Теги → защита данных
Быстрый переход

Avast Software разработала приложение Mobile Security для защиты пользователей iOS-устройств

Компания Avast Software объявила о выпуске приложения Mobile Security for iOS, предназначенного для защиты владельцев iPhone и iPad от цифровых угроз и обеспечения конфиденциальности хранимых в памяти мобильного устройства данных.

В составе Avast Mobile Security for iOS представлены инструменты защиты учётных данных (уведомляют пользователя о скомпрометированных паролях, фактах взлома и утечки конфиденциальной информации), модуль сканирования и распознавания уязвимых сетей Wi-Fi, зашифрованное хранилище для фотографий и VPN-клиент. Часть функций доступны бесплатно, часть — предоставляются по подписке и лишены каких-либо ограничений.

«Существует распространённое мнение, что обладателям iOS-гаджетов не страшны проблемы безопасности, но на самом деле это не так. Риску подвергается любое устройство, независимо от того, какая операционная система на нем установлена. Самые распространённые опасности — это сетевые угрозы, а также программы для слежки или похищения персональных данных, — говорит Гаган Сингх (Gagan Singh), директор по развитию потребительского бизнеса Avast Software. — Мы пользуемся смартфонами ежедневно для работы и в личных целях, поэтому особенно важно обеспечить конфиденциальность владельцев и защитить мобильные устройства, независимо от того, на какой платформе они работают. Новое приложение Avast предлагает целый ряд функций, которые охватывают все аспекты мобильной безопасности».

Приложение Avast Mobile Security for iOS доступно для скачивания в магазине App Store. Стоимость подписки составляет 350 рублей в месяц или 1350 рублей в год.

6 декабря в Астане пройдёт итоговая в 2018 году конференция «Код ИБ»

6 декабря в Астане состоится завершающая в этом году, самая масштабная русскоговорящая конференция по киберзащите «Код ИБ». На ней соберутся эксперты из России, Казахстана и Украины, чтобы подвести итоги и определить тренды информационной безопасности на 2019 год.

Самое большое за 14 лет турне «Кода ИБ», стартовавшее в начале года в Алматы, пройдя через 6 стран и 26 городов, завершается в соседней Астане.

На конференции, которая пройдёт в БЦ «Москва», выступят с докладами эксперты из ведущих компаний-разработчиков средств защиты. В их числе Сергей Кузнецов (Конфидент, г. Санкт-Петербург), Илья Головацкий (ГК MUK, г. Киев), Дмитрий Кандыбович (StaffCop, г. Новосибирск), Игорь Сметанев (R-Vision, г. Москва), Дмитрий Ячевский (IBM, г. Алматы) и другие.

В центре обсуждения будут тренды и проблемы информационной безопасности Казахстана, а также такие прикладные темы, как защита КИИ, WAF, автоматизация реагирования на ИБ-инциденты DNS-фильтрация, контроль сотрудников, аналитика и когнитивные технологии защиты и др.

Также традиционно в конце года предполагается обсудить итоги 2018 года и меняющуюся роль директора по ИБ.

Следует отметить, что Астана и Алматы уже находятся в списке из 24 городов, которые примут «Код ИБ» в 2019 году.

Принять участие в конференции можно бесплатно, зарегистрировавшись на сайте https://astana.codeib.ru/.

15 ноября «Код ИБ» пройдёт в Нижнем Новгороде, 29 ноября — в Калининграде

Вторая половина ноября будет не менее насыщенной для специалистов в сфере кибербезопасности по количеству проводимых конференций «Код ИБ», чем первая.

15 ноября нижегородские специалисты соберутся в Гранд Отеле «Ока» на самой масштабной русскоязычной конференции по защите информации.

«Код ИБ» пройдёт в Нижнем Новгороде в юбилейный 10-й раз. Столица Поволжья станет 25-м городом в этом году, где пройдёт мероприятие для безопасников.

В центре обсуждения на конференции будут тренды кибербезопасности, управление и технологии ИБ. В секции «Управление» Михаил Лошкарев из Electronic Access Control Coordinator (г. Нижний Новгород) поделится опытом обеспечения кибербезопасности на недавно прошедшем Чемпионате мира по футболу, а Илья Борисов из ThyssenKrupp Industrial Solutions (г. Нижний Новгород) расскажет о практике управления ИБ.

Секция «Технологии» пройдёт в два потока. Здесь будут затронуты темы интернет-безопасности, пройдёт обсуждение DLP-систем, средств защиты для объектов критической информационной структуры РФ и т. д. В качестве спикеров выступят Игорь Пеннер, ГК ТОНК (г. Москва), Алексей Индейкин, SearchInform (г. Москва), Сергей Чекрыгин, Check Point (г. Москва), Дарья Кургаева, UserGate (г. Новосибирск), Александра Метелкина, А-Реал Консалтинг (г. Ярославль).

Также вниманию участников будут предложены доклады экспертов из компаний Доктор Веб, SkyDNS, АйТи Таск, Ростелеком-Солар, Конфидент и др. В завершение конференции пройдёт традиционный мозговой штурм по коллективному поиску решений самых наболевших вопросов кибербезопасности.

Участие в конференции ИТ/ИБ-руководителей и специалистов, а также журналистов бесплатное, электронная регистрация — по ссылке https://nnovgorod.codeib.ru/.

Калининград впервые станет местом проведения «Кода ИБ», который в этом году проходит в шести странах.

Программа мероприятия традиционно включает четыре основных информационных блока. В ходе пленарной дискуссии «Тренды» участники обсудят главные тенденции в мире информационной безопасности, в блоке «Технологии» пройдёт обсуждение передовых средств защиты информации, секция «Управление» соберёт лучшие практики организации процессов ИБ, а мозговой штурм «Горячая десятка Кода ИБ» позволит специалистам совместно найти решения наболевших вопросов.

Предварительная регистрация на мероприятие доступна по ссылке https://kaliningrad.codeib.ru/.

Вышла новая версия антивируса Avast 2019

Компания Avast Software сообщила о доступности российским пользователям обновлённого антивирусного решения Avast 2019, обеспечивающего защиту Windows-устройств домашних пользователей от цифровых угроз.

Новое поколение Avast отличается от прежних версий более эффективными инструментами противодействия современным киберугрозам, повышенными надёжностью и скоростью работы. Обновлённый антивирус получил улучшенную защиту от фишинга на базе искусственного интеллекта, новый режим «Не беспокоить» (отключает оповещения Windows, в том числе сторонних приложений), плагин Avast Online Security для браузера Microsoft Edge в Windows 10, а также поддержку протокола TLS 1.3. Особое внимание разработчиками было уделено обеспечению безопасности персональных данных пользователей и подключённых к домашней сети устройств.

Avast 2019 умеет распознавать личные файлы пользователя, такие как налоговые документы, медицинские записи и прочие данные, и предоставляет возможность защищать к ним доступ. Это позволяет пользователям получать контроль над своими конфиденциальными данными и блокировать к ним доступ для неавторизованных пользователей и стороннего ПО, в том числе вредоносного. Другой отличительной особенностью антивирусного продукта является улучшенная функция Wi-Fi Inspector, сканирующая роутеры, ПК, мобильные и IoT-устройства на предмет уязвимостей и отображающая рекомендации по устранению обнаруженных проблем. Кроме того, Avast 2019 позволяет пресекать попытки несанкционированного подключения к встроенной веб-камере устройства и блокировать работу программ-вымогателей.

Антивирус 2019  представлен в редакциях Free Antivirus, Internet Security, Premier и Ultimate, разнящихся функциональными возможностями. Стоимость годовой подписки на коммерческую версию продукта стартует с отметки в 1450 рублей.

Подробнее обо всех возможностях новой версии антивируса Avast 2019 для домашних пользователей можно узнать на сайте avast.ru.

ESET предупреждает о всплеске активности нового шифратора GandCrab

Работающая в сфере IT-безопасности компания ESET информирует о всплеске активности новой программы-шифровальщика GandCrab, блокирующей доступ к данным на компьютере и требующей выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации.

Шифратор распространяется под видом программ для взлома популярных в пользовательской среде приложений и игр, таких, как Minecraft, Counter Strike, StarCraft, Adobe Acrobat, Microsoft Office, антивирусный софт и др. Попав в систему жертвы, GandCrab собирает информацию с устройства, включая имя компьютера, имя пользователя и IP-адрес. Далее вредоносная программа запускает процесс шифрования данных на жёстких, съёмных и сетевых дисках, удаляет резервные копии операционной системы и выводит на экран требование выкупа в криптовалюте.

GandCrab может шифровать файлы различных форматов, в том числе документы Microsoft Office, OpenOffice, PDF и текстовые файлы, базы данных, фотографии, музыку и видео. При этом восстановить зашифрованные данные в настоящее время не представляется возможным.

Эксперты компании ESET советуют воздержаться от установки любых «кряков» и пиратских версий легитимных программных продуктов. «Если заражение шифратором произошло, платить вымогателям не рекомендуется — получение выкупа ни к чему их не обязывает, зато мотивирует продолжать противоправную деятельность», — говорится в информационном сообщении антивирусного вендора.

«Лаборатория Касперского» представила новое решение Kaspersky Security Cloud

«Лаборатория Касперского» сообщила о выпуске нового продукта Kaspersky Security Cloud, обеспечивающего защиту широкого круга вычислительных устройств домашних пользователей — рабочих станций, ноутбуков, планшетных компьютеров и смартфонов — от цифровых угроз.

Kaspersky Security Cloud поддерживает устройства на базе Windows, macOS, iOS и Android. Особенностью программного решения является запатентованная технология адаптивной защиты, которая автоматически подстраивается под действия пользователя, тип используемого устройства и актуальный ландшафт киберугроз.

В зависимости от характера угрозы Kaspersky Security Cloud либо автоматически включает защиту и активирует необходимые функции (если опасность велика и необходимы срочные действия), либо информирует пользователя об угрозе, предлагая выполнить те или иные действия для её устранения. Пользователь может следовать этим рекомендациям или нет, а также принять собственные защитные меры по своему усмотрению.

Новое решение Kaspersky Security Cloud проверяет учётные записи на предмет утечки данных и даёт советы по их защите, а также уведомляет о ненадёжных паролях и предлагает заменить их на безопасные. Кроме этого, программа обеспечивает автоматическое использование защищённого канала при подключении к общественным сетям Wi-Fi, а также защищает данные банковских карт при совершении онлайн-покупок. Также продукт предоставляет функции родительского контроля и оповещает о попытках несанкционированного подключения к домашней сети Wi-Fi.

Подробнее обо всех возможностях Kaspersky Security Cloud можно узнать по ссылке kaspersky.ru/security-cloud. Решение доступно в формате подписки на год: Personal для персональных пользователей (на три или пять устройств, одна учётная запись) или Family с функцией родительского контроля (до 20 устройств и учётных записей).

Исследователи описали способ похищать пароли, считывая тепловой след с клавиатуры

Считывание теплового следа с цифровой панели набора пароля публика видела не раз в голливудских фильмах. И, согласно недавно опубликованной исследовательской работе трёх учёных из Калифорнийского университета Ирвина (UCI), тепловой остаток, оставляемый пальцами человека, действительно можно использовать для получения пароля.

«Этот новый тип атаки позволяет злоумышленникам с тепловой камерой среднего диапазона определять клавиши, нажатые на обычной клавиатуре в течение одной минуты после того, как жертва осуществила ввод, — отметил участвовавший в исследовании профессор по компьютерным наукам UCI Джин Цудик (Gene Tsudik). — Если вы наберёте свой пароль и уйдёте или же отойдёте, кто-то может получить важные данные о вводе».

Команда UCI назвала эту атаку Thermanator и уверяет, что её можно использовать для восстановления коротких строк текста: это может быть код подтверждения, банковский PIN-код или обычный пароль. Для работы атаки Thermanator злоумышленники должны иметь возможность использовать камеру с функциями тепловой записи сразу после ввода информации жертвой, причём камера должна хорошо видеть клавиши. Когда эти условия соблюдены, злоумышленник, даже не эксперт, может восстановить набор клавиш, на которые нажимала жертва, а затем собрать их в возможные строки для последующей атаки методом подбора по словарю.

В экспериментах исследовательской группы принимал участие 31 пользователь, которые вводили пароли на четырёх разных типах клавиатур. Исследователи из UCI затем попросили восемь неспециалистов получить набор нажатых клавиш из записанных тепловых данных. Тест показал, что информации, полученной через 30 секунд после ввода пароля, достаточно, чтобы злоумышленник, не являющийся экспертом, восстановил весь набор нажатых жертвой кнопок.

Частично восстановить данные можно в течение одной минуты после нажатия клавиш. Исследователи говорят, что пользователи, которые набирают тексты, нажимая по одной клавише двумя пальцами, постоянно глядя на клавиатуру, более уязвимы к тому, чтобы злоумышленники заполучили их важную информацию при помощи такого метода. Учитывая всё бо́льшую доступность качественных тепловизоров, это может стать проблемой.

GDPR вступил в силу: компании оказались не готовы

25 мая Европейский союз официально перешёл на новые правила обработки персональных данных GDPR (Общий регламент по защите данных ЕС 2016/679 от 27 апреля 2016 года). Важной особенностью GDPR является экстерриториальный принцип действия, так что он затрагивает американские и российские компании, обслуживающие потребителей в ЕС. Штрафы могут достигать €20 млн или 4 % дохода компании на мировом рынке за год. Для обычных пользователей внешне мало что изменится: как правило, придётся снова принять различные соглашения об обработке своих персональных данных, зато защита последних предусмотрена на гораздо более серьёзном уровне.

Под персональными данным в GDPR подразумевается любая информация, относящаяся к физическому лицу, по которой можно прямо или косвенно его идентифицировать. То есть речь может идти об имени, данных о местоположении, онлайн-идентификаторе и прочих факторах вроде IP-адреса, помогающих установить личность. Есть и особые конфиденциальные персональные данные: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, генетическая и биометрическая информация, сведения о состоянии здоровья, сексуальной жизни.

В качестве основных принципов обработки персональных данных по GDPR выступают:

  • персональные данные должны обрабатываться законно, справедливо и прозрачно, причём любую информацию о целях, методах и объёмах обработки персональных данных компании обязаны излагать максимально доступно и просто;
  • данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией или службой;
  • нельзя собирать личные данные в большем объёме, чем необходимо для целей обработки;
  • неточные личные данные должны быть удалены или исправлены по требованию пользователя;
  • личные данные должны храниться только в той форме и на тот срок, который позволяет идентифицировать человека в заявленных целях обработки;
  • при обработке персональных данных компании обязаны обеспечить их защиту от несанкционированного или незаконного доступа, уничтожения и повреждения.

GDPR требует, чтобы согласие пользователя на обработку его персональных данных было выражено в форме утверждения или в форме чётких активных действий. Кроме того, согласие может считаться недействительным, если у пользователя не было возможности отозвать его без ущерба для себя. Согласие на обработку данных ребёнка (в зависимости от государств ЕС — до 13–16 лет) должно быть авторизовано родителями или законными представителями.

О любых нарушениях, связанных с персональными данными, компании должны сообщать в течение 72 часов после обнаружения проблемы регулирующим органам. В случае дополнительных задержек или попыток скрыть факт утечек штрафа компаниям не избежать.

Граждане и резиденты ЕС в рамках GDPR получают расширенные права, касающиеся их персональных данных. Они имеют возможность запрашивать подтверждение факта обработки их данных, период, место и цель обработки, категории информации, название третьих сторон, которым раскрываются персональные данные, уточнять источник получения организацией данных и требовать внесения поправок. Также пользователь имеет право требовать прекращения обработки своих данных.

Любопытное новшество GDPR — право на перенос личных данных (right to data portability), которое обязывает компании по запросу пользователя передавать бесплатно личные данные последнего другой компании. То есть пользователь может попросить, например, передать всю историю своих запросов от одной поисковой системы другой или предпочтения покупок из одного магазина в другой.

Многие пользователи готовились к 25 мая всерьёз, так что как только правила GDPR вступили в силу, на ряд крупнейших компаний вроде Facebook, Google и Instagram посыпались судебные иски на миллионы евро. Истцы среди прочего обвинили компании в принудительном согласии: то есть им было предложено подтвердить согласие с GDPR без ясного объяснения сути всех новшеств или же новое пользовательское соглашение компания назвала изменением внутреннего регламента якобы с целью запутать людей.

Правила GDPR обсуждались четыре года, регулирующие органы дали компаниям два года на приведение своей политики и инфраструктуры в соответствие с GDPR. Многие сделали это заранее, но большинство оказалось не готово к новшествам.

По мнению адвоката и главного сотрудника по конфиденциальности в United Lex Джейсона Стрэйта (Jason Straight), немного компаний, особенно американских, полностью соответствуют требованиям GDPR. В опросе более 1000 предприятий, проведённом Институтом Понемона в апреле, половина компаний заявила, что они не смогут соответствовать к сроку. Если говорить о технологическом секторе, таковых оказалось 60 %.

«На протяжении многих лет компании работали по принципу: „Сколько персональных данных мы можем заполучить от пользователей? А уж как использовать этот массив информации, мы выясним позже!“ Это не будет приемлемым способом работы при GDRP, — сказал господин Стрэйт. — Есть некоторые компании, с которыми мы разговаривали, которые возмущаются: „Вы шутите? Если бы мы рассказали людям, как используем их данные, они никогда бы не дали их нам!“. А я говорю в ответ что-то такое: „Да, отчасти, в этом и цель новых правил“».

Для компаний, которые действовали по принципу извлечения максимума информации о пользователях для последующего возможного анализа, реорганизация в рамках GDPR во многом может оказаться пыткой: ведь нужно удалить лишнюю информацию, оставив лишь самую необходимую для текущих задач.

Но, возможно, самым серьёзным требованием GDPR, которое приводит в ужас компании, является право на запросы доступа к персональным данным. Пользователи из ЕС могут запрашивать удаление информации, исправлять её, если она неверна, и даже получать её в удобном для переноса виде. Но эти данные могут быть на пяти разных серверах в массе различных форматов. Другими словами, переход на стандарты GDPR требует создание внутренней инфраструктуры, позволяющей эффективно обрабатывать запросы пользователей.

Кроме того, персональные данные — размытая категория. Имена, адрес электронной почты, номера телефонов, данные о местоположении — это очевидно. Но есть более двусмысленные данные вроде непрямых отсылок: «Высокий лысый парень, который живёт на правой стороне улицы Ленина». По словам Джейсона Стрэйта, если кто-то написал подобное в письме, формально в рамках GDPR компания должна предоставить эту информацию по запросу.

Переход на GDPR — болезненная процедура. Например, год назад 61 % мировых компаний даже не начинали работу по адаптации новых правил. Понятно, что европейские предприятия, особенно в странах вроде Германии и Великобритании, где и ранее существовали довольно жёсткие законы о неприкосновенности частной жизни, лучше подготовлены. Тем не менее, опрос в январе 2018 года показал, что четверть лондонских компаний даже не знает, что такое GDPR.

Профессор антропологии и информатики Университета Колорадо в городе Боулдере Элисон Кул (Alison Cool) написала в The New York Times, что закон ошеломляюще сложен и непонятен для людей, которые пытаются его соблюдать. Учёные и менеджеры данных, с которыми она говорила, сомневаются в том, что полное соответствие правилам вообще возможно. Это тревожный звонок, учитывая тот факт, что штрафы могут достигать 4 % мировых доходов (то есть могут легко лишить всей прибыли).

Принятие правил GDPR заставило американского бизнесмена Питера Тиля (Peter Thiel), сооснователя PayPal и президента хедж-фонда Clarium Capital, во время беседы на Экономическом клубе Нью-Йорка в марте обвинить ЕС в злодейском протекционизме: «В Европе нет успешных технологических компаний, и они ревностно относятся к США, поэтому они и наказывают нас».

Поскольку во многом правила GDPR неоднозначны, их реализация на практике будет зависеть от действий регулирующих органов. В конечном итоге появятся нормы: кого будут преследовать власти, какие штрафы взимать с нарушителей и за какое поведение. Предполагается, что поначалу регуляторы не будут лютовать — дадут компаниям время привыкнуть к новой реальности. Но точно предсказать будущее сложно, ведь частично реализация GDPR зависит от активности пользователей.

Если резидент ЕС подаёт запрос на получение своих персональных данных, у компании есть 30 дней для ответа. Например, компания получает один из этих запросов, но всё ещё не полностью готова к GDPR и буквально неспособна реагировать. Если она не отвечает, субъект данных может подать жалобу местным органам. GDPR требует от регулятора действий для претворения закона в жизнь. Штраф может и не достигать 4 %, но чиновники не могут просто отправить жалобы в корзину. А если запросов будут тысячи, начнутся проблемы. 17 из 24 регуляторов ЕС, опрошенных Reuters в этом месяце, сказали, что не готовы к новому закону, потому что не имеют финансирования или законных полномочий выполнять свои обязанности.

Другая ситуация связана с информированием об утечках: компании обязаны сообщать органам о проблемах в течение 72 часов, но какова должна быть реакция последних — не вполне ясно. Регуляторы могут быть не готовы к аудиту безопасности компании или иным мерам по защите частной жизни резидентов ЕС. Правила GDPR должны применяться только к жителям Евросоюза, но ведь большинство интернет-компаний занимаются бизнесом в ЕС, так что им нужно быть готовым реагировать на требования GDPR. Постепенно принятие такого законодательства может стать нормой и в других странах. Тем временем появляются новости о том, что новый регламент ЕС по защите персональных данных вынуждает компании отказываться от европейского трафика.

Полиция США считает приемлемой разблокировку смартфона с использованием пальца усопшего

Биометрическая защита в смартфонах, чаще всего представляющая собой дактилоскопическую идентификацию пользователя, является наиболее простым и надёжным способом обезопасить персональные данные от посторонних лиц. Однако правоохранителям такие механизмы по ограничению доступа к информации лишь мешают, создавая массу проблем технологического и юридического характера. Чтобы раскрыть дело по горячим следам, зачастую просто не обойтись без данных, хранящихся на мобильном устройстве. В надежде заполучить их сотрудникам полиции приходится искать лазейки и методы, использование которых не находит одобрения у общества. Об одном из таких случаев и пойдёт речь ниже. 

Пример биометрического механизма идентификации, основанном на распознавании лица пользователя 

Американские СМИ уже неоднократно рассказывали о новой практике местных служителей закона, замеченных в снятии отпечатков пальцев с трупа с целью разблокировки смартфона убитого/убитой. Очередной инцидент с участием правоохранителей вызвал общественный резонанс по причине неподобающего отношения полиции к погибшему. Вопиющим кощунством на этот раз отличились блюстители порядка из Флориды. Полицейские наведались в похоронное бюро, где ожидал погребения убитый их же коллегами мужчина, в надежде обойти биометрическую защиту на смартфоне покойного. Правоохранители безуспешно прикладывали палец Линуса Ф. Филиппа (Linus F. Phillip) к дактилоскопическому сканеру, мотивируя свои действия возможной причастностью убитого к ещё одному преступлению — незаконной торговле наркотическими препаратами.  

Предыстория случившегося такова: дежуривший патруль обратил внимание на автомобиль с тонировкой, которая явно не соответствовала установленному регламенту по допустимой светопропускаемости. Об этом сотрудники полиции решили поговорить с водителем авто, которым и оказался Линус Ф. Филипп. В ходе беседы патрульный уловил запах марихуаны, доносившийся из салона, и предпринял неудачную попытку задержания водителя. Проигнорировав требования полицейских, Линус Ф. Филипп попытался скрыться от них на своём авто, но вскоре был настигнут офицером и застрелен. 

www.wfla.com

www.wfla.com

Любопытно, что Департамент полиции не отрицает факт содеянного и считает претензии супруги Линуса Ф. Филиппа абсолютно необоснованными с юридической точки зрения. Всё дело в том, что по Конституции США обыск без соответствующего ордера недопустим лишь тогда, когда речь идёт о живом человеке. В конкретном же случае детективы имели полное право снимать отпечатки или прикладывать палец к сканеру смартфона, чтобы добыть необходимые улики.   

Встроенный криптопроцессор Rambus защитит от уязвимостей типа Meltdown и Spectre

Компания Rambus отреагировала на злобу дня и представила универсальное встраиваемое решение для защиты процессоров от уязвимостей типа Meltdown и Spectre. Решение Rambus CryptoManager Root of Trust — блок по управлению корнем доверия — представляет собой 32-битный процессор безопасных вычислений. В блок входят сам процессор на открытой архитектуре RISC-V, энергонезависимая память для хранения вшитых в заводских условиях ключей и для хранения приватной части ключей пользователей, а также ряд ускорителей для шифрования с использованием популярных алгоритмов.

Встраиваемый процессор безопасности Rambus (Rambus)

Встраиваемый процессор безопасности Rambus (Rambus)

Блок обеспечивает защищённую загрузку, удалённую аттестацию, аутентификацию и контролирует целостность исполнения вычислительных процессов. Решение полностью программируемое и может быть удалённо настроено на выполнение задач, связанных с защитой вычислений (платформ). Напомним, это не первая попытка Rambus протолкнуть идею конфигурируемых через облако аппаратных платформ. Ранее компания предлагала производителям монетизировать возможность расширения функциональности процессоров через Интернет с помощью платформы CryptoManager, встраиваемого в процессоры движка Security Engine и сервиса FaaS (feature as a service). Тогда это не нашло понимания, но теперь, на фоне боязни Meltdown и Spectre и подобных проблем в будущем, идея Rambus может найти сторонников.

Блок Rambus CryptoManager Root of Trust предназначен для интеграции в состав x86-совместимых процессоров, ASIC, SoC и микроконтроллеров. При этом он изолирован от процессора общего назначения и работает самостоятельно, не мешая процессорам выполнять основную функцию — обрабатывать код с максимально возможной производительностью. Блок CryptoManager Root of Trust возьмёт на себя задачу отслеживать попытки воздействия на процессы, предотвращать утечки либо не доводить до них. Работа блока не скажется на производительности процессора.

Платформа Rambus CryptoManager

Платформа Rambus CryptoManager

Использование аппаратных решений для управлениями корнями доверия стартовало примерно 15 лет назад с подачи группы компаний, объединившихся в союз Trusted Computing Platform Alliance (TCPA). Тогда родилась платформа TPM для реализации защищённых вычислений в виде одноимённых модулей. Традиционно модули TPM выполнялись в виде одиночных чипов, хотя позже компании Intel и ARM, например, начали встраивать элементы TPM в архитектуру ядер и процессоров. Оба подхода — интеграция и выпуск самостоятельных решений — имеют своих сторонников и противников. Для нас главное, чтобы мы были защищены от утечек данных.

Пять выводов из выступления Марка Цукерберга перед сенаторами США

Марк Цукерберг (Mark Zuckerberg) наконец предстал перед Конгрессом США во время прошедшего длительного пятичасового слушания накануне совместного заседания Торгово-судебных комитетов. Господин Цукерберг оставался спокойным и уравновешенным. Сенаторы тоже преимущественно вели себя вежливо и уважительно, пытаясь понять, как Facebook непреднамеренно позволила собрать профили 87 миллионов человек компанией Cambridge Analytica, занимающейся политической аналитикой.

В течение недель, предшествовавших слушанию, Facebook публиковала серию сообщений, призванных продемонстрировать, как компания серьёзно восприняла утечку данных и работала над тем, чтобы подобное не повторялось. Марк Цукерберг неоднократно упоминал об этих изменениях, которые включают в себя: упрощение доступа пользователей к настройкам конфиденциальности; ограничение данных, предоставляемых сторонним разработчикам при входе в их систему при помощи учётной записи Facebook; маркировку политической рекламы и предоставление её для публичной проверки; удаление нескольких авторизаций в сторонних приложениях за раз; запуск программы денежного поощрения людям, обнаруживающим примеры неправильного использования данных.

Facebook также отправила Марка Цукерберга и главного операционного директора социальной сети Шерил Сандберг (Sheryl Sandberg) в пресс-тур, чтобы ответить на вопросы и отточить аргументацию. В общем, к тому моменту, когда началось слушание в Конгрессе, Facebook сделала всё, что могла, чтобы объяснить ситуацию. Между тем многие сенаторы все ещё не могут уяснить для себя основные вопросы, не понимая, например, что Facebook не продаёт рекламодателям собранные личные данные своих пользователей. Итак, приведём основные пять выводов из прошедших слушаний.

Марку Цукербергу пришлось противостоять обвинениям в монополии Facebook. Когда сенатор Линдси Грэм (Lindsey Graham) из Южной Каролины попросил руководителя социальной сети назвать своего самого крупного конкурента, господин Цукерберг не смог этого сделать. Он неоднократно оправдывал проблемы управления очень большими масштабами Facebook, и в какой-то момент его закономерно спросили, слишком ли могущественна компания, и нельзя ли считать её монополией? Марк Цукерберг возразил: «Я, конечно же, так не считаю». Сенаторы, похоже, хотят бороться с могуществом Facebook, но неясно, есть ли у них какая-либо определённая стратегия усиления конкуренции на рынке американских социальных сетей.

Не исключено появление платной версии Facebook. Марк Цукерберг отвечал на многочисленные вопросы о бизнес-модели компании, о том, может ли она действительно защитить конфиденциальность пользователей, учитывая, как сильно полагается на сбор данных об их личной жизни и поведении. Несколько сенаторов спросили исполнительного директора Facebook, обдумывается ли платная версия Facebook без рекламы? Сенатор США от штата Юта Оррин Хэтч (Orrin Hatch) получил ответ, что бесплатная версия социальной сети будет всегда (другими словами, платная возможна). Позже другому сенатору господин Цукерберг тоже ответил, что платную версию стоит обдумать.

Большие надежды возлагаются на технологии искусственного интеллекта. Всякий раз, когда господина Цукерберга спрашивали о том, как Facebook будет улучшать свои инструменты модерации, руководитель говорил о многообещающих перспективах ИИ, которые помогут социальной сети быстро отсеивать публикации, содержащие ненависть или другую нежелательную информацию. Конечно, вполне возможно, ИИ улучшит качество модерации материалов в Facebook, но пока это ещё предстоит доказать на практике.

Теория заговора о том, что Facebook прослушивает пользователей через микрофон смартфона, теперь обсуждаются на уровне Конгресса США. В течение многих лет Facebook изо всех сил старалась развеять городскую легенду о том, что целевая реклама настолько эффективна по причине тайного прослушивания разговоров людей. Благодаря сенатору Гэри Питерсу (Gary Peters) от штата Мичиган теперь эта байка стала частью протокола слушаний Сената США. «Использует ли Facebook звукозаписи, полученные с мобильных устройств, для пополнения личной информации о пользователях? Да или нет?», — спросил он. «Нет», — ответил Марк Цукерберг.

Сенаторы не понимают, как работает Facebook. Сенаторы засыпали руководителя социальной сети вопросами о базовых принципах и методах сбора данных и рекламы. Как Facebook получает данные? Как долго он хранит эти данные? Как пользователи могут контролировать данные, которыми делятся? Это важные вопросы, и сенаторы, несомненно, задавали их от лица большинства американцев. В то же время, на разъяснение этих базовых вопросов, на которые может ответить простой поиск в Google, ушли часы показаний. И это, разумеется, помешало разъяснению более глубоких вопросов о том, как Facebook использует данные, которые собирает. Конечно, некоторые сенаторы говорили и о том, что сложность сама по себе является проблемой. Как без обиняков заявил господину Цукербергу сенатор от штата Луизиана Джон Нили Кеннеди (John Neely Kennedy): «Ваше пользовательское соглашение — отстой».

BlackBerry и Microsoft объединили усилия, чтобы сделать корпоративные смартфоны защищённее

Конфиденциальность и защищённость персональных данных для пользователей корпоративного сегмента значится одним из приоритетных факторов при выборе смартфона. И в этом деле, как никто другой, преуспела компания BlackBerry, оригинальная мобильная продукция которой отвечала самым высоким требованиям безопасности. Увы, но BlackBerry больше не занимается выпуском мобильной электроники в привычном для поклонников канадского бренда понимании, зато по-прежнему разрабатывает качественное и надёжное программное обеспечение. 

Руководство BlackBerry объявило о начале длительных и плодотворных партнёрских взаимоотношений с Microsoft. Цель данной инициативы — обеспечение корпоративных клиентов банковского сектора, правозащитных организаций, правительственных структур и лиц, связанных со здравоохранением, надёжным рабочим инструментом в формате мобильного устройства.

Сочетание многолетнего опыта специалистов BlackBerry в тандеме с облачными сервисами, продвигаемыми Microsoft, позволят создать на выходе бескомпромиссные и не имеющие аналогов решения для корпоративного сектора. Первым таким проектом стала технология BlackBerry Enterprise BRIDGE, выступающая связующим звеном (тем самым «мостиком») для защищённого доступа к программному обеспечению Microsoft в системе BlackBerry Dynamics — через мобильное приложение BlackBerry Work. 

«Мобильные приложения от Microsoft теперь поддерживаются BlackBerry Dynamics посредством BlackBerry Work. Это позволит нашим корпоративным клиентам работать с пакетом Office 365 — офисными программами Excel, PowerPoint и Word — с соблюдением регламента безопасности на любых смартфонах под управлением Android или iOS. В таком случае пользователь может быть уверенным в абсолютной защищённости и недоступности третьим лицам всей информации, проходящей через BlackBerry Enterprise BRIDGE», — говорится в пресс-релизе BlackBerry. 

Xiaomi представила офисную компьютерную мышь MIJIA с дактилоскопическим сканером

Биометрическая идентификация становится повсеместно распространённым способом защиты персональных данных по нескольким причинам. Прежде всего, распознавание по отпечатку пальца — это простой и одновременно надёжный способ ограничения доступа к информации. Сами же дактилоскопические сканеры перестали быть дорогостоящей опцией и получили повсеместное распространение. Считывать отпечаток пальца научились смартфоны, планшеты, такой особенностью могут похвастаться смарт-замки, «USB-флешки», а теперь и компьютерные мышки. Компания Xiaomi как раз готовится к выпуску необычного устройства ввода, оснащённого дактилоскопическим модулем. 

Краудфандинговая площадка Xiaomi приступила к сбору средств на компьютерную мышь, выпуском которой займётся суббренд MIJIA. Классического вида офисный «грызун» вряд ли вызовет интерес у геймерской аудитории, учитывая весьма скромную функциональность новинки. А вот организации, обеспокоенные конфиденциальностью хранящейся у их сотрудников документации, по-достоинству оценят совместное детище Xiaomi и MIJIA. Единственной отличительной чертой рассматриваемого устройства от множества офисных компьютерных мышек, представленных на рынке, стал расположившийся чуть выше колёсика прокрутки дактилоскопический сканер.

Приложив палец к его поверхности пользователь сможет быстро и непринуждённо разблокировать доступ к файлам на своём компьютере. Кроме того, биометрическая идентификация станет удобным способом подтверждения личности при совершении онлайн-платежей и прочих банковских операциях, а также обеспечит быстрый доступ к корпоративной электронной почте и учётным записям на веб-ресурсах.

Мышь получила высокочувствительный оптический датчик с адаптивной регулировкой разрешения сенсора, максимальное значение которого составляет 1600 dpi. По заявлению разработчиков левая и правая клавиши рассчитаны на 5 млн кликов, так что сомневаться в надёжности манипулятора не приходится. Устройство поставляется с сертификатом безопасности Microsoft и поддерживает функцию Windows Hello. 

Мышь с дактилоскопическим сканером от Xiaomi/MIJIA будет доступной в трёх цветах. Её стоимость на китайском рынке составит около $31, а запуск продаж намечен на 15 апреля 2018 года. 

Ошибка в системе защиты Windows 10 позволяла прятать вредоносный код одним символом

Вместе с Windows 10 компания Microsoft выпустила инструмент безопасности Anti-Malware Scan Interface (AMSI), который позволяет программам отправлять файлы на проверку антивирусом. Этот механизм обеспечивает защиту от угроз, которые не выявляет поиск по сигнатурам, так как злоумышленник выполняет скрипты PowerShell через обычные программы.

AMSI позволяет предотвратить атаки, при которых злоумышленник выполняет собственный код с помощью безвредной программы. Исследователь безопасности из Австралии Сатоши Танда (Satoshi Tanda) обнаружил простой способ обойти защиту AMSI с помощью нулевого символа.

До недавнего времени AMSI сканировал файлы и передавал антивирусу информацию, пока не наталкивался на нулевой символ. Всё, что шло после этого символа, просто игнорировалось.

На прошлой неделе, 13 февраля, Microsoft выпустила обновления безопасности, в которых заменила одну из команд в библиотеке System.Management.Automation.dll, благодаря чему AMSI теперь работает корректно. «Теоретически, кроме установки обновлений, больше никаких действий от пользователя не требуется», — отметил Танда, добавив, что разработчикам программ стоит проверить, насколько корректно для них сейчас работает AMSI. 

Эксперт также порекомендовал авторам антивирусов проверить, не теряют ли их программы код, размещённый под нулевым символом, как это до недавнего времени делал AMSI.

Acronis выпустила бесплатное решение для защиты от программ-шифровальщиков

Компания Acronis объявила о выпуске бесплатного продукта Ransomware Protection, предназначенного для защиты от вредоносных программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы для возвращения доступа к ценной информации.

В основу Acronis Ransomware Protection положена технология Active Protection, распознающая нетипичные модели поведения приложений при доступе к файлам и нейтрализующая атаки программ-шифровальщиков. При этом для выявления аномалий в работе системных процессов используются не только эвристические механизмы, но и дополнительные функции, в том числе технологии машинного обучения и искусственного интеллекта на базе нейронных сетей.

В случае атаки программы-вымогателя Ransomware Protection блокирует вредоносный процесс и уведомляет об этом пользователя через сообщение во всплывающем окне. Если какие-то файлы были зашифрованы или повреждены во время атаки, приложение Acronis автоматически восстанавливает их из резервных копий.

Скачать установочный дистрибутив Active Protection можно по этой ссылке на сайте компании-разработчика. На данный момент решение доступно только для ОС Windows. Всем пользователям приложения Acronis предоставляет бесплатное облачное хранилище объёмом 5 Гбайт для резервного копирования и защиты важных файлов не только от вредоносных программ, но и от аппаратных сбоев, стихийных бедствий и иных событий, вызывающих потерю данных.

window-new
Soft
Hard
Тренды 🔥