• Security Week 46: давайте что-нибудь обновим

      Рано или поздно это происходит: вы открываете на мобильном телефоне YouTube, но вместо пачки видеороликов получаете предложение срочно обновиться. Или наконец-то находите время поиграть в Playstation, но тут как раз прилетели апдейты, вы их полчаса качаете и устанавливаете, потом выключаете приставку. Или заходите в админку WordPress, чтобы написать гениальный пост, но пора обновлять и сам WordPress, и плагины.

      Сегодняшний выпуск — про апдейты операционной системы Android, патчи для двух плагинов в WordPress, короче, про то, чем придется заняться, если у вас есть смартфон или сайт. Апдейты для плагинов Wordpress интересны тем, что показывают, что будет, если все же не потратить время на обновление кода.
      Читать дальше →
    • Древности: ZX Spectrum, программы на кассетах и высокая чёткость

        Я приезжаю на родину, вытаскиваю из закромов пыльные коробки с добром, разбираю и думаю вот о чём. Моя история разделена прогрессом на две части: цифровую и аналоговую. С аналоговой все просто: что не потеряно за дюжину переездов, вот оно, на месте: фотографии, дневники, письма. С цифровой сложнее. Самые ранние цифровые документы у меня датируются примерно 2001 годом. И то, практически все оттуда утеряно, лишь пара случайных фоток сохранились на болванках CD-R. Более-менее надежно переписка, логи чатов, фотографии и музыка начинают храниться с 2003 года. Именно с этого момента при покупке нового жесткого диска мне больше не надо было продавать старый.

        Между тем первый персональный компьютер появился у меня в 1990 году. А примерно до 1996 года моим домашним компьютером был клон ZX Spectrum по имени АТМ Турбо. Потом долгое время был 386-й IBM PC. Из этого первого компьютерного десятилетия не сохранилось вообще ничего. Или так мне казалось, пока я, разбирая старые кассеты, не наткнулся на остатки коллекции спектрумовских программ. И стало мне интересно — а что там вообще? Прочитается ли? И главное, удастся ли что-нибудь вспомнить интересного про ту эпоху, которая все же была ну очень давно. Как будто и не со мной. В отличие от подборки софта 2002 года, сегодня — особый заплыв по волне моей памяти. Как если бы я отправлялся в город, где раньше бывал, но не потому, что он особо хорош или интересен.

        Просто хочется убедиться, что мне не показалось, и я действительно там был.
        Читать дальше →
      • Security Week 45: кое-что об уязвимостях в Bluetooth

          Пришло время исправить трехнедельную ошибку в нумерации дайджестов, заложенную в самом начале этого года. Поэтому сегодняшний выпуск — немного високосный, и посвящен он уязвимостям, затрагивающим интерфейс беспроводной связи Bluetooth. За последний год отмечено три значимых исследования этой темы, но даже самая широкомасштабная серия уязвимостей BlueBorne не вызвала такого резонанса, как, скажем, уязвимости HeartBleed.

          В совокупности эти исследования представляют особый интерес, так как речь идет о неожиданном векторе атаки, который в ряде случаев позволяет полностью обойти защиту локальной сети предприятия или системы безопасности клиентского устройства. Достаточно приблизиться к устройствам на относительно небольшое расстояние или же иметь хорошую антенну. Наиболее интересна в этом контексте самая свежая уязвимость, обнаруженная в оборудованных Bluetooth беспроводных точках доступа.
          Читать дальше →
        • С каждым годом корпоративный сектор привлекает все большее внимание злоумышленников. Конечно, основной фокус - на финансовом секторе, однако с развитием майнинга прямую прибыль злоумышленники могут извлечь из заражения компании, относящейся к любому другому профилю. Ниже мы собрали три знаковых истории, каждая из которых отражает определенную тенденцию.
          Подробности — под катом
        • Kaspersky Start Russia: конкурс проектов будущего

