Сегодня Google объявила о внедрении поддержки W3C WebAuth для учётных записей Google на устройствах производства Apple работающих под управлением iOS 13.3 и выше. Это повышает удобство использования аппаратных ключей шифрования Google в iOS и позволяет использовать больше типов ключей безопасности с учётными записями Google.

macrumors.com

Благодаря этому нововведению пользователи iOS получили возможность использовать Google Titan Security Key с NFC для входа в личный аккаунт. USB-ключи, такие как YubiKey 5Ci, также можно использовать с iOS-устройствами, но для этого понадобится фирменный переходник Apple Lightning to USB Camera. Ключи с разъёмом Type-C могут быть подключены напрямую к iOS-устройствам с соответствующим гнездом, таким как iPad Pro.

По заверениям Google, использование Security Key обеспечивает гораздо более надёжную защиту доступа к учётной записи чем двухфакторная аутентификация, поскольку доступ к аккаунту в таком случае можно получить только с помощью физического ключа, а не с использованием простого цифрового кода, который опытные хакеры способны подобрать.

Не так давно стало известно о том, что популярный сервис видеоконференций Zoom сделает звонки более безопасными и конфиденциальными при помощи сквозного шифрования данных. Теперь же было объявлено, что задействовать нововведение смогут только пользователи, использующие сервис на платной основе, тогда как для бесплатных аккаунтов эта функция останется недоступной.

Во время объявления финансовых результатов основатель и генеральный директор Zoom Эрик Юань (Eric Yuan) подтвердил, что компания намерена использовать сквозное шифрование, но доступно оно будет не всем. «Бесплатным пользователям, конечно же, мы не хотим давать возможность использования сквозного шифрования, поскольку мы хотим продолжить сотрудничество с ФБР и местными правоохранительными органами в случаях, когда некоторые люди используют Zoom для плохих целей», — сказал Эрик Юань.

Позднее специалист по безопасности Zoom Алекс Стамос (Alex Stamos) пояснил, что компания испытывает трудности в поиске баланса между предоставлением конфиденциальности и снижением количества случаев злоупотребления платформой. Вероятно, он имеет в виду то, что люди, занимающееся какой-либо незаконной деятельностью на платформе Zoom, не будут регистрировать платный аккаунт, предпочтя использовать бесплатную версию, зарегистрировавшись с помощью одноразового почтового адреса. Поэтому пользователям бесплатных аккаунтов Zoom не будет доступно сквозное шифрование, поскольку более низкий уровень конфиденциальности облегчает поиск нарушителей. Стамос также отметил, что Zoom не осуществляет активный мониторинг видеоконференций пользователей и не будет делать этого в будущем.

В последнее время компания столкнулась с рядом проблем, в значительной степени вызванных стремительным ростом популярности сервиса, который обусловлен пандемией коронавируса. На фоне этого платформа всё чаще используется людьми для ведения разного рода незаконной деятельности, поэтому Zoom стремится найти баланс между защитой конфиденциальных данных пользователей и механизмами отсеивания людей, нарушающих правила использования платформы.

ASUS и Janus Technologies объявили о выходе обновлённого ноутбука ASUS ExpertBook P5440FA с поддержкой технологии BIOS-SHIELD, представляющего собой многофункциональное решение для обеспечения безопасной работы в облаке для малых и средних предприятий, а также их взаимодействия с сотрудниками, работающими из дома.

Это — первая модель в семействе ExpertBook P-Series, в которой используется технология BIOS-SHIELD, позволяющая удаленно управлять ПК, обеспечивая безопасность для каждой конечной точки предприятия. Сообщается, что ASUS ExpertBook P5440FA с BIOS-SHIELD позволяет компаниям чувствовать себя более защищённо, предоставляя сотрудникам удалённый доступ к своей корпоративной сети и конфиденциальным данным. Предприятия, использующие технологию BIOS-SHIELD, также могут подписаться на услугу BIOS-SHIELD Cloud Management. Через портал Cloud Management пользователи могут безопасно получать доступ к Интернету, а ИТ-администраторы — удалённо изменять настройки доступа, обновлять или отключать доступ, а в случае утери ноутбука полностью отключать устройство, пока оно не будет найдено.

