Архив рубрики: Статьи

Агенство Национальной Безопасности США покупает эксплойты

nsa-hacker Недавно стало известно о годовом контракте между АНБ США и французской компанией VUPEN, согласно которому французы предоставляли АНБ доступ к базе уязвимостей и эксплойтов для целевых атак на системы и сайты.

Благодаря закону о свободе информации в США стало известно об этом контракте, заключенном ещё в сентябре 2012 года.

Также стало известно о взаимодействии VUPEN и с другими представителями НАТО. Со слов сотрудника этой компании, они действительно продают доступ к своим данным военным и спецслужбам.

В хакерской среде, впрочем, эта находка вызвала неоднозначную реакцию, т.к. база VUPEN не отличается дешевизной и актуальностью, т.е. есть возможности получить более полную и актуальную информацию дешевле. Высказано предположение, что это не основной канал получения эксплойтов, а просто один из них.

Android: Google знает ваши пароли от Wi-Fi

Добавить комментарий

smartphone wifi access Специалист по информационной безопасности Майкл Хоровитц (Michael Horowitz) опубликовал статью «Google известны практически все пароли от Wi-Fi в мире«. Речь в ней идёт о том, что на серверах Google на данный момент присутствуют в незашифрованном виде пароли от практически всех Wi-Fi-точек, к которым когда-либо подключались устройства на Android.

По аналитическим данным сейчас в мире под управлением Android работает более миллиарда устройств. Каждое из них хранит пароли от точек Wi-Fi таким образом, что Google (а значит и правительственные спецслужбы, например) может получить к ним доступ.

Более того, при настройках Android по умолчанию эти пароли в незашифрованном текстовом виде передаются на сервера Google и хранятся там (на случай восстановления настроек устройства).

Получить доступ к Wi-Fi сети — это самое малое, что можно сделать, обладая такими данными.

Мужчины читают чужую переписку в два раза чаще

Добавить комментарий

На основе опроса двух тысяч британцев исследователи пришли к выводу, что мужчины гораздо чаще без спроса изучали содержимое телефонов своих подруг, чем женщины.

В подобных действиях призналось 62 процента опрошенных мужчин и 34 процента женщин.

Что именно интересовало их в чужих телефонах? Всё очень просто — около половины опрошенных признались, что искали SMS-переписку, вторая половина — переписку в социальных сетях.

В подавляющем большинстве случаев (89%) целью перлюстрации было выяснить — не ведёт ли их партнёр романов на стороне.

Британцы считают, что отсутствие доверительных отношений в парах может стать серьёзной проблемой уровня всего общества, причём применимо это не только к данной стране, а скорее к обществу в целом.

Взломаны телевизоры Samsung SmartTV

1 комментарий

samsung smarttv

Немецкий специалист по информационной безопасности Мартин Хельфурт (Martin Herfurt) сообщил об успешном взломе телевизоров Samsung, имеющих функцию SmartTV.

Атака была осуществлена с удалённого компьютера, а её целью была трансляция каналов по технологии HbbTV.

Взлом стал возможен из-за использования в программном обеспечении этих телевизоров браузера WebKit 1.1 с известными незакрытыми уязвимостями, а так же отказа разработчиков использовать SSL-шифрование.

В результате взлома исследователю удалось подменить трансляцию своим видеорядом, запустить собственные субтитры и даже установить на взломанное устройство программу для генерации децентрализованной сетевой валюты Bitcoin.

Facebook, Google и Twitter уличены в шпионаже за пользователями

Добавить комментарий

Специалисты по информационной безопасности из компании High-Tech Bridge (Женева, Швейцария) провели исследование пятидесяти наиболее популярных социальных сетей и сервисов и опубликовали полученные результаты.

Суть эксперимента была следующей: они развернули веб-сервер, на котором были созданы страницы с совершенно непредсказуемыми адресами, состоящими из случайной последовательности символов.

После этого сообщения, содержащие адреса таких страниц были переданы через исследуемые социальные сервисы и сети. Логи веб-сервера тщательно мониторились на предмет входящих запросов.

В течение десяти дней эксперимента в попытке изучения секретных страниц были уличены шесть сервисов из пятидесяти, и в их числе Facebook и Twitter (приватное сообщение со ссылкой), Google+ (ссылка в «круге» без подписчиков), Bit.ly и Goo.gl (укорачивание ссылки), Formspring (заданный пользователю вопрос со ссылкой).

Кстати, проведённый ранее аналогичный эксперимент показал, что подобным образом ведёт себя и Skype.

По результатам этого исследования можно считать, что у этих сервисов есть автоматизированные системы мониторинга конфиденциальной переписки пользователей. А сам эксперимент — достаточно прост чтобы повторить его результаты буквально в домашних условиях.

Отдельно хотим заметить: решения от Mipko — это не программы-шпионы. Даже отчёты на почту пользователей программа отправляет не через наши почтовые сервера, а через пользовательские. Таким образом, у нас самих нет никакой возможности получить конфиденциальные данные пользователей нашей программы. И это тоже легко проверить, просмотрев исходящие соединения программы любым соответствующим приложением.

Обнаружена уязвимость в умных унитазах

Добавить комментарий

Унитаз взломан В рамках серии публикаций «безумие и информационная безопасность» хотим сообщить вам очередную уникальную в своём роде новость: эксперты обнаружили уязвимость в программном обеспечении целой серии унитазов.

Уязвимость была обнаружена в японских унитазах Lixil Satis, но обнаружили её не британские, а американские эксперты из компании Trustwave SpiderLabs.

Среди функций японских унитазов присутствуют проигрывание музыки, автоматическое поднятие-опускание крышки и сиденья, автоматический смыв воды, некие личные настройки и ведение персональной статистики использования.

Управление всеми этими функциями осуществляется через BlueTooth с помощью специального приложения под Android. Суть уязвимости в том, что в коде этого приложения разработчики указали фиксированный пинкод для подключения — 0000. Зная его, можно подключиться к любому унитазу этой серии.

Для этого достаточно скачать с Google Play приложение My Satis, установить его на свой телефон и найти унитаз Lixil Satis в пределах досягаемости BlueTooth.

Компания Mipko: мы разрабатываем не просто клавиатурные шпионы, а полноценные системы мониторинга активности пользователей.

Ультимативная информационная безопасность

Добавить комментарий

pax6u Американская администрация экономического развития (The Commerce Department’s Economic Development Administration) на днях продемонстрировала просто ультимативный подход к обеспечению информационной безопасности в своём ведомстве.

Некоторые компьютеры организации оказались заражены вирусом и предварительное исследование показало, что из 250 компьютеров заражено 146. Как оказалось позднее, предварительные данные были неверны. На самом деле заражены были всего два компьютера.

Но компания восприняла угрозы всерьёз. Пожалуй, даже слишком. Для защиты от кибер-атаки руководством было принято решение о физическом уничтожении всей «заражённой» техники в организации, включая компьютеры, клавиатуры, мышки, принтеры, камеры наблюдения, телевизоры и т.п.

Общий ущерб от этого решения (расследование, организация временной инфраструктуры, проектирование новой, уничтоженное оборудование, сама утилизация) составил $2.7 миллиона, т.е. половина бюджета организации.

Интересный подход, не правда ли?

Google Hangouts: шаг в сторону закрытых протоколов

Добавить комментарий

Компания Google приняла решение заменить IM-платформу Google Talk на Google Hangouts, в которой поддержка XMPP (Jabber) оказалась сильно ограниченной, а опция отключения архивирования чатов пользователя вообще исчезла.

Ряд специалистов выступили с критикой этого решения, так как на их взгляд оно указывает на переход от открытых к закрытым проприетарным протоколам.

Мессенджеры уже начали обновляться, причём речь не только о десктопных программах, но и о веб-приложениях (как часть Gmail и Google+, например) и о приложениях для смартфонов.

Основное отличие в том, что программами больше не поддерживается стандарт «server-to-server federation», который позволял при необходимости использовать альтернативный сервер для обмена сообщениями или даже создать собственный и быть уверенным в безопасном и конфиденциальном общении. Теперь все сообщения будут не только идти через сервера компании Google, но и сохраняться там.

К каким последствиям это может привести — очевидно.

Специалисты по информационной безопасности призывают Google вернуться к открытым стандартам, открыть спецификации Google Hangouts и опубликовать программный код для организации персонального сервера.

Более половины детей видели порнографию и насилие в сети

Добавить комментарий

Дети, интернет, опасные сайты По данным уполномоченного по правам ребёнка в России, более половины интернет-пользователей из России младше 14 лет посещали сайты с отнюдь не детским содержанием, 40% из которых — порнографического содержания, 19% — содержащие сцены насилия, 16% — азартные игры, 14% — наркотики и 11% — материалы экстремистского характера.

Для просмотра сайтов дети всё чаще используют мобильные устройства — смартфоны и планшеты.

«Центр безопасного интернета в России» сообщает, что 10 000 000 детей из России в возрасте до 14 лет активно пользуются интернетом. Это 18% всех российских пользователей.

РосКомНадзором 1 ноября 2012 года в России был запущен «реестр запрещенных сайтов» , в котором собираются ресурсы с детской порнографией, пропагандой суицида и употребления наркотиков. Интернет-провайдеры по мере возможностей блокируют доступ к этому реестру, но по ряду технических и организационных причин этот реестр не меняет толком ничего и вызывает только смех у наблюдающей за ним интернет-аудитории.

Для того чтобы по-настоящему обезопасить своих детей от возможных опасностей интернета достаточно скачать и установить Mipko Personal Monitor. Вы всегда будете знать, чем занимается ребёнок в интернете и какие сайты он посещает.

Перехват писем в Gmail: главный приоритет ФБР

Добавить комментарий

gmail На встрече Американской ассоциации юристов Эндрю Вайсман (Andrew Weissmann), советник ФБР, назвал главным приоритетом федерального бюро расследований на 2013 год создание правовой базы для мониторинга крупнейших интернет-сервисов.

Основная правовая база для «прослушки» интернет-ресурсов — часть закона о полномочиях спецслужб, известная как акт «О прослушке». Она позволяет ФБР отслеживать деятельность пользователей на уровне интернет-провайдера. Но большинство интернет-сервисов шифруют данные, передаваемые между сервером и пользователями, из-за чего ФБР теряет часть информации.

В качестве примеров таких сервисов Вайсман привел Gmail, голосовые чаты Google Voice и Skype, файловое хранилище Dropbox, а так же встроенные чаты в ряде онлайн-игр.

Таким образом, по закону ФБР может потребовать, например, от Gmail, содействия в перехвате данных, но обязательных для сотрудников Gmail действий закон не предусматривает, что не обеспечивает достаточной для ФБР эффективности. Происходит это потому, что действие акта распространяется только на провайдеров — они обязаны устанавливать у себя оборудование ФБР. На интернет-сервисы этот акт пока не действует.

По словам Вайсмана, ФБР будет работать над законодательными предложениями, которые, в случае их принятия, значительно расширят полномочия службы.

Для того чтобы перехватывать сообщения своих детей на своём компьютере и обезопасить их от возможных опасностей интернета не нужно быть сотрудником ФБР. Скачайте полнофункциональную триальную версию Mipko Personal Monitor и попробуйте её бесплатно в течение 3 дней.