают производители:

• Анализ декодированных данных по протоколу ICAP с прокси-сервера. Этот вариант может не обеспечивать покрытие всего зашифрованного трафика, также есть нюансы при обработке ICAP. Однако этот подход не требует существенных изменений в инфраструктуре.
• ETA (Encrypted Traffic Analysis) - поиск вредоносных коммуникаций в зашифрованном трафике без его раскрытия:
• SSLBL (SSL Blacklist) - черные списки SSL, подозрительных сертификатов, JA/JA3 - цифровые отпечатки вредоносного ПО и командных центров ботнетов. CA (Certificate Authorities) - сертификаты, которые чаще всего используют злоумышленники.
• HASHH - цифровые отпечатки SSH-соединений, по которым можно определить приложение, использующее SSH. Применяться они могут как для детектирования IoT-устройств, так и компонентов потенциально опасных фреймворков, например, Metasploit.
• ML (machine learning) - машинное обучение для детектирование признаков вредоносного контента или ПО в зашифрованном трафике.
• Анализ других видов цифровых отпечатков.
• Анализ иных данных при установлении подключения.
• Поведенческие модели, устойчивые к шифрованию. Данный подход часто используется в NDR, он позволяет обеспечить детектирование угроз только на базе сетевой телеметрии, без использования полной копии трафика.

Обогащение метаданными во время сбора или анализа событий

Обогащение метаданными - крайне важный функционал для проактивного поиска угроз (Threat Hunting) и проведения расследований. Например, при анализе инцидента, рассматривая сетевую сессию, вы можете увидеть в одном окне данные по сессии или запросу фильтра:

• используемые протоколы;
• объем и длительность сессий;
• IP/MAC-порты;
• пользователи;
• DNS-имена;
• сетевые флаги, команды прикладных протоколов;
• направление сетевого потока: в интернет/сеть организации либо через внутренние подсети;
• детекты отклонений от профилей, сигнатур, потоков СTI (Cyber ​​Threat Intelligence ), DGA доменов;
• версию TLS;
• алгоритмы шифрования;
• гео-принадлежность;
• URL, почтовые адреса;
• логины и пароли;
• туннели, Vlan и другие данные.

Использование искусственного интеллекта/машинного обучения (AI/ML) для детектирования аномалий в поведении и вредоносной активности

NDR должен уметь детектировать угрозы, которые отсутствуют в базе известных угроз IDS, таких как 0-day, APT, направленные атаки на основе определения аномалий и отклонений от нормального поведения в трафике. Это реализуется с помощью таких инструментов как машинное обучение, поведенческие модели, продвинутая аналитика с поддержкой тонкой фильтрации трафика. Система NDR, анализируя сетевой трафик, получает значительно больше метаданных, чем SIEM, которая получает те же данные в формате логов. Трафик, в отличие от логов, гораздо сложнее заблокировать, и сам факт увеличения “битого” трафика уже будет инцидентом.

Более подробно об использовании машинного обучения и его видах расскажем в одной из следующих статей.

Система управления для агрегации алертов в инциденты,тонкой настройки дашбордов, расследований, проактивного поиска угроз, обеспечения работы SOC и команд реагирования на инциденты

Возможность агрегации алертов в инциденты - это основополагающая функциональность для решений класса NDR. Она необходима для успешной работы SOC и команд реагирования. Агрегация позволяет превратить сто одинаковых типовых событий в пять инцидентов в рамках пары отправитель/получатель/порт/аномалия и т.п., что существенно облегчает работу аналитиков ИБ.

Drill-down-функциональность позволяет пользователям быстро переходить от инцидента к детекту и затем к связанному с ним сырому трафику. Это упрощает процесс анализа и помогает специалистам ИБ идентифицировать источник угроз и оценивать их влияние на сеть. Системы NDR предлагают гибкие настройки исключений, что помогает настраивать как глобальные, так и специфические исключения для определенных аномалий, таких, например, как необычное поведение конкретного IP-адреса. Это позволяет сосредоточиться на действительно критичных угрозах. Маппинг детектируемых атак на MITRE ATT&CK и LM Cyber Kill Chain дает эксплуатирующим командам понимание, на каком этапе атаки находится злоумышленник. Системы NDR должны содержать в себе инструменты временных шкал (timeline), поддерживать регулярные выражения (regexp) и тонкую фильтрацию при формировании поисковых запросов. Они необходимы аналитикам, чтобы глубже исследовать инциденты, выявлять паттерны поведения и аномалии в сетевом трафике. Тонкая настройка дашбордов, виджетов/диаграмм для различных команд (например, для команд реагирования или аналитиков SOC) обеспечивает удобный доступ к необходимой информации и дает возможность адаптировать систему NDR под конкретные задачи. Ролевая модель позволяет разграничивать права доступа для различных инсталляций и данных, минимизирует риски утечки данных и нарушения политик ИБ.

Поддержка Cyber Threat Intelligence или обогащение детектов с помощью Cyber Threat Intelligence из внешних источников

При детектировании аномалии в поведении важно обогащение данными Cyber Threat Intelligence (CTI). Оно может послужить дополнительным подтверждением правильности детекта и ускорить анализ инцидента. Использование нескольких источников CTI увеличивает точность и подтверждение несигнатурных детектов.

Автоматическое активное реагирование через плейбуки или политики безопасности для обогащения (отправки инцидентов)в SOAR-системы или блокирования

Неотъемлемая часть любого решения NDR - автоматическое активное реагирование. Оно осуществляется с помощью плейбуков (playbook) или политик для обогащения SOAR или блокирования через NGFW, NAC, EDR или другие СЗИ. Реагирование позволяет не только узнать об инциденте, но и своевременно блокировать самые критичные атаки, пока они не нанесли серьезного ущерба.

В случае работы в inline-режиме, NDR может разорвать сессию и заблокировать запросы атакующего.

В случае работы на копии трафика или сетевой телеметрии, на мой взгляд, оптимальный способ - использование NDR в тандеме с решениями NAC и EDR. NAC позволяет наиболее безопасно для инфраструктуры провести блокирование доступа к сети или изоляцию конкретного хоста, без потенциально негативного влияния на всю сеть. EDR поможет заблокировать прием сетевых запросов от инфицированных хостов.

Автоматическое блокирование атак через NGFW - достаточно рискованный сценарий, более того, в крупных организациях абсолютно невозможный, так как каждое изменение правил NGFW требует тщательной проверки и согласования. Однако этот сценарий можно автоматизировать, если настроить в NDR генерацию ACL-правил (Access Control Lists) для NGFW и направлять их вместе с метаданными инцидента эксплуатирующему персоналу.

Также возможно автоматическое реагирование посредством перехвата файлов внутри сети и передачи их в Sandbox (песочницу) для анализа, в случае попадания во внутреннюю сеть в обход Sandbox.

