Хакеры вынесли из DeFi-сегмента $284 миллиона с 2019 года – Messari

Apple выпустила обновление для операционной системы macOS, чтобы устранить активно используемую уязвимость нулевого дня, которая может обойти все меры безопасности, тем самым позволяя несанкционированному программному обеспечению работать на компьютерах Mac.

Подробный обзор

Apple

  1. Newsroom
  2. Обновление iOS 14.5: возможность разблокировать iPhone при помощи Apple Watch, новые голоса Siri и многое другое

Выбирайте и покупайте Открыть меню Закрыть меню

  • Mac
  • iPad
  • iPhone
  • Watch
  • TV
  • Music
  • AirPods
  • iPod touch
  • Аксессуары

Сервисы Открыть меню Закрыть меню

  • Apple Music
  • Apple TV+
  • Apple Arcade
  • iCloud
  • Apple One
  • Apple Pay
  • Apple Books
  • App Store

Учётная запись Открыть меню Закрыть меню

  • Управление вашим Apple ID
  • Учётная запись Apple Store

Apple Store Открыть меню Закрыть меню

  • Купить онлайн
  • Варианты оплаты
  • Переработка устройств Apple
  • Состояние заказа
  • Помощь при покупке

Для бизнеса Открыть меню Закрыть меню

  • Apple в бизнесе

Для образования Открыть меню Закрыть меню

  • Apple в образовании
  • Покупка и поддержка
  • Купите для учёбы

Ценности Apple Открыть меню Закрыть меню

  • Универсальный доступ
  • Окружающая среда
  • Конфиденциальность

О компании Apple Открыть меню Закрыть меню

  • Newsroom
  • Руководство Apple
  • Вакансии
  • Гарантия
  • Инвесторы
  • Презентации
  • Контактная информация

Найдите магазин официального партнёра или позвоните в службу поддержки по телефону 8‑800‑333‑51‑73. Россия © Apple Inc., 2021 г. Все права защищены. Политика конфиденциальности Использование cookies Условия использования Продажа и возврат Юридическая информация Карта сайта

Хакерские атаки на DeFi

Напомним, что по информации аналитических компаний, в прошлом году интерес злоумышленников к криптовалюте несколько снизился. Общие убытки от краж, взломов и мошенничества в 2019 году составляли около 4,4 миллиарда долларов. В то же время в 2020 году эта сумма была приближена к 2 миллиардам. Однако хакерские инициативы, похоже, стали направляться на DeFi. Около половины всех совершенных атак за прошлый год приходилось именно на децентрализованные финансовые платформы.

В этому году наиболее пострадала от атаки злоумышленников платформа Alpha Homora. Хакер заполучил более 37,5 миллиона долларов, используя платформу межпротокольного кредитования Cream Iron Bank. В результате взлома качество аудита смарт-контрактов попало под сомнения. Взлом считается самым крупным в истории DeFi-проектов.

Хакерские атаки на DeFi становятся все более частым явлением не только в сети Ethereum. Блокчейн-платформа Binance Smart Chain также страдает от действий злоумышленников. Многие из хакеров, атакующих BSC, используют аналогичные способы взломов или мошенничества. Так, например, недавно проект TurtleDex незаконно завладел 9 000 BNB.

Telegram снова разместит облигации

Вредоносные сайты взламывали iPhone более двух лет

Исследователи из группы GoogleProjectZero обнаружили несколько взломанных сайтов, которые не менее двух лет атаковали iPhone. Для этого злоумышленники использовали уязвимости устройств — в общей сложности 14 разных дырок. Семь из них — в Safari, штатном веб-браузере iOS, которым пользуется подавляющее большинство владельцев айфонов.

Еще две уязвимости позволяли зловреду покидать песочницу — изолированную среду, которая не дает одним приложениям что-либо делать с данными других приложений. А последние пять прописались в ядре iOS — центральном элементе операционной системы: его взлом дает неограниченные права, которых нет даже у владельца айфона.

Вредоносные сайты способны атаковать практически все актуальные версии мобильной системы Apple — от iOS 10 до iOS 12. По мере выхода обновлений злоумышленники меняли стратегию: отказывались от старых уязвимостей, иногда даже не дожидаясь появления патчей, и брали на вооружение новые.

