вторник, 4 апреля 2017 г.

Новая атака на Samsung: теперь во всём виновата TIZEN OS?



Очередная спецоперация по компрометации Samsung развёрнута в различных западных СМИ. Некий "израильский учёный" по имени Амихай Нэйдерман (Amihai Neiderman) поднял шум о "наличии 40 уязвимостей нулевого уровня" в операционной системе TIZEN, которую разрабатывает Samsung в составе TIZEN-ассоциации, включающей Intel, ZTE, Huawei и ряд других.
Естественно, "благая весть" моментально была распространена по "дружественным" главным конкурентам Samsung изданиям и вызвала шквал гневных постов со стороны обитающей там особо ранимой публики.
За комментариями относительно поднятой шумихи мы решили обратиться к эксперту нашего блога Николаю Изнову.

Корр.: В своих заявлениях Амихай Нэйдерман утверждает, что "TIZEN - это настоящий рай для хакеров всех мастей". Насколько это соответствует действительности?

Н.И.: Для начала хотелось бы какой-то конкретики от этого господина. Заявить можно всё что угодно, но важно привести веские аргументы и доказательства.
Меня, например, интересует, имеется ли хоть один неоспоримо доказанный пример того, как конкретный человек пострадал от взломанного смарт-холодильника или телевизора Samsung? Вы читали хоть где-нибудь об этом? Был ли хоть один судебный процесс, доказывающий наличие критических уязвимостей, повлекших нанесение ущерба пользователю?

Корр.: Лично мне пока ничего подобного не попадалось. Был только шум, поднятый недавно WikiLeaks, но это не касалось TIZEN, а лишь старых смарт-ТВ на базе Linux.

Н.И.: Вот именно. Зато сообщений о реальных уязвимостях в Android и iOS пруд пруди. Помните о недавних скандальных утечках фотографий с обнажёнными голливудскими звёздами из "сверхзащищённого" облачного сервиса Apple, куда эти фото закачивались с iPhone и iPad? Они были растиражированы в Интернете, но "неравнодушные" к марке Apple СМИ быстро его замяли. А сообщениям о тысячах уязвимостей в Android вообще потерян счёт.
Понимаете, код любой операционной системы составляют живые люди, которым, как известно, свойственно ошибаться. При большом желании уязвимость можно обнаружить в любой ОС. В противном случае не было бы ни скандалов с WikiLeaks, ни с проникновением хакеров в базы данных Пентагона или вмешательством в американские предвыборные дела. И, смею вас заверить, ни в одном из указанных случаев TIZEN OS не использовалась. Взламывали ОС и сервисы от "передовиков IT" Apple, Google и Microsoft, а также различные проприетарные платформы.

Корр.: То есть можно вполне заподозрить всех этих "специалистов по взлому" в ангажированности?

Н.И.: Совершенно верно. Кто им платит, тот и заказывает музыку.
Господин Нэйдерман произнёс свою пламенную "антитайзеновскую" речь на конференции по кибербезопасности в очень экзотическом месте - на крошечном карибском острове Сен-Мартен (Нидерланды). Мероприятие, как ни странно, организовано российской Лабораторией Касперского. Эту компанию уже давно подозревали в обширных связях с ФСБ РФ, что вызвало на Западе массу кривотолков.
Не секрет, что Россия всеми силами пытается продавить на международный рынок финскую мобильную операционку Sailfish (это некий клон Android на той же Linux-базе), которую контролирует один российский олигарх, тесно связанный с Кремлём.
С помощью Sailfish ФСБ мечтает получить беспрепятственный доступ к разговорам и переписке как российских, так и зарубежных пользователей гаджетов на этой ОС.
TIZEN является ближайшим конкурентом Sailfish, а следовательно, против неё настроено консервативное "кагэбэшное" лобби, недовольное тем, что не имеет полного доступа к её коду. Их вполне можно понять: если вы продавливаете Sailfish на международный рынок, у вас появляются инструменты для манипуляций и контроля в IT-сфере. Здесь интересы Кремля вполне совпадают с интересами главных конкурентов Samsung - Apple и Google. Предыдущая их атака через "дружественные" (читай: прикормленные) СМИ провалилась, когда стало очевидно, что потребителей не очень испугали страшилки о "взрывающихся Galxy Note 7". Теперь, когда число предзаказов на новые флагманы Samsung Glalxy S8 снова бьют рекорды, понадобилась очередная страшилка и господин Нэйдерман со своей конторой.
Это тем более очевидно на фоне сообщений о том, что Google и Apple всеми силами пытаются протащить свои собственные решения в сфере IoT (интернета вещей). И вот тут Samsung явно пересёк им дорожку, вырвавшись в фавориты гонки.
Конечная цель той же Google - заставить "бунтаря" в лице Samsung вернуться на тотально контролируемую американцами Android. Иными словами, Samsung дают понять, что он перешёл за разрешённую "красную черту".
На сегодняшний день все крупные игроки мобильного рынка, кроме Samsung, покорились американскому диктату.   

