В 2013 году сотрудники Европейской организации по ядерным исследованиям (ЦЕРН) с участием коллег из Гарвардского университета и Массачусетского технологического университета разработали ProtonMail — почтовый сервис с шифрованием. Он находится в Швейцарии. По мнению разработчиков, сервис защищён от действия американских и европейских законов, в первую очередь, от контроля АНБ. Главная цель — обеспечить безопасность и уважение к частной жизни пользователей. В каком-то смысле ProtonMail стал ответом на закрытие криптопочты Lavabit после атаки американских спецслужб на её создателя Ладара Левисона. Швейцарская компания Proton Technologies AG не попадает под действие американских законов, что сводит к минимуму вероятность подобного сценария.

В сентябре 2018 года ProtonMail достиг значительного рубежа: 5 миллионов зарегистрированных пользователей. «Мы хотим, чтобы вы смогли полностью дегуглифицировать свою жизнь, — сказал сооснователь и исполнительный директор компании Энди Йен в интервью изданию Inverse. — ProtonMail даёт все [необходимые] функции, а также безопасность и конфиденциальность, которые Google не может предоставить. Это наше долгосрочное видение». Кроме почты, в будущем появится шифрование документов, электронных таблиц и всего остального.

Скриншот thurrott.com

В инсайдерской сборке Windows 10 v.1809 появилась новая функция. При попытке пользователя установить Firefox или Chrome система теперь показывает сообщение, что на компьютере уже есть Microsoft Edge — и предлагает запустить этот «более быстрый и безопасный браузер».

ОС перехватывает установку альтернативного софта, который не одобряется к установке, и пытается отговорить пользователя от нежелательных действий.

Chrome DevTools в 2018 году

К десятилетию Chrome компания Google выпустила масштабное обновление — Chrome 69 с обновлённым интерфейсом, новым менеджером-генератором случайных паролей, ответами в «омнибоксе» без захода на поисковый сайт, поиском вкладок (если у вас открыто много вкладок и вы хотите найти нужную) и другими изменениями. К сожалению, новая версия не стала таким праздником, на какой рассчитывали создатели.

Несколько дней назад активисты движения за свободное аппаратное обеспечение выпустили вторую версию крошечного Linux-компьютера VoCore2 размером 25,6×25,6×3,0 мм, то есть с крупную монету (почти вписались по площади в квадратный дюйм). В спичечный коробок поместится примерно восемь таких компьютеров.

Это потомок того самого VoCore, на который собирали деньги через Indiegogo. Всё-таки собрали, и проект живёт. Это абсолютно открытый компьютер, который кто угодно может собрать из указанных комплектующих (или купить плату в сборе за $17,99). Компьютер работает на прошивке OpenWrt/LEDE, то есть идеально подходит на роль портативного маршрутизатора.

Не все ясно представляют, как их отслеживают в интернете. Кто-то знает про куки и прозрачные пиксели, но забывает о фингерпринтинге через теги HTML5 и других методах. Маркетинговые фирмы изобретают новые способы отслеживать пользователей, а мы и сами зачастую помогаем в этом, заходя в свои аккаунты Google и Facebook. После такого отслеживание на других сайтах становится тривиальной задачей через кнопки Like и скрипты партнёрских рекламных сетей.

К сожалению, блокировщики рекламы и скриптов установлены не на каждом компьютере, а эти скрипты не только угрожают безопасности, но ещё и замедляют загрузку страниц. Учитывая эти факторы, разработчики Firefox объявили о серьёзном решении: в ближайшее время Firefox начнёт блокировать по умолчанию онлайновые трекеры со сторонних сайтов.

Судя по всему, внедрение этих функций является частью продолжающегося слияния браузеров Firefox и Tor.

Простой скрипт изменяет поведение кнопки Back в браузере и подменяет исходную поисковую выдачу, направляя пользователей на контролируемые хакером копии сайтов конкурентов

Распространённый паттерн: открыть страницу поиска в Google и щёлкать по разным результатам в поисках нужной информации. Можно открыть десятки отдельных вкладок или ходить на каждый сайт по очереди, возвращаясь затем на поисковую выдачу (кнопка Back в браузере). Специалист по поисковой оптимизации Дэн Петрович из австралийской компании Dejan Marketing придумал, как эксплуатировать этот паттерн с выгодой для себя и получить обширную статистику посещений сайтов конкурентов, лишив их трафика.