Чем сайты заражали iPhone

Зараженные сайты устанавливали на устройства жертв шпионского зловреда. Эта программа получала неограниченные права и работала в фоновом режиме, так что пользователь не мог ее заметить. Зловред копировал и отправлял на командный сервер данные с устройства, причем делал это каждую минуту. Вот что интересовало его в первую очередь:

  • Пароли и токены авторизации, хранящиеся в Связке ключей iCloud. С их помощью злоумышленники могли пользоваться аккаунтами жертвы и воровать данные из них даже после того, как шпиона удаляли с устройства.
  • Переписка в мессенджерах iMessage, Hangouts, Telegram, Skype, Voxer, Viber и WhatsApp. Зловред крал информацию из баз данных приложений, где все сообщения хранятся в незашифрованном виде.
  • Переписка в почтовых приложениях Gmail, Yahoo, Outlook, QQmail и MailMaster. Эти данные шпион тоже получал из баз данных интересующих его программ.
  • История звонков и СМС.
  • Местонахождение устройства в реальном времени, если на нем включен GPS.
  • Список контактов жертвы.
  • Фотографии.
  • Заметки.
  • Голосовые напоминания из соответствующего приложения.

Кроме того, зловред по запросу с командного сервера мог отправить своим хозяевам список всех приложений на устройстве и данные любого из них. Причем всю добытую информацию он пересылал в виде простого текста. То есть, если зараженный айфон подключался к публичной сети Wi-Fi, увидеть отсылаемые зловредом пароли, переписку и прочие сведения о жертве могли не только взломщики, но и вообще кто угодно.

Отметим, что разработчики шпиона не особо заботились о том, чтобы тот закрепился в системе: после перезагрузки он исчезал со смартфона. Но учитывая, сколько информации он мог украсть сразу, это не очень большое утешение.

Опасность миновала… или нет?

Последние уязвимости, которые злоумышленники использовали в этой кампании, разработчики Apple исправили в iOS 12.1.4 в начале февраля, так что самые свежие версии системы от подобных атак защищены.

Тем не менее, по оценке специалистов, вредоносные сайты посещало несколько тысяч пользователей в неделю. Это значит, что, скорее всего, пострадавших от деятельности взломанных сайтов немало.

Кроме того, на смену обезвреженным веб-страницам могут прийти новые, эксплуатирующие неизвестные исследователям уязвимости.

Как не подхватить зловреда на iPhone

Как видите, подцепить заразу на смартфон Apple с вредоносного сайта действительно можно, да еще какую. Поэтому рекомендуем вам быть осмотрительными, даже если вы уверены, что уж вашему-то гаджету ничего не угрожает.

  • Обновляйте операционную систему айфона, как только обновление становится доступно. В актуальных версиях разработчики исправляют уязвимости, которыми могут воспользоваться (и, как видите, действительно пользуются) злоумышленники.
  • Не переходите по ссылкам из рекламы, электронных писем, сообщений от незнакомых людей и так далее. К результатам поиска тоже следует относиться критически: если у вас есть сомнения по поводу добросовестности того или иного ресурса, лучше его вообще не открывать.

Обезопасить iPhone могло бы защитное решение с технологией поведенческого анализа, способное заблокировать даже неизвестные ранее угрозы. Но, к сожалению, для iOS полноценных антивирусов не существует.

Итого: Правда или миф, что iPhone может заразиться при посещении опасного сайта?

Правда. Вредоносные сайты могут эксплуатировать уязвимости в браузере и iOS — и загружать на смартфоны всякую гадость. Описанные исследователями GoogleProjectZero ресурсы уже не опасны, но всегда могут появиться новые, о которых эксперты еще не знают.

Как изменения в iOS скажутся на интеграциях Apphud?

С релизом iOS 14 передача событий в системы атрибуции не пострадает: IDFA является необязательным параметром при отправке событий.

