Технологии безопасности

Сайт посвященный вопросам безопасности

Tor выпустил бету защищённого мессенджера

Разработчики Tor представили бета-версию своего мессенджера с шифрованием сообщений. Сообщение об этом появилось 29 октября в официальном блоге проекта. Новый мессенджер сочетает в себе использование сети Tor для обеспечения анонимности и протокола OTR (off the record) – для шифрования.

Tor Messenger поддерживает различные транспортные сети для сообщений, в том числе: Jabber (XMPP), IRC, Google Talk, Facebook Chat, Twitter, Yahoo, и другие. Основу программы составляет Instantbird – мессенджер от разработчиков из Mozilla. Разработкой мессенджера три человека из компании Tor занимаются уже более года.

OTR-протокол обеспечивает как шифрование сообщений, так и идентификацию – то есть, подтверждение того факта, что никто другой не выдаёт себя за человека, с которым вы хотите пообщаться. Потеря ключей шифрования не приводит к компрометации ваших предыдущих разговоров.
Continue reading

Сказ о том, как Билайн относится к безопасности своих сервисов

Информационная безопасность — мое хобби. К сожалению, пока не могу сказать об этом большего. Я не зарабатываю этим на хлеб, нет, я просто исследую то, что мне попадается.

Летней ночью 2015 года, где-то в 4 утра, я как обычно думал о жизни. Внезапно на меня упала мысль: «В реальном мире, где нет биткойнов, никто не отслеживает деньги, все отслеживают только суммы переданных денег». Эта мысль натолкнула меня на очень многое, но в первую очередь — на бонусную программу Билайн.
Continue reading

Генпрокуратура РФ рекомендует гражданам использовать режим «локальной учётной записи» в Windows 10

Генпрокуратура РФ при участии ФСБ завершила проверку операционной системы Windows 10 на предмет сбора персональных данных граждан и отправки их за границу.

Запрос на проведение проверки отправил главный юрист фракции КПРФ в Госдуме депутат Вадим Соловьев в августе 2015 года, сразу после официального выпуска новой ОС. «Согласно пользовательскому соглашению, операционная система автоматически собирает и хранит у себя историю посещённых пользователем веб-страниц, пароли к сайтам, названия точек доступа, к которым подключался пользователь, и пароли к ним. Кроме того, система сохраняет на серверах компании координаты пользователя; фрагменты почтовой переписки и SMS; данные о совершённых звонках, данные из адресной книги и другие персональные данные клиента, — отмечено в запросе. — При этом компания, согласно лицензионному соглашению, оставляет за собой право предоставлять фрагменты личной переписки и других собранных персональных данных пользователей по запросам спецслужб, а также публиковать и использовать её иными способами по своему желанию».
Continue reading

«Представитель JD» предложил Эльдару Муртазину 3000 рублей за пост о вредительстве конкурентов

На GeekTimes подробно освещалась история с багом китайского интернет-магазина JD.com, в результате которого в открытый доступ попали персональные данные сотен тысяч российских покупателей: имена, адреса, телефоны и прочее.

История получила продолжение. Китайская компания оперативно отреагировала на баг и закрыла его начала общаться со СМИ. Например, в журнале PC Magazine опубликована обличительная статья, в которой GeekTimes обвиняют в публикации непроверенной информации: «При запуске популярного в мире интернет-магазина легко ждать прихода желающих сыграть на этом и поднять свою популярность. Не хочу никого обвинять, но лучше дождаться официального мнения JD.com, чем строить гипотезы, опираясь на уважаемый, но не проводящий собственных расследований источник», — пишет журнал.

Известный эксперт в области мобильных гаджетов Эльдар Муртазин вчера вечером сообщил в своём блоге, что статью вроде опубликованной в PC Magazine ему тоже предлагали написать за 3000 рублей.
Continue reading

США опасаются, что российские подлодки обрежут магистральные интернет-каналы на время военного конфликта

Российские подводные лодки и корабли активно курсируют в районах, где пролегают жизненно важные подводные магистральные кабели. В связи с этим американские эксперты выражают опасение, что во время военного конфликта Россия может попросту отключить интернет в произвольном регионе, пишет NY Times. Эти опасения усиливаются в связи с тем, что мировые электронные коммуникации, торговля и финансовая система критически зависимы от интернета. Через интернет ежедневно проходит транзакций на $10 триллионов. Отключение связи может стать весьма болезненным.