Низкое количество ложных срабатываний после первоначальной настройки необходимо для использования автоматического активного реагирования

Отдельно хочется обратить внимание на условия для блокирования. Для обеспечения достаточного качества требуется тонкая настройка ML-моделей и понимание работы инфраструктуры. Кроме того, для внедрения автоматического реагирования необходимо понимание модели угроз информационной безопасности организации и оценки рисков. Gartner уделил внимание точности детекта только в Market Guide for Network Detection and Response 2024, хотя сама функция блокирования была заявлена в 2020 году. Необходимость тонкой настройки и адаптации к конкретной инфраструктуре это ключевой момент для успешного внедрения автоматических блокировок, и очень странно, что главный популяризатор аббревиатуры NDR уделил этому внимание только спустя 4 года после заявления им этого класса продуктов.

В этой статье кратко рассказали о том, что такое NDR. В следующих статья более детально расскажем о применении машинного обучения, использовании активного реагирования и использовании NDR в связке с XDR.

Всем привет! На связи Сергей Соболев, специалист по безопасности распределенных систем в Positive Technologies, наша команда занимается аудитом смарт-контрактов. Сегодня я расскажу вам о результатах исследований и выводах нашей команды насчет аудита безопасности смарт-контрактов на языках FunC и Tact платформы TON.

С чего начать

Ни для кого не секрет, что блокчейн TON имеет большие отличия от привычных платформ индустрии. Первое, о чем хочется упомянуть, — способ обработки транзакций в TON. Все действия в блокчейне сопровождаются сообщениями, то есть по факту получается так, что каждая функция вашего смарт-контракта при выполнении будет обрабатывать какое-то сообщение и отправлять ответ или продолжать цепочку сообщений.

При этом сообщения выполняются асинхронно и независимо друг от друга, из-за чего транзакции, состоящие из сообщений между контрактами, могут обрабатывать несколько блоков, что приводит к задержкам. А самое неприятное — частичное исполнение транзакции, когда ваши токены списались, но до получателя не дошли, потому что что-то случилось, пока они шли, а во всем виноват программист, не уcледивший за всеми возможными вариантами и не добавивший обработчиков ошибок в контракт.

Так вот, первое, что нужно сделать, когда вы задумываетесь о безопасности смарт-контракта в TON, — отрисовать все цепочки сообщений и предположить, что каждое сообщение может завершиться неудачей. Тогда какими будут последствия? И из-за чего вообще они могут завершиться неудачей? Что будет, если не хватит газа на обработку всей цепочки? На все эти вопросы необходимо ответить.

К примеру, можно взять схему цепочки сообщений для перевода Jetton, стандартного контракта токена (TEP 74, контракт FunC). На схеме синие кружки — контракты, белые прямоугольники — сообщения. Красным прямоугольником выделено отскочившее сообщение, зеленым — необязательное сообщение, возможное, только если forward_ton_amount не равен нулю, желтым — тело сообщения с избытком, которое отправляется только в том случае, если после оплаты остались монеты TON.

Если что-то произойдет при выполнении сообщения internal_transfer, из баланса отправителя будет вычтена сумма перевода, но не будет зачислена получателю, это можно назвать частичным исполнением транзакции. С помощью обработчика отскочивших сообщений on_bounce в контракте кошелька Jetton B можно вернуть списанные средства обратно.

Теперь, когда у нас есть общая картина того, как контракты обрабатывают сообщения, куда именно сообщения направляются и какие точки входа для хакера есть в контракте, можно углубляться в код.

Внимательно и пристально нужно проверять все входные параметры, все данные невозможно проверить, но можно отловить ошибки на стадии исследования входящего сообщения и данных. Правильно ли настроена авторизация входящих сообщений в контракте? Иногда программисты просто забывают ее добавить. Чаще всего используют обычный require, где в условии проверяется адрес, он, в свою очередь, может быть вычислен из кода и данных, которые используются при развертывании контракта.

Например, в Jetton:

cell calculate_jetton_wallet_state_init(
    slice owner_address, 
    slice jetton_master_address, 
    cell jetton_wallet_code) inline {
  return begin_cell()
          .store_uint(0, 2)
          .store_dict(jetton_wallet_code)
          .store_dict(pack_jetton_wallet_data(0, owner_address, jetton_master_address, jetton_wallet_code))
          .store_uint(0, 1)
         .end_cell();
}

slice calculate_jetton_wallet_address(cell state_init) inline {
  return begin_cell().store_uint(4, 3)
                     .store_int(workchain(), 8)
                     .store_uint(cell_hash(state_init), 256)
                     .end_cell()
                     .begin_parse();
}

Функция calculate_jetton_wallet_state_initформирует начальное состояние контракта, а функция calculate_jetton_wallet_addressвычисляет адрес контракта через хеширование начального состояния, которое получается из кода в jetton_wallet_code и переменных, упакованных в ячейку через pack_jetton_wallet_data.

В Tact все намного проще. На примере, который я взял отсюда, видно, что вычисление адреса происходит в одну строчку:

receive(msg: HiFromChild) {
	let expectedAddress: Address = 
		contractAddress(initOf TodoChild(myAddress(), msg.fromSeqno));
	require(sender() == expectedAddress, "Access denied");
	// only the real children can get here
}

Кроме этого, нельзя допустить случая, когда требования авторизации могут негативно сказаться на исполнении смарт-контрактов из-за излишней централизации, все это должно быть изначально заложено в дизайн бизнес-модели. Какие меры эта модель использует, чтобы предотвратить замораживание или удаление контрактов?

Нужно обращать внимание на обработку внешних сообщений (пришедших из интернета) функцией recv_external(в смарт-контрактах на языке FunC): применяется ли функция accept_message() только после всех надлежащих проверок. Это нужно, чтобы предотвратить атаки с высасыванием газа, так как после вызова accept_message() за все дальнейшие операции платит контракт. Внешние сообщения не имеют контекста (например, sender, value), на обработку дается 10 000 единиц газа в кредит, что достаточно, чтобы проверить подпись и принять сообщение. Конечно, все зависит от дизайна контракта, но, если это возможно, имеет смысл писать контракт без возможности принимать внешние сообщения. Функция recv_external является одной из входных точек, которую нужно проверить несколько раз.

Асинхронная природа блокчейна TON

После исследования всего кода можно вернуться к диаграммам и пройтись по ним еще раз, вспомнив несколько постулатов TON:

1. Сообщения гарантированно доставляются, но не в предсказуемые сроки.
2. Предсказать порядок сообщений можно только в том случае, если сообщения отправляются от одного контракта к другому контракту, в этом случае используется логическое время.
3. Если несколько сообщений отправляются разным контрактам, порядок их получения не гарантируется.

На рисунках ниже очень ясно поясняется работа с сообщениями.

Каждому сообщению присваивается свое логическое время, сообщение с меньшим логическим временем будет обработано раньше, поэтому можно опираться на последовательность обработки, однако если контрактов несколько, то неизвестно, какое сообщение будет получено раньше.

