Смарт ТВ нового поколения становятся ещё умнее, и одна из главных проблем для приватности пользователей — функция автоматического распознавания контента (automatic content recognition, ACR).

Функция отслеживает видеоролики, кинофильмы и другой контент, который появляется на экране, даже если он транслируется с флэшки или Plex. Информация отправляется производителю ТВ, в том числе для дальнейшей перепродажи информационным брокерам, профилирования пользователя и персонализации рекламы.

Специалисты по безопасности разработали универсальный способ трекинга любых мобильных устройств через сеть «Локатор» (Apple FindMy) — с ведома или без ведома владельцев этих устройств. Метод обеспечивает точное определение координат, не используя GPS-навигацию и WiFi.

Система работает на любом устройстве с поддержкой Bluetooth Low Energy (BLE): на персональных компьютерах, ноутбуках, смартфонах и планшетах под управлением операционных систем Windows, Linux, Android и др. Требуется только установить приложение, которое будет выдавать себя за трекер AirTag в сети FindMy.

Подпись кода — это процесс проставления цифровой подписи на программном обеспечении. Цифровая подпись гарантирует пользователю, что программа является неподдельной и что её код не подвергся никаким изменениям в промежутке между созданием программы и выпуском.

В старые времена для подписи билдов использовалась подписи GPG, а секретные ключи хранились где-нибудь на флэшке. Потом для приложений Windows появились система Authenticode.

Сейчас для опенсорса и проприетарных ОС постепенно внедряются новые методы автоматизации подписи кода.

Chromecast второго поколения

9 марта 2025 года владельцы медиаприставок Chromecast второго поколения и Chromecast Audio столкнулись с неожиданной проблемой — все устройства прекратили работать. Как потом выяснилась, проблема была в просроченном TLS-сертификате.

Это новая причина, по которой оборудование может выйти из строя в 21 веке.

Некоторые специалисты по информационной безопасности призывают отказаться от использования Telegram, указывая на его исторические проблемы с криптографией. В качестве оптимальной альтернативы часто называют Signal.

На чём основано это мнение и почему Signal считается более защищённым мессенджером?

По мнению некоторых пользователей, PDF — простой формат для обмена документами. На самом деле это очень сложный стандарт, который поддерживает выполнение практически любого кода. Неудивительно, что в прошлые годы энтузиастам удалось успешно запустить Doom внутри PDF и провести ряд других интересных экспериментов.

Оказалось, что на этом возможности движка по рендерингу PDF не ограничиваются. Он способен запустить даже эмулятор полноценного процессора, а в нём — целую операционную систему.

В феврале 2025 года компания Apple удалила функцию сквозного шифрования в Великобритании в ответ на секретный запрос Министерства внутренних дел (Home Office) об установке бэкдора. Функцию шифрования Advanced Data Protection (ADP) в iCloud можно активировать для защиты своих данных. У британских пользователей больше нет такой опции.

Таким образом, Apple предпочла удалить функцию вообще, но не предоставлять её своим со скрытой уязвимостью, что подрывает фундамент безопасности платформы.

Не только в Великобритании государственные органы пытаются получить доступ к приватной информации граждан со смартфонов и облачных сервисов. То же самое наблюдается в других странах.

Шпионаж (прослушка) и наблюдение (слежка) — это разные, но связанные вещи. Если нанять частного детектива для прослушки, то он может спрятать несколько жучков в доме, машине — и в итоге получит отчёт с записями разговоров объекта. Если же ему поручили работу по наблюдению, то содержание отчёта будет другим: куда ходил человек, с кем разговаривал, что покупал, что делал.

До появления интернета установить за кем-то наблюдение было дорого и долго. Нужно было вручную следить за человеком, отмечая, куда он ходит, с кем разговаривает, что покупает, что делает и что читает. Но этот старый мир навсегда ушёл в прошлое. Теперь наши телефоны отслеживают местоположение, банковские карты регистрируют покупки, приложения отслеживают, с кем мы разговариваем и что читаем. Компьютеры собирают данные обо всех наших действиях, и по мере удешевления хранения и обработки эти данные всё чаще сохраняются и используются. То, что было индивидуальной работой, сейчас стало массовым. Слежка за людьми стала бизнес-моделью для интернет-компаний, и у нас нет разумного способа отказаться от неё.

Возможности программного обеспечения Sysdiagnose для компьютерной криминалистики на iOS

Среди некоторых пользователей распространено мнение, что смартфоны под iOS лучше защищены от бэкдоров и вредоносного ПО, чем смартфоны Android. Отчасти это справедливо. Софт в каталоге App Store более жёстко модерируется, так что у обычных граждан меньше шансов подхватить зловреда. Но с точки зрения уязвимостей операционная система iOS совсем не уступает другим ОС. Соответственно, и вредоносные программы для неё создают регулярно.

Под iOS создаётся коммерческий шпионский софт, который применяется на государственном уровне против конкретных граждан — гражданских активистов, журналистов, бизнесменов. В нём применяют более интересные уязвимости и изощрённые эксплоиты, чем в обычных троянах.

Для обнаружения таких зловредов требуются специальные инструменты.

Высокочастотное радио (ВЧ) на коротких волнах в диапазоне от 3 до 30 МГц (длина волны от 100 до 10 м, соответственно) применяется армией, агентствами по чрезвычайным ситуациям, промышленными предприятиями и другими, кому необходима высоконадёжная связь на больших расстояниях без какой-либо внешней инфраструктуры. На этих частотах радиосигналы отражаются от электрически заряжённых частиц в верхних слоях атмосферы.

В современных условиях такая радиосвязь обычно шифруется. Однако в некоторых системах применяются нестандартные (проприетарные) алгоритмы шифрования, что исторически известно как не самый надёжный вариант. На последней хакерской конференции 38th Chaos Communication Congress (38C3) в Гамбурге представлен доклад с описанием фатальных недостатков в алгоритме шифрования HALFLOOP-24, который используется военными США и НАТО.

Разработчики Mozilla выступили с интересным предложением по оздоровлению инфраструктуры сертификатов TLS и инфраструктуры открытых ключей (PKI) в целом.

Среди прочего, Центрам Сертификации предлагается массово отзывать у пользователей сертификаты, чтобы подтолкнуть их к автоматизации. Для тестирования системы ежегодно отзыву подлежит 30 случайных сертификатов.

В последнее время в СМИ много публикаций о новых квантовых компьютерах, которые представляют угрозу для современной криптографии. Например, недавно Google сообщила о разработке квантового процессора Willow, который в специально сформулированной задаче превышает производительность самого мощного суперкомпьютера в септиллион раз (септиллион = 10²⁵).

Хотя квантовая криптография быстро развивается, ей ещё далеко до того, чтобы угрожать современной криптографии. Более того, разработан ряд постквантовых алгоритмов и шифров, которые устойчивы к квантовым вычислениям.

У каждого человека с годами скапливается множество бумажных документов, в которых непросто разобраться или что-то найти. Эта проблема ещё более актуальна для организаций.

Опенсорсная программа Paperless-ngx позиционируется как оптимальное решение для создания цифрового архива. Со встроенной системой распознавание символов (OCR) и обучением на основе ранее отсканированных документов она создаёт хранилище с поиском, где можно быстро найти любой документ. Всем документам присваиваются теги, так что они могут присутствовать в разных тематических категориях, это удобнее распределения по папкам.

Paperless-ngx можно установить на домашний сервер и загружать документы через браузер с любого устройства.

Опенсорсный криптофотохостинг Ente Photos, десктопное приложение и мобильный клиент

Когда запустился YouTube, люди спокойно публиковали там трогательные приватные видео. Сегодня никому в голову не придёт выкладывать такое в открытый доступ. Времена сильно изменились. То же относится к фотографиям.

Во-первых, с массовым профилированием пользователей ценность пользовательских файлов сильно возросла. Во-вторых, профилированием занимаются алгоритмы машинного обучения, которые извлекают массу ценной информации из личных фотографий. И самое неприятное, что эти алгоритмы ИИ обучаются на наших фотографиях.

Не говоря уже о том, что среди фотографий могут быть очень личные, которые вообще нежелательно никому видеть, кроме самых близких людей.

В 2024 году опенсорсному проекту OpenWrt исполнилось 20 лет. Разработчики ещё в январе объявили, что этот юбилей можно отпраздновать выпуском нативного маршрутизатора OpenWrt One.

Разработка и рождение дизайна заняло девять месяцев. В октябре началась отгрузка первых экземпляров для энтузиастов, а в конце ноября 2024 года свободный маршрутизатор появился на крупнейших торговых площадках интернета. Это важная новость, потому что OpenWrt One — в своём роде уникальное устройство. Это первый маршрутизатор, специально сконструированный для идеальной совместимости с опенсорсной прошивкой OpenWrt, хотя с ней официально совместимы десятки устройств (можно самостоятельно скачать и установить её, это несложная процедура).

Маршрутизатор на открытой архитектуре с прошивкой OpenWrt разработчики называют «неубиваемым» (unbrickable): в нём предусмотрен физический переключатель для разделения NOR- и NAND- флэш-памяти.

Один из старых хакерских трюков — распространять вредоносное ПО под видом обновления браузера. На взломанном сайте размещается плашка с утверждением, что для просмотра нужно обновить браузер. И кнопка для скачивания обновления, как на скриншоте с прошлогодней атаки ClearFake. Таким образом, жертва самостоятельно устанавливает вредоносное ПО на свой компьютер.

В прошлом году злоумышленники разработали умный способ защитить вредоносный софт от уничтожения. Они разместили его в децентрализованном анонимном блокчейне. То есть интегрировали код в смарт-контракт, который навечно сохранился в открытом доступе.

Если пользователь забыл мастер-пароль от парольного менеджера Bitwarden, 1Password, KeepassXC, то пароли невозможно восстановить. Другое дело — встроенные парольные менеджеры браузеров Chrome и Firefox, для расшифровки которых есть специальные инструменты. Этот факт следует иметь в виду при хранении пользовательских данных — и не допускать, чтобы злоумышленник получил физический или удалённый доступ к компьютеру с правами пользователя.

Примечание: перечисленные ниже инструменты не работают с последними версиями браузеров и приведены исключительно в информационно-образовательных целях.

В наше время большинство пользователей хранят файлы в том или ином облачном хранилище: Google Drive, Яндекс.Диск, Dropbox, OneDrive и т. д. Благодаря низкой стоимости такие сервисы очень популярны. Их аудитория оценивается более чем в 4 млрд человек, а объём хранимых данных — порядка экзабайта. Почти все провайдеры шифруют файлы на своих серверах. Но если сам провайдер скомпрометирован, такая система не обеспечивает никакой защиты.

Поэтому отдельные сервисы реализовали сквозное шифрование (E2EE), когда не сервер, а пользователь контролирует ключи шифрования.

В основном, эти сервисы предлагают услуги для коммерческих клиентов. Например, MEGA, Nextcloud, Sync, Tresorit, Seafile, Icedrive и pCloud. К сожалению, реальность далека от рекламных заявлений. Независимое исследование показало, что все перечисленные провайдеры страдают от уязвимостей и архитектурных изъянов.

Обычно парольная защита производится через веб-сервер, который проверяет пароль и выдаёт контент. Стандартный способ: .htaccess и htpasswd. Но что, если нужно выложить зашифрованную веб-страницу и файлы на публичном хостинге, где у нас нет контроля над сервером? Эту проблему решают инструменты StatiCrypt и Portable Secret.

Для шифрования HTML перед публикацией StatiCrypt использует AES-256 и WebCrypto, а расшифровка происходит с помощью ввода пароля в браузере на стороне клиента, как показано в демо (пароль test).

StatiCrypt генерирует статическую страницу, которую можно безопасно заливать на любой хостинг, в том числе бесплатный сторонний хостинг, такой как GitHub Pages.

Как известно, PDF-файлы часто используются как контейнеры для вирусов и эксплоитов. Они применяются в фишинговых кампаниях и социальной инженерии, когда жертве присылают для просмотра «безобидный документ» в формате PDF, а тот запускает на исполнение вредоносный код через незакрытую уязвимость в браузере или PDF-ридере.

Перед открытием документа всегда желательно посмотреть, что находится внутри. Для этих целей существуют парсеры, которые разбирают PDF. Например, Interactive PDF Analysis (IPA, на скриншоте вверху) и другие.

Даже если перед нами чистый PDF, иногда нужно изучить содержимое и извлечь полезные ресурсы в нетронутом виде — например, оригинальные изображения в JPG.