Эту информацию газете подтвердили более пяти источников из Пентагона и разведывательных служб. «Я каждый день опасаюсь, что могут сделать русские», — сказал контр-адмирал Фредерик Рогге (Frederick J. Roegge), командующий подводным флотом ВМС США в Тихом океане.
Continue reading

Новый алгоритм для проверки надёжности паролей

Многие сайты пытаются помочь пользователям установить более сложные пароли. Для этого устанавливают базовые правила, которые требуют обычно указать хотя бы одну прописную букву, одну строчную букву, одну цифру и так далее. Правила обычно примитивные вроде таких:

‘password’ => [
‘required’,
‘confirmed’,
‘min:8’,
‘regex:/^(?=S*[a-z])(?=S*[A-Z])(?=S*[d])S*$/’,
];

К сожалению, такие простые правила означают, что пароль Abcd1234 будет признан хорошим и качественным, так же как и Password1. С другой стороны, пароль mu-icac-of-jaz-doad не пройдёт валидацию.

Некоторые специалисты говорят, что это не лучший вариант.
Continue reading

Небезопасная сеть: ошибка планирования

29 октября 1969 года была осуществлена первая попытка связи между двумя удалёнными компьютерами.

Дэвид Д. Кларк, учёный из MIT, чья аура мудрости заслужила ему прозвище «Альбус Дамблдор», прекрасно помнит, когда он столкнулся с тёмной стороной интернета. Он вёл встречу инженеров-сетевиков, когда получил новость о распространении опасного компьютерного червя (первого широко распространившегося вируса).

Один из инженеров, работавших на ведущую компьютерную компанию, взял ответственность за ошибку в безопасности, которой воспользовался червь, на себя. Инженер изменившимся голосом произнёс: «Чёрт, я думал, что я исправил этот баг».

Но когда атака в ноябре 1988 начала выводить из строя тысячи компьютеров и счёт от её ущерба стал идти на миллионы, стало ясно, что проблема была не в ошибке одного человека. Червь использовал саму суть интернета,– быструю, открытую и беспрепятственную связь,- для переноса вредоносного кода по сетям, предназначенным для передачи безвредных файлов или электронных писем.

Десятки лет спустя на компьютерную безопасность потрачены миллионы – но угрозы с каждым годом только растут. Хакеры перешли от простых атак на компьютеры на угрозы реальному сектору – банкам, продавцам, государственным службам, голливудским студиям, а оттуда недалеко и до критических систем вроде дамб, электростанций и самолётов.

Задним умом такое развитие событий кажется неизбежным – но оно шокировало тех, кто подарил нам сеть в её нынешнем виде. Учёные, потратив годы на разработку интернета, не представляли, каким популярным и необходимым он станет. И уж никто не представлял, что он станет доступным почти всем для использования в полезных и вредных целях.

«Не то, чтобы мы не думали о безопасности,- вспоминает Кларк. – Мы знали, что существуют люди, которым нельзя верить, и мы считали, что сможем их исключить».

Это была серьёзная ошибка. Из онлайнового сообщества нескольких десятков исследователей интернет превратился в систему, к которой имеет доступ 3 миллиарда человек. Столько людей жило на всей планете году в 1960-м, в то время, когда мысли о создании компьютерной сети только начали появляться.

Разработчики сети фокусировались на технических проблемах и необходимости надёжной и быстрой передачи информации. Они предвидели, что сети необходимо защищать от потенциальных вторжений или военных угроз, но только не то, что интернет понадобиться защищать от самих же пользователей, которые в какой-то момент примутся атаковать друг друга.

«Мы не думали о том, как можно специально сломать систему,- говорит Винтон Серф [Vinton G. Cerf], опрятно выглядящий, но взволнованный вице-президент Google, который в 70-е и 80-е года занимался разработкой ключевых компонентов Сети. – Теперь, конечно, можно рассуждать о том, что это было необходимо – но задача запуска этой системы была нетривиальной сама по себе».

Люди, стоящие у истоков сети, поколение её основателей, с недовольством воспринимают заявления о том, что они могли как-то предотвратить её сегодняшнее небезопасное состояние. Будто бы проектировщики дорог в ответе за грабёж на дорогах, или архитекторы – за воровство в городах. Они утверждают, что онлайновые преступления и агрессия – проявления человеческой натуры, от которых никуда не деться, и техническими средствами защититься от них невозможно.
Continue reading

Хуан Андре Герреро-Сааде, «Лаборатория Касперского»: спецслужбы мстят специалистам по кибербезопасности

Старший исследователь Global Research and Analysis Team «Лаборатории Касперского» Хуан Андре Герреро-Сааде рассказал о том, что государственные службы преследуют специалистов по информационной безопасности, отстраняют их от закупок и в некоторых случаях депортируют в ответ на то, что исследователи выявляют атаки спецслужб.


Continue reading

Крупнейшая в Великобритании онлайн-аптека продавала персональные данные клиентов лотерейным мошенникам

Крупнейшую в Великобритании онлайн-аптеку оштрафовали на двести тысяч долларов за продажу персональных данных пациентов злоумышленникам, которые ищут больных и уязвимых жертв. Pharmacy2U продавала имена и адреса своих клиентов мошенникам, работающим под видом австралийской лотереи.
Continue reading