`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Обращение Тима Кука к акционерам Apple

Сегодня Apple сделала несколько неожиданный шаг – компания опубликовала письмо генерального директора компании Тима Кука к акционерам, рассказав немного о предстоящей публикации финансовых результатов квартала, который только что закончился. Это достаточно необычно, потому что компании пришлось рассказать о том, что её прогноз на выручку этого квартала, данный около двух месяцев назад, не оправдался. Компания ожидала выручку в пределах между 89 и 93 млрд долл. Однако, в только что закончившемся квартале выручка составила примерно 84 млрд. долларов (это ниже, чем в квартале год назад, когда выручка составила 88.3 млрд долл). Скорей всего, такой анонс вызван юридическими требованиями, регулирующими деятельность публичных компаний; сидеть еще месяц на информации, что компания не добрала 5-9 млрд долларов выручки, чревато исками о сокрытии информации от акционеров, любящих подавать иски.

Обращение Тима Кука к акционерам Apple

Новости, безусловно, для компании плохие – тут нечего отрицать. Тим Кук в своем письме по ссылке выше пытается пояснить, почему так произошло. Письмо, как мне показалось, достаточно сложное, и поэтому, допущу, ситуация может оказаться (или показаться) хуже, чем на самом деле. Покажет будущее, но в этом квартале хор слухов о снижении заказов на производство таки оказался верным; их было достаточно много, чтобы просто игнорировать как неполную или некорректную информацию. Правда, для Apple этот квартал все равно станет вторым по объемам выручки квартал за истории компании («жалкие 84 млрд!»), но это уже не так важно для критиков, потому что «Акелла промахнулся!».

Я собрал здесь основные пункты из письма Кука, которые мне показались интересными, плюс разбавил это своими комментариями, чтобы было веселее.

===========

2 января 2019г

К акционерам Apple:

Сегодня мы пересматриваем наш прогноз на первый финансовый квартал 2019г, который закончился 29 декабря.

Теперь мы ожидаем следующих показателей:

Выручка примерно 84 млрд долл

Валовая прибыль примерно 38%

Операционные расходы примерно 8,7 млрд долл

Другие доходы/расходы примерно 550 млн долл

Ставка налогообложения примерно 16,5%

Мы ожидаем количество акций в обороте для расчета дохода на акцию примерно 4,77 млрд штук.

Основываясь на этих оценках, наша выручка будет ниже, чем наш первоначальный прогноз на квартал, а остальные параметры примерно останутся на уровне нашего прогноза.

Когда мы обсуждали наш прогноз на первый квартал около 60 дней назад, мы знали, что на результаты первого квартала повлияют как макроэкономические, так и характерные для Apple факторы. Основываясь на наших лучших оценках, как эти факторы могут повлиять, мы прогнозировали, что мы продемонстрируем небольшой рост выручки по сравнению с кварталом год до этого. Как вы помните, мы обсуждали четыре фактора:

Во-первых, мы знали, что разница во времени запусков моделей iPhone повлияет на сравнение с годом до этого. Наши флагманские модели – iPhone XS и XS Max – поступили в продажу в четвертом квартале 2018г, что привело к поступлению в каналы и ранним продажам в том квартале, в то время как прошлогодний iPhone X поступил в продажу в первом квартале 2018г, что привело к поступлению в каналы и ранним продажам в декабрьском квартале. Мы знали, что это создаст сложности для сравнения первого квартала 2019 года, и тут все произошло в соответствии с нашими ожиданиями.

Во-вторых, мы знали, что сильный доллар США создает нам встречный ветер в плане разницы курсов, и ожидали, что это снизит наш рост выручки на примерно 200 базисных пунктов, по сравнению с предыдущим годом. Это тоже произошло в соответствии с нашими ожиданиями.

В-третьих, мы знали, что у нас будет беспрецедентное количество новых продуктов для запуска в квартале, и ожидали, что лимиты предложения ограничат наши продажи некоторых продуктов в первом квартале. Опять же, это произошло в соответствии с нашими ожиданиями. Продажи Apple Watch Series 4 и iPad Pro были ограничены почти весь квартал. Продажи AirPods и MacBook Air тоже были ограничены.

(прим. пер. Тут речь идет о том, что компания не успевала производить столько продуктов, чтобы удовлетворять спрос).

