Если вы думали, что медицинская маска обманет камеры распознавания лиц, то для вас есть две плохие новости. Во-первых, исследователям удалось значительно усовершенствовать системы машинного зрения, так что теперь распознавание достаточно надёжно выполняется по половине лица или по области глаз (по половине лица уровень успешного распознавания составляет 90%).

Вторая плохая новость, что вспышка коронавируса подтолкнула китайских производителей SenseTime, FaceGo, Minivision внедрять технологии распознавания частично закрытых лиц в коммерческие модели видеокамер. Из-за вспышки Covid-19 много граждан стали выходить на улицы в масках — поэтому приходится модернизировать системы видеонаблюдения.

Главная задача Google — вытеснить из браузера Chrome сторонние блокировщики, такие как uBlock Origin и AdBlock Plus

Форматы видеорекламы, которые блокируются с 5 августа 2020 года. Источник: Google

Разработчики браузера Chromium расширили набор правил для встроенного блокировщика рекламы. Теперь они включают в себя некоторые рекламные видеоролики, которые автоматически воспроизводятся перед началом полезного контента или в его середине.

YouTube и другим сайтам с видеоконтентом придётся пересмотреть свою политику, чтобы соответствовать требованиям, иначе браузеры на базе Chromium заблокируют их рекламу. Речь о Chrome, Edge, Brave, Opera, Vivaldi, Yandex и примерно 20-ти других браузерах на кодовой базе Chromium.

Новые правила не привязаны к конкретной версии Chromium и вступят в силу на серверной стороне 5 августа 2020 года.

В январе любители научной фантастики порадовались продолжению культового сериала Star Trek. Новый сезон называется «Звёздный путь: Пикар» (рейтинг IMDB зашкаливает: 8,70). Но радость оказалась недолгой. Во-первых, для просмотра требуется подписка на онлайн-сервис CBS All Access (это вдобавок к подпискам на Netflix, Disney, Google Play Movies, Hulu, Apple TV+ и остальным онлайн-кинотеатрам, которые вы смотрите). Но даже если оформить подписку, не факт, что кино покажут.

Пользователи Linux возмутились, что в видеотрансляции на сайте CBS All Access им показывают только рекламу, но не фильм. После рекламы трансляция завершается, а сам фильм в браузере посмотреть невозможно. Блокировка производится через криптографический модуль CDM Widevine, который необходимо внедрить в браузер, чтобы воспроизводить контент под криптозащитой DRM, поставленной правообладателями. Не всем браузерам разрешают поставить такой модуль, для этого требуется заключить лицензионное соглашение с правообладателем, а иногда и заплатить круглую сумму. Подробнее см. статью «Независимые браузеры более не конкурентоспособны».

К 2016 году vDos стал самым популярным в мире сервисом для заказа DDoS-атак

Если верить теориям заговора, то антивирусные компании сами распространяют вирусы, а сервисы защиты от DDoS-атак сами инициируют эти атаки. Конечно, это выдумки… или нет?

16 января 2020 года Федеральный окружной суд Нью-Джерси признал виновным 22-летнего Такера Престона (Tucker Preston), жителя города Мейкона, штат Джорджия, по одному из пунктов обвинения, а именно «повреждение защищённых компьютеров путём передачи программы, кода или команды». Такер является сооснователем компании BackConnect Security LLC, которая предлагала защиту от DDoS-атак. Юный бизнесмен не смог удержаться от соблазна отомстить несговорчивым клиентам.

После редизайна органическая выдача Google (внизу) практически неотличима от рекламных объявлений

Начиная с 13 января 2020 года компания Google начала выкатывать новый дизайн поисковой выдачи для десктопов. Он практически стирает грань между органическими результатами поиска и рекламными объявлениями сверху.

Теперь единственное, что отличает рекламные ссылки от нормальных — это маленький чёрно-белый значок "Ad". Значок отформатирован так, чтобы совпадать по размеру с новыми фавиконами в результатах поиска.

