День смены паролей, офис в городе Энске, реконструкция, цвет

Если эта статья не проделала брешь в пространственно-временном континууме, то на дворе 2018 год, а в большинстве крупных организаций до сих пор меняют пароли каждые 30-90 дней. Тема того, что принудительная постоянная смена паролей лишь снижает секьюрность, но никак ее не повышает, поднималась на Хабре уже много раз (1, 2, 3), но в них, обычно, обсуждались частные случаи, а в комментариях пользователи активно делились опытом, как они защищают свои собственные учетные записи.

То что связка условного KeePass+токен, присыпанная двухфакторной аутентификацией намного надежнее, чем условная смена паролей раз в 30-90 дней, понятно и без объяснений. Но как метко заметил один из комментаторов в прошлых публикациях, зачастую инициатива на подобные «эффективные» меры исходит с самого верха организации, а спорить с генеральным директором без достойных аргументов себе дороже. Поэтому я решил попробовать доступно разложить, откуда растут ноги столь распространенной и одновременно неэффективной практики, какие им существуют альтернативы и с чем они сопряжены. Возможно, после прочтения этой статьи некоторыми руководителями, работать в отдельных компаниях станет немного лучше.

Ни для кого не секрет, что крупнейшая социальная сеть мира Facebook уже давно не используется по своему изначальному и прямому назначению — для общения с родственниками, друзьями и знакомыми. Современный Facebook — это огромный «интернет в интернете», через который продаются товары и услуги, проводятся рекламные компании, распространяются новости и, что немаловажно, ищутся сотрудники или новые рабочие места.

Несколько дней назад руководство социальной сети сделало очередной шаг на пути адаптации Facebook к поиску работы (претендуя тем самым, в первую очередь, на рынок LinkedIn): компанией были наняты топ-менеджеры и вся команда сервиса Refdash, которые уже официально стали частью команды Facebook Jobs. Изначально Refdash ориентировался на поиск и найм технических специалистов, однако Facebook удалось соблазнить команду проекта на переход под патронаж социальной сети и работу над Facebook Jobs:

Мы решили воспользоваться новой возможностью и стать частью более крупной, быстрорастущей команды, где мы сможем оказать гораздо большее влияние и продолжить нашу работу.

В современной парадигме информационной безопасности для масс прочно укрепилось мнение, что cyber security — это дорого, сложно, а для рядового пользователя фактически невозможно. Так что если вы хотите в полной мере защитить свои данные и персональную информацию, то заведите себе аккаунт у Google или Amazon, прибейте его гвоздями в плане идентификации владельца и периодически проверяйте тревожные оповещения, что большая и сильная компания пресекла очередную попытку входа.

Но люди, разбирающиеся в ИБ всегда знали: облачные сервисы намного более уязвимы, чем отдельная рабочая станция. Ведь в случае форс-мажорной ситуации ПК можно физически ограничить доступ в сеть, а там уже начинается гонка по смене явок и паролей на всех атакуемых направлениях. Облачная же инфраструктура огромна, зачастую децентрализована, а на одном и том же физическом носителе могут храниться данные нескольких клиентов, либо наоборот, данные одного клиента разнесены по пяти континентам, а объединяет их лишь учетная запись.

Короче говоря, когда интернет был сравнительно свеж и юн (а было это в 2003 году), тогдашние специалисты по информационной безопасности внимательно посмотрели на систему защиты от переполнения буфера 1997 года, и разродились технологией, которую сейчас мы называем Honeytoken или Canarytoken. И пятнадцать лет они исправно работали (и до сих пор работают), вот только последнее исследование говорит, что вместо последнего рубежа обороны в ряде сервисов AWS, Honeytoken превратился в зияющую дыру в ИБ из-за особенностей реализации на стороне Amazon.

*Эта функция была введена с версией 69 и вызвала неоднозначную реакцию сообщества. Исправление выйдет только с патчем 70 в середине октября.

Один из главных скандалов вокруг Google за последнюю неделю связан с незаметной, но потенциально крайне неприятной функции автоматического подключения профиля пользователя Chrome после логина на любом из ресурсов компании. При этом Cookies, связанные с гугло-сервисами, невозможно удалить средствами браузера даже через расширенные настройки браузера.


Новая «особенность» Chome появилась с последним обновлением до версии 69, которая кроме значительных визуальных изменений привезла аудитории еще и «новый UX» в плане логина. Большинство пользователей не отключает использование Cookies, предпочитая безопасности комфорт, однако в неприятном положении оказались люди более сознательные, а также все те, кому надо войти в свою Google-почту или аккаунт YouTube на чужих машинах с последующей очисткой истории браузера.

К детской продукции всегда выдвигались особые требования. Тут и безопасность, надежность, простота, возможность удаленного управления, если мы говорим о детских устройствах и сервисах, и много чего еще. Функция «родительских контроль» почти так же стара, как и весь цифровой мир, кроме этого вопрос защиты персональных данных детей стоит остро уже достаточно давно.

Но даже если ваш ребенок обладает достаточной технической грамотностью и знаком с правилами поведения в сети (не разглашать свои персональные данные, реальное место жительства, график, маршруты и так далее по вполне понятным нам всем причинам), от утечки этой информации он не защищен. В последнем исследовании говорится, что огромная масса детских приложений с пометкой «до 13 лет» следят за своими юными пользователями так же, как за нами, взрослыми, следят приложения Facebook или Google.

Простенькие игры, цель которых — развитие или развлечение чада, вполне себе собирают всевозможную информацию от устройства и датчиков, в том числе и данные геолокации и акселерометра. Кстати говоря, за детьми в нарушение закона следят и крупные технологические компании и социальные сети. И это серьезная проблема, особенно, если брать в расчет современное машинное обучение и нейросети.

С приходом в нашу жизнь USB-устройств и USB-портов одним из главных требований к безопасности стало внимательное отношение к точкам подключения, которые способны проводить передачу данных между девайсами. Собственно, по этой причине в ОС Android с самых ранних версий (с 2.0 так точно) существует опция ручного включения порта устройства в режим передачи информации с объектом подключения, т.е. с портом USB. Без активации этой функции устройство лишь заряжается от USB, игнорируя всякие (очевидные) запросы на обмен информацией от второй стороны.

Но Кевин Батлер и его исследовательская группа в области информационной безопасности Университета Флориды недавно обнаружили крайне элегантный и при этом довольно опасный способ атаки на пользовательские устройства через USB-порт. При этом сам порт выступает для наблюдателя лишь как источник питания и может размещаться в любом публичном или не очень месте, например, на зараженном ПК, в кафе или точке зарядки USB-устройств в аэропорте. Для атаки должно выполняться одно условие кроме доступа к обмену данными с портом зарядки со стороны злоумышленника: выход экрана смартфона из поля зрения хозяина (чтобы он не заметил, что устройство стало «жить своей жизнью»).

При этом пароль блокировки экрана обходится одной короткой командой, что дает атакующему доступ к главному экрану смартфона.

[UPD 2] Команда Pain Gaming победила OpenAI Five. Матч длился 53 минуты и закончился со счетом 45-41 по фрагам в пользу ботов. Запись игры можно посмотреть на Twitch тут. Начало на 7:38:00

Сегодня вечером, 22 августа, перед началом очередного дня плей-офф The International, в рамках шоу-активностей пройдет первый показательный матч между профессиональными игроками и ботом OpenAI Five. Информация о матчах появилась на официальном сайте Dota 2 в разделе с расписанием игр плей-офф The International. Всего OpenAI сыграет три матча за три дня с про-игроками.

Знаменательно это событие тем, что год назад бот уже «расправился» Даниилом Ишутиным в противостоянии 1x1 solo mid mirror SF, а несколько недель назад одолел «сборную солянку» из комментаторов и бывших про-игроков.

На этот раз разработке компании, которая спонсируется Илоном Маском и другими видными бизнесменами из IT-сектора предстоит встретиться с более серьезным противником: The International ежегодно собирает лучшие команды мира, так что ботам будет непросто. Пока команда разработчиков не сообщала, будут ли действовать все старые ограничения по пикам и механикам, которые были актуальны в игре против людей в начале месяца, но о них стоит напомнить.


В комментариях к нашей прошлой публикации на эту тему разгорелось множество споров о методах обучения нейросетей. На этот раз мы принесли немного наглядных материалов о том, как работает бот OpenAI и как это выглядит с точки зрения людей.

В начале этого года информационное пространство потрясли новости о Spectre и Meltdown — двух уязвимостях, использующих спекулятивное исполнение кода для получения доступа к памяти (статьи и переводы на эту тему на Хабре: 0, 1, 2, 3, 4, 5, 6, 7, 8 и в поиске можно найти еще десяток других). Примерно в тоже время, когда техническое сообщество активно обсуждало снижение производительности процессоров Intel и проблемы архитектуры современных процессоров в целом, которые и позволяют эксплуатацию подобных дыр, две группы исследователей независимо друг от друга стали внимательнее исследовать вопрос спекулятивного исполнения кода на процессорах Intel.

Как итог, обе группы пришли к тому, что использование этого вектора атаки позволяет не только получить доступ к кэшу процессора, но и считывать/изменять содержимое защищенных областей Intel SGX (1, 2), в расшифровке — Intel Software Guard Extensions. Таким образом еще более серьезной атаке подвержены новейшие чипы от Intel на архитектурах Sky Lake (шестое поколение) и Kaby Lake (седьмое и восьмое поколение). И все было бы не так печально, если бы SGX использовалась только системой, но к этим областям обращаются и пользовательские приложения.

Вчера, 5 августа, в Сан-Франциско состоялся шоу-матч между людьми и ботами OpenAI в дисциплине Dota 2. Еще в 2017 году в рамках шоу-матчей The International 2017 люди сражались с OpenAI в формате «1х1 mirror mid» и с целым рядом ограничений в пользу ботов (запрет на использование ряда предметов и механик), что закончилось поражением профессиональных игроков-мидеров.

Так как Dota 2 — дисциплина крайне разносторонняя и сложная для освоения, встреча между людьми и ИИ вновь проводилась с целым рядом ограничений, которые, однако, не слишком радикально влияли на игровой процесс:

• пул из 18 героев в режиме Random Draft (Axe, Crystal Maiden, Death Prophet, Earthshaker, Gyrocopter, Lich, Lion, Necrophos, Queen of Pain, Razor, Riki, Shadow Fiend, Slark, Sniper, Sven, Tidehunter, Viper, или Witch Doctor);
• без Divine Rapier, Bottle;
• без подконтрольных существ и иллюзий;
• матч с пятью курьерами (ими нельзя скаутить и танковать);
• без использования скана.

Самое серьезное ограничение: крайне малый пул героев для обеих сторон. Сейчас в Dota 2 существует 115 персонажей с различными способностями и механиками их применения. OpenAI пока может совладать лишь с 18 из них. Встреча была максимально приближена к «реальным» условиям и проводилась в формате 5х5. Против ИИ играли обычные люди, в прошлом когда-то причастные к киберспорту, но сейчас не являющиеся киберспортсменами. Единственная поблажка для людей заключалась в том, что реакция ботов была ограничена 200 мс, чтобы избежать ситуаций с мгновенным «прожатием» кнопок. Итог: команда ИИ выиграла у людей со счетом 2-0 по картам. Выиграть у OpenAI удалось только после того, как героев для ИИ выбрал зрительный зал (Slark, Sven, Axe, Riki и Queen of Pain), по оценкам OpenAI шанс на победу с таким драфтом составлял всего 2,9%. Кроме этого, до начала главного матча, с ботами могли сыграть рядовые гости мероприятия, и в этих встречах доминирование ИИ было еще более наглядно, что впечатляет.

Команда Павла Дурова официально представила публике собственный сервис верификации и безопасной авторизации на сторонних ресурсах под названием Telegram Passport. Соответствующая запись была размещена в официальном блоге мессенджера Telegram. Доступ к сервису из сторонних платформ уже получил ресурс ePayments.com, в будущем ожидается значительное расширение этого списка.

Telegram Passport — унифицированный метод авторизации для сервисов, требующих персональную идентификацию пользователей. Загружайте ваши документы только один раз для того чтобы иметь постоянную возможность пользоваться сервисами, требующими реальные идентификационные данные (финансовые инструменты, ICO, и прочие).

К идентификации принимаются не только классические данные в виде ФИО, номера телефона и скана/фото паспорта, но так же и водительские удостоверения, ID-карты, данные о прописке, данные о временной регистрации. Кроме этого система принимает селфи с документами для подтверждения того, что идентификацию проходит реальный человек, а не злоумышленник, который завладел персональными данными пользователя.

Исследователи в области информационной безопасности из фирмы Armis сообщили на днях о том, что около 500 млн IoT-устройств подвержены атаке через перепривязку DNS. В ходе этой атаки злоумышленник привязывает устройство жертвы к вредоносному DNS, что в последующем позволяет проводить целый ряд операций. Так, атака позволяет в последующем запускать вредоносные процессы, собирать конфиденциальную информацию или использовать IoT-устройство в качестве промежуточного звена.

Если кратко, сама атака происходит по следующему сценарию:

1. Атакующий настраивает собственный DNS-сервер для вредоносного домена.
2. Атакующий предоставляет жертве ссылку на вредоносный домен (на этом этапе используется фишинг, IM-спам, XSS или маскировка вредоносной ссылки в рекламных объявлениях на популярных и полностью «белых» сайтах).
3. Пользовательский браузер делает запрос на получение DNS-параметров запрашиваемого домена.
4. Вредоносный DNS-сервер отвечает, браузер кэширует адрес.
5. Согласно параметру TTL внутри первичного ответа DNS-сервера в одну секунду, браузер пользователя выполняет повторный DNS-запрос для получения IP-адреса.
6. DNS злоумышленника отвечает целевым IP-адресом.
7. Атакующий неоднократно использует вредоносный DNS-сервер для доступа ко всем интересующим IP-адресам в атакуемой сети для достижения своих целей (сбор данных, выполнение вредоносного кода и так далее).

С приходом на рынок ASIC-решений для майнинга биткоина многие специалисты утверждали, что добыча криптовалют с помощью видеокарт канет в лету так же, как это случилось и с майнингом на CPU.

Однако рост популярности альткоинов на отличных от SHA256 алгоритмах внес определенные коррективы. Условно, майнинг разделился на ASIC и GPU сегмент. Большинство современных блокчейнов имеют ASIC-стойкие алгоритмы шифрования: это справедливо для Ethereum, Monero и других популярных монет. При этом, подобный подход — сознательная политика разработчиков упомянутых криптовалют. Таким образом они стимулируют «массовость» майнинга и снижают порог вхождения в сферу, вовлекая в процесс добычи по принципу Proof-of-Work все новых и новых участников. Но для майнинга на видеокартах недостаточно купить любую карточку и воткнуть ее в риг: разные альткоины базируются на разных алгоритмах, которые влияют на эффективность добычи в зависимости от архитектуры самой видеокарты.

Одна из самых сложных проблем современной 3D-анимации до сих пор заключается в такой, на первый взгляд, простой вещи, как отрисовка волос. На самом деле создание прически — это одна из наиболее сложных и трудоемких операций, которую можно себе вообразить. Анимационные и игровые студии уже достаточно давно научились использовать реальных актеров для снятия их движений и придания реалистичности действиям персонажей. То же касается и животного мира, когда речь идет о «звериных» анимационных фильмах, даже если персонажей делают антропоморфными (как, например, в «Зверополисе»). Но если анимация шерсти или коротких «полубокс» стрижек еще кое-как дается художникам, то с длинными женскими прическами все крайне и крайне неоднозначно. По этой причине многим студиям и проектам приходится отказываться от реализма в своих работах и использовать более простую, «мультяшную» рисовку.


Фото: Disney Research

Компания Дисней (с учетом ее имперских амбиций на рынке) с таким подходом мириться не хотела, поэтому несколько дней назад публике был представлен новый метод трекинга и управления поведением волос анимационных персонажей. При этом разработка применима как и для рынка анимационных фильмов, так и для рынка геймдева. Основное отличие новой системы от устоявшихся практик: отказ от создания сетки «локонов» и переход к динамической системе с «якорями». В своем релизе специалисты Дисней рассказывают о новой системе генерации волос, которая базируется на принципе взаимодействия с центром масс и опорных точек внутри локонов.

Компания Apple представила публике новую функцию защиты от взлома своих устройств под управлением iOS 11.4.1 и выше. Принцип защиты базируется на отключении передачи данных через Lightning-порт устройства через час после блокировки экрана. Сделано это для того, чтобы ограничить возможность подключения сторонних устройств к смартфону без ведома владельца. Новая функция была названа режимом USB Restricted (в настройках — USB accesories) и по мнению представителей компании сможет значительно повысить защищенность продукции Apple от взлома в случае потери или кражи устройства.


Кроме очевидной невозможности установить связь с устройством через Lightning-порт, новая система защиты имеет еще одну особенность: смартфон продолжает заряжаться, но становится полностью «немым», то есть не определяется другими устройствами, как нечто «умное» и имеющее свою собственную память. Таким образом, при потере заблокированного iPhone с включенным режимом USB Restricted устройство достаточно быстро превратится в банальный кирпич, который можно только заряжать для того, чтобы его смог обнаружить владелец.

Популярный VPN-плагин для Chrome и Android под названием Hola, которым пользуется более 50 млн человек по всему миру, был скомпрометирован. Целью атаки являются пользователи MyEtherWallet — одного из крупнейших горячих онлайн-кошельков для держателей эфира. Атака длилась примерно пять часов и за это время Hola собирал информацию о кошельках пользователей MEW с целью последующей кражи криптовалюты.


В единственной рекомендации, поступившей от администрации кошелька, советуется завести новый кошелек MEW и перевести туда свои средства в случае, если вы являетесь пользователем Hola и совершали действия в MyEtherWallet в последние 24 часа.

Группа исследователей из Aleph Security нашла ряд атак, использующих уязвимость Spectre, которые позволяют обойти средства защиты популярных браузеров. В отчете речь идет о Spectre v1 (CVE-2017-5753) — это разновидность уязвимости Spectre, которую можно эксплуатировать через браузер.

Защита от нее была реализована еще до публикации Aleph Security (V8 — Chome&Chromium, Chrome, Chromium, Firefox, Edge/IE, Safari Webkit), так как исследователи заблаговременно связались с разработчиками. Принципы защиты разнятся от браузера к браузеру, но в основном используются изоляция сайтов (проекты на базе Chromium), снижение точности и добавление большего разброса значений для таймеров performance.now(), и отключение функции SharedArrayBuffer (Firefox, Edge).

Но жизнь держателей криптовалют проще не станет

На минувшей неделе компания MasterCard получила несколько патентов в области блокчейн-технологий, сообщает CNN и другие источники. Один из них называется «Метод и система для прямых анонимных блокчейн-транзакций», что открывает компании дорогу к созданию собственного анонимного блокчейна для проведения транзакций. Заявки на патенты подали еще в конце 2016 года, а сейчас они были окончательно утверждены. С текстом заявки можно ознакомиться на сайте патентного бюро США.



Казалось бы, этот велосипед уже изобретен: есть публичные и анонимные блокчейны. Транзакции в том же биткоине или эфире можно отследить с момента добычи монеты до конечного получателя, дело лишь за идентификацией владельца кошелька. Нужна анонимность — обратитесь к Monero или схожей криптовалюте. Однако своим патентом MasterCard пытается усидеть даже не на двух стульях, а на посадочных местах целого стадиона: тут и использование «блокчейн-технологий», и «анонимность для внешнего мира», и «фиксация всех данных плательщика» и много чего еще.

За последние несколько месяцев мы провели целых три крупных Hiring Tournament в Москве, в рамках которых искали специалистов на такие высокооплачиваемые позиции, как Software Engineering Manager или Chief Software Architect. Мы собирали отзывы, рассказывали о внутренней кухне и даже проводили стримы. Но первый месяц лета подходит к концу и необходимость сбросить темп, набраться сил к трудовому осеннему рывку и просто передохнуть, все сильнее. По-настоящему активно работают в эту пору, наверное, только туристические агенты, которым надо продавать нам, северянам, горящие и не очень туры в края с более щадящим климатом, желательно куда-нибудь на берег теплого моря (для любителей экстрима всегда есть туры в Антарктиду, но их единицы).



Поэтому сообщаем, что последний Moscow Hiring Tournament сезона пройдет в эту субботу, 30 июня, в Gravity Co-working Space. После этого ивента мы берем перерыв в офлайновых активностях и вернемся только к концу лета, в августе. Тревоги о том, что подобные мероприятия зачастую проходят «где повезет» можно смело отбросить: главное отличие нынешнего ивента от проводимых, например, год назад, в том, что сейчас мы проводим его на своей «домашней площадке».

Сегодня ночью два разработчика из Риги, Андрей Адамович и Эдуард Сизов опубликовали на GitHub свой open source-проект агрегатора с видеоматериалами для разработчиков DevTube. На сайте уже реализована система фильтров по тегам, таким как Mobile, JavaScript, Testing и другим, а также по спикерам и языкам видео. Проект заявлен как некоммерческий: на сайте нет ничего лишнего, только навигация, превью к видео и такая ключевая информация как теги, продолжительность, дата загрузки, количество просмотров и лайков. Очевидно, ресурс будет полезен тем, кому нужны выступления и видеоматериалы по конкретным языкам или направлениям разработки.



Сейчас на ресурсе преобладает англоязычный контент, что неудивительно. Также разработчики заявили о старте коллективной работы по наполнению этого некоммерческого ресурса: подать заявку на добавление или удаление видео с DevTube можно через пулл-реквест на GitHub, о чем сообщается в README.md. Вот как идею создания такого ресурса прокомментировал один из разработчиков, Андрей codingandrey Адамович:

Крупные производители продолжают выпускать специализированное оборудование для майнеров даже с учетом уменьшения общей капитализации этого рынка. Так, компания ASUS презентовала свою новую материнскую плату H370 Mining Master, предназначенную специально для создания GPU-ригов.



Новый продукт тайваньского гиганта позволяет одновременно подключать до 20 видеокарт. Плата H370 Mining Master стала продолжением другого продукта ASUS — материнской платы B250 Mining Expert, выпущенной в 2017 году.