Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Семь стран потребовали от IT-компаний закладывать бэкдоры в шифрование данных

Информационная безопасность *Законодательство в IT IT-компании
imageФото: www.eff.org

Представители альянса Five Eyes, в том числе Австралия, Канада, Новая Зеландия, Великобритания и США призвали технологические компании предусматривать лазейки в шифровании данных, чтобы облегчить работу правоохранительным органам и спецслужбам. Требование поддержали также Япония и Индия.
Читать дальше →
Всего голосов 25: ↑24 и ↓1 +23
Просмотры 13K
Комментарии 83

Reuters: бэкдорами АНБ в продуктах Juniper пользовались другие государства

Информационная безопасность *Законодательство в IT
image

По информации Reuters, иностранное государство смогло как минимум один раз воспользоваться бэкдором в продукции Juniper Networks Inc, который был предусмотрен по соглашению с американским Агентством по нацбезопасности. О том, что оборудование было взломано, сообщалось еще в 2015 году.
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 6.6K
Комментарии 30

ФБР США взламывает заражённые компьютеры, чтобы удалить бэкдоры

Информационная безопасность *Законодательство в IT

Суд в Хьюстоне санкционировал операцию ФБР по «копированию и удалению» бэкдоров с почтовых серверов Microsoft Exchange в США. Операцию минюст назвал успешной. 

Читать далее
Всего голосов 19: ↑18 и ↓1 +17
Просмотры 6.2K
Комментарии 6

В штатовской военной микросхеме китайского производства обнаружили запароленный «чёрный ход»

Информационная безопасность *
Прочёл на сайте журнала «Хакер» две статьи:


В первой статье пишут: исследователям удалось обнаружить в китайском чипе FPGA бэкдор, размещённый производителем и способный снять криптографическую защиту с микросхемы, поменять ключ AES, получить доступ к нешифрованным данным, вывести чип из строя. Удалось узнать и секретный ключ, которым активировался бэкдор. И пишут, что этот чип широко используется в военных системах (включая вооружение), на атомных станциях, на транспорте.

Во второй статье пишут: такие бэкдоры — обычное дело, создаются для отладки аппаратного обеспéчения; часть производителей перед выпуском оборудования удаляет бэкдор, а другая часть оставляет, просто запароливая тайным ключом.

Советую и вам также прочесть ту и другую статью, сделать выводы.
Всего голосов 102: ↑72 и ↓30 +42
Просмотры 6.5K
Комментарии 50

Бэкдор в роутерах TP-LINK

Информационная безопасность *
Польский security-эксперт Michał Sajdak из компании Securitum нашел очень интересный бэкдор в роутерах TP-LINK.

Эксплуатация бэкдора довольна проста, и её суть показана на следующей иллюстрации:


Читать дальше →
Всего голосов 84: ↑80 и ↓4 +76
Просмотры 192K
Комментарии 70

Правительство США предало интернет. Нам надо вернуть его в свои руки

Информационная безопасность *Криптография *
Перевод
imageОт переводчика: Брюс Шнайер, специалист мирового уровня по криптографии и информационной безопасности, а так же активный блогер и писатель, опубликовал эту статью в The Guardian после того, как стало известно, насколько плохо на самом деле обстоят дела с безопасностью криптографических технологий, и какую роль в их плачевном состоянии сыграло АНБ.

Неделю назад я перевёл статью Лионеля Дрико "Первая мировая гражданская война" из блога Рикарда Фальквинге, основателя Пиратской партии Швеции, статью эмоциональную и, возможно, слишком резкую. В отличие от пламенных пропагандистов Пиратской партии, Брюс Шнайер всегда был более сдержан и спокоен в оценках, как и подобает авторитетному инженеру и учёному. Но сейчас, похоже, терпение кончилось и у него.




Правительство и крупный бизнес предали интернет и нас с вами.

Извратив интернет на всех его уровнях, превратив его в инструмент тотальной слежки, АНБ нарушило фундаментальный общественный договор. Мы больше не можем доверять компаниям, которые создают инфраструктуру интернета и управляют ей, которые создают и продают нам железо и софт, хранят наши данные, мы не верим в то, что они честно служат интернету.

Это не тот интернет, который нужен миру, или который был задуман его создателями. Мы должны вернуть его себе. И говоря «мы», я имею в виду сообщество инженеров и программистов.

