Разработчики проекта Chromium внесли изменение, которое устанавливает максимальный срок жизни TLS-сертификатов в 398 дней (13 месяцев).

Условие действует для всех публичных серверных сертификатов, выданных после 1 сентября 2020 года. Если сертификат не соответствует этому правилу, браузер будет отвергать его как недействительный, а конкретно отвечать ошибкой ERR_CERT_VALIDITY_TOO_LONG.

Для полученных до 1 сентября 2020 года сертификатов доверие будет сохранено и ограничено 825 днями (2,2 года), как сегодня.

На фоне событий в США резко выросла популярность защищённого мессенджера Signal — c 6000 до 26 000 скачиваний в день. В этой программе реализована стойкая криптография и сквозное шифрование, она распространяется с открытым исходным кодом и работает на известных криптографических протоколах (в отличие от проприетарного MProto).

Но теперь разработчики Signal столкнулись с новой угрозой. Правительство США пытается скомпрометировать защиту мессенджера и опять получить доступ к переписке пользователей. В 2016 году им удалось получить судебную повестку на изъятие переписки одного пользователя, но из-за сквозного шифрования там нечего было изымать.

В десятках городов США продолжаются погромы и массовые беспорядки. Среди разграбленных оказались в том числе фирменные магазины Apple Store. Для многомиллиардной компании несколько тысяч украденных устройств не имеют никакого значения с точки зрения прибыли. Но она предупредила воришек, что отследит каждый iPhone, украденный из фирменных магазинов.

Исполнительный директор Тим Кук разослал сотрудникам письмо со словами, что компания всегда выступала против расизма и нарушения прав человека. Несмотря на формальную поддержку протестующих, Apple всё равно стала одной из жертв грабежей.

Центр сертификации Sectigo (Comodo) заранее предупредил пользователей об истечении срока действия корневого сертификата AddTrust, который использовался для перекрёстной подписи, чтобы обеспечить совместимость с устаревшими устройствами, в хранилище которых нет нового корневого сертификата USERTrust.

20-летний срок действия AddTrust истёк 20 мая 2020 года в 10:48:38 UTC. К сожалению, проблемы возникли не только в устаревших браузерах, но и в небраузерных клиентах на базе OpenSSL 1.0.x, LibreSSL и GnuTLS. Например, в телевизионных приставках Roku (см. ответ в техподдержке от 30.05.2020), Heroku, в приложениях Fortinet, Chargify, на платформе .NET Core 2.0 под Linux и многих других.

Cервис NextDNS наконец-то вышел из беты и теперь официально предоставляет бесплатные услуги по блокировке рекламы и других вредоносных IP-адресов на уровне DNS. Это простой и эффективный метод защиты: NextDNS автоматически фильтрует трафик, не ведёт логов, шифрует DNS-запросы, поддерживает DNS over HTTPS (DoH), представляя собой альтернативу известным DNS-резолверам от корпораций Google, Cloudfalre и «Яндекс».

NextDNS похож на расширения для браузера вроде uBlock Origin, только блокирует адреса на уровне DNS, что в некоторых случаях представляется более удобным вариантом, потому что NextDNS блокирует ненужные запросы не только из браузера, но из других программ, например, из ОС Windows, MS Office, Adobe и так далее.

18 мая 2020 года компания GlobalSign анонсировала платформу PKI нового поколения под названием Atlas для автоматизации управления цифровыми сертификатами.

Это универсальная система на новом движке, куда в течение года будут добавлены все существующие решения GlobalSign по автоматизации управления сертификатами. Первым добавлен автоматизированный шлюз регистрации Automated Enrollment Gateway (AEG), который позволяет быстро и автоматизированно выпускать цифровые удостоверения и управлять ими.

Atlas послужит компаниям, которые сейчас вынуждены пользоваться решениями на основе, обычно, Microsoft CA и которым необходим собственный частный центр сертификации. Например, для регистрации каждого устройства Интернета вещей, оформления удостоверений на сотрудников или сертификатов на компьютеры, чтобы они могли безопасно и доверенно коммуницировать друг с другом и за пределами сети. Платформа GlobalSign Atlas предложит полностью готовое универсальное решение для таких ситуаций, чтобы компании сосредоточились на основном бизнесе, а не выделяли ресурсы на внедрение криптографии и PKI своими силами, рискуя информационной безопасностью.

Камера видеонаблюдения в квартире заражённого гражданина. Фото опубликовано в сообщении Weibo муниципальными властями района Чунси города Нанкин (сообщение сейчас удалено)

С течением времени люди постепенно привыкают к усиленному контролю в условиях вирусной пандемии. Вырабатывается терпимость даже к самым жёстким мерам, пишет The Washington Post. В Китае видеокамеры наблюдения всё чаще устанавливают в индивидуальном порядке перед входными дверьми и внутри квартир инфицированных жителей. В Индии установка следящей программы на мобильный телефон стала обязательной для всех трудоустроенных граждан и в государственном, и в частном секторе.

В публикации CNN перечисляется несколько случаев, когда видеокамеры наблюдения устанавливали непосредственно перед входной дверью или внутри квартиры.

Новый сервис WebWormHole работает как портал, через который файлы передаются с компьютера на другой. Нажимаете кнопку New Wormhole — и получаете код для входа. Человек с другой стороны вводит такой же код или URL — и между вами устанавливается эфемерный туннель, по которому напрямую передаются файлы. Очень просто и эффективно. Исходный код на Github.

Группа учёных из университета имени Бен-Гуриона в Негеве (Израиль) изучает способы передачи информации с изолированных компьютеров (airgap). Они уже разработали методы передачи данных морганием светодиода HDD, маршуртизатора или клавиатуры, электромагнитным излучением с шины USB и с карты GPU, звуками кулера GPU и магнитной головки HDD, через тепловое излучение и аудиоколонки (в неслышимом диапазоне), по изменению энергопотребления ПК и яркости дисплея. Оказывается, этим список не ограничивается.

13 апреля 2020 года учёные опубликовали описание новой атаки AiR-ViBeR с эксфильтрацией данных через вибрации вентилятора. Скорость передачи ниже, чем у других способов: всего 0,5 бит в секунду при закрытой крышке системного блока.

Шифрование электронной почты — трудная и болезненная процедура. Недавно я сам понял, насколько. Одна моя знакомая, очень продвинутая в сфере информационной безопасности, прислала мне свой открытый ключ PGP и попросила перейти на шифрование. Нет, она не из АНБ или ЦРУ, просто обычный человек, который заботится о своей конфиденциальности. Я никогда раньше не отправлял зашифрованные письма, но подумал: «Почему бы и нет?» Много лет я хотел это освоить, но не с кем было обмениваться шифрованными письмами.

Я начал с установки GnuPG на свой компьютер под Linux.

Google и Apple внедряют в свои операционные системы общий механизм Contact Tracing API для отслеживания контактов пользователя и передачи этих данных третьим лицам. Предполагается, что доступ к API получат программные сервисы, помогающие сдерживать распространение коронавируса. Возможно, модификация ОС производится по распоряжению американских властей, которые хотят упорядочить сбор данных о контактах людей.

Отслеживать контакты будут по протоколу Bluetooth Low Energy.

16 апреля 2020 года свои рекомендации опубликовала Еврокомиссия. Исполнительный орган ЕС заявил, что программные приложения, помогающие сдерживать распространение нового коронавируса, не должны собирать данные о местоположении пользователей, передаёт Reuters.

Подпись DocuSign добавляется в документ PDF в программе Adobe Acrobat Reader DC

Если работники сидят в карантине и не могут выйти в офис, то как подписывать документы?

GlobalSign и DocuSign заключили соглашение о технологическом партнёрстве. Это значит, что сервис цифровой подписи Digital Signing Service (DSS) от GlobalSign будет интегрирован в экосистему DocuSign Trust Service Provider (TSP). Пользователи TSP смогут легко использовать цифровые подписи, сгенерированные на бэкенде от GlobalSign.

Всё это работает на платформе DocuSign Agreement Cloud, которая объединяет более десятка приложений и более 350 таких «интеграций» для удобного создания цифровых сигнатур, управления и подписи документов.

TeamViewer — популярная программа для удалённого доступа к рабочему столу. Поэтому довольно интересно посмотреть, как она хранит пароли. Если вкратце, пароли хранятся в реестре Windows в зашифрованном виде. Для шифрования используется алгоритм AES-128-CBC и секретный ключ 0602000000a400005253413100040000.

Такой метод сохранения паролей и связанное с ним повышение привилегий официально зарегистрированы 7 февраля 2020 года как уязвимость CVE-2019-18988 (применима ко всем версиям TeamViewer до 14.7.1965 включительно).

Мгновенное распространение информации через социальные сети и мессенджеры — одна из примет современной эпохи. В интернете мало цензуры, поэтому важная информация распространяется вирусным путём, охватывает огромную аудиторию за считаные часы или минуты.

Каждый настраивает собственный «информационный фильтр», чтобы отсеивать источники, не заслуживающие доверия. Люди постепенно учатся это делать. Facebook и Twitter по требованию регуляторов набирают модераторов и удаляют фейки, например, про вред прививок. Но некоторые комментаторы считают, что эти попытки обречены на провал. Полностью отфильтровать дезинформацию в большом масштабе вообще невозможно, даже теоретически.

Например, очень трудно бороться с дезинформацией, которая идёт из официальных источников, а сейчас этой лжи особенно много. Правительства лгут своему населению, а эксперты ВОЗ вводят в заблуждение жителей всего мира.

Может, цензура со стороны интернет-компаний наносит больше вреда, чем пользы? Что вообще делать в такой ситуации? Кому можно доверять?

«Временные меры быстро станут постоянными»

Правительства во всём мире используют высокотехнологичные меры для наблюдения за населением в борьбе со вспышкой коронавируса. Приватность граждан приносится в жертву, лишь бы замедлить заражение. Стоит ли оно того?

Эдвард Сноуден так не считает.

Бывший подрядчик ЦРУ, который разоблачил ряд шпионских программ ЦРУ и АНБ, предупреждает, что как только технологический джинн выпущен из бутылки, его будет очень трудно вернуть обратно.

В тестовом билде Firefox Nightly реализован интересный режим. Возможно, когда-нибудь его включат по умолчанию, но сейчас он выглядит слегка необычно и его нужно вручную активировать из настроек.

Это режим HTTPS-only, в котором вы не можете загрузить сайты по незащищённому каналу. Если ввести адрес http://, то браузер пытается переадресовать запрос на https://, а в случае неудачи — блокирует загрузку. Все соединения должны быть зашифрованы в обязательном порядке.

Если не случится ничего экстраординарного, то функция перейдёт в финальный релиз Firefox 76, который планируется к выходу 5 мая 2020 года.

Самоизоляция и работа из дома — эффективное мера против распространения инфекции. Здесь масса дополнительных бонусов: повышение эффективности труда, финансовые выгоды для компании, пропаганда идеи минимального базового дохода (выплаты людям, чтобы они не выходили из дома, в итоге многократно окупаются), улучшение экологии. Но есть и один серьёзный недостаток. Внезапный переход на удалёнку миллионов сотрудников без должной подготовки порождает огромные риски для информационной безопасности. Корпоративные VPN не всегда рассчитаны на такую нагрузку, а сами сотрудники зачастую не умеют использовать криптографические инструменты, работают через слабые бытовые маршрутизаторы из незащищённой домашней сети.

TeamViewer — популярная программа для удалённого доступа к рабочему столу. Поэтому довольно интересно посмотреть, как она хранит пароли. Если вкратце, пароли хранятся в реестре Windows в зашифрованном виде. Для шифрования используется алгоритм AES-128-CBC и секретный ключ 0602000000a400005253413100040000.

Такой метод сохранения паролей и связанное с ним повышение привилегий официально зарегистрированы 7 февраля 2020 года как уязвимость CVE-2019-18988 (применима ко всем версиям TeamViewer до 14.7.1965 включительно).

В США довольно популярен сервис Service Experts по удалённому найму сантехников, специалистов по отоплению, кондиционированию воздуха и так далее. В России тоже есть аналогичные сайты: очень удобно быстро подобрать мастера. Хотя в нынешних условиях лучше самостоятельно прибить эту полку, чтобы вообще ни с кем не контактировать. Так или иначе, недавно компания USAFact (провайдер скрининга для тысяч компаний, в том числе Service Experts) подписала договор с GlobalSign на индивидуальное внедрение сервиса цифровой подписи (Digital Signing Service), который был развёрнут за четыре месяца — и теперь действует для предварительного скрининга всех мастеров Service Experts.

Это пример, как можно организовать удалённую работу наёмных сотрудников с корректным оформлением документов. Актуально в нынешней ситуации.

Рис. 1. OpenVPN vs WireGuard, тест Ars Technica

WireGuard — свободный и открытый протокол виртуальных частных сетей, призванный заменить IPsec и OpenVPN. В январе 2020 года после полутора лет доработки кода всё-таки состоялось долгожданное событие — Линус Торвальдс принял VPN WireGuard в основную ветку Linux 5.6.

Очень скоро этот VPN станет частью ядра Linux — сердца операционной системы с открытым исходным кодом, на которой работает весь мир, от веб-серверов до телефонов Android и автомобилей. Это действительно важное событие, потому что WireGuard устроен на порядок проще и логичнее предыдущих VPN. В июне 2019 года получено автоматизированное криптографическое доказательство математики протокола.