Во многих тематических СМИ муссируется новость об «атаке» на Wi-Fi в аэропорту Барселоны, проведенной Avast.
В блогпосте объемом меньше одной страницы приводятся сногсшибательные цифры:
Также имеется загадочная фраза «Avast смог увидеть identity 63.5% устройств и пользователей». Я намеренно не перевожу identity, позже станет ясно почему.
После чего идет общая цитата о том, как важна безопасность и предложение обратить внимание на мобильный VPN-клиент от Avast, ради которого, очевидно, всё и затевалось. Естественно, большинство обратило внимание не на столь «изящно» замаскированный sales-посыл, а на ужасающие цифры. Посыпались возгласы «ужас! ужас!» и хомячки начали бурлить. Давайте всё же разберемся, что к чему.
1. 50.1% имели устройство Apple, 43.4% — Android, 6.5% — Windows Phone
Я очень удивился, что не было статистики браузеров, но, в принципе, на мобильных устройствах она немного предсказуема. ОК, в Avast открыли OS Fingerprinting. Вариантов коего сотни.
Самый простой: анализ строки User Agent (которая выдает вообще всё об устройстве, и поменять которую нельзя ни в одном стандартном браузере на мобильных телефонах). Вот пример на всякий случай: Mozilla/5.0 (iPad; CPU OS 5_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko ) Version/5.1 Mobile/9B176 Safari/7534.48.3. Этим, к сведению, занимаются почти все хотспоты и веб серверы/ Просто, чтобы понимать, какие клиенты к ним ходят и под что им подстраиваться.
Далее по списку идет анализ DHCP-пакетов, по которому нельзя определить браузер, но можно зачастую понять ОС и тип устройства. Этим занимаются почти все серьезные точки доступа и системы NAC/NAP/RBAC выпущенные в последние несколько нет, и ничего сложного тут нет.
Далее методики уходят в более тонкие материи, такие как анализ TCP-стека, временных задержек при форвардинге/обработке разных типов пакетов и т.д. Подобными методами обычно вычисляются всякие прозрачные прокси, файрволлы и прочие сетевые устройства, хотя ничего не мешает использовать это для анализа мобильных устройств.
Желающим ознакомиться с полным списком могу рекомендовать документ от известной организации SANS. Заодно обратите внимание на дату публикации. На самом деле, многие из этих методов были разработаны еще в прошлом веке :)
Я не знаю, каким способом пользовались в Avast, но явно ничего нового они тут не открыли.
2. Google, Gmail, Yahoo, Facebook, Twitter,пятачок и все-все-все.
Тут разговор еще более краткий: ну если мы можем кучей разных способов определить тип ОС, неужели мы не сможем определить приложение по URL, DNS или на худой конец Destination IP? Смешно, девушки.
3. Почему я не перевел «identity» тех самых «63.5% пользователей»?
Потому как ничерта не понятно, что они имеют под этим в виду! E-mail’ы? Фамилии? Логины/username’ы? Логины и пароли? Что такое identity устройства? MAC-адрес? IMEI? Если MAC-адрес – ну и что? Особенно учитывая, что все последние версии мобильных ОС научились его худо-бедно спуфить. Если юзернеймы – то к чему? К главной странице портала, который они настроили в незащищенном HTTP, чтобы показать цифры пострашнее? Короче, напустили туману, как обычно.
Кстати, в большинстве стран Европы действует законодательство обязывающее провайдера идентифицировать пользователя при публичном доступе (обычно, через e-mail или SMS). Так что тут Avast, вообще-то, должен был показать все 100%.
Самый главный вопрос.
Ну и наконец, когда вы сидите дома или на работе в Интернете по своему «безопасному» Wi-Fi, или даже кабелю, ваш трафик проходит через 100500 хостов роутеров, СОРМов и прочих DPI и пакеты все как на ладони. Чем это принципиально отличается от открытого Wi-Fi?
Что интересно, ответ на этот вопрос есть, и мне интересно, кто из читателей даст на него правильный ответ в коментариях.
[UPD] Заключение.
По результатам анализа всё же непонятно, что именно «взломали» люди из Avast, чем всё это так ужасно, что вызвало волну в СМИ (в комментариях подсказывают, что такова работа СМИ — нагнетать и раздувать), и что же такого получили «хакеры», чего нельзя получить другими путями.
В последнее время нам неустанно напоминают о том, как опасен открытый Wi-Fi. Хотя применяя всё те же меры, что и при безопасном пользовании интернетом дома (антивирус/HIPS, VPN, патчи и толика образования и здравого смысла) открытый Wi-Fi не страшнее не менее открытого Интернета.
Стоит помнить, что большинство продаж в сфере безопасности строятся по принципу FUD (Fear, Uncertainty and Doubt – страх, неопределенность и сомнения), поэтому стоит не терять бдительность, проверять источники и не уподобляться леммингам.
А что вы думаете?