Да, в первую очередь это политическая проблема, которая требует политического решения. Но в то же время это и техническая проблема, и есть несколько вещей, которые инженеры могут — и должны — сделать.
Читать дальше →
Всего голосов 231: ↑219 и ↓12 +207
Просмотры 82K
Комментарии 191

Шпионские гаджеты от АНБ

Информационная безопасность *
imageСреди документов опубликованных Эдвардом Сноуденом, бывшим сотрудником ЦРУ и Агентства национальной безопасности США, были обнаружены материалы описывающие некоторые детали технологий шпионажа используемых АНБ. Список программных и аппаратных средств оформлен в виде небольшого каталога. Всего сорок восемь страниц отмеченных грифами «Секретно» и «Совершенно секретно», на которых дано краткое описание той или иной технологии для слежки. Данный список не является исчерпывающим. Представлены техники связанные с получением скрытого доступа к вычислительной технике и сетям, а также способы и устройства радиоэлектронной разведки связанные с мобильной связью и оборудование для наблюдения. В этой статье я расскажу об этих методах шпионажа, далее будет четыре дюжины слайдов(осторожно, трафик).
Узнать больше
Всего голосов 256: ↑251 и ↓5 +246
Просмотры 385K
Комментарии 222

Критическая уязвимость в компьютерах Dell позволяет хакерам получать доступ практически к любым данным: Как защититься

Блог компании Positive Technologies Информационная безопасность *


22 ноября 2015 года в сеть попала информация о критической уязвимости, которой подвержен целый ряд продуктов компании Dell (вот упоминание о ней на Хабре). Первым на ошибку обратил внимание программист Джо Норд, который описал ее в своем блоге. Разработчик сообщил, что приобрел ноутбук Dell Inspiron 5000, на котором был предустановлен корневой сертификат безопасности под названием eDellRoot

Проблема заключается в том, что закрытый ключ этого корневого сертификата хранится на самом компьютере, что открывает злоумышленникам широкие возможности по проведению атак типа «человек посередине» (man in the middle).
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 13K
Комментарии 17

Security Week 50: DDoS корневых DNS-серверов, жизнь APT Sofacy, много криптографии

Блог компании «Лаборатория Касперского» Информационная безопасность *
Серьезные перемены происходят ровно в тот момент, когда процент желающих что-то изменить превышает определенную критическую отметку. Нет, я сейчас не про политику, чур меня и свят-свят, а про IT в целом и IT-безопасность. И хотят в общем-то все разного: компании — чтобы не DDoS-или и не ломали, пользователи — чтобы не крали пароли и не угоняли аккаунты, security-вендоры — нового отношения к безопасности у всех заинтересованных лиц, регуляторы — ну понятно, хотят регулировать.

Вот краткая выжимка предсказаний наших экспертов на будущий год: эволюция APT (меньше технологий, больше массовости и вообще снижение издержек), атаки на новые финансовые инструменты а-ля ApplePay и фондовые биржи — поближе к местам высокой концентрации цифровых дензнаков, атаки на самих ИБ-исследователей через применяемые ими инструменты, взлом компаний ради чистого ущерба репутации (а.к.а. вывешивание грязного белья), дефицит доверия любым IT-инструментам (взломать могут все, что угодно), включая доверенные сертификаты, ботнеты из маршрутизаторов и прочих IoT, масштабный кризис криптографии.

В предсказаниях этого года нет ни единого пункта «на вырост», ни одного маловероятного сценария развития. Ну разве что к таковым можно отнести атаки на управляемые компьютером автомобили, да и то речь идет о взломе инфраструктуры, от которой они зависят — сотовых и спутниковых сетей. Все это, в той или иной степени, сбудется, проблема в том, что как-то не хочется. По возможности хотелось бы этого всего избежать. А если хочется не только нам, но и вообще всем (пусть и по-разному), то может ли 2016-й также стать годом прогресса в коллективной IT-безопасности? Я ни разу не эксперт, но хочется верить, что да. Переходим к новостям недели. Предыдущие выпуски доступны по тегу.
Читать дальше →
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 8.2K
Комментарии 7

Универсальный инструмент для установки бэкдоров: Что не так с системными обновлениями

Блог компании Латера Софтвер Информационная безопасность *Разработка веб-сайтов *


В нашем блоге на Хабре мы не только рассказываем о развитии своего продукта — биллинга для операторов связи «Гидра», но и публикуем материалы о работе с инфраструктурой и использовании технологий.

Немецкий журналист и хакер Ляйф Риге (Leif Ryge) написал для издания Ars Technica интересный материал о том, что современный подход к организации обновлений программного обеспечениях несет в себе серьезные риски информационной безопасности. Мы представляем вашему вниманию главные мысли этой заметки.
Читать дальше →
Всего голосов 20: ↑18 и ↓2 +16
Просмотры 17K
Комментарии 19

Intel ME. Как избежать восстания машин?

