Безопасность

Google сообщила об улучшении двухэтапной аутентификации для своих сервисов, в том числе почты Gmail. Теперь при авторизации в качестве второго шага можно использовать физический USB-ключ Security Key, передает SecurityLab.

В компании отмечают, что устройство срабатывает только после проверки того, что сайт действительно принадлежит Google, а не является подделкой.

Вместо обязательного введения кода достаточно подключить ключ безопасности к USB-порту компьютера. Таким образом, учетная запись пользователя будет защищена от несанкционированного доступа, похищения файлов cookie и фишинговых атак.

«Security Key и Chrome поддерживают открытый стандарт Universal 2nd Factor (U2F), разработанный FIDO Alliance, так что в настоящее время другие web-сайты с системой авторизации могут использовать FIDO U2F для работы в Chrome. Мы надеемся, что другие браузеры также реализуют поддержку FIDO U2F», — говорится в сообщении Google.

Само по себе использование Security Key бесплатное, однако пользователю необходимо будет купить совместимое USB-устройство непосредственно у поставщика U2F.

Популярное приложение Whisper, которое обещает анонимность и «является самым безопасным местом в интернете», на самом деле отслеживает местоположение своих пользователей — в том числе тех, которые специально просили, чтобы за ними не следили, пишет The Guardian.

По данным газеты, в компании Whisper разработали внутренние картографические инструменты (mapping tool), которые позволяют сотрудникам фильтровать и искать GPS-данные, определяя место, из которого были отправлены сообщения через сервис, с точностью до 500 метров. Технология, например, позволяет компании мониторить сообщения, отправленные из Пентагона и Агентства национальной безопасности (АНБ). Также в течение долгого времени можно отслеживать перемещения отдельного пользователя.

— Главред Whisper отвечает: The Guardian опубликовала «кипу порочащей нас лжи»

Если же пользователи специально отключили геолокационные сервисы на своих гаджетах, в компании все равно могут отследить локацию (хоть и более грубо) по IP-данным, которые оставляет смартфон.

Журналисты The Guardian побывали в прошлом месяце в штаб-квартире компании в Лос-Анджелесе в рамках проекта по изучению возможностей сотрудничества прессы с Whisper и в результате им удалось установить следующие факты, передает InoPressa.ru:

— Данные о пользователях, в том числе публикации в Whisper, которые пользователи, как они считали, удалили, попадают в базу данных с возможностью поиска.

— Команда во главе с главным редактором Whisper Ницаном Циммерманом внимательно следит за пользователями, которые, как она считает, потенциально могут создать инфоповод. Среди многих людей, за которыми в данный момент следят, есть военнослужащие и лица, которые, как они утверждают, работают в компаниях Yahoo, Disney и на Капитолии.

— Политика Whisper по отношению к передаче данных о пользователях правоохранительным органам заставляла их иногда предоставлять информацию ФБР и MI-5.

— Компания сотрудничает с министерством обороны США, передавая информацию со смартфонов, которыми, по данным Whisper, пользуются на военных базах США, аналитикам, изучающим частоту упоминаний самоубийств или нанесения себе увечий.

— Whisper сейчас разрабатывает китайскую версию своего приложения, которая в урезанном формате уже была запущена ранее в октябре. Как известно, сайты компаний Google, Facebook and Twitter заблокированы на территории материкового Китая, а Whisper, похоже, придумала, как согласовать с местными чиновниками технические вопросы, договорившись о блокировке отдельных слов, не проходящих цензуру.

В ответ на просьбу журналистов прокомментировать эту информацию в Whisper заявили, что они «не преследуют пользователей и не наблюдают за ними».

«Однако в понедельник (13 октября) — через четыре дня после того, как в компании узнали о намерении The Guardian опубликовать данную статью, — в Whisper изменили условия обслуживания: теперь они открыто позволяют компании устанавливать примерное местоположение людей, отключивших в приложении функцию геолокации», — сообщает газета.

Сервис Whisper («шепот»), который недавно был оценен более чем в 200 млн долларов, быстро разросся после своего запуска два года назад. Он стоит в ряду таких «исповедальных» приложений, как Secret и Yik Yak, которые, по словам их сторонников, позволяют пользователям быть более откровенными, чем в других социальных сетях.