Схема показана на иллюстрации вверху. Перехватывая трафик конкурентов, специалист получает возможность:

• генерировать теплокарты чужих сайтов (клики, переходы, глубина прокрутки)
• записывать реальные сессии (движения мыши, нажатия клавиатуры)
• получать весь текст из заполненных форм, в том числе форм для заказа товаров

23 июля Илон Маск, директор компании Tesla Motors, которая выпускает известные электромобили, поделился планами: «Мы собираемся полностью избавиться от контрактов, — написал он в твиттере. — Должна быть просто кнопка „Нажмите здесь — и получите свою машину”. А затем, если она вам по каким-то причинам не понравится, то вы просто возвращаете её, как любой другой товар».


Маск написал это в ответ автовладельцу JD Mankovsky: тот пожаловался что его невестка пришла покупать Tesla X — и очень долго ожидала, пока в салоне закончат оформление всех бумаг, Вероятно, там возникли какие-то непредвиденные проблемы. Девушка пришла в салон в 14:00, но смогла уехать на своём автомобиле только в 21:00.

Инновационный автомобиль, который получает апгрейды через интернет, технологии будущего — но людей заставляют ставить физическую подпись на бумаге, как в средние века.

Недавно компания Google представила новый дизайн Gmail. При желании каждый пользователь может перейти на него, а скоро всех пользователей G Suite переведут принудительно.

В этом дизайне реализовано несколько новых функций безопасности, в том числе так называемый конфиденциальный режим. Здесь отправитель устанавливает срок действия письма, после которого оно «исчезает». По крайней мере, так должно работать. На самом деле есть несколько способов обойти эту защиту, сохранить полученное сообщение, скопировать или распечатать.

Работа над новой версией протокола TLS 1.3 практически завершена. После четырёх лет обсуждения в марте 2018 года комитет IETF утвердил 28-ю версию черновика в качестве предложенного стандарта, так что она должна стать последней перед принятием окончательных спецификаций.

TLS 1.3 примерно вдвое ускоряет процесс установления безопасного соединения за счёт объединения нескольких шагов на этом этапе. Кроме того, в нём реализован режим совершенной прямой секретности через эфемерные ключи (EC)DH. Этот режим гарантирует защиту сессионных ключей даже в случае компрометации ключей долговременного пользования.

Неделю назад состоялся релиз свободной библиотеки для генерации pdf-файлов версии OpenPDF 1.1.0, самый значительной апгрейд этой библиотеки за последнее время.

OpenPDF — это Java-библиотека для создания и редактирования файлов PDF, которая распространяется под двойной лицензией LGPL/MPL. Библиотека основана на форке iText. В реальности у неё такая история:

LibrePDF/OpenPDF

forked from rtfarte/OpenPDF

forked from kulatamicuda/iText-4.2.0

forked from daviddurand/iText-4.2.0

forked from ymasory/iText-4.2.0

Все форки ведут историю от одной версии iText 4.2.0, которая вышла восемь лет назад и стала последней версией под свободной лицензией. Сами разработчики iText перешли на AGPL и сконцентрировались над созданием пятой версии, чтобы более успешно продавать коммерческий софт. К настоящему времени они доросли до версии iText 7. Но свободный проект тоже не погиб, а продолжил развитие силами всего сообщества.

Детальные логи Office 365 Outlook, извлечённые программой Magic-Unicorn-Tool: злоумышленник ищет счёт на оплату (payment invoice). Первая буква поискового запроса введена в 10:42:44.548, последняя в 10:43:07.214. Информация об активности хранится в логах шесть месяцев

Долгое время ходили слухи, что в Office 365 есть встроенный секретный инструмент для записи активности пользователей. В июне 2018 года эти слухи подтвердились в полной мере. Всё началось с видеоролика, опубликованного Anonymous, а потом уже специалисты CrowdSrtike выложили подробный отчёт.

Microsoft внедрила в почтовый клиент Activities API не для каких-то злонамеренных целей, а для задач цифровой криминалистики, то есть расследования инцидентов со взломом корпоративной почты и другими утечками данных. Для этого ведётся подробнейший лог активности за шесть месяцев даже если пользователь отключил журналирование.

25 июня 2018 года Wi-Fi Alliance официально представил программу сертификации Wi-Fi CERTIFIED WPA3. Это первое за последние 14 лет обновление протоколов безопасности Wi-Fi.

По заявлению альянса, WPA3 (Wi-Fi Protected Access 3) «добавляет новые функции для упрощения безопасности Wi-Fi, обеспечения более надёжной аутентификации, повышения криптографической стойкости для высокочувствительных рынков данных и обеспечения отказоустойчивости критически важных сетей». Во всех сетях WPA3:

• Используются последние методы безопасности
• Запрещены устаревшие протоколы
• Обязательна функция защиты управляющих фреймов от компрометации PMF (Protected Management Frames)

В мае этого года на конференции конференции Google I/O 2018 представили третью версия технологии reCAPTCHA — reCAPTCHA v3 (бета). Как известно, это самая популярная система типа CAPTCHA, которая создана для блокировки ботов, то есть автоматизированных действий на разных сервисах.

Систему критиковали за эксплуатацию бесплатного человеческого труда (в случае первой версии, которую Google использовала для оцифровки книг), за осложнение жизни людям с нарушениями зрения и другими болезнями вроде дислексии. Ещё reCAPTCHA критикуют за излишнюю сложность: людям трудно или невозможно правильно ответить на вопрос: тест становится просто абсурдным. На иллюстрации слева показы несколько примеров с первой версии reCAPTCHA. Ситуация не слишком улучшилась с выпуском второй версии (где нужно выбрать картинки, содержащие указанный объект).

Но третья версия — совершенно другое дело. Она точно никому не помешает, потому что работает незаметно для пользователей, используя методы поведенческого анализа.

Данная статья предлагает пошаговую инструкцию по установке сертификата на HTTP сервер Apache. Обратите внимание, что с версии 2.4.8 Apache параметры конфигурации сервера были изменены.

Публичное раскрытие уязвимости в сторонней проверке подписи кода Apple

В отличие от некоторых предыдущих работ, данная уязвимость не требует прав администратора, не требует JIT-кода или повреждения памяти для обхода проверки подписи кода. Всё что нужно — правильно отформатированный файл Fat/Universal, и проверка подписи кода покажет валидный результат.

Резюме

• Найденный обход применяемого сторонними разработчиками API для подписи кода позволяет представить любой код как подписанный Apple.
• Все известные вендоры и проекты с открытым исходным кодом уведомлены (см. список ниже). Для них доступны патчи.
• Есть вероятность, что проблема затрагивает другие сторонние программы, где используются официальные API подписи кода от Apple.
• Разработчики несут ответственность за правильное использование API подписи кода. Есть инструменты демо-взлома (PoC) для тестов.
• Относится только к macOS и более старым версиям OSX.

Активисты Tor объявили о начале проекта FUSION (переводится как «слияние», но одновременно представляет собой аббревиатуру Firefox USIng Onions). Это проект по интеграции функций Tor Browser непосредственно в Firefox.

Как известно, Tor Browser строится на основе Firefox ESR с кучей патчей, специфических для Tor. Разработчикам анонимного браузера не очень удобно тратить время на перебазирование этих патчей из одного репозитория в другой. Поэтому несколько лет назад совместно с Mozilla был организован проект Uplift, который предусматривал автоматическое включение патчей Tor Browser в кодовую базу Firefox. На протяжении последних полутора лет новые функции информационной безопасности одновременно внедрялись в Tor Browser и Firefox. Это изоляция элементов (First-Party Isolation, настройка privacy.firstparty.isolate в Firefox 52+, она же часть ключевой системы Cross-Origin Identifier Unlinkable, которая обеспечивает анонимность в Tor Browser), система противодействия фингерпринтингу, в том числе фингерпринтингу по установленным шрифтам, противодействие фингерпринтингу по HTML5 canvas, новая настройка privacy.resistFingerprinting в Firefox 59+ и т. д.

Теперь наступило время для следующего этапа: более плотной интеграции и в конечном итоге полного слияния Firefox и Tor Browser.

Шифровальная машина Enigma. Ходят слухи, что это первое из устройств, куда внедрило бэкдор АНБ. Это произошло после WWII в сотрудничестве с фирмой-производителем Crypto AG. С тех пор внедрение таких бэкдоров стало чуть ли не стандартной практикой для американских разведчиков

Многие говорят о всемогуществе американских спецслужб: мол, они делают аппаратные закладки в CPU (чипы Clipper) и оставляют бэкдоры в стандартах шифрования на этапе создания этих стандартов, как было с алгоритмом Dual_EC_DRBG, принятым NIST в качестве стандарта ГСЧ. Документы Сноудена показали, что АНБ заплатило RSA за включение этого ГСЧ в своё программное обеспечение.

Но в реальности даже их влияние не безгранично. Если верить источнику WikiTribune из Международной организации по стандартизации (ISO), в апреле этого года развернулась целая дискуссия между специалистами из международной группы экспертов по безопасности ISO и сотрудниками Агентства национальной безопасности США (АНБ), которые представили новые блочные шифры для Интернета вещей.

ASIC беспроводной HD-видеокамеры. Фото: Вашингтонский университет

Обратное рассеяние (backscattering) — физическое явление, при котором происходит отражение волн, частиц или сигналов в обратном направлении, то есть в сторону источника. Оно традиционно используется в астрономии, фотографии и УЗИ. Но оказывается, что это явление можно использовать для электроники, сенсоров и радиопередатчиков.

В лаборатории сенсорных систем Вашингтонского университета разработали HD-видеомодуль, который передаёт видеопоток 720p и 1080p на 60 FPS с энергопотреблением 321 и 806 мкВт, соответственно. Это в 1000−10000 раз меньше, чем у существующих беспроводных камер. Другими словами, модулю вполне хватит энергии, извлекаемой из окружающей среды (WiFi, свет, вибрация, разница температур, излучение СВЧ и проч.).

Этого удалось добиться за счёт устранения из устройства «лишней» электроники, в том числе АЦП и видеокодера. Сигнал с сенсора передаётся в аналоговом виде через широтно-импульсный модулятор с обратным рассеянием.

Несколько месяцев назад разработчики Chrome объявили, что в июле 2018 года начнут помечать как небезопасные все страницы HTTP. Значок «Не защищено» (“Not secure”) появится в адресной строке рядом с URL.

Это важное нововведение, потому что людей приучают избегать сайтов, которые не установили сертификат TLS для шифрования трафика. Ведь такие сайты действительно подвергают опасности пользователей. Например, провайдеры и другие злоумышленники могут внедрять в незашифрованный трафик рекламу, криптомайнеры и другой вредоносный контент. В опросе на Хабре 55% пользователей согласились, что все сайты должны шифровать трафик по HTTPS.

Сейчас стало известно об ещё одном изменении, смысл которого сразу не так очевиден. Оказывается, с версии Chrome 69 (сентябрь 2018 года) у защищённых сайтов HTTPS исчезнет индикатор «Защищено». Спрашивается, почему?

В марте 2018 года Альянс FIDO (Fast IDentity Online) и Консорциум W3C достигли важного рубежа: после двух лет разработки стандарт Web Authentication (WebAuthn) получил статус кандидата в рекомендации (CR) — это стабильная версия документа, в которую больше не планируется вносить принципиальных изменений. Обсуждение CR завершилось 1 мая.

Что дальше? Теперь очередь Google, Mozilla и Microsoft. Когда поддержку Web Authentication API независимо и совместимо реализуют в двух браузерах, стандарт получит статус предложения в рекомендации. К этому моменту будут рассмотрены все предложения от сообщества — и документ представят Консультативному Совету W3C для окончательного утверждения.