Информационная безопасность *

В работу Google Assistant внесут существенные изменения. Отныне голосовой помощник не будет по умолчанию хранить аудиозаписи пользователей. Ранее записанные сообщения можно будет удалить, а для сбора данных компанией пользователь должен будет дать своё разрешение. Сообщение о нововведениях разместил в блоге компании старший менеджер по продукту Google Assistant Нино Таска.

«Мы узнали о беспокойстве пользователей по поводу нашей программы, в рамках которой языковые эксперты могли прослушивать и транскрибировать аудиоданные из Google Assistant, чтобы улучшить речевые технологии для восприятия разных языков. Нам ясно, что мы не смогли соответствовать своим высоким стандартам в том, чтобы вам было легко понять, как используются ваши данные, и приносим свои извинения», — написал он.

В июле компания Google официально признала, что её подрядчики систематически прослушивают аудиофайлы, записанные «умными» колонками Google Home и приложением для смартфонов Google Assistant. Первые сообщения об этом появились в бельгийской прессе. Журналисты издания VRT NWS прослушали более тысячи записей, и оказалось, что значительная часть из них была сделана случайно, то есть без специальной команды от пользователя.

На днях были опубликованы результаты исследования, авторы которого утверждают, что умные телевизоры собирают информацию о поведенческих паттернах своих пользователях и отправляют эти данные рекламодателям. При этом разрешения у самих пользователей никто не спрашивает.

Специалисты немецкой компании разработчика антивирусного программного обеспечения Avira провели исследование и выяснили, какие учетные данные на данный момент являются самыми небезопасными при работе с «умными» гаджетами и устройствами IoT. Как оказалось, на первом месте при атаках используются не стандартные admin, p@ssw0rd или 12345, а просто пустые значения логина и пароля.

Мэрия Москвы опубликовала постановление от 10 сентября 2019 года № 1174-ПП, которое расширяет перечень данных для передачи службами такси в Единую региональную навигационно-информационную систему города Москвы (ГИС ЕРНИС).

Теперь службы такси, в том числе агрегаторы вроде «Яндекс.Такси» обязаны передавать следующие данные:

• Фамилия, имя, отчество водителя.
  
• Стаж вождения.
  
• Серия, номер, срок действия водительского удостоверения.

QUIC позволяет мгновенно установить повторное соединение (0-RTT) и обеспечивает минимальную задержку между отправкой запроса и получением ответа

Google Chrome Canary стал первым браузером, в который интегрирована (очень) экспериментальная поддержка протокола HTTP/3, где вместо TCP в качестве транспортного уровня используется протокол QUIC.

HTTP/3 — это новый синтаксис HTTP, который работает на IETF QUIC, мультиплексированном и безопасном транспорте на основе UDP. Хотя некоторые разработчики называют QUIC на UDP «дичайшим экспериментом», новый протокол сулит массу преимуществ.

Военно-воздушные силы США не новички на хакерской конференции Defcon. Например, в прошлый раз они привезли с собой компонент информационной системы истребителя F-15. Хакеры впервые получили физический доступ к такому оборудованию. Они с удовольствием приняли подарок, тщательно разобрали его и обнаружили серьёзные уязвимости. Баги позволяют злоумышленнику полностью отключить систему Trusted Aircraft Information Download Station, которая принимает данные с видеокамер и сенсоров самолёта.

ВВС были настолько довольны результатом, что решили поднять ставки. В следующем году они дадут хакерам спутник. Настоящий спутник на орбите и канал связи к его наземной станции.

Программист Роберт Хитон опубликовал в своём блоге пост, в котором утверждает, что HP может отсылать напечатанную принтерами компании информацию на собственные серверы.

Как рассказал Хитон, он устанавливал принтер родственникам по их просьбе. Последний шаг установки потребовал загрузки приложения на телефон или компьютер. Хитон рассказывает, что в процессе исследования приложения он обнаружил блок под названием «Уведомление о сборе данных».