По мнению британского издания, практика слежки за пользователями Whisper, должна насторожить тех, кто доверяют подобным сервисам подробности своей частной и профессиональной жизни.

Главред Whisper отвечает: The Guardian опубликовала «кипу порочащей нас лжи»

Главный редактор Whisper Ницан Циммерман взял на себя главный удар критиков и отвечает на шквалом обрушившиеся на компанию вопросы и претензии. В частности, в комментарии The Washington Post он отверг все выдвинутые обвинения, отметив, что какое-то геолокационное отслеживание действительно имеет место (например, в городе) — просто когда пользователь заходит в интернет. Однако тут, по мнению Циммермана, ничего нового The Guardian не открыла. А вот другие методы слежки, которые описывает газета — «или откровенная ложь, или заблуждение, или неосведомленность».

Кроме того, Циммерман второй день активно и подробно отвечает всем пользователям в своем Twitter, оставив там уже десятки разных комментариев:

.@kevinroose a pack of vicious lies. we will be responding in full shortly.

— Neetzan Zimmerman (@neetzan) 16 октября 2014

В том числе с угрозами
в адрес издания:

Second response: The Guardian made a mistake posting that story and they will regret it.

— Neetzan Zimmerman (@neetzan) 16 октября 2014

Заверяет, что пользователи Whisper анонимны, что бы кто не говорил:

.@catyenders @fabiochiusi there is no user data to store. We don’t know who our users are. They are anonymous.

— Neetzan Zimmerman (@neetzan) 16 октября 2014

Дает ссылку на подробный ответ Whisper на все обвинения, выдвинутые The Guardian:

ICYMI: Here is Whisper’s original response to The Guardian’s accusations. There are many misconceptions out there: https://t.co/GrywpC8Lxd

— Neetzan Zimmerman (@neetzan) 17 октября 2014

Специалисты проанализировали рынки Европы, Ближнего Востока и Африки (EMEA) и обнаружили, что на долю Великобритании пришлось больше всего хакерских атак — 17% от общего количества совершенных в первой половине 2014 года нападений.

На втором месте по количеству хакерских атак находится Германия с показателем в 12%. На Саудовcкую Аравию пришлось 10% атак, на Турцию — 9%, на Швейцарию — 8%. А меньше всего атак зафиксировано во Франции (4%), Швеции (4%) и Испании (3%), пишет Сomputer Weekly.

При этом по сравнению с прошлым годом количество совершенных атак возросло в два раза.

Компания FireEye в своем отчете отмечает, что наиболее частыми были случаи инфицирования вредоносными программами DarkComet, njRAT (LV), Taidoor и XtremeRAT. В числе пострадавших находятся, в основном, правительственные и финансовые организации, а также телекоммуникационные компании, на компьютерные системы которых было совершено 50% атак, передает SecurityLab.

Нападениям злоумышленников все чаще подвергаются государственные учреждения. По мнению специалистов, эта тенденция будет продолжаться и в будущем. Причем наибольшему риску подвергаются госорганизации, оперирующие большими объемами данных, в том числе и финансовые департаменты.

Специалисты антивирусной компании ESET обнаружили новые следы активности известной киберпреступной группы Sednit. Теперь хакеры используют новый набор эксплойтов для распространения вредоносных программ.

В течение последних пяти лет жертвами группы Sednit стали различные организации преимущественно из Восточной Европы. Хакеры распространяли вредоносное ПО среди корпоративных пользователей с помощью фишинговых сообщений электронной почты. Письма содержали вложенные файлы Microsoft Word с распространенными эксплойтами, которые использовались для автоматической установки других вредоносных программ.

Специалисты компании ESET проанализировали вредоносное содержимое, размещенное группой Sednit на сайте крупного финансового учреждения из Польши. Было обнаружено, что в одном из исследуемых объектов используется URL-адрес, очень похожий на адрес авторитетного новостного ресурса о военной промышленности. Вредоносные объекты перенаправляли пользователей на набор эксплойтов, устанавливающих на компьютеры троян Win32/Agent.WLF.

В последние годы комплекты вредоносных программ – наборы эксплойтов – все чаще используются киберпреступниками. Они предназначены для операций финансового мошенничества, рассылки спама, майнинга биткоинов и кражи конфиденциальных данных пользователей. Схема кибератак, используемая Sednit, известна под общим названием «watering hole». Она предполагает компрометацию злоумышленниками известного веб-ресурса, что приводит к многочисленным заражениям пользователей.

Global Look Press

Глава отдела кибербезопастности Белого дома Майкл Дэниэл предлагает отказаться от традиционных методов защиты данных, в частности паролей, и использовать альтернативные варианты.

Об этом Дэниэл сообщил 9 октября в ходе дискуссии, организованной Центром по вопросам национальной политики США и новостным порталом The Christian Science Monitor. Также координатор Белого дома обсудил проблемы, касающиеся, по его мнению, «ужасного» механизма безопасности, передает SecurityLab.

«Честно говоря, я бы уничтожил понятие пароля как первичного метода безопасности, потому что оно ужасно», — заявил Дэниэл.

Глава отдела кибербезопастности предложил заменить пароли альтернативными методами, например биометрическими, такими как сканер отпечатков пальцев или даже селфи, пишет National Journal. Дэниэл уверен, что таким образом доступ к устройствам или учетным записям будут получать их законные владельцы, а не злоумышленники.

9 октября все маршрутизаторы Belkin вдруг перестали пропускать своих пользователей в Интернет.

Ликвидация проблемы заняло у компании 15 часов, что вызвало целую волну разнообразных слухов.

Компания идентифицировала проблему и опубликовала ее причину: «Работа одного из наших облачных сервисов, связанного с поддержкой операций маршрутизаторов, была нарушена вследствие изменений, произведенных в датацентре, что вызвало ложный отказ от обслуживания. Сейчас нормальная деятельность восстановлена, но отдельным пользователям необходимо перезапустить свои маршрутизаторы». Ну, а дальше обычная бла-бла про то, что «мы продолжим улучшать наши сервисы» и «все наши устройства» не будут ломаться.

Даже с этим объяснением, как-то становится неприятно думать, что твой локальный прибор может быть остановлен или даже просто контролироваться неким удаленным сервером.

15-летний бельгиец опустошил банковский счет отца на $46 000 (что по текущему курсу составляет примерно 1,8 миллиона рублей). Деньги были потрачены на внутриигровые покупки в стратегической игре Game of War: Fire Age для iPad.

Подросток получил доступ к средствам, когда мать дала ему банковскую карту отца, чтобы тот приобрел ей в iBooks несколько книг, поскольку сама она не разбирается в современных технологиях. Выполнив просьбу матери, сын решил шикануть. Однако позже, когда утечка финансов была замечена, он сказал, что не понимал, что тратит реальные деньги, а не внутриигровое золото.

Как и в других глобальных стратегических играх, игровой процесс Game of War: Fire Age подразумевает строительство империи и ведение войны. Все эти задачи требуют средств, которые можно добыть либо в самой игре, либо купить за реальные деньги. Сегодня это обычная практика монетизации игр для мобильных устройств, причем независимо от жанра.

Такого казуса могло бы не произойти, если бы семья не поскупилась на настройку iPad у одного из реселлеров. В iOS 8 как раз есть средство для предотвращения подобных ситуаций – «Семейный доступ». Оно позволяет создать «детский» Apple ID, покупки с которого будут требовать одобрения с «родительского» аккаунта.

Между тем, это не первый случай растраты родительских накоплений детьми. В прошлом году мальчик из Бристоля выкинул на игру The Simpsons: Tapped Out для iPad £980 (45 000 рублей), а другой ребенок 5-ти лет лишил своего отца суммы в £1700 (около 80 000 рублей) увлекшись игрой Zombies vs Ninja.

История с утечкой в интернет личных и откровенных фотографий знаменитостей получила очередное продолжение: пользователь сервиса 4Chan опубликовал накануне четвертый «сборник» снимков. Его особенностью является наличие среди жертв мужчины. Им стал 24-летний сын американского рестлера и актера Халка Хогана Ник Хоган, передает Onliner.

Хоган-младший поспешил заявить, что фото без трусов поддельные, однако официальная версия его представителя пока не была озвучена, передает The Independent. Также среди новых снимков фигурируют фотографии Вайноны Райдер, Анны-Линн МакКорд, Эрин Хизертон (бывшая подруга Леонардо ДиКаприо) и др.

На прошлой неделе известный американский адвокат Мартин Сингер подал от имени некоторых пострадавших иск, в котором потребовал от Google 100 млн долларов в качестве компенсации. Юрист утверждает, что поисковая компания попустительствует хакерам, несвоевременно или неторопливо удаляя личные снимки звезд Голливуда и подиума, а также зарабатывает на этом деньги (размещая релевантную рекламу).

Google отреагировала на обвинения Сингера, заявив, что в течение нескольких часов после публикации первой волны откровенных фотографий они удалялись из поисковой выдачи десятками тысяч.

Расследованием утечки данных занимается ФБР, а компания Apple, сервисы которой оказались скомпрометированы, ввела дополнительные меры по обеспечению безопасности.

Вы уж извините, дорогие наши читатели, но мы снова про Shellshock, “дыру” в командной оболочке Bash, открытие которой уже навело немало шороха в IT-сообществе. Дело в том, что эта оболочка используется многими компонентами таких популярных платформ, как OS X и Linux, и с ее помощью хакеры могут запускать вредоносный код с минимальными усилиями и в дальнейшем захватывать удаленный контроль над атакуемой системой. При этом несмотря на успокоительные заявления Apple и ряда иных фирм, паника не стихает.

Масло в огонь подлило недавняя находка разработчиков, сообщающих о потенциальной возможности использовать указанный эксплойт для запуска произвольного программного кода, применяя инструкции, не подпадающие под действие выпускаемых сейчас апдейтов и патчей. По словам экспертов, для обхода защиты можно использовать, скажем, обычные переменные вроде «cat», а единственным полноценным способом избежать этого может стать фундаментальное изменение способа, которым оболочка управляет переменными. Данное открытие мало повлияет на рядовых пользователей Mac и ПК под Linux, а вот владельцам сайтов и создателям систем типа “интернет вещей” есть о чем задуматься.

Не успели администраторы вздохнуть с облегчением после устранения нашумевшей ошибки в протоколе OpenSSL, как специалисты компании Positive Technologies обнаружили брешь в безопасности одного из фундаментальных компонентов операционной системы Linux — командной оболочке Bash.

Новая уязвимость получила название ShellShock, если её своевременно не устранить, по негативным последствиям она будет сопоставима с Heartbleed. В зоне риска находятся все общедоступные серверы GNU/Linux без последних обновлений безопасности, а в особенности — корпоративные сети с устаревшими версиями программного обеспечения. Кроме того, взлому подвержены маршрутизаторы, встраиваемые устройства и любое другое оборудование, связанное с «интернетом вещей».

ShellShock позволяет злоумышленнику удаленно запускать произвольные команды операционной системы. По этой причине пользователям Android-устройств и владельцам портативных компьютеров, работающих под управлением ОС Linux или OS X, не рекомендуется подключаться к незнакомым точкам доступа. В первую очередь это касается мест массового скопления людей, где вероятность хакерских атак максимальна.

Среди уязвимых веб-приложений значатся популярная панель управления хостингом cPanel и проекты, использующие интерфейс CGI, shell-технологии, вызовы system/exec в PHP или os.system/os.popen в Python.

Представители Positive Technologies также отмечают, что встроенные механизмы защиты приложений в фирменном ПО Application Firewall смогут выявить и блокировать атаку ShellShock.

Ранее редакция  опубликовала самых известных приложений, стоящих на страже конфиденциальности пользователей. Разглашённые Эдвардом Сноуденом сенсационные сведения о масштабах слежки, осуществляемых АНБ, потрясли весь мир и заставили многих людей задуматься. Эра «после Сноудена» ознаменовалась тем, что обычные пользователя стали отличаться высокой осведомлённостью о том, как скрыть своё общение от назойливых глаз. Насколько данный настрой характерен для наших российских читателей, неясно. Но то, что в отрасли намечается бум анонимайзеров для браузеров и приложений для обеспечения конфиденциальности, в том числе от рекламы, — вполне очевидный факт. Мы в свою очередь составили список самых интересных приложений для параноидальных владельцев мобильных устройств. Подробнее об этом читайте в статье «Как бороться со слежкой: самые известные приложения».