            Единственный способ защититься от новейших угроз — быть на шаг впереди злоумышленников. Поэтому мы объявляем Kaspersky Start Russia — конкурс для борцов с угрозами будущего. Мы предлагаем вам проанализировать, какие угрозы могут появиться в мире в ближайшие пять лет и придумать способы защиты от них. Мы ищем визионеров с опытом работы в IT-индустрии, готовых развивать и воплощать проекты будущего.

            image

            У вас есть перспективные идеи, но не хватает ресурсов, чтобы реализовать их? Тогда самое время подать заявку: лучшие из лучших получат не только денежный приз, но и шанс запустить свой проект на базе Инкубатора «Лаборатории Касперского».
            Читать дальше →
          • Security Week 41: Хорошие новости

              Вот уж чего в индустрии информационной безопасности достаточно, так это драмы. Новейшие средства взлома, грандиозные провалы в системах защиты программ и железок — или же полнейшее отсутствие этих самых систем. Ежедневная рутина спама с вредоносными довесками и фишингом, шифровальщики и прочая ерунда — эти не так интересны, как сложнейшие кибератаки, но с ними приходится иметь дело чаще всего.

              Выяснить, что к вашему роутеру не подходит пароль — это примерно как обнаружить сломанный замок во входной двери. И все же, хотя к киберугрозам и стоит относиться серьезно, реальная работа над безопасностью начинается в тот момент, когда все перестали махать руками и говорить непечатные слова и занялись делом. Обновили роутер, провели с сотрудниками тренинг на тему фишинга, установили защиту от шифровальщиков. Даже в момент, когда с ИБ все плохо, есть смысл представить, как должно быть хорошо, и не торопясь двигаться в сторону прекрасного будущего. Сегодня — дайджест хороших новостей: Google починила безопасность Android, Cisco починила Webex, Wordpress починил Wordpress.
              Читать дальше →
            • Древности: Ericsson T39 и ранний мобильный интернет

                Мобильный телефон Ericsson T39 появился в продаже в 2001 году, и это было то еще время. Тогда, если вам повезло, это мог быть ваш первый мобильный телефон. Мне повезло меньше, у меня был T20 — тоже с модным на тот момент флипом, в меру компактный, с единственным встроенным развлечением в виде игры Erix (была еще одна, но та была скучная). Как обычно компенсируя недостаток годных железок, лет пять назад я выписал из Италии бэу Ericsson T39m в полном комплекте. Сегодня расскажу про него.

                Мобильный телефон в начале двухтысячных (а если вы совсем мажор, то и в конце 90-х) — это была новая эпоха в стране, где было еще много артефактов эпохи старой, в которой даже стационарный телефон был доступен не всем. 17 лет спустя мобильные устройства изменились кардинально. У смартфона на Android и этого старого Эриксона вроде бы меньше общего, чем у современных ноутбуков и старых. Но на самом деле все обстоит ровно наоборот. Ericsson T39 — один из первых телефонов со встроенным интернетом. И совместимость у этой модели с современными сетями и софтом куда лучше, чем у старых компьютеров.
                Читать дальше →
              • CoLaboratory: Android Night #Apple



                  Всем привет!

                  Мы открываем серию Android-встреч в «Лаборатории Касперского». На первой встрече обсудим карьерные перспективы мобильного разработчика (куда развиваться «после»), кастомизируемость одного приложения внутри различных сборок и попробуем экспериментальный формат — круглый стол о психологии Android-разработчика.
                  Читать дальше →
                • Security Week 40: уязвимости в CMS Drupal и не только

                    На прошлой неделе разработчики CMS Drupal закрыли (новость, подробнее у них на сайте) сразу две критические уязвимости. Обе проблемы затрагивают Drupal версий 7.x и 8.x. Наиболее серьезная уязвимость была обнаружена во встроенной системе отправки e-mail (DefaultMailSystem::mail()). Можно задействовать ее таким образом, что при обработке сообщения появляется возможность выполнения произвольного кода. Виной тому, как обычно, отсутствие должной проверки ряда переменных.

