Информационная безопасность *

Вчера в официальном блоге компании Google, посвященному информационной безопасности, был представлен новый проект компании под названием Wycheproof.

Мы рады объявить о запуске проекта Wycheproof — наборе тестов безопасности, которые проверяют криптографические библиотеки ПО на известные уязвимости. Мы разработали более 80 тестов для разных случаев, благодаря которым обнаружили более 40 ошибок безопасности. Например, мы обнаружили, что могли бы восстановить private-key DSA и ECDHC. Также мы добавили готовые к использованию инструменты для проверки Java Cryptography Architectire, который предлагают, например, Bouncy Castle или OpenJDK.

Глава компании InfoWatch Наталья Касперская в своей беседе с ТАСС заявила, что по ее мнению большие данные россиян должны быть признаны собственностью государства.

«Мое мнение, что эти данные должны являться собственностью государства, потому что пользователи этими данными не обладают. Пользователь отпустил их в информационное пространство, и утекло все, что он там написал. Значит, это не их принадлежность», — приводит слова Касперской информационное агентство.

К специалистам по информационной безопасности ресурса LeakedSource попала база данных аккаунтов пользователей сервисов компании Friend Finder Network Inc, о чем свидетельствует соответствующая запись в их блоге. Основным бизнесом FFN являются сайты для секс-знакомств, например, Adultfriendfinder.com, Cams.com и Penthouse.com. В общей сложности база состоит из почти 400 млн учетных записей. По словам экспертов, это крупнейшая утечка аккаунтов в 2016 году.

По утверждению аналитиков LeakedSource, большинство информации об учетных записях хранилось в открытом виде, либо было защищено при помощи алгоритма хэширования SHA-1. Как итог, около 99% данных было расшифровано.

По различным сообщениям американский хакер с никнеймом Jester взломал сайт российского МИД и оставил послание. По информации агентства «Интерфакс» со ссылкой на представителя МИД Марию Захарову, атаке подвергся старый сайт ведомства.

«Сайт МИД России, о взломе американским хакером которого сообщил CNN, работал и работает в штатном режиме. Речь идёт о старом сайте, который уже давно не эксплуатируется», — написала Захарова на своей странице в Facebook.

Компания Con Certeza ищет подрядчика для проведения исследования и реализации системы перехвата и дешифровки трафика таких мессенджеров как Skype, WhatsApp, Viber, Facebook Messenger и Telegram, сообщает «Коммерсантъ». Сама компания занимается разработкой технических систем и средств для обеспечения оперативно-розыскных мероприятий на сетях операторов связи.

В распоряжение издания попала переписка между представителем Con Certeza и одним из сотрудников компании в области информационной безопасности. Подлинность переписки подтвердил как «безопасник», так и его руководство. Представитель потенциального заказчика от комментариев отказался.

Исследователи CyberArk опросили 750 ИТ-компаний и разработчиков решений в сфере кибербезопасности по всему миру. География исследования обширна – США, Франция, Германия, Великобритания Израиль, Австралия, Новая Зеландия и Сингапур. По данным опроса, 40% организаций хранит пароли в документах Word и электронных таблицах. Речь идет не о простых, а о привилегированных и администраторских паролях. 28% для этой цели применяют USB-накопители или специально предназначенный для общего пользования сервер.

55% респондентов рассказали, что у них развернуты все необходимые процессы для управления привилегированными аккаунтами.

79% опрошенных заявили, что усвоили уроки недавних кибератак и приняли соответствующие меры:

Фото: nxrighthere

Минкомсвязи РФ подготовило предварительный текст поправок в закон «О связи», согласно которым ключевые элементы инфраструктуры российского сегмента интернета должны принадлежать государству. К сожалению, текст поправок пока отсутствует на портале regulation.gov.ru (вероятно, появится там в ближайшие дни), но в четверг его обсуждали на совещании у замминистра связи, о чём стало известно журналистам газеты «Ведомости».

Поправки предполагают, что в закон «О связи» введут понятие «критической инфраструктуры», которая должна быть под государственным контролем. К критической инфраструктуре предлагают отнести:

• национальную доменную зону и инфраструктуру для её обслуживания;
• систему точек обмена трафиком;
• информационную систему обеспечения целостности, устойчивости и безопасности функционирования российской части сети.

32-битные Short-ID окончательно дискредитированы

free@turing ~$ gpg --keyserver pgp.mit.edu --recv-keys 10000001

gpg: requesting key 10000001 from hkp server pgp.mit.edu
gpg: key 10000001: public key "Linus Torvalds" imported
gpg: key 10000001: public key "Linus Torvalds" imported
gpg: Total number processed: 2
gpg:            imported: 2  (RSA: 2)

Давно известно, что PGP уязвим к атакам на короткий идентификатор (short-ID). Относительно несложно сгенерировать пару совместимых с GnuPG 4096-битных RSA-ключей с заранее заданным коротким (32-битным) идентификатором short-ID, именем владельца и адресом электронной почты. Процедура поиска коллизии занимает буквально 10-20 минут на обычном компьютере, что демонстрировалось неоднократно. На современном GPU она занимает 4 секунды при использовании программы Scallion.

