Новости про безопасность

Lenovo выпускает тонкий ультрабук ThinkBook для бизнеса

Компания Lenovo не стала дожидаться выставки E3, а представила целый ряд новых продуктов, среди которых ноутбук ThinkBook для бизнеса. Этот лэптоп очень похож на серю ThinkPad, но обладает куда меньшими габаритами.

Машина представлена двумя моделями ThinkBook 13s и 14s. Обе имеют ультратонкие рамки и толщину до 16,5 мм. Клавиатура имеет подсветку и при этом она намного тоньше, чем у ThinkPad.

Поскольку это машины для бизнеса, в них есть ряд соответствующих функций, который включает TPM 2.0, сканер отпечатков пальцев, клавишу запуска Skype и шторку для закрытия объектива камеры.

Ноутбук Lenovo ThinkBook
Ноутбук Lenovo ThinkBook

Что касается платформы, то под крышкой в лучшем варианте можно найти Core i7 с 16 ГБ памяти. Базовая модель 13s получает 4 ГБ ОЗУ, а 14s — 8 ГБ. Хранение данных осуществляется на SSD объёмом до 512 ГБ. Что касается графики, то младшая модель полагается на интегрированную в процессор, а старшая, в базовой комплектации, получает дискретную AMD Radeon 540X 2GB. Это сказывается и на автономности, которая составляет 11 и 10 часов для этих моделей соответственно.

Цена на модели Lenovo ThinkBook стартует от 730 долларов США.

В Firefox может появиться сверхприватный режим

Организация Mozilla хочет профинансировать разработчиков, которые помогут ей решить один из 12 особых вопросов по развитию браузера. Последний из 12 вопросов самый интересный, поскольку предполагает интеграцию множества функций Tor в Firefox.

В результате проведенной работы должен появиться режим «Сверхприватного браузинга» (Super Private Browsing или SPB), который обеспечит высочайший уровень анонимности для противостояния системам «массового наблюдения, отслеживания и негласной идентификации».

Приватное окно в Firefox
Приватное окно в Firefox

При этом организация отмечает ряд трудностей при разработке режима SPB. Они связаны с тем, что при его включении сеть Tor получит множество новых пользователей, а потому сеть потребует новый протокол, который обеспечит необходимое масштабирование. Важным является исследование вопросов «альтернативных протокольных архитектур» и «протоколов выбора маршрутов», которые должны быть внедрены для обеспечения быстрой работы сети Tor.

Если эти вопросы удастся решить, то пользователи могут надеяться на интеграцию Tor в Firefox.

Вскоре Google сможет автоматически удалять историю пользователя

Компания Google представила новую функцию по управлению учётными записями, которая позволит автоматически удалять хронологию перемещений, а также данные веб-активности и активности приложений.

Функционал можно настроить таким образом, чтобы данные удалялись через 3 или 18 месяцев. В дальнейшем данные старее установленного периода будут удаляться автоматически.

Из-за практики слежения за пользователями на Google обрушилась масса критики. Оказалось, что отключения истории перемещений недостаточно для прекращения слежки. Чтобы полностью скрыть своё местоположение от Google необходимо также выключить активность приложений и сети. Новая же функция будет удалять все эти данные, полностью сохраняя приватность перемещений от Google.

Автоматическое удаление геоданных
Автоматическое удаление геоданных

Данное изменение будет доступно по всему миру в «ближайшие недели» в виде дополнительной опции. Кроме этого разработчики намекнули, что история местоположений и данные об активности в сети станут первым набором информации для удаления. Это значит, что в будущем мы сможем удалять и другие данные о себе.

Ключ шифрования BitLocker можно взломать дешёвым устройством

Согласно недавнему исследованию Дениса Анзаковича из Pulse Security, извлечение ключа шифрования BitLocker из Windows можно осуществить с помощью устройства стоимостью 30 долларов.

Исследователь нашёл способ перехвата ключа в случае, если BitLocker не подкреплён PIN кодом или паролем. В операционной системе BitLocker работает как шифровальщик всего раздела жёсткого диска и не требует дополнительных настроек безопасности. Технически он защищает доступ к данным даже после извлечения накопителя.

Однако Андзакович установил, что базовые конфигурации позволяют хакерам извлечь ключ шифрования при его передаче из Trusted Platform Modules, или TPM, к шине Low Pin Count (LPC).

BitLocker
BitLocker

Для демонстрации уязвимости Андзакович использовал установку, основанную на Infineon TPM 2.0 из Microsoft Surface Pro, и программируемую пользователем вентильную матрицу (FPGA) за 30 долларов. Затем трюк был повторён на ноутбуке HP с чипом TPM 1.2.

