Новости Software → Шифрование и защита данных
Главная новость

Специалисты по кибербезопасности бьют тревогу в связи с Meltdown и Spectre

2018 год начался неважно для IT-индустрии: широкой общественности (а значит и преступности) стало известно об архитектурных уязвимостях, которые затрагивают в той или иной степени почти все современные процессоры, оснащённые блоком предсказания ветвлений, и в теории позволяют злоумышленникам получить доступ к защищённым данным. Уязвимости, ставшие известными широкой общественностью под именами Meltdown и Spectre (в девичестве: CVE-2017-5715, CVE-2017-5753 и CVE-2017-5754), характерны, например, почти для всех процессоров Intel, выпущенных за последние 20 с лишним лет.

Усложняет ситуацию и то, что выпущенные уже заплатки не только в той или иной степени замедляют системы, но и приводят к нестабильности, над чем участники рынка работают сейчас не покладая рук. И хотя в своих заявлениях относительно проблемы ведущие компании постоянно подчёркивают, что пока им неизвестны успешные случаи использования этих методов атак злоумышленниками, такая ситуация, похоже, продлится недолго. И об этом, по мнению специалистов из компании Fortinet по кибербезопасности, следует думать уже сейчас.

Быстрый переход

Большинство россиян не знают о криптовалютах и не хотят покупать их

Многие россияне не планируют покупать криптовалюты и не знают, что это такое. Таковы результаты исследования холдинга «Ромир». В опросе приняли участие 1,5 тыс. граждан России в возрасте от 18 лет.

Лишь 44 % респондентов заявили, что имеют какое-то представление о цифровых деньгах, а хорошо понимают их принципы только 13 %. В основном это молодые люди от 18 до 24 лет.

wsj.com

87 % участников опроса, знающих, что такое криптовалюты, не планируют покупать их. Больше половины опрошенных (56 %) заявили, что вообще не имеют представления о таких деньгах.

Больше всего россиянам известна такая криптовалюта как биткоин — о ней знают 68 % участников исследования. Про «эфиры» (Ethereum) слышали лишь 4 % опрошенных людей. Из числа опрошенных, которые заявили, что понимают и знают, что такое криптовалюты, 29 % человек затруднились назвать хотя бы одну.

Среди самых молодых респондентов 26 % уверены, что у цифровых денег есть будущее. Ответ «скорее нет будущего» выбрали 30 % из большинства респондентов, вариант «скорее есть будущее» — 42 %.

Большинство россиян (76 %), которые покупали криптовалюту, сообщили, что делали это с целью заработка. Причем более половины из них отметили, что достигли поставленных финансовых целей.

wsj.com

Мнение россиян о необходимости госрегулирования криптовалют разделились почти поровну. Всего 12 % опрошенных считают, что вмешательство властей в эту сферу точно необходимо, ещё 20 % респондентов уверены в обратном. 

Источник:

Дыра в безопасности могла привести к утечке данных всех взрослых американцев

Согласно недавно опубликованному отчёту, малоизвестная компания из Флориды могла сделать достоянием злоумышленников личные данные почти каждого взрослого жителя США. Компания по маркетингу и сбору данных Exactis из городка Палм-Кост опубликовала на общедоступном сервере базу данных, содержащую почти 2 терабайта данных. База включала записи 230 миллионов граждан и 110 миллионов предприятий США.

«Похоже, что база данных содержит сведения почти о каждом гражданине США, — сказал исследователь Винни Троя (Vinny Troia), который обнаружил утечку ранее в этом месяце. — Я не знаю, откуда были взяты данные, но речь идёт об одной из самых полных коллекций, которые я когда-либо видел».

Хотя база, по-видимому, не включает данные кредитных карт или номера социального страхования, она содержит телефонные номера, адреса электронной почты, почтовые адреса, а также более 400 персональных характеристик. Например: является ли человек курильщиком, владеет ли он собакой или кошкой, какого он вероисповедания и множество личных интересов. Несмотря на то, что в базу не была включена никакая финансовая информация, объём личных данных может предоставить в руки мошенников весьма сильные инструменты.

Господин Троя сообщил, что смог легко получить доступ к базе данных в Интернете, и, теоретически, многие другие люди тоже могли это сделать. Он сказал, что предупредил Exactis и ФБР об уязвимости, и данные перестали быть общедоступными.

