Новости про Google, безопасность и Интернет и сети

Google позволяет авторизоваться с помощью отпечатка пальца

Компания Google теперь обеспечивает доступ к своим сервисам с помощью отпечатка пальца, без необходимости ввода логина и пароля. Нововведение работает на операционной системе Android в браузере Chrome.

Функция уже начала появляться на некоторых телефонах Android, а в ближайшем будущем будет доступна на всех устройства, которые работают на Android 7 и более новых версиях. На странице помощи говорится, что функция позволяет осуществлять вход с помощью любого метода, который используется для разблокировки телефона, включая пин-код и графический ключ.

Телефоны с Android уже позволяют осуществлять аутентификацию отпечатком пальца при покупках через Google Pay и входить в приложения. Теперь же отпечаток пальца можно использовать для доступа к вэб-сервисам компании через браузер Chrome. Сейчас можно использовать этот функционал для редактирования и проверки сохранённых паролей на странице passwords.google.com, однако компания планирует расширить его на другие сервисы Google Cloud.

Новый функционал построен на протоколе WebAuthn с использованием FIDO2, открытого стандарта, который могут использовать сайты для безопасного входа. Он обеспечивает куда большую безопасность чем пароли. Все смартфоны с Android, начиная с версии 7.0, сертифицированы для FIDO2. Также Android-смартфоны можно будет использовать в качестве средства аутентификации при входе на сайты с других устройств.

Facebook и Google следят за посетителями сайтов для взрослых

Команда исследователей из Microsoft, Университета Корнеги-Меллон и Университета Пенсильвании не придумали себе более интересной работы, как изучение 22 484 порно-сайтов. В результате исследования было установлено, что 93% из них допускают утечки данных третьим лицам.

Основным, из таких третьих лиц, стала компания Google. Исследователи установили, что она, или одна из её дочерних компаний, вроде рекламной платформы DoubleClick, имеют трекеры на 74% порнографических сайтов. В то же время Facebook имеет трекеры на 10% сайтов.

Учёные отметили: «В США многие платформы хостинга рекламы и видео запрещают „взрослый“ контент. К примеру, Google YouTube является крупнейшим хостингом видео в мире, но он не разрешает порнографию. Однако у Google нет политики, запрещающей другим сайтам размещать свой код (Google API) или инструменты измерения аудитории (Google Analytics). Таким образом, Google отказывается размещать порно, но не ограничивает свой надзор при потреблении порнографии пользователями, часто без их ведома».

Обычно любителям сайтов для взрослых рекомендуют включать режим инкогнито в своих браузерах, однако по факту все Интернет-ресурсы игнорируют этот режим и продолжают слежку. Так что такой способ на самом деле не делает вас невидимым перед интернет-гигантами, а лишь исключает локальное хранение истории посещений.

Google упростит двухфакторную авторизацию

За последние годы многие онлайн сервисы получили двухфакторную аутентификацию в попытках увеличения безопасности. Второй слой аутентификации выполняется обычно через код, присылаемый в SMS.

Однако когда вы входите на сайт с телефона, то переключение к приложению с SMS не очень удобно. Многие сервисы пытаются сами выхватить код из сообщения, однако для этого им необходимо предоставить доступ к чтению сообщений.

Безопасность Android

И теперь Google решила пойти навстречу пользователям, упростив получение кода из сообщений одним нажатием. В новой версии Android Messages для этого будет специальная кнопка, которая автоматически скопирует код в буфер обмена. Ранее Google начала переводить пользователей на сервис Google Prompt, однако не забывает и о тех, кто использует стандартные средства SMS верификации.

Приложение чтения SMS до обновления (слева) и после (справа)

Это обновление не будет доступно для всех, однако все интересующиеся могут установить APK самостоятельно.

reCAPTCHA 3 определит человека без интерактивных тестов

На сайтах уже долгие годы существуют системы проверки того, что к информации обращается человек, а не робот. Сейчас самым популярным инструментом проверки является Google reCAPTCHA, который компания приобрела в 2009 году.

Зачастую при проверке просят найти и обозначить специфические картинки, вроде дорожных знаков или витрин. Однако скоро её прохождение заметно упростится.

Компания улучшала систему несколько лет. От разгадки текста тест упростился до кликов мышью по квадратикам с картинками, а иногда даже этого не требуется. Система определяет то, что вы человек, по движению мыши, когда вы отмечаете галочку «Я не робот». Теперь же в третьей версии reCAPTCHA, всё это будет заменено на «баллы» пользователя.

reCAPTCHA: Я не робот

По уверениям компании, reCAPTCHA 3 никогда не прервёт пользователей, а администраторы сайтов смогут использовать её где угодно и когда угодно, не ухудшая восприятие информации. «Хороший» балл для человека будет означать 1,0, а «худший» означает бота и равен 0. Подсчёт ведётся на основании различных параметров, таких как движение мыши и другая активность, которую Google держит в секрете.

Сейчас reCAPTCHA версии 3 находится на этапе финального тестирования.

Google выпускает утилиту предотвращения DDOS

Атаки DDOS стали в наши дни весьма распространённым явлением и часто они приводят к сбоям работы новостных сайтов, когда те публикуют «неугодные» определённой группе лиц сведения.

Чтобы защитить ресурсы от атак подобного рода компания Google создала специальный инструмент под названием «Project Shield», который и предотвращает атаки на вашу сеть с использованием перенаправленного через серверы Google трафика.

Данный проект предлагается в качестве бесплатного инструмента, который нацелен на фильтрацию настоящего трафика, от вредоносного.

Однако инструмент Sheild не будет доступен повсеместно. Поисковый гигант предлагает его лишь новостным ресурсам, а также организациям, занимающимся мониторингом деятельности политиков и соблюдения прав человека. Это значит, что отдельные блогеры, предприятия и игровые сервисы не смогут получить доступ к Project Shield. Кроме того, чтобы воспользоваться сервисом, сайту необходимо использовать утилиту, позволяющую слушать трафик и определять его тип, чтобы осуществлять эффективную фильтрацию вредоносных пакетов.

Google тестирует систему беспарольной авторизации

Компания Google начала тестирование системы, позволяющей авторизоваться в учётной записи Google без использования пароля. Для этого необходим лишь телефон.

Компания пригласила нескольких пользователей к тестированию новой системы авторизации. Концепция этой системы предельно проста. На своём компьютере для входа в учётную запись вы просто вводите свой адрес электронной почты, однако вместо ввода соответствующего пароля, вам предлагают ввести специальный код авторизации, который появляется на авторизованном телефоне.

Окажется ли этом метод аутентификации более безопасным, чем традиционный пароль, мы узнаем позднее. Также нам пока неизвестны способы блокировки учётной записи в случае утери телефона, ведь в таком случае злоумышленник сможет легко получить доступ ко всем данным. Взлом пароля всегда требует определённых навыков, в то же время физический доступ к устройству осуществить намного проще.

Google: ваши данные защищены от АНБ

Несмотря на постоянные обвинения Google в сборе персональной информации и передаче её рекламодателям, Ерик Шмидт, глава компании, заявил, что подобная информации абсолютно недоступна для АНБ.

Шмидт заявил, что компания Google упорно работала над сокрытием персональных данных, которые она собирает. Компания серьёзно занялась этим вопросом полтора года назад, когда стало известно о программе Агентства Национальной Безопасности США по слежке за иностранными гражданами.

Когда компания узнала о методах работы АНБ, её инженеры были шокированы, поскольку ранее представляли себе замысловатые схемы перехватывания трафика, хотя по факту АНБ просто изучала, что читают люди, и таким образом собирала информацию о них. В 2013, сразу после оглашения информации Эдвардом Сноуденом, компания решила повысить безопасность своих пользователей. Она потратила много денег на разработку 2048-битного шифрования трафика.

И теперь хранение информации в Google стало абсолютно надёжным. В ходе конференции по отслеживанию в CATO-Institute Шмидт заявил: «Мы полномасштабно зашифровали наши внутренние системы. В целом видно, что этот новый уровень защиты неуязвим в настоящее время любыми средствами, доступными людям, любым способом». Насколько же это правда, покажет только время.

Google представляет USB ключ безопасности

Компания Google добавила возможность двухэтапной аутентификации посредством нового USB ключа, что является более безопасным путём получения доступа к своей учётной записи Google.

Как сказано в блоге безопасности Google, совместимый USB ключ безопасности теперь может использоваться для авторизации на сайте, а также для подтверждения того, что сайт Google, на который вы зашли, не является подделкой.

Обычно двухэтапная аутентификация просит пользователя ввести секретный код, присылаемый ему на телефон, в дополнение к вводу пароля. С USB ключом будет же достаточно разместить его в порту и ввести свой пароль в браузере Chrome, когда будет предложено это сделать, таким образом создавая новый слой защиты.

В Google заявили: «Когда вы входите в свою учётную запись Google используя Chrome и ключ безопасности, вы можете быть уверены, что криптографическая подпись не может быть украдена».

Само же устройство USB Security Key построено на основе открытого протокола Universal 2nd Factor, продвигаемого FIDO Alliance, что означает, что его можно использовать с другими браузерами, в дополнение к Chrome, и с другими сайтами, в дополнение к Google.

Yahoo и Google совместно разрабатывают безопасную электронную почту

Два поисковых гиганта и провайдера электронной почты, компании Yahoo и Google, решили объединить усилия для создания в следующем году системы безопасной электронной почты, что сделает практически невозможным чтение переписки сторонними лицами, например, хакерами или правительственными агентствами.

Ранее обе компании начали усиливать свои системы для более надёжного противостояния правительственному влиянию и взломам, а также после разглашения массы сведений о принципах работы и возможностях АНБ. В настоящее время такие компании как Google, Microsoft и Facebook уже шифруют внутренний трафик, и могут вносить небольшие изменения, чтобы значительно усложнить сбор данных.

В Yahoo изменили процесс отправки писем, таким образом, чтобы пользователи выбирали тип шифрования сообщений в отдельном окне. В Google заявили, что приняли обнадёживающее решение, сделав свои сайты безопасными для пользователей, использовав шифрование как один из факторов определения рейтинга при поиске.

И хотя крупные игроки рынка и используют шифрование в своих системах, к настоящему времени между ними нет взаимосвязи. Можно лишь надеяться, что эта совместная работа по шифрованию электронной почты в будущем приведёт к более тесному сотрудничеству в области приватности хранимых и передаваемых данных.

Корпорации создают группу для предотвращения уязвимостей подобных Heartbleed

Выявления уязвимости Heartbleed в самом начале апреля показало, насколько небезопасным местом является Интернет, и насколько слаба в нём вся система безопасности.

Чтобы снизить риски возникновения подобных ошибок в будущем, Linux Foundation анонсировала организацию новой группы, которая должна помочь предотвратить возникновение новых проблем, подобных Heartbleed .

В эту группу, названную Core Infrastructure Initiative, вошли ряд компаний, включая таких гигантов как Microsoft, Google, Intel, Amazon, Facebook, Dell, IBM. Основной целью группы станет помощь членам ассоциации свободного ПО в проектах, которым требуется поддержка, и первостепенной задачей станет помощь OpenSSL. Члены Core Infrastructure Initiative постараются вложить в проект средства, чтобы повысить его безопасность, наряду с ускорением выпуска патчей.

По поводу присоединения к группе компания Microsoft, в лице директора по программной безопасности Стива Липнера, сообщила: «Безопасность — это вопрос, касающийся всей отрасли и требующий сотрудничества всей отрасли. Core Infrastructure Initiative согласуется с нашим участием в проектах с открытым исходным кодом и улучшении в разработке безопасности во всех платформах, устройствах и сервисах».

Кроме членов-участников группы каждый имеет возможность помочь повысить безопасности финансово. Эти средства будут использованы Linux Foundation и/или проектом Core Infrastructure Initiative.