Технологии безопасности

Сайт посвященный вопросам безопасности

Хакнуть АЭС намного проще, чем вы думаете

2007-й год – успешная попытка вывода из строя учебного генератора электростанции. 2010-й год – масштабная кибератака на центрифуги в Иране. 2013-й год – рекордная активность хакеров на инфраструктурных объектах США. 2015 год – особый акцент на угрозах энергетическому комплексу США в национальной Стратегии кибербезопасности. Похоже шансы изменить историю в соответствии со своим сценарием у азартных киберспортсменов растут с каждым годом. О том, насколько реальны опасения и какие меры предпринимаются, чтобы предотвратить управляемую катастрофу читайте ниже.


Continue reading

Китайские исследователи предложили дополнить сеть Bitcoin методами анонимизации из Tor


Принципиальная схема работы предлагаемой системы

Китайские исследователи в области компьютерной безопасности из Шэньчжэньского университета предложили улучшенный способ организации сети транзакций для криптовалют. Он должен решить одну из проблем текущих сетей – отсутствие гарантий анонимности транзакций.

Хотя в сети биткоин транзакции проходят между сгенерированными адресами, в которых нет информации об отправителе, злоумышленник всегда может попытаться записать ip-адреса участвующих в переводе средств сторон и таким образом добраться до участников сделок. В связи с этим работу с биткоинами часто называют псевдоанонимной.

В самой известной сети с анонимизацией соединений Tor существует «луковичная» схема передачи пакетов, когда каждый из выбранных случайным образом нескольких узлов имеет доступ только к своей порции данных. В результате отправитель пакета не знает ip-адреса получателя, а получатель, к которому пришёл пакет, уже не знает ip-адреса отправителя.
Continue reading

Сервис Cloudflare привлек $100 миллионов и стал четвертым среди самых дорогих проектов в сфере кибербезопасности

Стартап Cloudflare из Сан-Франциско получил $100 миллионов в очередном раунде финансирования. Проект работает в сфере информационной безопасности. Стратегическими инвесторами Cloudflare выступили китайский Baidu, Google Capital, Microsoft и производитель микросхем Qualcomm. Лидером раунда стала корпорация Fidelity. Привлеченные средства пойдут на расширение влияния на новых рынках. Continue reading

Сноуден предполагает, что шифрование может сделать Землю невидимой в радиодиапазоне и тогда инопланетяне нас не найдут

Эдвард Сноуден принял участие в подкасте StarTalk известного астрофизика и популяризатора науки Нила Деграсса Тайсона, где коснулся своих излюбленных тем — конспирологии и шифрования. На разговор обратила внимание британская The Guardian. Сноуден высказал любопытную мысль: возможно, что инопланетная цивилизация находит нужным транслировать информацию в зашифрованном виде и в таком случае будет очень трудно, если вообще возможно, отделить полезные сигналы от фонового космического излучения.
Continue reading

Автомобили Volkswagen обманывали тесты на количество вредных выбросов при помощи ПО

Известный немецкий автопроизводитель Volkswagen признался в том, специально внёс в программное обеспечение функциональность, позволяющую обманывать тесты на количество вредных выбросов в атмосферу. Как только автомобиль должен был пройти тест на соответствие требованиям «Агентства по охране окружающей среды США» (United States Environmental Protection Agency, EPA), то специальный код включал систему контроля за выбросами выхлопных газов автомобиля в полную меру. Если же речь шла об обычной эксплуатации, то после измерения количества выбрасываемых вредных веществ выяснилось, оно превышает установленные EPA нормы от 10 до 40 раз.
Continue reading

CUJO — защита от виртуального взлома для всей семьи

Не секрет, что большинство умных устройств, которые сейчас расходятся сотнями тысяч, нет, миллионами, по всему миру, плохо защищены от взлома. Некоторые гаджеты даже передают информацию в незашифрованном виде, так что для взломщика не представляет особого труда взломать что-либо с приставкой «smart». Эксперты считают, что сейчас около 70% умных устройств можно взломать без особых проблем.

