Новости Software → Шифрование и защита данных
Главная новость

Специалисты по кибербезопасности бьют тревогу в связи с Meltdown и Spectre

2018 год начался неважно для IT-индустрии: широкой общественности (а значит и преступности) стало известно об архитектурных уязвимостях, которые затрагивают в той или иной степени почти все современные процессоры, оснащённые блоком предсказания ветвлений, и в теории позволяют злоумышленникам получить доступ к защищённым данным. Уязвимости, ставшие известными широкой общественностью под именами Meltdown и Spectre (в девичестве: CVE-2017-5715, CVE-2017-5753 и CVE-2017-5754), характерны, например, почти для всех процессоров Intel, выпущенных за последние 20 с лишним лет.

Усложняет ситуацию и то, что выпущенные уже заплатки не только в той или иной степени замедляют системы, но и приводят к нестабильности, над чем участники рынка работают сейчас не покладая рук. И хотя в своих заявлениях относительно проблемы ведущие компании постоянно подчёркивают, что пока им неизвестны успешные случаи использования этих методов атак злоумышленниками, такая ситуация, похоже, продлится недолго. И об этом, по мнению специалистов из компании Fortinet по кибербезопасности, следует думать уже сейчас.

Быстрый переход

Хакеры украли криптовалют на $1,2 млрд менее чем за полтора года

С начала 2017 года киберпреступники похитили криптовалют на сумму, эквивалентную порядка $1,2 млрд, сообщается в отчёте антифишинговой рабочей группы (Anti-Phishing Working Group, APWG). В исследование были включены как зарегистрированные, так и незарегистрированные кражи. «Кроме оборота наркотиков и отмывания денег с помощью криптовалют мы видим ещё одну проблему — воровство токенов», — заявил в интервью Reuters генеральный директор компании CipherTrace и председатель APWG Дэйв Джеванс (Dave Jevans).

По оценкам Джеванса, из украденных $1,2 млрд возвращены были лишь около 20 %. При этом эксперт считает, что в будущем ситуация не только не улучшится, но даже осложнится. В этом он винит постановление Европейской комиссии о защите данных (GDPR), которое вступает в силу 25 мая 2018 года. «GDPR негативно отразится на безопасности в Интернете и непреднамеренно сыграет на руку киберпреступникам. Ограничивая доступ к важной информации, новый закон значительно затруднит расследование киберпреступлений — кражи криптовалют, фишинга, вымогательства, распространения вредоносных программ, взломов», — уверен Джеванс.

Дело в том, что GDPR запрещает компаниям публиковать информацию, с помощью которой можно было бы идентифицировать пользователей Интернета. Согласно постановлению, использование протокола WHOIS является незаконным, так как он позволяет установить имя, адрес электронной почты и номер телефона того, на чьё имя зарегистрирован тот или иной домен во Всемирной паутине. Но именно WHOIS был одним из важнейших инструментов правоохранительных органов в борьбе с преступлениями в киберпространстве.

Источник:

«Цифровая женевская конвенция»: не все IT-гиганты отказались от участия в кибератаках

Свыше тридцати IT-компаний подписали так называемую «цифровую женевскую конвенцию», подразумевающую отказ от участия в кибератаках, вне зависимости от того, кем они организованы — киберпреступниками или правительствами каких-либо стран, и на кого они направлены — на граждан или предприятия. Кроме того, участники соглашения обязуются оказывать помощь любой стране, подвергшейся атаке в виртуальном пространстве.

В числе подписавших конвенцию немало гигантов IT-отрасли — Microsoft, Facebook, Cisco, Nokia, Dell, HP, Symantec, Trend Micro и другие, всего на сегодняшний день 34 компании. В то же время некоторые крупные высокотехнологические бренды отказались от участия в соглашении. Среди таких упоминаются Google, Apple, Amazon и Twitter. Кроме того, нет ни одного участника из России, КНДР, Ирана и Китая — стран, на которые Запад обычно возлагает ответственность за кибератаки.

«Проблема значительно выросла, и я думаю, что за последние несколько лет мы поняли, что нам надо больше работать сообща», — так прокомментировал важность произошедшего президент Microsoft Брэд Смит (Brad Smith). Он также подчеркнул главенствующую роль американских компаний в борьбе с киберпреступностью, так как их клиенты чаще всего подвергаются атакам. Отметим, что именно Microsoft и Брэд Смит лично являются главными лоббистами «цифровой женевской конвенции». О необходимости подобного соглашения Смит заявлял ещё в феврале 2017 года на конференции по кибербезопасности в Сан-Франциско.

