Новости про безопасность и разработчики

Разработана забавная CAPTCHA с минигрой Doom

Мигель Кампс Ортеза разработал апплет под названием DOOM CAPTCHA, код которого он разместил на Github.

Конечно, это не тот Doom, который радует нас уже не один десяток лет на PC и сотне других устройств, от калькуляторов до холодильников, однако он по-прежнему выглядит как старый добрый Doom.

Doom Captcha

К капче прилагаются спрайты, музыка и звуковые эффекты из Doom. И пострелять врагов без сомнения более увлекательное занятие, чем поиск светофоров на обычной CAPTCHA, который в среднем занимает 32 секунды.

Сам разработчик сделал ремарку, что создал проект для забавы, поскольку такую безопасность очень легко обойти. Он даже добавил в неё чит-код, классический IDDQD, который пропускает капчу. Но в любом случае, это интересное решение. И будет очень хорошо, если разработчики капчи пойдут по подобному пути, развлекая пользователей, а не заставляя их выполнять долгие скучные действия.

Опробовть капчу можно на сайте Product Hunt.

Google выпускает ПО для выявления графических фейков

Технологический инкубатор Google Jigsaw подготовил экспериментальную платформу под названием Assembler, которая позволит журналистам и факт-чекерам подтверждать подлинность изображений.

Средство Assembler объединяет различные существующие техники для выявления распространённых типов манипуляций, включая изменение яркости и вставку скопированных пикселей для сокрытия монтажа и придания идентичной визуальной текстуры. Также в системе есть детектор дипфейков, по типу создаваемых StyleGAN, алгоритмом генерации реалистичных лиц.

При своей работе система сообщает пользователям, насколько вероятен факт подделки изображения.

Безусловно, Assembler является хорошим шагом для борьбы с манипулятивными медиа, однако он покрывает не все техники манипуляции, включая те, что используются в видео, так что разработчикам ещё есть над чем трудиться.

«Также всё это существует в виде отдельной платформы, от каналов, где исследуемые изображения обычно публикуются. Эксперты рекомендуют технологическим гигантам, таким как Facebook и Google, внедрить эти типы детекции непосредственно в свои платформы. Такой способ проверки может быть проведен почти в реальном в времени, по мере загрузки и распространения видео и фотографий», — говорится в отчёте Массачусетского Института Технологии.

Google будет препятствовать установке непроверенных приложений

Последнее время компания Google значительно расширила функционал своих сервисов в области безопасности, в частности, в Gmail и Docs. Новой инициативой фирмы станет экран предупреждения, который будет появляться всякий раз при установке приложения от разработчиков, которые не прошли верификационную систему Google.

В операционной системе OS X существует похожий процесс, называемый Gatekeeper, а Windows 10 вообще блокирует установку приложений не из магазина. В Android при попытке установки неверифицированного приложения, вы увидите уведомление об этом. Чтобы продолжить установку потребуется набрать «продолжить» в специальном поле, что требует несколько больше усилий, чем нажать кнопку «OK» даже не всматриваясь в суть сообщений на экране.

Предупреждение также содержит название приложения и его разработчика, что должно позволить вам защититься в случае фишинговой атаки. Кроме того, такой подход позволяет разработчикам приступить к тестированию приложения, не дожидаясь прохождения верификации.

«Мы являемся приверженцами создания здоровой экосистемы, как для пользователей, так и для разработчиков», — заявили Навин Агарвал и Уисли Чан в блоге Google. «Эти новые отметки проинформируют пользователей автоматически, если они будут подвержены риску, позволив им принять проинформированное решение для сохранения информации в безопасности, а также сделать тестирование и разработку приложений более простыми».

Xerox PARC создаёт самоуничтожаемый чип

Несмотря на то, что развитие технологий прекрасно для пользователей и промышленности, их использование в секретных отраслях часто заходит в тупик.

Новая микросхема, разработанная Xerox как часть проекта разрушаемых программируемых ресурсов, может быть использована как хранилище для ключей шифрования. Эта микросхема по команде извне может разбиваться на тысячи мелких осколков, делая невозможным хотя бы частичное восстановление.

Грегори Уайтинг, старший научный сотрудник PARC из Пало-Альто, Калифорния, заявил, что разработанная в его лаборатории микросхема основана на Gorilla Glass. «Мы взяли стекло и провели ионно-обменную закалку, чтобы навести напряжения. Что вы получаете — это стекло, которое из-за высокой напряжённости, разрушается из фрагментов на крошечные маленькие осколки», — отметил учёный.

Когда цепь замыкается, маленький резистор нагревает стекло, и оно разбивается на тысячи частиц. Даже после разрушения, во фрагментах остаются напряжения, приводя к дальнейшему разрушению на ещё более мелкие части за десятые доли секунды.