Предположим, у нас есть три контракта — A, B и C. В транзакции контракт A отправляет два внутренних сообщения — msg1 и msg2, одно — контракту B, другое — C. Даже если они были созданы в точном порядке (msg1, затем msg2), мы не можем быть уверены, что msg1 будет обработано раньше msg2. Для наглядности в документации сделали предположение, что контракты отправляют обратно сообщения msg1' и msg2', после того как msg1 и msg2 были выполнены контрактами B и C. В результате к контракту A будут идти две транзакции — tx2' и tx1', поэтому получится два возможных варианта:

1. tx1'_lt < tx2'_lt
2. tx2'_lt < tx1'_lt

В обратную сторону работает точно так же, когда два контракта B и C отправляют сообщения контракту A. Даже если сообщение от B было отправлено раньше, чем от С, нельзя знать, какое из них будет доставлено первым. В любом сценарии с более чем двумя контрактами порядок доставки сообщений может быть произвольным.

Так вот, исследуя диаграммы потоков сообщений, нужно ответить на следующие вопросы:

1. Что произойдет, если параллельно будет выполняться другой процесс?
2. Как это может повлиять на контракт и как это можно смягчить?
3. Могут ли какие-либо требуемые значения изменяться, пока исполняется цепочка сообщений?
4. От каких параметров или состояний других контрактов зависит этот контракт?
5. Насколько операции зависят от последовательности поступления сообщений?

Всегда нужно ожидать появления посредников во время обработки сообщений. То есть, если в начале проверялось какое-то свойство контракта, не стоит полагать, что на третьем этапе он будет по-прежнему проходить проверку по этому свойству. По большей части от всего этого защищает паттерн carry-value. Надлежащим ли образом он используется для управления состоянием между сообщениями?

Общие ошибки в TON

Пожалуй, можно начать с самого очевидного: не отправляйте приватные данные в блокчейн (пароли, ключи и так далее). Блокчейн публичный, и все данные можно будет получить.

Нельзя забывать про обработку отскочивших сообщений, если такой обработки не было бы в Jetton, то можно было бы отправлять токены в пустоту. Так, в проекте TON Stablecoin есть обработка отскочившего сообщения op::internal_transfer, которое отправляется на Jetton-кошелек при чеканке токенов. Если обработки не будет, то при чеканке total_supply увеличится и будет неактуален, так как токены на кошелек не поступили и они не могут быть в обращении.

Часто встречаются ошибки в формулах, алгоритмах и структурах данных. Например, если выполнить сначала деление, а потом умножение, можно потерять точность вычислений и получить ошибку округления:

let x: Int = 40;
let y: Int = 20;
let z: Int = 100; 

// 40 / 100 * 20 = 0
let result: Int = x / z * y;

// 40 * 20 / 100 = 8
let result: Int = a * c / b;

Кроме того, в коде могут быть самые стандартные ошибки, среди которых:

1. Дублирование кода.
2. Недостижимый код.
3. Неэффективные алгоритмы.
4. Неудачный порядок выражений в условных операторах.
5. Логические ошибки.
6. Ошибки в парсинге данных.

В TON возможна атака повторного воспроизведения. Она возникает из-за того, что в TON отсутствует понятие одноразовых номеров у адреса (как nonce в Ethereum), которые позволяют делать уникальные подписи. Эта концепция добавлена в стандартные кошельки, которыми мы пользуемся для хранения и перевода TON. То есть в контракт кошелька приходит внешнее сообщение с подписью, которая проверяется, также проверяется присланный seqno (аналог nonce в Ethereum), сохраненный в хранилище контракта. Ниже представлен листинг проверок, после которых стандартный кошелек принимает сообщение:

  throw_unless(33, msg_seqno == stored_seqno);
  throw_unless(34, subwallet_id == stored_subwallet);
  throw_unless(35, check_signature(slice_hash(in_msg), signature, public_key));
  accept_message();

Хорошей практикой является следование паттерну carry-value, который подразумевает, что передается значение, а не сообщение.
Например, в Jetton:

1. Отправитель вычитает amount из своего баланса и отправляет его с op::internal_transfer.
2. Получатель принимает amount через сообщение и добавляет его к собственному балансу (или отклоняет).

То есть в TON невозможно получить актуальные данные через запрос, так как к тому моменту, когда ответ дойдет до запрашивающего, данные могут быть уже неактуальными. Поэтому в Jetton нельзя получить баланс ончейн, так как, пока идет ответ, остаток баланса уже может быть кем-то потрачен.

Альтернативный вариант:

1. Отправитель запросит через мастер-контракт баланс Jetton-кошелька.
2. Кошелек обнулит баланс и отправит его в мастер-контракт.
3. Мастер-контракт, получив средства, решает, достаточно ли их, и либо использует их (отправляет куда-нибудь), либо возвращает кошельку отправителя.

Примерно так можно получить баланс. Похожую схему можно применить и для всех остальных данных.

Следите за тем, как происходит чтение и запись в ячейках, потому что из-за невнимательности можно получить ошибку. Проблема переполнения возникает, когда пользователь пытается сохранить в ячейке больше данных, чем она поддерживает. Текущее ограничение составляет 1023 бита и 4 ссылки на другие ячейки. При превышении этих ограничений контракт возвращает ошибку с кодом выхода 8 во время фазы вычисления.

Проблема недополнения возникает, когда пользователь пытается получить из структуры больше данных, чем она поддерживает. Когда это происходит, контракт возвращает ошибку с кодом выхода 9 во время фазы вычисления.

Прочитать про коды выхода можно тут.

// storeRef используется больше, чем 4 раза
beginCell()
	.storeRef(...)  
	.storeAddress(myAddress())  
	.storeRef(...)  
	.storeRef(...)  
	.storeRef(...)  
	.storeRef(...)  
	.endCell()

Генерация случайных чисел в TON

Как и в EVM-подобных блокчейнах, валидаторы могут влиять на случайность, а хакеры могут вычислить формулу формирования случайности. Поэтому нужно подходить с умом к коду, которому она требуется.

В FunC есть функция random(), которую без дополнительных функций использовать нельзя. Чтобы добавить непредсказуемости при генерации числа, можно использовать функцию randomize_lt(), которая добавит к начальному значению текущее логическое время, что приведет к тому, что разные транзакции будут иметь разные результаты. Кроме того, можно использовать randomize(x), где x — 256-битное целое число, проще говоря, хеш каких-либо данных.

Использование в Tact nativeRandom и nativeRandomInterval не самая лучшая идея, так как они не инициализируют генератор случайных чисел с помощью nativePrepareRandom заранее. В Tact используется randomInt или random соответственно.

Проблемы с отправкой сообщений

Каждый контракт принимает сообщения и либо продолжает цепочку отправки, либо отвечает на них. Нужно быть уверенным, что сообщение сформировано правильно, то есть все ключи и магические числа (флаги, режимы работы и остальные параметры) при формировании сообщения соответствуют логике контракта и не приводят к чрезмерному истощению его баланса. Особенно это важно в отношении платежей за хранение: в TON нужно платить газ за каждую секунду, пока смарт-контракт хранится в блокчейне. Однако не нужно копить на адресе контракта весь непотраченный газ, лучше правильно продумать логику возврата излишков отправителю, когда это необходимо. Важно помнить, что исчерпание газа приводит к частичному выполнению транзакций, из-за чего могут возникнуть критически опасные проблемы.