На своём веб-сайте Exactis заявляет, что имеет в распоряжении 3,5 миллиарда потребительских, деловых и цифровых записей, в том числе информацию о демографии, географии, бизнесе, образе жизни, интересах, потребительских товарах, а также автомобильные, корпоративные и поведенческие данные людей. Компания заявила, что располагает данными о 218 миллионах людей и 110 миллионах американских домохозяйств.

По данным Бюро переписи населения США, в стране насчитывается около 126 миллионов домохозяйств и 325 миллионов жителей, из которых около 244 миллионов взрослых. Если утечка действительно произошла, речь может идти об одном из крупнейших подобных случаев в истории.

Источник:

Хакеры украли криптовалют на $1,2 млрд менее чем за полтора года

С начала 2017 года киберпреступники похитили криптовалют на сумму, эквивалентную порядка $1,2 млрд, сообщается в отчёте антифишинговой рабочей группы (Anti-Phishing Working Group, APWG). В исследование были включены как зарегистрированные, так и незарегистрированные кражи. «Кроме оборота наркотиков и отмывания денег с помощью криптовалют мы видим ещё одну проблему — воровство токенов», — заявил в интервью Reuters генеральный директор компании CipherTrace и председатель APWG Дэйв Джеванс (Dave Jevans).

По оценкам Джеванса, из украденных $1,2 млрд возвращены были лишь около 20 %. При этом эксперт считает, что в будущем ситуация не только не улучшится, но даже осложнится. В этом он винит постановление Европейской комиссии о защите данных (GDPR), которое вступает в силу 25 мая 2018 года. «GDPR негативно отразится на безопасности в Интернете и непреднамеренно сыграет на руку киберпреступникам. Ограничивая доступ к важной информации, новый закон значительно затруднит расследование киберпреступлений — кражи криптовалют, фишинга, вымогательства, распространения вредоносных программ, взломов», — уверен Джеванс.

Дело в том, что GDPR запрещает компаниям публиковать информацию, с помощью которой можно было бы идентифицировать пользователей Интернета. Согласно постановлению, использование протокола WHOIS является незаконным, так как он позволяет установить имя, адрес электронной почты и номер телефона того, на чьё имя зарегистрирован тот или иной домен во Всемирной паутине. Но именно WHOIS был одним из важнейших инструментов правоохранительных органов в борьбе с преступлениями в киберпространстве.

Источник:

«Цифровая женевская конвенция»: не все IT-гиганты отказались от участия в кибератаках

Свыше тридцати IT-компаний подписали так называемую «цифровую женевскую конвенцию», подразумевающую отказ от участия в кибератаках, вне зависимости от того, кем они организованы — киберпреступниками или правительствами каких-либо стран, и на кого они направлены — на граждан или предприятия. Кроме того, участники соглашения обязуются оказывать помощь любой стране, подвергшейся атаке в виртуальном пространстве.

В числе подписавших конвенцию немало гигантов IT-отрасли — Microsoft, Facebook, Cisco, Nokia, Dell, HP, Symantec, Trend Micro и другие, всего на сегодняшний день 34 компании. В то же время некоторые крупные высокотехнологические бренды отказались от участия в соглашении. Среди таких упоминаются Google, Apple, Amazon и Twitter. Кроме того, нет ни одного участника из России, КНДР, Ирана и Китая — стран, на которые Запад обычно возлагает ответственность за кибератаки.

«Проблема значительно выросла, и я думаю, что за последние несколько лет мы поняли, что нам надо больше работать сообща», — так прокомментировал важность произошедшего президент Microsoft Брэд Смит (Brad Smith). Он также подчеркнул главенствующую роль американских компаний в борьбе с киберпреступностью, так как их клиенты чаще всего подвергаются атакам. Отметим, что именно Microsoft и Брэд Смит лично являются главными лоббистами «цифровой женевской конвенции». О необходимости подобного соглашения Смит заявлял ещё в феврале 2017 года на конференции по кибербезопасности в Сан-Франциско.

Источник:

Расшифрованы письма испанского монарха 500-летней давности

Письма одного из самых известных правителей Испании Фердинанда ІІ Арагонского на протяжении веков не давали покоя историкам и математикам. Переписка между монархом и его выдающимся полководцем генералом Гонсало де Кордовой, проигравшим лишь одно сражение, была надёжно защищена сложным шифром, использующим свыше двух сотен специальных знаков.

Наверняка в своё время противники короля Фердинанда прилагали немалые усилия для прочтения секретных посланий, но удалось это осуществить лишь спустя пять веков собственным разведывательным службам Испании, имеющим в своём распоряжении современные инструменты компьютерного анализа, что говорит о высокой степени криптозащиты.