Сейчас Apphud получает атрибуцию от партнеров по атрибуции и сохраняет ее у себя. Это нужно, например, чтобы показывать графики выручки или MRR, разбитые по рекламным кампаниям. Осенью мы, как и прежде, продолжим получать данные от партнеров. В некоторых случаях это будут данные только от пользователей, разрешивших IDFA.

Рассмотрим нюансы каждой платформы по отдельности.

AppsFlyer

В AppsFlyer объявили, что будут поддерживать и SKAdNetwork, и вероятностную модель атрибуции. В дашборде AppsFlyer появится дополнительная вкладка SKAdNetwork Overview. Еще AppsFlyer добавит страницу настройки SKAdNetwork, где вы сможете выбрать, какие события и конверсии хотите отслеживать.

Страница настройки SKAdNetwork в AppsFlyer

Интеграция в Apphud будет работать без изменений. Мы по-прежнему будет передавать события в AppsFlyer в полном объеме, ведь для связи Apphud и AppsFlyer используется внутренний AppsFlyer ID, а не IDFA.

В AppsFlyer подтвердили, что получение атрибуции на уровне устройства не перестанет работать, хотя качество атрибуции может ухудшиться. В случае, если AppsFlyer удастся определить атрибуцию с помощью вероятностной модели, то AppsFlyer вернет эти данные в SDK.

Adjust

Мы запросили информацию у Adjust, и они подтвердили, что будут продолжать работать в прежнем режиме. Вместо рекламного идентификатора они будут использовать комбинацию IDFV и вероятностной атрибуции. Apphud будет передавать данные в Adjust и получать от них в полном объеме. Для связи между Apphud и Adjust используется внутренний Adjust ID.

Branch

В Branch, как и в Adjust, подтвердили, что будут продолжать работать в прежнем режиме. Вместо рекламного идентификатора они будут использовать комбинацию IDFV и вероятностной атрибуции. Apphud будет передавать данные в Branch в полном объеме.

Недавно мы обновили свою документацию. Рекомендуем добавить одну строчку для улучшения качества атрибуции с Branch:

// Initialize Apphud first, then Branch ().setIdentity(())

При отсутствии IDFA данные будут сопоставляться по IDFV либо внутреннему Branch ID.

Facebook

При отсутствии рекламного идентификатора Apphud использует FB Anonymous ID, по которому данные шлются в Facebook. Интеграция продолжит свою работу в прежнем режиме. В Facebook пока не заявляли о возможном снижении качества атрибуции.

Tenjin

Мы запросили информацию у Tenjin. Они подтвердили, что будут продолжать работать в прежнем режиме. Вместо рекламного идентификатора они будут использовать комбинацию IDFV и вероятностной атрибуции. Apphud будет передавать данные в Tenjin в полном объеме.

Отметим, что Tenjin не поддерживает Facebook в полном объеме: атрибуция работает только через отложенные ссылки. Не исключаем, что Facebook со временем может ввести какие-то ограничения на их использование.

Apple Search Ads

Пока нет ясности, как грядущие изменения повлияют на выдачу атрибуции на устройстве для Apple Search Ads. Скорее всего, Apphud будет получать данные лишь от тех пользователей, которые разрешили отслеживание рекламного идентификатора, а значит, большая часть данных, к сожалению, не попадет в Apphud.

Что нового в iOS 5

Нововведений множество. И важных также хватает.

Важно! Если у вас профиль бета-тестера и уже установлена iOS 14.5 Release Candidate, обновляться не придется (вам предложат установить уже первую бету iOS 14.6). Именно она и стала финальной прошивкой без каких-либо изменений. 

Выглядит так, как выше на скриншоте.

1) Запрет на слежку за пользователями

Приложения теперь должны запрашивать у вас разрешение на слежку. Вы можете запретить им следить за вами. Как в приложениях, так и на сайтах. Выглядит это так — при первом открытии приложения у вас спросят разрешение на те или иные действия.

И следовать этому правилу теперь обязаны все разработчики ПО для айфонов. И это та самая «ядерная бомба» для рекламодателей.

2) 217 новых эмодзи

Бородатая женщина? Вот она! Человек гендерно-нейтральный (как бы чудовищно это ни звучало)? Тоже есть. Разные оттенки кожи (и соответствующие пары)? Вот же они. И многое-многое другое. Смотрим ниже.

