Технологии безопасности

Сайт посвященный вопросам безопасности

Почему Apple не выдаёт полиции данные даже с телефона наркоторговца

В октябре 2015 года в окружном суде Восточного округа Нью-Йорка представители Apple объяснили, почему компания не будет разблокировать телефон Джана Фенга (Jun Feng), признавшего себя виновным в продаже наркотического вещества. Apple не просто выступает за сохранность информации своих клиентов, но даже выступает против выдачи информации наркоторговцев.


Continue reading

Исследователи нашли множество критических уязвимостей в платежных протоколах

Немецкие исследователи информационной безопасности Карстен Ноль (Karsten Nohl), dexter и Фабиан Браунляйн (Fabian Braunlein) на конференции Chaos Computing Club рассказали о критических уязвимостях платежных протоколов, которые могут быть использованы злоумышленниками для кражи данных банковских карт покупателей и денег со счетов продавцов. Continue reading

Как прослушивали советских граждан. Немного истории и современные реалии

О том, как работали спецслужбы в СССР, известно довольно много, хотя и не все. Тем не менее, достоверно известно, что в СССР существовала система прослушивания телефонов. Эта система была достаточно развернутой, прослушивали многих, пишет Cnews. Но насколько все это было эффективным?

Ответы даются на вопрос в недавно вышедшей в США книге Red Web. Конечно, стоит с определенной степенью осторожности относиться к такого рода литературе, но готовили книгу не дилетанты, а российские журналисты, хорошо знакомые с тематикой.
Continue reading

Сколько Google заплатила за потерянный домен google.com


Санмай Вед

29 сентября 2015 года хакер и бывшей гуглер Санмай Вед (Sanmay Ved) навёл шороху, когда умудрился купить домен Google.com на одну минуту. Домен оказался свободным через Google Domains по стандартной цене $12 в год.

Компания Google в течение минуты осознала свою ошибку и в течение минуты забрала обратно самый посещаемый домен в интернете. Сейчас стали известны подробности той истории, а именно — сумма выкупа (вознаграждения) хакеру.
Continue reading

Oracle прекращает выпуск браузерного плагина Java

К концу 2015 года разработчики ведущих браузеров или убрали поддержку встроенных плагинов, или анонсировали такие планы. Например, Mozilla собирается отказаться от поддержки плагинов NPAPI, потому что большинство их функций сейчас доступно через стандартные WebAPI. Chrome блокирует плагины NPAPI с апреля прошлого года. Браузер Edge тоже не поддерживает плагины. Таким образом, во всех ведущих браузерах скоро вообще не будет встроенной поддержки Flash, Silverlight, Java и др.

В связи с этим компания Oracle объявила, что начиная с версии JDK 9 прекратит выпуск браузерного плагина Java. Он будет удалён из Oracle JDK и JRE в будущем релизе Java SE.

Вполне логично: если плагин не поддерживается браузерами, то зачем его разрабатывать?
Continue reading

«Почему всем можно, а мне нельзя?» или реверсим API и получаем данные с eToken

Привет!

Однажды, у нас на предприятии встала задача о повышении уровня безопасности при передаче ОЧЕНЬ ВАЖНЫХ ФАЙЛОВ. В общем, слово за слово, и пришли мы к выводу, что передавать надо с помощью scp, а закрытый ключ сертификата для авторизации хранить на брелке типа eToken, благо их у нас накопилось определенное количество.

Идея показалась неплохой, но как это реализовать? Тут я вспомнил, как однажды в бухгалтерии не работал банк-клиент, ругаясь на отсутствие библиотеки с говорящим именем etsdk.dll, меня охватило любопытство и я полез ее ковырять.

Вообще, компания-разработчик на своем сайте распространяет SDK, но для этого надо пройти регистрацию как компания-разработчик ПО, а это явно не я. На просторах интернета документацию найти не удалось, но любопытство одержало верх и я решил разобраться во всём сам. Библиотека – вот она, время есть, кто меня остановит?
Continue reading

Служба поддержки клиентов, бэкдор от Amazon

Мог бы сознательный пользователь в вопросах безопасности, использующий лучшие практики — уникальные пароли, двухфакторную авторизацию, использование только своего надежного компьютера для входа и способность определять фишинговые сайты за милю — находиться в полной уверенности, что его счетам и персональным данным ничего не угрожает? Увы, нет.

Continue reading

EFF: доступ к координатам сотовых телефонов без ордера нарушает Конституцию

Как известно, правоохранительные органы разных стран имеют постоянный доступ к коммутаторам операторов сотовой связи. Они могут отслеживать, в какой соте зарегистрирован любой телефон, определяя его координаты с точностью до нескольких десятков метров. Полиция и спецслужбы постоянно пользуются возможностями: такая слежка происходит не только в России, но и в США.

Однако юристы Фонда электронных рубежей (EFF) считают, что слежение за телефонами является незаконным, а именно — нарушает Конституцию. В пятницу EFF совместно с Американским союзом гражданских свобод (ACLU) подали заявление в Апелляционный суд седьмого округа США в Чикаго, где выразили свою позицию. Информация о координатах мобильного телефона в известное время и дату создаёт исчерпывающую картину передвижений человека. «Поскольку мы постоянно носим с собой телефоны, эти данные могут раскрыть исключительно личную информацию, например, о посещении врача, политического митинга или встрече с другом.

Граждане имеют право ожидать, что такая информация остаётся конфиденциальной и недоступна для сотрудников полиции, пока они не получили судебный ордер.
Continue reading

А вы задумывались о безопасности… автомобиля?

В последнее время автомобили все больше и больше походят на большие гаджеты на колесах, однако во времена, когда впервые создавалась бортовая сеть, никто не считал необходимым думать об информационной безопасности. Результаты этого налицо: многие видели ролик, в котором управление джипом было захвачено дистанционно и водитель вместе со своим железным конем были направлены прямиком в кювет.

Continue reading

Что не так с безопасностью в интернете вещей: Как Shodan стал «поисковиком спящих детей»

Знаменитый поисковый сервис Shodan не так давно запустил раздел, позволяющий пользователям просматривать изображения с уязвимых подключенных к интернету веб-камер. За короткое время работы в кадр уже попали плантации конопли, задние дворы банков, детские спальни, кухни, гостиные, бассейны, школы и колледжи, лаборатории, магазины.

Shodan ищет подключенные к сети устройства с открытыми портами. Если подключиться к порту можно без пароля и он транслирует видео, то робот делает скриншот и двигается дальше. Помимо вопросов о правомерности подобных действий со стороны администрации Shodan, новый раздел проекта подчеркивает сегодняшний уровень безопасности интернета вещей. Continue reading