В протоколе HTTPS обнаружена серьезная уязвимость

Криптографическая схема HTTPS, используемая для защиты миллионов сайтов по всему миру, подвержена новому типу атак, позволяющих хакерам получать пользовательские адреса электронной почты и банковские платежные реквизиты из зашифрованных страниц. В ряде случаев на реализацию атаки уходит всего 30 секунд.
Ожидается, что подробно о новой технике будет рассказано сегодня на конференции Black Hat в Лас-Вегасе. Авторы методики говорят, что атака позволяет декодировать закрытые данные, которые системы онлайн-банкинга и платформы электронной коммерции передают в ответ клиентам по протоколам TLS (Transport Layer Protocol) и SSL (Secure Sockets Layer). По словам авторов методики, атака позволяет вскрывать определенные типы данных, такие как номера социального страхования, электронные адреса, некоторые типы электронных ключей, а также ссылки на сброс паролей.
Работает атака против всех версий TLS и SSL, независимо от того, какой именно алгоритм или шифр используется.
Новый тип атаки требует, чтобы у атакующего был пассивный доступ к трафику между пользователем и веб-сайтом. Кроме того атака требует, чтобы атакующий вынудил жертву нажать на вредоносную ссылку. Сделать это можно через iframe или через скрытое изображение со ссылкой в тексте страницы или письма.
Авторы говорят, что они не дешифруют весь канал HTTP, а лишь вскрывают те данные, что им необходимы. "Нам нужно найти лишь кусок данных, это может быть ключ, запрос на изменение пароля. В общем, вскрыть можно практически любой ответ через страницу или Ajax-код", - говорит Джоэль Глук, один из автором методики.
Метки: Протокол, HTTPS, уязвимость
Новый троян, использующий уязвимость Android-смартфонов

Вредоносная программа, использующая уязвимость ОС Android, обнаружена производителем антивирусов Dr. Web, говорится в официальном сообщении компании.
Троян, который внесен в вирусную базу под названием Android.Nimefas.1.origin, способен отправлять SMS без ведома пользователя, передавать злоумышленникам конфиденциальную информацию и выполнять ряд команд, полученных с удаленного управляющего узла.
Программа заражает смартфоны под управлением ОС Android при установке приложений, используя уязвимость Master Key.
Как ранее сообщал Digit.ru, эта уязвимость была недавно обнаружена специалистами компании Bluebox Security. Суть уязвимости — в методе обработки устанавливаемых программ одним из компонентов Android: если в подкаталоге apk—пакета содержатся два файла с одинаковым названием, проверяется цифровая подпись только первого файла, а второй устанавливается без проверки. Android.Nimefas.1.origin как раз является тем самым вторым одноименным dex-файлом, модифицированным киберпреступниками, и уязвимость позволяет легко обходить защиту операционной системы.
Новый троян, запустившись на инфицированном мобильном устройстве, проверяет активность антивирусов и наличие root-доступа. В случае если таковых не обнаружено, Android.Nimefas.1.origin отправляет IMSI (международный идентификатор мобильного абонента) на случайный номер из адресной книги зараженного телефона. Затем вирус рассылает по базе контактов SMS с текстом, загруженным с удаленного узла управления. Сама база контактов в свою очередь передается на сервер злоумышленников. Кроме того, Android.Nimefas.1.origin способен скрывать входящие сообщения от пользователя, используя фильтр по номеру или тексту SMS, также полученный с узла управления.
Троян распространяется вместе с приложениями, доступными для загрузки с одного из китайских сайтов-каталогов ПО. Руководство сайта оповещено об угрозе для пользователей, а удаленный сервер, который использовался злоумышленниками для управления Android.Nimefas.1.origin, на данный момент уже не функционирует. Однако техническая легкость, с которой возможен взлом Android через уязвимость Master Key, делает весьма вероятным широкое распространение похожего вредоносного ПО во всем мире в ближайшее время.
Trend Micro: Троян похищает данные из соцсетей через плагины

По словам ИБ-экспертов из Trend Micro, им удалось зафиксировать новую вредоносную кампанию, направленную на пользователей социальных сетей, которые посещают сайты посредством браузеров Chrome или Firefox.
Приманкой является ссылка, якобы ведущая на видео, в котором рассказывается о самоубийстве некой женщины. Пройдя по ссылке, жертва видит уведомление, что для просмотра ролика необходимо загрузить обновление для видео-плеера. Оно, естественно, поддельное.
В зависимости от того, какой web-браузер используется, вирус загружает определенный вид плагина, который продолжает выдавать себя за пакет обновлений для web-обозревателя или набор антивирусных программ.
На самом деле вредоносное ПО, идентифицируемое компанией как TROJ_FEBUSER.A, загружает с удаленного сервера на инфицированное устройство конфигурационный файл, благодаря которому плагины похищают учетные записи пользователей в таких соцсетях, как Facebook, Google+ и Twitter. Более того, вирус может публиковать обновления статусов, распространять и комментировать записи, присоединяться к различным группам, приглашать других пользователей и т.д.
Примечательно, что файл, загружаемый как обновление видео-плеера, имеет цифровую подпись, сообщает Дон Ладорес (Don Ladores), ИБ-эксперт из Trend Micro. Пока неизвестно, является ли она поддельной или похищенной у действующей компании, однако жертвам достаточно наличия подписи, чтобы поверить в легитимность плагинов.
По словам Ладореса, компания блокирует все URL-адреса, связанные с данной угрозой, а также обнаруживает вредоносные файлы.
SecurityLab настоятельно рекомендует пользователям крайне осторожно проходить по различным ссылкам в соцсетях. Если некоторые, все же, попались на уловку злоумышленников, стоит удалить плагины из браузера, посредством «Настроек» или «Меню настроек», а также поменять пароли учетных записей.
Метки: троян, соцсети, trend micro
Сноуден рассказал об масштабной программе интернет-слежке

Сегодня пресса сорвала крышку с еще одной спорной программы наблюдения, реализуемой в недрах АНБ США. Новая программа собирает данные по "практически всему, что пользователь делает в интернете". Публикация новых данных, компрометирующих АНБ, происходит на фоне того, как вокруг ведомства уже бушуют скандалы, связанные с массовыми прослушками людей.
Как сегодня пишет газета The Guardian, программа XKeyscore охватывает анализ электронной почты, социальных ресурсов и истории интернет-браузинга пользователей. Все это доступно аналитикам АНБ с минимальными затратами на авторизацию. Газета отмечает, что данные о программе были получены от Эдварда Сноудена. Сегодня же Guardian публикует сопроводительную историю о XKeyscore.
Интересно отметить, что новый удар по АНБ был нанесен за пару часов до того, как глава ведомства, генерал Кит Александер собрался выступить на хакерской конференции Black Hat 2013 в Лас-Вегасе.
Согласно Guardian, секретная программа шпионажа АНБ позволяет военным аналитикам ведомства осуществлять поиск по базе данных, содержащей электронные адрес, логи онлайн-чатов, а также истории браузинга миллионов человек. В документах, попавших в адрес редакции, сказано, что XKeyscore - это самая широкая программа работы разведки в интернете. Также издание отмечает, что по своим масштабам XKeyscore не уступает ранее известной программе PRISM, а возможно и превосходит ее.
Если PRISM полагается на уже хранящиеся данные и досудебный доступ к ним на серверах интернет-компаний Google, Yahoo, Facebook, Apple и AOL (сами компании это опровергают - прим), то XKeyscore способна в реальном времени анализировать данные во время их передачи за счет сотрудничества с телеком-компаниями. В статье приводятся данные о том, как именно АНБ США в реальном времени перехватывают данные о целевых электронных адресах.
Что, по идее, должно вызвать бурю возмущения западного пользователя, так это то, что XKeyscore работает не только без санкции суда, но если штатному аналитику нужно прослушать какие-то данные, то в большинстве случаев он даже не запрашивает разрешения начальства на эти действия. "Возможно было прослушать любую электронную почту, например вашу, или вашего бухгалтера, или федерального судьи или даже президента, если бы она у него была", - говорится в статье.
В статье говорится, что программы PRISM и Keyscore взаимодополняемы и могут быть связаны с другими инициативами АНБ, чтобы разведывательное ведомство в реальном времени могло получать наиболее полную картину происходящего.
"Программа обеспечивает технологические возможности для получения данных о гражданах и установления электронного шпионажа за ними без наличия какого-либо на то ордера", отмечает Guardian.
Издание отмечает, что решение типа XKeyscore было создано с тем, чтобы аналитики АНБ не работали с простыми отчетами об адресах, телефонах и именах людей, исследуя большие "свалки информации", а получая оперативный доступ к самим данным. При этом, работать с так называемыми метаданными XKeyscore тоже умеет.
"До недавнего времени у АНБ не было решений, чтобы исследовать "сырой" трафик, но с 2008 года оно появилось", - говорится в статье. Также сообщается, что система XKeyscore относится к системам с уровнем "Совершенно секретно", то есть данные с нее циркулируют только в разведывательном сообществе США и лишь в редких случаях АНБ обменивается полученными данными с коллегами из Великобритании, Австралии, Новой Зеландии и Канады.
Guardian отмечает, что XKeyscore имеет один недостаток - программа генерирует громадное количество данных - около 20 терабайт в сутки, поэтому значительная часть данных тут хранится не более 5 дней, а метаданные - до 30 дней. Поэтому военным аналитикам нужно работать c XKeyscore в реальном времени постоянно. Также говорится, что за месяц программа собирает данные о примерно 41 млрд транзакций.
В материалах АНБ говорится, что XKeyscore - это полезный инструмент и с 2008 года он позволил обнаружить около 300 террористов.
Guardian отмечает, что представители АНБ подтвердили наличие программы и заявили, что она существует в "рамках законных систем сбора разведывательных данных". "Обвинения в том, что АНБ без разбора собирает все данные не соответствуют действительности, выбор данных очень ограничен и связан лишь с отдельными персонами. Каждый запрос АНБ полностью аудируется и проверяется на соответствие законам", - заявили в ведомстве.
Метки: Сноуден, интернет-слежка
В Китае зарегистрировано 2-е поражение током при зарядке iPhone5

По сообщению китайского информационного агентства Beijing Evening News, 30-летний Ву Цзяотон уже в течение десяти дней находится в состоянии комы. Утверждается, что его смартфон iPhone 4 был подключен к адаптеру другого производителя, который, возможно, и стал причиной поражения.
Возможно, зарядное устройство, не имеющее отношения к Apple, стало виновником и предыдущего инцидента, когда китайская девушка погибла, поднеся к уху заряжающийся iPhone 5 при ответе на звонок. По словам сестры Ву, перед тем как потерять сознание, ее брат успел крикнуть: «Меня ударило током!» Девушка сразу подбежала к адаптеру и выдернула его из розетки, почувствовав при этом, будто множество иголок вонзилось в ее пальцы.
Последнее происшествие в Apple еще не успели прокомментировать. Что касается предыдущего, компания выразила «глубокие соболезнования» семье погибшей и выразила готовность принять самое активное участие в расследовании причин инцидента.
Метки: Китай, поражение током, iPhone
Уязвимость в GPS позволяет угонять корабли и самолеты
Доцент инженерной школы Кокрелла (Cockrell School of Engineering) при Университете Техаса Тодд Хамфрис (Todd Humphreys) совместно со студенческой исследовательской командой обнаружил, что при помощи сравнительно недорогих инструментов, эксплуатируя уязвимость в GPS, можно угонять корабли и самолеты.
Исследователи продемонстрировали свое открытие на примере яхты класса люкс «White Rose of Drachs» длиной 65 м и стоимостью $80 млн, во время круиза по Средиземному морю. Эксперты использовали ноутбук, антенну и специально разработанный GPS-спуфер, который обошелся всего в $3 тыс., для создания ложного GPS-сигнала. Экипаж судна принял этот сигнал за настоящий и использовал для навигации, что привело к отклонению яхты от ее первоначального курса. «Мы получили практически полный контроль над навигационной системой судна», - рассказал Хамфрис телеканалу Fox News.
Капитан «White Rose of Drachs» Эндрю Скофилд (Andrew Schofield) сообщил: «Профессор Хамфрис и его команда осуществили ряд атак, которые были совершенно незаметны для нас». Скофилд также отметил, что при смене курса система сигнализации не сработала.
По словам Хамфриса, навигационные системы судов и коммерческих самолетов очень похожи, поэтому такие же атаки могут осуществляться и по отношению к последним.
Метки: Система навигации, уязвимость, атака, gps
Российские власти тестируют новую систему интернет-мониторинга

Кремль внедряет новую систему мониторинга политических процессов и выборов, рассказал «Газете.Ru» источник в администрации президента.
До недавнего времени основной системой, которая использовалась для этих целей, была небезызвестная «Призма», позволяющая мониторить как различные СМИ, так и посты отдельных блогеров.
Кроме того, для анализа ситуации в регионах президентская администрация пользуется системой Glass – продуктом компании «Медиалогия», который позволяет обрабатывать несколько тысяч федеральных и региональных СМИ в режиме онлайн, с возможностью ранжировать сообщения по событиям и по влиятельности СМИ, делать качественные оценки сообщений с разделением их на позитив и негатив и так далее.
Новая система позволяет обрабатывать большие массивы данных и сортировать их по регионам, персоналиям, различным типам СМИ, блогам (включая Facebook), после чего объединять полученные данные по каждой персоне отдельно в общий график, чтобы отслеживать ключевые тенденции. Кроме того, в системе содержатся аналитические данные с указанием основных информационных рисков, преимуществ, ключевых высказываний интересующих Кремль персон, причем каждому фигуранту выборов посвящена отдельная подстраница, которая обновляется в режиме онлайн. Другие страницы системы содержат общие графики: анализ валовой медиаактивности и активности в блогосфере всех кандидатов и партий, а также базовые выводы по итогам дня или недели.
Одним из пользователей этой системы является первый замглавы администрации Вячеслав Волдоин, добавил собеседник в администрации. Пока при помощи новой системы администрация мониторит кампанию по выбору мэра Москвы. Примечательно, что система мониторит только реально действующие аккаунты в блогосфере и социальных сетях, исключая так называемых «ботов», пишет «Газета.Ru»
В компьютерах Lenovo обнаружены уязвимости, возможно, являющиеся

Китайскому компьютерному гиганту Lenovo было запрещено поставлять технику западным секретным учреждениям после того, как эксперты по информационной безопасности обнаружили на устройствах производителя уязвимости, возможно, являющиеся бэкдорами. Обнаруженные в ходе тестов уязвимости в аппаратном обеспечении и прошивке позволяют удаленному пользователю получить контроль над устройством без ведома его владельца.
Как сообщает австралийское издание Financial Review со ссылкой на свои источники в оборонных учреждениях в Австралии и Великобритании, данный запрет действует уже практически десятилетие. Примечательно, что запрет уже действовал на момент покупки Lenovo раздела бизнеса IBM по производству ПК.
Запрет на поставки техники действует на различные учреждения в Великобритании, Канаде, США, Новой Зеландии и Австралии. Разведки этих стран имеют интегрированную сеть, и запрет на поставки в одной из них автоматически распространяется на все остальные. Таким образом, GCHQ, MI5, MI6, Австралийская служба безопасности и разведки, АНБ США, а также другие организации отказались от использования компьютеров Lenovo.
Отдел связей с общественностью компании Lenovo отреагировал на сообщение Financial Review, опубликовав такое заявление:
– Наши продукты уже длительное время сохраняют за собой репутацию надежных и безопасных, как среди бизнес партнеров, так и среди покупателей. Мы всегда приветствуем проведение проверок, так как это удостоверяет тот факт, что мы соответствуем всем требованиям безопасности.
Google защитила от уязвимостей 95% Android-устройств

Некоторое время назад стало известно, что операционная система Android подвержена уязвимости Master Key. Компания Google выпустила патч, устраняющий эту уязвимость, и разослала его производителям. Те в свойственной им манере не спешат обновлять устройства, поэтому Google пришлось придумать еще одно решение проблемы.
Вместе с установкой некоторых приложений Google (Gmail, Карты, YouTube и так далее) в систему добавляется новый сервис — Verify Apps с интегрированным сканером Bouncer. Этот сервис проверяет все устанавливаемые приложения, не важно из какого источника они получены — из Google Play или со сторонних сайтов. Приложения Google, в которых содержится сервис Verify Apps, доступны всем версиям Android, начиная с 2.3, а это, по данным компании, примерно 95% устройств.
Таким образом, сервис Verify Apps позволит защитить от эксплуатации уязвимости Master Key даже те устройства, для которых производителями не выпущены обновления безопасности.
Метки: google, уязвимость, android, устройство
Одобренная властями шпионская программа оказалась трояном
Как сообщил эксперт «Лаборатории Касперского» Сергей Голованов, изучающий официально одобренную госорганами шпионскую программу Remote Control System (RCS), ПО не содержит достаточной функциональности, чтобы изобличить преступника в суде, однако располагает возможностями самораспространения, что позволяет причислить ее к классу вредоносных программ.
