• Security Week 03: 2019 — год приватности

      Ладно, может и не весь 2019 год, и вообще предсказания — штука сложная и неблагодарная. После громкого заголовка выскажемся точнее: важные новости начала января почти все так или иначе посвящены приватности. В 2018 году вопросы ценности данных, собираемых с клиентов сетевых сервисов, а также проблемы бесконтрольного использования этих данных впервые начали обсуждаться широко. Виной тому стал скандал с социальной сетью Facebook и массовым сбором данных пользователей соцсети даже не самим Фейсбуком, а какими-то непонятными левыми фирмами, с последующим широким применением, в том числе и на выборах.

      Специалистам и тем, кто в теме, давно уже было понятно: интернет-гигантам известно про нас почти все. Где мы находимся, о чем мечтаем, сколько зарабатываем, чем болеем, сколько стоим в пробках, за кого голосуем на выборах, из чего на праздники был салат. Более широкое обсуждение темы и, возможно, более серьезное давление на компании, собирающие информацию, — это в целом неплохая штука. Она может привести к окончанию своеобразной эпохи Дикого Запада на рынке данных. Главное, чтобы в погоне за приватностью не пострадало качество сервисов, тоже зависящее от персональных данных пользователей.
      Читать дальше →
    • Древности: компьютерная реклама 1997 года

        Старые устройства, переносные и настольные, нужно рассматривать в контексте — собственных пожеланий из молодости или же особенностей тогдашнего рынка околокомпьютерного железа. Это сделать непросто, но когда пытаешься, простое собирание гаджетов расширяется в настоящее архивное дело. Впрочем, в моем случае это лишь приятный бонус к устройствам. Например, моя экскурсия в мир аудиокассет привела к появлению ящика лент, на которых в девяностых были записаны джазовые передачи европейской радиостанции. Вот кто их писал? И зачем?


        Следствием недавнего изучения минидисков стала сотня носителей с тяжелой металлической музыкой, кем-то когда-то собранная и оформленная по высшему разряду. Это живые примеры использования того или иного устройства или формата. Чтобы воссоздать в голове обстановку двадцатилетней давности или раньше, я еще использую архивы старых СМИ, и про это регулярно пишу у себя в канале. Но то зарубежные издания, а сегодня я покажу нашу, отечественную рекламу из журналов и буклетов 1997 года, с выставки Комтек.
        Читать дальше →
      • Древности: Минидиск в эпоху Айпода

          Когда Philips закрыла проект цифровой компакт-кассеты в 1996 году, она поступила правильно. Дело не в том, что цифровая кассета проиграла цифровому минидиску. Скорее оба формата оказались недостаточно востребованы: с одной стороны им мешала дешевая и привычная аудиокассета, с другой — интернет и музыка, лишенная носителя. На прошлой неделе я рассказал о минидиске в естественной среде обитания — когда интернет и MP3 не составляли серьезной конкуренции формату. Минидиск был слишком дорогим, чтобы стать массовым, но получил признание среди профессионалов, энтузиастов и просто небедных людей.



          Сегодня я расскажу о минидиске в эпоху MP3-плееров. Физический носитель со всеми его ограничениями по определению не был способен конкурировать с портативными устройствами на базе жесткого диска или флеш-памяти. Более того, уже в начале двухтысячных «музыкальный плеер» стал частью других цифровых устройств, и как только они стали более-менее удобными, шансов ни у одного физического носителя уже не было. Тем не менее, благодаря упорству Sony, история минидиска продолжается до 2006 года — когда было представлено последнее новое устройство. Sony трижды пыталась обновить формат под новые запросы потребителя, и трижды проиграла, и наверное затея изначально была обречена на провал. Зато теперь, через пять лет после окончательного прекращения поддержки формата, у меня есть возможность испытать еще несколько старых устройств, и рассказать о них вам.
          Читать дальше →
        • Древности: Минидиск в естественной среде обитания

            В отличие от кассет, которые были абсолютно у всех, и компакт-дисков, минидиски так и не стали общепринятым, универсальным, повсеместно распространенным форматом. Можно найти массу причин, почему так вышло, начиная с технических сложностей в начале девяностых и заканчивая политикой и вопросами защиты копирайта. Но главная причина: дорого было. За всю историю существования этого аудиоформата я никогда даже не рассматривал его всерьез, выбирая сначала кассеты, потом компакт-диски. В середине двухтысячных деньги появились, но пропал смысл, минидиск невероятно быстро потерял всякую актуальность как цифровой носитель, проиграв плеерам и смартфонам без движущихся частей.