Новых эмодзи сотни.

3) Разблокировка iPhone в маске

Теперь вы сможете разблокировать ваш айфон с Face ID даже, если на лице маска. Но нужны Apple Watch (увы). Есть? Тогда достаточно посмотреть на айфон, когда на руку надеты смарт-часы.

4) Новые жесты в Apple Music

В приложении Apple Music появилась поддержка новых жестов (так, свайп вправо откроет кнопки для добавления трека в очередь).

5) Поддержка джойстиков от консолей Xbox Series S/X и PlayStation 5

На айфоне теперь можно играть, используя джойстики от Xbox Series S/X и PlayStation 5. Например, в ту же Genshin Impact. Очень удобно.

Подключение происходит с помощью Bluetooth.

6) Обновленные напоминания

7) Обновленный дизайн подкастов

Внешне приложение теперь похоже на Apple Music.

8) Новый дизайн экрана покупки приложений

Информация о цене и времени бесплатного периода теперь более заметная.

9) Новые команды

В приложении Команды можно настроить создание скриншота дисплея или показал последних скринов экрана.

10) 5G работает в режиме двух SIM-карт

Для нас это не очень важно, но что есть, то есть. Теперь обе симки могут работать в мобильных сетях пятого поколения. Ранее такого не было (лишь одна могла работать в режиме 5G).

11) Улучшенные Apple Maps

Теперь фирменные купертиновские карты умеют обозначать на карте места аварий, а также знают, где находятся камеры контроля скорости.

12) Решена проблема хаотичного переключения AirPods

AirPods теперь подключаются именно к тому устройству, к которому вы хотите. Хаотичных прыжков между вашими iPhone и iPad больше нет. Ура!

Вопросы безопасности и защиты

Возможно, подобные инциденты и вызвали определенную обеспокоенность у участников сектора DeFi, но они не смогли поколебать общую веру рынка в эту индустрию. Протоколы стали уделять больше внимания аудиту и вопросам безопасности. В сегменте появились сервисы страхования, предлагающие инвесторам дополнительный уровень защиты их средств.

В Messari убеждены, что сейчас пришло время для активного развития протоколов DeFi-страхования, таких как, к примеру, Nexus Mutual или Etherisc. Они предлагают инвесторам страховое покрытие убытков на случай неблагоприятных обстоятельств.

Этот тренд начал набирать силу с конца 2020 года, но пока еще так и не набрал нужных оборотов. Возможно, отчасти это связано с тем, что теперь протоколы начали изначально уделять повышенное внимание вопросам безопасности  средств. Тем не менее, всегда следует помнить, что хакеры тоже не перестают изыскивать новые лазейки в смарт-контрактах.

Дисклеймер Вся информация, содержащаяся на нашем вебсайте, публикуется на принципах добросовестности и объективности, а также исключительно с ознакомительной целью. Читатель самостоятельно несет полную ответственность за любые действия, совершаемые им на основании информации, полученной на нашем вебсайте.

Перехват данных:

Pirni & Pirni Pro

Теперь, когда доступ к консоли есть, можно попробовать утилиты. Начнем с Pirni, вошедшей в историю как полноценный сниффер для iOS. К сожалению, конструктивно ограниченный модуль Wi-Fi, встроенный в устройство, невозможно перевести в promiscious-режим, необходимый для нормального перехвата данных. Так что для перехвата данных используется классический ARP-спуфинг, с помощью которого весь трафик пропускается через само устройство. Стандартная версия утилиты запускается из консоли, где помимо параметров MITM-атаки указывается имя PCAP-файла, в который логируется весь трафик. У утилиты есть более продвинутая версия — Pirni Pro, которая может похвастаться графическим интерфейсом. Причем она умеет на лету парсить HTTP-трафик и даже автоматически вытаскивать оттуда интересные данные (к примеру, логины-пароли), используя для этого регулярные выражения, которые задаются в настройках.