Блог компании Digital Security Информационная безопасность *Системное программирование *Реверс-инжиниринг *


В прошлый раз мы рассказали об Intel Management Engine (ME) — подсистеме, которая встроена во все современные компьютерные платформы (десктопы, лэптопы, серверы, планшеты) с чипсетами компании Intel. Эта технология многими воспринимается как аппаратная «закладка», и на то есть причины. Достаточно сказать, что Intel ME является единственной средой исполнения, которая:
  • работает даже тогда, когда компьютер выключен (но электропитание подаётся);
  • имеет доступ ко всему содержимому оперативной памяти компьютера;
  • имеет внеполосный доступ к сетевому интерфейсу.


Ошарашенный присутствием такого компонента в компьютере, пользователь (получается, что именно «пользователь», а не «владелец») наверняка задавался вопросом: можно ли выключить Intel ME?

Эта статья целиком посвящена этому вопросу.

Читать дальше →
Всего голосов 49: ↑48 и ↓1 +47
Просмотры 133K
Комментарии 56

Спецслужбы и не только: как защитить свое приложение от бэкдоров

Блог компании Positive Technologies Информационная безопасность *Криптография *


Изображение: EFF-Graphics [CC BY 3.0]

Глава службы Общей разведки и безопасности Нидерландов Роб Бертоли (Rob Bertholee) в интервью местной газете De Volkskrant заявил о том, что разработчики защищенных приложений — в частности, мессенджеров — должны облегчить спецслужбам доступ к данным пользователей, если это необходимо для расследований.

Главный голландский разведчик сказал, что защищенными мессенджерами вроде Telegram, WhatsApp и Signal пользуются террористы, что затрудняет для спецслужб перехват их коммуникаций и, как следствие, предотвращение атак.
Читать дальше →
Всего голосов 23: ↑14 и ↓9 +5
Просмотры 8.6K
Комментарии 6

Security Week 52: Telegram и крысиный король, очередные майнеры, масштабный брутфорс Wordpress

Блог компании «Лаборатория Касперского» Информационная безопасность *
Новость на русском, подробнее на английском

Обнаружен новый зловред, причисляемый к семейству Remote Access Trojan, который нашедшие его специалисты назвали Telegram-RAT. От аналогичного ему крысиного поголовья он отличается тем, что активно использует публичные облачные сервисы: API для ботов Telegram в качестве HTTPS-канала связи и Dropbox для хранения боевой нагрузки.
Читать дальше →
Всего голосов 14: ↑10 и ↓4 +6
Просмотры 14K
Комментарии 5

Крупнейшие технологические компании США просят Барака Обаму разрешить им не встраивать бэкдоры в своё программное обеспечение

Информационная безопасность *
imageБолее 140 компаний, включая таких гигантов как Apple, Google и Facebook, совместно с рядом известных мировых специалистов по криптографии направили своё коллективное письмо к Бараку Обаме. В нём речь идёт о порочной, по мнению авторов письма, практике, согласно которой государственные органы смогут получать доступ к зашифрованным данным конечных пользователей благодаря специальным лазейкам, которые будет вынужден оставить производитель. На письмо обратили внимание и журналисты Washington Post.
Узнать подробности
Всего голосов 19: ↑17 и ↓2 +15
Просмотры 14K
Комментарии 7

ФБР хочет бэкдоры, но так, чтобы они не назывались бэкдорами

Информационная безопасность *
Директор ФБР Джеймс Коми в своём докладе юридическому комитету Сената США рассказал сенаторам, что он лично общался с руководителями технологических компаний, убеждая их в том, что бюро необходим доступ к шифрованной электронной переписке с целью противодействия терроризму. По словам Коми, все его собеседники согласились с ним. Таким образом ФБР продолжает настаивать на необходимости иметь бэкдоры в программном обеспечении, используемом для связи в интернете, но просто они не должны называться этим словом — «бэкдоры».
Узнать подробности
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 13K
Комментарии 16

Secure Data Act 2018 – в США планируют запретить бэкдоры в устройствах [опять]

Блог компании 1cloud.ru Информационная безопасность *Криптография *Законодательство в IT IT-компании
В середине мая члены Конгресса США представили законопроект, который получил название Secure Data Act 2018. Он запретит правительству и государственным структурам требовать от производителей технических устройств встраивать в свои продукты бэкдоры. Принуждения нельзя будет добиться даже через суд.