            Но ведь всегда хотелось. Эти маленькие диски в разноцветных пластиковых корпусах, эстетика CD и дискет в одном флаконе, невероятно крутые и многофункциональные компактные пишущие плееры. Это был формат будущего, которое так и не наступило. Минидиск — это комбинация сложных технологий, которые, увы, появились слишком поздно, чтобы сделать формат по-настоящему популярным. Минидиск — это еще и история про настойчивость одной японской компании, продолжавшей развивать экосистему несмотря ни на что в течение двух десятилетий. А теперь это отрада коллекционера: устройства и сами диски пока еще вполне доступны, но уже имеют достаточный градус винтажности. В общем, надо брать: за последний месяц я стал обладателем двух минидисковых дек, семи портативных устройств, и теперь знаю про минидиски почти всё. Крутой ли это формат? Безусловно. Был ли в нем какой-то практический смысл? На этот вопрос ответить сложнее, но давайте попробуем.
            Читать дальше →
          • С помощью эксперта «Лаборатории Касперского» разбираемся, какой набор инструментов должен иметь в своем арсенале современный специалист по ИБ. От каких угроз и с помощью каких технологий надо защищаться. Говорим о тенденциях в сфере ИБ, о механизмах работы некоторых продуктов «Лаборатории Касперского» и немного заглядываем в будущее.
            Подробности — под катом
          • Security Week 52: The Greatest Hits

              Запомните этот пост, через 10 лет все будут говорить: вот, все правильно в дайджесте написали. Или наоборот: вообще не угадали, ни в одном месте. Предсказывать будущее — занятие, обреченное на провал, так как предсказание всегда основано на знаниях о настоящем и прошлом. Наступающий 2019 год описан в «Бегущем по лезвию бритвы» Филипа Дика, который-таки умел предвидеть. Согласно роману (и немного — фильму), мы все живем в неблагополучном мире, где постоянно идет дождь, есть летающие автомобили и роботы, но совсем нет животных.

              Именно поэтому предсказания экспертов «Лаборатории Касперского» очень практичные, они скорее рассчитаны на безопасников, которым нужно определить тренды на следующий год. Но все же давайте попробуем выбрать события 2018 года, которые могут стать основой чего-то большего в информационной безопасности, актуального в течение долгого времени. При подготовке использовались материалы из этого блога за весь год, так что перед вами уникальный формат: дайджест дайджестов.
              Читать дальше →
              • +19
              • 2,7k
              • 1
            • Древности: игры под MS-DOS, которые мы не выбирали

                Так и хочется написать, как я в 1991 году пошел в магазин компьютерных игр, перебрал красивые коробки со свежими релизами и выбрал именно этот новейший блокбастер для операционной системы MS-DOS. Или тот. Да нет же, не могло в 1991 году такого быть. Это сейчас старых игр тысячи, их можно добыть и бесплатно, и купить легким движением пейпала. Сегодня — рассказ, навеянный сложной механикой доступности программ в девяностых, когда у тебя нет ни денег, ни даже компьютера. Есть IBM PC на работе родителей, или раз в месяц игровой час в школе. В таких условиях не до выбора: играли в то, что есть прямо сейчас, если читается дискета, и не прозвенел звонок.


                Возможно благодаря этой ограниченной доступности старые игры вспоминаются с такой теплотой. Выбор игр для обзора у меня очень субъективный и не претендующий на полноту, но он вполне соответствует доступному в те годы ассортименту. Возможно, так было не у меня одного: в те годы и пластинки у всех дома были одинаковые, и игры, распространявшиеся из рук в руки по малопонятным законам, не особо отличались. Я выбрал пять, в которые не только играл в прошлом. Я в них играю и сейчас на своих разнообразных старых компьютерах, и наверное буду играть еще долго. Под катом заметки про Dangerous Dave in The Haunted Mansion, Prince of Persia, Doom, Command&Conquer и Sim City 2000.
                Читать дальше →
              • Приглашаем на пятый Industrial Cybersecurity Meetup

