Pull to refresh

Семь стран потребовали от IT-компаний закладывать бэкдоры в шифрование данных

Information Security *Legislation in IT IT-companies
imageФото: www.eff.org

Представители альянса Five Eyes, в том числе Австралия, Канада, Новая Зеландия, Великобритания и США призвали технологические компании предусматривать лазейки в шифровании данных, чтобы облегчить работу правоохранительным органам и спецслужбам. Требование поддержали также Япония и Индия.
Читать дальше →
Total votes 25: ↑24 and ↓1 +23
Views 13K
Comments 84

Reuters: бэкдорами АНБ в продуктах Juniper пользовались другие государства

Information Security *Legislation in IT
image

По информации Reuters, иностранное государство смогло как минимум один раз воспользоваться бэкдором в продукции Juniper Networks Inc, который был предусмотрен по соглашению с американским Агентством по нацбезопасности. О том, что оборудование было взломано, сообщалось еще в 2015 году.
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 6.9K
Comments 30

ФБР США взламывает заражённые компьютеры, чтобы удалить бэкдоры

Information Security *Legislation in IT

Суд в Хьюстоне санкционировал операцию ФБР по «копированию и удалению» бэкдоров с почтовых серверов Microsoft Exchange в США. Операцию минюст назвал успешной. 

Читать далее
Total votes 19: ↑18 and ↓1 +17
Views 6.4K
Comments 6

Ошибка в колонках Google Home позволяла хакерам подслушивать разговоры

Information Security *Gadgets Smart House

Ошибка в умных колонках Google Home позволяла злоумышленникам установить бэкдор-аккаунт, который можно было использовать для удалённого управления и превращения её в устройство для слежения за доступом к каналу микрофона.

Читать далее
Total votes 2: ↑2 and ↓0 +2
Views 1K
Comments 2

В штатовской военной микросхеме китайского производства обнаружили запароленный «чёрный ход»

Information Security *
Прочёл на сайте журнала «Хакер» две статьи:


В первой статье пишут: исследователям удалось обнаружить в китайском чипе FPGA бэкдор, размещённый производителем и способный снять криптографическую защиту с микросхемы, поменять ключ AES, получить доступ к нешифрованным данным, вывести чип из строя. Удалось узнать и секретный ключ, которым активировался бэкдор. И пишут, что этот чип широко используется в военных системах (включая вооружение), на атомных станциях, на транспорте.

Во второй статье пишут: такие бэкдоры — обычное дело, создаются для отладки аппаратного обеспéчения; часть производителей перед выпуском оборудования удаляет бэкдор, а другая часть оставляет, просто запароливая тайным ключом.

Советую и вам также прочесть ту и другую статью, сделать выводы.
Total votes 102: ↑72 and ↓30 +42
Views 6.7K
Comments 50

Бэкдор в роутерах TP-LINK

Information Security *
Польский security-эксперт Michał Sajdak из компании Securitum нашел очень интересный бэкдор в роутерах TP-LINK.

Эксплуатация бэкдора довольна проста, и её суть показана на следующей иллюстрации:


Читать дальше →
Total votes 84: ↑80 and ↓4 +76
Views 194K
Comments 70

Правительство США предало интернет. Нам надо вернуть его в свои руки

Information Security *Cryptography *
Translation
imageОт переводчика: Брюс Шнайер, специалист мирового уровня по криптографии и информационной безопасности, а так же активный блогер и писатель, опубликовал эту статью в The Guardian после того, как стало известно, насколько плохо на самом деле обстоят дела с безопасностью криптографических технологий, и какую роль в их плачевном состоянии сыграло АНБ.

Неделю назад я перевёл статью Лионеля Дрико "Первая мировая гражданская война" из блога Рикарда Фальквинге, основателя Пиратской партии Швеции, статью эмоциональную и, возможно, слишком резкую. В отличие от пламенных пропагандистов Пиратской партии, Брюс Шнайер всегда был более сдержан и спокоен в оценках, как и подобает авторитетному инженеру и учёному. Но сейчас, похоже, терпение кончилось и у него.




Правительство и крупный бизнес предали интернет и нас с вами.

Извратив интернет на всех его уровнях, превратив его в инструмент тотальной слежки, АНБ нарушило фундаментальный общественный договор. Мы больше не можем доверять компаниям, которые создают инфраструктуру интернета и управляют ей, которые создают и продают нам железо и софт, хранят наши данные, мы не верим в то, что они честно служат интернету.