В четвертых, мы ожидали экономическую слабость на некоторых развивающихся рынках. Это имело гораздо более сильное влияние, чем мы прогнозировали.

Эти и другие факторы привели к меньшему количеству апгрейдов iPhone, чем мы ожидали. Эти последние два пункта привели нас к снижению нашего прогноза по выручке. Я хотел бы чуть углубиться в них.

Сложности на развивающихся рынках

Большая часть недополученной выручки к нашему прогнозу и более чем 100% снижения нашей выручки произошло в Китае в продажах iPhone, Mac и iPad.

(прим. пер. Я склоняюсь к тому, что iPhone XR, на который Apple возлагала большие надежды, не зашел в Китае так, как на это рассчитывала компания. Восприятие рынком этой модели как «упрощенная дешевка за кучу денег» очень сложно перебороть)

Мы считаем, что экономической среде в Китае дополнительно был нанесен ущерб растущим торговым напряжением с Соединенными Штатами.

(прим. пер. Соревнование размерами половых органов между Трампом и Си Цзиньпин в торговой войне между США и Китаем до добра не доведет никого, а Apple оказалась одной из самых заметных жертв этого процесса)

iPhone

Выручка по iPhone ниже ожидаемой, в основном в Китае, отвечает за все наше снижение выручки относительно прогноза, и за гораздо больше, чем за все наше снижение выручки, по сравнению с предыдущим годом. Категории, которые не iPhone – Сервисы, Mac, iPad, носимая электроника и аксессуары выросли почти на 19% по сравнению с предыдущим годом.

(прим. пер. Очень много официальной терминологии, скажу проще. Практически все, что не добрали выручкой в этом квартале – это то, что недопродали в Китае. То есть, видимо, продажи в других странах оказались все равно на уровне ожиданий Apple, и весь агрессивный маркетинг, который мы наблюдали на протяжении этого квартала, скорей всего, был связан с желанием Apple компенсировать падающие продажи в Китае).

И хотя Китай и другие развивающиеся рынки ответственны за большую часть снижения выручки по iPhone по сравнению с предыдущим годом, на некоторых развитых рынках апгрейды на iPhone тоже не были на том высоком уровне, который мы ожидали.

(прим. пер. Видел очень много комментариев о том, что модели этого года не так сильно отличаются от X, поэтому многие решили этот год пересидеть без апгрейда. Своими действиями вы расстраиваете Тима Кука!)

И хотя макроэкономические сложности на некоторых рынках были основной причиной этого тренда, мы считаем, что есть и другие факторы, сильно повлиявшие на продажи iPhone, включая то, что потребители подстраиваются под мир, в котором меньше дотаций со стороны мобильных операторов, растут цены благодаря сильному доллару, а также некоторые потребители воспользовались возможностью заменить аккумулятор iPhone по сниженной цене.

(прим. пер. Гораздо больше проблема в том, что новый аккумулятор в старом телефоне для пользователей оказывается привлекательней нового айфона. Значит ли это, что новый айфон уже не настолько привлекателен, и в нем не хватает новых интересных возможностей, чтобы убедить людей перейти на него? Или же компания пользовалась покупками новых айфонов как побочным эффектом деградации аккумулятора. Ни то, ни другое компанию не красит.

Правда, надо отдать должное разработчикам процессоров Ах и операционной системы iOS, которые делают так, что даже 5-летний телефон получает новейшую версию ОС и отлично на ней работает.)

Положительные результаты в последнем квартале

База активных устройств достигла нового рекорда по росту, и выросла более чем на 100 млн единиц за 12 месяцев.

(прим. пер. Около 1.4 млрд штук, по некоторым оценкам)

Сервисы сгенерили более 10,8 млрд долл выручки в этом квартале, достигнув нового квартального рекорда в каждом географическом сегменте, и мы по-прежнему планируем достичь нашей цели по удвоению размера этого бизнеса с 2016 по 2020 год.

Выручка по носимой электронике выросла почти на 50% по сравнению с годом назад, так как Apple Watch и AirPods были невероятно популярны среди покупателей в праздники. Запуск MacBook Air и Mac mini привели к росту выручки по Макам по сравнению с кварталом год назад, а запуск нового iPad Pro привел к двухзначному проценту роста выручки по категории iPad, по сравнению с кварталом год назад.