                  25 декабря с 19.00 до примерно 21 у нас в офисе пройдет пятая встреча специалистов по кибербезопасности АСУ ТП / RUSCADASEC. Всего запланировано три выступления.
                  Читать дальше →
                • Security Week 51: баг в WordPress 5.0 и софте Logitech, фотоуязвимость Facebook

                    Всего через неделю после выпуска большого релиза WordPress 5.0 разработчики самой популярной в мире CMS выпустили патч, закрывающий ряд серьезных уязвимостей (новость). Всего было закрыто семь брешей, самая серьезная в некоторых конфигурациях WordPress делает возможной индексацию поисковыми системами страницы активации нового пользователя. В URL страницы содержится ключ активации, из-за чего становится возможной утечка email-адресов пользователей, а в некоторых случаях — еще и паролей, сгенерированных автоматически.

                    Проблема была решена путем переноса идентификатора из URL в cookie. Уязвимость также затрагивает версию 4.х — для тех, кто по каким-то причинам не готов переходить на WordPress 5.0, выпущена версия 4.9.9. Еще три уязвимости класса XSS теоретически позволяют уже зарегистрированным пользователям WordPress повысить привилегии, в одном случае — благодаря редактированию комментариев администраторов. Также была закрыта уязвимость в PHP, позволяющая указать произвольный путь сохранения при загрузке файла. Подробнее о ней рассказывал исследователь Сэм Томас на конференции BlackHat (PDF). Чуть больше информации обо всех закрытых уязвимостях можно получить в блоге компании Wordfence.
                    Читать дальше →
                  • Security Week 50: прогнозы на 2019 год

                      В конце года «Лаборатория Касперского» выпускает традиционный набор отчетов, подводя итоги уходящего года и прогнозируя развитие киберугроз на следующий. Сегодня — краткая выжимка из документов, полные версии которых можно почитать по ссылкам:


                      Выделим основные темы: эволюция целевых атак, появление новых APT-группировок с достаточно простым (но действенным) вредоносным арсеналом; использование IoT и для таргетированных атак, и для массовых; снижение количества атак с целью майнинга криптовалют вслед за падением обменного курса. Направления развития киберугроз: сложные для обнаружения атаки на «железо» с получением максимально широкого доступа, эволюция фишинга с применением персональных данных жертв, попытки скомпрометировать систему защиты мобильных устройств.
                      Читать дальше →
                    • На место героя рубрики «10 вопросов программисту» Виктор Яблоков подходит как нельзя лучше, хотя, по его собственному признанию, давно не кодит— за вычетом SQL-запросов и скриптов для автоматизации работы с продуктовой аналитикой, зато в своё время писал 3D-игры под наладонники и занимался антивирусным движком под Symbian. Чуть забегая вперёд, дополним портрет: первым местом работы Виктора был Cybiko (стартап Давида Яна), а дальше —14 лет в «Лаборатории Касперского», где сегодня он руководит управлением разработки мобильных решений.
                      Подробности – под катом
                    • Древности: AlphaSmart Dana, дзен и искусство ухода за пальмой

                        Коллекционирование старых устройств часто вызвано ностальгией по ушедшим временам. Но этого устройства в начале двухтысячных у меня не было, и быть не могло. Альфасмарт Дана — это самый большой «карманный компьютер» на базе Палм ОС, почти идеальная пишущая машинка на батарейках, уникальный девайс, мимо которого я просто не мог пройти.


                        Выпущенная в 2002 году, Дана стала самой крутой моделью в ряду устройств компании Альфасмарт. Эта компания больше десяти лет выпускала устройства для американских школ, с соответствующими требованиями: централизованное управление, ремонтопригодность, дешевизна, надежность. Уже после прекращения выпуска устройства получили вторую жизнь у любителей набора текстов в промышленных масштабах.

