Шифрование электронной почты — трудная и болезненная процедура. Недавно я сам понял, насколько. Одна моя знакомая, очень продвинутая в сфере информационной безопасности, прислала мне свой открытый ключ PGP и попросила перейти на шифрование. Нет, она не из АНБ или ЦРУ, просто обычный человек, который заботится о своей конфиденциальности. Я никогда раньше не отправлял зашифрованные письма, но подумал: «Почему бы и нет?» Много лет я хотел это освоить, но не с кем было обмениваться шифрованными письмами.

Я начал с установки GnuPG на свой компьютер под Linux.

Google и Apple внедряют в свои операционные системы общий механизм Contact Tracing API для отслеживания контактов пользователя и передачи этих данных третьим лицам. Предполагается, что доступ к API получат программные сервисы, помогающие сдерживать распространение коронавируса. Возможно, модификация ОС производится по распоряжению американских властей, которые хотят упорядочить сбор данных о контактах людей.

Отслеживать контакты будут по протоколу Bluetooth Low Energy.

16 апреля 2020 года свои рекомендации опубликовала Еврокомиссия. Исполнительный орган ЕС заявил, что программные приложения, помогающие сдерживать распространение нового коронавируса, не должны собирать данные о местоположении пользователей, передаёт Reuters.

Подпись DocuSign добавляется в документ PDF в программе Adobe Acrobat Reader DC

Если работники сидят в карантине и не могут выйти в офис, то как подписывать документы?

GlobalSign и DocuSign заключили соглашение о технологическом партнёрстве. Это значит, что сервис цифровой подписи Digital Signing Service (DSS) от GlobalSign будет интегрирован в экосистему DocuSign Trust Service Provider (TSP). Пользователи TSP смогут легко использовать цифровые подписи, сгенерированные на бэкенде от GlobalSign.

Всё это работает на платформе DocuSign Agreement Cloud, которая объединяет более десятка приложений и более 350 таких «интеграций» для удобного создания цифровых сигнатур, управления и подписи документов.

TeamViewer — популярная программа для удалённого доступа к рабочему столу. Поэтому довольно интересно посмотреть, как она хранит пароли. Если вкратце, пароли хранятся в реестре Windows в зашифрованном виде. Для шифрования используется алгоритм AES-128-CBC и секретный ключ 0602000000a400005253413100040000.

Такой метод сохранения паролей и связанное с ним повышение привилегий официально зарегистрированы 7 февраля 2020 года как уязвимость CVE-2019-18988 (применима ко всем версиям TeamViewer до 14.7.1965 включительно).

Мгновенное распространение информации через социальные сети и мессенджеры — одна из примет современной эпохи. В интернете мало цензуры, поэтому важная информация распространяется вирусным путём, охватывает огромную аудиторию за считаные часы или минуты.

Каждый настраивает собственный «информационный фильтр», чтобы отсеивать источники, не заслуживающие доверия. Люди постепенно учатся это делать. Facebook и Twitter по требованию регуляторов набирают модераторов и удаляют фейки, например, про вред прививок. Но некоторые комментаторы считают, что эти попытки обречены на провал. Полностью отфильтровать дезинформацию в большом масштабе вообще невозможно, даже теоретически.

Например, очень трудно бороться с дезинформацией, которая идёт из официальных источников, а сейчас этой лжи особенно много. Правительства лгут своему населению, а эксперты ВОЗ вводят в заблуждение жителей всего мира.

Может, цензура со стороны интернет-компаний наносит больше вреда, чем пользы? Что вообще делать в такой ситуации? Кому можно доверять?

«Временные меры быстро станут постоянными»

Правительства во всём мире используют высокотехнологичные меры для наблюдения за населением в борьбе со вспышкой коронавируса. Приватность граждан приносится в жертву, лишь бы замедлить заражение. Стоит ли оно того?

Эдвард Сноуден так не считает.

Бывший подрядчик ЦРУ, который разоблачил ряд шпионских программ ЦРУ и АНБ, предупреждает, что как только технологический джинн выпущен из бутылки, его будет очень трудно вернуть обратно.

В тестовом билде Firefox Nightly реализован интересный режим. Возможно, когда-нибудь его включат по умолчанию, но сейчас он выглядит слегка необычно и его нужно вручную активировать из настроек.

Это режим HTTPS-only, в котором вы не можете загрузить сайты по незащищённому каналу. Если ввести адрес http://, то браузер пытается переадресовать запрос на https://, а в случае неудачи — блокирует загрузку. Все соединения должны быть зашифрованы в обязательном порядке.

Если не случится ничего экстраординарного, то функция перейдёт в финальный релиз Firefox 76, который планируется к выходу 5 мая 2020 года.

Самоизоляция и работа из дома — эффективное мера против распространения инфекции. Здесь масса дополнительных бонусов: повышение эффективности труда, финансовые выгоды для компании, пропаганда идеи минимального базового дохода (выплаты людям, чтобы они не выходили из дома, в итоге многократно окупаются), улучшение экологии. Но есть и один серьёзный недостаток. Внезапный переход на удалёнку миллионов сотрудников без должной подготовки порождает огромные риски для информационной безопасности. Корпоративные VPN не всегда рассчитаны на такую нагрузку, а сами сотрудники зачастую не умеют использовать криптографические инструменты, работают через слабые бытовые маршрутизаторы из незащищённой домашней сети.

TeamViewer — популярная программа для удалённого доступа к рабочему столу. Поэтому довольно интересно посмотреть, как она хранит пароли. Если вкратце, пароли хранятся в реестре Windows в зашифрованном виде. Для шифрования используется алгоритм AES-128-CBC и секретный ключ 0602000000a400005253413100040000.

Такой метод сохранения паролей и связанное с ним повышение привилегий официально зарегистрированы 7 февраля 2020 года как уязвимость CVE-2019-18988 (применима ко всем версиям TeamViewer до 14.7.1965 включительно).

В США довольно популярен сервис Service Experts по удалённому найму сантехников, специалистов по отоплению, кондиционированию воздуха и так далее. В России тоже есть аналогичные сайты: очень удобно быстро подобрать мастера. Хотя в нынешних условиях лучше самостоятельно прибить эту полку, чтобы вообще ни с кем не контактировать. Так или иначе, недавно компания USAFact (провайдер скрининга для тысяч компаний, в том числе Service Experts) подписала договор с GlobalSign на индивидуальное внедрение сервиса цифровой подписи (Digital Signing Service), который был развёрнут за четыре месяца — и теперь действует для предварительного скрининга всех мастеров Service Experts.

Это пример, как можно организовать удалённую работу наёмных сотрудников с корректным оформлением документов. Актуально в нынешней ситуации.

Рис. 1. OpenVPN vs WireGuard, тест Ars Technica

WireGuard — свободный и открытый протокол виртуальных частных сетей, призванный заменить IPsec и OpenVPN. В январе 2020 года после полутора лет доработки кода всё-таки состоялось долгожданное событие — Линус Торвальдс принял VPN WireGuard в основную ветку Linux 5.6.

Очень скоро этот VPN станет частью ядра Linux — сердца операционной системы с открытым исходным кодом, на которой работает весь мир, от веб-серверов до телефонов Android и автомобилей. Это действительно важное событие, потому что WireGuard устроен на порядок проще и логичнее предыдущих VPN. В июне 2019 года получено автоматизированное криптографическое доказательство математики протокола.

Умный завод четвёртого поколения (Industry 4.0) работает автономно. Роботы на конвейере общаются друг с другом, уменьшая процент брака и отходов

Один из крупнейших в мире производителей микросхем Infineon заключил соглашение с глобальным центром сертификации GlobalSign на перекрёстную подпись сертификатов, которые производитель самостоятельно выдаёт для своих промышленных криптографических чипов Optiga TPM SLM 9670. Теперь эти подписи проверяемы по цепочке вплоть до корневого центра сертификации GlobalSign, что значительно упрощает управление ими.

Если вы думали, что медицинская маска обманет камеры распознавания лиц, то для вас есть две плохие новости. Во-первых, исследователям удалось значительно усовершенствовать системы машинного зрения, так что теперь распознавание достаточно надёжно выполняется по половине лица или по области глаз (по половине лица уровень успешного распознавания составляет 90%).

Вторая плохая новость, что вспышка коронавируса подтолкнула китайских производителей SenseTime, FaceGo, Minivision внедрять технологии распознавания частично закрытых лиц в коммерческие модели видеокамер. Из-за вспышки Covid-19 много граждан стали выходить на улицы в масках — поэтому приходится модернизировать системы видеонаблюдения.

Главная задача Google — вытеснить из браузера Chrome сторонние блокировщики, такие как uBlock Origin и AdBlock Plus

Форматы видеорекламы, которые блокируются с 5 августа 2020 года. Источник: Google

Разработчики браузера Chromium расширили набор правил для встроенного блокировщика рекламы. Теперь они включают в себя некоторые рекламные видеоролики, которые автоматически воспроизводятся перед началом полезного контента или в его середине.

YouTube и другим сайтам с видеоконтентом придётся пересмотреть свою политику, чтобы соответствовать требованиям, иначе браузеры на базе Chromium заблокируют их рекламу. Речь о Chrome, Edge, Brave, Opera, Vivaldi, Yandex и примерно 20-ти других браузерах на кодовой базе Chromium.

Новые правила не привязаны к конкретной версии Chromium и вступят в силу на серверной стороне 5 августа 2020 года.

В январе любители научной фантастики порадовались продолжению культового сериала Star Trek. Новый сезон называется «Звёздный путь: Пикар» (рейтинг IMDB зашкаливает: 8,70). Но радость оказалась недолгой. Во-первых, для просмотра требуется подписка на онлайн-сервис CBS All Access (это вдобавок к подпискам на Netflix, Disney, Google Play Movies, Hulu, Apple TV+ и остальным онлайн-кинотеатрам, которые вы смотрите). Но даже если оформить подписку, не факт, что кино покажут.

Пользователи Linux возмутились, что в видеотрансляции на сайте CBS All Access им показывают только рекламу, но не фильм. После рекламы трансляция завершается, а сам фильм в браузере посмотреть невозможно. Блокировка производится через криптографический модуль CDM Widevine, который необходимо внедрить в браузер, чтобы воспроизводить контент под криптозащитой DRM, поставленной правообладателями. Не всем браузерам разрешают поставить такой модуль, для этого требуется заключить лицензионное соглашение с правообладателем, а иногда и заплатить круглую сумму. Подробнее см. статью «Независимые браузеры более не конкурентоспособны».

К 2016 году vDos стал самым популярным в мире сервисом для заказа DDoS-атак

Если верить теориям заговора, то антивирусные компании сами распространяют вирусы, а сервисы защиты от DDoS-атак сами инициируют эти атаки. Конечно, это выдумки… или нет?

16 января 2020 года Федеральный окружной суд Нью-Джерси признал виновным 22-летнего Такера Престона (Tucker Preston), жителя города Мейкона, штат Джорджия, по одному из пунктов обвинения, а именно «повреждение защищённых компьютеров путём передачи программы, кода или команды». Такер является сооснователем компании BackConnect Security LLC, которая предлагала защиту от DDoS-атак. Юный бизнесмен не смог удержаться от соблазна отомстить несговорчивым клиентам.

После редизайна органическая выдача Google (внизу) практически неотличима от рекламных объявлений

Начиная с 13 января 2020 года компания Google начала выкатывать новый дизайн поисковой выдачи для десктопов. Он практически стирает грань между органическими результатами поиска и рекламными объявлениями сверху.

Теперь единственное, что отличает рекламные ссылки от нормальных — это маленький чёрно-белый значок "Ad". Значок отформатирован так, чтобы совпадать по размеру с новыми фавиконами в результатах поиска.

Компания GlobalSign провела опрос, как и почему компании вообще используют инфраструктуру открытых ключей (PKI). В опросе приняли участие около 750 человек: им также задавали вопросы о цифровых подписях и DevOps.

Если вы не знакомы с термином, то PKI позволяет системам безопасно обмениваться данными и проверять владельцев сертификатов. Решения PKI включают в себя аутентификацию цифровых сертификатов и открытые ключи для шифрования и криптографической проверки аутентичности данных. Любая конфиденциальная информация полагается на систему PKI, а GlobalSign считается одним из ведущих мировых поставщиков таких систем.

Итак, рассмотрим несколько ключевых выводов исследования.

Кадр одного из онлайновых расследований Bellingcat

Международное агентство Bellingcat опубликовало несколько советов по идентификации людей и географических локаций на фотографиях с помощью функции «Поиск изображений» в поисковых системах.

Оказалось, что в этом отношений нет равных российской поисковой системе «Яндекс. Картинки». По одному образцу движок находит фотографии этого лица в совершенно другой обстановке и освещении, что говорит о продвинутом распознавании лиц. У Google и других компаний нет ничего подобного, признают специалисты. Таким образом, «Яндекс» можно назвать безусловным лидером по обратному поиску изображений.

В опубликованном руководстве разъясняются базовые методы онлайн-расследований, с акцентом на идентификацию лиц и адресов.

Юникод исключительно сложен. Мало кто знает все хитрости: от невидимых символов и контрольных знаков до суррогатных пар и комбинированных эмодзи (когда при сложении двух знаков получается третий). Стандарт включает 2¹⁶ кодовых позиций в 17-ти плоскостях. По сути, изучение Юникода можно сравнить с изучением отдельного языка программирования.

Неудивительно, что веб-разработчики упускают из вида некоторые нюансы. С другой стороны, злоумышленники могут использовать особенности Юникода в своих целях, что и делают.

Специалист по безопасности Джон Грейси продемонстрировал на примере GitHub баг проверки адреса электронной почты для восстановления забытого пароля. Подобные баги можно встретить и на других сайтах.