Мы также ожидаем установить рекорды по выручке в некоторых развитых странах, включая США, Канаду, Германию, Италию, Испанию, Нидерланды и Корею. И, хотя мы столкнулись со сложностями на некоторых развивающихся рынках, другие страны установили рекорды, включая Мексику, Польшу, Малайзию и Вьетнам.

Глядя вперед

Наша прибыльность и движение денежных средств остаются сильными, и мы ожидаем закончить квартал с примерно 130 млрд долл чистого денежного запаса. Как мы говорили ранее, мы планируем со временем стать компанией с нейтральным денежным запасом

(прим. пер. когда объем запаса денежных средств и задолженностей компании равны)

(прим. пер. Ну и дальше там про то, как мы уверены в будущем, и блаблабла, и упрощаем процедуру трейд-ина, и данные переносим, и вообще всячески будем стараться, потому что мы такие молодцы, и все будет хорошо).

===================

Дальше я уже от себя. Завтра и в ближайшем будущем мы, конечно, начитаемся экспертов, которые будут рассказывать о том, что они уже вот лет 20 говорят, что этой выскочке Apple конец. Самые горячие (и пустые) головы наверняка будут призывать еще и Кука сменить (интересно, на кого?). Меня лично смущает в этой истории другое. В самом начале Тим Кук говорит о том, что в Apple они знали о предстоящем непростом квартале. Но удивительно то, что они не смогли правильно оценить масштабы того, насколько сложным окажется квартал, и это застало их врасплох. Что настолько сильно пошло не так в Китае, что там продажи iPhone рухнули таким стремительным домкратом? Иски Qualcomm и прочие баны на использование iPhone в Китае происходили уже ближе к концу квартала. Китайских потребителей возмутили цены на новые iPhone? Ну не знаю, это как-то не похоже на Китай. Так что именно эта существенная коррекция относительно прогнозов результатов квартала, которые были выданы всего 2 месяца назад – это самый большой сюрприз всего этого анонса.

Очень легко свалить все на какую-то одну причину: отсутствие инноваций, высокие цены или свет с Венеры, отраженный от верхних слоёв атмосферы. Эту проблему остановки роста действительно нельзя возложить на какую-то одну единственную причину. Apple как компания очень большая, и оперирует на глобальном уровне, поэтому огромная масса различных факторов, включая макроэкономические, влияет на результаты деятельности компании. Рост продаж iPhone должен был рано или поздно прекратиться – закон больших чисел, плюс ограниченное количество людей, которые могут позволить себе очень дорогой смартфон. Со своей стороны Apple ускорила наступление этого момента, уведя телефон в какую-то запредельно дорогую территорию со смартфонами до 1,5 тыс. долл. Другие производители не заставили себя долго ждать, и тоже начали выпускать все более дорогие версии своих смартфонов, но Apple в любом случае предводитель этого тренда. Списать снижение продаж на эластичность спроса было бы очень легко, но в случае с уже устоявшимся насыщенным рынком смартфонов все не так однозначно. Важным фактором является и замедление цикла обновления устройств, который теперь вместо 1-2 лет составляет 2-3, а то и четыре. Добавьте сюда относительную эволюционную стагнацию инноваций в смартфонах в целом (это в том числе одна из причин замедлившегося цикла обновлений), и сложные отношения между США и Китаем, периодически переходящие во вполне активные «боевые действия» торговой войны, и вот результат.

Как ни парадоксально, но в этой ситуации Apple, по большому счету, жертва своих же действий. Да, Джобсу легко было в свое время говорить «мы будем делать хорошие продукты, и пользователи придут к нам». Это своего рода «рост с нуля», который очень часто легко показать. А когда ты окучил миллиарды людей своим продуктом, расти на таком рынке гораздо сложнее. А ожидания рынка и инвесторов никуда не деваются. Посмотрим, что будет дальше. Интересно, как поведут себя акции завтра. Теоретически после всех слухов о снижении уровня производства ожидания инвесторов уже заложены в падение курса с октября, но рынок такая штука, что лучше подождать и посмотреть. Особенно интересным моментом на официальном анонсе результатов квартала через месяц будет прогноз на текущий и следующий кварталы. В любом случае, без радикального прорыва, без чего-то совершенно нового в смартфонах ситуация вряд ли существенно изменится.