                        Дана для этого идеально подходит: без интернета, инстаграмма и прочих отвлекающих факторов, это чистый писательский дзен. Который в моем случае был слегка подпорчен проблемами с руcификацией. Я не видел статей, в которых опыт использования Даны по-русски был бы обобщен, так что этот пост — в некотором смысле премьера. И да, текст полностью написан на устройстве, обзор которого вы сейчас читаете.
                        Читать дальше →
                      • Security Week 49: взлом Dell и Marriott

                          Прошедшая неделя отметилась двумя крупными утечками персональных данных пользователей. Компания Dell выявила вторжение в собственную сеть. Утекли адреса и имена клиентов, а также хешированные пароли, которые были принудительно сброшены для всех пользователей. Утечка в сети гостиниц Marriott оказалась масштабнее. Еще в 2014 году взломщики получили доступ к клиентской базе данных Starwood Hotels — эта сеть гостиниц была приобретена Marriott в 2016 году.

                          Несанкционированный доступ к базе клиентов был обнаружен только в сентябре этого года. По предварительным данным, пострадали 500 миллионов клиентов сети Starwood, а у 327 миллионов гостей утекли имена, адреса физические и электронные, номера телефонов и паспортов, даты бронирования и другая приватная информация. Это очень серьезная утечка, сравнимая с атакой на сервис Yahoo.
                          Читать дальше →
                        • Security Week 48: взлом «Черной пятницы»

                            Всемирный праздник потребления под названием «Черная пятница», к счастью, закончился. Осталось выяснить, сэкономили ли вы деньги или все же потеряли. И этот вопрос имеет отношение не только к нужности и полезности приобретенных товаров. Иногда вместо покупки выходит утечка данных кредитной карты или учетной записи платежной системы, а затем и прямая кража денег в результате действий киберпреступников. Феномен массовых распродаж вызывает интерес и у тех, кто защищает платежи в онлайне, поэтому исследований по безопасности на прошлой неделе тоже было достаточно. Давайте посмотрим на самые интересные.

                            В сегодняшнем выпуске: атаки на пользователей с помощью вредоносных программ на персональных компьютерах и на мобильных телефонах. Атаки на интернет-магазины с последующей кражей данных кредиток. И просто поддельные веб-сайты, которые ничего не продают, но деньги от населения принимают. А начнем мы с исследованного «Лабораторией Касперского» Android-трояна Rotexy.
                            Читать дальше →
                            • +22
                            • 4,7k
                            • 1
                          • Древности: шшшш, сссссс, VOIP, BBS и другие друзья модема

                              Я немного неправильно коллекционирую старые вещи. Меня не очень заботят внешний вид, наличие документации и прочие атрибуты настоящего винтажа. Когда я покупаю очередной старый ноутбук или компьютер, или КПК, мне всегда хочется приставить их к делу, чтобы зря не простаивали и не собирали пыль. Это непросто. Если устройства начала двухтысячных можно, хоть и с ограничениями, использовать для повседневных задач, то с компьютерами девяностых так не получится. Им нужны адекватные эпохе программы и игры. С этим проблем нет, а вот с сетью сложнее.


                              Есть масса способов подключить к интернету хоть Windows 95, хоть DOS, но зачем? В современном вебе старым компьютерам делать нечего, для них скорее требуется воссоздавать интернет двадцатилетней давности. Но ведь тогда дело не ограничивалось только интернетом. Более того, он был дорогой, и его было мало. Первая моя компьютерная сеть — это Фидонет, а о ней я узнал, дозваниваясь модемом до пары-тройки местных BBS. А вот это интересно. Конец 2018 года — самое время воссоздать инфраструктуру, идея которой зародилась в далеком 1978 году. Сегодня — рассказ о проекте, который я медленно пилю уже полгода, история о телефонных проводах, модемах и винтажном текстовом общении.
                              Читать дальше →
                            • Security Week 47: взлом вприсядку

                                За прошедшую неделю подобралось сразу три новости о нетривиальных прорехах в безопасности. У нас в этом году уже был выпуск на эту тему, тогда мы изучали вывод из строя жестких дисков при помощи воплей звука и кражу личных данных через баг в CSS. Сегодня поговорим об особенностях распознавания отпечатков пальцев в Android-смартфонах, об атаке на GMail через одно место и убийство Skype с помощью эмодзи.