Ознакомившись с информацией, Хитон нашёл следующее. По его словам, HP собирает данные об использовании продукта:

• количество напечатанных страниц,
• режим печати,
• марка чернил,
• тип файла для печати,
• приложение, используемое для печати,
• размер файла,
• время печати,
• использование и состояние других расходных материалов для принтера.

Женщина просматривает только вышедшую книгу Эдварда Сноудена в книжном магазине в Нью-Йорке, 17 сентября 2019 года. Фото: Vural Elibol / Anadolu Agency / Getty Images

Вчера министерство юстиции США подало гражданский иск против Эдварда Сноудена, бывшего сотрудника ЦРУ и разоблачителя Агентства национальной безопасности (АНБ), за публикацию его мемуаров.

Как утверждается в иске, книга “Permanent Record” (в русском переводе «Личное дело») нарушает соглашения о неразглашении (NDA), которые он подписал с ЦРУ и с АНБ. В иске говорится, что Сноуден опубликовал книгу, не представив её агентствам для предварительного ознакомления, «в нарушение своих прямых обязательств по подписанным им соглашениям».

Один из избирателей в текстовом файле с личными данными 12 000 москвичей, которые зарегистрировались для участия в электронном голосовании

Московский эксперимент по дистанционному голосованию показал, что в ближайшие годы охватить им всю страну не представляется возможным. Для этого нет «ни технической, никакой готовности», заявила глава ЦИК РФ Элла Памфилова: «Мы сейчас пытаемся вникнуть во все минусы дистанционного голосования. Из того, что уже понятно, — его удобно проводить в труднодоступных и отдалённых населенных пунктах, провести там с нашей помощью пилотный проект. Регионам, которые хотят обкатать это у себя, надо дать возможность подготовить законодательную базу. В данном вопросе необходимо обеспечить максимальную безопасность и соблюсти баланс тайны голосования и подконтрольности обществу».

Проблемы с системой электронного голосования начались ещё во время предварительного тестирования. Один из самых известных в мире специалистов по криптографии Пьеррик Годри, директор по исследованиям Национального центра научных исследований Франции, опубликовал доклад с анализом криптографической защиты системы (“Breaking the encryption scheme of the Moscow internet voting system” на сайте препринтов arXiv). Согласно выводам специалиста, шифрование в российской системе электронного голосования является «совершенно небезопасным» и может быть взломано примерно за 20 минут.

Информационная безопасность — неотъемлемая часть большинства организаций, как коммерческих, так и государственных. И первые, и вторые порой вынуждены нанимать экспертов по кибербезопасности для того, чтобы они находили и ликвидировали дыры в защите.

Именно такой метод проверки своей ИТ-инфраструктуры избрал американский суд Далласа. Представители суда наняли сотрудников компании Coalfire. Но спустя некоторое время нанятых экспертов арестовали при попытке физического проникновения в здание суда.

Эдвард Сноуден, который после раскрытия секретных документов АНБ уже пять лет скрывается от американских спецслужб в Москве, дал интервью французской радиостанции France Inter, приуроченное к выходу его мемуаров Permanent Record. 36-летний хакер рассказал о своей нынешней жизни и посоветовал, какой софт безопаснее использовать в интернете, если вы хотите избежать прослушки.

Недавно Сноуден высказался в защиту браузера Tor и операционной системы Tails, которыми он пользовался в 2013 году и которые вполне достойно выглядят сегодня. Сейчас он добавил рекомендации по мессенджерам.

Сноуден прокомментировал то, что премьер-министр Франции использует WhatsApp для совещаний с министрами, а президент общается с подчинёнными в Telegram: «Любая из этих двух программ лучше, чем SMS или телефоны без шифрования, — сказал он, — но их очень рискованно использовать, если вы премьер-министр! Facebook "слой за слоем" снимает защиту с WhatsApp, обещая при этом, что не будет прослушивать разговоры пользователей, потому что они зашифрованы. Но они пытаются это сделать из соображений национальной безопасности. На самом деле эти программы слежки никогда не использовались для общественной безопасности: речь идёт о власти, влиянии, о том, как изменить события в мире в желаемом направлении людьми, которые управляют этими системами. Поэтому не используйте WhatsApp или Telegram, если у вас есть альтернатива. Вместо этого следует использовать мессенджер Signal или приложение Wire. Они предоставляются бесплатно».

