#205. В итоге самое слабое звено - это человек

→ Оригинал (без защиты от корпорастов) | Изображения из статьи: [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]

Table of Contents

Что там со смартфонами?

На почту прилетел отчет за 2022 год от сервиса Data.AI (бывшая App Annie), анализирующего рынок мобильных приложений. Россия от этого рынка, безусловно, отделилась. У нас строят свои магазины приложений и изыскивают новые решения. Но в формате короткой строки хочется поделиться некоторыми данными:

  • На Mobile-First рынках (это рынки, где смартфоны преобладают над компьютерами, к таким рынкам можно отнести и Россию) среднее время, которое пользователь каждый день проводит за своим смартфоном, достигло 5 часов. И это напрямую можно связать с последствиями пандемии. Посмотрите на 2019 и 2022 годы.
  • Россия, по оценке Data.AI, входит в топ-6 по числу скачиваемых приложений и в топ-7 по количеству часов, проведенных за смартфоном. Из графика по тратам, конечно, Россия вылетела, то есть смотрим, качаем, но не тратим.
  • Довольно любопытно выглядит вот этот слайд. Он показывает, что снижение доходов у домохозяйств привело к снижению трат в играх, но при этом продолжается рост трат в сервисных приложениях. Это ещё одно последствие коронавируса. Люди привыкли к доставкам и прочим сервисам, которые можно оплатить через смартфон.
  • Топ самых используемых приложений в мире практически идентичен. И это многое говорит о том, чего люди хотят от жизни и смартфонов. На первом месте «ТикТок» и социальные сети, дальше платформы для покупки товаров и доставки, карты и умный дом.
  • Рынок мобильных игр - это впечатляющие 109,5 млрд долларов. Это более чем в 2 раза больше, чем рынок компьютерных игр. Вот, посмотрите на игры, забирающие себе львиную долю этой суммы. Из чего-то более-менее осмысленного можно выделить Genshin Impact и Roblox. Но больше всего зарабатывает ерунда типа Candy Crash.
  • А вот иллюстрация самых скачиваемых игр. Ничего удивительного, что игровая индустрия находится в состоянии депрессии и даже ААА-игры постепенно превращаются в донат-доильни. Соответственно, когда в новостях вы слышите про мобильных геймеров, имейте в виду, что это вот они, играющие в шарики всех форматов и прочую ерунду.

При этом надо отметить, что в мире сокращаются траты на осмысленные игры (это все те же Genshin Impact, PUBG и т.д.), но растёт запрос на казуальные шарики, гоночки и игры типа Candy Crush Saga.

Самое слабое звено - это всегда человек

Тема защиты персональных данных давно вышла на качественно новый уровень. Если раньше про защиту данных рассуждали только антивирусные компании да тренеры на занятиях для сисадминов, то сейчас это мейнстрим, про который гудят из каждого утюга.

Некоторые компании так вовсе построили на защите персональных данных имидж. Так, например, поступает Apple, уверяющая своих пользователей, что iPhone - это единственный смартфон, который ни с кем не делится данными.

Не отстают и другие игроки рынка. Те же Google и Microsoft начали встраивать VPN в свои фирменные продукты, что должно говорить о том, что они радеют за безопасность своих пользователей.

Мы уже как-то затрагивали тему VPN. Если коротко, то, используя VPN, вы как бы говорите, что не доверяете своему интернет-провайдеру, но на 100% верите некой компании, зарегистрированной в Панаме или каком другом офшоре. И, в принципе, в какой-то степени это резонно. Так как интернет-провайдер скорее может передать данные куда не следует и отправить своего клиента на нары. В то время как VPN-провайдер максимум продаст данные дата-брокерам.

Самое забавное, что про защиту персональных данных с каждым годом говорят всё больше и больше, так как пропорционально всё больше и больше данных утекает в сети.

Для России 2022-й подавно стал годом потрошения. На регулярной основе в сеть сливались данные пользователей доставок, пациентов клиник, банков, магазинов, такси, госуслуг, центров страхования и даже Почты России… Я был подписан на канал в «Телеграме», занимающийся мониторингом утечек. И в какой-то момент отключил звуковые уведомления этого канала, так как иногда по несколько раз на дню смартфон начинал пиликать, так обильно лили.

2023-й начинается не лучше. Уже «порадовали» новостями про утечку данных клиентов магазина «Спортмастер», что-то там утащили у Reg.ru и неожиданно взломали сайт Алтайского государственного университета, выложив личную информацию студентов.

Ни в коей мере не хочу умалить заслуги хакеров, как чёрных, так и белых, прикладывающих интеллект, чтобы найти уязвимости. Однако, будем откровенны, большинство «взломов» происходит иначе.

Безусловно, есть фатальные «баги», дающие доступ к системе. Но зачастую их используют не суперхакеры, а обычные кул-хацкеры, скачавшие на известных форумах эксплойты и примерно понимающие, как именно их применять. Однако уверен, что и таких меньшинство. А на самом деле главная системная уязвимость - это человек.

