Новости Software → Шифрование и защита данных
Быстрый переход

Миллионы пользователей Microsoft повторно используют пароли и имена

Предыдущие исследования специалистов по безопасности показали, что пользователи в массе повторно используют пароли и имена одновременно для нескольких служб. Согласно исследованиям 2018 года среди 28,8 млн пользователей, 52 % из них пользовались одинаковыми данными для учётных записей сразу в нескольких службах. В редких случаях пароль был слегка модифицирован. Но то же исследование выявило, что порядка 30 % модифицированных паролей и всех повторно используемых паролей (с изменёнными логинами) взламывались не дольше, чем за 10 шагов.

На практике компании проверяют сложность пароля на соответствие требованиям защиты данных. Но даже если пароль очень сложный, его невозможно проверить на повторяемость при предоставлении услуг другой компанией. Иначе говоря, пароль может быть скомпрометирован из-за утечек в одном месте и всплыть под аналогичным логином при регистрации в другой компании. Пользователя тоже можно понять. Запомнить и даже просто где-то хранить массу записей с логинами и паролями ― это требует определённой собранности. Проще запомнить один набор данных для регистрации и пользоваться им в разных службах. В Microsoft решили хоть как-то с этим начать бороться.

Исследование Microsoft за первые три месяца текущего года выявило, что повторно пароли и логины используют 44 млн зарегистрированных пользователей тех или иных служб компании. Определить повторное использование паролей компания смогла из около 3 млрд учётных записей из многих открытых и закрытых баз данных, которые содержат информацию об известных утечках.

Столкнувшись со столь вопиющими цифрами, в Microsoft предприняли следующую тактику. Все повторные пароли обычных пользователей были принудительно сброшены. От пользователей не потребовалось ничего другого, как выбрать новый сложный пароль. Для корпоративных клиентов Microsoft разослала предупреждение системным администраторам компаний, которые должны самостоятельно проверить повторное использование логинов и паролей в своих компаниях. Microsoft настоятельно рекомендует использовать уникальный пароль для каждой используемой вами онлайн-службы.

Источник:

Вышел Linux-дистрибутив для параноиков Tails 4.1

Разработчики обновили версию «параноидального» дистрибутива Tails (The Amnesic Incognito Live System) до номера 4.1. Эта сборка основана на Debian и обеспечивает анонимный выход в Сеть. Для этого все коммуникации «заворачиваются» в Tor, а иные соединения блокируются.

pixabay.com

pixabay.com

Также в сборке применяется шифрование пользовательских данных между запусками. А сам дистрибутив рекомендуется использовать только в Live-варианте с внешней карты памяти или флешки.

В этой сборке изменения затронули только некоторые программы. Система получила ядро Linux 5.3.9. Также обновился Tor Browser до версии 9.0.2, Enigmail — до 2.1.3 и Thunderbird — до 68.2.2. Сервером ключей по умолчанию выступает keys.openpgp.org, а дополнение TorBirdy для почтового сервиса теперь удалено. Вместо него используются патчи. Загрузить сборку можно по ссылке

Также отдельно выпущена сборка браузера Tor Browser 9.0.2 для всех актуальных платформ. Здесь перечень изменений также невелик: обновился NoScript до версии 11.0.9, а также компонент HTTPS Everywhere. При этом разработчики устранили 14 уязвимостей, из которых половина была довольно серьёзной.

Из мелочей отмечается улучшение работы серой рамки для блокировки идентификации по размеру окна, а также решение проблем с локализацией в мобильной версии Tor Browser для Android. Веб-обозреватель доступен здесь

Источники:

Алгоритм опередил развитие процессоров: взломан самый длинный ключ RSA

Программистам удалось посрамить электронщиков. Без улучшения аппаратной платформы ― фактически с опережением того самого пресловутого закона Мура ― группе исследователей по безопасности удалось поставить новый рекорд по взлому ключа RSA, который до сих пор удавалось вычислить. Подчеркнём ещё раз, рекорд поставлен не на росте голой производительности компьютерного «железа», а благодаря усовершенствованным алгоритмам для разложения большого числа на простые множители и с использованием улучшенной методики вычисления дискретного логарифма.

Многие алгоритмы шифрования с открытым ключом опираются на чрезвычайно большие числа, которые, в свою очередь, получаются путём перемножения двух или более простых чисел. Простые числа в данном случае служат секретными ключами, которые позволяют получить нужный ключ и расшифровать сообщение. Аналогичным образом используется сложность в нахождении дискретного логарифма. Разложение достаточно больших чисел на простые множители и вычисление дискретного логарифма ― это задачи, которые не подлежат взлому, а только вычислению. Все большие числа, которые можно разложить на простые в разумное время, являются скомпрометированными и для повышения защиты шифрования их разрядность необходимо увеличивать.

Новый рекорд, поставленный специалистами, позволил разложить на простые числа ключ RSA-240 длиной 240 десятичных разрядов или 795 бит. Эта же самая команда исследователей смогла вычислить дискретный логарифм такой же длины. Предыдущий рекорд разложения на простые множители был поставлен в 2010 году. Тогда удалось взломать ключ RSA с разрядностью 768 бит или с 232 десятичными разрядами. Простой дискретный логарифм для этой разрядности смогли вычислить в 2016 году. Похоже, ключ RSA 1024 бит в опасности и для надёжного шифрования данных необходимо переходить на 2048-разрядные ключи.

Важнейшим моментом исследования стал факт ускорения вычислений на той же самой аппаратной платформе, которая использовалась в 2016 году. По идее этого не должно было произойти. Растущая сложность вычисления дискретного логарифма длиной 795 бит должна была потребовать в 2,5 раза больших аппаратных ресурсов, чем для вычисления 768-битного числа. Фактически расчёты оказались в 1,33 раза быстрее, что говорит о 3-кратном превосходстве предсказания. Ускорение расчётов исследователи связали с обновлениями в программном обеспечении с открытым исходным кодом, которое опирается на вычисления с использованием метода решета числового поля (Number Field Sieving). Такой пакет как CADO-NFS содержит 300 тыс. строк кода, написанного на C и C ++.

Сумма времени для обоих новых рекордов составляет около 4000 ядро-лет. Аппаратная платформа для решения этой задачи состояла из процессоров Intel Xeon Gold 6130 с тактовой частотой 2,1 ГГц. На вычисление RSA-240 методом NFS ушло 800 ядро-лет, а матричным методом ― 100 ядро-лет. Вычисление логарифма DLP-240 методом NFS потребовало 2400 ядро-лет, а матричным ― 700 ядро-лет. Если не скупиться на ядра, взлом достаточно больших чисел в ключах RSA становится возможен в разумные сроки. Границу «безопасной» разрядности пора отодвигать.

Источник:

Google увеличивает премию за взлом смартфонов Pixel до $1 млн и больше

Компания Google обновила ценник и правила программы Android Security Rewards. Теперь максимальная премия за нахождение уязвимости в смартфонах и планшетах под брендом Pixel выросла до $1 млн. Эта сумма может быть увеличена до $1,5 млн разовой выплаты, если уязвимость обнаружена в предварительной сборке программного обеспечения Android до её релиза.

Чип аппартаной защиты Google Titan M

Чип аппаратной защиты Google Titan M

Программа покрывает устройства Pixel 4, Pixel 3a, Pixel 3a XL, Pixel 3 и Pixel 3 XL. Формально она стартовала 1 ноября 2019 года. Наивысшей премией в $1 млн будут награждаться те, кто найдёт уязвимость в аппаратной защите на базе чипа Google Titan M. Это, например, может быть полная цепочка кода для удалённого взлома (компрометации) платформы Titan M. Если эксплоит для использования подобной уязвимости будет обнаружен до релиза новой версии сборки Android, то награда возрастёт на 50 %.

На премию в размере до $500 тыс. можно будет рассчитывать за обнаружение специфических атак на представленные выше устройства Google, которые ведут к краже данных. За обход системы блокировки экрана можно будет получить до $100 тыс. Но обе премии будут награждаться только за уязвимости, которые относятся к последней версии Android. Подробнее о новых условиях программы Android Security Rewards можно узнать на официальной страничке Google.

По словам компании, за последние 12 месяцев в рамках выплаты премии по программе Android Security Rewards она выплатила исследователям по безопасности премии на общую сумму $1,5 млн. Максимальная выплата в одни руки составила $201 337, куда вошла премия по программе Android Security Rewards в размере $161 337 и премия по программе Chrome Rewards в размере $40 000.

Источник:

Транзакция в 94 504 BTC ($1 млрд) на неизвестный кошелек прервала рост биткоина

Внимание криптосообщества привлёк перевод 94 504 BTC ($1 млрд) на неизвестный кошелек. Кто и кому перевел деньги, выяснить пока не удаётся. Известно, что средства были отправлены с 15 кошельков, но более половины переведённой суммы поступило с одного адреса. Общая комиссия за перевод составила $700 (480 сатоши за байт). При этом отправитель переплатил почти в 20 раз, так как сеть позволяет выбрать комиссию 21 сатоши за байт.

Неизвестный кошелек-получатель стал одним из пяти крупнейших биткоин-кошельков.

Такая большая транзакция (это примерно 0,5 % всех биткоинов, находящихся в свободном обороте) может вызвать хаос на крипторынке — особенно, если это сделал некий крупный игрок, который избавляется от биткоинов. Перевод был зафиксирован утром 6 сентября, а вечером валюта начала коррекцию, что прервало возрастающий тренд, наметившийся с 29 августа.

По одной из версий, транзакция имеет отношение к открытию платформы для торговли фьючерсами и хранилища криптовалюты Bakkt.

По другой версии, это сделал Крейг Райт, который недавно нашел потерянные ключи от своего счета. По решению суда он обязан выплатить семье своего экс-партнера по бизнесу $4 млрд.

Эксперты аналитической компании TokenAnalyst утверждают, что минимум 30 % средств имеют отношение к бирже Huobi Global. Предположительно, биржа просто переводит средства с одних принадлежащих ей кошельков на другие.

«Если посмотреть те кошельки, с которых пришли деньги, открыты эти кошельки были в 2017 году, большинство ведут активную деятельность. То есть, скорее всего, это такие тихие инвесторы, которые в 2017 году решили купить криптовалюту, сейчас по каким-то обстоятельствам вкладывают все в один кошелек», — рассуждает Владимир Кова, аналитик по криптовалюте.

Источник:

Symantec уйдёт в народ: Broadcom достались только корпоративные продукты и бренд

Как мы сообщали, в начале июля сорвалась сделка по поглощению компании Symantec компанией Broadcom. Стороны не сошлись в цене и сделка стоимостью свыше $15 млрд расстроилась. Почти месяц ушёл на согласование новых условий, и сегодня Symantec сообщила о новой и окончательной договорённости с Broadcom. За $10,7 млрд компании Broadcom отойдёт не весь бизнес Symantec, как первоначально планировалось, а только программные продукты для защиты корпоративных данных и систем, а также бренд Symantec.

Передача активов должна быть завершена в четвёртом квартале текущего календарного года после получения разрешения на сделку от регуляторов. Руководство Symantec выплатит владельцам акций компании специальные дивиденды в размере $12 на акцию. Также компания обещает увеличить доходность на каждую ценную бумагу на 67 % до $0,125 на акцию. И если премия будет выплачена за счёт денег от продажи корпоративного направления, то рост доходности будет обеспечен исключительно от выручки подразделения Consumer Cyber Safety.

Как выяснилось, львиную долю выручки и прибыли Symantec получала от продуктов для рынка защиты персональных данных и систем. Это антивирус Norton, решения LifeLock и другие средства защиты персональных данных. Корпоративное направление в Symantec возникло фактически в 2016 году после покупки компании Blue Coat Systems за $4,56 млрд. Но это поглощение оказалось настолько неудачным, что последние годы финансовые показатели Symantec оставляли желать лучшего.

Reuters

Reuters

Похоже, что Symantec избавилась от пресловутого чемодана без ручки, который и выбросить жалко, и нести неудобно. Что касается Broadcom, то этот разработчик полупроводников и микроконтроллеров широкого спектра назначения с помощью серии покупок компаний по разработке программного обеспечения надеется диверсифицировать бизнес и ослабить зависимость от основного поля своей деятельности. Поглощение части Symantec ― это не первая подобная сделка. Год назад, например, Broadcom за $18,9 млрд поглотила компанию CA Technologies. В этом году все эти усилия приведут к том, что Broadcom из суммы ожидаемой за год выручки в размере $22,5 млрд часть средств в объёме $5 млрд рассчитывает получить от продаж программ и услуг. Есть от чего оттолкнуться для прыжка в будущее.