Например, если убрать обработчик отскочивших сообщений в контракте Jetton-кошелька, то при ошибке во время перевода токенов (произошло исключение) этот и последующие шаги не будут выполнены и списанные токены не получится восстановить, они просто сгорят. Транзакция выполнится частично. Так можно сказать и про мастер-контракт в TON Stablecoin. Во время чеканки токенов total_supply увеличивается, однако если сообщение отскочет, а обработчика не будет, то total_supply будет неправильным, так как будут учтены лишние токены, которых нет в обращении:

 if (msg_flags & 1) { 
        in_msg_body~skip_bounced_prefix();
        ;; обрабатывается только отскоки сообщения mint 
        ifnot (in_msg_body~load_op() == op::internal_transfer) {
            return ();
        }
        in_msg_body~skip_query_id();
        int jetton_amount = in_msg_body~load_coins();
        (int total_supply, slice admin_address, slice next_admin_address, cell jetton_wallet_code, cell metadata_uri) = load_data();
         ;; тут вычитается сумма перевода из общего предложения 
        save_data(total_supply - jetton_amount, admin_address, next_admin_address, jetton_wallet_code, metadata_uri);
        return ();
    }

Лучше всего понять способы формирования сообщений вам поможет документация. Возможны случаи неправильного формирования режимов сообщений. Ну и на всякий случай нужно проверить, точно ли программист указал побитовый оператор ИЛИ.

Например, в Tact:

// Флаг дублируется
send(SendParameters{
    to: recipient,
    value: amount,
    mode: SendRemainingBalance | SendRemainingBalance 
});

Опасной практикой может быть отправка сообщений из цикла:

1. Цикл может оказаться бесконечным или иметь слишком много итераций, что может привести к непредсказуемому поведению контракта.
2. Непрерывное зацикливание без завершения может привести к атаке типа out-of-gas.
3. Злоумышленники могут использовать неограниченные циклы для создания атак типа «отказ в обслуживании».

Особое внимание следует уделить функции отправки сообщений. В стандартной библиотеке Tact есть функция nativeSendMessage, которая является низкоуровневым аналогом функции send. Используя nativeSendMessage при формировании сообщения можно будет ошибиться, поэтому лучше ее применять только в том случае, если в контракте есть сложная логика, которую нельзя выразить иным способом.

Управление хранилищем данных

Блокчейн TON не приветствует бесконечные структуры данных. В Solidity есть стандарт ERC-20, это один контракт с отображением адрес → баланс. В TON аналогом ERC-20 является Jetton, и по итогу это целая система контрактов. Стандарт Jetton состоит из двух контрактов — jetton-minter.fc и jetton-wallet.fc. Для каждого адреса создается свой контракт wallet с возможностью отправлять и принимать токены, а контракт minter представляет собой главный контракт с метаданными и дает возможность чеканить токены или сжигать их.

Такая схема обусловлена устройством хранилища в блокчейне TON, которое представляет собой деревья ячеек. Дерево ячеек не позволяет создавать отображения со сложностью O(1), и получается, что размер отображения влияет на количество потраченного газа: чем оно больше, тем больше газа нужно на поиск. Поэтому следует оценивать все отображения и проверять, есть ли возможность удаления данных из него (например, через .del). Отсутствие способа очистки или удаления записей может привести к неконтролируемому росту хранилища.

Итак, не раздуваем хранилище контракта и все? Нет, сейчас информация больше для FunC, чем Tact, так как в FunC разработчик вручную управляет хранилищем. Обязательно нужно проверять правильность порядка расположения переменных при упаковке в хранилище. Может случиться так, что какая-то переменная окажется на месте другой, тогда нарушится логика контракта. Возможен и другой сценарий: переменные состояния могут быть перезаписаны из-за коллизий имен переменных или загрязнения пространства имен.

Почти все сообщения обрабатываются по такому шаблону:

() function(...) impure {
  (int var1, var2, <a lot of vars>) = load_data(); 
  ...  ;; логика обработчика
  save_data(var1, var2, <a lot of vars>);
 }

К сожалению, существует тенденция, когда <a lot of vars> является простым перебором всех полей данных контракта, а их может быть очень много. Поэтому при добавлении нового поля в хранилище потребуется обновить все вызовы load_data() и save_data(), что может оказаться трудоемкой задачей. И по итогу может получиться так:

save_data(var2, var1, <a lot of vars>);

Кроме того, не стоит пренебрегать таким свойством FunC, как затенение переменных. В общем смысле это возможно, когда переменная во внутренней области видимости объявляется с таким же именем, с каким уже существует переменная во внешней области видимости. Соответственно, существует вероятность того, что локальная переменная попадет в хранилище, это возможно из-за повторного объявления переменных в FunC:

int x = 2; 
int y = x + 1; 
int x = 3; ;; эквивалентно присваиванию x = 3

Если задуматься об эффективности, то хорошей практикой будет вложенное хранилище, но в работе с ним тоже есть высокая вероятность ошибки. Вложенное хранилище представляет собой переменные внутри переменных, которые распаковываются только в нужный момент, а не каждый раз при обработке сообщений:

()function(...) impure { 
  (slice mint, cell burn, cell swap) = load_data(); 
  (int total_supply, int amount) = mint.parse_mint_data(); 
  … 
  mint = pack_mint_data(total_supply + value, amount); 
  save_data(mint, burn, swap); 
}

Используйте end_parse()при парсинге хранилища или полезной нагрузки сообщения везде, где это возможно, чтобы обеспечить правильность обработки данных, таким образом можно убедиться, что не осталось непрочитанных данных. В Tact функция endParse возвращает исключение с кодом 9 (cell underflow), в отличие от empty, которая возвращает true или false.

В Tact есть возможность добавления в хранилище контракта опционального значения переменной, то есть используется специальное значение null. Если разработчик создает опциональную переменную или поле, он должен использовать ее функциональность, обращаясь к значению null где-то в коде. В противном случае опциональный тип следует удалить, чтобы упростить и оптимизировать код:

contract Simple {
  a: Int?;
  get fun getA(): Int { 
    return self.a!!; 
  }
}

Проблемы с обновлением кода

Это одна из самых удобных фишек платформы, однако в исходном коде должна быть добавлена возможность обновления, но она может негативно сказаться на децентрализации протокола. Представьте, что создатели протокола однажды подменят код-контракт или кто-то взломает их мультиподпись и изменит протокол. Важно, что обновление кода не влияет на текущую транзакцию, изменения вступают в силу только после успешного завершения выполнения.

Функции set_code и set_data используются для обновления регистров с3 и с4 соответственно, set_data полностью перезаписывает регистр. Перед обновлением в FunC нужно проверить, не нарушает ли код существующую логику хранения данных — следите за коллизиями хранилища и упаковкой переменных.

