Table of Contents
Что там со смартфонами?
На почту прилетел отчет за 2022 год от сервиса Data.AI (бывшая App Annie), анализирующего рынок мобильных приложений. Россия от этого рынка, безусловно, отделилась. У нас строят свои магазины приложений и изыскивают новые решения. Но в формате короткой строки хочется поделиться некоторыми данными:
- На Mobile-First рынках (это рынки, где смартфоны преобладают над компьютерами, к таким рынкам можно отнести и Россию) среднее время, которое пользователь каждый день проводит за своим смартфоном, достигло 5 часов. И это напрямую можно связать с последствиями пандемии. Посмотрите на 2019 и 2022 годы.
- Россия, по оценке Data.AI, входит в топ-6 по числу скачиваемых приложений и в топ-7 по количеству часов, проведенных за смартфоном. Из графика по тратам, конечно, Россия вылетела, то есть смотрим, качаем, но не тратим.
- Довольно любопытно выглядит вот этот слайд. Он показывает, что снижение доходов у домохозяйств привело к снижению трат в играх, но при этом продолжается рост трат в сервисных приложениях. Это ещё одно последствие коронавируса. Люди привыкли к доставкам и прочим сервисам, которые можно оплатить через смартфон.
- Топ самых используемых приложений в мире практически идентичен. И это многое говорит о том, чего люди хотят от жизни и смартфонов. На первом месте «ТикТок» и социальные сети, дальше платформы для покупки товаров и доставки, карты и умный дом.
- Рынок мобильных игр – это впечатляющие 109,5 млрд долларов. Это более чем в 2 раза больше, чем рынок компьютерных игр. Вот, посмотрите на игры, забирающие себе львиную долю этой суммы. Из чего-то более-менее осмысленного можно выделить Genshin Impact и Roblox. Но больше всего зарабатывает ерунда типа Candy Crash.
- А вот иллюстрация самых скачиваемых игр. Ничего удивительного, что игровая индустрия находится в состоянии депрессии и даже ААА-игры постепенно превращаются в донат-доильни. Соответственно, когда в новостях вы слышите про мобильных геймеров, имейте в виду, что это вот они, играющие в шарики всех форматов и прочую ерунду.
При этом надо отметить, что в мире сокращаются траты на осмысленные игры (это все те же Genshin Impact, PUBG и т.д.), но растёт запрос на казуальные шарики, гоночки и игры типа Candy Crush Saga.
Самое слабое звено – это всегда человек
Тема защиты персональных данных давно вышла на качественно новый уровень. Если раньше про защиту данных рассуждали только антивирусные компании да тренеры на занятиях для сисадминов, то сейчас это мейнстрим, про который гудят из каждого утюга.
Некоторые компании так вовсе построили на защите персональных данных имидж. Так, например, поступает Apple, уверяющая своих пользователей, что iPhone – это единственный смартфон, который ни с кем не делится данными.
Не отстают и другие игроки рынка. Те же Google и Microsoft начали встраивать VPN в свои фирменные продукты, что должно говорить о том, что они радеют за безопасность своих пользователей.
Используя VPN, вы как бы говорите, что не доверяете своему интернет-провайдеру, но на 100% верите некой компании, зарегистрированной в Панаме или каком другом офшоре. И, в принципе, в какой-то степени это резонно. Так как интернет-провайдер скорее может передать данные куда не следует и отправить своего клиента на нары. В то время как VPN-провайдер максимум продаст данные дата-брокерам.
Самое забавное, что про защиту персональных данных с каждым годом говорят всё больше и больше, так как пропорционально всё больше и больше данных утекает в сети.
Для России 2022-й подавно стал годом потрошения. На регулярной основе в сеть сливались данные пользователей доставок, пациентов клиник, банков, магазинов, такси, госуслуг, центров страхования и даже Почты России… Я был подписан на канал в «Телеграме», занимающийся мониторингом утечек. И в какой-то момент отключил звуковые уведомления этого канала, так как иногда по несколько раз на дню смартфон начинал пиликать, так обильно лили.
2023-й начинается не лучше. Уже «порадовали» новостями про утечку данных клиентов магазина «Спортмастер», что-то там утащили у Reg.ru и неожиданно взломали сайт Алтайского государственного университета, выложив личную информацию студентов.
Ни в коей мере не хочу умалить заслуги хакеров, как чёрных, так и белых, прикладывающих интеллект, чтобы найти уязвимости. Однако, будем откровенны, большинство «взломов» происходит иначе.