Источник:

Расшифрованы письма испанского монарха 500-летней давности

Письма одного из самых известных правителей Испании Фердинанда ІІ Арагонского на протяжении веков не давали покоя историкам и математикам. Переписка между монархом и его выдающимся полководцем генералом Гонсало де Кордовой, проигравшим лишь одно сражение, была надёжно защищена сложным шифром, использующим свыше двух сотен специальных знаков.

Наверняка в своё время противники короля Фердинанда прилагали немалые усилия для прочтения секретных посланий, но удалось это осуществить лишь спустя пять веков собственным разведывательным службам Испании, имеющим в своём распоряжении современные инструменты компьютерного анализа, что говорит о высокой степени криптозащиты.

В течение сорокалетнего правления королю Фердинанду ІІ удалось завершить в 1492 году Реконкисту, освободив из-под власти маврских исламских эмиров и объединив большую часть испанских земель, открыть Америку в результате путешествия Христофора Колумба, провести успешные военные кампании за доминирование в Западной Европе, контроль над Италией и Средиземным морем.

Письма посвящены кампаниям начала XVI века и содержат подробности от инструкций военачальнику по развёртыванию войск до предостережений не консультироваться с королём до начала дипломатических инициатив. В то время требовалось около 15 дней для доставки писем между монаршей резиденцией и юго-восточной Италией, где находился командующий войсками. В стремлении получить контроль над Средиземноморьем в 1502 году разыгралось в противостояние между Францией и Испанией за обладание Неаполитанским королевством — последней удалось в 1504 году добиться победы, сохранив этот статус до 1647 года.

Таинственная до последнего времени система кодировки, использовавшаяся Фердинандом II и генералом Кордовой, была очень сложной. Она состояла из 237 иероглифических букв, каждая из которых использовала от 2 до 6 символьных начертаний, общее количество которых достигало 88. Для усложнения задачи в тексте не было разделений между отдельными словами и фразами.

Зашифрованные письма были выставлены в Музее вооружённых сил Испании в Толедо, так что каждый желающий мог испытать свои аналитические способности для прочтения посланий. Испанским разведывательным службам потребовалось почти полгода для раскодирования четырёх из них, состоящих из более 20 страниц. Этому событию придают значение египетского «Камня Розетты» в надежде, что успешное прочтение этого кода позволит дешифровать и другие письма.

Источник:

Исправлена уязвимость, открывавшая доступ к персональным данным выпускников российских вузов

29 января на ресурсе «Хабрахабр» пользователь под ником NoraQ рассказал об уязвимости реестра выпускников Федеральной службы по надзору в сфере образования и науки. Уязвимость, по словам NoraQ, позволила ему получить персональные данные 14 млн выпускников российских вузов.

На сайте Рособрнадзора есть раздел, где пользователи могут проверить подлинность выданного диплома о высшем образовании. Из-за нехитрой структуры сайта NoraQ смог получить доступ к нему: «Голый SQL Injection. Очевидно, что задачи продумать обработку ошибок перед разработчиком не было. Задача была сделать сервис, который работает. Сервис, который является гарантом».

В созданной ветке «Хабрахабра» автор подробно описал шаги, которые позволили получить ему доступ к данным. После этого NoraQ написал небольшую программу на Python и при её помощи смог скачать всю интересующую информацию. В одной из скачанных таблиц имелись следующие персональные данные выпускников: серия и номер документа о высшем образовании, наименование учебной организации, года поступления и окончания, СНИЛС и ИНН, дата рождения и национальность выпускника. Также таблица содержала столбец, названный «Серия и номер паспорта», но, по словам NoraQ, эти графы не были заполнены.

Скачанная им база данных весила 5 Гбайт. По словам NoraQ, никто не обратил внимания на подозрительную активность: «А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть, сервис резко отключился, IP заблокировали или ещё что-то? Нет!»

По словам NoraQ, им двигал всего лишь спортивный интерес, он не преследует цели получить какие-то деньги с находки. Также он не сообщал Рособрнадзору о найденной уязвимости, а сразу опубликовал пост на «Хабре» с нового аккаунта.

К утру 30 января NoraQ заявил, что уязвимость реестра была исправлена: «Буквально через час после опубликования статьи доступ к сайтe ограничили, а через несколько часов сайт снова восстановил работу, но уже без обнаруженной уязвимости». Также автор признался, что базу он не скачивал, а на протяжении трёх дней лишь эмулировал скачивание, надеясь, что необычный трафик привлечёт внимание.