Раньше атака рассматривалась чисто теоретически, но с начиная с июня 2016 года разработчики начали сообщать о реальных случаях подделки их коротких идентификаторов — фальшивые ключи размещались на серверах криптографических ключей. А сейчас дело дошло до Линуса Торвальдса и ведущих разработчиков ядра Linux.

Специалисты по кибербезопасности Амстердамского свободного университета обнаружили новый механизм взлома облачной виртуальной машины. Механизм предусматривает несколько этапов. Для взлома используется небезызвестная технология Rowhammer.

Первый этап заключается в том, чтобы арендовать облачную виртуальную машину, или несколько машин, на одном хосте с жертвой.

Многие компании, работающие в ИТ-сфере, предлагают вознаграждение тем пользователям, которые смогли обнаружить какие-либо опасные баги в продукции этих компаний. За последние пять лет bug bounty программы ввели десятки, если не сотни компаний. Для них выгоднее прибегнуть к краудсорсингу, выплатив определённую сумму за найденную сторонним специалистом уязвимость, чем пропустить проблему и поплатиться утечкой данных и компрометацией своих серверов. В этом случае убытки могут быть огромными.

Все эти годы корпорация Apple отказывалась выплачивать вознаграждение тем пользователям, кто находил уязвимость в ее продукции и сообщал о проблеме. Сегодня все изменилось. Айван Крстич (Ivan Krstic), глава по инженерной безопасности и архитектуре Apple анонсировал на конференции Black Hat собственную bug bounty программу Apple. Максимальная сумма вознаграждения для специалистов, сообщивших об уязвимости, составит $200 000.

2 августа был взломан сайт FOSShub. Это бесплатный хостинг, на котором разработчики свободного и открытого ПО размещают свои приложения. Самые известные продукты, которые пользователи скачивают с FOSShub, – это Audacity и Classic Shell. Они набрали 25 миллионов и 15 миллионов загрузок соответственно.

После взлома сайт некоторое время распространял зараженные вирусом версии приложений. Злоумышленники модифицировали их исходный код и загрузили на сервер FOSShub. Установщики (для Windows) программ ClassicShell, qBittorent, Audacity и, возможно, некоторых других были заменены на троян, который затирает MBR, оставляя сообщение от хакерской группы PeggleCrew.

После установки зараженного софта и перезагрузки компьютера операционная система переставала загружаться.

Official #Telegram for MacOS logs every pasted message to syslog, even in secret chats. @durov what's going on? pic.twitter.com/MvbWguAkT0

— Kirill Firsov (@k_firsov) 23 июля 2016 г.

Кирилл Isis Фирсов, известный по поиску уязвимостей и багов в популярных веб-проектах, сообщил в своём твиттере об обнаружении интересной особенности в Telegram Messenger и получении реакции от Павла Дурова в стиле «фича, а не баг»: все сообщения, вставленные из буфера обмена, в том числе в секретных чатах, пишутся в лог на устройстве.

Павел Дуров ответил Кириллу в Twitter-переписке и сообщил, что данная проблема наблюдается только на Mac и именно в Telegram Messenger, а не Telegram Desktop. Также Павел сообщил, что приложения из AppStore могут только писать в syslog, однако прав на чтение они не имеют.

«Российским правительством был принят новый закон, который предписывает, что каждый провайдер обязан регистрировать весь российский интернет-трафик и хранить эту информацию сроком до года. Мы считаем, что из-за этого закона некоторые из наших российских серверов были захвачены властями РФ без каких-либо предварительных оповещений и в обход надлежащих правовых процедур», — сообщается на странице саппорта провайдера.

Благодаря тому, что компания не хранит логи на серверах, пользовательская информация скомпрометирована не была.

Опыт братьев по разуму

Не только Россия проводит чёткую политику по изоляции национального сегмента Сети с переносом иностранных серверов внутрь страны, лицензированием/запретом западных мессенджеров и т.д. По пути жёсткого государственного контроля коммуникаций идёт ещё ряд стран, в том числе Китай, Беларусь, Иран и некоторые другие.

Сегодня иранские власти объявили, что дают иностранным интернет-компаниям ровно 1 год, чтобы организовать обмен трафиком между иранскими пользователями строго внутри национальных границ. Формально это делается для защиты персональных данных иранцев, чтобы они не хранились «непонятно где» за пределами страны. Очень знакомая риторика.

Британский оператор Three решил на программном уровне интегрировать блокировку рекламы от Shine, доступ к которой автоматически получат почти 30 млн абонентов в рамках теста на 24 часа. Блокировщики рекламы стали особенно популярны в последние годы, что также подтверждает исследование аналитиков KPMG. Почти 44% взрослых жителей Великобритании собирается использовать блокировщики рекламы в течение ближайших шести месяцев.

Комиссар лондонской полиции советует не возмещать жертвам хакеров убытки



Устаревшее программное обеспечение во многих случаях является причиной взлома компьютеров частных лиц или организаций. В частности, это актуально для браузеров — устаревшие версии такого ПО уязвимы для атак хакеров. Именно поэтому британские банки и правительство предлагают отключать клиентов с устаревшей версией браузера от онлайн-банкинга.

В последнее время в Великобритании участились случаи взлома аккаунта клиентов банков, причем причина взлома — именно устаревшее ПО на клиентском ПК. Глава полиции Лондона даже посоветовал банкам не возмещать (или возмещать только частично) средства пострадавшим по своей вине клиентам. По его словам, возвращать таким клиентам средства — все равно, что «вознаграждать за плохое поведение», поскольку сами жертвы поленились обновить антивирусное ПО и установить надежный пароль.

Домены .ru и.рф сайтов злоумышленников будут разделегироваться


Фото: REUTERS/Wolfgang Rattay

Центр реагирования на компьютерные инциденты Ru-Cert запускает систему автоматического поиска фишинговых сайтов в доменных зонах .ru и.рф, пишут «Известия». Домены сайтов, уличенных в распространении опасного контента, будут разделегированы.

«Наша задача — не ждать, пока придет жалоба от пользователя, который уже пострадал, — зашел на поддельную страницу, например, Сбербанка и ввел там свои персональные данные, после чего номер его кредитки утек к мошенникам, — а пытаться самим такие страницы находить. Наша система анализирует некоторые параметры веб-страницы и пытается определить, является это фишингом или нет», — рассказал представитель Ru-Cert Дмитрий Ипполитов.

Сайты, вахтёры и охранники обязаны будут закачивать собранные данные на специальный портал

В России собираются создать особый портал по контролю за распространением персональных данных. Идею обсуждает рабочая группа в администрации президента, которую возглавляет советник президента России Игорь Щеголев, пишут «Известия».

Сейчас паспорт человека проверяют в различных учреждениях: общежитиях, бизнес-центрах, школах и т.д. Каждый охранник/вахтёр вносит информацию во внутреннюю документацию — табель, журнал посещений и проч. Такая разрозненность информации — большая проблема, поскольку с неструктурированными данными очень сложно работать. «В итоге эти данные появляются не пойми где», — объясняет президент Фонда информационной демократии Илья Массух.

Сайт в базой автовладельцев позволяет найти телефон и имя владельца автомобиля по номеру



В России произошла масштабная утечка данных автовладельцев. Этой информацией оперирует сайт autonum.info, позволяющий определить по номеру автомобиля имя автовладельца и его телефон, пишут «Ведомости». По мнению создателей сайта, информация, размещенная на ресурсе, позволит быстро созвониться с владельцем авто, которое мешает проезду, или сообщить автовладельцу об эвакуации его машины. Также на сайте сообщается, что база сформирована пользователями. Вряд ли это так, поскольку база данных автовладельцев очень велика, а домен сайта зарегистрирован всего полтора месяца назад.

Информация продолжает добавляться — только за один день на сайт было добавлено 5977 номеров. Общее количество номеров в базе не раскрывается. Нет и контактов для связи с создателями сайта (кроме контакта в Telegram). При выборочной проверке оказалось, что вероятность определения подлинных имен автовладельцев с номерами их телефонов составляет 70-80%. Опрошенные автолюбители, чьи данные удалось определить при помощи сервиса, утверждают, что информация о них была загружена третьей стороной, никаких данных о себе сами автовладельцы не оставляли.

В длинной эпопее с закрытием файлообменного сервиса Megaupload и бегством его хозяина Кима Доткома от американского правосудия в Новую Зеландию появился любопытный эпизод. Хостинговая компания Cogent, отвечавшая за хранения файлов MegaUpload, проинформировала федеральный суд Вирджинии о том, что восемь из шестнадцати жёстких дисков с «пиратскими файлами» оказались нечитаемыми. С момента ареста сервиса прошло уже пять лет, часть файлов ФБР успела скопировать на свои носители, а остальную часть архива Cogent обязана сохранять своими собственными силами. Данные не потеряны окончательно, но поскольку за всё время желающих получить доступ к файлам не нашлось, то хостер не хочет тратить своё время и деньги на поддержание работоспособности дисков.