                                Начнем с отпечатков пальцев. Сканер отпечатков в смартфонах — одна из немногих фич современных устройств, которая реально делает жизнь удобнее. Она обеспечивает разумную защиту телефона от постороннего вмешательства и позволяет разблокировать устройство одним нажатием. С расположением сканера производители смартфонов пока не определились: в зависимости от модели он переезжает с передней панели на боковую, перемещается вокруг камеры, а Apple и вовсе выпилила свой сканер в пользу распознавания лиц. Китайские исследователи из компании Tencent обнаружили уязвимость в самом свежем варианте сканера отпечатков, который располагается прямо под дисплеем.
                                Читать дальше →
                              • Security Week 46: давайте что-нибудь обновим

                                  Рано или поздно это происходит: вы открываете на мобильном телефоне YouTube, но вместо пачки видеороликов получаете предложение срочно обновиться. Или наконец-то находите время поиграть в Playstation, но тут как раз прилетели апдейты, вы их полчаса качаете и устанавливаете, потом выключаете приставку. Или заходите в админку WordPress, чтобы написать гениальный пост, но пора обновлять и сам WordPress, и плагины.

                                  Сегодняшний выпуск — про апдейты операционной системы Android, патчи для двух плагинов в WordPress, короче, про то, чем придется заняться, если у вас есть смартфон или сайт. Апдейты для плагинов Wordpress интересны тем, что показывают, что будет, если все же не потратить время на обновление кода.
                                  Читать дальше →
                                • Древности: ZX Spectrum, программы на кассетах и высокая чёткость

                                    Я приезжаю на родину, вытаскиваю из закромов пыльные коробки с добром, разбираю и думаю вот о чём. Моя история разделена прогрессом на две части: цифровую и аналоговую. С аналоговой все просто: что не потеряно за дюжину переездов, вот оно, на месте: фотографии, дневники, письма. С цифровой сложнее. Самые ранние цифровые документы у меня датируются примерно 2001 годом. И то, практически все оттуда утеряно, лишь пара случайных фоток сохранились на болванках CD-R. Более-менее надежно переписка, логи чатов, фотографии и музыка начинают храниться с 2003 года. Именно с этого момента при покупке нового жесткого диска мне больше не надо было продавать старый.

                                    Между тем первый персональный компьютер появился у меня в 1990 году. А примерно до 1996 года моим домашним компьютером был клон ZX Spectrum по имени АТМ Турбо. Потом долгое время был 386-й IBM PC. Из этого первого компьютерного десятилетия не сохранилось вообще ничего. Или так мне казалось, пока я, разбирая старые кассеты, не наткнулся на остатки коллекции спектрумовских программ. И стало мне интересно — а что там вообще? Прочитается ли? И главное, удастся ли что-нибудь вспомнить интересного про ту эпоху, которая все же была ну очень давно. Как будто и не со мной. В отличие от подборки софта 2002 года, сегодня — особый заплыв по волне моей памяти. Как если бы я отправлялся в город, где раньше бывал, но не потому, что он особо хорош или интересен.

                                    Просто хочется убедиться, что мне не показалось, и я действительно там был.
                                    Читать дальше →
                                  • Security Week 45: кое-что об уязвимостях в Bluetooth

                                      Пришло время исправить трехнедельную ошибку в нумерации дайджестов, заложенную в самом начале этого года. Поэтому сегодняшний выпуск — немного високосный, и посвящен он уязвимостям, затрагивающим интерфейс беспроводной связи Bluetooth. За последний год отмечено три значимых исследования этой темы, но даже самая широкомасштабная серия уязвимостей BlueBorne не вызвала такого резонанса, как, скажем, уязвимости HeartBleed.

                                      В совокупности эти исследования представляют особый интерес, так как речь идет о неожиданном векторе атаки, который в ряде случаев позволяет полностью обойти защиту локальной сети предприятия или системы безопасности клиентского устройства. Достаточно приблизиться к устройствам на относительно небольшое расстояние или же иметь хорошую антенну. Наиболее интересна в этом контексте самая свежая уязвимость, обнаруженная в оборудованных Bluetooth беспроводных точках доступа.
                                      Читать дальше →
                                    • С каждым годом корпоративный сектор привлекает все большее внимание злоумышленников. Конечно, основной фокус - на финансовом секторе, однако с развитием майнинга прямую прибыль злоумышленники могут извлечь из заражения компании, относящейся к любому другому профилю. Ниже мы собрали три знаковых истории, каждая из которых отражает определенную тенденцию.
                                      Подробности — под катом

                                    Самое читаемое