Источник:

OnePlus «потеряла» данные банковских карт 40 000 клиентов

В начале этой недели в адрес OnePlus стали поступать жалобы от покупателей о странной активности на счетах их банковских карт после того, как они оформили заказ в фирменном интернет-магазине компании. В связи с обращениями клиентов OnePlus заблокировала возможность оплаты товаров картами на сайте oneplus.net и начала расследование. Его результаты оказались неутешительными: китайский производитель смартфонов вынужден был признать утечку данных 40 000 пользователей. Скомпрометированы номера, сроки действия и коды безопасности их карт.

Накануне OnePlus разослала своим клиентам электронные письма (полный текст на английском языке приведён на скриншоте выше), в которых принесла извинения за инцидент. Кроме того, она призвала их сообщать о любых подозрительных транзакциях в банк, чтобы упростить процедуру возврата несанкционированных платежей в случае их совершения мошенниками. Всем, чьи карты были скомпрометированы, компания планирует обеспечить бесплатный мониторинг состояния счёта сроком на год.

OnePlus 5

OnePlus 5

Напомним, что OnePlus была основана в 2013 году группой компаний BBK Electronics. Свой первый смартфон — OnePlus One — она анонсировала 23 апреля 2014 года и позиционировала его как «убийцу флагманов». На протяжении первого года продаж за пределами Китая купить его можно было только по специальным приглашениям.

Источник:

Google призналась в сборе геоданных даже при отключении соответствующей опции

Ни для кого не секрет, что компания Google собирает данные о местонахождении пользователей в том случае, если есть соответствующее разрешение. При использовании карт Google, вызова такси через службу Uber, и многих других похожих сервисов происходит запрос доложить о текущем местоположении владельца устройства.

google.com

google.com

Но проблема в том, что даже если это разрешение не давалось, опция автоматического сбора данных отключена в настройках телефона, и даже в условиях вытащенной SIM-карты, данные о расположении пользователей всё ещё записываются и передаются в Google через сотовые вышки операторов связи.

На основе информации о коде страны и сетевого кода устройства в компанию передаётся сотовый идентификационный номер для дальнейшей обработки данных. Тем не менее, сами представители Google признали данную технологию избыточной и ненужной, и, по их заявлению, намерены отказаться от неё уже к концу этого месяца, выпустив соответствующее обновление.

Тем не менее, даже если сама компания, по заверениям её представителей, никак не пользовалась этой информацией, то стоит ли говорить о том, какой это кладезь для тех, кто заинтересован в том, чтобы отследить нужных ему людей. И хорошо ещё, если речь идёт о безобидной, хоть и назойливой рекламе товаров, которая строится на основе того, какие продукты пользователь приобретает и какие магазины он посещает чаще всего, учитывая, что сами работники Google подтвердили, что полученная информация используется таким образом среди владельцев разных торговых марок.

Помимо этого, данная технология позволяет с довольно высокой точностью отследить тех, в чьих интересах было бы соблюдать свою анонимность с целью избежать лишних проблем, не стать жертвой шантажа злоумышленников.

К тому же представители Google так и не дали внятного пояснения тому, почему они сами решили отказаться от этой технологии, несмотря на то, что собирали её уже с начала 2017 года.

Источник:

Из-за ошибки в ПО основная система защиты Windows 10 уязвима к атакам

Когда операционная система Windows 10 ещё только готовилась к релизу, компания Microsoft, призывая пользователей отказаться от Windows 7, делала упор на то, что новый продукт стоит использовать прежде всего из-за сильной системы защиты ForceASLR, направленной на противоборство атакам, которые взаимодействуют со структурами данных.

zdnet.com

zdnet.com

Сама система защиты ForceASLR использует технологию рандомизации размещения адресного пространства (ASLR), которая заключается в том, что задаёт случайное размещение адресов структур данных. Благодаря системе принудительного размещения адресных пространств, она распространяется не только на программы, которые разработаны с учётом поддержки этой технологии, как то было раньше, но для всех, даже если программы по умолчанию её не поддерживали.

Проблема в том, что данная система выполняет только половину от своих заявленных свойств. С одной стороны, при первом запуске программы последней действительно присваивается случайный адрес в памяти. Но при дальнейших запусках этот адрес уже не меняется, и в итоге отследить его становится значительно проще.

Сама возможность принудительно задать случайное размещение адресов для всех программ была введена ещё в Windows 8, и уже тогда появилась эта ошибка. Как выяснилось теперь, на момент выпуска Windows 10, несмотря на все заверения и гарантии разработчиков, её так и не исправили.

