Цепочка доверия. CC BY-SA 4.0 Yanpas

Инспекция трафика SSL (расшифровка SSL/TLS, анализ SSL или DPI) становится все более горячей темой обсуждения в корпоративном секторе. Идея расшифровки трафика вроде бы противоречит самой концепции криптографии. Однако факт есть факт: всё больше компаний используют технологии DPI, объясняя это необходимостью проверки контента на предмет зловредов, утечек данных и т. д.

Что ж, если принять за факт, что необходимо внедрять такую технологию, то следует хотя бы рассмотреть способы сделать это наиболее безопасным и хорошо управляемым способом. Хотя бы не полагаться на те сертификаты, например, которые вам даёт поставщик системы DPI.

Есть один аспект реализации, о котором не все знают. На самом деле многие действительно удивляются, когда слышат о нём. Это частный центр сертификации (ЦС). Он генерирует сертификаты для дешифровки и повторного шифрования трафика.

Вчера Апелляционный суд 9-го округа США принял решение (pdf), что скрапинг публичных сайтов не противоречит закону CFAA (Computer Fraud and Abuse Act).

Это действительно важное решение. Суд не только легализовал эту практику, но запретил мешать конкурентам снимать информацию с вашего сайта в автоматическом режиме, если сайт является общедоступным. Суд подтвердил понятную логику, что заход бота-скрапера юридически не отличается от захода браузера. В обоих случаях «пользователь» запрашивает открытые данные — и что-то делает с ними на своей стороне.

Сейчас многие владельцы сайтов пытаются поставить технические препоны конкурентам, которые полностью копируют их информацию, не защищённую копирайтом. Например, цены на билеты, товарные лоты, открытые профили пользователей и т. д. Некоторые сайты считают эту информацию «своей», а скрапинг расценивают как «воровство». Юридически это не так, что теперь закреплено официально в США.

Согласно определению в Википедии, тайник (dead drop) — это инструмент конспирации, который служит для обмена информацией или какими-то предметами между людьми, использующими секретное местоположение. Смысл в том, что люди никогда не встречаются — но при этом обмениваются информацией, поддерживая эксплуатационную безопасность.

Тайник не должен привлекать внимание. Поэтому в офлайновом мире часто используют неброские вещи: свободный кирпич в стене, библиотечную книгу или дупло в дереве.

В интернете есть много инструментов для шифрования и анонимизации, но сам факт использования этих инструментов привлекает внимание. Кроме того, они могут быть заблокированы на корпоративном или государственном уровне. Что делать?

22 августа 2019 года директор по разработке браузера Chrome Джастин Шух (Justin Schuh) опубликовал программную статью «Создавая более конфиденциальный веб». В ней:

1. Объявлено об инициативе по разработке ряда открытых стандартов для «фундаментального улучшения конфиденциальности в вебе» — Privacy Sandbox.
   
2. Декларируются принципы Google по отношению к конфиденциальности пользователей. Некоторые из них отличаются от подходов, которые реализуют разработчики Firefox и Safari. Например, Google выдвигает неожиданный аргумент, что блокировка куков вредит конфиденциальности.

По мнению некоторых комментаторов, аргументы Google «смешны и необоснованны», а сама инициатива в каком-то смысле неискренна и даже опасна. Исследователи в области безопасности Джонатан Майер (Jonathan Mayer) и Арвинд Нараянан (Arvind Narayanan) разбирают по пунктам «оправдания Google для отслеживания пользователей».

Программа Surveillance Detection Scout обнаружила знакомого человека и предлагает кадры из архива с его лицом

Правительства многих стран разворачивают системы слежки за населением через сеть видеокамер. Но граждане могут использовать этот инструмент и в своих целях.

Исследователь безопасности Трумэн Кейн (Truman Kain) на хакерской конференции DEF CON представил любопытный мод для автомобиля Tesla под названием Surveillance Detection Scout (слайды презентации, демо). С его помощью автомобиль превращается в настоящую платформу видеонаблюдения на колёсах. Он распознаёт номера машин на дороге и лица людей в реальном времени.

В наше время ни одно устройство с сетевым подключением не защищено от потенциального взлома. Даже фотоаппарат.

На хакерской конференции DEF CON 2019 Эяль Иткин из Check Point Software Technologies показал первый в мире действующий эксплоит для протокола PTP (Picture Transfer Protocol). Многие современные DSLR поддерживают передачу файлов по WiFi. В данном случае описана зловредная точка доступа WiFi, к которой автоматически подключаются окружающие камеры.

Экплоит работает и при физическом подключении камеры к компьютеру по PTP/USB. В обоих случаях злоумышленник может установить соединение с камерой и загрузить на неё исполняемый код. Например, для шифрования всех изображений на карте.

В прошлом году специалисты по информационной безопасности и журналисты выяснили, что Facebook использует для таргетированной рекламы телефонный номер, который пользователь вводит для двухфакторной аутентификации (2FA). Это очередная «обманная практика», в которой уличили крупнейшую социальную сеть.