Сервис BIOS-SHIELD также позволяет сотрудникам компании обмениваться ключами шифрования USB-накопителей с выборочным доступом к информации, в то время как «чужие» компьютеры не смогут считывать или записывать данные на эти же USB-устройства.

ИТ-администраторы также могут создавать корпоративные политики, которые позволят блокировать внешние USB-устройства и запрещать Bluetooth-соединение.

Кроме того, сервис позволяет восстанавливать данные в случае, если сотрудник «кликнет» вредоносную ссылку. Ещё одна полезная особенность сервиса — BIOS-SHIELD предоставляет браузер для безопасного поиска, который может полностью управляться и контролироваться независимо от ОС Windows.

Ноутбук ExpertBook P5440FA выполнен с учётом требований военного стандарта US MIL-STD 810G по защите от внешнего воздействия, включая удары, вибрацию, перепады температуры, попадание влаги и пыли. Устройство оснащено 14-дюймовым дисплеем с разрешением Full HD (1920 × 1080 точек) и соотношением сторон 16:9. Спецификации ExpertBook P5440FA включают процессор Intel Core i3-8145U, i5-8265U или i7-8565U восьмого поколения, поддержку интерфейсов HDMI и USB-C, возможность установки двух накопителей — твердотельного объёмом до 500 Гбайт и жёсткого диска ёмкостью до 1 Тбайт.

Стоимость ASUS ExpertBook P5440FA с поддержкой технологии BIOS-SHIELD в США начинается с $949,99.

Государственная корпорация Ростех сообщает о разработке новой системы для транспортной инфраструктуры современных городов. Комплекс призван повысить безопасность дорожного движения и сократить количество происшествий с участием пешеходов.

Речь идёт об особой системе для подсветки пешеходных переходов. Она проецирует на дорогу мощный направленный пучок света, чёткость которого не зависит от погодных условий — дождя, тумана или снегопада.

Подсветка работает через трафарет, выполненный из стекла, металла или плёнки. Комплекс оснащён датчиками движения, которые активируют работу системы только при приближении пешехода — благодаря этому обеспечивается снижение расхода энергии.

Оптическая система обладает ультрашироким углом раскрытия с проекционным расстоянием 1:1,1. Это означает, что каждый метр высоты установки проектора даёт 1,1 метра длины области подсветки. Яркость, обеспечиваемая проектором, установленным на высоте 5 метров, составляет 330 люкс.

«Его [комплекса] работа позволяет обеспечить видимость пешеходного перехода на дороге с расстояния около 200 метров даже в плохую погоду, что особенно важно в регионах с высокой влажностью и частыми туманами. На таком расстоянии водители имеют достаточно времени, чтобы совершить торможение», — отмечает Ростех. 

Статистика показывает, что вслед за участниками видеоконференций в период пандемии в виртуальную среду устремились и граждане с криминальными наклонностями. Сервис Zoom в этом смысле не раз становился объектом критики, поскольку присоединиться к чужой видеоконференции он позволял слишком просто. В скором времени эта проблема может быть устранена за деньги клиентов.

Источник изображения: Reuters

Как сообщает Reuters со ссылкой на представителей Zoom, новая политика работы с пользователями будет предусматривать шифрование сеанса связи для платных подписчиков и разного рода организаций, включая учебные заведения и некоммерческие объединения. Подобные меры позволят исключить утечку информации, обсуждаемой в ходе видеоконференций. К недостаткам этого плана можно отнести потерю возможности прослушивания конференции с телефона и подключения к сеансу связи самих специалистов Zoom по информационной безопасности.

Сторонние пользователи сейчас присоединяются к видеоконференциям до 300 млн раз в день, поэтому желающие сохранить приватность обсуждения наверняка будут готовы перейти на платное обслуживание. Некоторые эксперты высказывают опасения, что зашифрованные сеансы видеосвязи будут активнее использоваться преступниками для общения друг с другом. Впрочем, Zoom в этом смысле не уникален, и пользы от перехода на шифрование наверняка будет больше, чем вреда.

Для обхода защиты корпоративных сетей и получения доступа к локальной IT-инфраструктуре организаций злоумышленникам требуется в среднем четыре дня, а минимум — 30 минут. Об этом свидетельствует проведённое специалистами компании Positive Technologies исследование.

Проведённая Positive Technologies оценка защищённости сетевого периметра предприятий показала, что получить доступ к ресурсам в локальной сети можно в 93 % компаний, а в 71 % организаций проникнуть во внутреннюю инфраструктуру может даже низкоквалифицированный хакер. При этом в 77 % случаев векторы проникновения были связаны с недостатками защиты веб-приложений. Остальные способы проникновения заключались главным образом в подборе учётных данных для доступа к различным сервисам на сетевом периметре, в том числе к СУБД и службам удалённого доступа.

В исследовании Positive Technologies отмечается, что узким местом веб-приложений являются уязвимости, которые встречаются как в программных продуктах собственной разработки, так и в решениях известных производителей. В частности, уязвимое ПО было обнаружено в IT-инфраструктуре 53 % компаний. «Необходимо регулярно проводить анализ защищённости веб-приложений. Самым эффективным методом проверки является анализ исходного кода, который позволяет найти наибольшее количество ошибок. Для превентивной защиты веб-приложений рекомендуется использовать межсетевой экран уровня приложений (Web Application Firewall, WAF), который позволяет предотвратить эксплуатацию существующих уязвимостей, даже если они ещё не были обнаружены», — говорят исследователи.

С полной версией аналитического исследования Positive Technologies можно ознакомиться по адресу ptsecurity.com/research/analytics.

Компания Samsung Electronics анонсировала самостоятельное решение для обеспечения безопасности мобильных устройств, состоящее из чипа Secure Element (SE) и сопутствующего оптимизированного программного обеспечения.

Чип с кодовым обозначением S3FV9RR является преемником изделия S3K250AF, дебютировавшего в феврале нынешнего года. Вышедшее ранее решение имеет сертификацию Common Criteria Evaluation Assurance Level (CC EAL) 5+. Оно объединяет микроконтроллер, улучшенную защиту на аппаратном уровне и оптимизированную ОС.

Такой чип добавляет дополнительные контрмеры, чтобы обезопасить мобильное устройство от потенциальных атак, например, реверс-инжиниринга или сбоев питания. Кроме того, Secure Element позволяет управлять неудачными попытками и предотвращать повторные атаки, принимая в качестве действительного только последний запрос аутентификации.

Представленное сегодня решение S3FV9RR получило сертификацию Common Criteria Evaluation Assurance Level (CC EAL) 6+. Это означает ещё более высокий уровень защиты данных. Реализованы такие инструменты, как Root of Trust (RoT) и безопасная загрузка. Решение обеспечивает безопасность персональной информации в изолированном хранилище.

Важно отметить, что чип работает независимо от основного процессора устройства, а поэтому может применяться в гаджетах с любым уровнем производительности. Это могут быть смартфоны, планшеты, оборудование Интернета вещей и пр. 

По сообщениям сетевых источников, сайт eBay.com с помощью специального скрипта осуществляет сканирование портов ПК посетителей с целью обнаружения программ для удалённого доступа. Многие из сканируемых сетевых портов используются популярными инструментами удалённого управления, такими как Windows Remote Desktop, VNC, TeamViewer и др.

Энтузиасты из Bleeping Computer провели исследование, которое подтвердило, что eBay.com действительно сканирует 14 разных портов, когда пользователь заходит на интернет-площадку. Этот процесс осуществляется с помощью скрипта check.js и запускается при каждом посещении ресурса. Скрипт выполняет сканирование, используя WebSocket для подключения к 127.0.0.1 через заданный порт.

Источник отмечает, что сканирование портов не осуществляется, если пользователь при посещении сайта eBay использует устройство, работающее под управлением Linux. Однако при посещении веб-платформы с устройства, работающего на Windows, сканирование фиксируется. Предполагается, что такое сканирование осуществляется для обнаружения скомпрометированных компьютеров, которые могут использоваться злоумышленниками для ведения мошеннической деятельности на площадке eBay.

Напомним, в 2016 году в сети Интернет появились сообщения о том, что злоумышленники с помощью TeamViewer перехватывают управление над ПК пользователей для совершения мошеннических покупок на eBay. Поскольку многие пользователи eBay используют файлы cookie для автоматического входа на сайт, злоумышленники могли удалённо управлять их компьютерами и получать доступ к платформе для совершения покупок. Официальные представители eBay воздерживаются от комментариев по данному вопросу.

Разработчики, принимающие участие в проекте Chromium, осуществили анализ 912 критических и опасных уязвимостей, которые были обнаружены в браузере Chrome с 2015 года. В итоге они установили, что около 70 % брешей были обусловлены ошибками при обработке памяти.

Примечательно, что 36,1 % уязвимостей связаны с ошибками обращения к буферу после освобождения памяти (use-after-free). Архитектура безопасности Chromium спроектирована таким образом, чтобы использовать sandbox-изоляцию для снижения ущерба, который может быть нанесён какой-либо уязвимостью. За последние годы эта архитектура была усовершенствована и фактически достигла предела своих возможностей, поэтому дробление на процессы становится нецелесообразным. Поскольку процесс является наименьшей единицей изоляции, такой подход приводит к чрезмерному использованию ресурсов устройств, особенно на Android.

Для обеспечения безопасности кодовой базы Chromium применяется так называемое «правило двух», когда любой добавляемый код может соответствовать только двум из трёх условий: обработка непроверенных входных данных, использование небезопасного языка программирования и выполнение с высоким уровнем привилегий.

В дальнейшем разработчики намерены запустить особый проект, направленный на предотвращение возникновения новых уязвимостей, связанных с обработкой памяти. Разработчики намерены сосредоточиться на создании библиотек C++ с функциями для безопасной работы с памятью. Кроме того, будут использоваться аппаратные механизмы защиты (Memory Tagging Extension), а также создаваться компоненты на языках, которые способны обеспечить безопасную работу с памятью, таких как Kotlin, Java, Swift и др.

Ожидается, что в скором времени Microsoft выпустит для Windows 10 важное обновление, которое принесёт массу полезных функций. Среди них — дополнение для Windows Defender, которое поможет предотвратить установку на компьютер потенциально нежелательных приложений.

mspoweruser.com

К слову, в Windows Defender уже встроена такая функция, однако обновление существенно расширит её возможности. Пользователи смогут заблокировать установку дополнительного ПО, встроенного в подлинные установщики приложений. Среди них — различные плагины, расширения и прочие программы, которые навязываются некоторыми поставщиками софта.

mspoweruser.com

Новая функция получит название «Защита на основе репутации». Для её активации необходимо будет совершить следующую последовательность действий: в приложении «Настройки» выбрать пункт «Обновление и безопасность», перейти в подменю «Безопасность Windows» и выбрать вкладку «Управление приложениями и браузером». Далее следует открыть «Настройки защиты на основе репутации» и активировать пункты «Блокировка потенциально нежелательных приложений», «Блокировка приложений» и «Блокировка загрузок».

Когда система будет блокировать установку нежелательного приложения, появится диалоговое окно, в котором пользователь сможет подтвердить, необходимо ли отклонить инсталляцию программы. Эта функция будет доступна в Windows 10 May 2020 Update.

Количество вредоносного ПО пошло на убыль, однако киберпреступники стали практиковать всё более изощрённые схемы хакерских атак, нацеленных на корпоративный сектор. Об этом свидетельствует проведённое «Лабораторией Касперского» исследование.

По данным «Лаборатории Касперского», в 2019 году зловредный софт был зафиксирован на устройствах каждого пятого пользователя в мире, что на 10 % меньше, чем годом ранее. Также в два раза сократилось количество уникальных вредоносных ресурсов, используемых злоумышленниками для проведения кибератак. При этом до сих пор продолжают оставаться актуальными угрозы со стороны программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации.

«Мы видим, что число угроз снижается, но они становятся более совершенными. Это приводит к тому, что растёт уровень сложности задач, стоящих перед защитными решениями и сотрудниками отделов безопасности. Кроме того, злоумышленники расширяют географию успешных атак. Так, если какая-то угроза помогла атакующим достичь своих целей в одном регионе, то затем они реализуют её и в другой точке мира. Для предотвращения атак и сокращения их числа мы рекомендуем обучать навыкам кибербезопасности сотрудников всех уровней и отделов, а также регулярно проводить инвентаризацию сервисов и оборудования», — говорит Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».

Подробнее с результатами аналитического исследования «Лаборатории Касперского» можно ознакомиться на сайте kaspersky.ru.

Похоже, что у Apple очень серьёзные проблемы с внутренней безопасностью. Как сообщает издание Vice, ранняя версия мобильной операционной системы iOS 14 находилась в распоряжении некоторых специалистов по компьютерной безопасности, хакеров и блогеров «как минимум с февраля этого года».

За последние месяцы в Сети то и дело появлялись утечки, связанные с новой версией мобильной ОС от Apple. Вполне вероятно, что их источником как раз является та самая ранняя сборка iOS 14, которая каким-то образом оказалась в Интернете.

Небольшие утечки о новом программном обеспечении Apple являются вполне обычным делом, особенно за несколько месяцев до их официальной презентации. Но весьма неординарной является ситуация, когда в Сеть попадает целая ранняя сборка iOS. По информации источника издания Vice, для Apple такое вообще случилось впервые.

В последних утечках, связанных с новой мобильной операционной системой, сообщаются сведения о новом фитнес-приложении, пакете PencilKit API для стилуса компании, обновленном iMessage, новом внешнем виде домашнего экрана, добавленной возможности тестирования сторонних приложений через сканирование QR-кодов, полной переделке функции хранения данных Keychain и многом другом. В то же время ресурс The Verge указывает, что если утечки основаны на декабрьской сборке iOS 14, то вполне возможно, Apple могла к настоящему моменту отложить внедрение некоторых из вышеуказанных нововведений или же полностью от них отказаться.

В прошлом Apple всегда выпускала для разработчиков мобильных приложений первую бета-версию новой iOS сразу же после мероприятия Worldwide Developers Conference. Оно обычно проходит в июне. В этом году из-за пандемии коронавируса компания поменяла формат и собирается провести WWDC20 в режиме онлайн 22 июня.

«На свою 31-ю годовщину конференция WWDC20 предоставит миллионам творческих и инновационных разработчиков со всего света ранний доступ к будущему iOS, iPadOS, macOS, tvOS и watchOS», — сообщается в опубликованном на сайте Apple пресс-релизе.

Компания, как правило, официально выпускает новую версию iOS осенью, вместе с запуском новых моделей смартфонов iPhone.

Изобретения, которыми мы начинаем пользоваться постоянно, ограничивают право людей на неприкосновенность частной жизни. Таким мнением с участниками онлайн-конференции Kaspersky ON AIR поделился гендиректор «Лаборатории Касперского» Евгений Касперский, отвечая на вопрос об ущемлении свободы личности в эпоху тотальной цифровизации.

«Ограничения начинаются с такой бумажки, которая называется паспорт, — говорит Е. Касперский. — Дальше больше: кредитные карты, позволяющие банкам знать всё о покупках клиента; мобильные телефоны, по которым можно отследить местоположение и даже прослушать разговор абонента; уличные камеры видеонаблюдения, умеющие распознавать лица и контролирующие перемещения людей. Подсматривание, поднюхивание, подслушивание — всё это стало в порядке вещей, и чем дальше, тем хуже».

По мнению главы «Лаборатории Касперского», такое положение дел является неотъемлемой частью цифрового прогресса. «Это не плохо и не хорошо, это реальность. Мир становится лучше, быстрее, веселее, интереснее, красочнее... Я расцениваю такое ущемление частного пространства как налогообложение за более прекрасный цифровой мир», — сказал Евгений Касперский.

«Люди адаптировались к новым реалиям. Более того, дальше будет только хуже, но следующее поколение и к этому привыкнет», — резюмировал генеральный директор «Лаборатории Касперского».

Интеграция беспроводных технологий в одном комбинированном решении делает устройства дешевле, но открывает путь к новым видам атаки по боковым каналам. К такому выводу пришли исследователи из Германии и Италии. Специалисты по безопасности обнаружили, что атака на комбинированные чипы для беспроводной связи позволяет незаметно проникать в соседний «спектр», извлекая данные и вызывая отказ в обслуживании.

Иллюстрация Жиски Классен (Jiska Classen), одной из исследователей новой уязвимости

«Spectra, новый класс уязвимости, основан на том факте, что передачи происходят в одном и том же спектре [частотном диапазоне], а беспроводные чипы [каждого из стандартов] должны разрешать доступ к [общему] каналу», ― заявила исследовательская группа в кратком резюме, предваряя подробный доклад на конференции Black Hat, которая состоится в августе этого года.

Если верить исследователям, они разработали новую практическую атаку, которая разрушает барьеры между технологиями Wi-Fi и Bluetooth, работающими на одном устройстве, таком как ноутбуки, смартфоны и планшеты. Хотя данные (пакеты) окончательно обрабатываются на разных ядрах ARM, атака Spectra позволяет через атаку на Bluetooth-часть комбинированного чипа получить доступ к метаданным пакетов для Wi-Fi и, наоборот, атака на Wi-Fi-часть чипа позволяет провести атаку на широкополосный канал Bluetooth. Например, исследователи показали, что могут через атаку на Wi-Fi перехватить тайминги работы Bluetooth-клавиатуры.

Более простой задачей, с которой может справиться Spectra, представляется отказ в обслуживании. Также новый вид атаки даёт возможность одним ударом увеличить площадь поражения атакуемого устройства, накрыв обе технологии за один раз.

Исследователи изучили уязвимость Spectra на примере комбинированных радиочастотных чипов производства Broadcom и Cypress. Однако они отдают себе отчёт в том, что в мире существует намного больше подобных комбинированных решений и все их проверить невозможно, что даёт злоумышленникам определённое преимущество. Что до технических деталей Spectra, то, повторим, появятся они только в августе. Надеемся, к этому времени производители найдут возможность нейтрализовать или смягчить действие этой уязвимости.

Перевод сотрудников на удалённый режим работы позволил «Лаборатории Касперского» повысить эффективность разработки ПО. Об этом в ходе онлайн-конференции Kaspersky ON AIR рассказал генеральный директор компании Евгений Касперский.

«Нам повезло. Мы приняли решение о переводе головного офиса в Москве на дистанционный формат работы в начале марта, то есть, примерно за три недели до того, как это пришлось сделать всем, — сообщил Евгений Касперский. — Мы были готовы к тому, что нам придётся работать удалённо. У нас нет никакого падения качества наших апдейтов и сервисов, а разработка продуктов стала идти даже быстрее, чем раньше. Согласно данным нашего R&D-подразделения, скорость разработки увеличилась примерно на 10 процентов. У нас нет никаких причин для переноса релизов новых продуктов, компания продолжает свою работу, мы полны амбициозных планов и идей».

«Лаборатория Касперского» работает в сфере информационной безопасности с 1997 года. Компания ведёт свою деятельность в 200 странах и территориях мира и имеет 35 региональных офисов в 31 стране на 5 континентах. Штат сотрудников «Лаборатории Касперского» насчитывает свыше 4 тысяч высококвалифицированных специалистов, аудитория пользователей продуктов и технологий компании составляет 400 млн человек и 270 тысяч корпоративных клиентов. В портфолио разработчика насчитывается более 30 ключевых продуктов и сервисов, ознакомиться с которыми можно на сайте kaspersky.ru.