Ettercap-NG

Перехват данных:

Трудно поверить, но этот сложнейший инструмент для реализации MITM-атак все-таки портировали под iOS. После колоссальной работы получилось сделать полноценный мобильный порт. Чтобы избавить себя от танцев с бубном вокруг зависимостей во время самостоятельной компиляции, лучше установить уже собранный пакет, используя Cydia, предварительно добавив в качестве источника данных (репозиторий TWRepo). В комплекте идет и утилита etterlog, которая помогает извлечь из собранного дампа трафика различного рода полезную информацию (к примеру, аккаунты доступа к FTP).

Обновления принципиально важны

Еще одна особенность пользователей Android – это то, что они, как правило, зачастую не обновляют свои телефоны до последней версии операционной системы. Операционная система Android 9, которая также известна как Pie, выпущена в августе 2018; по состоянию на конец 2018 года, на нее перешло меньше 1% всех пользователей. Эта особенность делает пользователей Android значительно более уязвимыми. 

Вредоносные программы под Android заняли львиную долю всех мобильных угроз в 2018 г. Чтобы решить эту проблему, Google стал требовать от производителей смартфонов, чтобы те выпускали патчи к уязвимостям в течении 90 дней с момента их обнаружения. Чтобы защитить смартфоны Android от кибератак, важно регулярно скачивать на них обновления безопасности.

Заведите привычку при первой же возможности обновляться до последней версии ОС – так вы будете на шаг впереди хакеров. Это простое действие заблокирует доступ к вашему мобильному устройству для многочисленных семейств вредоносных программ, так что вы будете уверены в безопасности ваших данных.

Что будет дальше?

Apple предстоит сложный путь в ближайшие несколько лет. На компанию сейчас начали активно подавать жалобы в суд различные компании, занимающиеся продажей рекламы. Та же Facebook зимой обвинила Apple в монополизации рекламного рынка, а 26 апреля Центральное объединение рекламной индустрии пожаловалось на Apple в государственную антимонопольную службу по совершенно тому же прецеденту.

Однако на фоне разработки и продвижения таких инструментов как Facebook Shops и товары в Instagram, в ближайшее время нас ждёт глобальный передел рекламного рынка. Согласно исследованиям различных финансовых специалистов, доходы от рекламы у Facebook могут упасть на 3%, а в остальном за этим последует продвижение способов прямых продаж и контекстной рекламы.

Вполне вероятно, что процент от выручки с этих источников сможет покрыть снижение доходов от рекламы. К тому же, индустрия ожидает, что Apple может предоставить собственные инструменты для анализа персональных данных для таргетированной рекламы.

Похожим образом, по-видимому, планирует поступить Google. Поисковый гигант занимается созданием собственного аналога cookie-файлов с тем же акцентом на улучшение конфиденциальности.

К слову, Google использует свои инструменты для анализа потребностей пользователей, поэтому новые правила их затронут в меньшей степени. Однако, в любом случае, пусть даже на небольшой период, но за последние 10 лет мы наконец станем полноценными хозяевами своих данных, получив выбор. Быть может, жизнь в интернете станет более осмысленной и контролируемой. Что думаете?

Как строится система информационной безопасности компании? Рассказывает эксперт

Владимир Федотов Software Engineer EPAM

Специалист по компьютерной безопасности — это широкое понятие, включающее в себя большое количество ролей и обязанностей, но основная цель у всех одинаковая — это обеспечить конфиденциальность, целостность и доступность информации. Наглядным примером будет средневековый город, жители и производства которого является функциональной частью программного обеспечения. Как хорошие защитники мы не хотим, чтобы нашу продукцию воровали, ломали и делали сообщение с другими городами недоступным. И что бы этого не допустить в штате есть целый арсенал специалистов. Думать о защите города необходимо на этапе проектирования, для этого есть Application Security специалисты, которые занимаются анализом архитектуры приложения и функциональных требований, находя угрозы и предлагая способы их устранения в самом начале. Очевидно, дешевле определить, что крепостную стену надо строить из камня на этапе требований, чем построить из дерева и затем переделывать. На этапе постройки города важно чтобы соблюдались регламенты и правила строительства, а никто из строителей (программистов) не использовал испорченные материалы, для этого существует Static Application Security Testing, который состоит из Security Code Review и автоматизированного поиска дефектов в коде.

