Полнотекстовый поиск в зашифрованной почте

Для начала немного контекста. Tutanota — один из немногих почтовых сервисов, которые шифруют входящую почту по умолчанию, как Protonmail, Posteo.de и Mailbox.org. То есть почта хранится на серверах в зашифрованном виде. Провайдер не может её расшифровать, даже если захочет.

Однако постановление Кёльнского областного суда потребовало внедрить «функцию, с помощью которой можно отслеживать отдельные почтовые ящики и читать электронные письма в виде открытого текста».

Это нехороший прецедент для европейской правовой системы.

Security Certification Progression Chart 7.0, октябрь 2020 года

Специалист по информационной безопасности Пол Джерими (Paul Jerimy) проделал большую работу — и составил обширную схему с порядком получения сертификатов во всех областях ИБ: Security Certification Progression Chart. На сегодняшний день она включает в себя 362 программы сертификации.

Похоже, сертификация стала отдельным бизнесом, где учебные центры и центры сертификации думают не столько о проверке знаний специалистов, сколько о прибыли.

Стоимость некоторых сертификатов превышает разумные пределы. Для каждого сертификата в таблице указана стоимость его получения, а также предполагаемые дорожные расходы. Таким образом можно примерно вычислить, сколько стоит собрать все необходимые «корочки» и пройти этот путь до конца.

Здесь мы перечислим некоторые расширения, ориентированные на безопасность и приватность работы. Большинство из них работают в Chrome, это сейчас самый популярный браузер с долей около 40% в России, но многие из расширений выпускаются также под Firefox.

В целом набор полезных расширений можно разбить на пять категорий:

• Блокировка рекламы
  
• Скрытие и подделка информации (IP, геолокация, user agent)
  
• Очистка данных в браузере
  
• Настройки приватности
  
• Защита от зловредов и майнинговых скриптов

Ряд браузеров основаны на движке Chromium, его расширения совместимы с Brave, Opera и Vivaldi.

3 октября 2020 года программист jspenguin2017, автор расширения Nano Defender, сообщил в официальном репозитории, что продал проект «группе турецких разработчиков». Это сообщение вызвало массу слухов и опасений: что за турецкие разработчики, кто контролирует код, почему из репозитория удалена страница с политикой приватности?

Спустя несколько дней опасения сообщества полностью оправдались.

Бесплатный Wi-Fi в баре или кафе теперь стал обычным делом, и клиенты благодарны за эту услугу, особенно иностранцы в роуминге. Во многих заведениях посетителям просто сообщают название точки доступа и пароль, не затрудняя себя идентификацией пользователей и хранением журнала активности. Но оказалось, что так нельзя. Как сообщает французская газета Les Dernières Nouvelles d'Alsace, минимум пятеро управляющих баров и ресторанов в Гренобле задержаны полицией.

В этих барах не соблюдали малоизвестный закон от 2006 года, который обязывает в течение одного года хранить логи активности всех клиентов, которые подключались к Wi-Fi.

От создателя криптосервиса Tarsnap для резервного копирования

В недавней дискуссии на Hacker News комментатор задал вопрос:

Итак, что мы думаем о Tarsnap? Автор явно гений, который тратит время на резервные копии вместо того, чтобы решать задачи тысячелетия. Я говорю это с величайшим уважением. Может, соблазн предпринимательства — ловушка?

Сначала я хотел ответить в самом треде, но подумал, что тема заслуживает глубокого ответа, который прочитает больше людей, чем в середине обсуждения HN на сто с лишним комментариев.

Во-первых, разберёмся с философской стороной вопроса: да, это моя жизнь, и да, я могу её использовать — или тратить — как мне нравится. Но при этом нет ничего плохого в вопросе, как лучше всего потратить время. Это вдвойне верно, если речь идёт не только о моём личном выборе, но и о более широком вопросе: действительно ли наше общество структурировано таким образом, что побуждает людей приносить меньше пользы, чем они могли бы?

В информационной безопасности мы выработали ряд аксиом, с которыми не принято спорить:

• Никогда не внедряйте собственную криптографию.
  
• Всегда используйте TLS.
  
• Безопасность через неясность (security by obscurity) — это плохо.

И тому подобное. Большинство из них в целом верны. Однако мне начинает казаться, что люди слепо следуют этим аксиомам как культу карго. И многие на самом деле не думают об исключениях из правил. В этой статье я выскажу свои возражения против идеи «безопасность через неясность — это плохо».

Риск, эшелонированная оборона и швейцарский сыр

Одной из главных задач ИБ является снижение рисков. Согласно методологии OWASP, риск возникновения проблемы рассчитывается по формуле:

Риск = Вероятность * Воздействие

По этой формуле, проблема удалённого выполнения кода (RCE) представляет больший риск, чем проблема межсайтового скриптинга, поскольку RCE несёт большее воздействие. Здесь всё просто. Но что насчёт метрики вероятности?

Спустя семь лет после того, как бывший сотрудник Агентства национальной безопасности США Эдвард Сноуден сообщил о массовой слежке за телефонными записями американцев, Апелляционный суд девятого округа США признал эту программу незаконной, а также признал факты публичной лжи со стороны руководителей американской разведки.

В 59-страничном постановлении суд заявил, что массовый сбор и анализ метаданных о телефонных переговорах граждан нарушает Акт о негласном наблюдении за иностранными разведками (Foreign Intelligence Surveillance Act, FISA) и вполне может быть нарушать Конституцию.

Тем временем Эдвард Сноуден вынужден семь лет скрываться в России, а американские власти до сих пор не сняли с него обвинение в шпионаже.

Перехваченные DVB-потоки НАТО (2002)

Много лет хакеры проводят демонстративные взломы гражданских и военных спутниковых коммуникаций, но безопасность тех остаётся на низком уровне. На последней конференции Black Hat 2020 оксфордский студент Джеймс Павур продемонстрировал, какой спутниковый трафик сейчас в радиоэфире и какую приватную информацию из него можно извлечь.

Исследователи из школы компьютерных наук и инженерного дела, факультетов электротехники и инженерии Вашингтонского университета в Сиэтле разработали концептуальный проект видеокамеры весом 248 мг (плюс батарейка 0,5 г), которая укрепляется на спине жука или микророботе.

Чёрно-белое видео 1−5 fps с разрешением до 160×120 px передаётся по Bluetooth на расстояние до 120 метров. Объектив поворачивается на 60°. Управление со смартфона.

Ранее учёные проводили опыты по дистанционному управлению жуками (2009), молью (2008) и тараканами (2012) путём стимулирования мозга электродами, так что это очень перспективная смежная разработка. Фактически, сейчас для радиоуправляемых насекомых сделали камера-модуль.

Ежегодно форум CA/Browser обновляет базовые требования к серверным SSL/TLS-сертификатам (Baseline Requirements или BR).

Одно из таких требований указано в пункте 4.9.9 с пометкой MUST:

Ответы по OCSP (протокол статуса онлайн-сертификатов) ДОЛЖНЫ соответствовать RFC 6960 и/или RFC 5019. OCSP ответы ДОЛЖНЫ либо:

1. Иметь подпись УЦ, выдавшим сертификаты, чей статус отзыва проверяется, или
   
2. Иметь подпись OCSP Responder, сертификат которого подписан УЦ, выдавшим сертификаты, чей статус отзыва проверяется

В последнем случае подписывающий сертификат OCSP ДОЛЖЕН содержать расширение типа id-pkix-ocsp-nocheck, как прописано в RFC 6960.

Именно это правило нарушают практически все удостоверяющие центры (УЦ), что имеет некоторые последствия.

Cтарейший удостоверяющий центр, ведущий поставщик надежных решений идентификации и безопасности GlobalSign и крупнейший в России хостинг-провайдер и регистратор доменов REG.RU представили данные о лидирующих странах-пользователях SSL-сертификатов, о том, как менялся мировой рынок в момент пандемии коронавируса и о других трендах отрасли.

В последние годы компании по всему миру продолжают всё больше инвестировать в свою информационную безопасность. Наблюдается зависимость коммерческого успеха от правильного и безопасного размещения данных в сети. Переход на удалённую работу заставляет фирмы обращать внимание на используемые инструменты информационной безопасности. Естественно, что растёт и рынок SSL-безопасности: происходит количественный и качественный рост тех компаний, которые переводят свои сайты и серверы на безопасное HTTPS-соединение.

Разработчики проекта Chromium внесли изменение, которое устанавливает максимальный срок жизни TLS-сертификатов в 398 дней (13 месяцев).

Условие действует для всех публичных серверных сертификатов, выданных после 1 сентября 2020 года. Если сертификат не соответствует этому правилу, браузер будет отвергать его как недействительный, а конкретно отвечать ошибкой ERR_CERT_VALIDITY_TOO_LONG.

Для полученных до 1 сентября 2020 года сертификатов доверие будет сохранено и ограничено 825 днями (2,2 года), как сегодня.

На фоне событий в США резко выросла популярность защищённого мессенджера Signal — c 6000 до 26 000 скачиваний в день. В этой программе реализована стойкая криптография и сквозное шифрование, она распространяется с открытым исходным кодом и работает на известных криптографических протоколах (в отличие от проприетарного MProto).

Но теперь разработчики Signal столкнулись с новой угрозой. Правительство США пытается скомпрометировать защиту мессенджера и опять получить доступ к переписке пользователей. В 2016 году им удалось получить судебную повестку на изъятие переписки одного пользователя, но из-за сквозного шифрования там нечего было изымать.

В десятках городов США продолжаются погромы и массовые беспорядки. Среди разграбленных оказались в том числе фирменные магазины Apple Store. Для многомиллиардной компании несколько тысяч украденных устройств не имеют никакого значения с точки зрения прибыли. Но она предупредила воришек, что отследит каждый iPhone, украденный из фирменных магазинов.

Исполнительный директор Тим Кук разослал сотрудникам письмо со словами, что компания всегда выступала против расизма и нарушения прав человека. Несмотря на формальную поддержку протестующих, Apple всё равно стала одной из жертв грабежей.

Центр сертификации Sectigo (Comodo) заранее предупредил пользователей об истечении срока действия корневого сертификата AddTrust, который использовался для перекрёстной подписи, чтобы обеспечить совместимость с устаревшими устройствами, в хранилище которых нет нового корневого сертификата USERTrust.

20-летний срок действия AddTrust истёк 20 мая 2020 года в 10:48:38 UTC. К сожалению, проблемы возникли не только в устаревших браузерах, но и в небраузерных клиентах на базе OpenSSL 1.0.x, LibreSSL и GnuTLS. Например, в телевизионных приставках Roku (см. ответ в техподдержке от 30.05.2020), Heroku, в приложениях Fortinet, Chargify, на платформе .NET Core 2.0 под Linux и многих других.

Cервис NextDNS наконец-то вышел из беты и теперь официально предоставляет бесплатные услуги по блокировке рекламы и других вредоносных IP-адресов на уровне DNS. Это простой и эффективный метод защиты: NextDNS автоматически фильтрует трафик, не ведёт логов, шифрует DNS-запросы, поддерживает DNS over HTTPS (DoH), представляя собой альтернативу известным DNS-резолверам от корпораций Google, Cloudfalre и «Яндекс».

NextDNS похож на расширения для браузера вроде uBlock Origin, только блокирует адреса на уровне DNS, что в некоторых случаях представляется более удобным вариантом, потому что NextDNS блокирует ненужные запросы не только из браузера, но из других программ, например, из ОС Windows, MS Office, Adobe и так далее.

18 мая 2020 года компания GlobalSign анонсировала платформу PKI нового поколения под названием Atlas для автоматизации управления цифровыми сертификатами.

Это универсальная система на новом движке, куда в течение года будут добавлены все существующие решения GlobalSign по автоматизации управления сертификатами. Первым добавлен автоматизированный шлюз регистрации Automated Enrollment Gateway (AEG), который позволяет быстро и автоматизированно выпускать цифровые удостоверения и управлять ими.

Atlas послужит компаниям, которые сейчас вынуждены пользоваться решениями на основе, обычно, Microsoft CA и которым необходим собственный частный центр сертификации. Например, для регистрации каждого устройства Интернета вещей, оформления удостоверений на сотрудников или сертификатов на компьютеры, чтобы они могли безопасно и доверенно коммуницировать друг с другом и за пределами сети. Платформа GlobalSign Atlas предложит полностью готовое универсальное решение для таких ситуаций, чтобы компании сосредоточились на основном бизнесе, а не выделяли ресурсы на внедрение криптографии и PKI своими силами, рискуя информационной безопасностью.

Камера видеонаблюдения в квартире заражённого гражданина. Фото опубликовано в сообщении Weibo муниципальными властями района Чунси города Нанкин (сообщение сейчас удалено)

С течением времени люди постепенно привыкают к усиленному контролю в условиях вирусной пандемии. Вырабатывается терпимость даже к самым жёстким мерам, пишет The Washington Post. В Китае видеокамеры наблюдения всё чаще устанавливают в индивидуальном порядке перед входными дверьми и внутри квартир инфицированных жителей. В Индии установка следящей программы на мобильный телефон стала обязательной для всех трудоустроенных граждан и в государственном, и в частном секторе.

В публикации CNN перечисляется несколько случаев, когда видеокамеры наблюдения устанавливали непосредственно перед входной дверью или внутри квартиры.

Новый сервис WebWormHole работает как портал, через который файлы передаются с компьютера на другой. Нажимаете кнопку New Wormhole — и получаете код для входа. Человек с другой стороны вводит такой же код или URL — и между вами устанавливается эфемерный туннель, по которому напрямую передаются файлы. Очень просто и эффективно. Исходный код на Github.