Технологии безопасности

Сайт посвященный вопросам безопасности

Основатель Wikileaks Джулиан Ассанж боится, что его убьют с беспилотника

Джулиан Ассанж уверен, что его могут убить с беспилотника на балконе посольства Эквадора, где он скрывается три года, а если он выйдет из посольства – его похитят и доставят в США, где ему грозит смертная казнь.

«Было много угроз о бомбах или попытках моего убийства от различных людей», — рассказал Ассанж в интервью The Times Magazine.


Джулиан Ассанж. Getty
Continue reading

АНБ невозможно засудить за массовую слежку

Презумпция невиновности — прекрасная вещь. «Обвиняемый не виновен, пока не доказано обратное» — разве это не торжество правосудия и законности? Но, как и у любой сущности, у этого принципа есть обратная сторона. Иногда очень сложно доказать что-то, что кажется вполне очевидным.

Вроде бы никто даже не оспаривает существования программы массовой слежки за гражданами разных стран, PRISM. Эдвард Сноуден в 2013 году раскрыл подробности этой беспрецедентной программы, стартовавшей в 2007 году и охватывающей практически весь земной шар. Агентство Национальной Безопасности, прикрываясь «Патриотическим актом» и прочей подобной риторикой, считает себя вправе шпионить не только за гражданами своей страны, но и вообще за всеми, до кого дотянется.

Пытались ли борцы за справедливость оспорить эту практику? Безусловно. Начиная с самого Сноудена, в 2013 году навсегда изменившего свою жизнь раскрытием совершенно секретной информации. В июне этого года сенатор Рэнд Пол попытался заблокировать продление действия федерального закона «О сплочении и укреплении Америки путем обеспечения надлежащими средствами, требуемыми для пресечения и воспрепятствования терроризму» (известного под прозвищем «Патриотический акт»), использовав имевшееся у него право вето.

АНБ приостановило слежку — на два дня. После чего Сенат позволил агентству возобновить её «ещё на шесть месяцев». Как? Приняв новый закон — «USA Freedom Act». Название акта — бэкроним, расшифровывающийся, как «Объединение и усиление Америки путём реализации прав человека и окончания прослушки, массового сбора данных и онлайновой слежки».
Continue reading

Основателя Pirate Bay арестовали сразу же по выходу из тюрьмы


Готтфрид Свартхольм / Getty images

Готтфрид Свартхольм, один из основателей известнейшего торрент-трекера The Pirate Bay, был арестован в Дании сразу же после того, как вышел из тамошней тюрьмы, отбыв положенный ему срок. Официально арест был произведён из-за того, что по какой-то причине он не досидел месяц в своей родной Швеции, в которой он ранее отбывал наказание. Теперь он будет экстрадирован в Швецию с целью отбывания этого месяца в тюрьме.

Свартхольм в 2003 году стал одним из основателей TPB — а кроме этого был IT-активистом, принимал непосредственное участие в развитии Пиратской партии Швеции. Он помогал Wikileaks — в частности, участвовал в публикации скандальной видеозаписи т.н. «багдадского авиаудара». Эта 30-минутная запись была опубликована в апреле 2010 года.

12 июля 2007 года в иракской столице произошёл инцидент, известный как Сопутствующее убийство (Collateral Murder). В результате обстрела иракцев двумя вертолётами армии США погибли несколько десятков человек, большинство из которых не были повстанцами. С вертолётов AH-64 Apache американцы из 30-миллиметровых пушек стреляли в иракцев на улице, после чего ракетами AGM-114 Hellfire уничтожили целое здание. В результате погибли, в том числе, 2 репортёра Reuters, а также женщины и дети.
Continue reading

За что платят мужчины: продолжение истории Ashley Madison о краже со взломом


Проект несостоявшегося приложения What’s Your Wife Worth

Драматическая история со взломом сайта знакомств для взрослых Ashley Madison, подробно описанная в предыдущей статье, продолжает обрастать подробностями. Второй архив с данными, попавший на просторы сети, содержит как переписку руководства компании Avid Life Media, так и исходные коды нескольких её сайтов. Известный специалист по компьютерной безопасности рассказал в своём блоге, что он, возможно, напал на след одного из хакеров. Другой исследователь скрупулёзно подсчитал, сколько же на сайте было зарегистрировано реальных женщин.

Исходники сайтов

От того же имени хакерской команды Impact Team в файлообменных сетях появился второй файл, имеющий отношение ко взлому сайта Ashley Madison. В файле объёмом 18,5 Gb можно найти как переписку руководителей Avid Life Media, так и исходные коды нескольких сайтов компании. Кроме Ashley Madison, это исходники ресурсов CougarLife.com, EstablishedMen.com и других.

Естественно, что такая утечка бьёт по безопасности указанных ресурсов. Для любителей взлома будет полезно как следует изучить исходные коды сайта и обнаружить там уязвимости, которые в дальнейшем можно будет использовать в целях проникновения, чтобы, например, стащить базы данных пользователей и оттуда.

Эта утечка подтверждает тот факт, что взломщики изначально получили доступ не столько к сайту Ashley Madison, сколько к корпоративной сети компании. Исследуя доступные материалы, специалисты из компании TrustedSec обнаружили e-mail, содержащий троянскую программу в качестве вложения. Это один из самых распространённых способов получения контроля над компьютером жертвы, и, с большой вероятностью, именно так взломщики проникли сначала на один из компьютеров компании, а потом и в её сеть.
Continue reading

Чиновников России предлагают штрафовать за использование иностранных интернет-сервисов на службе


Фото: Chris Helgren/Reuters

Интересное предложение вынес член комитета Госдумы по безопасности и противодействию коррупции Илья Костунов. Так, депутат предложил ввести ответственность за использование иностранных интернет сервисов (Gmail, Viber, WhatsApp и другие) при работе со служебной информацией. По мнению Костунова, различные государственные органы должны сами для себя разработать требования работы с информацией такого рода. Ответственность же за нарушение требований будет установлена специальными законодательными актами — сейчас их уже разрабатывают. А наказание может быть довольно значительным — от штрафа до увольнения.

Это мнение поддерживает и секретарь Совета безопасности России Николай Патрушев, который еще вчера подверг критике чиновников, использующих Google, Yahoo и WhatsApp. По мнению чиновника, в настоящее время «отмечается наличие в информационных системах (органов госвласти) программных средств иностранных технических разведок».
Continue reading

Тайное становится явным, или Драматическая история миллионов адюльтеров

В июле сайт Ashley Madison подвергся атаке хакерской группы The Impact Team, в результате чего последними была получена практически вся база пользователей сайта. Сначала хакеры требовали закрыть сайт, шантажируя угрозой публикации этих данных. Когда же администрация сайта не поддалась на шантаж, данные действительно попали в интернет, откуда их, как известно, уже не вырубишь топором. И эта история не была бы такой уж интересной, если бы сайт Ashley Madison не был местом знакомств, специализирующимся на супружеских изменах.

История

Этот канадский сайт был основан в 2001 году как место для поиска свиданий и социальная сеть, с упором на поиск любовниц и любовников. Девиз сайта: «Жизнь коротка – заведи интрижку». Название сайта было составлено из двух популярных женских имён. Ресурс принадлежит компании Avid Life Media, которой владеет канадский интернет-предприниматель Ноэль Байдерман.

Сайт постепенно стал весьма популярным – в 2015 году, по статистике независимого счётчика, его посещали более 124 миллионов человек ежемесячно, и в списке сайтов для взрослых он поднимался до 18 места (да, он неплохо себя чувствовал даже в рейтинге сайтов типа pornhub и xvideos). Сейчас в этом рейтинге он уже на 30-м месте.

Всего на сайте к лету 2015-го было зарегистрировано порядка 39 млн. пользователей из 53 стран, а интерфейс сайта был доступен на 25 языках (включая русский). Большую часть пользователей составляли жители США и Канады. За всю историю развития сайта только один Сингапур запретил выходить проекту на свой рынок. Совет по развитию СМИ Сингапура отверг проект, как «пропагандирующий супружеские измены и принижающий семейные ценности».