Отделение «Сбербанка» — нет, прошу прощения, «Сбера» — пожилой мужчина вывалил на стол перед сотрудником свою технику: смартфон и планшет. Проблема в том, что ни там ни там не получается зайти в приложение «Сбербанк Онлайн». Это было, как вы догадались, в день, когда приложение «Сбера» перестало работать на устройствах с Android 6 и древнее.

Сотрудник «Сбера» устало растолковывает, что система теперь не поддерживается. И предлагает настроить веб-версию. Мужчина вздыхает, сетует на капитализм и цены, бубнит что-то про грабёж населения (видимо, считает, что тут имеет место сговор банков и производителей смартфонов).

Выполнив процедуру настройки веб-сервиса на обоих устройствах, менеджер радуется, что наконец-то развязался с душным контактером, но не тут-то было. Мужчина требует, чтобы сотрудник ввёл ещё и логин-пароль, так как «знаем мы, сейчас домой приду, у меня ничего не получится, и надо будет идти обратно».

Как вы догадываетесь, логин-пароль записаны на листочке. Однако мужчина непрост. Листок менеджеру он не даёт (вдруг тот украдет), но начинает сам диктовать. Я даже наушники вытащил, чтобы лучше слышать. В принципе, это было необязательно, так как всё повторено дважды (ведь у мужчины смартфон и планшет). Больше всего в этой истории меня поразило то, что вообще никто этому не удивился. Ни сидящие вокруг люди, ни менеджеры за стойками. Никто даже бровью не повел, как будто так и надо.

Данный пример - это типичная ситуация, когда человек сам не бережет или, точнее говоря, не понимает, как беречь личные данные. Самое печальное, что тут ничем не поможешь.

И банки могут сколько угодно применять самые хитрые способы аутентификации и подтверждения операций. Люди всё равно под влиянием, как это правильно называется, социальной инженерии будут переводить мошенникам деньги, брать кредиты, продавать квартиры ради помощи мифической полицейской операции. Что говорить, если в сводках фигурируют и чиновники, и даже сотрудница Центробанка, которая, казалось бы, должна что-то понимать.

Относительно недавно фигурантом громкого скандала стала компания-производитель роботов-пылесосов Roomba. iRobot - лидер рынка роботов-пылесосов, доминирующий на рынке США. Компанию за 1.7 млрд долларов приобрела Amazon.

И вот в Интернет попало множество фотографий (в том числе некоторые весьма неприятные), которые были сняты с очевидного ракурса. Особенно «популярна» стала фотография женщины на унитазе.

И вот вопрос, кто виноват, что подобные фотографии оказались в Интернете?

Разумеется, в первую очередь можно подумать про хитрых хакеров, взломавших умный дом и получивших доступ ко всем гаджетам. И это логично, так как нам постоянно твердят, что IoT (интернет вещей) вообще не защищен и любой может получить удаленный доступ к умному чайнику.

Но нет, оказалось, что хакеры не виноваты.

Тогда обвинили iRobot, которая в лучших традициях жанра перевела стрелки на подрядную компанию, занимающуюся разметкой моделей для искусственного интеллекта.

Этот момент не все знают, но в мире существует значительный пласт IT-компаний, занимающихся подготовкой данных, которые потом будут использоваться для машинного обучения. И обычно это ручной труд. Многочисленные сотрудники, сидящие перед мониторами, открывают бесчисленные фотографии и или маркируют их с нуля, или вносят корректировки того, что распознал искусственный интеллект.

В частности, iRobot работает над тем, чтобы её роботы-пылесосы лучше ориентировались в пространстве, узнавая комнаты по наборам предметов. Это нужно для выполнения сложных команд. Например, чтобы пользователь мог сказать: «Уберись на кухне». Или даже сложнее: «Уберись вокруг дивана». Условно говоря, робот должен сообразить, что такое диван, где он находится, и обозначить рабочую зону вокруг дивана.

Тут, пожалуй, надо пояснить, что речь идёт про продвинутые версии пылесосов, обладающих камерой для так называемого компьютерного зрения.

Пример робота, обладающего компьютерным зрением. Это ECOVACS DEEBOT OZMO T8 AIVI. Классный робот.

Обзор можно почитать тут:

А вот так выглядит картинка с камеры. Этого вполне хватает, чтобы объезжать разбросанные по полу предметы.

Ручная разметка данных - это неотъемлемый атрибут искусственного интеллекта. Чтобы ChatGPT так легко вёл осмысленные диалоги, десятки (если не сотни) тренеров искусственного интеллекта дни напролет создавали шаблоны вариаций бесед. Точно так же для автономных автомобилей отсматривают бесконечные записи движения по дороге, размечая те или иные ситуации.

При этом «разметка» — это низкооплачиваемый труд. За такие вакансии платят по 600 долларов, а то и меньше. Зачастую этим занимаются сотрудники на аутсорсе в бедных странах, где 500-600 долларов - это хорошие деньги. Так что нет ничего удивительного, что в итоге фотографии всплыли на одном из форумов в Венесуэле.

