Технологии безопасности

Сайт посвященный вопросам безопасности

Злоумышленники становятся все изобретательнее в создании скиммеров


Источник: krebsonsecurity.com

Скиммеры в виде накладок на терминалы становятся все популярнее. Поскольку в ряде стран, включая США, распространены терминалы Ingenico, то создатели накладных скиммеров больше всего внимания уделяют именно таким аппаратам. Несмотря на то, что специалисты по информационным технологиям стараются рассказывать об этой проблеме и опасности, которую она представляет, скиммеров не становится меньше. На днях Брайан Креббс показал новые фотографии этих устройств. Фотографии (не лучшего качества) ему прислали представители ряда американских ритейлеров, в торговых точках которых были установлены накладки на терминалы.

Одна такая модель — скиммер с беспроводным модулем связи Bluetooth. Он предназначен для кражи данных пользователя карты при ее задействовании в терминале. Скиммер, в частности, записывает PIN и передает его по Bluetooth на подключенное устройство, которое должно находиться в радиусе 30 метров от скомпрометированного терминала.
Continue reading

Интернет по всему миру — страны с самым быстрым интернетом в Европе


Румынская кошка Питцуш, звезда Instagram

Скорость и доступность интернета ассоциируются не только с демократическими свободами и развитостью высоких технологий в стране, но и с общим высоким уровнем жизни общества. И это совсем не случайно, ведь такие лидеры скорости интернета, как Южная Корея, Япония и Сингапур, лишь закрепляют этот стереотип. Но всё становится не столь однозначно, когда сталкиваешься с высокими показателями в Европе. Стереотипы рушатся, некоторые социальные явления и вовсе не поддаются логике, а существование быстрого интернета в ряде стран и вовсе кажется необъяснимым.
Continue reading

Безопасность в IoT: Обеспечение безопасности развертывания Azure IoT

Представляем вашему вниманию последнюю статью из цикла «Безопасность в IoT», а также приглашаем принять участие в конференции от Microsoft «Бизнес.IoT: открывая интернет вещей». В этой статье детально рассматриваются средства обеспечения безопасности IoT-инфраструктуры на базе Azure IoT и описывается уровень реализации в процессе настройки и развертывания отдельных компонентов. Представлен также сравнительный анализ различных методик.


Continue reading

Линус Торвальс высказался о коллизиях SHA-1 в репозиториях Git: бояться нечего

Несколько дней назад сотрудники компании Google и Центра математики и информатики в Амстердаме представили первый алгоритм генерации коллизий для SHA-1. За десять лет существования SHA-1 не было известно ни об одном практическом способе генерировать документы с таким же хешем SHA-1 и цифровой подписью, как в другом документе, но теперь такая возможность появилась.

Хеш-функция SHA-1 используется повсеместно, поэтому известие о генерации документов с идентичным хешей вызвало естественную обеспокоенность у пользователей. В том числе у пользователей системы управления версиями Git, в которой тоже используются хеши SHA-1. Развёрнутый ответ на эти опасения дал Линус Торвальс. Если вкратце, то бояться нечего.
Continue reading

Amazon отказывается предоставить властям данные с серверов Alexa в рамках расследования убийства полицейского

Компания Amazon стала участником дела об убийстве. Точнее, сама корпорация ни при чем, но правоохранительные органы считают, что на ее серверах содержится важная информация по делу от 2015 года об убийстве полицейского, собранная Alexa Voice Service. Речь идет об аудиофайлах, которые были переданы одним из устройств Echo в облако. Сейчас эти данные требуют для анализа правоохранители. Но юристы компании утверждают, что данные, записанные Amazon Echo поблизости от места убийства защищены Первой поправкой.

Представители Amazon также заявляют, что деятельность правоохранителей может негативно повлиять на рынок управляемых голосом устройств, включая различные модели Echo и схожие гаджеты других производителей. По мнению компании, полиция, требуя доступа к информации, которая хранится на серверах Amazon, должна предоставить доказательства в том, что эти данные необходимы для раскрытия убийства, показав, что все другие возможности уже исчерпаны: «Для того, чтобы избежать негативного эффекта, суд должен требовать у региональных правоохранительных органов доказательств, что записи, созданные при помощи устройства Echo, действительно необходимы».
Continue reading

Функциональная безопасность, часть 5 из 5. Жизненный цикл информационной и функциональной безопасности


Источник

По данным IoT Analytics в 2016 году больше всего проектов (22% от общего количества), связанных с применением интернета вещей, было реализовано для промышленных объектов. Это подтверждает развитие и распространение технологий заявленных в доктрине Industry 4.0.

Таким образом, на наших глазах возник новый класс кибер-физических систем, получивший название Industrial Internet Control Systems (IICS) или Industrial Internet of Things (IIoT).
Из названия понятно, что такие системы являются гибридом технологий, применяемых в АСУ ТП и в системах на базе интернета вещей. Соответственно в таких системах необходимо учитывать все риски, связанные с нарушением свойств информационной (security) и функциональной безопасности (safety).

Данная статья продолжает цикл публикаций по функциональной безопасности. В ней рассмотрены требования к организации жизненного цикла систем управления (АСУ ТП, встроенные системы, интернет вещей). Предложена единая структура процессов, поддерживающих выполнение требований как к информационной, так и к функциональной безопасности.
Continue reading

Security Week 08: SHA-1 точно всё, уязвимости в роутерах TP-Link, кроссплатформенный ботнет с кодом Mirai

Британские ученые доказали, что алгоритму криптографического хеширования SHA-1 точно настал конец. Как-то так вышло, что этой истории я кажется посвятил наибольшее количество упоминаний в дайджестах, возможно из-за того, что с криптографией не шутят: она либо работает, либо нет. Напомню, о чем идет речь: в конце 2015 года команда исследователей из университетов Голландии, Сингапура и Франции опубликовала доклад, в котором поделилась новыми идеями оптимизации алгоритма поиска коллизий при использовании SHA-1. По той оценке реальную атаку можно было провести примерно за 49 дней, потратив на облачные вычислительные мощности около 75000 долларов.

Коллизия — это когда два разных объекта имеют один хеш. Если алгоритм SHA-1 используется для идентификации объекта, то появляется возможность «подсунуть» иной объект так, что «по документам» он будет идентичен оригиналу. И речь идет даже не о взломе шифрованной переписки, хотя SHA-1 по-прежнему довольно активно используется в криптографии. «Объекты» могут быть документами, сертификатами для идентификации определенного сервера: подмена в данном случае открывает широкий простор для кибератак.

Но этот простор — теоретический: подтвердить уязвимость на практике стоит дорого. На этой неделе команда исследователей из Google и голландского CWI Institute сообщили, что они, таки да, смогли (новость, минисайт проекта).
Continue reading

CDN-провайдер Cloudflare внедрял содержимое памяти своего сервера в код произвольных веб-страниц

Специалисты по безопасности из Google обнаружили неприятный баг, чем-то похожий на приснопамятную уязвимость Heartbleed в OpenSSL. Она тоже выдаёт любому желающему криптографические ключи пользователей, а также куки, пароли, содержимое POST-запросов с личными данными, кредитные карты, ключи API и другое содержимое чужих сессий.

Здесь уязвимость ограничена всего одним сервис-провайдером, пусть и таким крупным как Cloudflare. Но в определённом смысле этот баг Cloudbleed хуже, чем Heartbleed, потому что утечка данных происходит спонтанно. Эти страницы рутинно скачиваются краулерами, индексируются поисковыми системами, до сих пор хранятся в архивах веб-страниц и в кэше Google.

Cloudflare является посредником между хостером сайта и посетителями сайта, выполняя роль обратного прокси для веб-сайтов. Из-за ошибки программиста системы Cloudflare на Nginx с сентября 2016 года внедряли случайные фрагменты оперативной памяти своего сервера в содержимое веб-страниц, которое выдавалось всем пользователям.
Continue reading

Первый способ генерации коллизий для SHA-1

Коллизии существуют для большинства хеш-функций, но для самых хороших из них количество коллизий близко к теоретическому минимуму. Например, за десять лет с момента изобретения SHA-1 не было известно ни об одном практическом способе генерации коллизий. Теперь такой есть. Сегодня первый алгоритм генерации коллизий для SHA-1 представили сотрудники компании Google и Центра математики и информатики в Амстердаме.

Вот доказательство: два документа PDF с разным содержимым, но одинаковыми цифровыми подписями SHA-1.

https://shattered.it/static/shattered-1.pdf
https://shattered.it/static/shattered-2.pdf

Continue reading

В китайской провинции Синьцзян каждый автомобиль оснастят системой спутникового слежения

Администрация одной из крупнейших провинций Китая, Синьцзян (Синьцзян-Уйгурский автономный район) планирует обязать автолюбителей и коммерческие предприятия, владеющие автомобилями, устанавливать на свои транспортные средства следящее устройство. Это датчик, отслеживаемый при помощи спутника. C его помощью власти смогут отслеживать информацию о местоположении автомобиля в режиме реального времени. Делается это, по словам чиновников, для противодействия терроризму.

В этом регионе сильно влияние сторонников отделения провинции от Китая, за что особенно активно выступают местные исламисты. Провинция Синьцзян граничит с Афганистаном, Пакистаном и еще несколькими государствами Центральной Азии. Власти опасаются терактов, поэтому и приняли решение об отслеживании местоположения каждого автомобиля в регионе. Что касается спутниковой системы, то это не американская GPS, а разработанная китайцами собственная система глобального позиционирования Бэйдоу (Beidou). Она была создана по распоряжению китайского правительства, для снижения зависимости страны от разработок других стран, в частности, США.
Continue reading