Рубрика «информационная безопасность» - 700

Казалось бы, простой вопрос. Это же информация, которую может получить каждый, пишет американский предприниматель Анил Дэш (Anil Dash).

Примеры.

* Кто-то покопался в вашем мусоре на улице, посчитал количество использованных презервативов, тестов на беременность, количество флаконов из-под лекарств — и опубликовал в интернете вместе с вашем именем и адресом. Мусор лежал на улице, так что всё это публичная информация.

* Группа анонимных алкоголиков решила воспользоваться хорошей летней погодой и провести собрание в парке. Вы можете записать на видео весь разговор и опубликовать его в Facebook, вместе с фотографиями участников группы. Лучше пометить их лица на фотографиях и подписать имена, чтобы никто из друзей, родственников и работодателей не пропустил фото. Разговоры в парках — публичная информация.

* Сосед может повесить дрона у вас перед окном, записывать на видео и транслировать в интернет того, что происходит внутри вашего дома, с звуком. Вид с улицы — публичная информация.
Читать полностью »

Apple не следит, а помогает пользователям, с помощью скрытых сервисов на мобильных устройствах
Недавно Джонатан Здзиарски (Jonathan Zdziarski), на конференции Hackers On Planet Earth в Нью-Йорке, опубликовал доклад, в котором рассказал о нескольких скрытых, не документированных фоновых процессах, запущенных на всех iOS-устройствах. Эксперт предположил, что эти функции нужны Apple для того, чтобы организовывать слежку за пользователям при поступлении запросов от властей.
Джонатан Здзиарски, также известный как NerveGas, принимал активное участие в разработке джейлбрейков для первых моделей iPhone. Он автор нескольких книг по разработке приложений для iOS. Т.е. человек явно «в теме».
Удивительно, что Apple не проигнорировали этот доклад, а описали задачи каждого процесса. Для чего, по их мнению, служат эти сервисы.

Читать полностью »

В нашем посте, посвященном усовершенствованиям ASLR в последних версиях Windows, приводилась таблица со списком уязвимостей Remote Code Execution, которые использовали атакующие для удаленной установки вредоносного кода в систему (drive-by download). Более половины из этих уязвимостей относятся к типу т. н. use-after-free (UAF). UAF можно охарактеризовать как удобный для атакующих способ передачи управления на свой код. В такой схеме легитимный исполняемый код, например, браузера Internet Explorer, должен содержать неправильную логику работы с памятью, которая заключается в том, что на каком-то этапе фрагмент кода обращается по указателю на тот блок памяти кучи, который уже был освобожден ранее.

Microsoft усиливает иммунитет Internet Explorer к атакам use after free

Очевидно, что такая ошибка при работе с памятью может просто вызвать аварийное завершение браузера, поскольку произойдет обращение по недействительному указателю. Однако, в случае с эксплойтом, атакующие используют ее в своих целях таким образом, чтобы заставить уязвимый код передать управление по нужному адресу. Как правило, для этого используется heap-spray, что способствует резервированию большого количества блоков памяти по предсказуемому адресу в куче с заполнением их необходимыми злоумышленнику инструкциями. В июньском и июльском куммулятивных обновлениях для браузера Internet Explorer 11 Microsoft ввела дополнительные технологии смягчения эксплуатации в виде изолированной кучи при выделении памяти для объектов и отложенного высвобождения блоков памяти. Такой подход обезопасит код браузера, который все еще может содержать ошибки при работе с памятью, от действий эксплойтов.
Читать полностью »

Дано:

Вы родились в России. Сейчас вы — беженец в Америке. Вам нужно съездить на родину (например за наследством). Рисковать своим статусом очень не хочется. Попробуем учесть и описать все риски данного мероприятия.
Внимание — информация приведена чисто в ознакомительных целях.
Далле небольшое исследование безопасности системы.
Читать полностью »

Супер защищённый Мега безопасный Самый Лучший по настоящему анонимный браузер с закрытыми исходниками и неизвестно от кого
К написанию этого поста, точнее сказать, даже заметки с опросом, меня вынудил диалог, произошедший сегодня, на страничке известного ресурса Антизапрет. К самому ресурсу пост не имеет абсолютно никакого отношения, однако, реклама браузера сервиса в одном из комментариев меня несколько встревожила и оставила лёгкий флёр «Защищённого браузера Попова» а также стойкое ощущение огромного ЧСВ и безалаберности авторов.

Если заинтриговал добро пожаловать под кат:
Читать полностью »

Команда IM+ выпустила защищенный мессенджер

Я думаю каждый кто заглядывал изредка в хабы IM или даже просто поглядывал на главную страницу Хабрахабра, не мог не заметить возросшую актуальность тем безопасности. За примерами ходить далеко не нужно — это такие программы как Telegram (и теперь уже Telegram HD), дополнительные функции или дополнения для классических мессенджеров (от бессмертной Миранды до отдельно презентованных функций в IM+).

Однако вслед за успешными новичками в «гонку» вступает уже фактически динозавр на рынке IM — это немецкая компания SHAPE AG, работающая на этом поприще уже с 2002 года. Вдохновляясь стратегией многолетней разработки IM+ их новый клиент Sicher получился сразу и бесплатным и мультиплатформенным (iOS, Android и Windows Phone), и, наконец, безопасным.

В отличии от простого в произношении «Телеграм», новичок обзавелся именем «Зихер», что в переводе с немецкого, как считает Google Translate, означает одновременно «безопасный» «надежный», а ещё «конечно» и «наверное».
Читать полностью »

Информационная безопасность, пожалуй, остаётся одной из самых неблагодарных отраслей IT: специалистов по ней то подозревают в безделии, пока всё в порядке, то обвиняют в халатности, когда что-то случилось. Вся же работа по обеспечению information security часто сопровождается раздражённым отношением других сотрудников, которые воспринимают все мероприятия и требования безопасников как желание помешать всем остальным спокойно делать их работу.

Руководство постоянно терзается дилеммой «у нас всё в порядке из-за хорошо поставленной информационной безопасности, или потому что угрозы преувеличены?» и, часто склоняясь ко второму объяснению, постоянно норовит урезать бюджеты или требует вечных обоснований экономической отдачи от затрат на ИБ, причём по инвестиционным моделям, явно к ИБ не подходящим.

В итоге, специалисты по информационной безопасности часто остаются непонятыми и испытывают серьёзные трудности с тем, чтобы в лёгкой и доступной форме донести базовые вещи до всех тех, кто их окружает: руководства, разработчиков, офисного планктона персонала и др. Именно эту проблему и призваны решить нижеследующие мультики. Возможно их просмотр окажется более эффективным чем стандартный инструктаж и позволит сделать деятельность специалистов по информационной безопасности хотя бы чуточку легче, ну или в крайнем случае, просто убьёт ещё пару часов рабочего времени самих безопасников.
Читать полностью »

Так. Слишком много за последние полторы недели произошло, поэтому будет в один пост.

Tor

Выступление на BlackHat отменили

Каждый сможет взломать Tor за 3000$ (MagisterLudi) — говорили ребята, которым запретили выступать на BlackHat. Они хотели выступать от имени организации Carnegie Mellon’s Software Engineering Institute, в которой и проводились исследования, но им не дали права на публичное распространения этого материала. Подробности особо неизвестны: исследователи сообщили о баге только Tor Core Developers, но, вроде как, все друг друга поняли, и работы по устранению бага уже ведутся.

Сообщение в рассылке Torproject
Немного информации в PCWold
На xaker.ru
Более ранняя заметка на arstechnica

Sniper attack

Наконец-то выложили подробности атаки, о которой сообщалось в блоге Torproject в конце января. Эта атака позволяла, во-первых, жрать память на exit-node до ее неработоспособности при очень низком использовании ресурсов на стороне атакующего, во-вторых, позволяла анонимно деанонимизировать hidden service при атаке от 4 до 278 часов на него. Проблема была в некорректной работе с TCP Window Size/Flow Control и команде SENDME. Решили добавлением некой аутентификации на SENDME (на самом деле, просто небольшая проверка). Баг устранен в версии 0.2.4.14-alpha.Читать полностью »

На сайте госзакупок уже более 10 дней висит заказ на «Исследование возможности получения технической информации о пользователях (пользовательском оборудовании) анонимной сети ТОR», шифр «ТОР (Флот)».

Стоимость — 3,9 млн. руб.

На всякий случай, вот скриншот:

МВД РФ объявило конкурс, целью которого является «взлом» TOR

Комментировать трудно, одни эмоции.

Похоже IT-сообщество рунета очень недооценивало власть РФ.

Читать полностью »

Вечерело.

Мы с товарищем, сделали простенький тест (github) на проверку доступности data-uri в браузерах. Выглядит он следующим образом

Ещё одна причина переходить на SSL или 133 КБ не лишние

В textarea javascript'ом вставляется navigator.userAgent. В этот момент я не знаю, что меня стукнуло в голову, но вместо DOMContentLoaded, я написал <body onload="onload()">. По-быстрому проверив корректную работу в десктопных браузерах и на нескольких мобильных устройствах, подключённых к интернету через wi-fi, мы успокоились и разошлись по домам.

Солнце продиралось сквозь занавески.

Утром, в полупустом вагоне метро, я как всегда открыл браузер на своем телефоне, на котором со вчерашнего вечера была открыта тестовая страничка. Сказать, что я удивился, когда я не увидел вывода userAgent внутри textaria — ничего не сказать.

Добравшись до компьютера, решил потратить немного времени на поиск проблемы. Запустив страничку на десктопе и в эмуляторе, я ничего не заметил. Открыл на телефоне. Чудеса! Всё работает.

Увидев включённый значок wi-fi, в мою голову начали закрадываться первые подозрения о причине проблемы. Я отключил wi-fi, подключил телефон к компьютеру и начал дебаг с помощью веб-инспектора десктопного сафари.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js