В Tact на момент написания статьи нет возможности обновлять контракты, однако для этого можно использовать trait Upgradableиз форка библиотеки Ton-Dynasty (аналог библиотеки OpenZeppelin для Solidity). Там используются функции из FunC, однако обязательно нужно позаботиться о миграции хранилища, если добавляется новая переменная.

Общие тезисы по безопасной разработке и аудиту

1. Для того чтобы не путаться с флагами и режимами сообщений, добавляйте константы — обертки для численных литералов. Так код станет яснее и читабельнее.
2. Проверьте, что все отскочившие сообщения обрабатываются.
3. Тщательно рассчитывайте расходы на газ и проверяйте, достаточно ли газа для работы и хранения контракта в блокчейне.
4. Будьте осторожны со структурами данных, которые могут расти бесконечно, так как со временем они увеличивают расходы на газ.
5. Проверьте, не объявляются или не инициализируются ли переменные дважды.
6. Сохраняйте логику контракта автономной и избегайте включения недоверенного внешнего кода (Пример из документации):а) Выполнение стороннего кода небезопасно, так как исключения out of gas не могут быть пойманы с помощью CATCH.б) Злоумышленник может использовать COMMIT для изменения состояния контракта перед тем, как поднять исключение out of gas.
7. Для экономии газа обращайте внимание на порядок логических выражений в if или require, размещение константных или более дешевых условий первыми может предотвратить ненужное выполнение дорогостоящих операций.
8. Очень много ошибок допускается при обработке данных, то есть в формулах и алгоритмах, поэтому нужно проверять все.
9. Ищите логические лазейки, которые могут быть использованы.
10. Оцените возможность атак повторного воспроизведения.
11. Используйте уникальные префиксы или модули для предотвращения коллизий имен переменных.
12. Оформляйте четкую и подробную документацию по функциональности и проектным решениям контракта.
13. Поручите проверку кода контракта независимым аудиторам, чтобы выявить потенциальные проблемы.
14. Убедитесь, что контракт соответствует стандартам и лучшим практикам TON.

Следуя этому контрольному списку, вы сможете систематически оценивать безопасность и надежность смарт-контрактов TON, выявляя потенциальные уязвимости и обеспечивая надежную работу в экосистеме TON.

Выставка Consumer Electronics Show (CES), ежегодно проходящая в Лас-Вегасе, вновь открыла двери для тысяч профессионалов и энтузиастов в сфере технологий с 7 по 11 января. Но самое интересное началось еще до официального старта. На закрытом мероприятии CES Unveiled организаторы представили журналистам уникальные разработки, которые уже привлекли внимание своим инновационным подходом.

Давайте подробно разберем устройства, от удивительных до слегка причудливых.

Устройство, которое приближает природу

На первый взгляд, это похоже на декоративный цветок, но стоит присмотреться – и вы заметите скрытую технологию. Birdbuddy, известная своими умными кормушками для птиц, продемонстрировала новое устройство с камерой.

Что умеет Birdbuddy:

• камера фиксирует птиц, насекомых или других животных, которые оказались поблизости;
• устройство идентифицирует вид птицы или насекомого;
• пользователю предоставляется информация о том, как ухаживать за птицей, чем ее кормить, а также выявляются признаки стресса или травм.

Birdbuddy становится не только удобным способом наблюдения за природой, но и образовательным инструментом, помогая узнать больше о местной экосистеме, не выходя из дома.

Ложка, которая делает еду соленой без соли

Японский холдинг Kirin, специализирующийся на производстве напитков, представил ложку, предназначенную для снижения потребления соли.

Когда человек ест, часть натрия распределяется по полости рта и может не восприниматься рецепторами. Электрическая ложка Salt Spoon передает слабый электрический ток через пищу вокруг языка, притягивая натрий и усиливая соленый вкус.

Ложка была выпущена в Японии в прошлом году по цене около $130. Сейчас компания планирует выход на новые рынки, что делает разработку актуальной для людей с гипертонией или просто тех, кто заботится о своем здоровье.

Робот-друг Ropet

Компания, специализирующаяся на робототехнике, представила Ropet — робота-питомца с интеграцией ChatGPT за $300.

На первый взгляд устройство выглядело подходящим для детей, но позже стало ясно, что оно предназначено для взрослых, которые хотят иметь собеседника дома или на работе.

Благодаря многосенсорной системе устройство может видеть и слышать всё вокруг, а также реагировать на прикосновения, выражая различные эмоции. Поскольку Ropet оснащен ИИ, он может отвечать на вопросы и поддерживать беседу, чего не может сделать реальный питомец.

Игрушка запоминает лица и понимает жесты. Например, если её попросить быть потише, она перестанет издавать звуки.

Владельцы могут настроить устройство, выбрав цвет глаз, голос или добавив аксессуары.

Первая в мире гитара без струн

Для тех, кто мечтал играть на гитаре, но не хотел учиться, компания LiberLive представила решение, которое она называет первой портативной безструнной гитарой. Вместо струн левая рука нажимает кнопки, обозначающие аккорды, как на детской гитаре.

Однако, как отмечает LiberLive, устройство подходит не только детям. Гитара весом 1,9 кг оснащена встроенным драм-машиной, складывается и работает в паре с приложением. LiberLive C1, способная играть до шести часов без подзарядки, продаётся за $500.

Mi-Mo: ИИ-робот, который выглядит как мебель

На CES появился робот, напоминающий что-то среднее между табуретом и лампой. Это Mi-Mo, первый прототип робота с искусственным интеллектом.

Робот имеет 6 ножек для передвижения, деревянный корпус и «голову» в виде лампы. Представитель компании сообщил, что это лишь первый прототип, а в будущем робот станет персонализируемым собеседником, способным говорить на любых языках, и будет оснащён «руками». Mi-Mo — это пример того, как можно интегрировать технологии в привычные предметы интерьера.

Портативные мониторы для цифровых кочевников

Китайская компания JSAUX представила FlipGo Horizon, портативные мониторы для мобильных сотрудников.

Два портативных экрана размером 15,6 дюйма поддерживают разрешение 2.5K и частоту обновления 60 Гц. Они подключаются к стандартным или премиальным подставкам, а также к ноутбукам размером от 13 до 16 дюймов.

Мониторы подходят для тех, кто работает в дороге, например, для цифровых кочевников, которые часто путешествуют. Устройство позволяет работать сразу с тремя экранами, при этом легко помещается в сумку. Компания пока не определилась с ценой и планирует запуск на Kickstarter.

Электроролики: новая эра мобильности

Французская компания AtmosGear представила первые в мире электрические ролики за 650€, которые позволяют передвигаться на скорости до 29 км/ч.

Основные характеристики:

• управление с помощью ручного сенсора;
• батарея крепится на поясе и обеспечивает пробег до 25 км на одном заряде;
• доступны модели для детей.