Компания GlobalSign провела опрос, как и почему компании вообще используют инфраструктуру открытых ключей (PKI). В опросе приняли участие около 750 человек: им также задавали вопросы о цифровых подписях и DevOps.

Если вы не знакомы с термином, то PKI позволяет системам безопасно обмениваться данными и проверять владельцев сертификатов. Решения PKI включают в себя аутентификацию цифровых сертификатов и открытые ключи для шифрования и криптографической проверки аутентичности данных. Любая конфиденциальная информация полагается на систему PKI, а GlobalSign считается одним из ведущих мировых поставщиков таких систем.

Итак, рассмотрим несколько ключевых выводов исследования.

Кадр одного из онлайновых расследований Bellingcat

Международное агентство Bellingcat опубликовало несколько советов по идентификации людей и географических локаций на фотографиях с помощью функции «Поиск изображений» в поисковых системах.

Оказалось, что в этом отношений нет равных российской поисковой системе «Яндекс. Картинки». По одному образцу движок находит фотографии этого лица в совершенно другой обстановке и освещении, что говорит о продвинутом распознавании лиц. У Google и других компаний нет ничего подобного, признают специалисты. Таким образом, «Яндекс» можно назвать безусловным лидером по обратному поиску изображений.

В опубликованном руководстве разъясняются базовые методы онлайн-расследований, с акцентом на идентификацию лиц и адресов.

Юникод исключительно сложен. Мало кто знает все хитрости: от невидимых символов и контрольных знаков до суррогатных пар и комбинированных эмодзи (когда при сложении двух знаков получается третий). Стандарт включает 2¹⁶ кодовых позиций в 17-ти плоскостях. По сути, изучение Юникода можно сравнить с изучением отдельного языка программирования.

Неудивительно, что веб-разработчики упускают из вида некоторые нюансы. С другой стороны, злоумышленники могут использовать особенности Юникода в своих целях, что и делают.

Специалист по безопасности Джон Грейси продемонстрировал на примере GitHub баг проверки адреса электронной почты для восстановления забытого пароля. Подобные баги можно встретить и на других сайтах.

2 декабря 2019 года в рассылке по теории чисел nmbrthry@listserv.nodak.edu сообщили о факторизации числа RSA-240 (240 десятичных знаков, 795 бит). Это новое достижение в криптографии и теории чисел и очередное выполненное задание из списка RSA Factoring Challenge.

Вот число и его множители:

RSA-240 = 124620366781718784065835044608106590434820374651678805754818788883289666801188210855036039570272508747509864768438458621054865537970253930571891217684318286362846948405301614416430468066875699415246993185704183030512549594371372159029236099
= 509435952285839914555051023580843714132648382024111473186660296521821206469746700620316443478873837606252372049619334517
* 244624208838318150567813139024002896653802092578931401452041221336558477095178155258218897735030590669041302045908071447

Исходя из текущего тренда можно примерно представить, когда будут взломаны RSA-1024 (309 десятичных знаков) и RSA-2048 (617 знаков).

Сетевая активность телевизора Samsung 5 Series. Скриншот: Geoffrey Fowler/The Washington Post

Когда-нибудь думали, почему телевизоры так подешевели? Конечно, технический прогресс играет свою роль. Но дело не только в нём.

Об этом не принято говорить, но факт: если из умного телевизора убрать «умную» функциональность, то он станет дороже. Дело в том, что производители ТВ плотно вовлечены в индустрию контента, рекламы, маркетинга, дата-майнинга и торговли данными пользователей. По объёму собираемых данных эти платформы догоняют Google и Apple.

Издание The Washington Post провело небольшой эксперимент и отследило, как четыре крупнейших производителя ТВ записывают всё, что мы смотрим. Сетевой трафик телевизоров Samsung, LG, Vizio и TCL изучали программой IoT Inspector от Принстонского университета.

В нескольких эпизодах сериала «Мистер Робот» главный герой Эллиот взламывает и доксит своих жертв, записывая собранную информацию на аудио CD. Каждый диск он подписывает названием группы и альбома. Если злоумышленник получит доступ и поставит диск на воспроизведение — то услышит музыку, как и положено.