Сайт не взимал ежемесячную оплату – вместо этого он проводил монетизацию, продавая внутрисистемные «кредиты». Кредитами было необходимо расплачиваться за право начать разговор с потенциальной «парой», причём разговоры были ограничены по времени. Оплата взималась только с мужчин. Если женщина инициировала чат с мужчиной, тому требовалось потратить кредиты для ответа на него. Кроме этого, компания взимала деньги за удаление учётных записей из системы.
Continue reading

Количественная оценка доверия, или сколько стоит ваша преданность

В этой статье, я предлагаю рассмотреть методику оценки преданности сотрудников компании. Несмотря на множество экспертных методов оценки рисков информационной безопасности, мне так и не удалось найти методики, которые хоть как-то оценивают риск инсайдеров и человеческого фактора.
Именно поэтому я рискну предложить на обсуждение этот подход. Решение еще очень сырое и в первую очередь меня интересует ваше мнение на тему «Стоит ли развивать методику дальше» и «Аналогичных подходов и так много, зачем изобретать велосипед».
Итак, если кому интересно, добро пожаловать подкат. Continue reading

В тридцати школах Петербурга начнут продавать завтраки по отпечаткам ладони

С 1 сентября в Петербургских школах запустят проект «Ладошки»: дети смогут покупать еду в буфетах с помощью терминалов, считывающих рисунок ладони. Родители смогут контролировать расходы школьников, а детям не нужны будут наличные.


Continue reading

«Викимедиа РУ» намерена обжаловать решение Роскомнадзора

Основатель и директор некоммерческого партнёрства «Викимедиа РУ» Владимир Медейко заявил, что компания намерена обжаловать решение Роскомнадзора о блокировке страницы русскоязычной Википедии, содержащей запрещённую информацию о наркотическом веществе «чарас». Сегодня около 17:00 эта страница русскоязычной Википедии была направлена на блокировку операторам связи.

В комментарии для радиостанции «Говорит Москва» Владимир Медейко пояснил, что решение Роскомнадзора ударит по всему ресурсу. В Википедии включён принудительный режим HTTPS (HSTS). Операторы не могут определить, какую страницу сайта открывает пользователь, и либо блокируют весь трафик, либо не блокируют ничего.
Continue reading

АНБ начинает планировать перевод шифрования на постквантовую криптографию


Чип от D-Wave Systems с квантовыми возможностями

Агентство национальной безопасности США на этой неделе обновило свои рекомендации по использованию алгоритмов шифрования данных в связи с необходимостью постепенного перехода к криптографическим методам, стойким к попыткам взлома при помощи квантовых компьютеров. Пока в числе рекомендаций присутствуют хорошо знакомые и опробованные алгоритмы с увеличенным размером ключей. Но, согласно АНБ, уже настало время задумываться о других методах шифрования.

Агентство национальной безопасности США занимается не только прослушкой населения, но и отвечает за собственно безопасность работы государственных служб. В частности, АНБ периодически выпускает рекомендации по компьютерной безопасности — например, по использованию шифрования документов и коммуникаций. И хотя квантовые компьютеры пока не вышли из стадии сложных и дорогостоящих лабораторных экспериментов, похоже, что специалисты по безопасности не сомневаются: в какой-то момент они станут обычным делом.

Современные системы шифрования основаны на математических задачах, требующих длительного перебора для поиска решений. Это разложение целых чисел на простые множители, поиск дискретных логарифмов и эллиптическая криптография. Обычные компьютеры не способны справляться с ними за приемлемое время – при росте размера ключа шифрования время, требуемое на расчёты, растёт экспоненциально. Но эти алгоритмы, судя по всему, не будут являться проблемой для квантовых компьютеров.

Американский математик Питер Шор известен своими работами в области геометрии, теории вероятностей, комбинаторики, теории алгоритмов и квантовой информатики. А наибольшую известность ему принесли работы по теории квантовых вычислений. В 1994 году он опубликовал работу, в которой представил алгоритм, потенциально способный взломать криптографию с открытым ключом. Для этого вам потребуется «всего лишь» квантовый компьютер с несколькими сотнями логических кубитов.
Continue reading