                    Вторая уязвимость обнаружена в модуле Contextual Links — он позволяет модифицировать элементы веб-страниц без перехода в панель управления. Отсутствие проверки параметров, передаваемых при выполнении такого запроса, также может привести к выполнению кода. Правда, в отличие от первой уязвимости, эта эксплуатируется, только если атакующий уже имеет права на редактирование сайта.

                    Такие новости обычно не попадают в дайджест: ну нашли, ну закрыли, молодцы! Но как минимум раз в год стоит посмотреть на самые популярные системы управления сайтом и понять в перспективе, как там обстоят дела с безопасностью. Есть ли фрагментация версий CMS, похожая, например, на фрагментацию платформы Android? Так ли все плохо с безопасностью, как, например, в индустрии тех IoT-устройств, которые вроде и вовсе не IoT-устройства, а роутеры и камеры? Давайте посмотрим.
                    Читать дальше →
                  • Security Week 39: на смерть Google+

                      На прошлой неделе Google объявил (новость) о закрытии социальной сети Google+, но сделано это было достаточно необычно. Компания Google вообще не стесняется закрывать проекты, которые по разным причинам не взлетели. Многие до сих пор не могут простить компании отказа от поддержки сервиса Google Reader в 2013 году, через два года после запуска «гугл-плюс».

                      Впрочем, Google имеет право: если какой-то бизнес не состоялся, туда ему и дорога. Интересна причина закрытия. В случае Google Reader это была небольшая аудитория. В случае Picasa — желание сфокусироваться на новом продукте Google Photos. А вот Google+ закрыли из соображений безопасности, и это довольно свежий аргумент, который в отношении крупного сервиса, кажется, применяется впервые.
                      Читать дальше →
                    • Древности: Железо «Криптономикона»

                        «Криптономикон», без всяких скидок, моя любимая книга. Я ее прочитал тыщу раз, и в оригинале, и в переводе. Ровно два года назад я даже написал сочинение, задавшись целью объяснить, почему это такая крутая книга. Несмотря на высокий уровень достоверности происходящих в книге событий, это все же фантастическое произведение, но оно привязано к определенному временному периоду, который мне и сам по себе, без книги интересен. Нил Стивенсон не называет точные даты, но определить примерное время действия книги нетрудно. Уточню, речь идет о «современной» части сюжета, так как там есть и «несовременная».

                        С одной стороны таймлайн происходящих в «Криптономиконе» событий подпирается техническим прогрессом. С другой — политикой экономикой. В книге упоминается самое начало Азиатского финансового кризиса, который прекратил бурный рост экономик стран Азиатского региона. Кризис начался в середине 1997 года, затронув не только Азию, но и (через год) Россию. Без этого бурного роста высокотехнологичного бизнеса, описанного в книге, не существовало бы. Так уж вышло, что технологии примерно двадцатилетней давности представляют для меня особый интерес. В этом посте я попробую соединить «Криптономикон» с айти-реальностью, используя цитаты из книги, вырезки из журналов и немного веб-архива.
                        Читать дальше →
                      • Карьера новичка в «ЛК»: Семимильными шагами потихоньку расти вперед

                          Некоторые хабровчане считают, что сотрудников «Лаборатории Касперского» клонируют в секретных лабораториях или с детства воспитывают сами знаете где. Мы решили исследовать этот вопрос подробнее и отловили нескольких молодых коллег на предмет интервьюирования. Оказалось, что нет, это вполне живые люди и среди них попадаются крайне любопытные экземпляры. Вот, например, Никита Курганов — недавнее пополнение команды AMR (Anti-Malware Research) — энтузиаст-безопасник, пришедший в профессию прямо с четвертого курса Бауманки.