Безусловно, есть фатальные «баги», дающие доступ к системе. Но зачастую их используют не суперхакеры, а обычные кул-хацкеры, скачавшие на известных форумах эксплойты и примерно понимающие, как именно их применять. Однако уверен, что и таких меньшинство. А на самом деле главная системная уязвимость – это человек.
Отделение «Сбербанка» — нет, прошу прощения, «Сбера» — пожилой мужчина вывалил на стол перед сотрудником свою технику: смартфон и планшет. Проблема в том, что ни там ни там не получается зайти в приложение «Сбербанк Онлайн». Это было, как вы догадались, в день, когда приложение «Сбера» перестало работать на устройствах с Android 6 и древнее.
Сотрудник «Сбера» устало растолковывает, что система теперь не поддерживается. И предлагает настроить веб-версию. Мужчина вздыхает, сетует на капитализм и цены, бубнит что-то про грабёж населения (видимо, считает, что тут имеет место сговор банков и производителей смартфонов).
Выполнив процедуру настройки веб-сервиса на обоих устройствах, менеджер радуется, что наконец-то развязался с душным контактером, но не тут-то было. Мужчина требует, чтобы сотрудник ввёл ещё и логин-пароль, так как «знаем мы, сейчас домой приду, у меня ничего не получится, и надо будет идти обратно».
Как вы догадываетесь, логин-пароль записаны на листочке. Однако мужчина непрост. Листок менеджеру он не даёт (вдруг тот украдет), но начинает сам диктовать. Я даже наушники вытащил, чтобы лучше слышать. В принципе, это было необязательно, так как всё повторено дважды (ведь у мужчины смартфон и планшет). Больше всего в этой истории меня поразило то, что вообще никто этому не удивился. Ни сидящие вокруг люди, ни менеджеры за стойками. Никто даже бровью не повел, как будто так и надо.
Данный пример – это типичная ситуация, когда человек сам не бережет или, точнее говоря, не понимает, как беречь личные данные. Самое печальное, что тут ничем не поможешь.
И банки могут сколько угодно применять самые хитрые способы аутентификации и подтверждения операций. Люди всё равно под влиянием, как это правильно называется, социальной инженерии будут переводить мошенникам деньги, брать кредиты, продавать квартиры ради помощи мифической полицейской операции. Что говорить, если в сводках фигурируют и чиновники, и даже сотрудница Центробанка, которая, казалось бы, должна что-то понимать.
Относительно недавно фигурантом громкого скандала стала компания-производитель роботов-пылесосов Roomba. iRobot – лидер рынка роботов-пылесосов, доминирующий на рынке США. Компанию за 1.7 млрд долларов приобрела Amazon.
И вот в Интернет попало множество фотографий (в том числе некоторые весьма неприятные), которые были сняты с очевидного ракурса. Особенно «популярна» стала фотография женщины на унитазе.
И вот вопрос, кто виноват, что подобные фотографии оказались в Интернете?
Разумеется, в первую очередь можно подумать про хитрых хакеров, взломавших умный дом и получивших доступ ко всем гаджетам. И это логично, так как нам постоянно твердят, что IoT (интернет вещей) вообще не защищен и любой может получить удаленный доступ к умному чайнику.
Но нет, оказалось, что хакеры не виноваты.
Тогда обвинили iRobot, которая в лучших традициях жанра перевела стрелки на подрядную компанию, занимающуюся разметкой моделей для искусственного интеллекта.
Этот момент не все знают, но в мире существует значительный пласт IT-компаний, занимающихся подготовкой данных, которые потом будут использоваться для машинного обучения. И обычно это ручной труд. Многочисленные сотрудники, сидящие перед мониторами, открывают бесчисленные фотографии и или маркируют их с нуля, или вносят корректировки того, что распознал искусственный интеллект.
В частности, iRobot работает над тем, чтобы её роботы-пылесосы лучше ориентировались в пространстве, узнавая комнаты по наборам предметов. Это нужно для выполнения сложных команд. Например, чтобы пользователь мог сказать: «Уберись на кухне». Или даже сложнее: «Уберись вокруг дивана». Условно говоря, робот должен сообразить, что такое диван, где он находится, и обозначить рабочую зону вокруг дивана.
Тут, пожалуй, надо пояснить, что речь идёт про продвинутые версии пылесосов, обладающих камерой для так называемого компьютерного зрения.
Обзор можно почитать тут:
Ручная разметка данных – это неотъемлемый атрибут искусственного интеллекта. Чтобы ChatGPT так легко вёл осмысленные диалоги, десятки (если не сотни) тренеров искусственного интеллекта дни напролет создавали шаблоны вариаций бесед. Точно так же для автономных автомобилей отсматривают бесконечные записи движения по дороге, размечая те или иные ситуации.