Настройкой и интеграцией автоматизированных сканов занимается команда DevSecOps, в то время как обязанности по регулярному разбору репортов и обновлению правил поиска часто также ложатся на Application Security специалистов. Могут быть в городе и другие роли, например иногда очень сложно обойтись без человека, который занимается регулярным чтением распоряжений международных организаций и подготовкой городской документации для подтверждения того, что все требования удовлетворены. Есть и аудиторы, которые путешествуют по странам и проверяют их соответствие требованиям. Под страной или государством следует понимать производителя программного обеспечения или ИТ-организацию, предоставляющею услуги. И на уровне государства найдется работа для специалиста по компьютерной безопасности, кто-то должен защищать границы и не пускать злоумышленников в инфраструктуру, служба IT Security и Physical Security отлично справляются с этой работой. Кто-то должен руководить процессами по защите информации. Есть и специальные Red Team команды, задача которых вломиться на территорию государства по заказу его руководителей и получить контроль над критическими системами, зачастую для этого используются слабозащищенные города. Список далеко не полный и его продолжение я предлагаю вашей фантазии.

Вернемся к нашему городу, после того как он построен, застройщик приглашает команду Penetration testers или, говоря популярно, «этичных» хакеров, которые просят дать доступ к staging серверу с таким же городом и пытаются его сломать, имитирую действия злоумышленников или «чёрных» хакеров. В ход идут все доступные средства от попыток прикинуться жителем города и обмануть охранников, до вероломного переламывания стены. Особое внимание уделяется всем входам и выходам из города, как к самым уязвимым местам. Список утилит и методологий используемых «этичными» и «чёрными» хакерами во многом схож, подробнее об общей методологии можно почитать тут. Гораздо интереснее посмотреть на разницу! Так как Penetration testing команда приглашена командой разработчиков она имеет ряд преимуществ, например изначально ей могут быть предоставлены привилегии различных ролей в городе, а также перед тестированием могут быть отключены дополнительные средства защиты такие Web Application Firewall. Все это позволяет улучшить процесс тестирования, так как не отнимает время инженеров на обход дополнительных защит. «Чёрные» хакеры изначально находятся определенно в более тяжелой ситуации, так как лишены вышеперечисленных преимуществ и вынуждены проводить атаки «вслепую». Но все трудности с лихвой компенсируется отсутствием ограничений по времени тестирования и необходимости атаковать именно приложение. Злоумышленник может покупать на чёрном рынке 0-day уязвимости в веб-серверах патчи для которых еще не опубликованы, он может использовать обман для получения credentials пользователей или банально купить информацию у легитимного пользователя. Также в арсенале злоумышленника есть ряд утилит, позволяющих закрепиться в системе на длительное время и оставаться незамеченным, что намного реже востребовано тестировщиками. Подводя итог, разница между тулсетами «этичного» и «чёрного» хакеров кроется в сути самих ролей, первый это высококлассный инженер, действующий в рамках соглашений, а второй преступник, которому не чужды все соответствующие методы.

Как бы хорошо ни старались специалисты по информационной безопасности, самым уязвимым местом любой системы остаются ее пользователи. Если губернатор велит открыть главные ворота и пускать всех, все механизмы защиты будут бесполезны. Стоит отметить, что администраторы инфраструктуры, в том числе файрволлов, в данном случае тоже пользователи, просто другого программного обеспечения. Конечно же ошибки могут допускать и разработчики, глобально их можно разделить на два типа — это либо ошибка в логике программы, которая закралась на этапе требований или проектирования взаимосвязей между модулями, либо техническая ошибка, например в реализации механизмов защиты. Список таких ошибок к счастью конечен. Наиболее часто встречающейся на моей практике было отсутствие валидации входных данных или эскейпинга выходных, приводящих к широкому списку проблем от банальных XSS до Remote Code Execution на продакшен серверах. Подробнее можно почитать по ссылке. На этом у меня все и пожалуйста, помните, что лучший специалист по компьютерной безопасности для своего приложения — это сам разработчик!

Безопасность Поделиться

Инна Шелепова
Оцените автора
( Пока оценок нет )