CES 2025 вновь показала, что инновации могут быть не только функциональными, но и удивительными. От роботов, которые выглядят как мебель, до гитар без струн — всё это заставляет задуматься о том, насколько быстро меняется наш мир. Следите за развитием событий — будущее уже здесь!

За последние десять лет многофакторная аутентификация (MFA) стала краеугольным камнем современной кибербезопасности. Однако за это время, наряду с совершенствованием механизмов аутентификации пользователей, развивались и тактики киберпреступников. Достаточно взглянуть на рост числа методов обхода MFA.

Несмотря на то, что злоумышленники способны обходить MFA, в обществе сохраняется вера в её практически абсолютную эффективность. Согласно недавним исследованиям, почти половина всех учётных записей, захваченных злоумышленниками, имели включённую MFA. Тем не менее 89% специалистов по безопасности считают MFA полноценной защитой от захвата учётной записи. Очевидно, существует серьёзный разрыв между восприятием и реальностью.

Именно поэтому сейчас как никогда необходим комплексный подход с использованием глубокой защиты. Многоуровневая безопасность помогает минимизировать риски обхода MFA и снизить вероятность серьёзного инцидента, связанного с захватом учётной записи. Эта статья объясняет, почему одной MFA недостаточно, и предлагает советы по улучшению защиты вашей организации.

Методы обхода MFA

MFA эффективна, потому что требует от пользователей аутентифицироваться с использованием нескольких факторов. Это может быть то, что они знают (например, пароль), то, что они имеют (приложение-аутентификатор или токен), или то, чем они являются (например, скан лица или отпечаток пальца). Хотя этот подход выглядит надёжным, злоумышленники нашли множество способов обхода MFA.

1. Фишинговые атаки. Пользователи вводят коды MFA или учётные данные на сайтах, управляемых злоумышленниками, поддавшись на цифровые уловки.
2. Push-бомбардировка. После того как злоумышленники похищают пароль пользователя, они инициируют поток уведомлений MFA. Это может запутать пользователя, заставляя его одобрить запрос, просто чтобы прекратить получение уведомлений.
3. Похищение сессий. Злоумышленники похищают cookie сессии после аутентификации, делая MFA бесполезной.
4. SIM Swapping. Этот метод компрометирует MFA, основанную на SMS, перенося номер телефона жертвы на злоумышленника. Для этого требуется социальная инженерия или наличие сообщника в организации в организации мобильного оператора.
5. Чистая социальная инженерия. Большинство организаций позволяют удалённым сотрудникам сбрасывать пароли и MFA без физического присутствия. Однако без надлежащей проверки личности сотрудники IT-поддержки могут быть обмануты и передать учётные данные ложного сотрудника злоумышленникам.
6. Атаки посредника. Инструменты злоумышленников, такие как фишинговый набор Evilginx, перехватывают токены сессии. Затем эти токены передаются легитимным сервисам, предоставляя доступ злоумышленникам.

Почему одной только MFA недостаточно

Безусловно, MFA добавляет ценную степень безопасности при аутентификации пользователей, усложняя доступ для злоумышленников. Однако описанные выше методы обхода демонстрируют риски, связанные с полаганием только на одну защитную меру. Успешные атаки на MFA становятся всё более распространёнными, что показывает: мотивированные злоумышленники адаптируются, чтобы преодолевать широко применяемые защиты.

Хотя это может казаться очевидным, важно помнить, что MFA должна быть лишь частью более крупной программы безопасности. Это не абсолютная защита. Основной принцип глубокой защиты заключается в том, что добавление нескольких слоёв безопасности снижает вероятность успешной атаки даже в случае компрометации одного из слоёв.

Реализация стратегии глубокой защиты

Комплексный подход глубокой защиты включает в себя множественные, пересекающиеся меры безопасности. Это создаёт избыточность и снижает возможности злоумышленников использовать уязвимости.

Вот как организации могут усилить защиту от обхода MFA:

—Усиление защиты конечных точек. Развёртывание инструментов обнаружения и реагирования на уровне хоста (EDR) для идентификации и предотвращения несанкционированного доступа.

—Инвестиции в защиту от фишинга. Большинство злоумышленников используют тщательно спланированные атаки, основанные на социальной инженерии, чтобы получить доступ к учётным данным.

—Переход на устойчивую к фишингу MFA. Использование более защищённых методов MFA, таких как аппаратные ключи безопасности (FIDO2) или биометрия, которые менее уязвимы к фишингу.

—Внедрение специализированных систем защиты учётных записей. Использование специальных инструментов для обнаружения, расследования и автоматического реагирования на захваты учётных записей в облаке, предотвращая серьёзные последствия.

—Обучение пользователей. Обучение сотрудников распознавать попытки фишинга и другие методы социальной инженерии, направленные на их учётные данные MFA.

—Подготовка к инцидентам и восстановлению. Наличие чётко определённого плана реагирования на инциденты, включающего возможность быстро отозвать токены доступа и расследовать подозрительные входы.

Прошлое, настоящее и будущее кибербезопасности: проактивная многоуровневая защита

Борьба с обходом MFA — яркий пример динамичной природы современных киберугроз. Применяя стратегию глубокой защиты, можно обеспечить, что даже в случае отказа одного слоя безопасности, другие смогут компенсировать ущерб.

Инвестиции в комплексные проактивные меры безопасности позволяют опережать злоумышленников и защищать самые ценные активы. Кибербезопасность — это не создание одной неприступной стены, а затруднение каждого шага злоумышленника.

Звонки с предупреждениями о подозрительных операциях по счету или последнем дне обслуживания мобильного номера — уже классика фишинга. Но если вы думаете, что фантазия и способности мошенников на этом заканчиваются, то нет. 2024 год «подарил» нам несколько потрясающих случаев, когда жертвами фишинга стали гигантские и, казалось бы, хорошо защищенные компании.

В этой статье я расскажу о самых дерзких и масштабных фишинговых схемах, которые сработали в 2024 году. Подробности под катом!

Олимпийская афера Ticket Heist: как мошенники похитили мечты и миллионы

Источник.

Лето 2024 года. Париж готовится принять Олимпийские игры, а миллионы болельщиков по всему миру мечтают стать частью этого грандиозного праздника спорта. Именно в этот момент группа восточноевропейских киберпреступников запускает одну из самых масштабных и изощренных фишинговых кампаний в истории — операцию Ticket Heist.

За считанные недели мошенники создали впечатляющую инфраструктуру обмана: более 700 поддельных доменов, таких как paris2024-tickets.com и olympic-entry.net, каждый из которых был практически неотличим от официальных сайтов. SSL-сертификаты, идеальное копирование дизайна, многоязычный контент на 12 языках — все это создавало иллюзию подлинности. Преступники даже установили цены чуть ниже официальных, чтобы привлечь больше жертв.

Распространение ссылок на фейковые сайты осуществлялось через таргетированную рекламу в социальных сетях, массовые рассылки (более пяти миллионов электронных писем) и даже SEO-оптимизацию для попадания в топ поисковой выдачи. Технические уловки включали использование динамической системы доменов и ботнетов, что позволяло обходить блокировки и усложняло обнаружение мошенничества.