Это не тот интернет, который нужен миру, или который был задуман его создателями. Мы должны вернуть его себе. И говоря «мы», я имею в виду сообщество инженеров и программистов.

Да, в первую очередь это политическая проблема, которая требует политического решения. Но в то же время это и техническая проблема, и есть несколько вещей, которые инженеры могут — и должны — сделать.
Читать дальше →
Total votes 231: ↑219 and ↓12 +207
Views 82K
Comments 191

Шпионские гаджеты от АНБ

Information Security *
imageСреди документов опубликованных Эдвардом Сноуденом, бывшим сотрудником ЦРУ и Агентства национальной безопасности США, были обнаружены материалы описывающие некоторые детали технологий шпионажа используемых АНБ. Список программных и аппаратных средств оформлен в виде небольшого каталога. Всего сорок восемь страниц отмеченных грифами «Секретно» и «Совершенно секретно», на которых дано краткое описание той или иной технологии для слежки. Данный список не является исчерпывающим. Представлены техники связанные с получением скрытого доступа к вычислительной технике и сетям, а также способы и устройства радиоэлектронной разведки связанные с мобильной связью и оборудование для наблюдения. В этой статье я расскажу об этих методах шпионажа, далее будет четыре дюжины слайдов(осторожно, трафик).
Узнать больше
Total votes 256: ↑251 and ↓5 +246
Views 390K
Comments 222

Критическая уязвимость в компьютерах Dell позволяет хакерам получать доступ практически к любым данным: Как защититься

Positive Technologies corporate blog Information Security *


22 ноября 2015 года в сеть попала информация о критической уязвимости, которой подвержен целый ряд продуктов компании Dell (вот упоминание о ней на Хабре). Первым на ошибку обратил внимание программист Джо Норд, который описал ее в своем блоге. Разработчик сообщил, что приобрел ноутбук Dell Inspiron 5000, на котором был предустановлен корневой сертификат безопасности под названием eDellRoot

Проблема заключается в том, что закрытый ключ этого корневого сертификата хранится на самом компьютере, что открывает злоумышленникам широкие возможности по проведению атак типа «человек посередине» (man in the middle).
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 13K
Comments 17

Security Week 50: DDoS корневых DNS-серверов, жизнь APT Sofacy, много криптографии

«Лаборатория Касперского» corporate blog Information Security *
Серьезные перемены происходят ровно в тот момент, когда процент желающих что-то изменить превышает определенную критическую отметку. Нет, я сейчас не про политику, чур меня и свят-свят, а про IT в целом и IT-безопасность. И хотят в общем-то все разного: компании — чтобы не DDoS-или и не ломали, пользователи — чтобы не крали пароли и не угоняли аккаунты, security-вендоры — нового отношения к безопасности у всех заинтересованных лиц, регуляторы — ну понятно, хотят регулировать.

Вот краткая выжимка предсказаний наших экспертов на будущий год: эволюция APT (меньше технологий, больше массовости и вообще снижение издержек), атаки на новые финансовые инструменты а-ля ApplePay и фондовые биржи — поближе к местам высокой концентрации цифровых дензнаков, атаки на самих ИБ-исследователей через применяемые ими инструменты, взлом компаний ради чистого ущерба репутации (а.к.а. вывешивание грязного белья), дефицит доверия любым IT-инструментам (взломать могут все, что угодно), включая доверенные сертификаты, ботнеты из маршрутизаторов и прочих IoT, масштабный кризис криптографии.

В предсказаниях этого года нет ни единого пункта «на вырост», ни одного маловероятного сценария развития. Ну разве что к таковым можно отнести атаки на управляемые компьютером автомобили, да и то речь идет о взломе инфраструктуры, от которой они зависят — сотовых и спутниковых сетей. Все это, в той или иной степени, сбудется, проблема в том, что как-то не хочется. По возможности хотелось бы этого всего избежать. А если хочется не только нам, но и вообще всем (пусть и по-разному), то может ли 2016-й также стать годом прогресса в коллективной IT-безопасности? Я ни разу не эксперт, но хочется верить, что да. Переходим к новостям недели. Предыдущие выпуски доступны по тегу.
Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 8.3K
Comments 7

Универсальный инструмент для установки бэкдоров: Что не так с системными обновлениями

Латера Софтвер corporate blog Information Security *Website development *


В нашем блоге на Хабре мы не только рассказываем о развитии своего продукта — биллинга для операторов связи «Гидра», но и публикуем материалы о работе с инфраструктурой и использовании технологий.

