Что такое сокращатель URL? Это по сути шифратор ссылок, который скрывает от получателя истинный адрес ресурса. Кому нужно маскировать свои ссылки и прятать истинный адрес? Ясно кому: мошенникам, злоумышленникам и компаниям, у которых URL не помещается на визитку.

В последнее время многие облачные сервисы напрямую интегрировали сокращатели ссылок: например, Google Maps, Microsoft OneDrive дают ссылки на 1drv.ms и goo.gl с коротким токеном. Раньше некоторые сокращалки выдавали токен из 5-6 символов, но потом осознали свою ошибку. Проблема в том, что пространство таких токенов настолько маленькое, что его можно просканировать брутфорсом (см. работу Мартина Георгиева и Виталия Шматикова из Корнелльского технологического университета, arXiv:1604.02734v1). А ведь пять символов — это всего 62⁵ вариантов, а шесть символов — 62⁶, тоже не очень много (56,8 млрд). Такая секретная ссылка — больше не секретная.

Это далеко не единственная причина, почему следует избегать чужих сокращателей.

QUIC — новый транспортный протокол связи, который отличается уменьшенным временем задержки, большей надёжностью и безопасностью, чем широко используемый сегодня TCP (RFC 793).

Уже много рассказывалось о преимуществах транспорта QUIC, который взят за основу будущего стандарта HTTP/3. В HTTP следующего поколения транспорт TCP меняется на QUIC, что означает автоматическое ускорение соединений и зашифровку всего интернет-трафика, который раньше шёл в открытом виде по TCP. Нешифрованный QUIC не предусмотрен вообще.

В мае 2021 года состоялось знаменательное событие: протокол QUIC принят в качестве официального стандарта RFC9000. Это великолепные новости для всей интернет-экосистемы.

Автомобиль Tesla Model 3 взломали с мультикоптера (для зрелищности), источник

Автомобили Tesla по умолчанию подключаются к любой точке WiFi с идентификатором SSID Tesla Service. Это очень удобно для взлома. Пароль указан в файле .ssq, который поставляется с автомобилем, или его можно найти в интернете (см. скриншот под катом).

Таким образом, можно подключить автомобиль к своему фейковому хотспоту. Потом использовать уязвимости в программном обеспечении — и получить контроль над некоторыми функциями. По сути, всё довольно просто: такие трюки показывают на каждой хакерской конференции.

Проблема в том, что критические уязвимости есть не только в теслах, а практически во всех современных автомобилях. Просто Tesla предлагает большие призы за информацию о багах, поэтому эта информация публикуется в СМИ. Остальные автомобили взламывают молча.

Как известно, Bitcoin — не совсем анонимная система. Здесь все транзакции сохраняются и отслеживаются от начала и до конца. Поэтому для реального скрытия денег используются специальные анонимайзеры или миксеры. Они смешивают входящие транзакции на одном адресе, так что на выходе не видно, откуда пришли конкретные монеты.

Bitcoin Fog — один из ведущих миксеров. Он работал десять лет. И всё-таки в конце концов предположительного админа сервиса идентифицировали и задержали.

Это история показывает, насколько сложно сохранить анонимность в онлайне. И способ деанонимизации в данном случае особенно показателен.

Персональный компьютер Lenovo ThinkCentre M75n на процессоре AMD Ryzen 5 PRO

Журнал Computer Reseller News (CRN) ежегодно составляет рейтинг Internet of Things 50, выбирая полсотни «самых крутых» игроков индустрии на данный момент.

Свежий рейтинг 2021 года составлен по пяти категориям:

• 10 самых крутых производителей оборудования IoT
  
• 10 самых крутых разработчика программного обеспечения IoT
  
• 10 самых крутых компаний IoT в области подключения устройств (connectivity)
  
• 10 самых крутых компаний для промышленного сектора
  
• 10 самых крутых компаний в безопасности IoT

Сайт несуществующей компании SecuriElite

В январе 2021 года специалисты Google Threat Analysis Group (TAG) рассказали об атаке на исследователей ИТ-безопасности по всему миру. Теперь опубликованы некоторые подробности этой необычной операции.

Злоумышленники использовали новые 0-day, которые срабатывают в последних версиях Windows 10 и Chrome. Кроме того, исследователям предлагали поучаствовать в совместном проекте Visual Studio и по их запросу предоставляли DLL якобы с кодом эксплоита (хэш DLL на VirusTotal). Такой вектор социальной инженерии встречается впервые в мире.

Дата-центр Ecatel в Северной Голландии, источник

Это история защищённого хостинга Ecatel с дата-центром в городке Вормер (13 км в северо-западу от Амстердама). Хостер специализируется на конфиденциальности, то есть принципиально не проверяет благонадёжность клиентов, не реагирует на запросы американских правообладателей по закону DMCA и не сотрудничает с правоохранителями. Его называют «выгребной ямой» интернета.

Ecatel много лет находится под следствием в связи с DDoS-атаками, распространением вредоносных программ, спама и детской порнографии (CP). Но голландским властям ничего не удаётся сделать, потому что по голландским законам хостер рассматривается просто как поставщик технического сервиса (например, как провайдер электричества), поэтому не обязан проверять своих клиентов.

CC-BY-CA Vadim Rybalko, на основе мема

Рабочая группа инженеров Интернета IETF признала устаревшими протоколы шифрования TLS 1.0 и 1.1. Соответствующие стандарты RFC официально получили «исторический» статус с пометкой deprecated.

Пометка deprecated означает, что IETF настоятельно не рекомендует использовать эти протоколы. В целях безопасности требуется отключить поддержку TLS 1.0 и 1.1 везде, где это возможно. Об этом говорится в опубликованном RFC 8996. Почему нельзя поддерживать протоколы TLS 1.0 и 1.1 — подробно объясняется в пунктах 3, 4 и 5 этого документа.

Архитектура веб-клиента Threema, источник

Защищённый мессенджер Threema открыл исходный код и инструкции по воспроизводимой сборке приложений. Опубликованы 12 репозиториев для клиентов Android, iOS, веб-версии, рилеев нотификаций и других компонентов. Это важнейшее событие в истории компании Threema GmbH, которая с публикацией исходников выходит на новый уровень разработки.

На фоне массового исхода пользователей WhatsApp платный мессенджер Threema стал одним из самых скачиваемых приложений в мире, вместе с Telegram, Signal и Element (децентрализованная сеть Matrix), см. также статью «Какое шифрование лучше: Signal или Telegram?».

Threema наименее известна в этой плеяде. Зато у неё есть одно преимущество перед конкурентами — швейцарская юрисдикция.

Люди не читают инструкций. Вы почти наверняка не читали лицензионное соглашение Windows, не читали лицензионное соглашение iTunes, не читали условия Linux GPL или любого другого программного обеспечения.

Это нормально. Такова наша природа.

То же самое происходит в интернете. В последнее время благодаря GDPR и другим законам часто приходится видеть всплывающие сообщения, где вас спрашивают разрешения на использование cookies.



Большинство нажимает «Согласиться» — и продолжает жить как ни в чём ни бывало. Никто ведь не читает политику конфиденциальности, верно?

В конце января компания Google ни с того ни с сего удалила из каталога Play Store приложение Element (бывший Riot) — децентрализованный мессенджер, который работает на федеративной системе серверов Matrix. Кто-то из пользователей пожаловался, что в каком-то канале на каком-то сервере Matrix он увидел неприличный контент — и Google просто взяла и удалила программу. Как говорят некоторые комментаторы, это аналогично запрету браузера за то, что в нём открыли неприличный сайт, или запрету почтового клиента за то, что он принял неприличное письмо. К чести Google, она признала ошибку: вице-президент лично извинился перед разработчиками Element, а приложение вернули на место.

Но мы видим, что происходит с другими. Например, Павел Дуров был вынужден удалить ряд российских телеграм-каналов под давлением Apple. Если верить Павлу, без выполнения этого требования Apple блокировала выпуск экстренного обновления Telegram для iOS.

19 января 2021 года компания GlobalSign объявила о выходе AEG 6.4 — новой версии шлюза автоматической регистрации Auto Enrollment Gateway, вместе с которым представлена маленькая, но уникальная программка: кроссплатформенный агент для автоматической выдачи и управления сертификатами под Windows, Mac OS и Linux. Компания заявляет, что это первое такое предложение от любого удостоверяющего центра в мире.

После нападения на Капитолий правоохранительные органы работают сверхурочно, чтобы установить виновных и привлечь их к ответственности за попытку восстания. В распоряжении спецслужб есть много инструментов. И они уже начали использовать систему распознавания лиц. Возможно, даже запускают ClearView AI.

Сейчас от множества возмущённых граждан раздаются призывы использовать данные с вышек сотовой связи, лишь бы найти и наказать виновных.

Но важно понимать. Долговременный ущерб от нападения исходит не от самой толпы и того, что они сделали, а от того, как отреагирует общество.

Пару дней назад Илон Маск в твиттере порекомендовал использовать мессенджер Signal, не без последствий.


Однако в декабре 2020 года по средствам массовой информации прошла новость, что известная хакерская компания Cellebrite взломала шифрование этого криптомессенджера.

А читатели Хабра для секретной переписки предпочитают вовсе не Signal, а секретные чаты Telegram (по крайней мере, из принявших участие в нашем опросе).

Валидная цифровая подпись на DLL со встроенным бэкдором

Практически по всем профильным СМИ прошла новость о взломе программного обеспечения SolarWinds в рамках глобальной кампании кибершпионажа. Здесь нужно понимать масштаб атаки: этот софт для мониторинга IT-инфраструктуры (CPU, RAM, сеть) используют тысячи частных компаний и государственных учреждений, включая АНБ, Пентагон, Госдеп и проч. В общей сложности 300 000 клиентов по всему миру (данная страница уже удалена с официального сайта SolarWinds, по ссылке — копия из веб-архива).

Самое интересное в этой атаке: 1) внедрение бэкдора внутрь обновлений SolarWinds и 2) оригинальный механизм сокрытия данных в служебном HTTP-трафике программы SolarWinds. В двух словах расскажем о методе стеганографии (covert signaling), который здесь применялся.

Полнотекстовый поиск в зашифрованной почте

Для начала немного контекста. Tutanota — один из немногих почтовых сервисов, которые шифруют входящую почту по умолчанию, как Protonmail, Posteo.de и Mailbox.org. То есть почта хранится на серверах в зашифрованном виде. Провайдер не может её расшифровать, даже если захочет.

Однако постановление Кёльнского областного суда потребовало внедрить «функцию, с помощью которой можно отслеживать отдельные почтовые ящики и читать электронные письма в виде открытого текста».

Это нехороший прецедент для европейской правовой системы.

Security Certification Progression Chart 7.0, октябрь 2020 года

Специалист по информационной безопасности Пол Джерими (Paul Jerimy) проделал большую работу — и составил обширную схему с порядком получения сертификатов во всех областях ИБ: Security Certification Progression Chart. На сегодняшний день она включает в себя 362 программы сертификации.

Похоже, сертификация стала отдельным бизнесом, где учебные центры и центры сертификации думают не столько о проверке знаний специалистов, сколько о прибыли.

Стоимость некоторых сертификатов превышает разумные пределы. Для каждого сертификата в таблице указана стоимость его получения, а также предполагаемые дорожные расходы. Таким образом можно примерно вычислить, сколько стоит собрать все необходимые «корочки» и пройти этот путь до конца.

Здесь мы перечислим некоторые расширения, ориентированные на безопасность и приватность работы. Большинство из них работают в Chrome, это сейчас самый популярный браузер с долей около 40% в России, но многие из расширений выпускаются также под Firefox.

В целом набор полезных расширений можно разбить на пять категорий:

• Блокировка рекламы
  
• Скрытие и подделка информации (IP, геолокация, user agent)
  
• Очистка данных в браузере
  
• Настройки приватности
  
• Защита от зловредов и майнинговых скриптов

Ряд браузеров основаны на движке Chromium, его расширения совместимы с Brave, Opera и Vivaldi.

3 октября 2020 года программист jspenguin2017, автор расширения Nano Defender, сообщил в официальном репозитории, что продал проект «группе турецких разработчиков». Это сообщение вызвало массу слухов и опасений: что за турецкие разработчики, кто контролирует код, почему из репозитория удалена страница с политикой приватности?

Спустя несколько дней опасения сообщества полностью оправдались.

Бесплатный Wi-Fi в баре или кафе теперь стал обычным делом, и клиенты благодарны за эту услугу, особенно иностранцы в роуминге. Во многих заведениях посетителям просто сообщают название точки доступа и пароль, не затрудняя себя идентификацией пользователей и хранением журнала активности. Но оказалось, что так нельзя. Как сообщает французская газета Les Dernières Nouvelles d'Alsace, минимум пятеро управляющих баров и ресторанов в Гренобле задержаны полицией.

В этих барах не соблюдали малоизвестный закон от 2006 года, который обязывает в течение одного года хранить логи активности всех клиентов, которые подключались к Wi-Fi.