При этом «разметка» — это низкооплачиваемый труд. За такие вакансии платят по 600 долларов, а то и меньше. Зачастую этим занимаются сотрудники на аутсорсе в бедных странах, где 500-600 долларов – это хорошие деньги. Так что нет ничего удивительного, что в итоге фотографии всплыли на одном из форумов в Венесуэле.
И вот кажется, что мы уже разобрались, кто виноват в этой истории. Низкооплачиваемые сотрудники из бедных стран, которые чихать хотели на этику.
С одной стороны, да. С другой — сами владельцы роботов не проявили осмотрительность. Когда история начала раскручиваться, iRobot была вынуждена пояснить, что это фотографии с особенных роботов, которых раздали добровольцам, помогающим компании в совершенствовании продукта. По словам iRobot, выданные роботы были оборудованы особым софтом и железом. Плюс в дизайне роботов был предусмотрен зеленый индикатор, сигнализирующий о том, что робот не просто ездит, но и ведет видеозапись. И владельцы роботов были проинформированы об этом, так что в их праве было убрать из кадра предметы, которые они хотели скрыть. Применительно к данному случаю это означает: закрой дверь в туалет, если ты согласилась, чтобы у тебя по дому ездила видеозаписывающая автономная машина, подключенная к Интернету.
При этом инженерам iRobot и компании по первичной обработке надо отдать должное. Они встроили функцию, которая вырезала лица людей, попавших в кадр. Вот так забавно получилось: попа на унитазе есть, а лица нет.
И тут кажется, что решением могло бы стать повышение уровня образования среди пользователей. Но вряд ли это поможет. Тут на днях шеф провел небольшой эксперимент в нашем телеграм-канале, поместив скриншоты браузера Microsoft Edge из Google Play, — мол, браузер от Microsoft не шифрует данные.
После набрал более 10 тысяч просмотров, собрал комментарии. И нет причин считать, что у нас необразованная аудитория. Вернее, так, аудитория Mobile-Review.com – одна из наиболее продвинутых в Рунете. Однако комментарии выглядели примерно так:
Более вдумчивые пошли читать пользовательское соглашение. Вероятно, впервые. Если же вас интересует, почему указано, что данные не шифруются, то тут не всё так просто:
- Microsoft Edge может быть частью корпоративных систем, где трафик мониторится администраторами.
- Microsoft Edge — неразрывная часть экосистемы Microsoft со множеством интегрированных продуктов. Например, если кто-то дал ссылку на документ в OneDrive, то это можно воспринимать как нешифрованные данные.
- Если включена синхронизация, то все данные шифруются, но только у адресов, паролей и другой личной информации есть end-2-end шифрование. Все остальные данные, хранящиеся на серверах Microsoft (например, история браузера или любимые веб-сайты), тоже шифруются, но у Microsoft есть инструмент для дешифровки.
- Личные данные можно запросить для удаления. Если пользователь состоит в корпорации (бизнес, учеба), то за удалением данных надо идти к администратору.
Ну и, конечно, странно, что никого не смутил факт отсутствия хотя бы каких-то новостей про утечки пользователей Edge. При этом надо отметить, что Edge, работающий на движке Chromium, подвержен тем же уязвимостям, что и Chrome, и любой другой браузер.
Как говорится, у страха глаза велики. И всё же факт остаётся фактом: главное слабое звено – это человек. Причем как пользователь, так и сотрудник. На конференции «Лаборатории Касперского» в конце прошлого года рассказывали, что за 2022 год выросло количество «подкупов», когда сотрудникам «интересных» компаний предлагалось за вознаграждение просто воткнуть флешку в рабочий компьютер. За некоторые предложения плата составляла 5 тысяч долларов. С какой стороны ни посмотри, сумма соблазнительная. Предлагаю читателям пофантазировать: воткнули бы флешечку? Ушла бухгалтер на обед, а вы флешечку на минутку – оп! – и всё.
100% защиты существовать не может, если воздвигнуть вокруг пользователя забор, как это сделала Apple. Даже тогда всё равно случаются утечки, как, например, печально известный взлом iCloud. Сам сервис был надежен, но Apple допустила ошибку, разрешив многочисленный ввод паролей. А сами пользователи использовали слабые пароли, которые было легко подобрать.