Немецкий журналист и хакер Ляйф Риге (Leif Ryge) написал для издания Ars Technica интересный материал о том, что современный подход к организации обновлений программного обеспечениях несет в себе серьезные риски информационной безопасности. Мы представляем вашему вниманию главные мысли этой заметки.
Читать дальше →
Total votes 20: ↑18 and ↓2 +16
Views 18K
Comments 19

Intel ME. Как избежать восстания машин?

Digital Security corporate blog Information Security *System Programming *Reverse engineering *


В прошлый раз мы рассказали об Intel Management Engine (ME) — подсистеме, которая встроена во все современные компьютерные платформы (десктопы, лэптопы, серверы, планшеты) с чипсетами компании Intel. Эта технология многими воспринимается как аппаратная «закладка», и на то есть причины. Достаточно сказать, что Intel ME является единственной средой исполнения, которая:
  • работает даже тогда, когда компьютер выключен (но электропитание подаётся);
  • имеет доступ ко всему содержимому оперативной памяти компьютера;
  • имеет внеполосный доступ к сетевому интерфейсу.


Ошарашенный присутствием такого компонента в компьютере, пользователь (получается, что именно «пользователь», а не «владелец») наверняка задавался вопросом: можно ли выключить Intel ME?

Эта статья целиком посвящена этому вопросу.

Читать дальше →
Total votes 49: ↑48 and ↓1 +47
Views 150K
Comments 56

Спецслужбы и не только: как защитить свое приложение от бэкдоров

Positive Technologies corporate blog Information Security *Cryptography *


Изображение: EFF-Graphics [CC BY 3.0]

Глава службы Общей разведки и безопасности Нидерландов Роб Бертоли (Rob Bertholee) в интервью местной газете De Volkskrant заявил о том, что разработчики защищенных приложений — в частности, мессенджеров — должны облегчить спецслужбам доступ к данным пользователей, если это необходимо для расследований.

Главный голландский разведчик сказал, что защищенными мессенджерами вроде Telegram, WhatsApp и Signal пользуются террористы, что затрудняет для спецслужб перехват их коммуникаций и, как следствие, предотвращение атак.
Читать дальше →
Total votes 23: ↑14 and ↓9 +5
Views 8.7K
Comments 6

Security Week 52: Telegram и крысиный король, очередные майнеры, масштабный брутфорс Wordpress

«Лаборатория Касперского» corporate blog Information Security *
Новость на русском, подробнее на английском

Обнаружен новый зловред, причисляемый к семейству Remote Access Trojan, который нашедшие его специалисты назвали Telegram-RAT. От аналогичного ему крысиного поголовья он отличается тем, что активно использует публичные облачные сервисы: API для ботов Telegram в качестве HTTPS-канала связи и Dropbox для хранения боевой нагрузки.
Читать дальше →
Total votes 14: ↑10 and ↓4 +6
Views 14K
Comments 5

Крупнейшие технологические компании США просят Барака Обаму разрешить им не встраивать бэкдоры в своё программное обеспечение

Information Security *
imageБолее 140 компаний, включая таких гигантов как Apple, Google и Facebook, совместно с рядом известных мировых специалистов по криптографии направили своё коллективное письмо к Бараку Обаме. В нём речь идёт о порочной, по мнению авторов письма, практике, согласно которой государственные органы смогут получать доступ к зашифрованным данным конечных пользователей благодаря специальным лазейкам, которые будет вынужден оставить производитель. На письмо обратили внимание и журналисты Washington Post.
Узнать подробности
Total votes 19: ↑17 and ↓2 +15
Views 14K
Comments 7

ФБР хочет бэкдоры, но так, чтобы они не назывались бэкдорами

Information Security *
Директор ФБР Джеймс Коми в своём докладе юридическому комитету Сената США рассказал сенаторам, что он лично общался с руководителями технологических компаний, убеждая их в том, что бюро необходим доступ к шифрованной электронной переписке с целью противодействия терроризму. По словам Коми, все его собеседники согласились с ним. Таким образом ФБР продолжает настаивать на необходимости иметь бэкдоры в программном обеспечении, используемом для связи в интернете, но просто они не должны называться этим словом — «бэкдоры».
Узнать подробности
Total votes 13: ↑12 and ↓1 +11
Views 13K
Comments 16

Secure Data Act 2018 – в США планируют запретить бэкдоры в устройствах [опять]

1cloud.ru corporate blog Information Security *Cryptography *Legislation in IT IT-companies
В середине мая члены Конгресса США представили законопроект, который получил название Secure Data Act 2018. Он запретит правительству и государственным структурам требовать от производителей технических устройств встраивать в свои продукты бэкдоры. Принуждения нельзя будет добиться даже через суд.

Подробнее о законопроекте и реакции сообщества расскажем далее.

Читать дальше →
Total votes 23: ↑22 and ↓1 +21
Views 8.4K
Comments 12

Security Week 27: Поддельный айфон и цена безопасности

«Лаборатория Касперского» corporate blog Information Security *
19 июля издание Motherboard опубликовало интересный лонгрид про поддельный айфон стоимостью в сто долларов. Android-смартфон, мимикрирующий под iPhone X, был приобретен в Китае; он из тех, что и у нас редко попадаются, а на Западе вообще неизвестны — целевая аудитория не та. Подделка не то чтобы качественная, но старательная, начиная с коробки и заканчивая иконками. Сфотографированный в темноте, телефон и правда можно спутать с оригиналом.

Естественно, когда начинаешь его использовать, все становится ясно. Телефон не очень быстр, из-под Apple-подобного интерфейса выскакивают сообщения о том, что «сервисы Google прекратили работу». Копия продвинутой системы распознавания лиц разблокирует смартфон от любого лица и похожего на лицо предмета, а скругленные края дисплея и площадка с сенсорами и динамиком эмулируются (!) программно. Журналисты Motherboard обратились к специалистам с просьбой оценить безопасность смартфона, и те нашли там, если переводить буквально, какую-то «дичь». Спойлер: никакой дичи там нет, просто много безответственного кода, показывающего, что в дешевом смартфоне данные пользователя тоже защищены на три копейки.
Total votes 29: ↑25 and ↓4 +21
Views 8.5K
Comments 20

Security Week 31: Пятьдесят оттенков небезопасности в Android

«Лаборатория Касперского» corporate blog Information Security *
Давно мы что-то не писали про безопасность Android. В целом ситуация там вроде бы неплохая: таких серьезных проблем, как трехлетней давности баг Stagefright, пока не находили. С 2016 года развивается программа Android One, в которой устройства среднего уровня получают единую версию ОС и, соответственно, максимально быструю доставку обновлений безопасности. Скорость доставки апдейтов до традиционных вендоров тоже, по данным Google, ускорилась.

Но не то чтобы стало совсем хорошо. Недавно мы писали про необычный Android-смартфон, притворяющийся десятым айфоном, в котором какая-либо защита данных пользователя вовсе отсутствует. Но это экзотика. А вот компания Kryptowire проанализировала (новость) прошивки множества обычных смартфонов, которые продаются по всему миру. В 25 разных моделях были обнаружены серьезные прорехи в безопасности.
Total votes 31: ↑30 and ↓1 +29
Views 7.3K
Comments 3

Security Week 32: Fortnite-Android-драма

«Лаборатория Касперского» corporate blog Information Security *
Тот ловкий момент, когда ты написал пророческий дайджест. В прошлом выпуске речь шла о рисках безопасности в Android, в частности об уязвимостях типа Man-in-the-disk, а также о неспортивном (все ради денег) поведении компании Epic Games, отказавшейся размещать игру Fortnite в магазине Google Play. 25 августа пасьянс сошелся: Google с ее магазином, Epic Games с ее бета-версией Fortnite и даже man-in-the-disk-уязвимость вступили в интимную связь, породив среднего размера скандальчик.


Изначально речь шла о том, что технически неподкованные игроки в Fortnite, не найдя Android-версию в официальном магазине Google Play Store, пойдут искать ее куда-нибудь еще и установят на смартфон что-нибудь не то. Если сейчас со смартфона зайти в аппстор и поискать там Fortnite, Google даже покажет вам специальное сообщение, как на картинке наверху, чтобы вы не ставили из магазина приложения-клоны. Но, как выяснилось, инсталлятор Fortnite сам по себе уязвим — по сценарию не то чтобы совсем ужасному, но все же.
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 3.8K
Comments 0
1