14 марта 2018

Тотальная слежка и кибератаки ускоряют массовый переход на протокол HTTPS

Согласно выводам исследователей из организации Citizen Lab, в Египте, Сирии и Турции технологии DPI использовались для установки на устройства пользователей вредоносного ПО с целью осуществления слежки за ними.

На прошлой неделе исследователи из Citizen Lab обнаружили, что устройства PacketLogic от компании Sandvine использовались для захвата незашифрованных интернет-подключений пользователей. Этот случай является еще одной хорошей демонстрацией важности шифрования сети с помощью протокола HTTPS. Турецкие и сирийские пользователи, пытавшиеся загрузить официальные приложения, вместо этого неосознанно устанавливали вредоносное ПО, предназначенное для слежки за ними. В Египте эти устройства вводили контент, направленный на зарабатывание денег, в веб-трафик пользователей, в том числе рекламные и криптовалютные скрипты.

Это стандартные кибератаки по схеме “человек посередине” (MITM), в рамках которых компьютер на пути между вашим браузером и официальным веб-сервером способен перехватывать и изменять трафик. Это может произойти, если ваши веб-соединения используют стандартный протокол HTTP, поскольку данные, передаваемые по HTTP, не шифруются и могут быть изменены или прочитаны кем угодно в сети.

Модули Sandvine работали как раз по такой схеме. Так в сети оператора Türk Telekom, при попытках пользователей загрузить приложения через HTTP, эти устройства вводили поддельные “перенаправленные” сообщения, которые заставляли браузер пользователя загружать файл с другого, вредоносного сайта. Пользователи, загружающие обычные приложения, такие как Avast Antivirus, 7-Zip, Opera, CCleaner и программы из download.cnet.com, вместо этого установили опасные приложения, даже не заметив этого. Как отмечает Citizen Lab, устройства компании Sandvine, используемые Egypt Telecom, опирались на аналогичные методы для встраивания модулей монетизации в HTTP-соединения, перенаправляя существующие рекламные ссылки на аффилированные рекламные объявления, а файлы javascript на скрипты для майнинга криптовалют.

Администраторы сайтов могут снизить число и последствия таких атак, используя HTTPS вместо HTTP. Любой пользователь может убедиться, что когда веб-страница была загружена по HTTPS, в большинстве распространенных браузеров слева от адресной строки будет присутствовать информация о защищенном соединении. Тем не менее, при загрузке файлов все еще могут возникать проблемы. Например, в то время как на самом сайте антивируса Avast используется HTTPS, для предоставления пользователям своих продуктов через скачивание из интернета они используют HTTP.

Такие программные решения, как Lets Encrypt и Certbot упрощают развертывание веб-сайтов под HTTPS и обеспечивают защищенный доступ к контенту. В текущем году Google Chrome планирует отмечать все HTTP-сайты как “небезопасные”. Сегодня почти 80% веб-трафика в США зашифровано с помощью протокола HTTPS. Конечные пользователи могут использовать расширение HTTPS Everywhere от Фонда электронных рубежей (Electronic Frontier Foundation, EFF) для увеличения степени защиты своих интернет-соединений.

.

По материалам eff.org

Перевод: Максим Волков, специально для РосКомСвободы

Читайте также:

Пентагон проверит 80% всех мировых IP на наличие вредоносных программ
?
Dark Caracal: новая кампания по кибершпионажу, охватившая тысячи устройств по всему миру
?
Человеческая ДНК как опасный для компьютеров код
?
Privacy International представила «Гид по международному праву и слежке»
?
В России засекречены сведения о критической информационной инфраструктуре

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.