Проект Tor собрал $86 000 в Фонд поиска багов (Bug Bash Fund). Из него будет выплачиваться вознаграждение разработчикам за быстрое исправление критических ошибок — уязвимостей или проблем с утечкой конфиденциальных данных о пользователях.

В прошлом месяце Tor объявил, что любые пожертвования в адрес организации в течение августа 2019 года будут добавлены в фонд Bug Bash.

Это должно помочь как-то бороться с негативным информационным фоном, который в последнее время сложился вокруг Tor. Для справки, FUD (Fear, uncertainty and doubt — «Страх, неуверенность и сомнение») — тактика психологической манипуляции, применяемая в маркетинге и пропаганде вообще, заключающаяся в подаче сведений о чем-либо (в частности, продукте или организации) таким образом, чтобы посеять у аудитории неуверенность и сомнение в его качествах и таким образом вызвать страх перед ним. При этом может использоваться клевета, голословные утверждения и намёки.

Во втором квартале 2019 года Роскомнадзор на основании обращения ФСБ направил требования о предоставлении данных для включения в реестр организаторов распространения информации (ОРИ) в компании Heinlein Support GmbH, которая владеет платным почтовым сервисом Mailbox.org, и SCRYPTmail LLC (основатель Сергей Крутов), которая управляет почтовым сервисом Scryptmail.com.

Согласно российскому законодательству, у компаний есть 15 дней на предоставление данных. Однако на момент написания материала оба сервиса по-прежнему отсутствовали в реестре.

Ранее сообщалось об отправке такого же запроса владельцам сети Tinder, владельцы которого пошли на сотрудничество с Роскомнадзором. Mailbox.org и Scryptmail.com, судя по всему, отказались — и теперь им грозит блокировка.

Источник: Igor Zehl / Zuma / TASS

До конца года Центробанк России присвоит российским банкам риск-профили по уровню безопасности. Профили будут учитываться при общей оценке финансового состояния банковской организации. Если банк не поддерживает должный уровень кибербезпасности, то ЦБ может наказать организацию — например, оштрафовать ее или усилить надзор.

О том, что российские банки в скором времени получат новую характеристику, рассказал первый заместитель директора департамента информационной безопасности Банка России Артем Сычев. Он заявил, что показатель будет отражением вычисляемой вероятности возникновения проблем у кредитной организации из-за несоблюдения норм кибербезопасности.

Весной 2017 года на Хабре (тогда ещё на Geektimes) подробно освещалась история 25-летнего математика и преподавателя Московской финансово-юридической академии Дмитрия Богатова, который провёл три месяца в СИЗО, а затем некоторое время под домашним арестом по сути за то, что являлся оператором выходного узла сети Tor (адрес его выходной ноды засветился среди адресов, с которых неизвестный публиковал экстремистские сообщения в социальных сетях).

Богатова задержали по обвинению в двух тяжких преступлениях, за которые в совокупности предусмотрена ответственность до 22 лет лишения свободы. История изобиловала множеством несостыковок, а также откровенными фальсификациями со стороны правоохранительных органов. Tor Project сразу опубликовал заявление, что отслеживает ситуацию, а затем присоединился к общей кампании в поддержку Богатова.

Одной из инициатив национальной программы «Цифровая экономика» является электронный паспорт гражданина РФ. Выдача электронных удостоверений личности запланирована на июль 2020 года, выпуск бумажных паспортов прекратится в начале 2023. Первыми новый документ получат жители Москвы, пошлина составит 300 рублей, а срок действия 10 лет.

Переход на новый формат удостоверения личности будет добровольным. Россияне, имеющие бумажный паспорт и не желающие его менять, смогут им пользоваться до конца срока его действия.

Новый паспорт будет представлять из себя пластиковую карточку с чипом для бесконтактного чтения, с голографическим изображением, российской криптографией КЭП и QR-кодом.