«Когда система загружается без ключевого материала от пользователя, существуют миллионы способов для попытки выявить ключ BitLocker», — пояснил исследователь. При этом он отметил, что есть несколько простых способов гарантировать безопасность, причём некоторые из них рекомендуются самой Microsoft. Прежде всего, речь идёт об использовании PIN-кодов и паролей.

Оборудование для обхода BitLocker
Оборудование для обхода BitLocker

«Включение BitLocker с защитой TPM+PIN должно уменьшить этот риск, поскольку для загрузки нужно будет использовать PIN. Смарт-карты или USB ключи, используемые в дополнительной предзагрузочной аутентификации в дополнение TPM, также должны снизить риски».

И хотя показанный метод взлома доступен не каждому, всем важно знать, что он существует, и не относиться к своей информации легкомысленно.

Cloudflare анонсирует бесплатный VPN

Сервис доменных имён от Cloudflare, известный по IP адресу 1.1.1.1, в скором времени запустит VPN сервис для мобильных устройств.

Сервис под именем Warp обеспечит ещё большую приватность при посещении Интернета с телефона. Сервис имён 1.1.1.1 уже обеспечивает приватное получение IP адреса и не позволяет провайдеру определить посещаемые ресурсы, но он не позволяет шифровать трафик.

DNS 1.1.1.1 от Cloudflare
DNS 1.1.1.1 от Cloudflare

Однако VPN Warp предоставит такой функционал. Также он обеспечит сжатие трафика и кэширование, благодаря чему будет меньше расходоваться трафик из вашего мобильного тарифного плана. При этом защищённым окажется весь трафик, включая таковой из приложений.

VPN сервис Warp от Cloudflare
VPN сервис Warp от Cloudflare

Компания обещает, что VPN будет работать по модели фримиум. Это значит, что базовые возможности будут бесплатны, а для получения больших скоростей нужно будет оформить недорогую подписку. Пока сервис не доступен, но можно встать в очередь, установив на телефон приложение DNS 1.1.1.1. Полное развёртывание VPN ожидается в ближайшие недели.

Менеджеры паролей не так безопасны, как кажется

Исследователи в области безопасности из ISE провели проверку менеджеров паролей. В исследовании принимали участие приложения 1Password 7 и 4, KeePass, LastPass и Dashline. Оказалось, что все они имеют уязвимости при работе с памятью, которые позволяют атакующим иметь доступ к секретным данным.

Исследователи отметили, что пользователи полагаются на менеджеры паролей в поисках безопасности и в попытках уйти от хранения паролей в открытом виде. Проводя анализ, они ожидали увидеть от менеджеров паролей хотя бы базовые функции безопасности, такие как очистку секретов из памяти, когда они не используются, и удаление из памяти при выходе из базы и блокировке приложения.

Компьютерная безопасность
Компьютерная безопасность

Однако аналитики установили, что все проверенные менеджеры паролей допускают возможность простого доступа к данным, включая доступ к супер паролю. Таким образом, подвергаются опасности 60 миллионов пользователей.

Отмечено, что в некоторых случаях суперпароль для доступа к базе хранится в ОЗУ в открытом виде. Имея соответствующее шпионское ПО можно просканировать память, и с лёгкостью заполучить доступ ко всей базе данных.

Сводная таблица уязвимостей менеджеров паролей
Сводная таблица уязвимостей менеджеров паролей

Другие же менеджеры, такие как LastPass и 1Password4, скрывают мастер-пароль. Однако как только менеджер входит в разблокированное состояние, записи базы данных расшифровываются в память, но только при взаимодействии с пользователем. К сожалению, записи остаются в памяти даже после того, как LastPass переведен обратно в заблокированное состояние.

В общем, аналитики отметили, что все менеджеры паролей уязвимы перед кейлогерами и перехватчиками буфера обмена. Все они далеки от идеала безопасности, но всё же лучше простого файла.

Microsoft воспользуется помощью Google для противодействия Spectre

Компания Microsoft сообщила, что планирует выпустить новые патчи для борьбы с уязвимостями Spectre и Meltdown, которые практически не повлияют на производительность процессора.

Лечение уязвимостей Spectre и Meltdown — крайне важно, ведь о них известно всем хакерам. Но к сожалению, лекарство от Microsoft приводит к снижению производительности, в некоторых случаях — на 30%.

Чтобы побороть эту проблему замедления, компания решила воспользоваться решением Retpoline, созданным Google. Этот патч известен тем, что практически не оказывает влияния на производительность процессора, но при этом защищает от Spectre.

Reptoline
Reptoline

Компания Google представила Retpoline как универсальное решение для Spectre, но в Microsoft применили собственную разработку. Теперь же в Рэдмонде взяли патч от Google, сообщив следующее: «Да, мы включаем Reptoline по умолчанию в нашем рейсе 19H1, наряду с тем, что мы называем „оптимизацией импорта“ для дальнейшего снижение влияния на производительность от Spectre v2 до уровня шума во всех сценариях», — заявил менеджер по разработке ядра Windows/Azure Мехмет Льюгун.

Совсем недавно, Microsoft решила отказаться от своего движка в браузере Edge, перейдя на ядро Chromium. Теперь же фирма использует патчи поискового гиганта. Всё это может означать попадание Microsoft в большую зависимость от Google в будущем.

Ошибка в WinRAR угрожала пользователям 19 лет

Архиватор WinRAR является, пожалуй, одной из наиболее популярных программ в мире. Именно RAR считают архивом по умолчанию, но оказалось, что в приложении есть серьёзная уязвимость, которая существует почти два десятилетия.

Ошибка, допущенная в архиваторе, теоретически позволяет злоумышленникам «выполнять вредоносный код» при открытии «заминированного» файла. Ошибку нашли исследователи из Check Point. Выявленная проблема стала результатом утечки в библиотеке UNACEV2.dll, которая является частью архиватора. Правда, с 2005 года она используется мало.

Завирусованный архив
Завирусованный архив

Зная про уязвимость, аналитики разместили вредоносный файл в папку автозагрузки Windows, что позволило обойти необходимость поднятия привилегий для запуска WinRAR. Это значит, что до перезагрузки файл мог быть исполнен автоматически, давая исследователям «полный контроль» над машиной жертвы.

Из-за этой утечки в зоне риска могли находиться до 500 миллионов пользователей. При этом Check Point отмечает, что WinRAR отказался от поддержки архивов ACE, которые и вели к уязвимости. С января WinRAR не поддерживает этот формат, а библиотека UNACEV2.dll удалена из ПО.

В каком-то смысле, ошибка исправлена, но исключить уязвимость можно только используя WinRAR 5.70 или более свежую версию.

Google анонсирует алгоритм шифрования Adiantum для лоу-энд-устройств

Компания Google, стремясь сделать Интернет более безопасным местом, анонсировала новую форму шифрования под названием Adiantum.

Алгоритм предназначен для бюджетных телефонов и смарт-устройств, которые не имеют аппаратного обеспечения для эффективного локального шифрования данных. Разработка позволит сделать лоу-энд-устройства более безопасными, чем их предшественники, которые не имели шифрования данных вовсе.

Директор по стратегии мобильной безопасности, безопасности Android и приватности Юджин Лидерман заявил: «Мы надеемся, что Adiantum сделает шифрование на всех устройствах демократичным. Как и покупка телефона без текстовых сообщений, не может быть исключений в обеспечении безопасности в ущерб производительности устройства. Каждый должен обладать приватностью и безопасностью, независимо от ценника за телефон».

Adiantum
Adiantum

По словам разработчиков, Adiantum является идеальным решением для устройств с недорогими процессорами, такими, например, как ARM Cortex-A7, которые не имеют аппаратной поддержки AES. В отличие от множества смартфонов на системе Android Go, некоторые смарт-часы и телевизоры имеют подобные процессоры, так что они также получат преимущества от внедрения Adiantum.

Объясняя название протокола шифрования, Google сообщила, что Adiantum назван в честь рода папоротника адиантум, который во флориографии олицетворяет искренность и осмотрительность, что делает его вполне подходящим именем.

Скоординированная хакерская атака может стоить миру миллиарды долларов

Одна хорошо скоординированная хакерская атака, распространённая через уязвимые электронные почтовые ящики, может обойтись мировой экономике в сумму от 85 до 193 миллиардов долларов.

Таков результат анализа гипотетического сценария атаки, проведённого страховой компанией Ллойда. В заявлении говорится, что страховые претензии после такой атаки будут варьироваться в зависимости от приостановки деятельности бизнеса, уровня кибер-вымогательства, а также от затрат на реагирование.

Общая сумма претензий, выплачиваемых страховым сектором по этому сценарию, оценивается в размере от 10 до 27 миллиардов долларов США, исходя из лимитов политики в диапазоне от 500 тысяч до 200 миллионов долларов США.

Кибератака
Кибератака

Стресс-тест показал, насколько плохо компании застрахованы от такого рода убытков. Атака может затронуть несколько секторов по всему миру, при этом наибольшие потери будут нанесены в сфере розничной торговли, здравоохранения, производства и банковской деятельности.

Что касается регионов, то под большим ударом окажутся экономики, в которых доминируют сервисы, особенно экономики США и стран Европы. Они окажутся более уязвимыми к атаке и понесут большие потери.