                          Меньше чем за год он из любителя соревнований типа capture the flag (CTF) стал профессиональным исследователем угроз и не планирует на этом останавливаться. Сейчас этот безумец (в хорошем смысле этого слова) сочетает учебу на дневном отделении университета с полноценной сорокачасовой рабочей неделей вирусного аналитика. Вот мы и решили поинтересоваться, как он докатился до жизни такой, — на случай если его опыт понадобится еще кому-то из здешних читателей. Кстати заголовок — цитата из Никиты. Так он ответил на вопрос «как вы видите дальнейшую карьеру».
                          Читать дальше →
                        • IoT Security Week 38: уязвимости в роутерах MikroTik, D-Link и TP-Link

                            Кажется, пора переименовывать дайджест. За прошедшую неделю вышло сразу три исследования про новые дыры в трех разных роутерах, еще одно — про уязвимость в умных телевизорах Sony, и еще — про безопасность роутеров в целом, в межгалактическом мировом масштабе. К счастью, есть что обсудить. К сожалению, защищенность устройств класса «вещи из Интернета», действительно достаточно низкая. К еще большему сожалению, не все исследования по безопасности IoT одинаково полезны. Попробуем разобраться, кто здесь кто.

                            Начнем с исследования про роутеры Mikrotik (новость, оригинальная публикация). С одной стороны, исследование компании Tenable Security достойное: был найден надежный способ получить права суперпользователя, вызвав ошибку переполнения буфера. С другой — этот способ хоть и действует удаленно, однако требует, чтобы атакующий уже был авторизован. А авторизацию можно получить, эксплуатируя предыдущую уязвимость, обнаруженную еще в апреле.
                            Читать дальше →
                          • Security Week 37: Facebook, Twitter и надувные баги

                              Околоайтишные маркетологи нынче любят обсуждать, что абсолютно любое сообщение о новом продукте, технологии или событии воспринимается лучше, если в нем присутствует блокчейн. Или машинообучаемые алгоритмы. Аналогичным образом, любое сообщение в сфере информационной безопасности становится более резонансным, если в нем упоминается социальная сеть Facebook. Информационная реальность, подогретая скандальчиком с приватностью данных пользователей, такова, что если в одном приложении разместить слова «фейсбук» и «уязвимость», они вступают в реакцию и вызывают неконтролируемый рост кликов.


                              Что ж, отдадимся же на волю этой непонятной химии и поговорим, что произошло в Фейсбуке на прошлой неделе. А заодно вспомним, что случилось на прошлой неделе у Твиттера. И в том случае, и в другом имели место микроскопические баги, самостоятельно обнаруженные специалистами компании, успешно закрытые с максимальным количеством предосторожностей, общественность была уведомлена. Но «проблему» Фейсбука обсуждает весь фейсбук, баг в Твиттере же почти никто не заметил. Как так? Сейчас разберемся.
                              Читать дальше →
                            • Теплые и ламповые: пять балалаек про технологии магнитной аудиозаписи

                                Окей, Хабр, в предыдущем посте я (намеренно) больше внимания уделил ностальгической рыдалке на тему аудиокассет, чем технической части. В этом посте исправляюсь. Аудиокассеты очень интересны тем, что историю этой технологии можно отследить от начала (1962 год) до конца (конец девяностых — начало двухтысячных). В более привычной нам цифровой вселенной пока мало аналогичных примеров. Восьмибитные компьютеры? Нет, принцип их жив и поныне в контроллерах и прочих Arduino. ЭЛТ-мониторы — вот благодатная тема про теплое-ламповое изображение, но стоит лишь один раз поднять скромный 17-дюймовый девайс, и сразу хочется приветствовать прогресс всеми руками, ногами и спиной.

                                Разве что голосовые модемы являются хорошим примером «закрытой» технологии. Чем такие технологии интересны, так это возможностью изучить все этапы развития. Вот начальная стадия, когда устройства стоят дорого, а их потребительские свойства далеки от идеала. Вот золотой век: технология становится массовой, в R&D вкладываются значительные средства, достигается наивысшее качество продукта, но только в самых дорогих экземплярах. Вот закат: уже есть технология посвежее, цены и маржа падают, продукция стремительно упрощается, падает надежность. А вот загробная жизнь: производятся только копеечные, самые простые устройства, минимально выполняющие заданную функцию, уныло и плоховато.

                                Если пытаться проводить (возможно неоправданные) параллели, то сейчас на пике своего «могущества» находится рынок смартфонов. Разнообразие огромное, маржа (у некоторых) приличная, есть топовые модели с диким ценником и не обязательными, но приятными элитными бонусами. Не исключено, что так будет не всегда, но есть ли замена смартфонам? И вот что: я не уверен, что дешевый телефон отличается от дорогого так радикально, как отличаются друг от друга дорогой и дешевый магнитофон. Поговорим же о трудностях записи на магнитную ленту или про сорок лет попыток справиться неискоренимой ущербностью формата.
                                Читать дальше →
                              • Security Week 36: Telnet должен быть закрыт

                                  Telnet — это очень старый протокол. Википедия сообщает, что он был разработан в 1969 году, много лет активно использовался для удаленного доступа к компьютерам и серверам, причем как под управлением Unix/Linux, так и для систем под Windows (telnet можно было включить в Windows NT и в Windows 2000). Та же Википедия сообщает, что использование Telnet постепенно сошло на нет в пользу более защищенного протокола SSH. Так и вышло, не считая миллионов автономных сетевых устройств — в основном роутеров и IP-камер, которые «отвечают» по этому протоколу, зачастую без ведома владельца.

                                  Две недели назад мы обсуждали уязвимости в роутерах Mikrotik. Но то уязвимость — все же есть что взламывать. Опубликованное на прошлой неделе исследование «Лаборатории Касперского» показывает, что большинство (три четверти) всех атак на IoT устройства — это атаки на протокол Telnet. Если ваше устройство отвечает по этому протоколу, тем более если он доступен из Интернета — подумайте, не пора ли это прекратить. Исключение только одно: если вы транслируете по Telnet «Звездные войны».
                                  Читать дальше →
                                • Security Week 35: зима близко, как собрать троян, угон Теслы

                                    Давно у нас не было дайджеста в жанре сборной солянки, давайте попробуем выступить в нем. Тем более, за неделю подобралось немало интересных, но совершенно разноплановых новостей. Начнем с новой модификации известной атаки типа cold boot, в которой применяется натуральная заморозка микросхем оперативной памяти.


                                    Оригинальная исследовательская работа по атакам этого типа была опубликована в 2008 году (вот PDF). Хотя считается, что при отключении питания данные из оперативной памяти мгновенно пропадают, это не совсем так. Даже при комнатной температуре и даже после удаления модуля памяти из материнской платы данные сохраняются в более-менее нетронутом виде несколько секунд.

                                    Если же модуль охладить, то данные можно сохранить еще дольше — для анализа на том же компьютере, либо можно вообще переставить модули в другую машину. Охлаждение до –50 градусов (простым баллончиком со сжатым воздухом) дает еще 10 минут сохранности данных. Жидкий азот и охлаждение до –196 градусов замораживают информацию на час. Из памяти можно похитить множество секретов, в ряде случаев — даже ключи шифрования данных.
                                    В ответ на исследование консорциум Trusted Computing Group внедрил систему принудительной перезаписи памяти при включении компьютера. Получается, как минимум ноутбуки с впаянными чипами RAM защищены от подобной атаки. На прошлой неделе стало понятно, что это не совсем так.
                                    Читать дальше →
                                    • +23
                                    • 5,1k
                                    • 4
                                  • Многомодульность в Android с точки зрения архитектуры. От А до Я

                                      Всем привет!

                                      Не так давно мы с вами осознали, что мобильное приложение — это не просто тонкий клиент, а это действительно большое количество самой разной логики, которое нуждается в упорядочивании. Именно поэтому мы прониклись идеями Clean architecture, прочувствовали, что такое DI, научились использовать Dagger 2, и теперь с закрытыми глазами способны разбить любую фичу на слои.

                                      Но мир не стоит на месте, и с решением старых проблем приходят новые. И имя этой новой проблемы — мономодульность. Обычно об этой проблеме узнаешь, когда время сборки улетает в космос. Именно так и начинаются многие доклады про переход на многомодульность (раз, два).
                                      Но почему-то все при этом как-то забывают, что мономодульность сильно бьет не только по времени сборки, но и по вашей архитектуре. Вот ответьте на вопросы. На сколько у вас AppComponent большой? Не встречаете ли вы периодически в коде, что фича А зачем-то дергает репозиторий фичи Б, хотя вроде такого быть не должно, ну или оно должно быть как-то более верхнеуровнево? Вообще у фичи есть какой-то контракт? А как вы организовываете общение между фичами? Есть какие-то правила?
                                      Вы чувствуете, что мы решили проблему со слоями, то есть вертикально все вроде хорошо, но вот горизонтально что-то идет не так? И просто разбиением на пакеты и контролем на ревью не решить проблему.

                                      И контрольный вопрос для более опытных. Когда вы переезжали на многомодульность, не приходилось ли вам перелопачивать половину приложения, вечно перетаскивать код с одного модуля в другой и жить с несобирающимся проектом приличный отрезок времени?

                                      В своей статье я хочу вам рассказать, как дошел до многомодульности именно с архитектурной точки зрения. Какие проблемы меня беспокоили, и как я их старался поэтапно решать. А в конце вас ждет алгоритм перехода с мономодульности на многомодульность без слез и боли.
                                      Читать дальше →
                                      • +23
                                      • 14,4k
                                      • 5
                                    • Древности: Аудиокассеты, которые мы не потеряли

                                        Лет через пять очередной бодрый стартап предложит прорывную технологию. Хитрые алгоритмы машинного обучения берут музыку и немного ее модифицируют, на пределе слышимости. Тут побольше баса, там поменьше высоких частот, или наоборот. Утверждается, что такие модификации уникальны для каждого пользователя, и основаны на его психологическом профиле. Сообщается, что небольшие изменения (музыканты протестуют: они портят звук!) полностью меняют отношение к песням, заставляют чувствовать особую привязанность, делают из просто музыки индивидуальное переживание.

                                        Ах да, в процессе прослушивания музыка продолжает меняться так, что услышав вариант, адаптированный для другого человека, пользователь смутно ощущает, что чего-то не хватает. Круто, да? Если увидите такую новость, обязательно сходите в комментарии и скажите, что стартап заново изобрел аудиокассету.

                                        Моя кассетная эпоха пришлась на детство и юность, и закончилась не так давно — в 2003 году. Или все же давно, достаточно, чтобы забыть почти все детали этого особого социального и технического экспириенса, кроме, пожалуй, того, что кассеты плохо звучали. Это не совсем так, скорее мы их плохо слушали. Но понял я это только в 2018 году, заново открыв для себя этот формат докомпьютерной эпохи, который, тем не менее, и в истории персональных компьютеров сыграл свою роль. Сегодня я отчитываюсь о том, каково это — пользоваться технологией, которая была самой популярной в мире, потом умерла, а сейчас восстает из мертвых.
                                        Читать дальше →
                                      • Security Week 34: для чего ломают роутеры

                                          Когда ваш компьютер заражают криптолокером, если ваши пароли украл троян и мошенники угнали почту, если фишингом увели данные кредитки и сняли деньги — это все ужасно, но хотя бы понятно, что произошло и как с этим бороться. Антивирусом вычистить гадость, восстановить данные из бэкапа (если он, конечно, есть), перевыпустить карту. Гораздо хуже, если за вами тихо, не привлекая внимания, в течение долгого времени следят.


                                          Обычно такая угроза актуальна для публичных персон, крупных компаний — в общем, в тех случаях, когда вы владеете реально ценной информацией. Или не только: кажется, киберпреступники среднего уровня тоже начинают пробовать играть в кибершпионаж. Исследователи из китайской команды 360 Netlab смогли идентифицировать как минимум 7500 роутеров Mikrotik, которые были взломаны и передавали проходящий через них трафик на серверы киберпреступников (новость). Учитывая, что это не единственная новость про атаки на роутеры вообще и Mikrotik в частности, сегодня попробуем разобраться, что произошло и что с этим делать.
                                          Читать дальше →

                                        Самое читаемое