Mozilla объявила о перезапуске платформы Test Pilot, которая была закрыта ранее в этом году. На этот раз платформа будет работать с использованием новых функций, среди которых — Firefox Private Network — подобие VPN для публичных сетей.

Test Pilot представляет собой платформу для разработки и написания различных проектов для среды браузера Firefox. Она была закрыта ранее в этом году из-за финансовых и технических проблем без анонсирования даты перезапуска.

Сейчас Mozilla уведомляет пользователей Firefox, которые зарегистрировались для получения учетной записи Firefox и подписались на получение информации о тестировании новых продуктов, о повторном запуске программы Test Pilot. Эти пользователи получат шанс протестировать новые функции платформы. В Mozilla отмечают, что разница между новой и старой версией платформы заключается в том, что продукты и услуги, программы и алгоритмы, разработанные на базе Test Pilot, могут использоваться за пределами браузера Firefox. Кроме того, Test Pilot, по заявлению Mozilla, стала более интерактивной и простой в работе.

Одна из новых функций платформы — Firefox Private Network, которая представляет собой аналог VPN-сервиса для публичных сетей.
«Это расширение, которое предоставляет пользователям безопасный, зашифрованный путь к сети для защиты соединения и личной информации везде, где используется Firefox», — поясняет издание HotHardware.

Данные файла «База»

9 августа 2019 года в анонимном телеграм-канале «Товарищ майор» (@MayorFSB) был опубликован пост. К нему был приложен файл Excel под названием «База» (вскоре удалённый). Как писала «Медуза», свойства файла свидетельствуют, что он создан 27 июля 2019 года, а последний раз редактировался 9 августа. В поле «компания» указано «ГУ МВД России по г. Москве». В файле 3198 полей с личными данными: телефон, ФИО, адрес регистрации, дата рождения, номер паспорта. Не во всех полях полные данные: где-то указаны только ФИО и телефон, где-то не хватает адреса регистрации.

Люди в «базе» — те, кто выходили на акции оппозиции в Москве или оставляли свои подписи в поддержку кандидатов в Мосгордуму.

Механизм повышения производительности процессоров Intel под названием Direct Data I/O (DDIO) оказался связан с критической уязвимостью NetCAT, которая позволяет злоумышленникам перехватывать нажатия клавиш во время подключения по SSH.

Уязвимость обнаружили исследователи в сфере кибербезопасности из Vrije Universiteit Amsterdam и ETH Zurich. Они опубликовали работу, в которой описали найденную ими критическую уязвимость NetCAT (сокращенно от Network Cache Attack), которая оказалась возможна благодаря поддержке Data-Direct I/O Technology.

При помощи этой технологии периферийные устройства могут получить прямой доступ для записи данных в кэш процессора вместо оперативной памяти. Этот механизм полезен для работы крупных дата-центров, где оперативной памяти может не хватать. Функция DDIO по умолчанию включена на всех серверных процессорах Intel (включая Intel Xeon E5, E7 и SP) с 2012 года.

Telegram исправил ошибку, которая нарушила одну из ключевых функций конфиденциальности приложения чата — возможность удалять ваши сообщения.

Telegram заявлял, что приложение может отзывать сообщения, отправленные вашим друзьям. Отозванные чаты должны быть удалены с устройства собеседника.

Тем не менее, баг-хантер Дирадж Мишра заявил изданию The Register, что, хотя текстовое содержание сообщений будет удалено, все прикрепленные изображения останутся на телефоне.

«Предположим, что Боб отправляет изображение, и отправляет его по ошибке Алисе. Боб удаляет сообщение, используя функцию Telegram, известную как «Также удалить для Алисы», которая, по сути, удаляет сообщение для Алисы, — рассказывает Мишра, который нашел ошибку и в частном порядке сообщил об этом Telegram. — Очевидно, эта функция не работает должным образом, так как Алиса все равно сможет видеть изображение, хранящееся в папке Telegram Images. Функция удаляет изображение только из окна чата».