Как это работает. Во-первых, Facebook требовал ввести номер телефона для любого вида 2FA, даже если она осуществляется через программный аутентификатор, а не SMS (впрочем, так поступают и другие компании). Во-вторых, примерно через месяц этот пользователь начинал получать таргетированную рекламу от рекламодателей, которым стал известен его номер телефона. Более того, кто угодно мог найти человека, введя его телефонный номер в поиске. Оказалось, что Facebook привязывает номер телефона к профилю даже в том случае, если этот номер не указан в профиле, а указан только для 2FA или в контактной книге другого пользователя.

Facebook не прислушался к многочисленным призывам прекратить эту практику и ничего не изменил в функциональности сайта. В конце концов дело поступило на рассмотрение Федеральной торговой комиссии (FTC). И только тогда Facebook что-то предпринял.

Примеры 1) промежуточного УЦ в открытой иерархии доверия и 2) частной иерархии, которая изолирована от открытой иерархии, со своим собственным корневым УЦ

Инфраструктура открытых ключей (PKI) традиционно имеет иерархическую структуру. В ней удостоверяющие центры (УЦ) связаны отношениями подчинённости. Все пользователи доверяют одному и тому же корневому (головному) УЦ, а каждый нижестоящий УЦ подчиняется более высокому в иерархии.

Но что, если мы хотим создать частную инфраструктуру PKI со своим собственным УЦ? Действительно, в некоторых ситуациях такие промежуточные или частные иерархии очень удобны на практике.

30 июля компания Google выпустила Chrome 76 с улучшенным режимом инкогнито. Теперь браузер обходит «пейволы», которые ставят читателям лимит на «несколько статей в месяц», а потом требуют подписку или регистрацию.

Например, The New York Times позволяет читать десять статей в месяц, а Wired — четыре. На долю "metered paywalls" приходится 33% пейволов в онлайновых медиа. Пользователей в режиме «инкогнито» там встречают недружелюбно:



В Chrome 76 обход пейволла упростился до предела: достаточно нажать на ссылку правой кнопкой мыши и выбрать «Открыть ссылку в окне в режиме инкогнито». Теперь браузер не распознает, что вы находитесь в «приватном режиме». Счётчик прочитанных статей в «инкогнито» не работает из-за отсутствия куков.

Несколько дней назад компания GlobalSign открыла портал для разработчиков IoT Developer Portal. Здесь можно бесплатно зарегистрироваться (только по корпоративным адресам), выбрать API для интеграции, бесплатно получить сертификаты X.509 и протестировать свою систему идентификации IoT. Пока что GlobalSign остаётся единственным центром сертификации, который выдаёт сертификаты устройствам в масштабе IoT с идентификатором устройства на основе инфраструктуры открытых ключей (PKI).

Если вкратце сформулировать суть, то новый портал — это централизованная локаль, где предоставляется демонстрационный доступ ко всем инструментам, необходимым для успешной интеграции device identity. Тут руководства по интеграции, инструменты тестирования, спецификации продукта, примеры кода, RESTful API и т.д.

Кому это нужно?

У многих в браузере установлены расширения. Как минимум, блокировщик рекламы. Но при установке расширений следует проявлять осторожность: не все они полезны, а некоторые и вовсе используются для слежки.

Даже если конкретное расширение прямо сейчас не «ворует» никакой информации, нет никакой гарантии, что оно не начнёт это делать в будущем. Это системная проблема.

Недавно специалисты вскрыли деятельность «аналитической» компании Nacho Analytics, которая предлагает сервис под амбициозным девизом «Режим бога для интернета» (“God mode for the Internet”), отслеживая действия миллионов пользователей через расширения Chrome и Firefox почти в реальном режиме времени (с часовой задержкой).

Личная приватность или общественная безопасность

В начале июля Ассоциация интернет-провайдеров Великобритании (ISPA-UK) подвела итоги ежегодной номинации «главный герой» и «главный злодей» интернета. В число «главных злодеев» попала организация Mozilla.

Это неожиданное решение. Широко известны Манифест и 10 принципов, в соответствии с которыми Mozilla обещает бороться за здоровье Интернета: «Открытый, глобальный Интернет — это самый мощный из известных нам ресурсов коммуникации и сотрудничества. Он воплощает наши самые глубокие надежды на прогресс человечества. Он предоставляет новые возможности для обучения, взаимопонимания и решения глобальных проблем».

Mozilla — одна из немногих организаций, которая ставит своей целью не получение прибыли, а именно развитие интернета и защиту пользователей. За что же ей присудили звание «главный злодей»? Оказывается, именно за это, то есть за «излишнюю» защиту пользователей. Яблоком раздора стал протокол DoH (DNS-over-HTTPS).

Разработчики сканера IoT Inspector периодически проводят рутинную проверку прошивок разных производителей. Иногда находят уязвимости в устройствах Интернета вещей. Но последняя находка особенно удивительна. В прошивке маршрутизатора Cisco SG250 сканер нашёл несколько сертификатов и соответствующий секретный ключ сотрудника Futurewei Technologies, американской дочерней компании Huawei Technologies, по имени Гарри Ву (Garry Wu) с электронным адресом gary.wu1@huawei.com.

Но как они попали в прошивку маршрутизатора Cisco?

Вчера на Stack Overflow задали странный вопрос: почему загрузка страницы Stack Overflow инициирует аудиоконтент? Что за звук на текстовом сайте?

Скриншот из инструментов разработчика:



Ответ оказался интереснее, чем можно было предположить.

Осциллограф Rohde & Schwarz RTO2044 с поддержкой Ethernet и LXI

В июне 2019 года некоммерческий Консорциум LXI (LAN eXtensions for Instruments) выбрал GlobalSign в качестве «провайдера идентификации» для устройств, совместимых со стандартом LXI, а фирменную IoT Identity Platform сделали практически интегральной частью протокола безопасности. Что это значит для свободного стандарта LXI? И зачем вообще контрольно-измерительной технике цифровые сертификаты?

Во многих IT-системах действует обязательное правило периодической смены паролей. Это, пожалуй, самое ненавистное и самое бесполезное требование систем безопасности. Некоторые пользователи в качестве лайфхака просто меняют цифру в конце.

Такая практика вызывала массу неудобств. Однако людям приходилось терпеть, ведь это ради безопасности. Теперь этот совет совершенно не актуален. В мае 2019 года даже компания Microsoft наконец-то убрала требование периодической смены паролей из базового уровня требований безопасности для персональных и серверных версий Windows 10: вот официальное заявление в блоге со списком изменений к версии Windows 10 v 1903 (обратите внимание на фразу Dropping the password-expiration policies that require periodic password changes). Сами правила и системные политики Windows 10 Version 1903 and Windows Server 2019 Security Baseline внесены в комплект Microsoft Security Compliance Toolkit 1.0.

Можете показать эти документы начальству и сказать: времена изменились. Обязательная смена паролей — архаизм, теперь практически официально. Даже аудит безопасности теперь не будет проверять это требование (если он ориентируется на официальные правила по базовой защите компьютеров под Windows).

Из презентации Venafi: как установка сертификатов вручную тормозит процесс непрерывной интеграции и развёртывания приложений

Облачные сервисы и контейнеры стали стандартом де-факто для развёртывания веб-приложений. Однако интеграция сертификатов SSL/TLS в окружение DevOps остаётся слишком сложной и медленной. Многие задачи до сих пор выполняются вручную, а это очень большая нагрузка на девопсов. В виртуальной среде с контейнерами резко увеличивается количество машин в сети, а защита соединений «машина-машина» и коммуникаций между ними по-прежнему необходима. Если в такой среде плохо налажена выдача сертификатов и практики управления, то отсутствие надёжной аутентификации каждой машины увеличивает поверхность атаки.

Если всё делается вручную, то разработчики часто отдают приоритет скорости и простоте, а не безопасности. Иногда ради скорости выбирают варианты попроще: создание собственного центра сертификации (ЦС) с самоподписанными сертификатами, слабые алгоритмы шифрования, импорт ненадёжных корневых сертификатов, неадекватная защита секретных ключей для корневых и промежуточных ЦС. А иногда девопсы и вовсе не используют SSL/TLS для шифрования коммуникаций между машинами и контейнерами.

Механизм Signed HTTP Exchanges (SXG)

Месяц назад на конференции для разработчиков компания Google предложила технологию «порталов», которая призвана обеспечить новый способ загрузки и навигации по веб-страницам. По сути, <portal> — это более продвинутая и современная версия <iframe>. Главная разница в том, что <portal> позволяет перемещаться внутри контента, который внедрён на страницу извне, а <iframe> не позволяет этого по соображениям безопасности. Более того, <portal> может изменять URL в адресной строке браузера, то есть этот тег полезнее в качестве инструмента навигации.

Для Google это очень важная технология, потому что позволяет удержать пользователей на поисковом сайте, загружая запрошенный контент с других сайтов через «порталы» в виде веб-пакетов.

Интернет вещей проникает повсюду, даже в велосипеды. Вы можете своими руками смастерить маленький трекер с поддержкой протокола NB-IoT. В любой момент этот гаджет ответит на ваш запрос через интернет и сообщит GPS-координаты велосипеда. И что самое приятное, такой трекер работает целый год на одной батарейке. И это ещё не предел: другие сенсоры NB-IoT могут работать до десяти лет на одном заряде. Низкое энергопотребление — главное преимущества велосипедного трекера NB-IoT перед стандартными решениями GSM/GPS. Наш прибор большую часть времени проводит в спящем режиме и потребляет минимум энергии.

Программатор G-Shield (GPW-01)

GlobalSign объявила о технологическом партнёрстве со стартапом Big Good Intelligent Systems, который выпустил продукт под названием G-Shield. Это сервер регистрации плюс программатор чипов для физической записи цифровых сертификатов на микросхемы: Big Good называет такие микросхемы «крипточипами» (HVCA Module / ECDH Crypto Chip).

Идея в том, что производитель физически защищает устройства с момента появления, то есть прямо на этапе производства.