И вот кажется, что мы уже разобрались, кто виноват в этой истории. Низкооплачиваемые сотрудники из бедных стран, которые чихать хотели на этику.

С одной стороны, да. С другой — сами владельцы роботов не проявили осмотрительность. Когда история начала раскручиваться, iRobot была вынуждена пояснить, что это фотографии с особенных роботов, которых раздали добровольцам, помогающим компании в совершенствовании продукта. По словам iRobot, выданные роботы были оборудованы особым софтом и железом. Плюс в дизайне роботов был предусмотрен зеленый индикатор, сигнализирующий о том, что робот не просто ездит, но и ведет видеозапись. И владельцы роботов были проинформированы об этом, так что в их праве было убрать из кадра предметы, которые они хотели скрыть. Применительно к данному случаю это означает: закрой дверь в туалет, если ты согласилась, чтобы у тебя по дому ездила видеозаписывающая автономная машина, подключенная к Интернету.

При этом инженерам iRobot и компании по первичной обработке надо отдать должное. Они встроили функцию, которая вырезала лица людей, попавших в кадр. Вот так забавно получилось: попа на унитазе есть, а лица нет.

И тут кажется, что решением могло бы стать повышение уровня образования среди пользователей. Но вряд ли это поможет. Тут на днях шеф провел небольшой эксперимент в нашем телеграм-канале, поместив скриншоты браузера Microsoft Edge из Google Play, — мол, браузер от Microsoft не шифрует данные.

После набрал более 10 тысяч просмотров, собрал комментарии. И нет причин считать, что у нас необразованная аудитория. Вернее, так, аудитория Mobile-Review.com - одна из наиболее продвинутых в Рунете. Однако комментарии выглядели примерно так:

Более вдумчивые пошли читать пользовательское соглашение. Вероятно, впервые. Если же вас интересует, почему указано, что данные не шифруются, то тут не всё так просто:

  • Microsoft Edge может быть частью корпоративных систем, где трафик мониторится администраторами.
  • Microsoft Edge — неразрывная часть экосистемы Microsoft со множеством интегрированных продуктов. Например, если кто-то дал ссылку на документ в OneDrive, то это можно воспринимать как нешифрованные данные.
  • Если включена синхронизация, то все данные шифруются, но только у адресов, паролей и другой личной информации есть end-2-end шифрование. Все остальные данные, хранящиеся на серверах Microsoft (например, история браузера или любимые веб-сайты), тоже шифруются, но у Microsoft есть инструмент для дешифровки.
  • Личные данные можно запросить для удаления. Если пользователь состоит в корпорации (бизнес, учеба), то за удалением данных надо идти к администратору.

Ну и, конечно, странно, что никого не смутил факт отсутствия хотя бы каких-то новостей про утечки пользователей Edge. При этом надо отметить, что Edge, работающий на движке Chromium, подвержен тем же уязвимостям, что и Chrome, и любой другой браузер.

Как говорится, у страха глаза велики. И всё же факт остаётся фактом: главное слабое звено - это человек. Причем как пользователь, так и сотрудник. На конференции «Лаборатории Касперского» в конце прошлого года рассказывали, что за 2022 год выросло количество «подкупов», когда сотрудникам «интересных» компаний предлагалось за вознаграждение просто воткнуть флешку в рабочий компьютер. За некоторые предложения плата составляла 5 тысяч долларов. С какой стороны ни посмотри, сумма соблазнительная. Предлагаю читателям пофантазировать: воткнули бы флешечку? Ушла бухгалтер на обед, а вы флешечку на минутку - оп! - и всё.

100% защиты существовать не может, если воздвигнуть вокруг пользователя забор, как это сделала Apple. Даже тогда всё равно случаются утечки, как, например, печально известный взлом iCloud. Сам сервис был надежен, но Apple допустила ошибку, разрешив многочисленный ввод паролей. А сами пользователи использовали слабые пароли, которые было легко подобрать.

Заключение

Глядя на то, какие игры в топе, нет причин думать, что человечество резко поумнеет и станет внимательнее. Скорее наоборот, чем дальше в лес, тем более легкомысленно люди относятся к собственным данным. Впрочем, кто его знает? Расскажите в комментариях, вы хоть иногда читаете пользовательские соглашения?

Про себя могу сказать, что примерно два года назад начал пролистывать пользовательское соглашение, всматриваясь в разделы про «права и обязанности». При этом не могу сказать, что насколько-то отличаюсь от типичного пользователя. У меня порядка четырех паролей, состоящих из хаотичного набора букв, цифр и символов, которые я применяю для «важных» сервисов, и парочка легких паролей, которые использую в остальных случаях. Зачастую я обновляю пароли, только если меня об этом просит сервис, так что на некоторых платформах не обновлял пароль уже 13 лет (тут пришло уведомление, мол, «вы не обновляли пароль 13 лет, это небезопасно» — да ладно?!). Ну и там, где это возможно, я использую двухфакторную авторизацию. А из относительно последних новинок завел виртуальную машину для всяких сомнительных файлов из Интернета и почты.