Обращение Тима Кука к акционерам Apple

Возвращение очаровательных котят – 2FA в опасности

Интереснейшая статья о spear-phishing атаках иранских хакеров, близких к Islamic Revolutionary Guard Corps (IRGC) против активистов, журналистов и представителей госорганов США. Интересна она прежде всего тем, что в атаках применялись методики, позволяющие обходить двухфакторную аутентификацию, установленную пользователями на учетных записях Gmail и Yahoo. Если вкратце, то нападающие злоумышленники мониторили с помощью встроенного в письма невидимого изображения открытие письма (поскольку атака была направлена на конкретного человека, это облегчало мониторинг). Если жертва повелась на полученное письмо, и начинала вход путем ввода логина и пароля, то при вводе пароля в фейковую страницу нападающие тут же получали логин и пароль. Они тут же вводили полученные реквизиты учетной записи в настоящую страницу. Если при логине показывался запрос на двухфакторную аутентификацию, атакующие тут же перенаправляли жертву на такую же, но фейковую страницу для ввода одноразового пароля, и после этого перехватывали и вводили у себя полученный одноразовый код.

В статье говорится, что были зафиксированы методы успешного фишинга в случае с 2FA кодами, полученными жертвами по SMS. Особенно помогало успешности атак то, что страницы постились на sites.google.com, и использовали адреса [email protected] и [email protected], что для большинства пользователей выглядит достаточно убедительно. Подтвержденных случаев успеха с 2FA-кодами из аутентификационных приложений вроде как нет, по словам Certfa Lab. Но, судя по схеме, ничего не мешает в случае такой атаки перехватить и их. В реальности от таких направленных атак могут защитить только аппаратные ключи безопасности (вот как это работает для Google). Большинству читателей канала, наверно, пока не стоит беспокоиться, вряд ли вы или я станем целью такой направленной атаки, но меня беспокоит то, что этот механизм вполне может быть автоматизирован в будущем, и тогда без ключа будет уже никуда. Chrome поддерживает ключи уже давно, Safari скоро тоже подтянется, а если вы действительно беспокоитесь о безопасности своего почтового аккаунта Gmail, рассмотрите вариант с Advanced Protection Program.

Первоисточник с огромным количеством деталей об атаках: https://blog.certfa.com/posts/the-return-of-the-charming-kitten/

Забавно, что статья называется «Возвращение очаровательных котят», потому что методика и сервера, использованные для атаки, очень похожи на деятельность хакерской группировки Charming Kittens, и авторы расследования делают вывод, что это они и есть. Хорошее название у группировки.

Возвращение очаровательных котят – 2FA в опасности

Видеонаблюдение и распознавание лиц

Недавно я упомянул историю про то, как Амазон и полиция ловят преступников, устанавливая камеры и подкладывая фальшивые коробки с GPS-трекерами. Вчитываясь в статью, я обратил внимание на тот факт, что камеры были предоставлены компанией Amazon. Это значит, что, скорей всего, речь идёт о дверных звонках Ring, разработчика и производителя которых Amazon купил какое-то время назад.

Потом читатель обратил мое внимание на вот эту статью на сайте ACLU, известной правозащитной организации в США. В статье рассказывается о заявке на патент от Amazon об объединении системы распознавания лиц Rekognition с дверными звонками Ring. Про Rekognition я уже как-то писал, что Amazon рассматривает этот проект как часть возможного сотрудничества с правоохранительными органами для распознавания лиц на камерах, установленных в городах. Собственно, в патентной заявке идёт речь примерно о том же, только теперь Amazon хочет подключить звонки Ring к базам данных правоохранительных органов, чтобы определять “подозрительные лица”, проходящие мимо звонков, в которые встроены камеры. Более того, владельцы звонков тоже могли быть добавлять фото “подозрительных” людей в систему, и тогда программное обеспечение уведомляло бы владельца, если такие люди приближаются к звонку у двери. В любом случае, конечная идея в том, что при совпадении “подозрительности” можно было бы автоматически слать уведомление в правоохранительные органы, а они бы реагировали соответствующим образом.

Звучит достаточно неприятно, особенно в рамках всех историй про системы наблюдения в Китае, хотя это всего лишь патентная заявка и её наличие вовсе не означает существования такого продукта или системы в будущем. (Там еще много всякого про идентификацию людей по другим биометрическим параметрам, включая анализ текстуры кожи, системы вен на ладонях, геометрии рук, распознавание запаха, и т.п.) Но вообще потенциальные юридические последствия внедрения такой системы сложно себе представить. Это и постоянное наблюдения вашего перемещения даже в случаях, когда вы этого совершенно не ожидаете, и тот факт, что подобные системы распознавания дискриминируют против людей с кожей более темного цвета, и тд. Не говоря уже о передаче и хранении подобной информации, и постоянных утечках данных, о которых мы постоянно читаем. Что-то на фоне этих новостей про Amazon Facebook начинает выглядеть безобидной песочницей для обмена мемасиками.