Результаты аферы оказались ошеломляющими: за два месяца кампании пострадало около 180 000 человек, а общая сумма похищенных средств достигла 15 миллионов евро. Кроме того, были скомпрометированы данные тысяч кредитных карт.

Типичный сценарий обмана выглядел так. Иван, менеджер из Москвы, всегда мечтал попасть на Олимпиаду. Увидел сайт с билетами со скидкой 40%, не раздумывал, заплатил 500 евро. А потом понял, что его обманули.

Международная операция полиции привела к аресту 23 подозреваемых и блокировке более 500 банковских счетов, связанных с мошенниками. Олимпийский комитет был вынужден выпустить специальное предупреждение для болельщиков.

Ticket Heist стала горьким уроком для тысяч болельщиков и напоминанием о том, что даже в погоне за мечтой нельзя терять бдительность. Всегда проверяйте источник информации, особенно когда речь идет о крупных покупках в интернете. Ведь, как показала эта история, цена доверчивости может оказаться слишком высокой.

Как хакеры проникли в сердце Twilio

Источник.

Февраль 2024 года. Сан-Франциско. В офисах Twilio, гиганта облачных коммуникаций, царит обычная рабочая атмосфера. Никто из 500 сотрудников, получивших в этот день SMS-сообщения от якобы корпоративного IT-отдела, не подозревает, что вот-вот станет участником одной из самых изощренных фишинговых атак года.

Злоумышленники тщательно подготовились. Они создали поддельные сайты, до мельчайших деталей имитирующие систему единого входа Twilio. Использовали технику подмены номера отправителя (SMS spoofing), делая SMS неотличимыми от легитимных корпоративных сообщений. Каждое нажатие на ссылку в этих сообщениях открывало дверь в святая святых компании — ее внутренние системы.

В результате 76 сотрудников попались на удочку, а их учетные данные оказались в руках хакеров. Но истинный масштаб бедствия стал ясен позже. Под угрозой оказались данные 163 клиентов Twilio — компаний, доверивших свои коммуникации этому технологическому гиганту.

В ходе расследования выяснилось, что хакеры использовали фишинговые сообщения, информируя сотрудников о «просроченных паролях» и «изменениях в расписании», которые указывали на домены, содержащие слова «Twilio», «Okta» и «SSO».

Атака была частью более масштабной кампании, названной экспертами «0ktapus». Целью злоумышленников было получение идентификационных данных Okta и кодов двухфакторной аутентификации. Эта схема позволила хакерам не только проникнуть в системы Twilio, но и потенциально получить доступ к данным множества других компаний, использующих ее услуги.

Двенадцать часов потребовалось команде безопасности Twilio, чтобы обнаружить вторжение. Начался настоящий кибер-блицкриг: блокировка скомпрометированных аккаунтов, усиление систем аутентификации, масштабный внутренний аудит. Каждая минута была на счету, ведь на кону стояла не только репутация Twilio, но и безопасность данных миллионов пользователей их клиентов.

Этот инцидент стал холодным душем для всей технологической индустрии. Если даже Twilio, компания, специализирующаяся на безопасных коммуникациях, может стать жертвой фишинга, то кто тогда в безопасности?

В июле 2024 года произошло еще одно значительное событие для Twilio, когда хакеры использовали уязвимость в API приложения Authy — популярного инструмента двухфакторной аутентификации. В результате этой атаки было раскрыто 33 миллиона телефонных номеров пользователей Authy. Злоумышленники смогли получить доступ к данным через незащищенный API-эндпоинт, что повысило риск фишинговых атак на пользователей.

Petya вернулся и требует биткоины

Источник.

В марте 2024 года мир кибербезопасности вновь столкнулся с угрозой, напоминающей о печально известном вирусе-вымогателе Petya. Новая версия, получившая название Petya 2.0, начала распространяться с ужасающей скоростью и вскоре привела к серьезным последствиям для многих компаний по всему миру.

Атака началась с фишинговых писем, которые злоумышленники тщательно замаскировали под важные корпоративные уведомления. Эти письма содержали вложения с вредоносным ПО, которое активировалось при открытии. Как только вирус попадал на компьютер, он начинал шифровать файлы и требовать выкуп в биткоинах для восстановления доступа. В отличие от предыдущих версий, Petya 2.0 также использовал уязвимости в протоколе SMB (Server Message Block), что позволяло ему быстро распространяться по корпоративным сетям.

Способы распространения включали фишинговые письма с вложениями — более 500 000 таких писем было отправлено по всему миру. Злоумышленники использовали уязвимости в системах безопасности, такие как EternalBlue, и распространяли вирус по локальным сетям через зараженные компьютеры.

В результате атаки пострадали более 100 крупных организаций в Европе и США, включая финансовые учреждения и компании из сферы здравоохранения. Оценки убытков варьировались от 5 до 50 миллионов долларов для отдельных компаний. Вирус не только шифровал данные, но и мог повредить системы резервного копирования, что усложняло восстановление.

По данным киберэкспертов, за первую неделю атаки было зафиксировано более 1 000 зараженных компьютеров в разных странах. Например, одна из крупных медицинских организаций сообщила о том, что из-за атаки были потеряны критически важные данные пациентов, что поставило под угрозу их здоровье.

После обнаружения вируса многие компании начали немедленно отключать свои системы от сети и проводить аудит безопасности. Были приняты меры по усилению защиты: обновление антивирусного ПО и систем безопасности, а также проведение тренингов для сотрудников по распознаванию фишинговых писем и других угроз. Некоторые компании также обратились за помощью к экспертам по кибербезопасности для анализа инцидента и предотвращения повторных атак.

Эксперты из компании Positive Technologies отметили, что Petya 2.0 использует как хакерские методы, так и стандартные утилиты системного администрирования для обеспечения высокой скорости распространения внутри сети. Специалисты из Group-IB также подчеркивают, что этот вирус был создан с целью максимального ущерба для организаций.

Возрождение Petya в 2024 году стало напоминанием о том, что киберугрозы продолжают эволюционировать. Эта атака подчеркнула важность постоянного обновления систем безопасности и обучения сотрудников для минимизации рисков в условиях постоянно меняющегося киберландшафта.

Атака на Snowflake: масштабная утечка данных

Источник.

В мае 2024 года произошла одна из самых значительных утечек данных, затронувшая облачную платформу Snowflake. Хакерская группа ShinyHunters осуществила атаку на несколько клиентов Snowflake, в результате которой было украдено огромное количество конфиденциальной информации. Атака была организована с использованием украденных учетных данных, которые были получены через инфостилеры — вредоносные программы, предназначенные для кражи логинов и паролей. Злоумышленники использовали учетные данные, которые были ранее скомпрометированы на других системах, и не имели многофакторной аутентификации, что значительно упростило доступ к аккаунтам.