Судя по всему, Эллиот использовал программу DeepSound для сокрытия информации в звуковых дорожках. Это немного странно, потому что программа выпускается только под Windows, а хакер по определению не мог работать в этой операционной системе. Кроме DeepSound, существуют аналогичные инструменты для звуковой стеганографии. Например, QuickStego, AudioStegano, BitCrypt, MP3Stego, Steghide, AudioStego.

Однако в наше время компакт-диски уже не так актуальны. Гораздо удобнее прятать информацию в звуковых трансляциях, которые передаются и принимаются на любом аудиоустройстве. Например, если кто-то хочет втайне передать файлы с локального компьютера, он может незаметно для наблюдателя передать документ ультразвуком через колонки — и записать на телефон.

Американская некоммерческая организация The Internet Society (ISOC) продаёт свои активы, включая оператора Public Interest Registry (PIR), который управляет доменной зоной .org. Созданная в «общественных интересах» для общественных организаций, доменная зона переходит в руки коммерческой фирмы Ethos Capital за неизвестную сумму. Сделку планируют закрыть в I кв. 2020 года (см. пресс-релиз).

Таким образом, реестр из 10 миллионов доменных имен. org и управление финансовым потоками отдают коммерческой компании. Интересно, что пять месяцев назад ICANN бессрочно сняла любые ограничения на максимальные цены доменов .org. В поддержку своего решения ICANN привела два комментария от общественности. При этом во время общественного обсуждения организация получила 3315 комментариев, из которых 3252 были против (98,2%).

По мнению критиков, со стороны ISOC это была предпродажная подготовка, а организацию ICANN ввели в заблуждение (или она участвовала в сговоре). Судя по всему, сейчас подозрения подтвердились.

Ключевые интеграции Venafi

У девопсов и так много работы, а от них ещё требуют экспертных знаний по криптографии и инфраструктуре открытых ключей (PKI). Это неправильно.

Действительно, у каждой машины должен быть валидный TLS-сертификат. Они нужны для серверов, контейнеров, виртуальных машин, в сетках service mesh. Но количество ключей и сертификатов растёт как снежный ком, а управление быстро становится хаотичным, дорогостоящим и рискованным, если всё делать самостоятельно. При отсутствии надлежащей практики применения политик и мониторинга бизнес может пострадать из-за слабых сертификатов или неожиданного истечения срока действия.

GlobalSign и Venafi организовали два вебкаста в помощь девопсам. Первый — вводный, а второй — с более конкретными техническими советами по подключению системы PKI от GlobalSign через облако Venafi с помощью опенсорсных инструментов через HashiCorp Vault из конвейера Jenkins CI/CD.

Компании, отслеживающие действия пользователей в интернете, нуждаются в надёжной идентификации каждого человека без его ведома. Фингерпринтинг через браузер подходит идеально. Никто не заметит, если веб-страница попросит отрисовать фрагмент графики через canvas или сгенерирует звуковой сигнал нулевой громкости, замеряя параметры ответа.

Метод работает по умолчанию во всех браузерах, кроме Tor. Он не требует получения никаких разрешений пользователя.

С версий Chrome 77 и Firefox 70 (вышел 22.10.2019) дизайнеры приняли решение убрать зелёный «замочек», который сигнализирует о наличии TLS-сертификата. Более того, EV-сертификаты с расширенной проверкой теперь никак не выделяются.

Но разработчики Firefox 70 оставили возможность вернуть привычный интерфейс. И зелёный индикатор, и отдельную строчку с указанием компании для EV-сертификатов. Как со всеми другими настройками Firefox, это делается очень просто — изменением параметра в about:config.

Иллюстрация из статьи zhovner «Google Public DNS тихо включил поддержку DNS over TLS»

Mozilla и Google продолжают продвигать протокол шифрования DoH. Его уже внедрили в ранние альфы Firefox и Chrome. Шифрование DNS-запросов поддерживают Google Public DNS, Cloudflare DNS и другие резолверы.

Шифрование DNS-трафика с невозможностью слежки «человеком в середине», составлять и продавать профили пользователей — сильный удар по интернет-провайдерам, которые занимаются всем перечисленным. В отдельных странах это не понравится правоохранительным органам, которые затрудняют гражданам доступ к определённым ресурсам в интернете (например, в России заблокированы «Луркоморье», «Рутрекер» и 289 955 других ресурсов). Протокол DoH практически сводит на нет усилия властей.

Своё недовольство уже высказали провайдеры Великобритании, которые назвали Mozilla «главным злодеем интернета» якобы за подрыв системы блокировки сайтов с детской порнографией. На этой неделе стало известно о закулисной борьбе в коридорах законодательной власти США, где компании могут лоббировать свои интересы и легально «подкупать» депутатов.

Источник: Proofpoint

Наборы эксплоитов и известные уязвимости ПО применяются для кибератак очень редко. На самом деле, более 99% успешных атак производится с участием жертвы. Цель должна собственноручно открыть файл, запустить макрос, нажать на ссылку или выполнить какое-то другое действие. Такова статистика из последнего отчёта от компании Proofpoint.

Современные атаки фокусируются не на инфраструктуре, а на конкретных людях. Специалисты даже выделяют особый тип пользователей, представляющих максимальную угрозу для любой организации — так называемые VAP-пользователи (Very Attacked People), по аналогии с VIP-персонами. Хакеры их очень ценят.

В начале октября на Хабре обсуждалась утечка данных из «Сбербанка». Один из сотрудников банка продал информацию о тысячах или миллионах клиентов: ФИО, номер паспорта, номер карты, дата рождения, адрес и т. д.

Сама по себе новость рядовая: такую приватную информацию о клиентах продают сотрудники практически всех российских банков, операторов связи и госкомпаний. Но здесь база попала в открытый доступ, что случается не часто. Сотрудника уже вычислили (и, наверное, наказали). А вот кто подставил информатора и «Сбербанк», запустив информацию в масс-медиа, — отдельная тема.

Но что делать компаниям, как избежать таких утечек? Вероятно, нужно поднять зарплаты персонала (чтобы те не подрабатывали таким способом) и усилить над ними контроль. В «Сбербанке» используют DLP-систему InfoWatch. Тут она не помогла. Есть и другие системы, дополняющие DLP. Например, Microsoft предлагает платформу управления смартфонами сотрудников Intune.

Загрузка картинок с незащищённых сайтов тоже будет блокироваться

Google продолжает продвигать HTTPS, всё больше ограничивая в возможностях сайты, у которых нет TLS-сертификатов, хотя таких сайтов осталось уже мало. С июля прошлого года Chrome начал помечать такие сайты как небезопасные. Сейчас следующий шаг — компания анонсировала ряд шагов по постепенной блокировке смешанного контента.

Смешанный контент (mixed content) — это незащищённые элементы, передаваемые по HTTP-протоколу через страницы с SSL-сертификатом. Например, изображения, аудио и видео со сторонних (незащищённых) доменов. От такой практики придётся отказаться совсем.

Две недели назад на Хабре рассказывали о протоколе DNS-over-HTTPS (DoH) , недавно принятом в качестве стандарта RFC 8484. Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет самое «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас государство или злоумышленник на уровне провайдера может отслеживать содержимое DNS-пакетов и даже подменять их. Это позволяет блокировать доступ к ресурсу по IP-адресу или доменному имени.

И самое главное — организация Mozilla приняла решение включить его по умолчанию в браузере Firefox. Пока что только для пользователей США. Но в свете того, что менее полутора месяцев осталось до вступления в силу закона об изоляции Рунета, а закон Яровой уже вступил в силу, методы шифрования трафика как никогда актуальны для защиты от слежки в российском интернете.

Но сейчас пришла не очень приятная новость. Оказывается, в некоторых странах, где уже действует цензура трафика на государственном уровне, Mozilla может изменить своё решение. Такое обсуждается в Великобритании. Теоретически, такое может произойти и в России.