Оказалось, что программа, которую итальянские разработчики представили, как инструмент для сбора данных для технической экспертизы при расследовании преступлений, не содержит механизм достоверного копирования содержимого файловой системы или снятия содержимого оперативной памяти, которое можно было бы использовать при судебной экспертизе. Вместо этого, эксперт установил, что RCS является самораспространяющейся вредоносной программой, предназначенной для кражи личных данных и предоставления удаленного доступа к зараженной системе.
Сергей Голованов отметил, что подобные выводы удалось сделать, благодаря сравнению RCS с двумя другими продуктами – Morcut и Korablin, которые имеют функциональное сходство, однако являются официально признанными вредоносными программами – Korablin является вирусом, специально написанным для Windows, а Morcut – для Mac OS X. Подтверждением тому, что обе вредоносные программы были созданы разработчиками RCS из Hacking Team стала возможность скачать вирусы из официального сайта команды.
Отметим, что помимо официальных продаж шпионской Remote Control System через сайт Hacking Team, где авторы предлагают ее исключительно правоохранительным органам за $600 тыс., программа доступна для загрузки всеми желающими с сайта панамской компании OPM Security по цене $200 под названием Power Spy.
Remote Control System присутствует на зараженных компьютерах в виде нескольких файлов со случайными именами и одной активной динамической библиотеки, для установки которой требуются дополнительные вредоносные программы.
Метки: шпионское ПО, троян
Новый троянец подменяет веб-страницы в браузере
Специалисты компании «Доктор Веб» изучили одну из самых распространенных в апреле 2013 года угроз, троянца Trojan.Mods.1, ранее известного под наименованием Trojan.Redirect.140. Согласно статистическим данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, количество случаев обнаружения этого троянца составило 3,07% от общего числа выявленных заражений.
Как рассказали в компании, троянец состоит из двух компонентов: дроппера и динамической библиотеки, в которой и содержится основная вредоносная нагрузка. В процессе установки на компьютер жертвы дроппер создает собственную копию в одной из папок на жестком диске и запускает себя на исполнение. В операционной системе Microsoft Windows Vista для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC) дроппер может запуститься под видом обновления Java, потребовав у пользователя подтверждения загрузки приложения.
Затем дроппер сохраняет на диск основную библиотеку троянца, которая встраивается во все запущенные на инфицированном ПК процессы, однако продолжает работу только в процессах браузеров Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Интернет, Яндекс.Браузер, Рамблер Нихром. Конфигурационный файл, содержащий все необходимые для работы Trojan.Mods.1 данные, хранится в зашифрованном виде в библиотеке.
Основное функциональное назначение Trojan.Mods.1 — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное с короткого номера 4012 СМС-сообщение. Если жертва идет на поводу у мошенников, то с ее счета списывается определенная сумма.
В архитектуре Trojan.Mods.1 предусмотрен специальный алгоритм, с помощью которого можно отключить перенаправление браузера на определенную группу адресов.
Метки: троян, веб-страницы, браузер, смс, сотовая связь
Офисные работники, будьте бдительны!
Относительно недавно в Интернете появилась новая услуга, позволяющая офисному работнику обойти запреты работодателя на посещение тех или иных сайтов с рабочего места. Однако, есть нюансы...
То есть, если работодатель закрыл доступ к социальным сетям, icq – аське, livejournal – жж или другому источнику нерабочего общения, работник может обойти этот запрет и посещать закрытые ресурсы через прокси сервер стороннего сайта, предоставляющего такие услуги. Кроме того, как заявлено на сайте, предлагающем такие услуги, работодатель не сможет “подкопаться”, и в журнале посещений данного пользователя не встретит всем известные www.vk.com, www.odnoklassniki.ru, www. lj.com, а увидит лишь случайный набор букв и цифр.
Однако, служба мониторинга 4Trust – бесплатного браузерного плагина для безопасной навигации в Интернет, предупреждает, что участились жалобы на сайты, предлагающие подобные услуги. Как правило, схема мошенничества выглядит как большинство мошеннических схем и предполагает единовременное списание денежных средств – около 200 рублей со счета Вашего мобильного телефона. Списание происходит в момент, когда пользователь, при попытке регистрации на сайте, вводит номер своего мобильного телефона и отправляет ответное sms на sms с кодом для, к примеру, подтверждения, что он не является ботом или своего совершеннолетия. Обычно, факт платной регистрации качественно завуалирован, а заявленная услуга не всегда предоставляется зарегистрированному пользователю.
Еще одна схема мошенничества характерна регулярным списанием небольших, едва заметных сумм со счета Вашего мобильного телефона, в виде оплаты, так называемой, подписки. В связи с участившимися жалобами, операторы сотовой связи не так давно значительно ужесточили процесс оформления подписки. Оформление, как и раньше, возможно только после получения кода на телефон и ввода его в специальной форме на сайте оказывающей услугу с оплатой по средством sms, но на данный момент инициация кода, его отправка на телефон и активация возможны только через специальную страницу на стороне оператора связи. Однако, даже в этой ситуации, мошеннические сайты при открытии окна для ввода кода, стараются закрыть баннерами информацию об условиях подписки и ее реальной стоимости. Таким образом, не замечая информации о платности услуги, пользователь собственноручно осуществляет подписку.
Кроме того, несанкционированные подписки возможны через мобильные wap сайты, когда при посещении сайта при помощи мобильного интернета происходит автоматическая, незаметная для пользователя подписка. Чем дольше факт подписки остается для пользователя незамеченным, тем больше средств он может потерять и тем сложнее будет вернуть всю сумму. Общая сумма понесенных потерь может достигать нескольких тысяч рублей.
Что можно посоветовать пользователям Интернета во избежание подобных денежных потерь:
• Отдавайте преимущество проверенным Интернет-ресурсам
• Не верьте на сомнительным предложениям в виде призывных баннеров и сайты первых выдач поисковиков. Как правило, первые позиции в выдаче поисковых систем – проплаченные, рекламные источники.
• Будьте предельно осторожны с сайтами, запрашивающими номер мобильного телефона, а тем более требующими ответных sms для подтверждения чего-либо.
• Ознакомьтесь с условиями соглашений на сайте. Это могут быть незаметные ссылки в самом низу страницы, серым цветом по серому фону. Для их обнаружения достаточно выделить весь текст сайта и прокрутить колесико мышки до самого конца.
• Старайтесь не отправлять смс на четырехзначные номера, если не были предупреждены о платности услуги и не согласны с этим.
• Возьмите за правило периодически проверять баланс расходования средств со счета мобильного телефона. Это можно делать через личные кабинеты, предоставляемые на сайтах операторов мобильной связи. Это поможет Вам обнаружить несанкционированные списания как можно раньше.
• В случае обнаружения несанкционированных списаний и подписок обратитесь к Вашему оператору связи. Оператор вернёт Вам денежные средства, если Вы докажете факт несанкционированного списания. Основанием будет служить Ваше письменное заявление об отказе от навязанных Вам платных услуг или введение Вас в заблуждение об их реальной стоимости.
• Проверьте репутацию ресурса на сайте www.4trust.net. Для этого введите доменное имя сайта в поле “Проверить репутацию ресурса” и ознакомьтесь с оценками безопасности и комментариями пользователей к данному ресурсу. В случае обмана, не забудьте пометить сайт, как небезопасный и, по возможности, оставьте свои комментарии к мошенническому Интернет-ресурсу.
Метки: интернет-ресурс, мошенники, Сайты, соцсети, офис, работа, смс, сотовая связь, услуги
PayPal обещает "стереть пароли с лица земли"
Платежная система PayPal намерена "стереть пароли с лица земли". "Мы намерены действительно стереть пароли и PIN-коды с лица земли через несколько лет", - говорит директор по ИТ-безопасности PayPal Майкл Барретт. По его словам, в первую очередь пароли подлежат уничтожению в корпоративных внутренних сетях. С таким заявлением на этой неделе в рамках конференции Interop в Лас-Вегасе выступил Барретт.
Второй работой Барретта является должность президента в недавно созданном альянсе FIDO Alliance, который собирается создать открытый стандарт, способный заменить пароли. Кроме PayPal в совет директоров FIDO Alliance также входят компании Google, Lenovo и другие. FIDO (Fast Identity Online) будет работать, требуя от пользователей аутентификации на их смартфонах и других личных устройствах (а те будут авторизовываться на таких сайтах, как PayPal) через протоколы FIDO.
"Существует FIDO-клиент или FIDO-стэк, который должен присутствовать на устройства. Это программное обеспечение, которое по внутренним механизмам обращается к серверу. К примеру, вы единожды указываете, что PayPal.com работает через FIDO и единожды авторизуетесь, пройдя специальный процесс. После того, как вы зайдете к нам на сайт, мы будем пинговать устройство", - говорит он.
Клиентское устройство может по-разному принимать аутентификационную информацию от пользователя - через отпечатки пальцев или сканов сетчатки глаза. "Преимущество заключается в том, что вы авторизуетесь на устройстве, а устройство безопасно и автоматически заходит на сайты. Данные для аутентификации хранятся только на вашем устройстве и не покидают его", - говорит Барретт.
По его словам, первые устройства с поддержкой FIDO появятся уже в этом году. Это станет возможным, когда смартфоны получат сканеры отпечатков пальцев (ранее появились слухи о том, что в новом iPhone может появиться подобный сканер, Android-экосистема также движется в этом направлении). Технически, FIDO-аутентификатором может быть и что-то другое: скан лица, специальный USB-носитель или некая последовательность аутентификации.
Еще одним преимуществом системы является то, что пользователь сам может устанавливать нюансы авторизации, решать, как часто у него запрашиваются данные на вход, а также добавлять те самые пароли для еще большей стойкости системы опознания легального пользователя.
В будущем также планируется создать своего рода доверенные центры FIDO, где в репозиториях будет храниться информация о ключах и получаться различными пользователями и сайтами. Это необходимо если у пользователя есть множество FIDO-реквизитов.
В PayPal говорят, что у FIDO есть несколько преимуществ перед обычными паролями и логинами. Во-первых, система сама управляет аутентификацией на десятках сайтов, во-вторых аутентификационные данные не покидают пользовательского устройства, а в-третьих, пользователь может сам настраивать, что именно использовать в качестве индентификатора.
BitTorrent разработала новый формат файлообмена Bundle
Разработчики популярного файлообменного протокола BitTorrent на неделе представили новый мультимедийный формат под названием Bundle. Данная разработка позволяет воедино связать различные виды контента, а также защищать некоторые данные при помощи электронных ключей.
В BitTorrent говорят, что разработка предназначена в первую очередь для артистов, которые хотят распространять материалы среди своих поклонников. Данные материалы могут быть доступны в дополнение к основным музыкальным или видео записям. В BitTorrent говорят, что их разработка получила дурную славу из-за того, что пиринговый протокол использовался для дистрибуции пиратского контента.
В BitTorrent говорят, что новая разработка направлена на то, чтобы остановить дальнейшую ассоциацию torrent-технологий с пиратством, а также доказать, что пиринговые технологии могут быть другом легального файлообмена. В официальном заявлении BitTorrent сказано, что новый формат должен "революционизировать" медийную отрасль. "С тех пор, как Эдиссон изобрел аудиозапись, идея состояла в том, чтобы продавать записи в магазинах. Мы считаем, что сама по себе запись и продаваемый фильм или альбом - это не одно и то же. Наша идея заключается в том, чтобы предоставить покупателю нужный ему контент, а заодно и помочь ему связаться с создателем контента, даже если создатель попросит денег за такой вид обращения", - говорят в BitTorrent.
Так, к примеру, скачав файл с записью, пользователь может перейти на сайт, предлагающий доступ к другим записям или видео, но для того, чтобы получить дополнительный контент, нужно ввести дополнительные данные, такие как ключ или адрес email. В дальнейшем email может быть использован для отправки промо-материалов от артиста или киностудии. В будущем BitTorrent также намерена усовершенствовать механизм работы с платными сервисами.
Метки: bittorrent, формат, файлообмен, Bundle
Американские ученые создали квантовый Интернет
Ученые Лос-аламосской национальной лаборатории министерства энергетики США объявили, что уже больше двух лет пользуются квантовой сетью передачи данных. Особенность квантовых каналов передачи информации — в стопроцентной гарантии распознавания ее перехвата.
На сегодня существует аппаратура для квантовой передачи по одиночным отрезкам волоконно-оптического кабеля, но маршрутизировать данные без их разрушения на другие точки возможности еще нет.
Исследователи из Лос-Аламоса нашли обходное решение, создав «частично квантовую» систему, построенную по топологии «звезда». Ее оконечные точки оснащены излучателями, а концентратор — излучателем и фотонным детектором. Чтобы передать сообщение узлу-приемнику, узел-источник транслирует квантовым способом на концентратор одноразовый пароль, после чего уже обычным — само сообщение, зашифрованное по этому паролю. Затем концентратор квантовым путем получает новый одноразовый пароль от узла-адресата и передает ему сообщение.
Ученые видят возможность оснащения лазерными излучателями любых устройств, подключенных к волоконно-оптическим сетям, — компьютеров, телеприставок и т. д. Сейчас излучатель по размеру со спичечный коробок, но в дальнейшем, обещают разработчики, станет на порядок меньше.
Метки: квантовый Интернет, интернет
Big Data делает анонимность математически невозможной
В 1995 году Евросоюз принял законодательство в области защиты приватности пользователей, которое определяло в качестве «персональных данных» любую информацию, прямо или косвенно способную идентифицировать конкретного человека. В то время никто не знал, что объем подобной информации вырастет в тысячи раз. Сегодня пользователи генерируют столь огромные массивы данных, что ежегодный поток новой информации превышает объем всего интернета в том самом 1995 году, когда принимался закон.
По статистике аналитической компании IDC, в прошлом году во всем мире было сгенерировано примерно 2,8 зеттабайта информации, а к 2015 году это число удвоится, и дальше рост продолжится в той же геометрической прогрессии. Около 75% всей информации генерируют сами пользователи, копируя и перемещая файлы. Типичный офисный работник генерирует 1,8 терабайта трафика в год, то есть около 5 гигабайт в сутки, приводит расчет журнал MIT Technology Review. В эту цифру входит скачанная из интернета информация, в том числе фильмы и видеопотоки, переданные по локальной сети файлы и т.д. Домашние пользователи не отстают. Объем данных растет экспоненциально, и почти везде присутствуют отпечатки конкретных пользователей.
На интернет-сайтах накопились огромные массивы персональной информации. Ежедневно через почтовые серверы проходит 154 миллиарда электронных писем. Facebook хранит в среднем 111 мегабайт персональных фотографий и видео на каждого пользователя. Через платежные системы только в США ежегодно проходит 65 миллиардов персонально помеченных финансовых платежей. Около 87% совершеннолетнего населения в развитых странах постоянно транслируют свои текущие координаты через мобильные сети.
Сохранить анонимность при генерации столь огромного массива информации становится практически невозможно. Многие люди даже не подозревают, что почти каждое действие в интернете может быть использовано для идентификации и профилирования. Современные системы анализа больших массивов данных (Big Data) позволяют установить уникальный профиль человека даже без слежки, а просто путем анализа его перемещений по координатам GSM-телефона и картинке с общедоступных камер наружного наблюдения, а также с помощью анализа интернет-трафика.
В этой сфере работают специализированные фирмы, которые собирают общедоступные данные и привязывают их к профилям конкретных людей, с указанием имени, адреса и т.д. Например, американская компания Acxiom уже накопила базу данных по 1500 классификаторам на 500 миллионов пользователей со всего мира. Компания заявляет, что по составленным профилям может прогнозировать реакцию потребителей на различные раздражители (товары, бренды и проч.).
Такие компании способны даже автоматически предсказывать местонахождение пользователей, анализируя архивные GPS-метки. По последним экспериментальным данным, точность составляет 80% в течение 80 недель.
Метки: Big Data, анонимность, слежка
Уязвимость в sudo допускает эскалацию привилегий

В популярной утилите sudo обнаружена уязвимость, которая в определённых условиях позволяет осуществить эскалацию привилегий в системе, то есть обойти защиту, которую обеспечивает sudo. Злоумышленник получает возможность запускать на исполнение команды, которые в нормальной ситуации требуют использования sudo с указанием правильного пароля.
Как известно, в операционных системах семейства Unix команда sudo используется для запуска других команд от имени другого пользователя, просто указав его пароль в системе. Она используется, в том числе, в операционных системах Mac OS X и Linux, позволяя обычному пользователю выполнять команды от имени администратора системы. После аутентификации у пользователя обычно есть стандартный период пять минут, в течение которых он может действовать от имени администратора.
Чтобы использовать вышеупомянутую уязвимость, авторизованный пользователь должен быть указан в списке легитимных пользователей в файле /etc/sudoers, в котором также перечислены программы, доступные для запуска подобным способом. Для эксплуатации уязвимости пользователь также должен как минимум однажды запустить sudo с легитимным паролем, а на компьютере должна быть возможность изменения системного времени.
При всех вышеуказанных условиях простой переустановки времени командой sudo –k и установки системного времени на 1 января 1970 года (начало Unix-времени) достаточно для того, чтобы любой пользователь из файла /etc/sudoers мог запустить любую команду, которую он уполномочен запускать.
Нужно заметить, что переустановка системного времени обычно является привилегированным действием, которое доступно не каждому пользователю, хотя в операционной системе Mac OS X это действие часто доступно для всех пользователей.
Уязвимы версии sudo с 1.6.0 по 1.7.10p6, а также с 1.8.0 по 1.8.6p6. Уязвимость исправлена в версиях 1.7.10p7 и 1.8.6p7. Операционная система Mac OS X 10.8.2 использует версию sudo 1.7.4p6 и поэтому является уязвимой до тех пор, пока Apple не выпустит апдейт.
Метки: Linux, sudo, эскалация привилегий
Интернет-компании заявили о новом мошенничестве в Рунете

Участники интернет-рынка распространили совместное заявление, в котором предупредили пользователей Рунета о новом виде мошенничества в Сети. Усилия в борьбе с интернет-мошенниками объединили "Яндекс", Google, Group-IB, Mail.Ru Group, "ВКонтакте", "Доктор Веб" и "Лаборатория Касперского".
Как следует из заявления компаний, в последнее время пользователи Интернета все чаще сталкиваются с объявлениями, в которых их просят ввести номер мобильного и потом код активации из SMS. Чтобы выманить у человека номер, злоумышленники используют самые разные объявления: "Вы выиграли приз", "Ваш аккаунт заблокирован" и т.д.
"Такие сообщения часто размещают на страницах, которые выглядят, как популярные ресурсы ("Яндекс", "Одноклассники", "ВКонтакте" и т.д.)", — говорится в сообщении "Яндекса". Таким образом, если пользователь вводит номер мобильного телефона и код подтверждения, он, не зная того, подключает SMS-подписку, за которую с его счета каждый день списывают деньги.
"Обращаем ваше внимание, что мы не имеем отношения к объявлениям такого рода. Это уловка злоумышленников, которые пытаются заработать на доверчивости пользователей", — предупреждают компании, отмечая, что объединили усилия, чтобы обезопасить пользователей от нового вида мошенничества.
Так, антивирусные компании блокируют мошеннические веб-страницы, а интернет-компании предупреждают пользователей об опасности при попытке перехода на такие ресурсы. Операторам сотовой связи передаются данные о коротких номерах, на которые злоумышленники обманом подписывают пользователей.
Метки: рунет, мошенничество
D-Link очень "тихо" исправила уязвимость в своем маршрутизаторе
В ноябре прошлого года компания D-Link устранила критическую уязвимость в своем беспроводном маршрутизаторе DIR-645, однако забыла сообщить об этом своим клиентам.
Так, для данной модели маршрутизатора с 21 ноября 2012 года на официальном web-сайте компании доступно обновление прошивки до версии 1.03. При этом в журнале изменений указано, что обновление лишь оптимизирует работу IPv6 и повышает совместимость с iOS 6. Никакой информации об уязвимости также не указано на web-странице, посвященной безопасности устройств D-Link.
Вместе с тем, как сообщают исследователи компании Neohapsis, специализирующейся на информационной безопасности мобильных устройств, при помощи сервиса поиска уязвимостей в сетевых устройствах SHODAN им удалось обнаружить 150 маршрутизаторов модели DIR-645 со устаревшей версией прошивки и всего шесть – с последней.
По словам экспертов, это довольно небезопасная тенденция, поскольку старая версия встроенного ПО позволяет удаленному пользователю получить доступ к незашифрованному паролю административной учетной записи устройства. Для этого необходимо лишь воспользоваться командой:
curl -d SERVICES=DEVICE.ACCOUNT http:///getcfg.php
В настоящий момент представители D-Link подтвердили, что в последней версии прошивки действительно была устранена уязвимость и даже подчеркнули, что пользователям DIR-645 стоит незамедлительно установить обновление.
Ознакомиться с описанием уязвимости можно тут:
http://www.securitylab.ru/v...
Метки: d-link, маршрутизатор, уязвимость
90% паролей можно взломать за несколько секунд
По данным исследования аналитической компании Deloitte Canada, на сегодняшний день среднее время, которое пользователи компьютеров тратят на то, чтобы придумать пароль, значительно меньше того, которое требуется для его подбора: более 90% паролей можно взломать за считанные секунды.
Обычными проблемами при подборе паролей называется стандартные ошибки, которые допускают пользователи: использование одного пароля для нескольких учетных записей, предсказуемые алгоритмы создания паролей, а также использование простых паролей, только с цифрами, либо только с буквами без смены регистра.
По данным исследователей, разработчики ПО и производители компьютерного оборудования поставляют на рынок все более эффективные программные и аппаратные решения по подбору паролей жертв. К услугам современных хакеров также представлены возможности объединять огромное количество машин для того, чтобы взламывать учетные данные.
Пароли, как базовый фактор аутентификации, в ближайшие годы сохранят свою актуальность, и компаниям необходимо вырабатывать техники и правила, которые защитят сотрудников от утечки данных. «Могут потребоваться также дополнительные факторы аутентификации, в том числе пароли, отправленные на телефон по SMS, сканирование отпечатков пальцев и другие биометрические данные, или даже «пропускные» кредитные карты», - говорится в уведомлении Deloitte.
Напомним, что по данным SplashData , в 2012 году перечень самых ненадежных паролей пользователей составляют:
1. password
2. 123456
3. 12345678
4. abc123
5. qwerty
6. monkey
7. letmein
8. dragon
9. 111111
10. baseball
11. iloveyou
12. trustno1
13. 1234567
14. sunshine
15. master
16. 123123
17. welcome
18. shadow
19. ashley
20. football
21. Jesus
22. michael
23. ninja
24. mustang
25. password1
Сайты из "черного списка" будут блокировать только по будням

Роскомнадзор предложил внести поправки к закону, известному как "закон о черных списках в интернете". Как пишет "Коммерсантъ", речь идет о блокировании сайтов только в рабочие дни. Соответствующее письмо было направлено министру по делам "открытого правительства" Михаилу Абызову.
Это предложение защищает провайдеров хостингов, которые блокируются в выходные прежде чем их владельцы успевают отреагировать на требования регуляторов. Сейчас сроки реагирования ограничены календарными днями.
Предложение Роскомнадзора должно в первую очередь помочь небольшим провайдерам, которые часто не работают в выходные.
Реестр запрещенных сайтов заработал с ноября прошлого года. По закону, если владелец ресурса или хостинг провайдер отказались удалять запрещенную информацию, Роскомнадзор вносит в "черный список" весь сайт и его IP-адрес. Интернет-провайдеры, в свою очередь, обязаны блокировать доступ к этим адресам.
В первые недели работы реестра в него по тем или иным причинам попали такие популярные ресурсы, как "Луркоморье", Rutracker.org, Google и YouTube. В первых двух случаях ресурсы исключали из "черного списка" после удаления страниц с запрещенной информацией. Попадание Google объяснили "техническим сбоем".
По данным Роскомнадзора на 17 января, с 1 ноября 2012 года прислано более 24 тысяч заявок на внесение веб-ресурсов в реестр. Из них 22 тысячи отклонены, а остальные переданы на экспертизу. В реестре содержится 1859 записей, с IP-адресами - 204. 894 записи исключены из реестра.
Метки: Сайты
В Skype распространяется троян Shylock

Согласно сообщению экспертов безопасности из датской компании CSIS Security Group, на прошлой неделе в открытом доступе начала распространяться обновленная версия банковского трояна Shylock. Одной из новых функций вируса стала возможность распространения через Skype.
Данное дополнение позволяет трояну рассылать сообщения и вредоносные файлы с помощью клиента популярного VoIP-сервиса, установленного на инфицированной системе. При этом Shylock способен обходить предупредительные сообщения Skype, а также стирать из его истории следы своей активности.
Напомним, что ранее в трояне уже был реализован функционал самораспространения через такие службы мгновенных сообщений, как MSN Messenger и Yahoo Messenger. Вирус рассылал вредоносные ссылки случайным контактам, имеющимся в данных приложениях.
«На сегодняшний день Shylock является одним из наиболее передовых банковских троянов, нацеленных на компрометацию систем дистанционного банковского обслуживания, - сообщают в CSIS Security Group. - Код постоянно обновляется и регулярно появляются новые функциональные возможности».
Метки: Skype
Новый вредоносный код под Android похищает данные
Symantec предупредила об обнаружении нового вредоносного программного обеспечения, которое уже могло похитить данные с тысяч зараженных устройств за менее чем две недели. Новые вредоносный код Android.Exprespam был впервые обнаружен в середине января и по мнению вирусных аналитиков компании, он активен не менее двух недель.
Несмотря на непродолжительный период, антивирусная компания указывает на то, что код уже мог сделать своими жертвами многих тысяч пользователей. "Полученные нами данные - это лишь небольшая толика от общего объема, указывающая на то, что с 13 по 20 января было не менее 3000 заражений", - говорит Йоджи Хамада, аналитик Symantec. "Базируясь на нашем анализе, можно говорить, что мошенники уже похитили от 75 000 до 450 000 пользовательских файлов".
На данный момент код Android.Exprespam распространяется через несколько неофициальных каталогов программ для Android. Сам по себе вредоносный код создан для похищения широкого спектра персональных данных, хранящихся на зараженных Android-устройствах. Также в Symantec говорят, что несмотря на все усилия компании, им пока так и не удалось выявить даже примерный источник распространения вредоноса.
"Этому вредоносному коду всего две недели, поэтому оно еще достаточно молодое и на его базе, скорее всего, будут созданы новые образцы кодов и новые методы распространения", - говорит Хамада.
Метки: android
Спасаем информацию с поцарапанного диска
>Что делать, когда вы пытаетесь перенести фотографии с поцарапанной "болванки" на жесткий диск, но процесс все время прерывается из-за ошибок чтения?
В случаях, когда стандартный Проводник Windows не может справиться с задачей, на помощь придет утилита Minitool Roadkil's Unstoppable Copier. Она способна вытянуть с испорченного носителя уцелевшие байты, несмотря на царапины. Эту программу для восстановления и копирования данных с нечитаемых дисков можно совершенно бесплатно скачать с сайта www.roadkil.net.
Чтобы скопировать данные, выберите источник и папку для их сохранения. Затем выставьте ползунок на вкладке "Settings" примерно на середину. Это позволит соблюсти компромисс между качеством и скоростью копирования. Не забудьте также отметить галочкой пункт "Automatically skip damaged files", иначе на копирование информации могут уйти часы.
Метки: Восстановление информации
Россия, Казахстан и Беларусь повышают импортные пошлины на ПК
Соответствующее решение было принято коллегией Евразийской экономической комиссии (ЕЭК), сообщил представитель ЕЭК.
Как передает Прайм, сейчас в отношении этого вида компьютеров пошлина не уплачивается. При этом, отметили в комиссии, решение не касается портативных ПК и отдельных видов моноблоков.
"Данное решение должно способствовать развитию производства персональных компьютеров в странах Таможенного союза. Благодаря дифференциации по стоимости товара, оно затрагивает главным образом офисные ПК, а ставки таможенных пошлин, например, на серверы останутся на прежнем уровне", - пояснил министр торговли ЕЭК Андрей Слепнев, слова которого передал представитель комиссии.
Ссылаясь на оценки экспертов, Слепнев выразил мнение, что в странах ТС может производиться существенно больше компьютеров, чем сегодня. В условиях обострившейся борьбы за экспортные рынки на фоне глобального экономического кризиса, мы должны создавать условия, которые будут стимулировать развитие производства высокотехнологичных товаров в наших странах, заметил он.
В ЕЭК уточнили также, что изменения пошлины затронут в первую очередь импорт из Китая, откуда на рынок Таможенного союза поступает большая часть продукции (в 2011 году - около 70% всех импортных поставок ПК).
Чтобы их читать, Вам нужно вступить в группу