По данным исследования от Mandiant, хакеры получили доступ к аккаунтам Snowflake клиентов, используя украденные учетные данные, которые были проданы на черном рынке. Эти учетные данные были получены из различных источников, включая зараженные компьютеры и системы третьих лиц. Утечка данных затронула более 30 миллионов записей, включая 560 миллионов записей клиентов Ticketmaster, 30 миллионов записей клиентов Santander, 2,3 миллиона записей клиентов Advance Auto Parts и 28 миллионов номеров кредитных карт. Среди украденной информации оказались имена, номера социального страхования, номера водительских удостоверений, данные банковских счетов, а также контактная информация и даты рождения.

Snowflake не раскрыла подробности о том, как хакеры получили доступ к учетным записям клиентов, заявив лишь, что преступники не взламывали сеть компании напрямую. Организация Mandiant, принадлежащая Google и привлеченная Snowflake для расследования инцидентов, сообщила в своем блоге, что в некоторых случаях киберпреступники получали доступ через сторонних подрядчиков, не называя этих подрядчиков и не поясняя, как именно это происходило.

Однако в беседе с изданием Wired один из злоумышленников заявил, что одной из таких компаний-подрядчиков была EPAM Systems — компания по разработке программного обеспечения и оказанию цифровых услуг с годовым доходом около 4,8 миллиардов долларов. Хакер утверждает, что его группе удалось использовать данные, найденные в системе сотрудников EPAM, для получения доступа к некоторым учетным записям в Snowflake.

После обнаружения утечки Snowflake приняла меры для повышения безопасности своих систем. Компания начала требовать от клиентов внедрения многофакторной аутентификации для защиты аккаунтов. В своем официальном заявлении Snowflake подчеркнула важность соблюдения базовых стандартов кибербезопасности и необходимость защиты данных пользователей. В ответ на инцидент Advance Auto Parts сообщила, что начала расследование и приняла меры для предотвращения дальнейших несанкционированных доступов. В результате атаки компания подтвердила компрометацию данных более двух миллионов клиентов, что привело к необходимости уведомления соответствующих органов и пострадавших.

Тенденции и статистика

Согласно отчету Cybersecurity & Infrastructure Security Agency (CISA), количество фишинговых атак увеличилось на 33% в 2024 году по сравнению с предыдущим годом. Более 60% организаций сообщили о том, что они стали жертвами фишинга хотя бы один раз за последний год. Кроме того, исследование от Verizon показало, что 94% всех вредоносных программ приходят через электронную почту.

Использование технологий машинного обучения также становится все более распространенным среди злоумышленников: по данным McAfee Labs, количество атак с использованием ИИ увеличилось на 25% за последний год. Это свидетельствует о том, что киберпреступники активно используют новые технологии для повышения эффективности своих атак.

В 2024 году количество фишинговых атак в России увеличилось почти в четыре раза по сравнению с предыдущим годом. По данным TAdviser, рост числа фишинговых ресурсов составил 425%, а заблокировано было более 22 тысяч таких сайтов. Также отмечается, что около 80% кибератак начались с фишинговых рассылок, а использование мессенджеров для распространения фишинга стало особенно актуальным из-за растущей аудитории этих платформ.

В 2024 году количество преступных схем с использованием дипфейков выросло на 3 000%, что делает эти технологии одним из самых серьезных инструментов для киберпреступников. Дипфейки позволяют злоумышленникам создавать высококачественные подделки видео и аудио, которые могут вводить в заблуждение даже самых внимательных сотрудников.

Источник.

Например, мошенники могут использовать дипфейки для имитации голосов руководителей компаний, чтобы обманом заставить сотрудников передать конфиденциальные данные или перевести средства. По данным Сбербанка, убытки россиян от кибермошенничества в 2024 году могут составить 300 млрд рублей, и значительная часть этих потерь связана с использованием дипфейков в фишинговых атаках.

Интересно, что по прогнозам аналитиков, глобальный рынок дипфейков достигнет 79,1 миллиона долларов к концу 2024 года, что подчеркивает растущую популярность и доступность этой технологии для злоумышленников.

Как защититься от фишинга

Фишинг — одна из самых распространенных и опасных форм киберугроз. Для эффективной защиты от него необходимо применять комплексный подход. Он включает технологии защиты, обучение сотрудников и мониторинг.

SPF, DKIM и DMARC

Эти технологии помогают защитить корпоративную почту от подделки и фишинговых атак. SPF (Sender Policy Framework) позволяет владельцам доменов указывать, какие почтовые серверы имеют право отправлять почту от их имени. Это помогает предотвратить подделку адресов отправителей.

DKIM (DomainKeys Identified Mail) позволяет подписывать электронные письма криптографической подписью, что подтверждает их подлинность и целостность.

DMARC (Domain-based Message Authentication, Reporting & Conformance) строится на базе SPF и DKIM и позволяет владельцам доменов определять, как почтовые серверы должны обрабатывать сообщения, которые не прошли проверку подлинности. DMARC также предоставляет механизмы отчетности, позволяя организациям отслеживать попытки фишинга.

Двухфакторная аутентификация (2FA)

Внедрение 2FA существенно повышает безопасность. Даже если злоумышленник получит логин и пароль через фишинг, ему потребуется дополнительный код из SMS или приложения для доступа.

Для новых пользователей услуг Selectel 2FA включается автоматически. Проверьте, включена ли двухфакторная аутентификация у вас. Если нет, исправить это можно за пару минут, следуя простой инструкции. В компании также предусмотрены различные способы получения кода для аутентификации, что делает систему гибкой и удобной для пользователей.

Антифишинговые фильтры

Использование современных решений для фильтрации электронной почты помогает обнаруживать и блокировать фишинговые письма до того, как они попадут в почтовые ящики сотрудников. Фильтры могут распознавать фишинговые сообщения по URI-кодам и ключевым словам, а также использовать машинное обучение для выявления подозрительных писем.

Мониторинг DNS

Защита на уровне DNS блокирует доступ к опасным сайтам еще до того, как пользователь на них зайдет. Системы, такие как OpenDNS или Cloudflare, могут фильтровать DNS-запросы и автоматически блокировать подозрительные сайты.

Обучение сотрудников

Согласно исследованию, регулярное обучение может снизить вероятность успешного фишинга на 70%. Некоторые компании проводят регулярные тренинги и учения, направленные на повышение осведомленности о киберугрозах. Например, в рамках учений сотрудники получают фальшивые фишинг-сообщения, которые им необходимо распознать. Эти тесты помогают выявить уровень готовности к реальным угрозам и обучить их правильным действиям в случае подозрительных писем.

Антивирус и системы мониторинга

Внедрение систем мониторинга сетевой активности позволяет выявлять аномалии и подозрительную активность в сети, включая попытки перенаправления трафика на фишинговые сайты. Антивирусные программы могут сканировать письма и вложения на наличие вредоносных файлов, блокируя их или предупреждая пользователя при обнаружении угрозы. Системы предотвращения утечек данных (DLP) помогают обнаруживать и блокировать передачу конфиденциальной информации вне организации, что способствует предотвращению фишинговых атак.