Заключение
Глядя на то, какие игры в топе, нет причин думать, что человечество резко поумнеет и станет внимательнее. Скорее наоборот, чем дальше в лес, тем более легкомысленно люди относятся к собственным данным. Впрочем, кто его знает? Расскажите в комментариях, вы хоть иногда читаете пользовательские соглашения?
Про себя могу сказать, что примерно два года назад начал пролистывать пользовательское соглашение, всматриваясь в разделы про «права и обязанности». При этом не могу сказать, что насколько-то отличаюсь от типичного пользователя. У меня порядка четырех паролей, состоящих из хаотичного набора букв, цифр и символов, которые я применяю для «важных» сервисов, и парочка легких паролей, которые использую в остальных случаях. Зачастую я обновляю пароли, только если меня об этом просит сервис, так что на некоторых платформах не обновлял пароль уже 13 лет (тут пришло уведомление, мол, «вы не обновляли пароль 13 лет, это небезопасно» — да ладно?!). Ну и там, где это возможно, я использую двухфакторную авторизацию. А из относительно последних новинок завел виртуальную машину для всяких сомнительных файлов из Интернета и почты.
>>использую двухфакторную авторизацию
В нынешних реалиях, когда российских пользователей отключают от разных сервисов, это может обернуться проблемой, как, например, в PSN весной, когда код не приходил на российские номера.
"…нет причин думать, что человечество резко поумнеет и станет внимательнее."
А потом они будут всех под себя ровнять — вот это и пугает!
Кто там смеялся над людьми которые заклеивают камеры на ноутбуках?
> десятки (если не сотни) тренеров искусственного интеллекта дни напролет создавали шаблоны вариаций бесед. Точно так же для автономных автомобилей отсматривают бесконечные записи движения по дороге, размечая те или иные ситуации.
Искуственный интеллект говорите? Ну да, ну да…
Ну да конечно, слабое звено — это человек. Например, эффективный(зачеркнуто) дефективный менеджер в банке, который решил, а зачем выдавать клиенту аппаратный ключ доступа, пусть он лучше запишет логин и пароль на бумажке, а если что — то мы ему новые логин с паролем пришлем, открытым текстом через самый бюджетный шлюз СМС. Зачем делать разные карточки для приема и отправки денег, давай все с одного номера карточки делать, а еще лучше, чтобы этот номер карточки еще и логином к интернет-банку был, а че, удобно ведь. Зачем мучиться с разными способами авторизации, можно ведь в одном СМС написать, типа не говорите код никому, даже сотрудникам банка а в следующем — требовать сообщить его для подтверждения какого-то действия в офисе, а че, ведь каждый клиент — эксперт по безопасности, разберется.
Alexbur, Подтверждаю, со мной именно так и случилось. В итоге настроил двухфакторку на почтовые ящики (российские, на всякий пожарный).
В общем то до бумажки с паролем пользователя доводит админ. Пароноидальная безопасность там где она ни к чему и таких ресурсов десятки. Пользователь уже просто не видит разницы между регистрацией в какой нибудь читалке и банковском сайте, и не имеет возможности запоминать десятки паролей. Считайте по умолчанию что про вас все известно, расслабьтесь и получайте удовольствие. Пока не перенесут тяжесть наказания на использование ворованных персональных данных ничего не изменится.
Кстати, тут же вышла iOS с поддержкой аппаратного ключа, что явно будет способствовать популярности такого средства безопасности. Поскольку, в отличие от этих ваших паролей и СМСок, ключ вещь серьезная, повесил на цепочке на шею и в безопасности. Ну а если отдал кому, это уже интуитивно понятно каждому — сам дурак, это как ключ от квартиры, где деньги лежат.
Конечно, кто-то сейчас вспомнит про андроидовские ключи, но там не тот контингент, не пользуются…
Помню, безопасник требовал при использовании внутреннего файлового сервера для передачи ему данных использовать архивы со сложным паролем. Ну мы стали ему отправлять скриншот пароля в 32 символа, в разных регистрах, с доп символами, с наложенными водяными знаками для защиты от автораспознавания. Через неделю он сказал, что достаточно 4-х значного числового ПИН-кода.
GrishaTav_SE, Это Эппл еще всем фанатам собирается номерной жетон на шею повесить? 😉
Тут есть такой ньюанс, что потеряв такой ключ вы будете выть, что лучше б вас просто взломали.
Почитайте про основные цифровые аутентификаторы отзывы в маркете, сторе для начала. Там плачъ, содом и гоморра 😉
мимoпроходил, А вы думали, почему Chat GPT? Чат Гупта!
iAndroid, Но подождите, это же Андроид, там всегда все криво. Эппл-то все сделает по уму, начиная с рекомендации сделать два ключа. Понятно, что для пользователей Андроид это ножом по сердцу, они и один купить не готовы…
GrishaTav_SE, Два аппаратных ключа — это типа бекапа наверное?