При этом взломщик может получить доступ ко всей системе умного дома, или же выкрасть данные о кредитной карте, банковских аккаунтах, личной жизни пользователя. Сейчас нет единого стандарта работы для умных устройств, у многих из них — собственные проприетарные программы, железо, что усложняет защиту. Тем не менее, разработчики CUJO считают, что их система может защитить весь дом или офис от виртуального взломщика.
Continue reading

BitPay лишилась почти двух миллионов долларов в результате фишинга

Сегодня стало известно, что финансовый директор платёжной системы BitPay стал жертвой e-mail фишинга, в результате чего система лишилась активов на сумму в 5000 BTC (порядка $1,8 млн по курсу на дату взлома). Судебный иск по этому делу был подан в декабре 2014 года. Ответчиком выступает страховая компания, обслуживающая систему, отказавшаяся выплачивать страховку в размере $950000, которые система потребовала с неё для покрытия убытков.

Процедура взлома прошла просто и элегантно, как в одном из эпизодов сериала Mr.Robot. Брайан Крон получил письмо якобы от Дэвида Бэйли, представителя онлайн-издания yBitcoin, посвящённого криптовалютам. По-видимому, почтовый аккаунт Бэйли оказался взломан до этого, или же мошенники просто подделали адрес отправителя.
Continue reading

Android 5 можно разблокировать с помощью произвольного пароля огромной длины

Исследователь нашёл в пятой версии операционной системы Android уязвимость, которая позволяет вызвать отказ системы и разблокирование без ввода пароля экрана блокировки. Для этого понадобилось всего лишь перегрузить поле ввода пароля большим количеством символов. Видеоролик выше имеет длину 8 минут 46 секунд. Это означает, что знакомый с последовательностью действий может разблокировать смартфон при наличии физического доступа к нему примерно за 10 минут или меньше. Далее злоумышленник может выполнить любое действие, права на которое были у владельца смартфона.
Continue reading

Let’s Encrypt выдала первый бесплатный HTTPS сертификат


1990-е: В интернете никто не знает, что ты — собака.
Сегодня: Наш анализ данных показывает, что он — коричневый лабрадор. Он живёт с чёрно-белым биглем, и по-моему, у них есть отношения.

Совершенно бесплатные сертификаты для шифрования веб-трафика, которые обещали начать выдавать в середине 2015 года, слегка запоздали, но не исчезли совсем. 14 сентября Фонд Электронных Рубежей (Electronic Frontier Foundation, EFF) торжественно объявили о факте выдачи первого такого сертификата системой Let’s Encrypt.

Let’s Encrypt – свободный, бесплатный центр сертификации (certificate authority, CA). Он должен обеспечить всех желающих совершенно бесплатными сертификатами, и тем самым, постепенно перевести весь интернет на шифрование трафика.

По понятным причинам, правозащитники и борцы за свободу обоими руками приветствуют эту инициативу. HTTPS (правильно работающий) означает защиту от прослушки и кражи персональных, коммерческих и других данных пользователей.

Ещё пару лет назад все центры сертификации продавали сертификаты, да и сегодняшние бесплатные обладают рядом ограничений. После покупки требовались знания для того, чтобы настроить поддержку сертификатов в браузере. Теперь эти времена уходят в прошлое.

Пока ещё новый центр не обладает всеми правами, и его сертификаты не имеют перекрёстной подписи, в результате чего они не воспринимаются браузерами как надёжные (браузер выдаст сообщение «untrusted»). В EFF уверены, что примерно через месяц будет завершена соответствующая работа в консорциуме IdenTrust, после чего новые бесплатные сертификаты будут работать без шума и пыли.
Continue reading

В Xerox PARC изготовили самоуничтожающийся чип

Помните этот эффектный эпизод из начала художественного фильма «Миссия невыполнима-2», где Итан Хант получает сообщение, проигрываемое самоуничтожающимися очками? Идеальное устройство для хранения секретной информации.

А инженеры из Xerox PARC придумали нечто не менее эффективное, и при этом реальное и более простое. Компьютерный чип, который сможет уничтожить сам себя по команде, тем самым уничтожая любую хранившуюся на нём информацию. В действии его показали на презентации компании DARPA «Wait, What?» в четверг.
Continue reading