Новости Software → Шифрование и защита данных

Сноуден: криптография мешает людям установить контакт с внеземными цивилизациями

«Одиноко ли человечество во вселенной?» — этот вопрос учёные исследуют уже не один десяток лет, однако до сих пор неопровержимых доказательств существования внеземных цивилизаций предоставить так никто и не смог. Бывший сотрудник американских спецслужб Эдвард Сноуден (Edward Snowden) придерживается популярного в кругах уфологов мнения, что основной помехой для установления контакта с пришельцами может оказаться кодирование информации. Свою позицию он озвучил в разговоре с астрофизиком Нилом де Грассом Тайсоном (Neil deGrasse Tyson) в рамках подкаста StarTalk.

«Когда вы имеете дело с закодированными сообщениями, то невозможно определить, являются ли они закодированными. Коммуникацию, зашифрованную надлежащим образом, теоретически невозможно отличить от случайного шума. Так что если инопланетная цивилизация попытается прослушать другие цивилизации, или мы попытаемся прослушать инопланетян, в развитии общества есть лишь один малый период, когда все радиосообщения рассылаются при помощи самых примитивных и незащищённых средств», — полагает  Сноуден.

В то же время данная теория предполагает и то, что сами пришельцы (при условии их существования) не стремятся установить контакт с человечеством, используя незащищённую коммуникацию. По тем или иным причинам.

Источник:

Google уверяет, что не читает личную переписку, а лишь проверяет её на вирусы

На днях Мосгорсуд обязал российское представительство Google выплатить материальную компенсацию в размере 50 тысяч рублей жителю Екатеринбурга Антону Буркову, который уличил компанию в нарушении права на личную тайну и тайну переписки.

Как бы то ни было, Google продолжает настаивать на своей невиновности. Пресс-служба поискового гиганта в интервью ТАСС заявила, что не читает электронные письма, а всего лишь сканирует их на предмет выявления спама и вредоносных программ.

«Наши автоматизированные системы сканируют почту, чтобы предотвратить появление спама и выявить вредоносные программы. Такие же системы используется и для показа релевантных рекламных объявлений. Ни один человек не вовлечён в этот процесс», — уверили представители компании.

Бурков подал иск против Google в Замоскворецкий суд в начале этого года. В ходе деловой переписки он заметил, что контекстная реклама, отображаемая в почтовом сервисе Gmail, содержит данные из его личных писем. В апреле суд не удовлетворил жалобу, приняв сторону ответчика, который заявил, что ответственность за деятельность сервиса на территории России несет головное подразделение Google Inc., базирующееся в США. Впоследствии Бурков подал апелляцию в Мосгорсуд, который после пересмотра дела привлек корпорацию к ответственности.

Отметим, Google оставляет за собой право на обжалование решения Мосгорсуда.

Источник:

Против Twitter подали иск по обвинению в просмотре личных сообщений

В США на компанию Twitter Inc. подали в суд по обвинению в нарушении политики конфиденциальности, сообщает издание The Wall Street Journal. Истцом выступила юридическая фирма Edelson PC, которая отстаивает интересы угнетённого жителя Техаса. В поданном иске отмечается, что Twitter якобы тайно перехватывает личные сообщения пользователей, прочитывает и даже иногда их изменяет.

В переданных суду документах среди прочего приводится конкретный пример подобного правонарушения: если пользователь отправляет в личном сообщении ссылку на какой-то интернет-ресурс, сервис автоматически перехватывает послание и при помощи специального алгоритма укорачивает ссылку. «В соответствии с алгоритмами, которые применяет Twitter, личное сообщение, прежде чем дойти до адресата, будет прочитано, в нем заменят гиперссылку, в результате чего пользователь сначала будет направлен на аналитический сервер Twitter и уже потом на ту страницу, на которую вела ссылка», — отмечается в исковом заявлении.

Обвинительная сторона придерживается мнения, что сделано это с целью оказания поддержки рекламному бизнесу Twitter. Используя собственный алгоритм сокращения ссылок, компания отслеживает число обращений к конкретно взятому сайту, а потом передает эту информацию его владельцу. Истцы убеждены, что подобные действия являются незаконными, и хотят добиться, чтобы социальный гигант ежедневно выплачивал по 100 долларов за каждого пользователя, чьи права были нарушены.

Источник:

Маршрутизаторы Cisco подверглись кибернападениям в четырёх странах мира

Специалисты по информационной безопасности из Mandiant, дочерней компании FireEye, на днях обнаружили новую разновидность кибератак на маршрутизаторы с использованием алгоритма перенаправления трафика через Интернет, который позволяет хакерам собирать огромные объёмы данных, оставаясь при этом незаметными для существующих систем защиты.

Было зафиксировано 14 случаев применения данного алгоритма на Украине, в Индии, Мексике и Филиппинах — целями злоумышленников становились сетевые системы производства Cisco. В ходе атаки хакер дистанционно устанавливает подменную операционную систему SYNful Knock взамен штатной Cisco IOS, после чего получает полный доступ к сетевым данным жертвы.

Эксперты FireEye, изучившие логи зараженных устройств, утверждают, что подобные атаки осуществляются уже на протяжении года. Теоретически SYNful Knock также может использоваться для получения контроля над роутерами и других производителей. Сама Cisco в курсе всех проблем: ее представители заверяют, что подмена ОС осуществлялась без использования брешей в системе защиты — по их словам, преступники получали физический доступ к маршрутизаторам, а также использовали краденные логины и пароли для входа в систему.

Источник:

Из-за утечек информации IT-компании потеряли $37 млрд

Международная организация Gemalto, занимающаяся вопросами цифровой безопасности, провела исследование, целью которого было выяснить общую сумму ущерба, который понесли различные IT-корпорации в результате утечек информации в первой половине 2015 года.

Итак, по данным обнародованного отчета Breach Level Index, за рассматриваемый период компании допустили 888 утечек, при этом потеряли 245,5 млн записей. Все это привело к финансовым потерям в размере 36,9 млрд долларов. Основной причиной столь удручающего положения вещей исследователи называют  устаревшие системы защиты данных, которые были эффективными несколько лет назад. В Gemalto убеждены, что корпорациям необходимо уделять больше внимания контролю доступа к корпоративной информации и аутентификации пользователей, а также шифрованию конфиденциальной информации.

Любопытно, что число утечек по сравнению с первой половиной 2014 года увеличилось на 10 %, вместе с тем количество утерянных записей сократилось на 40 % с 415 млн штук. По статистике чаще всего в Сеть уплывают личные и платежные данные, а целями злоумышленников чаще всего становятся медицинские, образовательные и государственные учреждения. 

Источник:

Стартовало тестирование платформы Google Identity Platform

Google стремится к тому, чтобы пользователи чувствовали себя в безопасности, когда они заходят на веб-сайты или открывают различные приложения со своих мобильных устройств, работающих под управлением Android. Поэтому компания поощряет разработчиков в создании встроенных механизмов, обеспечивающих информационную безопасность пользовательской аудитории. К числу таких решений относится новая платформа Google Identity.

Менеджер паролей Google Smart Lock

Менеджер паролей Google Smart Lock

Google Identity Platform была продемонстрирована на ежегодной конференции Google I/O, которая традиционно проводится в Сан-Франциско. Платформа представляет собой собрание специальных программ для разработчиков и инструментов для управления паролями, функциями единого входа в связанные приложения и веб-сайты, идентификацией пользователей.

Так, с менеджером паролей Google Smart Lock разработчики могут сохранять и извлекать учётные данные своих клиентов, а также использовать эту информацию для входа пользователей в Android-приложения и на интернет-площадки, открываемые с помощью браузера Chrome. В свою очередь, пользователь может сохранять свои пароли на одном устройстве, а Smart Lock добавит эту информацию на все другие гаджеты.

Согласно информации, предоставленной корпорацией Google, в настоящее время несколько компаний уже тестируют новое программное обеспечение. Netflix, к примеру, использует его для того, чтобы сохранять залогиненных пользователей в системе, даже если те во время просмотра контента сменили устройство. Среди других компаний и сервисов, которые тестируют новинку Google, фигурируют Eventbrite, Orbitz, Instacart и The New York Times.

Источник:

Google и Apple призывают президента США прекратить войну с шифрованием данных

Свыше 140 крупных компаний, известных ученых и исследователей в области безопасности выступили с обращением к президенту Соединенных Штатов Бараку Обаме, призывая его  пересмотреть проводимую правительством этой страны политику борьбы с шифрованием данных. По мнению экспертов, готовящиеся в этой области новые инициативы способны подорвать доверие людей к американским фирмам и привести к экономической катастрофе.

Письмо, подписанное руководством таких гигантов индустрии высоких технологий, как Apple, Google, Microsoft, Twitter, Yahoo, Symantec и HP, было отправлено в Белый дом во вторник, 19 мая. Оно содержит в себе призыв отклонить свежие предложения законодателей, которые могут позволить спецслужбам на законных основаниях собирать и расшифровывать данные, полученные со смартфонов и «иных коммуникационных устройств».

В послании отмечается, что внедрение специальных мер, направленных на сознательное снижение безопасности пользовательских устройств, заставит корпоративных и частных клиентов внутри и за пределами США задуматься об отказе от продукции и услуг американских компаний и ещё больше подорвёт доверие к ним.

Проблемы с лояльностью клиентов начали появляться у заокеанских интернет-гигантов ещё в 2013 году, когда выходец из американских спецслужб Эдвард Сноуден придал огласке документы, свидетельствующие о шокирующих по своим масштабам объёмах слежки со стороны АНБ за пользователями сервисов Google, Apple, Microsoft, Facebook, Twitter и Yahoo.

По оценкам экспертов Еврокомиссии, этот скандал обошёлся индустрии удалённого хранения данных в миллиарды долларов США. Кроме того, составители письма указывают на то, что новые правила работы с информацией вынудят их клиентов пользоваться зарубежными сервисами защиты информации, что приведёт к обратному для спецслужб США эффекту и невозможности получения необходимой информации в ходе проводимых ими расследований.

Источник:

Новая аппаратная система авторизации прикроется от хакеров фальшивыми паролями

Команда исследователей из Университета Пердью, штат Индиана, США разработала инновационную программно-аппаратную систему авторизации пользователей веб-сервисов. При общей стоимости компонентов порядка $500 она призвана существенно затруднить несанкционированное получение хакерами действительных паролей из украденных баз данных.

Модуль, получивший название ErsatzPasswords, позволяет встроить в хеши паролей, хранящихся на серверах различных организаций, дополнительный слой защиты. Методика состоит в том, что перед шифрованием пароли обрабатываются аппаратной математической функцией, придающей им специальные атрибуты, которые не позволяют злоумышленникам восстановить пароли из хешей без доступа к модулю шифрования.

Осуществляя перебор возможных паролей и получая совпадения хешей с таблицами имеющихся значений, потенциальный хакер не будет иметь возможности удостовериться в подлинности взломанных паролей до тех пор, пока не попытается воспользоваться ими для авторизации в системе. В этот момент ErsatzPasswords распознает подписанный ею фальшивый пароль и уведомит администратора сервиса или соответствующие службы о попытках получения несанкционированного доступа.

Применение новой системы на стороне сервера авторизации, помимо улучшений в области безопасности, позволит оптимизировать работу с базами данных, поскольку для хранения и верификации паролей используется всего один единый файл. Развертывание ErsatzPasswords также не должно стать проблемой, а исходный код модуля распространяется свободно и доступен на  GitHub, где он опубликован под открытой лицензией Apache.

Источник:

Tor Browser 4.5: анонимный веб-обозреватель получил масштабное обновление

Анонимный браузер Tor получил масштабное обновление, в результате чего сменил номер версии с 4.0.8 сразу на 4.5. Одним из наиболее заметных нововведений в нём стало появление раздела меню, посвящённого выбору уровня безопасности. В режиме максимальной функциональности запрещены лишь те возможности, которые содержат большое число уязвимостей, в то время как при выборе наивысшей степени защиты отключаются внешние шрифты и все кодеки кроме WebM, причём последний активируется только по клику.

Настройки уровня безопасности Tor Browser 4.5

Настройки уровня безопасности Tor Browser 4.5

Некоторые изменения претерпело основное меню приложения, вызываемое кнопкой с изображением луковицы — официальной эмблемы браузера. Теперь в нём можно просмотреть информацию о цепочке узлов, по которым передаётся трафик при посещении той или иной веб-страницы, а также сохранить её и использовать в дальнейшем при работе с этим сайтом. Кроме того, пользователи Windows наконец-то получили возможность при инсталляции Tor добавить его ярлык в меню «Пуск», а для Linux предусмотрена возможность открывать ссылки в браузере из командной строки или файлового менеджера. Поиском по умолчанию назначен сервис Disconnect.

Меню Tor Browser 4.5 с цепочкой прохождения трафика

Меню Tor Browser 4.5 с цепочкой прохождения трафика

Остальные улучшения в Tor Browser 4.5, с полным списком которых можно ознакомиться здесь, касаются по большей части технологий обеспечения безопасности и конфиденциальности соединений. В частности, в нём нашёл применение новый транспорт obfs4, отличающийся большей устойчивостью перед средствами анализа трафика по сравнению с ранее применявшимися решениями. Как утверждают разработчики, в настоящее время он не виден даже для развёрнутых в Китае механизмов выявления Tor-узлов.

Логотип Tor Browser

Логотип Tor Browser

Кроме того, была усовершенствована система противодействия отслеживанию активности пользователя в Сети сторонними сайтами. В подобных действиях, к примеру, неоднократно уличалась социальная сеть Facebook, использовавшая для этого свой плагин — кнопку Like, размещённую на десятках миллионов сайтов.

Источник:

Рутинг «убивает» платёжный сервис Samsung Pay

Большинство производителей смартфонов на Android всегда выступали против получения пользователями root-прав, а у Samsung после выпуска флагманских моделей Galaxy S6 и S6 Edge в этом вопросе даже появился новый аргумент. Речь идёт о платёжной системе Samsung Pay, которая, как утверждает южнокорейский производитель, перестанет функционировать после проведения рутинга.

Связано данное ограничение с работой сервиса безопасности KNOX, обеспечивающего в числе прочего конфиденциальность финансовых операций, осуществляемых при помощи смартфона. Выполняя манипуляции по разблокировке загрузчика, его придётся отключить, что сделает невозможными платежи в Samsung Pay. Утверждается, что решений для получения доступа к учётной записи главного администратора на Galaxy S6/S6 Edge, не затрагивающих KNOX, на данный момент не существует, хотя таковые есть для Galaxy S5.

Напомним: сервис Samsung Pay был анонсирован одновременно с премьерой смартфонов Galaxy S6 и Galaxy S6 Edge в начале марта 2015 года в рамках выставки MWC 2015. В его основу легла разработка стартапа LoopPay, позволяющая расплачиваться в любых кассовых терминалах, работающих с магнитной полосой пластиковых карт. Основным конкурентом Samsung Pay считается система Apple Pay, о запуске которой было объявлено в сентябре 2014 года.

Источник:

window-new
Soft
Hard
Тренды 🔥