В течение сорокалетнего правления королю Фердинанду ІІ удалось завершить в 1492 году Реконкисту, освободив из-под власти маврских исламских эмиров и объединив большую часть испанских земель, открыть Америку в результате путешествия Христофора Колумба, провести успешные военные кампании за доминирование в Западной Европе, контроль над Италией и Средиземным морем.

Письма посвящены кампаниям начала XVI века и содержат подробности от инструкций военачальнику по развёртыванию войск до предостережений не консультироваться с королём до начала дипломатических инициатив. В то время требовалось около 15 дней для доставки писем между монаршей резиденцией и юго-восточной Италией, где находился командующий войсками. В стремлении получить контроль над Средиземноморьем в 1502 году разыгралось в противостояние между Францией и Испанией за обладание Неаполитанским королевством — последней удалось в 1504 году добиться победы, сохранив этот статус до 1647 года.

Таинственная до последнего времени система кодировки, использовавшаяся Фердинандом II и генералом Кордовой, была очень сложной. Она состояла из 237 иероглифических букв, каждая из которых использовала от 2 до 6 символьных начертаний, общее количество которых достигало 88. Для усложнения задачи в тексте не было разделений между отдельными словами и фразами.

Зашифрованные письма были выставлены в Музее вооружённых сил Испании в Толедо, так что каждый желающий мог испытать свои аналитические способности для прочтения посланий. Испанским разведывательным службам потребовалось почти полгода для раскодирования четырёх из них, состоящих из более 20 страниц. Этому событию придают значение египетского «Камня Розетты» в надежде, что успешное прочтение этого кода позволит дешифровать и другие письма.

Источник:

Исправлена уязвимость, открывавшая доступ к персональным данным выпускников российских вузов

29 января на ресурсе «Хабрахабр» пользователь под ником NoraQ рассказал об уязвимости реестра выпускников Федеральной службы по надзору в сфере образования и науки. Уязвимость, по словам NoraQ, позволила ему получить персональные данные 14 млн выпускников российских вузов.

На сайте Рособрнадзора есть раздел, где пользователи могут проверить подлинность выданного диплома о высшем образовании. Из-за нехитрой структуры сайта NoraQ смог получить доступ к нему: «Голый SQL Injection. Очевидно, что задачи продумать обработку ошибок перед разработчиком не было. Задача была сделать сервис, который работает. Сервис, который является гарантом».

В созданной ветке «Хабрахабра» автор подробно описал шаги, которые позволили получить ему доступ к данным. После этого NoraQ написал небольшую программу на Python и при её помощи смог скачать всю интересующую информацию. В одной из скачанных таблиц имелись следующие персональные данные выпускников: серия и номер документа о высшем образовании, наименование учебной организации, года поступления и окончания, СНИЛС и ИНН, дата рождения и национальность выпускника. Также таблица содержала столбец, названный «Серия и номер паспорта», но, по словам NoraQ, эти графы не были заполнены.

Скачанная им база данных весила 5 Гбайт. По словам NoraQ, никто не обратил внимания на подозрительную активность: «А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть, сервис резко отключился, IP заблокировали или ещё что-то? Нет!»

По словам NoraQ, им двигал всего лишь спортивный интерес, он не преследует цели получить какие-то деньги с находки. Также он не сообщал Рособрнадзору о найденной уязвимости, а сразу опубликовал пост на «Хабре» с нового аккаунта.

К утру 30 января NoraQ заявил, что уязвимость реестра была исправлена: «Буквально через час после опубликования статьи доступ к сайтe ограничили, а через несколько часов сайт снова восстановил работу, но уже без обнаруженной уязвимости». Также автор признался, что базу он не скачивал, а на протяжении трёх дней лишь эмулировал скачивание, надеясь, что необычный трафик привлечёт внимание.

Источник:

OnePlus «потеряла» данные банковских карт 40 000 клиентов

В начале этой недели в адрес OnePlus стали поступать жалобы от покупателей о странной активности на счетах их банковских карт после того, как они оформили заказ в фирменном интернет-магазине компании. В связи с обращениями клиентов OnePlus заблокировала возможность оплаты товаров картами на сайте oneplus.net и начала расследование. Его результаты оказались неутешительными: китайский производитель смартфонов вынужден был признать утечку данных 40 000 пользователей. Скомпрометированы номера, сроки действия и коды безопасности их карт.