В эту историю с визуальным наблюдением и распознаванием лиц странным образом вписывается новость про то, как на концерте Тейлор Свифт была задействована система по распознаванию лиц для определения известных преследователей певицы. На концерте был установлен специальный киоск, на котором крутилось видео с репетиции. Всех, кто останавливались посмотреть видео, система фотографировала и отправляла фотографии в центр безопасности Тейлор Свифт, и там уже фото прогонялись через базу известных “нежелательных ухажеров” певицы. Что, разумеется, вызывает вопросы конфиденциальности персональной информации ничего не подозревающих посетителей концерта: кто и как хранит эту информацию, сколько времени, кто имеет к ней доступ и т.д. Хотя, конечно, было бы интересно узнать, удалось ли распознать кого-то, ради чего эта система устанавливалась. Подозреваю, что скоро к билетам на концерты и другие массовые мероприятия будет прилагаться длинное пользовательское соглашение, в котором посетители будут отдавать все свои права на визуальное наблюдение и распознавание в обмен на возможность посмотреть само мероприятие. (Которые проводятся чаще всего в частных помещениях-зданиях-комплексах, и посетители все равно достаточно бесправные).

А вообще, конечно, будет интересно посмотреть на “цифровое сопротивление” этому бесконечному наблюдению, от которого, к сожалению, очень сложно и практически невозможно скрыться. Маскировщики лица? Подмена лиц на чужие? Глушилки камер? Впрочем, большинству людей все равно, что там происходит с информацией о них и их местоположении, так что, скорей всего, ничего не изменится в этом прогрессе.

Видеонаблюдение и распознавание лиц

Сбор информации о местоположении

В западных интернетах бурлит статья в The New York Times о сборе информации о местоположении приложениями, установленными на смартфонах пользователей. Статья рассказывает о том, что есть целая группа компаний (около 75), которые скупают анонимную информацию о местоположении пользователей, собранную из различных мобильных приложений. Некоторые из этих компаний утверждают, что они собирают данные с почти 200 миллионов мобильных устройств в США.

Данные, по информации в NYT, анонимизированы, и собираются якобы с целью предоставления пользователям актуальных местных новостей, данных о погоде и тд. Данные затем продаются, используются и анализируются рекламодателями, розничными сетями и даже финансовыми компаниями. Её точность, а также частота отправки (в некоторых случаях — каждые несколько секунд) позволяет получить весьма интересные результаты с детальным пересечением некоторых пользователей. Например, кто-то в финансовой аналитической компании может проанализировать данные о количестве сотрудников на заводе или о количестве посетителей в магазине, чтобы представить себе, как идут дела у какой-нибудь компании. Подобные данные покупаются за 0,5-2 цента в месяц за пользователя, говорится в статье NYT.

В статье также говорится о том, что теоретически сотрудники компаний, которые собирают такие данные, могут при желании деанонимизировать полученные данные без согласия пользователей. Например, достаточно вычислить точку, где человек проводит ночи, чтобы узнать домашний адрес, после чего можно использовать публичную информацию, чтобы выяснить, кто там живет. Или же, наоборот, зная домашний адрес человека, можно следить за перемещением конкретного человека.

Ничего в этом мегарадикально нового нет. Основная претензия, озвученная в статье, заключается в том, что приложения, собирающие и отправляющие эту информацию о местоположении пользователей, зачастую не раскрывают действительную причину для сбора информации о местоположении. Кроме этого, компании могут не раскрывать, что происходит с собранными данными (или скрывать это за юридическими формулировками в лицензионном соглашении) — что они могут быть переданы третьим лицам или проданы. В США сбор подобной информации не регулируется федеральным законодательством.

Подобных приложений, говорится в статье NYT, насчитали почти 1,5 тысячи, согласно данным компании MightySignal, собирающей мобильную аналитику: около 1200 для Android, и около 200 на iOS. (Надеюсь, что когда-нибудь NYT напишет подобную статью и о компаниях, собирающих мобильную аналитику). И Apple, и Google заинтересованы в том, чтобы разработчики для их платформы были довольны, хотя Apple вроде как чуть более внимательно изучает использование данных о местоположении, которые запрашивает приложение, чем Google. В какой-то из последних версий Android Google также изменила поведение, когда приложения, находящиеся в фоне, могут получать данные о местоположении только несколько раз в час.

Можно ли как-то бороться с этим? Кроме самой статьи, NYT также опубликовали статью о том, как ограничить доступ к информации о местоположении приложениям на iOS и Android. У Android в настройках можно указать, что приложение не должно иметь доступа к данным о местоположении. У iOS это сделано немного проще, более того, настройки прав доступа чуть более гибкие, позволяющие указать доступ к информации либо “всегда”, либо “никогда”, либо “только когда приложение используется”. Я рекомендую пройтись по списку приложений в настройках ваших смартфонов, и отключить доступ к данным тем приложениям, которые, по вашему мнению, не должны обладать таким доступом. И, самое главное, никаких смартфонов и никакого интернета!

Более глобальный вопрос, конечно, что именно порождает такие бизнес-модели, когда пользователи и их информация становятся продуктом. И Apple, и Google своими магазинами приложений стимулируют экономику бесплатных приложений. Но, как известно, бесплатного ничего не бывает — даже простые бесплатные приложения требуют усилий на разработку, и финансирование этих приложений должно откуда-то появиться. Если пользователи не платят денег за приложения, значит, они платят чем-то другим. (К сожалению, правда, даже платные приложения не гарантируют чистоты обращения с данными пользователей). Так что, возможно, подобный материал — это знак, что нужно провести геноцид приложений на устройстве, удалить всякий бесплатный одноразовый треш с непонятными политиками. Может быть, даже купить что-то взамен бесплатных “шпионов” на ваших телефонах.

Сбор информации о местоположении

Документы Facebook

Парламент Великобритании выложил в открытый доступ 250 страниц документов и внутренней переписки компании Facebook, которая была изъята у основателей стартапа Six4Three в рамках судебного разбирательства между стартапом и социальной сетью.

Вот ссылка на документ (PDF):
https://www.parliament.uk/documents/commons-committees/culture-media-and-sport/Note-by-Chair-and-selected-documents-ordered-from-Six4Three.pdf

Из этих документов можно узнать массу интересного о том, как Facebook использует пользовательские данные, их политику при работе с разработчиками приложений, и как они используют свое доминантное положение на рынке социальных сетей.

Документ разбит на несколько разделов:

White lists
О неких белых списках компаний, которые сохранили данные о пользователях и их друзьях после изменения политики Facebook в 2014-2015 годах касательно доступа к пользовательским данным

Value of friends data
О том, как Facebook оценивал доступ к пользовательским данным и данным о друзьях, и как это влияло на выручку, получаемую разработчиками приложений

Reciprocity
Об обмене данных о пользователях между разработчиками и Facebook после внедрения новой версии платформы социальной сети

Android
О том, как Facebook внедрял возможность получить доступ к информации о звонках и сообщениях пользователей на смартфонах с Android (осознавая, что это может быть проблемой с точки зрения PR), и как компания пыталась замаскировать этот факт — чтобы не показывать соответствующее уведомление при обновлении приложения (УДОБНО!). Эта информация впоследствии была использована для подсказок о “людях, которых вы можете знать”.

Onavo
Я писал несколько раз в канале об Onavo — VPN-клиенте, который купила Facebook, и предлагала пользователям сети установить на смартфоны (и как его выперла из App Store Apple). Из документа можно узнать, что Facebook это все делал намеренно, пытаясь еще больше узнать о своих пользователях, в том числе о том, какие приложения они используют и как часто — чтобы принимать решение о том, какие приложения копировать и каких разработчиков покупать.

Targeting competitor apps
Как Facebook реагировал на приложения, которые им не нравились, и как принимались решения о перекрытии кислорода (доступа к данным) таким приложениям.

Сплошная корпорация добра, скажу я вам, этот Facebook. Connecting the world требует этого всего, как я понимаю.

Вот, например, письмо Цукерберга, в котором он размышляет о продаже пользовательских денег за деньги:
Документы Facebook

Короче, там много такого. Впереди как раз выходные, можно будет усесться поудобней и почитать повнимательней весь документ. А сколько всего мы еще не знаем.

А потом человек, сидящий в Facebook, задает там вопрос:
Документы Facebook
Конечно, ему даже в голову не придет, что там не нужно микрофон слушать, чтобы и так о нем все знать.

Документы Facebook

Утечка данных Starwood/Marriott

Новость дня — это, безусловно, анонс компании Marriott об обнаружении утечки данных на 500 миллионов гостей гостиниц сети Starwood, которую Marriott приобрел в 2016 году. Во время расследования обнаружилось, что злоумышленники получили доступ к сети Starwood еще в 2014(!) году. Среди этих 500 млн записей около 327 миллионов включают в себя некую комбинацию данных из имени, почтового адреса, номера телефона, адреса электронной почты, даты рождения, номера паспорта(!), даты резервирования, информации о прибытии и убытии, и тд. У некоторых посетителей гостиницы в том числе утекла и их платежная информация, хотя Marriott не раскрывает информацию о количестве таких записей. Информация о платежных средствах была зашифрована с AES-128, но компания утверждает, что компоненты, необходимые для расшифровки этой информации, тоже были похищены(!).

Из информации, опубликованной Marriott, непонятно, кто именно получил доступ к данным и каким образом это произошло. Компания опубликовала также отдельный вебсайт, содержащий в себе детальную информацию о том, что произошло, с большим количеством часто задаваемых вопросов и ответов: https://answers.kroll.com. 30 ноября затронутым взломом пользователям компания разошлет имейл с дополнительным ведомлением.

Если вы когда-либо останавливались в одном из перечисленных ниже отелей, ваши данные, скорей всего, попали в утечку:
W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton и Design Hotels.

It never ends, this shit.

Утечка данных Starwood/Marriott

DriveSavers и iPhone

Вчера в новостях мелькнула интересная новость от компании DriveSavers, что теперь у компании есть возможность добывать данные со смартфонов, даже если они защищены паролем (пресс-релиз). Причем эта услуга будет доступна и обычным потребителям, тем, кто, например, забыл пароль от устройства, заблокировал устройство слишком большим количеством попыток ввода неправильного пароля, или для ситуаций, когда нужно добыть данные с телефона умершего родственника.

По словам компании, они используют фирменную технологию, позволяющую получать доступ к данным на заблокированных устройствах. Ранее это было доступно для правоохранительных органов, использующих устройства компаний Cellebrite и Grayshift, а теперь это должно стать доступным и индивидуальным пользователям. Напомню, что с Grayshift история давняя и последний раунд после выхода iOS 12 вроде как остался за Apple. В случае с DriveSavers пользователи, обращающиеся за этой услугой, должны будут предоставить доказательства того, что телефон принадлежит им, а стоить услуга будет около 3900 долларов.

У MacRumors также есть комментарий от DriveSavers, в котором они подтвеждают, что они могут разблокировать iPhone и вернуть его разблокированным владельцу. Пока что эксперты, к которым я обратился, к этой новости относятся с недоверием и просят пруфы, но если то, что обещают DriveSavers, правда, то это может оказаться очень плохими новостями для Apple. Если DriveSavers обнаружили уязвимость в Secure Enclave (процессор, который обеспечивает безопасную загрузку и идентификацию пользователей в iOS-устройствах и некоторых Маках), то это может серьезно сказаться на репутации компании.

DriveSavers и iPhone

event-stream

История дня (или даже, наверно, правильно было бы сказать “fuckup дня”… хм, может, FUBAR дня?) уходит к event-stream, JavaScript-библиотеке с открытым исходным кодом. Как оказалось, злоумышленник (или злоумышленники) обратились к администратору популярной, но не очень активной в разработке библиотеки, получили админские права, влили туда свой вредоносный код, и таким образом за неделю доставили библиотеку со своим кодом в 2 миллиона установленных приложений с ней.

Все началось с версии 3.3.6, опубликованной 8 сентября, в которую вошел модуль flat-stream. 5 октября этот модуль был обновлен кодом для воровства кошельков Bitcoin и передачи баланса с них на сервер в Малайзии. Кроме постепенного внедрения кода в библиотеку, злоумышленник также зашифровал модуль flat-stream, чтобы код было сложнее вычислить. О ситуации стало известно только во вторник на прошлой неделе, а NPM выпустил рекомендацию только в этот понедельник. Если я правильно понял из обсуждения, цель кода заключалась в том, чтобы украсть кошельки с криптовалютой, разработанных Copay. Дополнительное обсуждение у Copay тут. Похоже, что это была очень таргетированная атака против разработчиков Copay, и затем код должен был войти в приложение для пользователей, чтобы украсть Bitcoin у конечных пользователей кошельков Copay.

