Pull to refresh
  • by relevance
  • by date
  • by rating

В сеть попала база данных (400 млн аккаунтов) сайтов Friend Finder Networks

Information Security *
image

К специалистам по информационной безопасности ресурса LeakedSource попала база данных аккаунтов пользователей сервисов компании Friend Finder Network Inc, о чем свидетельствует соответствующая запись в их блоге. Основным бизнесом FFN являются сайты для секс-знакомств, например, Adultfriendfinder.com, Cams.com и Penthouse.com. В общей сложности база состоит из почти 400 млн учетных записей. По словам экспертов, это крупнейшая утечка аккаунтов в 2016 году.

По утверждению аналитиков LeakedSource, большинство информации об учетных записях хранилось в открытом виде, либо было защищено при помощи алгоритма хэширования SHA-1. Как итог, около 99% данных было расшифровано.
Читать дальше →
Total votes 19: ↑17 and ↓2 +15
Views 6.7K
Comments 7

Let's Encrypt начнёт выдавать wildcard-сертификаты в январе 2018 года

Hosting Domain names administrating *Server Administration *
Одним из ограничений бесплатного центра сертификации Let's Encrypt является то, что он не выдаёт сертификаты типа wildcard на поддомены (см. «Полное руководство по переходу с HTTP на HTTPS»). Такие сертификаты покрывают основной домен, а также неограниченное количество поддоменов (*.example.com ) — например, example.com, www.example.com, mail.example.com, ftp.example.com и т. д. Некоторые центры сертификации продают такие сертификаты от $475 в год. Let's Encrypt будет выдавать их бесплатно.

Сервис Let's Encrypt предоставляется организацией Internet Security Research Group (ISRG). Вчера она сообщила приятную новость: wildcard-сертификаты начнут выдавать с января 2018 года! Такие сертификаты были одной из самых запрашиваемых фич, о которой упоминали пользователи. И в самом деле, пользоваться подстановочными знаками (*.example.com) в некоторых случаях гораздо удобнее, чем перечислять каждый домен в отдельности, что разрешают стандартные DV-сертификаты Let's Encrypt. В некоторых случаях это упрощает переход на HTTPS, а ведь всеобщий переход на шифрование — и есть главная цель проекта Let's Encrypt, который действует для общественного блага и живёт на пожертвования. В конечном итоге, 100% веба должно быть зашифровано нашими совместными усилиями.
Читать дальше →
Total votes 32: ↑32 and ↓0 +32
Views 14K
Comments 50

Германия призывает к шифрованию коммуникаций всех граждан, хотя другие страны поступают наоборот

Information Security *
Страх людей перед терактами власти многих стран используют для внедрения технологий массовой слежки за населением. США, Россия, Великобритания и другие требуют ослабить криптографию онлайновых коммуникаций, ставить бэкдоры в криптозащиту мобильных устройств и т.д. — всё делается зачастую под предлогом борьбы с терроризмом. Для справки: в Европе за последние 15 лет произошло четыре теракта и погибло менее 500 человек, тогда как в ДТП погибает 70 человек в день.

Так вот, на фоне всеобщей «борьбы с террором и преступностью» с помощью массовой прослушки населения одна страна почему-то идёт в противоположном направлении. В ноябре министр внутренних дел Германии Томас де Мезьер (Thomas De Maizière) выдал предписание об усилении защиты конфиденциальных коммуникаций. Документ направлен вовсе не на снятие или ослабление криптозащиты. Наоборот, МВД требует повсеместного внедрения у гражданского населения сильного end-to-end шифрования!
Читать дальше →
Total votes 46: ↑42 and ↓4 +38
Views 22K
Comments 45

Rutracker перешёл на HTTPS

Information Security *

Популярный торрент-трекер Rutracker подключил шифрование HTTPS. Пока что шифрование доступно в виде опции при авторизации, а скоро будет включено по умолчанию для всех пользователей.