Корр.: Если верить распространяемым сообщениям в прессе, Нэйдерман договорился до того, что сравнил TIZEN с "ОС, написанной студентом" и что это "возможно, худший код", который он когда-либо видел...

Н.И.: То есть этот человек одной фразой выдал себя с потрохами, фактически открыто заявив, что ангажирован.
Понимаете, в IT-сообществе есть определённая этика поведения и настоящий специалист по кибербезопасности никогда не будет кудахтать на весь мир подобно испуганной курице, а просто свяжется с авторами кода и сообщит о проблеме. Если его претензии обоснованы, он получит хороший гонорар.
Нэйдерман утверждает, что посылал сообщения о выявленных уязвимостях в Samsung дважды, но не получил должного ответа, а якобы лишь "дежурные отписки". Между тем ранее ни этот господин, ни его компания не были замечены в списках крупных специалистов по кибербезопасности. Некоторые вообще полагают, что эта контора действует по типу обычного патентного тролля, выбивающего деньги из корпораций по любому поводу.
В этой связи имеется ещё одно гораздо более простое объяснение поведения господина Нэйдермана. Как говорит нынешняя молодёжь, он просто хочет "тупо срубить бабла" с Samsung за обнаружение неких уязвимостей. На поверку всё это может оказаться незначительными изъянами в коде ОС, но свою долю Нэйдерман и К' могут урвать. То есть этот не то израильский, не то американский гражданин просто задирает ставки, раздувая шумиху в прессе.
Между прочим, ранее ведущие российские специалисты, работающие в сфере IT-безопасности, не выявляли ничего подобного и в таких количествах. Российская сборка TIZEN вообще стала единственной мобильной ОС, получившей сертификат ФСТЭК на право использования в государственном и корпоративном секторе, то есть квалифицирована как наиболее защищённая. Но после того, как "партия и правительство" РФ в лице главы минкомсвязи Никифирова постановили продвигать Sailfish, возникла странная "конференция" на далёком от цивилизации острове с участием мутных персонажей под эгидой Лаборатории Касперского, главной целью которых стала дискредитация TIZEN.  

Корр.: Что бы вы посоветовали рядовым пользователям смарт-устройств, которые сильно обеспокоены сохранением приватности?

Н.И.: Если человек помешан на приватности, то ему вообще не стоит пользоваться никакими(!) гаджетами, в том числе обычным проводным телефоном.
Даже если вы не ведёте разговор по городскому телефону, спецслужбы при желании могут активировать микрофон, встроенный в трубку.
И даже если вы будете пользоваться только голубиной почтой, всегда есть опасность, что вашего голубка перехватит какой-нибудь коршун.
Но поскольку большинство людей пользовались и будут пользоваться различными электронными гаджетами, никто в обозримом будущем не сможет дать полной гарантии от взлома. Это надо запомнить раз и навсегда. Государство в его нынешнем виде никогда не откажется от соблазна контролировать граждан в любое время и в любом месте.
Поэтому, если вы намерены хоть как-то себя обезопасить, просто отключите ваш смарт-телевизор от интернета и живите спокойно (лишь иногда его желательно подключать к Сети, чтобы обновить прошивку). Ну а коли вы этого не сделаете, вряд ли вас постигнет какая-либо существенная неприятность. Если вы не хранитель гостайн и не извращенец-педофил, особо опасаться нечего, так как даже если хакер проникнет в ваш смарт-холодильник, то его вряд ли сильно заинтересует список продуктов, которые вы заказали в интернет-магазине или сообщения, оставленные домочадцам. И опять же не надо забывать, что каждое последующее программное обновление, как правило, закрывает выявленные прорехи в коде используемой операционной системы. В Samsung этому уделяют большое внимание.
Что до опасений относительно доступа к вашим электронным кошелькам, то взломать эти системы не так просто, как кажется на первый взгляд. Тот же Samsung имеет особую зону безопасности хранения персональных данных KNOX, которая отмечена целым рядом престижных международных наград. Она может быть установлена на базе различных ОС (в том числе TIZEN) и, поверьте, взломать её очень сложно даже специалисту экстра-класса.

Корр.: Какие СМИ осуществляют атаку на ОС TIZEN, распространяя алармистские посты?

Н.И.: Это всё те же хорошо известные, лежащие под Apple и Google, "антсамсунговские" The Verge, C-Net, Phandroid, а также некоторые известные новостные телеканалы (BBC World News, Euronews, CNN), ранее лихо отметившиеся в раздувании слухов о "взрывных" Galaxy Note 7.

Корр.: Apple и Google реально пугает наступление TIZEN?

Корр.: Несомненно, иначе такой шум не был бы поднят. И, надо полагать, давление на TIZEN будет расти по мере её продвижения на рынок.

Корр.: Что делать Samsung, когда конкуренты так ополчились против него и фактически выступают единым фронтом?

Н.И.: Не отступать и не сдаваться.