Лучше сразу пять и разбросать их везде — дома, на работе, на лавочке 🙂
iAndroid, Можно и шесть, всего допускается от 2 до 6 ключей. Собссно, в этом и заключается магия Эппл, что технология будет работать, в отличие от сами понимаете какой системы. Там, небось, допускается один ключ (типа а че я буду переплачивать, я луДше один куплю, сэкономлю), после чего в результате глюка или утери разворачивается привычный андроидный адок.
Yuri, От механического турка не далеко ушли.
GrishaTav_SE, Да не, пускай.
В РФ не думаю, что продажи будут настолько огромными, так, блогеры купят и несколько тру фанатов.
Свой, как купите — напишите опыт использования 😉
iAndroid, Ну вот посмотрим, что блогеры напишут, заодно прочитаем очередные "10 причин не покупать аппаратный ключ, ибо Эппл все равно фсе" 🙂 Но настроение купить есть, нужно просто разобраться, например, какой ключ, можно ли один ключ на разные девайсы с разным ID и т.п.
Легко рассуждать о сферической безопасности в вакууме. Сразу видно какая более безопасная. Но стоит задуматься о цене, любая мера снижает удобство, как все становится не столь очевидно. Хуже того, ИТ среда такова, что даже соблюдение многих мер, не дает уверенность в безопасности. А еще хуже, что ваша информационная безопасность противоречит интересам тех, кто хочет вас контролировать или на вас заработать. Ибо находясь в безопасности, вы также будете в безопасности от них. Эти человеки, в итоге и есть самое слабое звено.
GrishaTav_SE, >> …ключ вещь серьезная, повесил на цепочке на шею и в безопасности. Ну а если отдал кому — сам дурак, это как ключ от квартиры, где деньги лежат.
Это если замок для этого ключа поменять столь же легко, как дверной замок, при утере ключей от него.
Lecron, А дверной замок легко поменять при утере единственного ключа и ЗАПЕРТОЙ двери? Что-то подсказывает, что не очень 🙂 Ну если, конечно, дверь не андроид-стайл, которая открывается просто от хорошего пинка ногой.
GrishaTav_SE, Опять начинаете выкручиваться? Где вы видели единственный ключ от дверного замка? Я лишь писал о том, что ИТ безопасность при утере ключа, должна быть также легко восстановима, как для механического замка. Пока этого нет, утверждать ее высоту, довольно нелепо. Насколько бы не был надежен сам ключ.
Lecron, Но подождите, реальная ситуация, ключ потерян на улице, дверь заперта, запасные ключи, если они есть, внутри. Теперь вернемся к Эппл, там два ключа по умолчанию, иначе оно не активируется. В чем проблема-то? Очевидно, что предусмотрен случай, когда после утери одного ключа система разблокируется запасным и тут же нужно будет подшить новый. В чем конкретно проблема?
GrishaTav_SE, Не знаю, есть ли проблема. Может и нет. Просто вы в своем описании процесса замены не упомянули один пункт — старый ключ перестает действовать. Если так, нет проблем. Если нет — сами-то вы доступ получите, но от постороннего, владеющего утерянным вами ключом, система не защищена.
Lecron, Нет, вы явно принимаете Эппл за какую-то другую компанию. Ессно, все уже придумано до нас, процедура добавления и удаления ключей описана в доках, все ОК.
https://support.apple . com/en-us/HT213154
"предлагалось за вознаграждение просто воткнуть флешку в рабочий компьютер" это интересно у каких компаний не заблокированы usb порта?
Digital61, ни работал ни в одной где заблокированы
90korolev, ещё скажите и програмы не стоят для контроля за работниками, ведут учет времени в рабочей программе и вообще чем пользователь занимается на рабочем компе. вы в каких то фантастических компаниях работаете ))
Digital61, тоже не сталкивался с такими вещами)
90korolev, По моим наблюдениям, в больших, где есть собственная служба безопасности — 50/50. В меньших, коих на самом деле 95+%, действительно нигде. Хуже того, предложение по блокировке будет принято в штыки работниками и самое плохое — "штыки" будут поддержаны руководством. Впрочем, возможно так и надо. Ну что у них красть?
Lecron, Даже в крупной строительной фирме с службой безопасности такого нету. Обычный рабочий сценарий когда ты получаешь какую-то рабочую документацию на флешке.
😤