«Это нововведение планировалось давно, но несколько раз откладывалось. Сначала мы планировали блокировать отдельные темы по запросам Роскомнадзора, потом, когда это стало неактуальным , совмещали работу сертификата с зеркалами форума, а потом тестировали работу с плагинами обхода блокировок», — говорится в официальном сообщении.
Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Views 20K
Comments 55

VPN-провайдер Private Internet Access сворачивает присутствие в России из-за пакета законов Яровой-Озерова

Information Security *
image

«Российским правительством был принят новый закон, который предписывает, что каждый провайдер обязан регистрировать весь российский интернет-трафик и хранить эту информацию сроком до года. Мы считаем, что из-за этого закона некоторые из наших российских серверов были захвачены властями РФ без каких-либо предварительных оповещений и в обход надлежащих правовых процедур», — сообщается на странице саппорта провайдера.

Благодаря тому, что компания не хранит логи на серверах, пользовательская информация скомпрометирована не была.
Читать дальше →
Total votes 57: ↑49 and ↓8 +41
Views 40K
Comments 147

В России начали искать способ расшифровки трафика популярных мессенджеров

Information Security *


Компания Con Certeza ищет подрядчика для проведения исследования и реализации системы перехвата и дешифровки трафика таких мессенджеров как Skype, WhatsApp, Viber, Facebook Messenger и Telegram, сообщает «Коммерсантъ». Сама компания занимается разработкой технических систем и средств для обеспечения оперативно-розыскных мероприятий на сетях операторов связи.

В распоряжение издания попала переписка между представителем Con Certeza и одним из сотрудников компании в области информационной безопасности. Подлинность переписки подтвердил как «безопасник», так и его руководство. Представитель потенциального заказчика от комментариев отказался.
Читать дальше →
Total votes 41: ↑29 and ↓12 +17
Views 24K
Comments 125

Интернет-голосование в Москве: блокчейн, шифрование в браузере, результаты в реальном времени

Cryptography *Open source *Legislation in IT

Электронное голосование в Эстонии

Департамент информационных технологий Москвы и «Лаборатория Касперского» представили экспертам для обсуждения проект технического задания для проведения голосования через интернет, пишут «Ведомости». Впервые в России граждане смогут проголосовать на муниципальных выборах, не выходя из дома. Пока лишь на нескольких избирательных участках. Но если эксперимент окажется удачным, его расширят на весь город, а потом на всю страну, как в Эстонии.

Впрочем, судя по техническому заданию, в Москве процедура будет заметно отличаться от эстонской. По мнению экспертов, описанное техзадание ещё нуждается в доработке и оставляет пространство для манипуляций результатами выборов.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 3.4K
Comments 6

Власти Германии планируют обязать операторов мессенджеров выдавать переписку пользователей по запросу

Information Security *Legislation in IT Social networks and communities
Законодатели Германии готовят новый законопроект, который может усложнить жизнь операторам мессенджеров. Авторы инициативы планируют обязать их выдавать правоохранительным органам переписку пользователей по запросу от соответствующих инстанций. Это означает, в том числе, возможность извлекать зашифрованную переписку в мессенджерах c end-to-end шифрованием.

Законодательная инициатива коснется всех без исключения IM, включая WhatsApp, Signal, Apple iMessage, Telegram. Если законопроект вступил в силу, операторам мессенджера придется придумать, как выдавать переписку, к которой, собственно, ни у кого нет доступа, кроме собеседников.
Читать дальше →
Total votes 22: ↑21 and ↓1 +20
Views 9.2K
Comments 69

Правительство РФ заступилось за «Яндекс» в конфликте с ФСБ

Information Security *Cryptography *Legislation in IT IT-companies
В текущем конфликте «Яндекса» и ФСБ по поводу выдачи сессионных ключей шифрования правительство РФ выступило на стороне частной компании. В ответ на просьбу прокомментировать ситуацию вице-премьер Максим Акимов заявил, что правительство сделает все, чтобы «Яндекс» не пострадал от административного давления.

«„Яндекс” очень важен для национальной и даже глобальной экономики. Я думаю, мы сделаем всё от нас зависящее, чтобы бизнес-компании, которые обеспечивают России по ряду очень чувствительных позиций глобальное лидерство, никак не пострадали», — сказал Акимов.
Читать дальше →
Total votes 21: ↑20 and ↓1 +19
Views 15K
Comments 56

Google предлагает уменьшить срок действия SSL-сертификатов, а сертификаты EV вообще похоронить

GlobalSign corporate blog Domain names administrating *Interfaces *Server Administration *Browsers


Компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней (примерно 27 месяцев) до 397 дней (около 13 месяцев), то есть примерно вдвое.