Подробнее о законопроекте и реакции сообщества расскажем далее.

Читать дальше →
Всего голосов 23: ↑22 и ↓1 +21
Просмотры 8.3K
Комментарии 12

Security Week 27: Поддельный айфон и цена безопасности

Блог компании «Лаборатория Касперского» Информационная безопасность *
19 июля издание Motherboard опубликовало интересный лонгрид про поддельный айфон стоимостью в сто долларов. Android-смартфон, мимикрирующий под iPhone X, был приобретен в Китае; он из тех, что и у нас редко попадаются, а на Западе вообще неизвестны — целевая аудитория не та. Подделка не то чтобы качественная, но старательная, начиная с коробки и заканчивая иконками. Сфотографированный в темноте, телефон и правда можно спутать с оригиналом.

Естественно, когда начинаешь его использовать, все становится ясно. Телефон не очень быстр, из-под Apple-подобного интерфейса выскакивают сообщения о том, что «сервисы Google прекратили работу». Копия продвинутой системы распознавания лиц разблокирует смартфон от любого лица и похожего на лицо предмета, а скругленные края дисплея и площадка с сенсорами и динамиком эмулируются (!) программно. Журналисты Motherboard обратились к специалистам с просьбой оценить безопасность смартфона, и те нашли там, если переводить буквально, какую-то «дичь». Спойлер: никакой дичи там нет, просто много безответственного кода, показывающего, что в дешевом смартфоне данные пользователя тоже защищены на три копейки.
Всего голосов 29: ↑25 и ↓4 +21
Просмотры 8.4K
Комментарии 20

Security Week 31: Пятьдесят оттенков небезопасности в Android

Блог компании «Лаборатория Касперского» Информационная безопасность *
Давно мы что-то не писали про безопасность Android. В целом ситуация там вроде бы неплохая: таких серьезных проблем, как трехлетней давности баг Stagefright, пока не находили. С 2016 года развивается программа Android One, в которой устройства среднего уровня получают единую версию ОС и, соответственно, максимально быструю доставку обновлений безопасности. Скорость доставки апдейтов до традиционных вендоров тоже, по данным Google, ускорилась.

Но не то чтобы стало совсем хорошо. Недавно мы писали про необычный Android-смартфон, притворяющийся десятым айфоном, в котором какая-либо защита данных пользователя вовсе отсутствует. Но это экзотика. А вот компания Kryptowire проанализировала (новость) прошивки множества обычных смартфонов, которые продаются по всему миру. В 25 разных моделях были обнаружены серьезные прорехи в безопасности.
Всего голосов 31: ↑30 и ↓1 +29
Просмотры 7.3K
Комментарии 3

Security Week 32: Fortnite-Android-драма

Блог компании «Лаборатория Касперского» Информационная безопасность *
Тот ловкий момент, когда ты написал пророческий дайджест. В прошлом выпуске речь шла о рисках безопасности в Android, в частности об уязвимостях типа Man-in-the-disk, а также о неспортивном (все ради денег) поведении компании Epic Games, отказавшейся размещать игру Fortnite в магазине Google Play. 25 августа пасьянс сошелся: Google с ее магазином, Epic Games с ее бета-версией Fortnite и даже man-in-the-disk-уязвимость вступили в интимную связь, породив среднего размера скандальчик.


Изначально речь шла о том, что технически неподкованные игроки в Fortnite, не найдя Android-версию в официальном магазине Google Play Store, пойдут искать ее куда-нибудь еще и установят на смартфон что-нибудь не то. Если сейчас со смартфона зайти в аппстор и поискать там Fortnite, Google даже покажет вам специальное сообщение, как на картинке наверху, чтобы вы не ставили из магазина приложения-клоны. Но, как выяснилось, инсталлятор Fortnite сам по себе уязвим — по сценарию не то чтобы совсем ужасному, но все же.
Читать дальше →
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 3.7K
Комментарии 0

Официальная позиция IEEE в поддержку сильного шифрования

Информационная безопасность *Криптография *Законодательство в IT
Перевод
Даже в моём довольно узком круге общения, состоящем по большей части из технарей, встречаются люди, которые не понимают, почему требования предоставить доступ к переписке посредством ослабления шифрования или внедрения бэкдоров в механизмы криптографической защиты — это очередной шаг, который преследует вовсе не те интересы, которые декларируются. Этот перевод для них и для тех, кто так же не видит угроз в этих инициативах.
Читать дальше →
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 4.9K
Комментарии 18
1