Накануне OnePlus разослала своим клиентам электронные письма (полный текст на английском языке приведён на скриншоте выше), в которых принесла извинения за инцидент. Кроме того, она призвала их сообщать о любых подозрительных транзакциях в банк, чтобы упростить процедуру возврата несанкционированных платежей в случае их совершения мошенниками. Всем, чьи карты были скомпрометированы, компания планирует обеспечить бесплатный мониторинг состояния счёта сроком на год.

OnePlus 5

OnePlus 5

Напомним, что OnePlus была основана в 2013 году группой компаний BBK Electronics. Свой первый смартфон — OnePlus One — она анонсировала 23 апреля 2014 года и позиционировала его как «убийцу флагманов». На протяжении первого года продаж за пределами Китая купить его можно было только по специальным приглашениям.

Источник:

Google призналась в сборе геоданных даже при отключении соответствующей опции

Ни для кого не секрет, что компания Google собирает данные о местонахождении пользователей в том случае, если есть соответствующее разрешение. При использовании карт Google, вызова такси через службу Uber, и многих других похожих сервисов происходит запрос доложить о текущем местоположении владельца устройства.

google.com

google.com

Но проблема в том, что даже если это разрешение не давалось, опция автоматического сбора данных отключена в настройках телефона, и даже в условиях вытащенной SIM-карты, данные о расположении пользователей всё ещё записываются и передаются в Google через сотовые вышки операторов связи.

На основе информации о коде страны и сетевого кода устройства в компанию передаётся сотовый идентификационный номер для дальнейшей обработки данных. Тем не менее, сами представители Google признали данную технологию избыточной и ненужной, и, по их заявлению, намерены отказаться от неё уже к концу этого месяца, выпустив соответствующее обновление.

Тем не менее, даже если сама компания, по заверениям её представителей, никак не пользовалась этой информацией, то стоит ли говорить о том, какой это кладезь для тех, кто заинтересован в том, чтобы отследить нужных ему людей. И хорошо ещё, если речь идёт о безобидной, хоть и назойливой рекламе товаров, которая строится на основе того, какие продукты пользователь приобретает и какие магазины он посещает чаще всего, учитывая, что сами работники Google подтвердили, что полученная информация используется таким образом среди владельцев разных торговых марок.

Помимо этого, данная технология позволяет с довольно высокой точностью отследить тех, в чьих интересах было бы соблюдать свою анонимность с целью избежать лишних проблем, не стать жертвой шантажа злоумышленников.

К тому же представители Google так и не дали внятного пояснения тому, почему они сами решили отказаться от этой технологии, несмотря на то, что собирали её уже с начала 2017 года.

Источник:

Из-за ошибки в ПО основная система защиты Windows 10 уязвима к атакам

Когда операционная система Windows 10 ещё только готовилась к релизу, компания Microsoft, призывая пользователей отказаться от Windows 7, делала упор на то, что новый продукт стоит использовать прежде всего из-за сильной системы защиты ForceASLR, направленной на противоборство атакам, которые взаимодействуют со структурами данных.

zdnet.com

zdnet.com

Сама система защиты ForceASLR использует технологию рандомизации размещения адресного пространства (ASLR), которая заключается в том, что задаёт случайное размещение адресов структур данных. Благодаря системе принудительного размещения адресных пространств, она распространяется не только на программы, которые разработаны с учётом поддержки этой технологии, как то было раньше, но для всех, даже если программы по умолчанию её не поддерживали.

Проблема в том, что данная система выполняет только половину от своих заявленных свойств. С одной стороны, при первом запуске программы последней действительно присваивается случайный адрес в памяти. Но при дальнейших запусках этот адрес уже не меняется, и в итоге отследить его становится значительно проще.

Сама возможность принудительно задать случайное размещение адресов для всех программ была введена ещё в Windows 8, и уже тогда появилась эта ошибка. Как выяснилось теперь, на момент выпуска Windows 10, несмотря на все заверения и гарантии разработчиков, её так и не исправили.

Что ещё забавнее, если использовать ту же технологию, включив её через набор средств Microsoft EMET, в рамках операционной системы Windows 7, всё работает именно так, как планировалось изначально: адреса для программ присваиваются случайно при каждом перезапуске ПК, в то время как в более поздних системах таких результатов достичь так и не удалось.

Прямого решения этой проблемы для Windows 10 на момент написания новости не существует, равно как и пока что нет комментариев от Microsoft касательно данного факта.

Источник: