Новости про безопасность и Интернет и сети

Firefox Relay — это средство приватности, которое позволяет скрывать идентификатор электронной почты в онлайн-форме. При помощи псевдонимов Firefox Relay контролирует сообщения для вас и пересылает на оригинальный ящик. Таким образом, использование сервиса фактически скрывает реальный адрес, делая сложной рассылку спама. Когда вы закончили работу с сайтом, вы можете прекратить работу адреса-псевдонима, после чего связи теряются, и почта больше не доходит.

Выпущенный в 2020 году Relay был доступен только в виде расширения к браузеру, и большинство пользователей даже не знали, что есть аддон, позволяющий легко блокировать трекинг и спам по электронной почте. Применяя сервис, вы сможете блокировать свой настоящий адрес, затруднив хакерам вашу идентификацию. Если создать для каждого сайта по отдельному псевдониму, злоумышленникам будет сложно идентифицировать вашу личность.

Сервис Relay будет доступен в браузере Firefox уже в этом году.

По всей видимости хакеры даже не хотят заморачиваться, и в качестве своих целей не выбирают сложные длинные пароли, независимо от того, содержат ли они сложные символы. То, что смешивание чисел, маленьких и больших букв осложняет жизнь взломщику, известно годами. Большинство ресурсов даже не разрешает использовать «простые» пароли, состоящие лишь из букв. Но оказалось, что использование «какогонибудьзамысловатогопароля» из одних букв тоже достаточно эффективно, и хакеры скорее всего не станут его взламывать, а попробуют подобрать короткий пароль, типа «pArsew0rd».

Эту информацию опубликовал Росс Бевингтон, исследователь в области безопасности в Microsoft. Он сообщил, что после изучения миллиона брутфорс-атак на SSH за 30 дней в сети Microsoft, 77% попыток связаны с использованием паролей длиной от 1 до 7 символов. Пароли, длиной более 10 символов пытались взломать в 6% случаев.

Сам Бевингтон занимает в компании весьма интересную должность, которая называется Глава отдела дезинформации. Это значит, что у него довольно широкие полномочия и задачи, и среди них есть создание ловушек, законно-выглядящих систем, которые хакеры пытаются взломать, что позволяет изучать тенденции и применяемые пути взлома.

Компания уже предлагает собственный браузер Privacy Browser, который блокирует различные трекеры на сайтах. Теперь же разработчики пошли ещё дальше, внедрив функцию под названием App Tracking Protection. Эта функция входит в состав браузера DuckDuckGo для Android, и по своей сути повторяет возможности новой функции iOS, позволяя напрямую блокировать слежку за пользователями сторонними приложениями, установленными на телефоне. Приложение DDG позволяет выявлять рекламные трекеры в других приложениях и прекращать передачу данных от них рекламным компаниям, включая Google и Facebook.

Обновлённое приложение DuckDuckGo сможет предложить панель управления, где будет показано, какое приложение пытается передать данные слежения, с возможностью эффективной блокировки в реальном времени благодаря собственной работе в фоне. Периодически инструмент будет показывать обобщённый отчёт по заблокированным трекерам.

К сожалению, функция повышения приватности пока находится на этапе бета-тестирования и требует ручной настройки. Подписаться на ожидание этой функции можно в настройках браузера DuckDuckGo Android в разделе «Приватность» / «Защита от трекинга приложений».

Мы все видим, какую шумиху подняло изменение в политике приватности WhatsApp. Раньше люди не думали, каким поисковым движком они пользуются, однако теперь этому стали уделять всё больше внимания.

Сервис DuckDuckGo (DDG) был основан в 2008 оду на принципах отказа от продажи персональной информации. Финансы же он получает за счёт продажи рекламы в движке. В 2010 году DDG обработала 16 413 461 поисковый запрос.

11 января 2021 года DDG сообщила о рекорде за всё время — 102 251 307 запросов в день. За этот год движок обработал более миллиарда запросов, что заметно больше результата, полученного за весь 2020 год.

Похоже, что продолжающиеся угрозы взлома и продажи персональной информации будут вести к дальнейшему росту популярности этого поискового движка и прочих анонимных систем.

Вначале бета версия будет распространяться среди пользователей WARP+, которые подписаны на сеть Cloudflare Argo. Эти пользователи получат уведомление в приложениях 1.1.1.1 для iOS и Android, с предложением попробовать аналогичные клиенты в macOS и Windows.

Сервис VPN Cloudflare запустила для пользователей iOS и Android в прошлом году с целью обеспечения безопасного интернет-доступа с возможностью шифрования трафика. Разработчики отмечают, что пользователи уже давно просят настольную версию приложения, и они выполнили эту просьбу.

Как и мобильная, настольная версия WARP основывается на протоколе Wireguard. Базовая версия будет доступна бесплатно. В будущем же Cloudflare предложит платную подписку со скидками для нынешних пользователей WARP+.

Издание Intercept задало представителю Zoom вопрос о том, действительно ли видеоконференции, проводимые на платформе, имеют сквозное шифрование. На что получило ответ: «В настоящее время нет возможности обеспечить сквозное шифрование для видеовстреч в Zoom».

Платформа использует шифрование TLS, такое же, как и сайты с HTTPS. Это значит, что данные, пересылаемые между серверами Zoom и пользователями зашифрованы, как в Gmail или Facebook. Однако сквозное шифрование предполагает полное шифрование контента между пользователями, без возможности стороннего доступа, как в WhatsApp и Telegram. И Zoom не предлагает такой уровень безопасности, вводя пользователей в заблуждение.

Компания же отрицает, что обманывает своих клиентов: «Когда мы используем фразу „сквозное“ в наших текстах, это относится к шифрованию соединения от одной конечной точки Zoom, до другой конечной точки Zoom… контент не дешифруется по мере его передачи в облаке Zoom».

В то же время текстовый чат, проводимый в ходе встречи, поддерживает сквозное шифрование, и по словам компании, у неё нет ключей для расшифровки этих сообщений.

В компании отметили, что они собирают лишь данные, необходимые для улучшения работы сервиса, включая IP-адреса, информацию об ОС и устройств, без возможности доступа сотрудников к самому содержимому онлайн встреч. Возможно, у Zoom есть возможность просмотреть конференции по требованию правоохранительных органов, однако этот вопрос компания проигнорировала.

Так что, если ваши дети используют Zoom для учёбы, то в этом никаких проблем нет, однако секреты корпораций в таком режиме явно обсуждать не стоит.

Реагируя на эти недоработки, а также выявленные уязвимости в платформе, инженеры решили прекратить обновлять функционал Zoom, а сосредоточились на поиске и исправлении проблем с безопасностью.

Организация Mozilla сообщила, что начала осуществлять шифрованные подключения DNS over HTTPS (DoH) в своём браузере Firefox по умолчанию, правда, пока только в США.

Развёртывание будет проходить в течение нескольких недель для того, чтобы убедиться в стабильности работы. После завершения широкого тестирования, пользователи Firefox получат последнюю версию браузера с включённой защитой DNS.

Суть защиты в том, что DoH шифрует запросы к серверам доменным имён, так что ни провайдер, ни хакер не может знать, какой сайт вы запросили.

В настоящее время Mozilla поддерживает два доверенных сервера имён. Это Cloudflare и NextDNS. Другие провайдеры могут добавиться к этому списку позднее, однако пока приходиться полагаться на них.

По умолчанию DoH работает только в США, однако самостоятельно его можно включить в любой стране. Для этого в меню Настройки нужно перейти в раздел «Параметры сети», нажать кнопку «Настроить…» и включить «DNS over HTTPS».

Атаки типа кросс-сайтовых скриптов, или XSS, относят к типу инъекционных, при которых вредоносный код внедряется на сайт.

Большинство XSS-атак выполняются с использованием веб-приложений, которые отправляют вредоносный код, в основном в виде скриптов, исполняемых на стороне браузера у конечного пользователя. Статистика демонстрирует, что SQL-инъекции являются вторым типом атак по распространённости, а за ним следует фаззинг.

Интересны и цели хакеров, выполняющих взлом. Так, примерно 60% из них занимались взломом в качестве испытания сил и для изучения самой возможности взлома. 40% хакеров атаковали просто свои любимые компании, а 36% из них хотели проверить реакцию команды безопасности.

Из всех атак 2019 года, 72,3% произошли на сайтах, и это любимая платформа для хакеров по всему миру. API стал второй по привлекательности платформой для взлома — 6,8% атак. Около 7% атак осуществлялись на мобильной системе Android, а 3,9% атак произошло через загружаемое из Интернета ПО.

Исследователи из Adguard выявили два расширения для браузера Chrome, которые используют названия, очень похожие на именитых блокировщиков, обманывая людей. Первое из этих расширений — uBlock by Charlie Lee, имело более 850 000 пользователей, а второе, AdBlock by AdBlock Inc — более 800 000.

Эти расширения удаляют рекламу с веб-страниц, посещаемых пользователями, однако исследователи обнаружили, что при этом применяется cookie stuffing — мошенническая схема подмены куки на стороне пользователя, которая генерирует прибыль разработчикам.

Безопасники выяснили, что через 55 часов после установки расширения отправляли запрос на URL для каждого нового посещённого пользователем домена. Таким образом они получали от сайтов партнёрские ссылки. В Adguard пояснили, что «этот новый ответ содержит список команд, которые должно выполнить расширение. После этого поведение расширений меняется, и они начинают делать еще несколько вещей, помимо блокировки рекламы».

Вся вина за произошедшее пала на Google, которая должна была удалить расширения. Но каковы масштабы бедствия?

Безопасники заявляют, что масштаб беспрецедентен. Эти два расширения имели более 1,6 миллиона «еженедельно активных пользователей», получавших дополнительные куки с более 300 вебсайтов, входящих в список Alexa Top 10000. Ущерб оценить сложно, но речь идёт о миллионах долларов ежемесячно.

Функция уже начала появляться на некоторых телефонах Android, а в ближайшем будущем будет доступна на всех устройства, которые работают на Android 7 и более новых версиях. На странице помощи говорится, что функция позволяет осуществлять вход с помощью любого метода, который используется для разблокировки телефона, включая пин-код и графический ключ.

Телефоны с Android уже позволяют осуществлять аутентификацию отпечатком пальца при покупках через Google Pay и входить в приложения. Теперь же отпечаток пальца можно использовать для доступа к вэб-сервисам компании через браузер Chrome. Сейчас можно использовать этот функционал для редактирования и проверки сохранённых паролей на странице passwords.google.com, однако компания планирует расширить его на другие сервисы Google Cloud.

Новый функционал построен на протоколе WebAuthn с использованием FIDO2, открытого стандарта, который могут использовать сайты для безопасного входа. Он обеспечивает куда большую безопасность чем пароли. Все смартфоны с Android, начиная с версии 7.0, сертифицированы для FIDO2. Также Android-смартфоны можно будет использовать в качестве средства аутентификации при входе на сайты с других устройств.