Если чип изготовлен на стекле и использовался для хранения ключей шифрования, разрушение чипа может гарантировать полное окончательное уничтожение ключа, и не важно, является ли этот подход частью повседневной работы либо чрезвычайной ситуацией. Ранее уничтожение данных проводили засветкой светодиодом, однако, этот процесс более длительный и менее надёжный.

Microsoft следит за вредоносным ПО для Android

Компания Microsoft на своей конференции Build наделала много шума, предложив разработчикам инструменты портирования приложений из Android и iOS на Windows. Это позволит разработчикам упростить создание приложений для Windows и увеличить число своих пользователей, но в то же время, эти инструменты повышают и риски в области безопасности.

Не секрет, что вредоносное ПО иногда появляется даже на Google Play, и в Microsoft хотят быть уверены, что эти программы не попадут в экосистему Windows. По словам софтверного гиганта, у него есть специальная команда обозревателей, которые заняты мониторингом таких приложений, и основываясь на данных телеметрии от пользователей Windows и присланных отчётах, они смогут гарантировать, что подобные приложения не появятся на Windows Store. Но если же они проскользнут сквозь систему безопасности, их можно будет быстро удалить.

Вряд ли кого-то можно сильно удивить тем, что Microsoft занимается мониторингом безопасности Android приложений, чтобы предотвратить использования инструмента Astroia для проникновения вредоносного ПО в среду Windows. В то же время объявленная Microsoft проактивная защита при использовании Astoria позволит пользователям Windows чувствовать себя комфортно.

Корпорации создают группу для предотвращения уязвимостей подобных Heartbleed

Выявления уязвимости Heartbleed в самом начале апреля показало, насколько небезопасным местом является Интернет, и насколько слаба в нём вся система безопасности.

Чтобы снизить риски возникновения подобных ошибок в будущем, Linux Foundation анонсировала организацию новой группы, которая должна помочь предотвратить возникновение новых проблем, подобных Heartbleed .

В эту группу, названную Core Infrastructure Initiative, вошли ряд компаний, включая таких гигантов как Microsoft, Google, Intel, Amazon, Facebook, Dell, IBM. Основной целью группы станет помощь членам ассоциации свободного ПО в проектах, которым требуется поддержка, и первостепенной задачей станет помощь OpenSSL. Члены Core Infrastructure Initiative постараются вложить в проект средства, чтобы повысить его безопасность, наряду с ускорением выпуска патчей.

По поводу присоединения к группе компания Microsoft, в лице директора по программной безопасности Стива Липнера, сообщила: «Безопасность — это вопрос, касающийся всей отрасли и требующий сотрудничества всей отрасли. Core Infrastructure Initiative согласуется с нашим участием в проектах с открытым исходным кодом и улучшении в разработке безопасности во всех платформах, устройствах и сервисах».

Кроме членов-участников группы каждый имеет возможность помочь повысить безопасности финансово. Эти средства будут использованы Linux Foundation и/или проектом Core Infrastructure Initiative.

Google ужесточает безопасность в Chrome

Компания Google объявила о своём намерении запретить установку расширений для браузера Chrome в Windows в случае, если их источником не является Chrome Web Store.

Новая политика вступает в силу в январе для каналов стабильных сборок и бета версий, а это означает, что ужесточённая политика коснётся лишь конечных пользователей, и не затронет разработчиков и корпоративных клиентов, имеющих локальные плагины.

Ерик Кэй, директор по инжинирингу в Google заявил, что существующий механизм безопасности подвергается риску, в случае если расширение устанавливается тихо безо всяких сообщений. Это подозрительное расширение затем может делать различные вещи, включая изменение настроек браузера, замену вкладки с сайтам без разрешения и т.д. Он отметил, что на это было много жалоб, в связи с чем компания решила избавить от этого пользователей в Chrome для Windows.

После того, как разработчики столкнутся с проблемой, они смогут легко перенести приложения в Chrome Web Store. Процесс миграции не скажется на пользователях, которые продолжат пользоваться расширениями даже не заметив изменений. Есть правда одна не очень приятная деталь. Дело в том, что Google требует за регистрацию разработчика расширения единоразово заплатить 5 долларов США и по 5% за каждую транзакцию, сделанную через Chrome Web Store Payments, встроенную платёжную систему.

Данное изменение станет последним в ряде изменений браузера, направленных на повышение безопасности. Недавно компания также добавила специальную кнопку сброса, которая возвращает браузер в первоначальное состояние, какое было сразу после его установки. Эта кнопка может оказаться полезной, если пользователь заметил за обозревателем какое-то странное поведение.

Разработан независающий компьютер

Рано или поздно, но все мы сталкиваемся с зависанием компьютеров, и в зависимости от задачи, которую вы выполняете, очередной сбой может вызвать раздражение, а может обернуться и полной катастрофой.

Но к счастью, учёные и исследователи из Университетского колледжа Лондона разработали решение, которое позволит навсегда попрощаться с синим экраном смерти.

В процессе работы современные компьютеры берут данные из памяти, обрабатывают их, а затем снова возвращают в ОЗУ. Такой порядок работы в обычных условиях не вызывает проблем, однако в случае наличия ошибок в программе возникают проблемы и с передачей данных, в результате чего происходит сбой в работе системы.

Главным отличием компьютера, разработанного в Лондоне, является то, что все данные и инструкции постоянно зеркалируются на различных системах. Системы работают одновременно и независимо одна от другой, и единственная вещь, которой они обмениваются — это участки памяти с контекстными данными.

В случае сбоя в работе одной из систем или повреждения данных, компьютер может восстановить их из другой системы и начать выполнение инструкции заново.

Конечно, при таком подходе нельзя похвастать высокой производительностью, но у учёных ещё есть много идей по совершенствованию разработанной схемы вычислений. К тому же система может оказаться полезной там, где важна высокая надёжность, например в военном ведомстве или в энергетике.

Google хочет заменить пароли криптографическими ключами

Только вчера мы писали о прогнозах канадского агентства Deloitte, в котором говорили о небезопасности использования паролей в качестве аутентификаторов в Сети, как вслед за ними Google выступила с подобным заявлением.

Они считают, что самым слабым местом в сетевой безопасности являются пароли, поскольку людям приходится запоминать длинные сложные комбинации знаков для каждой учётной записи. Надо признать, что в большинстве случаев люди используют одинаковые или похожие пароли для всех учётных записей. Конечно, проведение ликбезов в этой области важно, но это не выход из ситуации.

Решение же проблемы Google видит в использовании маленьких USB ключей, которые хранят ваши онлайн идентификаторы.

Суть в том, что физическое устройство не только позволяет хранить множественные пароли, как для вэбсайтов, так и для входа в ОС, но его также тяжелее скопировать. Сейчас злоумышленник может украсть ваши пароли, находясь на другом конце Земли, однако он не сможет добраться до вашего кармана, где лежит USB брелок.

В январе компания Google обещает выпустить документа, в котором отдел безопасности компании раскроет способы реализации таких брелков и расскажет о протоколе работы этих устройств для аутентификации пользователей.

Также команда разработчиков занята работой над модификацией браузера Google Chrome, для обеспечения его работы с YubiKey, криптографической USB картой, которая уже может использоваться для менеджмента паролей. Однако после проведенных модификаций браузер от Google сможет работать с YubiKey автоматически, без дополнительной настройки.

В будущем же в Google хочет видеть ещё более простые и беспроводные средства ауентификации, которыми могут стать сотовые телефоны или даже кольца на пальцах.

В Windows 8 будет улучшена антивирусная поддержка

Программный Дом Microsoft подтвердил, что Windows 8 получит более мощную версию программы Windows Defender, которая будет определять и удалять все типы вредоносного ПО.

В отличие от Windows Defender поставляемого с Windows 7, который защищает пользователей только от шпионского ПО, версия «Защитника» для новой ОС получит полноценный противовредоносный движок, такой же, как используется в Microsoft Security Essentials (MSE).

«Улучшения в WindowsDefender помогут защитить вас ото всех типов вредоносного ПО включая вирусы, червей, ботов и руткитов, используя полный набор сигнатур от MicrosoftMalwareProtectionCenter, которые, наряду с последними версиями антивредоносного движка Microsoft, будет регулярно доставлять WindowsUpdate», — заявил Джейсон Гармс (Jason Garms), групповой руководитель программы надежности и службы безопасности Microsoft.

Однако улучшения будут даже большими, чем добавление противовредоносных возможностей. Новый Windows Defender будет использовать специальный драйвер операционной системы, интегрированный с механизмом безопасной загрузки Windows 8 Secured Boot, позволяющий после каждой загрузки удостовериться в отсутствии запуска какого-либо вредоносного ПО совместно с ОС.

Также учитывая то, что в настоящее время основным путём инфицирования являются уязвимости ПО, Microsoft объявили об улучшении технологий ASLR, Windows heap, а также внедрении мер препятствующих исполнению программ в ядро ОС и Internet Explorer.

Несмотря на заявленные модернизации ОС в плане противостояния вредоносному ПО, Microsoft по-прежнему позволит пользователем использовать сторонние антивирусные решения, но при этом не объяснили, будут ли они работать совместно с Windows Defender, или же он будет автоматически отключаться при обнаружении стороннего антивируса.