Новости Software → Шифрование и защита данных
Главная новость

Специалисты по кибербезопасности бьют тревогу в связи с Meltdown и Spectre

2018 год начался неважно для IT-индустрии: широкой общественности (а значит и преступности) стало известно об архитектурных уязвимостях, которые затрагивают в той или иной степени почти все современные процессоры, оснащённые блоком предсказания ветвлений, и в теории позволяют злоумышленникам получить доступ к защищённым данным. Уязвимости, ставшие известными широкой общественностью под именами Meltdown и Spectre (в девичестве: CVE-2017-5715, CVE-2017-5753 и CVE-2017-5754), характерны, например, почти для всех процессоров Intel, выпущенных за последние 20 с лишним лет.

Усложняет ситуацию и то, что выпущенные уже заплатки не только в той или иной степени замедляют системы, но и приводят к нестабильности, над чем участники рынка работают сейчас не покладая рук. И хотя в своих заявлениях относительно проблемы ведущие компании постоянно подчёркивают, что пока им неизвестны успешные случаи использования этих методов атак злоумышленниками, такая ситуация, похоже, продлится недолго. И об этом, по мнению специалистов из компании Fortinet по кибербезопасности, следует думать уже сейчас.

Быстрый переход

Суверенному Рунету быть: Совфед одобрил законопроект об устойчивой работе Интернета в России

Совет Федерации одобрил законопроект о безопасной и устойчивой работе Интернета в России, носящий неофициальное название «О суверенном Рунете». За документ проголосовал 151 сенатор, четверо оказались против, один воздержался. В силу новый закон вступит после подписания его президентом в ноябре. Исключение составляют лишь положения о криптографической защите информации и обязанности операторов использовать национальную систему адресации доменных имён — они заработают 1 января 2021 года.

Авторами законопроекта выступили члены Совфеда Андрей Клишас и Людмила Бокова, а также депутат Госдумы Андрей Луговой. Документ призван обеспечить устойчивость российского сегмента Всемирной паутины при возникновении угрозы его стабильной работе из-за рубежа. По словам Клишаса, отключение России от американских серверов — это не такой уж нереальный сценарий, поскольку в США есть ряд законов, допускающих такие меры. Если подобное произойдёт, то в нашей стране перестанут работать банковские сервисы, системы онлайн-заказа билетов и некоторые другие сайты.

Чтобы избежать описанных последствий, законопроект предусматривает создание при Роскомнадзоре центра мониторинга и управления, который будет координировать действия операторов при экстраординарных обстоятельствах. Последним будет предписано установить специальное оборудование, с помощью которого Роскомнадзор сможет управлять маршрутами интернет-трафика в случае возникновения угроз. Дополнительной функцией данного оборудования станет блокировка доступа к запрещённым на территории РФ сайтам, которую сейчас осуществляют сами провайдеры. Определять порядок управления сетью и устанавливать требования к оборудованию будет правительство.

Андрей Клишас, соавтор законопроекта «О суверенном Рунете»

Андрей Клишас, соавтор законопроекта «О суверенном Рунете»

Также предполагается создание национальной системы доменных имён и полный переход госструктур на российские средства шифрования. На реализацию всех перечисленных проектов планируется потратить 30 млрд бюджетных рублей, из которых 20,8 млрд пойдёт на закупку оборудования.

В отличие от членов Совфеда, россияне не настолько единодушно оценивают законопроект о «суверенном Рунете». Согласно исследованию «Левада-центра», 64 % респондентов негативно отозвались о данной инициативе. Их поддерживают и некоторые эксперты, оценившие зависимость отечественного сегмента Сети от зарубежной инфраструктуры. По их подсчётам, только 3 % внутрироссийского трафика выходит за пределы страны. На фоне подобных мнений спикер Совета Федерации Валентина Матвиенко призвала сенаторов продолжать разъяснительную работу с целью объяснить обществу, что закон разработан не для изоляции России от Всемирной сети, а, напротив, призван защитить государство от отключения от неё.

Источники:

Недостаточное внимание защите персональных данных грозит китайской экономике огромными потерями

Организация по международным экономическим вопросам Hinrich Foundation опубликовала выдержки из аналитического доклада компании AlphaBeta об угрозах экономике Китая до 2030 года. Прогнозируется, что в следующие 10 лет розничная и другая торговля в потребительском сегменте, включая Интернет, может принести стране около $5,5 трлн (37 трлн юаней). Это примерно одна пятая от ожидаемого валового внутреннего продукта Китая в течение следующего десятилетия. Цифра просто колоссальная, но с учётом населения Китая вполне достижимая. Если бы не одно но. Если Китай не будет уделять внимание усилению защиты персональных данных и продолжит попустительствовать краже интеллектуальной собственности, то он рискует недополучить значительную часть из прогнозируемых доходов.

Bloomberg | Getty Images

Bloomberg | Getty Images

Как считают аналитики, закрытость Интернета в Китае, включая блокировку The New York Times, Facebook, Twitter и YouTube, как и ограничение поиска Google, будет препятствовать расширению интернет-торговли и бизнесу с зарубежными площадками и клиентами. Кроме этого Китай увлекается протекционизмом, что ведёт к ограничению бизнеса иностранных компаний в стране. Также остаются вопросы к местному законодательству в области защиты интеллектуальной собственности, что может отпугнуть иностранных инвесторов и понизит уровень доверия к работе в Китае.

Опасения об утечках персональных данных в Китае можно развеять в том случае, если Китай начнёт внедрение сертифицированных механизмов и правил, одобренных международным сообществом. В частности, такие механизмы предусмотрены в рамках АТЭС (Азиатско-Тихоокеанское экономическое сотрудничество) и ISO (International Organization for Standardization). Аналитики признают, что китайские власти многое делают на этом направлении, но предпринимаемые Пекином усилия считают недостаточными.

Источник:

В «настольную» версию Opera 59 добавят криптокошелёк

Минувшим летом компания Opera Software выпустила криптокошелёк для своего браузера на ОС Android. Он позволяет хранить токены Ethereum и использовать криптовалюту для оплаты различных услуг. Теперь же появилась информация, что аналогичная функция будет добавлена и в «настольную» версию браузера, а именно в Opera 59. На данный момент проходит этап предварительного бета-тестирования, хотя пользователи уже могут синхронизировать мобильный и десктопный кошельки.

Для использования этой возможности необходимо установить бета-версию браузера на Android-устройство, а также сборку для разработчиков на компьютер. Затем можно создать кошелёк на смартфоне и привязать его к десктопной Opera. Для сопряжения требуется сканировать QR-код на экране ПК с помощью камеры мобильного устройства.

После завершения на смартфоне будут выводиться уведомления о подтверждении транзакции с помощью отпечатка пальца. Отмечается, что персональные ключи от кошелька хранятся только на смартфоне и никуда не передаются. При этом сами разработчики отмечают, что это пока бета-версия сервиса, потому хранить в криптокошельке большие суммы не рекомендуется. Мобильную бету можно скачать в Google Play, а десктопную версию для разработчиков — найти здесь под все актуальные платформы.

Также важно отметить, что данные находятся в безопасности до тех пор, пока смартфон не потерян или не украден. Пока не уточняется, когда выйдет финальная версия программы на Android. Что касается релиза Opera 59, то его стоит ожидать только в будущем году.

Напомним, что биткоин неделю назад поставил антирекорд. Его стоимость упала до 5390 долларов, что сравнимо с октябрём 2017 года. На сегодняшний же день криптовалюта №1 стоит менее 4505 долларов за единицу. Аналитики рынка пока не берутся прогнозировать даже ближайшие изменения курса. Ethereum же на сегодня стоит примерно 133 доллара за единицу.

Источник:

Большинство россиян не знают о криптовалютах и не хотят покупать их

Многие россияне не планируют покупать криптовалюты и не знают, что это такое. Таковы результаты исследования холдинга «Ромир». В опросе приняли участие 1,5 тыс. граждан России в возрасте от 18 лет.

Лишь 44 % респондентов заявили, что имеют какое-то представление о цифровых деньгах, а хорошо понимают их принципы только 13 %. В основном это молодые люди от 18 до 24 лет.

wsj.com

87 % участников опроса, знающих, что такое криптовалюты, не планируют покупать их. Больше половины опрошенных (56 %) заявили, что вообще не имеют представления о таких деньгах.

Больше всего россиянам известна такая криптовалюта как биткоин — о ней знают 68 % участников исследования. Про «эфиры» (Ethereum) слышали лишь 4 % опрошенных людей. Из числа опрошенных, которые заявили, что понимают и знают, что такое криптовалюты, 29 % человек затруднились назвать хотя бы одну.

Среди самых молодых респондентов 26 % уверены, что у цифровых денег есть будущее. Ответ «скорее нет будущего» выбрали 30 % из большинства респондентов, вариант «скорее есть будущее» — 42 %.

Большинство россиян (76 %), которые покупали криптовалюту, сообщили, что делали это с целью заработка. Причем более половины из них отметили, что достигли поставленных финансовых целей.

wsj.com

Мнение россиян о необходимости госрегулирования криптовалют разделились почти поровну. Всего 12 % опрошенных считают, что вмешательство властей в эту сферу точно необходимо, ещё 20 % респондентов уверены в обратном. 

Источник:

Дыра в безопасности могла привести к утечке данных всех взрослых американцев

Согласно недавно опубликованному отчёту, малоизвестная компания из Флориды могла сделать достоянием злоумышленников личные данные почти каждого взрослого жителя США. Компания по маркетингу и сбору данных Exactis из городка Палм-Кост опубликовала на общедоступном сервере базу данных, содержащую почти 2 терабайта данных. База включала записи 230 миллионов граждан и 110 миллионов предприятий США.

«Похоже, что база данных содержит сведения почти о каждом гражданине США, — сказал исследователь Винни Троя (Vinny Troia), который обнаружил утечку ранее в этом месяце. — Я не знаю, откуда были взяты данные, но речь идёт об одной из самых полных коллекций, которые я когда-либо видел».

Хотя база, по-видимому, не включает данные кредитных карт или номера социального страхования, она содержит телефонные номера, адреса электронной почты, почтовые адреса, а также более 400 персональных характеристик. Например: является ли человек курильщиком, владеет ли он собакой или кошкой, какого он вероисповедания и множество личных интересов. Несмотря на то, что в базу не была включена никакая финансовая информация, объём личных данных может предоставить в руки мошенников весьма сильные инструменты.

Господин Троя сообщил, что смог легко получить доступ к базе данных в Интернете, и, теоретически, многие другие люди тоже могли это сделать. Он сказал, что предупредил Exactis и ФБР об уязвимости, и данные перестали быть общедоступными.

На своём веб-сайте Exactis заявляет, что имеет в распоряжении 3,5 миллиарда потребительских, деловых и цифровых записей, в том числе информацию о демографии, географии, бизнесе, образе жизни, интересах, потребительских товарах, а также автомобильные, корпоративные и поведенческие данные людей. Компания заявила, что располагает данными о 218 миллионах людей и 110 миллионах американских домохозяйств.

По данным Бюро переписи населения США, в стране насчитывается около 126 миллионов домохозяйств и 325 миллионов жителей, из которых около 244 миллионов взрослых. Если утечка действительно произошла, речь может идти об одном из крупнейших подобных случаев в истории.

Источник:

Хакеры украли криптовалют на $1,2 млрд менее чем за полтора года

С начала 2017 года киберпреступники похитили криптовалют на сумму, эквивалентную порядка $1,2 млрд, сообщается в отчёте антифишинговой рабочей группы (Anti-Phishing Working Group, APWG). В исследование были включены как зарегистрированные, так и незарегистрированные кражи. «Кроме оборота наркотиков и отмывания денег с помощью криптовалют мы видим ещё одну проблему — воровство токенов», — заявил в интервью Reuters генеральный директор компании CipherTrace и председатель APWG Дэйв Джеванс (Dave Jevans).

По оценкам Джеванса, из украденных $1,2 млрд возвращены были лишь около 20 %. При этом эксперт считает, что в будущем ситуация не только не улучшится, но даже осложнится. В этом он винит постановление Европейской комиссии о защите данных (GDPR), которое вступает в силу 25 мая 2018 года. «GDPR негативно отразится на безопасности в Интернете и непреднамеренно сыграет на руку киберпреступникам. Ограничивая доступ к важной информации, новый закон значительно затруднит расследование киберпреступлений — кражи криптовалют, фишинга, вымогательства, распространения вредоносных программ, взломов», — уверен Джеванс.

Дело в том, что GDPR запрещает компаниям публиковать информацию, с помощью которой можно было бы идентифицировать пользователей Интернета. Согласно постановлению, использование протокола WHOIS является незаконным, так как он позволяет установить имя, адрес электронной почты и номер телефона того, на чьё имя зарегистрирован тот или иной домен во Всемирной паутине. Но именно WHOIS был одним из важнейших инструментов правоохранительных органов в борьбе с преступлениями в киберпространстве.

Источник:

«Цифровая женевская конвенция»: не все IT-гиганты отказались от участия в кибератаках

Свыше тридцати IT-компаний подписали так называемую «цифровую женевскую конвенцию», подразумевающую отказ от участия в кибератаках, вне зависимости от того, кем они организованы — киберпреступниками или правительствами каких-либо стран, и на кого они направлены — на граждан или предприятия. Кроме того, участники соглашения обязуются оказывать помощь любой стране, подвергшейся атаке в виртуальном пространстве.

В числе подписавших конвенцию немало гигантов IT-отрасли — Microsoft, Facebook, Cisco, Nokia, Dell, HP, Symantec, Trend Micro и другие, всего на сегодняшний день 34 компании. В то же время некоторые крупные высокотехнологические бренды отказались от участия в соглашении. Среди таких упоминаются Google, Apple, Amazon и Twitter. Кроме того, нет ни одного участника из России, КНДР, Ирана и Китая — стран, на которые Запад обычно возлагает ответственность за кибератаки.

«Проблема значительно выросла, и я думаю, что за последние несколько лет мы поняли, что нам надо больше работать сообща», — так прокомментировал важность произошедшего президент Microsoft Брэд Смит (Brad Smith). Он также подчеркнул главенствующую роль американских компаний в борьбе с киберпреступностью, так как их клиенты чаще всего подвергаются атакам. Отметим, что именно Microsoft и Брэд Смит лично являются главными лоббистами «цифровой женевской конвенции». О необходимости подобного соглашения Смит заявлял ещё в феврале 2017 года на конференции по кибербезопасности в Сан-Франциско.

Источник:

Расшифрованы письма испанского монарха 500-летней давности

Письма одного из самых известных правителей Испании Фердинанда ІІ Арагонского на протяжении веков не давали покоя историкам и математикам. Переписка между монархом и его выдающимся полководцем генералом Гонсало де Кордовой, проигравшим лишь одно сражение, была надёжно защищена сложным шифром, использующим свыше двух сотен специальных знаков.

Наверняка в своё время противники короля Фердинанда прилагали немалые усилия для прочтения секретных посланий, но удалось это осуществить лишь спустя пять веков собственным разведывательным службам Испании, имеющим в своём распоряжении современные инструменты компьютерного анализа, что говорит о высокой степени криптозащиты.

В течение сорокалетнего правления королю Фердинанду ІІ удалось завершить в 1492 году Реконкисту, освободив из-под власти маврских исламских эмиров и объединив большую часть испанских земель, открыть Америку в результате путешествия Христофора Колумба, провести успешные военные кампании за доминирование в Западной Европе, контроль над Италией и Средиземным морем.

Письма посвящены кампаниям начала XVI века и содержат подробности от инструкций военачальнику по развёртыванию войск до предостережений не консультироваться с королём до начала дипломатических инициатив. В то время требовалось около 15 дней для доставки писем между монаршей резиденцией и юго-восточной Италией, где находился командующий войсками. В стремлении получить контроль над Средиземноморьем в 1502 году разыгралось в противостояние между Францией и Испанией за обладание Неаполитанским королевством — последней удалось в 1504 году добиться победы, сохранив этот статус до 1647 года.

Таинственная до последнего времени система кодировки, использовавшаяся Фердинандом II и генералом Кордовой, была очень сложной. Она состояла из 237 иероглифических букв, каждая из которых использовала от 2 до 6 символьных начертаний, общее количество которых достигало 88. Для усложнения задачи в тексте не было разделений между отдельными словами и фразами.

Зашифрованные письма были выставлены в Музее вооружённых сил Испании в Толедо, так что каждый желающий мог испытать свои аналитические способности для прочтения посланий. Испанским разведывательным службам потребовалось почти полгода для раскодирования четырёх из них, состоящих из более 20 страниц. Этому событию придают значение египетского «Камня Розетты» в надежде, что успешное прочтение этого кода позволит дешифровать и другие письма.

Источник:

Исправлена уязвимость, открывавшая доступ к персональным данным выпускников российских вузов

29 января на ресурсе «Хабрахабр» пользователь под ником NoraQ рассказал об уязвимости реестра выпускников Федеральной службы по надзору в сфере образования и науки. Уязвимость, по словам NoraQ, позволила ему получить персональные данные 14 млн выпускников российских вузов.

На сайте Рособрнадзора есть раздел, где пользователи могут проверить подлинность выданного диплома о высшем образовании. Из-за нехитрой структуры сайта NoraQ смог получить доступ к нему: «Голый SQL Injection. Очевидно, что задачи продумать обработку ошибок перед разработчиком не было. Задача была сделать сервис, который работает. Сервис, который является гарантом».

В созданной ветке «Хабрахабра» автор подробно описал шаги, которые позволили получить ему доступ к данным. После этого NoraQ написал небольшую программу на Python и при её помощи смог скачать всю интересующую информацию. В одной из скачанных таблиц имелись следующие персональные данные выпускников: серия и номер документа о высшем образовании, наименование учебной организации, года поступления и окончания, СНИЛС и ИНН, дата рождения и национальность выпускника. Также таблица содержала столбец, названный «Серия и номер паспорта», но, по словам NoraQ, эти графы не были заполнены.

Скачанная им база данных весила 5 Гбайт. По словам NoraQ, никто не обратил внимания на подозрительную активность: «А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть, сервис резко отключился, IP заблокировали или ещё что-то? Нет!»

По словам NoraQ, им двигал всего лишь спортивный интерес, он не преследует цели получить какие-то деньги с находки. Также он не сообщал Рособрнадзору о найденной уязвимости, а сразу опубликовал пост на «Хабре» с нового аккаунта.

К утру 30 января NoraQ заявил, что уязвимость реестра была исправлена: «Буквально через час после опубликования статьи доступ к сайтe ограничили, а через несколько часов сайт снова восстановил работу, но уже без обнаруженной уязвимости». Также автор признался, что базу он не скачивал, а на протяжении трёх дней лишь эмулировал скачивание, надеясь, что необычный трафик привлечёт внимание.

Источник:

window-new
Soft
Hard
Тренды 🔥