Источник:

Минкомсвязь определило угрозы, при которых будет вводиться централизованное управление Рунетом

Минкомсвязь России разработало порядок централизованного управления сетью связи общего пользования, то есть Рунетом, в котором назвало основные угрозы, при которых такое управление может вводиться. В законопроекте их оказалось три:

  • Угроза целостности — когда из-за нарушения способности взаимодействия сетей связи пользователи не могут установить соединение между собой и передать данные.
  • Угроза устойчивости — опасность нарушения целостности сети связи вследствие отказа части её элементов, а также в условиях природных и техногенных катастроф.
  • Угроза безопасности — неспособность оператора связи противостоять попыткам несанкционированного доступа к сети связи общего пользования, а также преднамеренным дестабилизирующим воздействиям, из-за которых могут возникать сбои в работе сети.

Определять актуальность этих угроз будет Минкомсвязь по согласованию с ФСБ на основании анализа вероятности их реализации (высокая, средняя и низкая) и уровня опасности (также высокий, средний и низкий). Перечень актуальных угроз будет публиковаться на официальном сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора).

Это же ведомство будет осуществлять централизованное управление сетью в случае возникновения угроз с высокой вероятностью реализации и высоким уровнем опасности. В остальных случаях документ предполагает самостоятельное управление трафиком оператором связи либо собственником сети или точки обмена трафиком.

Суверенному Рунету быть: Совфед одобрил законопроект об устойчивой работе Интернета в России

Совет Федерации одобрил законопроект о безопасной и устойчивой работе Интернета в России, носящий неофициальное название «О суверенном Рунете». За документ проголосовал 151 сенатор, четверо оказались против, один воздержался. В силу новый закон вступит после подписания его президентом в ноябре. Исключение составляют лишь положения о криптографической защите информации и обязанности операторов использовать национальную систему адресации доменных имён — они заработают 1 января 2021 года.

Авторами законопроекта выступили члены Совфеда Андрей Клишас и Людмила Бокова, а также депутат Госдумы Андрей Луговой. Документ призван обеспечить устойчивость российского сегмента Всемирной паутины при возникновении угрозы его стабильной работе из-за рубежа. По словам Клишаса, отключение России от американских серверов — это не такой уж нереальный сценарий, поскольку в США есть ряд законов, допускающих такие меры. Если подобное произойдёт, то в нашей стране перестанут работать банковские сервисы, системы онлайн-заказа билетов и некоторые другие сайты.

Чтобы избежать описанных последствий, законопроект предусматривает создание при Роскомнадзоре центра мониторинга и управления, который будет координировать действия операторов при экстраординарных обстоятельствах. Последним будет предписано установить специальное оборудование, с помощью которого Роскомнадзор сможет управлять маршрутами интернет-трафика в случае возникновения угроз. Дополнительной функцией данного оборудования станет блокировка доступа к запрещённым на территории РФ сайтам, которую сейчас осуществляют сами провайдеры. Определять порядок управления сетью и устанавливать требования к оборудованию будет правительство.

Андрей Клишас, соавтор законопроекта «О суверенном Рунете»

Андрей Клишас, соавтор законопроекта «О суверенном Рунете»

Также предполагается создание национальной системы доменных имён и полный переход госструктур на российские средства шифрования. На реализацию всех перечисленных проектов планируется потратить 30 млрд бюджетных рублей, из которых 20,8 млрд пойдёт на закупку оборудования.

В отличие от членов Совфеда, россияне не настолько единодушно оценивают законопроект о «суверенном Рунете». Согласно исследованию «Левада-центра», 64 % респондентов негативно отозвались о данной инициативе. Их поддерживают и некоторые эксперты, оценившие зависимость отечественного сегмента Сети от зарубежной инфраструктуры. По их подсчётам, только 3 % внутрироссийского трафика выходит за пределы страны. На фоне подобных мнений спикер Совета Федерации Валентина Матвиенко призвала сенаторов продолжать разъяснительную работу с целью объяснить обществу, что закон разработан не для изоляции России от Всемирной сети, а, напротив, призван защитить государство от отключения от неё.