Google предлагает поставить этот вопрос на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия. Если члены CABF проголосуют за это предложение, то изменение будет применяться ко всем новым сертификатам, выданным 1 марта 2020 года или после этой даты.

Кроме того, в сентябре-октябре выйдут новые версии Chrome 77 и Firefox 70, которые лишат EV-сертификаты особого места в адресной строке браузера, как показано на КДПВ.
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 12K
Comments 36

Подпись россиянина защитят квантовым шифрованием

Information Security *Cryptography *ECM *
Одной из инициатив национальной программы «Цифровая экономика» является электронный паспорт гражданина РФ. Выдача электронных удостоверений личности запланирована на июль 2020 года, выпуск бумажных паспортов прекратится в начале 2023. Первыми новый документ получат жители Москвы, пошлина составит 300 рублей, а срок действия 10 лет.

Переход на новый формат удостоверения личности будет добровольным. Россияне, имеющие бумажный паспорт и не желающие его менять, смогут им пользоваться до конца срока его действия.

Новый паспорт будет представлять из себя пластиковую карточку с чипом для бесконтактного чтения, с голографическим изображением, российской криптографией КЭП и QR-кодом.

image

Читать дальше →
Total votes 21: ↑13 and ↓8 +5
Views 5.4K
Comments 45

Генпрокурор США обвинил Apple в отказе помочь ФБР разблокировать iPhone убийцы. Apple не согласна

Information Security *Gadgets Smartphones IT-companies


Генеральный прокурор США Уильям Барр объявил о завершении расследования стрельбы, которая произошла в декабре 2019 года на военно-морской базе в городе Пенсакола во Флориде. В своём заключении он обратил внимание на то, что в ходе расследования специалисты ФБР не смогли разблокировать iPhone стрелка, и упрекнул компанию Apple в отказе от сотрудничества.
Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views 6.3K
Comments 0

Apple отказалась от планов внедрять сквозное шифрование в iCloud

Information Security *Data storage *Cloud services Smartphones IT-companies


Компания Apple отказалась от планов по внедрению сквозного шифрования в резервные копии в iCloud после того, как ФБР высказало опасения, что этот шаг может повредить расследованиям. Об этом сообщает агентство Reuters.
Читать дальше →
Total votes 20: ↑18 and ↓2 +16
Views 9.9K
Comments 77

Открыт исходный код приложений ProtonVPN

ITSumma corporate blog Information Security *Open source *GitHub IT-companies


Компания Proton Technologies, развивающая защищённый почтовый сервис и VPN, открыла исходные тексты клиентских программ ProtonVPN для Windows, macOS, Android и iOS, сообщает OpenNET. Код открыт под лицензией GPLv3.
Читать дальше →
Total votes 36: ↑36 and ↓0 +36
Views 16K
Comments 33

Мессенджер «Signal» обретает популярность

Information Security *Instant Messaging *Cryptography *Social networks and communities IT-companies

Самое безопасное в мире приложение для обмена сообщениями готовится составить конкуренцию WhatsApp




Если вы ожидаете увидеть здесь что-нибудь про баттлы с телеграмом или особенности работы сквозного шифрования, то спешу огорчить — «это уже было в Симпсонах», рекомендую пропустить новость. Речь пойдёт только о наборе сервисом популярности, но если прям очень хочется, я добавил ссылки на статьи по этим темам других хабровчан внизу.

Примерно месяц назад Мокси Марлинспайк летел в самолете, и его сосед, пожилой мужчина, попросил помочь включить авиарежим на своем стареньком Android-смартфоне. Когда Марлинспайк увидел экран, он подумал, что его разыгрывают: среди лишь нескольких приложений, установленных на телефоне, был «Signal», запущенный им пять лет назад. Он считается наиболее защищенным мессенджером со сквозным шифрованием в мире, но, разумеется, мужчина в самолете этого не знал.

Марлинспайк в телефонном интервью для Wired на следующий день заявил: «Приложение, которое мы пытаемся создать, должно быть доступным и для людей, которые даже не знают, как включить авиарежим на телефоне». Он всегда говорил о том, как сделать зашифрованные сообщения достаточно простыми для использования. А поговорим мы о том, что «Signal» достигает той массовой аудитории, для которой он всегда был предназначен, а не только приверженцам конфиденциальности и кибербез-нердам, годами формировавшим его основную пользовательскую базу.
Читать дальше →
Total votes 28: ↑24 and ↓4 +20
Views 26K
Comments 112

SpaceX запретила сотрудникам использовать программу Zoom

ITSumma corporate blog Information Security *Cryptography *Software Video conferencing

Обманное сообщение в приложении Zoom

Компания SpaceX запретила своим сотрудникам использовать приложение для видеоконференцсвязи Zoom из-за «значительных проблем конфиденциальности и безопасности». Уведомление разослано по внутренней почте через несколько дней после того, как американские правоохранительные органы предупредили пользователей о безопасности популярного приложения.

За последние три месяца количество пользователей Zoom выросло в двадцать раз: с 10 млн до 200 млн человек. Одновременно в программе обнаружен десяток новых уязвимостей и сомнительных функций. Среди них — автоматическая установка на компьютер без участия пользователя, автоматическое добавление в контакты посторонних лиц, удалённое получение рута под macOS, автоматическое преобразования путей к файлам в кликабельные ссылки (для получения хэшей NetNTLM от жертвы под Windows) и др.
Читать дальше →
Total votes 24: ↑24 and ↓0 +24
Views 18K
Comments 20

Обновление Zoom предотвратит «зумбомбинг» и вводит шифрование данных с 256-битным ключом

Information Security *Video conferencing
image

Вышла пятая версия сервиса видеоконференций Zoom. Она получила исправления в системе безопасности, а также 256-битное шифрование данных AES GCM.
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 3.6K
Comments 2

Путин для видеоконференцсвязи использует оборудование американской компании Polycom

Information Security *Video conferencing

Фото: Alexei Druzhinin / Kremlin via Reuters

В прямом эфире российского телевидения 26 апреля на канале «Россия 24» можно было заметить несколько интересных деталей из помещения, в котором находится Владимир Путин. Например, на экране ТВ-панели президента в один из моментов появилось окно с логотипом американской компании Polycom, которая разрабатывает аппаратные решения видеоконференцсвязи. Первым на это обратил внимание Telegram-канал «Чудеса OSINT»:

«Все шутили: как Путин сейчас общается — через Zoom или по Skype? — пишет автор канала Gordon Lonsdale. — Секрет в итоге раскрыли авторы программы „Москва. Кремль. Путин”. Президент пользуется системой видеоконференцсвязи от американской компании Polycom. Скорее всего, её поставил российский партнёр американцев — московская фирма „Стэл”. Согласно презентации „Стэла”, это был совместный проект с Ростелекомом, и системы Polycom стоят у всех российских чиновников высшего ранга. А жаль, у отечественных IT-систем такие чудесные названия! Как бы это звучало — система видеоконференцсвязи „Громозека-84”».
Читать дальше →
Total votes 60: ↑54 and ↓6 +48
Views 45K
Comments 97

Состоялся релиз OpenSSH 8.4

ITSumma corporate blog Information Security *Cryptography *Open source *


Вчера, 27 сентября 2020 года, состоялся релиз OpenSSH 8.4. Новая версия уже доступна для скачивания с официального FTP OpenBSD или предоставленных зеркал из этого списка.
Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Views 2.1K
Comments 0

Стоимость строительства сетей 5G в России будет вдвое выше, чем в других странах

ITSumma corporate blog Wireless technologies *Network standards Finance in IT Cellular communication
Строительство 5G-сетей на территории России обойдется операторам связи вдвое дороже по сравнению с другими странами из-за того, что оптимальный диапазон 3,4-3,8 ГГц занят силовыми ведомствами. К такой оценке пришли в международной ассоциации GSMA, это подтвердили в «Ростелекоме» и Tele2, пишет «Коммерсантъ».



Частоты диапазона 3,4-3,8 ГГц являются оптимальными для построения сетей 5G в плане соотношения длины волны и пропускной способности для соответствия стандарту. Однако в Российской Федерации этот диапазон занят силовыми ведомствами, в том числе и военными.
Читать дальше →
Total votes 27: ↑26 and ↓1 +25
Views 7.5K
Comments 20