В блогпосте объемом меньше одной страницы приводятся сногсшибательные цифры:
- 50.1% имели устройство Apple, 43.4% — Android, 6.5% — Windows Phone
- 61.7% искали в Google или проверяли Gmail
- 14.9% посещали Yahoo
- 52.3 % устройств имели приложение Facebook, а 2.4% — Twitter
Также имеется загадочная фраза «Avast смог увидеть identity 63.5% устройств и пользователей». Я намеренно не перевожу identity, позже станет ясно почему.
После чего идет общая цитата о том, как важна безопасность и предложение обратить внимание на мобильный VPN-клиент от Avast, ради которого, очевидно, всё и затевалось. Естественно, большинство обратило внимание не на столь «изящно» замаскированный sales-посыл, а на ужасающие цифры. Посыпались возгласы «ужас! ужас!» и хомячки начали бурлить. Давайте всё же разберемся, что к чему.
1. 50.1% имели устройство Apple, 43.4% — Android, 6.5% — Windows Phone
Я очень удивился, что не было статистики браузеров, но, в принципе, на мобильных устройствах она немного предсказуема. ОК, в Avast открыли OS Fingerprinting. Вариантов коего сотни.
Самый простой: анализ строки User Agent (которая выдает вообще всё об устройстве, и поменять которую нельзя ни в одном стандартном браузере на мобильных телефонах). Вот пример на всякий случай: Mozilla/5.0 (iPad; CPU OS 5_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko ) Version/5.1 Mobile/9B176 Safari/7534.48.3. Этим, к сведению, занимаются почти все хотспоты и веб серверы/ Просто, чтобы понимать, какие клиенты к ним ходят и под что им подстраиваться.
Далее по списку идет анализ DHCP-пакетов, по которому нельзя определить браузер, но можно зачастую понять ОС и тип устройства. Этим занимаются почти все серьезные точки доступа и системы NAC/NAP/RBAC выпущенные в последние несколько нет, и ничего сложного тут нет.
Далее методики уходят в более тонкие материи, такие как анализ TCP-стека, временных задержек при форвардинге/обработке разных типов пакетов и т.д. Подобными методами обычно вычисляются всякие прозрачные прокси, файрволлы и прочие сетевые устройства, хотя ничего не мешает использовать это для анализа мобильных устройств.
Желающим ознакомиться с полным списком могу рекомендовать документ от известной организации SANS. Заодно обратите внимание на дату публикации. На самом деле, многие из этих методов были разработаны еще в прошлом веке :)
Я не знаю, каким способом пользовались в Avast, но явно ничего нового они тут не открыли.
2. Google, Gmail, Yahoo, Facebook, Twitter,
Тут разговор еще более краткий: ну если мы можем кучей разных способов определить тип ОС, неужели мы не сможем определить приложение по URL, DNS или на худой конец Destination IP? Смешно, девушки.
3. Почему я не перевел «identity» тех самых «63.5% пользователей»?
Потому как ничерта не понятно, что они имеют под этим в виду! E-mail’ы? Фамилии? Логины/username’ы? Логины и пароли? Что такое identity устройства? MAC-адрес? IMEI? Если MAC-адрес – ну и что? Особенно учитывая, что все последние версии мобильных ОС научились его худо-бедно спуфить. Если юзернеймы – то к чему? К главной странице портала, который они настроили в незащищенном HTTP, чтобы показать цифры пострашнее? Короче, напустили туману, как обычно.
Кстати, в большинстве стран Европы действует законодательство обязывающее провайдера идентифицировать пользователя при публичном доступе (обычно, через e-mail или SMS). Так что тут Avast, вообще-то, должен был показать все 100%.
Самый главный вопрос.
Ну и наконец, когда вы сидите дома или на работе в Интернете по своему «безопасному» Wi-Fi, или даже кабелю, ваш трафик проходит через 100500 хостов роутеров, СОРМов и прочих DPI и пакеты все как на ладони. Чем это принципиально отличается от открытого Wi-Fi?
Что интересно, ответ на этот вопрос есть, и мне интересно, кто из читателей даст на него правильный ответ в коментариях.
[UPD] Заключение.
По результатам анализа всё же непонятно, что именно «взломали» люди из Avast, чем всё это так ужасно, что вызвало волну в СМИ (в комментариях подсказывают, что такова работа СМИ — нагнетать и раздувать), и что же такого получили «хакеры», чего нельзя получить другими путями.
В последнее время нам неустанно напоминают о том, как опасен открытый Wi-Fi. Хотя применяя всё те же меры, что и при безопасном пользовании интернетом дома (антивирус/HIPS, VPN, патчи и толика образования и здравого смысла) открытый Wi-Fi не страшнее не менее открытого Интернета.
Стоит помнить, что большинство продаж в сфере безопасности строятся по принципу FUD (Fear, Uncertainty and Doubt – страх, неопределенность и сомнения), поэтому стоит не терять бдительность, проверять источники и не уподобляться леммингам.
А что вы думаете?