Источники:

Недостаточное внимание защите персональных данных грозит китайской экономике огромными потерями

Организация по международным экономическим вопросам Hinrich Foundation опубликовала выдержки из аналитического доклада компании AlphaBeta об угрозах экономике Китая до 2030 года. Прогнозируется, что в следующие 10 лет розничная и другая торговля в потребительском сегменте, включая Интернет, может принести стране около $5,5 трлн (37 трлн юаней). Это примерно одна пятая от ожидаемого валового внутреннего продукта Китая в течение следующего десятилетия. Цифра просто колоссальная, но с учётом населения Китая вполне достижимая. Если бы не одно но. Если Китай не будет уделять внимание усилению защиты персональных данных и продолжит попустительствовать краже интеллектуальной собственности, то он рискует недополучить значительную часть из прогнозируемых доходов.

Bloomberg | Getty Images

Bloomberg | Getty Images

Как считают аналитики, закрытость Интернета в Китае, включая блокировку The New York Times, Facebook, Twitter и YouTube, как и ограничение поиска Google, будет препятствовать расширению интернет-торговли и бизнесу с зарубежными площадками и клиентами. Кроме этого Китай увлекается протекционизмом, что ведёт к ограничению бизнеса иностранных компаний в стране. Также остаются вопросы к местному законодательству в области защиты интеллектуальной собственности, что может отпугнуть иностранных инвесторов и понизит уровень доверия к работе в Китае.

Опасения об утечках персональных данных в Китае можно развеять в том случае, если Китай начнёт внедрение сертифицированных механизмов и правил, одобренных международным сообществом. В частности, такие механизмы предусмотрены в рамках АТЭС (Азиатско-Тихоокеанское экономическое сотрудничество) и ISO (International Organization for Standardization). Аналитики признают, что китайские власти многое делают на этом направлении, но предпринимаемые Пекином усилия считают недостаточными.

Источник:

В «настольную» версию Opera 59 добавят криптокошелёк

Минувшим летом компания Opera Software выпустила криптокошелёк для своего браузера на ОС Android. Он позволяет хранить токены Ethereum и использовать криптовалюту для оплаты различных услуг. Теперь же появилась информация, что аналогичная функция будет добавлена и в «настольную» версию браузера, а именно в Opera 59. На данный момент проходит этап предварительного бета-тестирования, хотя пользователи уже могут синхронизировать мобильный и десктопный кошельки.

Для использования этой возможности необходимо установить бета-версию браузера на Android-устройство, а также сборку для разработчиков на компьютер. Затем можно создать кошелёк на смартфоне и привязать его к десктопной Opera. Для сопряжения требуется сканировать QR-код на экране ПК с помощью камеры мобильного устройства.

После завершения на смартфоне будут выводиться уведомления о подтверждении транзакции с помощью отпечатка пальца. Отмечается, что персональные ключи от кошелька хранятся только на смартфоне и никуда не передаются. При этом сами разработчики отмечают, что это пока бета-версия сервиса, потому хранить в криптокошельке большие суммы не рекомендуется. Мобильную бету можно скачать в Google Play, а десктопную версию для разработчиков — найти здесь под все актуальные платформы.

Также важно отметить, что данные находятся в безопасности до тех пор, пока смартфон не потерян или не украден. Пока не уточняется, когда выйдет финальная версия программы на Android. Что касается релиза Opera 59, то его стоит ожидать только в будущем году.

Напомним, что биткоин неделю назад поставил антирекорд. Его стоимость упала до 5390 долларов, что сравнимо с октябрём 2017 года. На сегодняшний же день криптовалюта №1 стоит менее 4505 долларов за единицу. Аналитики рынка пока не берутся прогнозировать даже ближайшие изменения курса. Ethereum же на сегодня стоит примерно 133 доллара за единицу.

Источник:

window-new
Soft
Hard
Тренды 🔥