Нужна ли тут какая-то мораль? open source — это, конечно, хорошо, но открытость и в то же время отсутствие денег приводят к подобным ситуациям. NPM пытается внедрять функциональность, которая бы ограничивала установку определенных версий кода, но усилий, предпринимаемых NPM, явно недостаточно для предотвращения попадания этих зависимостей в код, который может нас окружать.

event-stream

Сгенеренные отпечатки пальцев

На Motherboard статья об исследовательском проекте, в рамках которого продемонстрировали, как искусственный интеллект может генерить отпечатки пальцев, которые могут быть мастер-ключами для сенсоров сканирования отпечатков пальцев. Речь не о повторении ваших уникальных отпечатков и капилляров, а именно о создании искусственных отпечатков, которые могут стать ключом сразу для большой группы людей. Ой.

https://arxiv.org/abs/1705.07386

Рекомендую почитать весь отчет, там очень интересно:

Сгенеренные отпечатки пальцев

Они там тренировали свои сети на прокатанных на бумаге отпечатках, и на отпечатках с ёмкостных сенсоров, которые можно обнаружить в современных телефонах. Вопрос, конечно, в том числе и в уровне разрешения, которое сканируют сенсоры, в отчете есть статистика, что на качественных сенсорах уровень “обмана” — меньше 1,2%. Но я хотел сказать о другом. Никто никогда и не говорил, насколько я помню, что сенсоры сканеров отпечатков пальцев (или лица) нельзя обмануть. Если у вас такой уровень паранойи, то лучше всегда пользоваться PIN-кодом, который формально вас не могут принудить раскрыть (неформально-то разное бывает, конечно). Но если у вас есть опасения, что за вами охотится кто-то с таким уровнем знаний, оборудования и желания разблокировать ваш телефон, то о биометрии вам лучше забыть. Большинство же пользователей, которым не грозит такой уровень угрозы, и нужно, чтобы в телефон не залезли коллеги, дети или воришка, стащивший телефон, могут расслабиться и продолжать пользоваться сенсорами отпечатков пальцев или сканирования лица.

Сгенеренные отпечатки пальцев

Домашние наблюдатели, IoT и Cellebrite

Умные домашние колонки — они не только полезны, но и … (я хотел, было, написать, что “вредны”, но в этом случае все не так однозначно). Особенно если дело касается преступления, его расследования и предоставления доказательств. В 2017 году в штате Нью-Гемпшир произошло убийство, в котором погибли две женщины. Обвиняемый свою вину отрицает. В доме была обнаружена умная колонка Amazon Echo, и теперь суд принял решение, по которому Amazon обязаны предоставить не только записи, сделанные колонкой в районе произошедших событий, но и различные метаданные, включая и то, какие телефоны были “спарены” с колонкой.

Продолжая тему сбора информации с IoT устройств, нельзя не отметить также и старания компании Cellebrite. Компания известна тем, что предоставляет правоохранительным органам услуги по взлому смартфонов и получению информации с них. Наиболее известный кейс с участием этой компании — это, вероятней всего, их помощь во взломе iPhone террориста Саида Фарука, который расстрелял людей в Сан Бернардино, штат Калифорния.

Так вот, Cellebrite, видя, как развиваются различные устройства для дома, считает, что из них можно получить массу полезной информации при расследовании преступлений. Так выглядит, по их мнению, набор источников информации из гипотетического сценария с убийством, когда в квартире обнаружены, кроме тела жертвы, Amazon Echo, роутер Google OnHub, хаб Samsung Smart THings, датчики движения, сенсоры на дверях, и свич IPTime.

Домашние наблюдатели, IoT и Cellebrite

Собрав данные с этих устройств, можно, по мнению Cellebrite, получить достаточно много информации, которая способна помочь в расследовании убийства. Короче, преступникам скоро придется быть еще и хакерами, чтобы хорошенько замести следы.

IoT и Cellebrite

 
 
IDC
Реклама
Квартирные и офисные переезды! Быстро. Качественно. Звоните
pereezdoff-nn.ru

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT