День начинался как обычно, ничего не предвещало беды… Проверяя свои подписки в Facebook, я открыл очередную ссылочку. После просмотра информации, я вернулся к табу с Facebook'ом и обнаружил, что он редиректнулся на нечто непотребное (http://XXX.gotostat.ru/go.php? куча_параметров). Я напрягся…
Читать полностью »
Всем здравствуйте.
Я всерьез задумался над отсутствием вменяемой, безопасной альтернативы Skype. Даже не альтернативы самому мессенджеру, а отсутствием протоколов, которые объединяли бы в себе и обмен текстовыми сообщениями, и многопользовательские чаты, и гарантированную (с пробивкой NAT и/или использованием релеев) передачу голоса, видео и файлов. Разработать такой протокол, чтобы он удовлетворял всех, достаточно сложно, поэтому мне бы хотелось услышать, во-первых, мнение хабрасообщества на этот счет, а во-вторых, зарубежных пользователей с Reddit.
Я вкратце опишу преимущества и недостатки некоторых текущих архитектур, если вы забыли или не знали какие-то моменты. Во всех описаниях архитектур подразумевается их безопасная реализация.
По этой модели был построен Skype, сейчас делают Tox, да и множество других менее известных мессенджеров. Преимущество заключается в том, что не требуется никаких серверов (или близко к этому) для поддержания работы сети, требуется только, как правило, какие-то начальные ноды, и (в зависимости от архитектуры) сервер авторизации. Все коммуникации происходят напрямую от пользователя к пользователю, что, во-первых, раскрывает IP-адреса участников, а во-вторых, совершенно неприемлемо для мобильных устройств и в мобильных сетях, из-за высокого расхода батареи и трафика. Среди недостатков, также можно отметить отсутствие оффлайн-сообщений и синхронизации истории сообщений без другой, запущенной под этим логином, ноды. Также, к счастью, не так уж и часто, P2P мессенджерам не удается пробить NAT, и связь напрямую становится невозможна. В таком случае, либо связь вообще не устанавливается, либо используются серверы-релеи.Читать полностью »
В жизни далеко не каждого разработчика наступает момент, когда приходится взаимодействовать с государственными системами. И немногим из них приходится взаимодействовать именно с российскими государственными системами. И так уж сложились звёзды, что я оказался одним из этих «счастливчиков».
Особенность российского государева ИТ в том, что везде, где нужно обеспечить безопасность (шифрование) и целостность (подпись) информации, необходимо использовать только отечественные криптоалгоритмы (которые стандартизованы и описаны в добром десятке ГОСТов и RFC). Это весьма логично с точки зрения национальной безопасности, но весьма больно с точки зрения разработки на не самом популярном языке (это джависты вон обласканы вниманием со всех сторон).
И вот, когда встала перед нами задача весьма плотного обмена сообщениями с ГОСТовой электронной подписью с одной из таких систем, то предложенный вариант решения в виде сетевого SOAP-сервиса, подписывающего запросы (и ответы) мне не понравился от слова «совсем» (оборачивать SOAP в SOAP — это какой-то кошмар в квадрате). Наступили длинные майские выходные, а когда они закончились — у меня было решение получше…
Читать полностью »
Казалось бы, простой вопрос. Это же информация, которую может получить каждый, пишет американский предприниматель Анил Дэш (Anil Dash).
Примеры.
* Кто-то покопался в вашем мусоре на улице, посчитал количество использованных презервативов, тестов на беременность, количество флаконов из-под лекарств — и опубликовал в интернете вместе с вашем именем и адресом. Мусор лежал на улице, так что всё это публичная информация.
* Группа анонимных алкоголиков решила воспользоваться хорошей летней погодой и провести собрание в парке. Вы можете записать на видео весь разговор и опубликовать его в Facebook, вместе с фотографиями участников группы. Лучше пометить их лица на фотографиях и подписать имена, чтобы никто из друзей, родственников и работодателей не пропустил фото. Разговоры в парках — публичная информация.
* Сосед может повесить дрона у вас перед окном, записывать на видео и транслировать в интернет того, что происходит внутри вашего дома, с звуком. Вид с улицы — публичная информация.
Читать полностью »
Недавно Джонатан Здзиарски (Jonathan Zdziarski), на конференции Hackers On Planet Earth в Нью-Йорке, опубликовал доклад, в котором рассказал о нескольких скрытых, не документированных фоновых процессах, запущенных на всех iOS-устройствах. Эксперт предположил, что эти функции нужны Apple для того, чтобы организовывать слежку за пользователям при поступлении запросов от властей.
Джонатан Здзиарски, также известный как NerveGas, принимал активное участие в разработке джейлбрейков для первых моделей iPhone. Он автор нескольких книг по разработке приложений для iOS. Т.е. человек явно «в теме».
Удивительно, что Apple не проигнорировали этот доклад, а описали задачи каждого процесса. Для чего, по их мнению, служат эти сервисы.
В нашем посте, посвященном усовершенствованиям ASLR в последних версиях Windows, приводилась таблица со списком уязвимостей Remote Code Execution, которые использовали атакующие для удаленной установки вредоносного кода в систему (drive-by download). Более половины из этих уязвимостей относятся к типу т. н. use-after-free (UAF). UAF можно охарактеризовать как удобный для атакующих способ передачи управления на свой код. В такой схеме легитимный исполняемый код, например, браузера Internet Explorer, должен содержать неправильную логику работы с памятью, которая заключается в том, что на каком-то этапе фрагмент кода обращается по указателю на тот блок памяти кучи, который уже был освобожден ранее.
Очевидно, что такая ошибка при работе с памятью может просто вызвать аварийное завершение браузера, поскольку произойдет обращение по недействительному указателю. Однако, в случае с эксплойтом, атакующие используют ее в своих целях таким образом, чтобы заставить уязвимый код передать управление по нужному адресу. Как правило, для этого используется heap-spray, что способствует резервированию большого количества блоков памяти по предсказуемому адресу в куче с заполнением их необходимыми злоумышленнику инструкциями. В июньском и июльском куммулятивных обновлениях для браузера Internet Explorer 11 Microsoft ввела дополнительные технологии смягчения эксплуатации в виде изолированной кучи при выделении памяти для объектов и отложенного высвобождения блоков памяти. Такой подход обезопасит код браузера, который все еще может содержать ошибки при работе с памятью, от действий эксплойтов.
Читать полностью »
Вы родились в России. Сейчас вы — беженец в Америке. Вам нужно съездить на родину (например за наследством). Рисковать своим статусом очень не хочется. Попробуем учесть и описать все риски данного мероприятия.
Внимание — информация приведена чисто в ознакомительных целях.
Далле небольшое исследование безопасности системы.
Читать полностью »
К написанию этого поста, точнее сказать, даже заметки с опросом, меня вынудил диалог, произошедший сегодня, на страничке известного ресурса Антизапрет. К самому ресурсу пост не имеет абсолютно никакого отношения, однако, реклама браузера сервиса в одном из комментариев меня несколько встревожила и оставила лёгкий флёр «Защищённого браузера Попова» а также стойкое ощущение огромного ЧСВ и безалаберности авторов.
Если заинтриговал добро пожаловать под кат:
Читать полностью »
Я думаю каждый кто заглядывал изредка в хабы IM или даже просто поглядывал на главную страницу Хабрахабра, не мог не заметить возросшую актуальность тем безопасности. За примерами ходить далеко не нужно — это такие программы как Telegram (и теперь уже Telegram HD), дополнительные функции или дополнения для классических мессенджеров (от бессмертной Миранды до отдельно презентованных функций в IM+).
Однако вслед за успешными новичками в «гонку» вступает уже фактически динозавр на рынке IM — это немецкая компания SHAPE AG, работающая на этом поприще уже с 2002 года. Вдохновляясь стратегией многолетней разработки IM+ их новый клиент Sicher получился сразу и бесплатным и мультиплатформенным (iOS, Android и Windows Phone), и, наконец, безопасным.
В отличии от простого в произношении «Телеграм», новичок обзавелся именем «Зихер», что в переводе с немецкого, как считает Google Translate, означает одновременно «безопасный» «надежный», а ещё «конечно» и «наверное».
Читать полностью »
Информационная безопасность, пожалуй, остаётся одной из самых неблагодарных отраслей IT: специалистов по ней то подозревают в безделии, пока всё в порядке, то обвиняют в халатности, когда что-то случилось. Вся же работа по обеспечению information security часто сопровождается раздражённым отношением других сотрудников, которые воспринимают все мероприятия и требования безопасников как желание помешать всем остальным спокойно делать их работу.
Руководство постоянно терзается дилеммой «у нас всё в порядке из-за хорошо поставленной информационной безопасности, или потому что угрозы преувеличены?» и, часто склоняясь ко второму объяснению, постоянно норовит урезать бюджеты или требует вечных обоснований экономической отдачи от затрат на ИБ, причём по инвестиционным моделям, явно к ИБ не подходящим.
В итоге, специалисты по информационной безопасности часто остаются непонятыми и испытывают серьёзные трудности с тем, чтобы в лёгкой и доступной форме донести базовые вещи до всех тех, кто их окружает: руководства, разработчиков, офисного планктона персонала и др. Именно эту проблему и призваны решить нижеследующие мультики. Возможно их просмотр окажется более эффективным чем стандартный инструктаж и позволит сделать деятельность специалистов по информационной безопасности хотя бы чуточку легче, ну или в крайнем случае, просто убьёт ещё пару часов рабочего времени самих безопасников.
Читать полностью »