Что ещё забавнее, если использовать ту же технологию, включив её через набор средств Microsoft EMET, в рамках операционной системы Windows 7, всё работает именно так, как планировалось изначально: адреса для программ присваиваются случайно при каждом перезапуске ПК, в то время как в более поздних системах таких результатов достичь так и не удалось.

Прямого решения этой проблемы для Windows 10 на момент написания новости не существует, равно как и пока что нет комментариев от Microsoft касательно данного факта.

Источник:

Парламент ЕС рассматривает возможность блокировки веб-сайтов в рамках защиты прав пользователей

Согласно новому закону, принятому на днях в парламенте Евросоюза, теперь появится возможность заблокировать неугодные веб-сайты, которые по тем или иным причинам нарушают права пользователей.

https://juliareda.eu

https://juliareda.eu

Эта мера была принята в рамках обсуждения защиты прав потребителя и касается недобросовестных веб-сервисов, ориентированных в основном на торговлю и применения компенсационных санкций в том случае, если пользователь понёс материальные убытки в ходе сделки с тем или иным поставщиком услуг. Однако итоговый вердикт звучит как возможность отсудить право владения доменного имени у владельца сайта в том случае, если в принципе само содержание данного ресурса посчитается как нечто вызывающее, оскорбительное или же неправомерное и, разумеется, подлежит устранению.

Блокировка может осуществляться несколькими способами. Первый и наиболее очевидный — владелец ресурса добровольно удаляет незаконный контент, или обязан продемонстрировать пользователям предупреждение об оном. Второй — обратиться к провайдеру ресурса с просьбой удалить контент, из-за которого возник конфликт. Третий — разделегировать доменное имя, после чего, разумеется, владелец ресурса потеряет доступ к своему сайту.

Разумеется, мнение самих пользователей в данном случае не учитывается, и отказаться от подобной навязчивой защиты прав нельзя. Зато уже сейчас прогнозируют всплеск повышенной цензуры и целенаправленное устранение веб-ресурсов, которые до этого вполне мирно существовали на просторах всемирной Сети.

На данном этапе закон принят, но никаких активных действий по блокировке тех или иных сайтов ещё не предпринималось. 

Источник:

Представители Google пояснили, почему их компания против «прозрачных» алгоритмов

В век, когда вопросы кибербезопасности и защиты личных данных — это не идеи фантастики, а повседневная реальность, важно доверять компаниям, которые предоставляют свои услуги пользователям по всему миру.

google.com

google.com

Палата Общин недавно опубликовала опрос, стоит ли крупным компаниям раскрывать свои алгоритмы бизнес-моделей и то,  как именно внутренний инструментарий влияет на дальнейшее развитие компаний.

Бизнес-модель Google имеет закрытый характер, и представители компании постарались объяснить, почему они придерживаются именно такой политики.

Первый аргумент против прозрачности подобных схем касается непосредственно технической стороны вопроса. Если выложить исходный код алгоритмов, то это совсем не означает, что конечный пользователь сможет разобраться в нём, в то время как слепое копирование в результате может обернуться проблемами, вместо того, чтобы принести пользу.

Второй момент вытекает из первого — зная, на чём базируется инструментарий Google, или любой другой компании подобного масштаба, видя его сильные и слабые стороны, легко представить себе количество злоумышленников, которые непременно воспользуются информацией в своих целях.

Третий пункт касается сферы бизнеса. В условиях моделей закрытых алгоритмов у новых компаний нет соблазна скопировать что-то уже существующее, а вместо этого необходимо создавать нечто собственное, что, в свою очередь ведёт к расширению рынка технологий и появлению новых независимых компаний.

Изначально вопрос был поднят с той точки зрения, стоит ли доверять компаниям, которые проникают почти во все сферы жизни пользователей, однако не спешат делиться своими собственными секретами и не показывать «изнанку» происходящего.

На это представители Google привели в пример производителей бытовой техники: у многих дома есть телевизоры, почти все обладают собственными стиральными машинками и микроволновками, но лишь малая часть пользователей действительно понимает, как именно работает их техника и из чего она состоит, и это ни коим разом не мешает тому, что люди доверяют и купленной технике, и её производителю, руководствуясь пониманием того, что продукт надёжный и выполняет все необходимые функции.

Их ответ был принят и рассмотрен Палатой Общин, и на сайте парламента Великобритании продолжают собираться мнения по данной теме.

Источник: