Как стать автором
Обновить
105.69
Рейтинг
Сначала показывать
  • Новые
  • Лучшие

WhatsApp начал шифровать бэкапы. Почему это так важно для приватности

Блог компании GlobalSign Информационная безопасность *Мессенджеры *Криптография *Смартфоны


Самый популярный мессенджер в мире реализовал функцию сквозного шифрования бэкапов. Она станет доступна всем пользователям iOS и Android «в ближайшие недели».

Это действительно большая победа для приватности и безопасности двух миллиардов пользователей WhatsApp. Незащищённые копии в облаке — огромная уязвимость WhatsApp и других мессенджеров, которые заявляют о сквозном шифровании коммуникаций.
Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 3.6K
Комментарии 41

PunkSpider: поисковик уязвимых сайтов готов к рестарту

Блог компании GlobalSign Информационная безопасность *Поисковые технологии *


История развивается по спирали. На хакерской конференции DEF CON 29 в 2021 году состоялся анонс новой версии PunkSpider — поисковой системы по уязвимостям в веб-приложениях, своеобразного аналога Shodan, только для веб-сайтов. Сканер уязвимостей с фаззингом (перебор всех вариантов) проверяет сайты на наличие самых распространённых, удобно эксплуатируемых багов — и сообщает о них всему интернету.

PunkSpider успешно работал с 2014 по 2018 годы. Потом его пришлось закрыть из-за множества жалоб от компаний, чьи сайты становились лёгкими мишенями для взлома. Но сейчас разработчики разобрались с юридическими проблемами и готовы возобновить проект.

На данную минуту PunkSpider ещё не запустили, на сайте висит заглушка, опубликована только ссылка на расширение для Chrome.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 3.3K
Комментарии 2

Excel — не лучший способ управления сертификатами

Блог компании GlobalSign Информационная безопасность *Серверное администрирование *DevOps *


Новое исследование GlobalSign 2021 PKI показало, что управление цифровыми сертификатами по-прежнему остается сложным процессом для предприятий всех размеров. Основная проблема — неполная автоматизация. Треть опрошенных специалистов в США и Великобритании используют для учёта сертификатов электронные таблицы Excel, а многие не понимают разницы между цифровой и электронной подписью.
Читать дальше →
Всего голосов 15: ↑11 и ↓4 +7
Просмотры 3.9K
Комментарии 15

WireGuard заработал в режиме ядра WindowsNT

Блог компании GlobalSign Информационная безопасность *Open source *Системное программирование *Разработка под Windows *


Разработчик WireGuard VPN Джейсон Доненфельд выпустил новую версию WireGuardNT, которая работает в режиме ядра WindowsNT (7, 8.1, 10, 11, 2012, 2016, 2019, 2022). Перенос всего кода в ядро значительно повышает пропускную способность туннеля практически на любых соединениях, особенно по WiFi.

Примечание. Чтобы запустить свою программу на уровне ядра Windows и не иметь проблем с Microsoft SmartScreen, разработчику требуется приобрести сертификат подписи кода типа EV, который стоит намного дороже, чем обычный сертификат подписи кода — примерно $2000 за трёхлетний. Хорошо, что у опенсорсного некоммерческого проекта WireGuard есть спонсоры.
Читать дальше →
Всего голосов 28: ↑28 и ↓0 +28
Просмотры 8.8K
Комментарии 31

Грядущие изменения в сертификатах TLS: удаление поля OU, сокращение сроков, ротация центров, автоматизация

Блог компании GlobalSign Информационная безопасность *Разработка веб-сайтов *Криптография *IT-стандарты *
Как мы помним, в 2018 году максимальный срок действия публичных сертификатов SSL/TLS уменьшили до 825 дней, а в 2020 году — до 398 дней (13 месяцев). Соответствующие решения в 2018−2020 годы принял Форум CA/B (CA/Browser Forum) — добровольный консорциум удостоверяющих центров, разработчиков браузеров, ОС и других приложений с поддержкой PKI. Хотя многие участники голосовали против такого предложения, но впоследствии им пришлось пересмотреть своё решение с учётом общественного мнения. Даже опрос GlobalSign на Хабре показал, что 72,7% респондентов «скорее поддерживают» сокращение срока действия сертификатов.

Это не единственная новация в порядке обращения сертификатов. В 2021−2022 гг нас ожидает ещё несколько изменений.
Читать дальше →
Всего голосов 15: ↑14 и ↓1 +13
Просмотры 6.2K
Комментарии 18

Apple AirTag — идеальный жучок для слежки

Блог компании GlobalSign Информационная безопасность *Законодательство в IT Гаджеты Интернет вещей


Stalkerware — мобильный софт для сталкинга, то есть навязчивой слежки за человеком. Это растущий класс программного обеспечения, который позволяет хакеру получать геолокацию смартфона, просматривать текстовые сообщения, фотографии, звонки, поиски в интернете. Такой софт используется любителями (слежка за супругами) и профессионалами, в работе государственной разведки и правоохранительных органов, для слежки за независимыми журналистами и активистами.

Некоторые специалисты по безопасности считают, что радиометки Apple AirTags отлично дополняют инструментарий stalkerware. Судя по всему, злонамеренное использование технологии Apple подпадает под несколько статей Уголовного кодекса.
Читать дальше →
Всего голосов 20: ↑20 и ↓0 +20
Просмотры 17K
Комментарии 21

Индустрия деанона и пробива. «Глаз бога» — только вершина айсберга тотальной слежки

Блог компании GlobalSign Информационная безопасность *Законодательство в IT


Некоторое время «Глаз бога» c миллионом подписчиков входил в топ-3 самых популярных каналов в российском Telegram. Но громкое расследование Bellingcat в январе 2021 года не только разрекламировало канал, но и подставило его под удар. После расследования все инструменты деанона привлекли внимание властей.

Предполагалось, что эти инструменты будут скрытно использоваться самими сотрудниками спецслужб, а не против них обычными пользователями в публичных разоблачениях. Что-то пошло не так.
Читать дальше →
Всего голосов 33: ↑26 и ↓7 +19
Просмотры 38K
Комментарии 31

'Do Not Track' для консольных интерфейсов

Блог компании GlobalSign Информационная безопасность *Open source *Софт


Различный софт всё чаще поставляется с модулями телеметрии, такими как Google Analytics. Раньше от этой проблемы страдали в основном проприетарное ПО для массового рынка. Но сейчас модель монетизации перенимают даже профессиональные инструменты для разработчиков и опенсорсные программы.

Homebrew, Gatsby, Syncthing, Netlify, Netdata и другие приложения снимают телеметрию. Конечно, здесь её можно отключить и ситуация не такая зловещая. Но слежка через Open Source распространилась настолько широко, что уже раздаются призывы принять единый стандарт вроде HTTP-заголовка 'Do Not Track', только в виде стандартной переменной среды для консольных интерфейсов.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Просмотры 3.3K
Комментарии 11

Чужие сокращатели URL — абсолютное зло. Свой лучше

Блог компании GlobalSign Информационная безопасность *Сетевые технологии *Социальные сети и сообщества


Что такое сокращатель URL? Это по сути шифратор ссылок, который скрывает от получателя истинный адрес ресурса. Кому нужно маскировать свои ссылки и прятать истинный адрес? Ясно кому: мошенникам, злоумышленникам и компаниям, у которых URL не помещается на визитку.

В последнее время многие облачные сервисы напрямую интегрировали сокращатели ссылок: например, Google Maps, Microsoft OneDrive дают ссылки на 1drv.ms и goo.gl с коротким токеном. Раньше некоторые сокращалки выдавали токен из 5-6 символов, но потом осознали свою ошибку. Проблема в том, что пространство таких токенов настолько маленькое, что его можно просканировать брутфорсом (см. работу Мартина Георгиева и Виталия Шматикова из Корнелльского технологического университета, arXiv:1604.02734v1). А ведь пять символов — это всего 625 вариантов, а шесть символов — 626, тоже не очень много (56,8 млрд). Такая секретная ссылка — больше не секретная.

Это далеко не единственная причина, почему следует избегать чужих сокращателей.
Читать дальше →
Всего голосов 23: ↑14 и ↓9 +5
Просмотры 6.9K
Комментарии 24

Транспортный протокол QUIC приняли в качестве стандарта RFC 9000

Блог компании GlobalSign Информационная безопасность *Криптография *Сетевые технологии *IT-стандарты *


QUIC — новый транспортный протокол связи, который отличается уменьшенным временем задержки, большей надёжностью и безопасностью, чем широко используемый сегодня TCP (RFC 793).

Уже много рассказывалось о преимуществах транспорта QUIC, который взят за основу будущего стандарта HTTP/3. В HTTP следующего поколения транспорт TCP меняется на QUIC, что означает автоматическое ускорение соединений и зашифровку всего интернет-трафика, который раньше шёл в открытом виде по TCP. Нешифрованный QUIC не предусмотрен вообще.

В мае 2021 года состоялось знаменательное событие: протокол QUIC принят в качестве официального стандарта RFC9000. Это великолепные новости для всей интернет-экосистемы.
Читать дальше →
Всего голосов 35: ↑35 и ↓0 +35
Просмотры 22K
Комментарии 16

Программные патчи для автомобилей станут обязательными и регулярными

Блог компании GlobalSign Информационная безопасность *Open source *Софт Интернет вещей

Автомобиль Tesla Model 3 взломали с мультикоптера (для зрелищности), источник

Автомобили Tesla по умолчанию подключаются к любой точке WiFi с идентификатором SSID Tesla Service. Это очень удобно для взлома. Пароль указан в файле .ssq, который поставляется с автомобилем, или его можно найти в интернете (см. скриншот под катом).

Таким образом, можно подключить автомобиль к своему фейковому хотспоту. Потом использовать уязвимости в программном обеспечении — и получить контроль над некоторыми функциями. По сути, всё довольно просто: такие трюки показывают на каждой хакерской конференции.

Проблема в том, что критические уязвимости есть не только в теслах, а практически во всех современных автомобилях. Просто Tesla предлагает большие призы за информацию о багах, поэтому эта информация публикуется в СМИ. Остальные автомобили взламывают молча.
Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 5.6K
Комментарии 17

Владельца Bitcoin Fog выдал анализ блокчейна от 2011 года

Блог компании GlobalSign Информационная безопасность *Управление e-commerce *Криптовалюты


Как известно, Bitcoin — не совсем анонимная система. Здесь все транзакции сохраняются и отслеживаются от начала и до конца. Поэтому для реального скрытия денег используются специальные анонимайзеры или миксеры. Они смешивают входящие транзакции на одном адресе, так что на выходе не видно, откуда пришли конкретные монеты.

Bitcoin Fog — один из ведущих миксеров. Он работал десять лет. И всё-таки в конце концов предположительного админа сервиса идентифицировали и задержали.

Это история показывает, насколько сложно сохранить анонимность в онлайне. И способ деанонимизации в данном случае особенно показателен.
Читать дальше →
Всего голосов 55: ↑51 и ↓4 +47
Просмотры 44K
Комментарии 60

Топ-50 мировых лидеров Интернета вещей − 2021: гаджеты, софт и сервисы

Блог компании GlobalSign Информационная безопасность *Разработка для интернета вещей *Гаджеты Интернет вещей

Персональный компьютер Lenovo ThinkCentre M75n на процессоре AMD Ryzen 5 PRO

Журнал Computer Reseller News (CRN) ежегодно составляет рейтинг Internet of Things 50, выбирая полсотни «самых крутых» игроков индустрии на данный момент.

Свежий рейтинг 2021 года составлен по пяти категориям:

Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 5.6K
Комментарии 1

Хакеры создали подставную фирму SecuriElite, чтобы атаковать исследователей безопасности и других хакеров

Блог компании GlobalSign Информационная безопасность *Антивирусная защита *Браузеры Социальные сети и сообщества

Сайт несуществующей компании SecuriElite

В январе 2021 года специалисты Google Threat Analysis Group (TAG) рассказали об атаке на исследователей ИТ-безопасности по всему миру. Теперь опубликованы некоторые подробности этой необычной операции.

Злоумышленники использовали новые 0-day, которые срабатывают в последних версиях Windows 10 и Chrome. Кроме того, исследователям предлагали поучаствовать в совместном проекте Visual Studio и по их запросу предоставляли DLL якобы с кодом эксплоита (хэш DLL на VirusTotal). Такой вектор социальной инженерии встречается впервые в мире.
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 4.6K
Комментарии 3

Дата-центр возле Амстердама называют «выгребной ямой интернета», но он продолжает работу

Блог компании GlobalSign Хостинг Информационная безопасность *Серверное администрирование *Законодательство в IT

Дата-центр Ecatel в Северной Голландии, источник

Это история защищённого хостинга Ecatel с дата-центром в городке Вормер (13 км в северо-западу от Амстердама). Хостер специализируется на конфиденциальности, то есть принципиально не проверяет благонадёжность клиентов, не реагирует на запросы американских правообладателей по закону DMCA и не сотрудничает с правоохранителями. Его называют «выгребной ямой» интернета.

Ecatel много лет находится под следствием в связи с DDoS-атаками, распространением вредоносных программ, спама и детской порнографии (CP). Но голландским властям ничего не удаётся сделать, потому что по голландским законам хостер рассматривается просто как поставщик технического сервиса (например, как провайдер электричества), поэтому не обязан проверять своих клиентов.
Читать дальше →
Всего голосов 66: ↑64 и ↓2 +62
Просмотры 44K
Комментарии 319

IETF официально прекратил поддержку протоколов TLS 1.0 и 1.1

Блог компании GlobalSign Информационная безопасность *Разработка веб-сайтов *Криптография *Браузеры

CC-BY-CA Vadim Rybalko, на основе мема

Рабочая группа инженеров Интернета IETF признала устаревшими протоколы шифрования TLS 1.0 и 1.1. Соответствующие стандарты RFC официально получили «исторический» статус с пометкой deprecated.

Пометка deprecated означает, что IETF настоятельно не рекомендует использовать эти протоколы. В целях безопасности требуется отключить поддержку TLS 1.0 и 1.1 везде, где это возможно. Об этом говорится в опубликованном RFC 8996. Почему нельзя поддерживать протоколы TLS 1.0 и 1.1 — подробно объясняется в пунктах 3, 4 и 5 этого документа.
Читать дальше →
Всего голосов 21: ↑21 и ↓0 +21
Просмотры 7.2K
Комментарии 11

Опубликованы исходники швейцарского криптомессенджера Threema

Блог компании GlobalSign Информационная безопасность *Криптография *Open source *Софт

Архитектура веб-клиента Threema, источник

Защищённый мессенджер Threema открыл исходный код и инструкции по воспроизводимой сборке приложений. Опубликованы 12 репозиториев для клиентов Android, iOS, веб-версии, рилеев нотификаций и других компонентов. Это важнейшее событие в истории компании Threema GmbH, которая с публикацией исходников выходит на новый уровень разработки.

На фоне массового исхода пользователей WhatsApp платный мессенджер Threema стал одним из самых скачиваемых приложений в мире, вместе с Telegram, Signal и Element (децентрализованная сеть Matrix), см. также статью «Какое шифрование лучше: Signal или Telegram?».

Threema наименее известна в этой плеяде. Зато у неё есть одно преимущество перед конкурентами — швейцарская юрисдикция.
Читать дальше →
Всего голосов 24: ↑21 и ↓3 +18
Просмотры 14K
Комментарии 43

На что соглашается человек, когда разрешает все куки

Блог компании GlobalSign Информационная безопасность *Open source *Браузеры Медийная реклама
Люди не читают инструкций. Вы почти наверняка не читали лицензионное соглашение Windows, не читали лицензионное соглашение iTunes, не читали условия Linux GPL или любого другого программного обеспечения.

Это нормально. Такова наша природа.

То же самое происходит в интернете. В последнее время благодаря GDPR и другим законам часто приходится видеть всплывающие сообщения, где вас спрашивают разрешения на использование cookies.



Большинство нажимает «Согласиться» — и продолжает жить как ни в чём ни бывало. Никто ведь не читает политику конфиденциальности, верно?
Читать дальше →
Всего голосов 84: ↑76 и ↓8 +68
Просмотры 49K
Комментарии 363

На GitHub предлагают запустить каталог мобильных приложений

Блог компании GlobalSign Open source *Разработка мобильных приложений *GitHub Софт
В конце января компания Google ни с того ни с сего удалила из каталога Play Store приложение Element (бывший Riot) — децентрализованный мессенджер, который работает на федеративной системе серверов Matrix. Кто-то из пользователей пожаловался, что в каком-то канале на каком-то сервере Matrix он увидел неприличный контент — и Google просто взяла и удалила программу. Как говорят некоторые комментаторы, это аналогично запрету браузера за то, что в нём открыли неприличный сайт, или запрету почтового клиента за то, что он принял неприличное письмо. К чести Google, она признала ошибку: вице-президент лично извинился перед разработчиками Element, а приложение вернули на место.

Но мы видим, что происходит с другими. Например, Павел Дуров был вынужден удалить ряд российских телеграм-каналов под давлением Apple. Если верить Павлу, без выполнения этого требования Apple блокировала выпуск экстренного обновления Telegram для iOS.
Читать дальше →
Всего голосов 26: ↑22 и ↓4 +18
Просмотры 7.4K
Комментарии 46

GlobalSign выпустила первый в мире кроссплатформенный агент для управления сертификатами под Windows, macOS и Linux

Блог компании GlobalSign Информационная безопасность *Серверное администрирование *DevOps *Софт


19 января 2021 года компания GlobalSign объявила о выходе AEG 6.4 — новой версии шлюза автоматической регистрации Auto Enrollment Gateway, вместе с которым представлена маленькая, но уникальная программка: кроссплатформенный агент для автоматической выдачи и управления сертификатами под Windows, Mac OS и Linux. Компания заявляет, что это первое такое предложение от любого удостоверяющего центра в мире.
Читать дальше →
Всего голосов 17: ↑12 и ↓5 +7
Просмотры 4K
Комментарии 4

Информация

Дата основания
1996
Местоположение
Япония
Сайт
www.globalsign.com
Численность
Неизвестно
Дата регистрации