Новости про безопасность

Mozilla включает DNS-шифрование по умолчанию

Те, кто желает обеспечить свою цифровую приватность или вынуждены обходить правительственные запреты всегда ищут пути это сделать. И теперь, благодаря Mozilla, это стало делать проще.

Организация Mozilla сообщила, что начала осуществлять шифрованные подключения DNS over HTTPS (DoH) в своём браузере Firefox по умолчанию, правда, пока только в США.

Развёртывание будет проходить в течение нескольких недель для того, чтобы убедиться в стабильности работы. После завершения широкого тестирования, пользователи Firefox получат последнюю версию браузера с включённой защитой DNS.

Firefox

Суть защиты в том, что DoH шифрует запросы к серверам доменным имён, так что ни провайдер, ни хакер не может знать, какой сайт вы запросили.

В настоящее время Mozilla поддерживает два доверенных сервера имён. Это Cloudflare и NextDNS. Другие провайдеры могут добавиться к этому списку позднее, однако пока приходиться полагаться на них.

По умолчанию DoH работает только в США, однако самостоятельно его можно включить в любой стране. Для этого в меню Настройки нужно перейти в раздел «Параметры сети», нажать кнопку «Настроить…» и включить «DNS over HTTPS».

Google выпускает ПО для выявления графических фейков

Технологический инкубатор Google Jigsaw подготовил экспериментальную платформу под названием Assembler, которая позволит журналистам и факт-чекерам подтверждать подлинность изображений.

Средство Assembler объединяет различные существующие техники для выявления распространённых типов манипуляций, включая изменение яркости и вставку скопированных пикселей для сокрытия монтажа и придания идентичной визуальной текстуры. Также в системе есть детектор дипфейков, по типу создаваемых StyleGAN, алгоритмом генерации реалистичных лиц.

При своей работе система сообщает пользователям, насколько вероятен факт подделки изображения.

Безусловно, Assembler является хорошим шагом для борьбы с манипулятивными медиа, однако он покрывает не все техники манипуляции, включая те, что используются в видео, так что разработчикам ещё есть над чем трудиться.

«Также всё это существует в виде отдельной платформы, от каналов, где исследуемые изображения обычно публикуются. Эксперты рекомендуют технологическим гигантам, таким как Facebook и Google, внедрить эти типы детекции непосредственно в свои платформы. Такой способ проверки может быть проведен почти в реальном в времени, по мере загрузки и распространения видео и фотографий», — говорится в отчёте Массачусетского Института Технологии.

GitHub готовит хранилище кода в Арктике

На фоне постоянного ускорения технологий мы практически перестали сохранять информацию для потомков. И некто задался вопросом, а что если все наши разработки исчезнут без следа? По этой причине GitHub решил открыть подземное хранилище в условия вечной мерзлоты — GitHub Arctic Code Vault.

Второго февраля GitHub сделал образ всех активных общественных репозиториев, которые он сохранит в убежище. В них входят все репозитории с минимум 250 звёздами, независимо от времени их последнего редактирования. Также в хранилище попадёт код, в который внесены изменения в период между 13 ноября 2019 года и 2 февраля 2020, а также все изменённые за год репозитории с минимум одной звездой.

Хранилище Arctic World Archive

Строительство Arctic Code Vault будет длиться около двух месяцев. Весной его направят в Савльбард, норвежский архипелаг в Северном Ледовитом океане, где и поместят его под землю в Arctic World Archive. Целью проекта является сохранение открытого исходного кода для будущих поколений. Для этого данные записывают на кадры плёнки из галогенида серебра по 8,8 миллионов пискселей на каждом. Эти кадры могут храниться более 1000 лет. Для сравнения, нынешние жёсткие диски и CD пригодны для хранения данных в течение нескольких десятилетий.

Arctic World Archive — это специальное место, предназначенное для хранения данных. Оно расположено рядом с Svalbard Global Seed Vault, хранилищем семян, защищающем наши растения от внезапного уничтожения. Архив находится на глубине 150 м внутри заброшенной угольной шахты внутри горы. А поскольку это зона вечной мерзлоты, температура внутри шахты всегда держится ниже нуля.

GitHub Arctic Code Vault

Вместе с данными в хранилище будут помещены также инструкции по их восстановлению и схема с их размещением. Возможно, историки будущего найдут эти сведения интересными.

Антивирусные провайдеры продолжат поддерживать Windows 7

Несмотря на то, что Microsoft завершила поддержку Windows 7 в январе и объявила об окончании её жизненного цикла, большинство антивирусных провайдеров продолжат предоставлять свои сервисы для этой операционной системы.

Поскольку масса пользователей не имеет возможности перейти на более свежие версии операционной системы, антивирусные провайдеры получили отличную возможность заручиться новыми пользователями, которые захотят защитить свои машины от возможных угроз.

Лаборатория AV-Test опубликовала список антивирусов, которые будут и далее поддерживать Windows 7, как минимум до 2022 года. Таким образом, пользователи этой системы будут хотя бы частично защищены от угроз.

Что касается браузеров, через которые и осуществляется большинство заражений, то Google уже объявила о своих планах по выпуску Chrome для Windows 7 как минимум до июля 2021 года. Mozilla же официально ничего не сообщала, но если учесть, что Firefox долго поддерживал Windows XP после окончания её жизненного цикла, вполне логично предположить, что также она поступит и с Windows 7.

50 организаций просят Google ужесточить требование к встроенному в Android ПО

Более 50 организаций, включая Privacy International, Digital Rights Foundation, DuckDuckGo и Electronic Frontier Foundation, написали Сундару Пичаи, исполнительному директору Alphabet, открытое письмо, касающееся быстрого роста предустановленного ПО на устройствах с операционной системой Android и растущих рисках безопасности для клиентов.

Письмо гласит, что OEM-производители телефонов с Android предустанавливают в систему свои приложения, которые нельзя удалить из-за их системных привилегий, и которые обходят модель разрешений в Android. Таким образом, эти приложения получают доступ к микрофону, камере и средствам геолокации, собирают пользовательские данные и передают их OEM без согласия самих пользователей.

Группа просит Google внести некоторые изменения в то, как Android поддерживает предустановленные приложения. Они просят Google обеспечить возможность полной деинсталляции предустановленных приложений. Сейчас некоторые производители дают возможность отключить такие приложения, однако их службы продолжают работать в фоне и собирать информацию.

Кроме того, в письме выражено требование обеспечить предустановленным приложениям тот же уровень безопасности, что и приложениям из Google Play Store, а также гарантировать их обновление из Google Play, даже если пользователь не залогинился. В дополнение, Google должен отказывать в сертификации OEM-производителям, если они будут использовать пользовательские данные.

Учёные создали невзламываемую защиту

Интернациональная команда учёных из Научно-технологического университета им. короля Абдуллы, Сент-Энрюсского Университета и Центра нетрадиционных процессов и науки использовала кремниевый чип, содержащий сложные структуры, безвозвратно изменяющиеся при отправке информации с одноразовым ключом, который не может быть ни воссоздан, ни эмулирован.

Результаты работы были опубликованы в журнале Nature Communications, открыв путь к реализации идеальной криптографии в мировом масштабе и при разумных затратах.

Профессор Андреа ди Фалько из Школы физики и астрономии Сент-Энрюсского Университета, первый автор исследования, заявил: «Эта новая техника совершенно неуязвима, как мы это досконально и демонстрировали в нашей работе. Она может быть использована для защиты конфиденциальных передач между пользователями, разделёнными любыми расстояниями на сверхвысоких скоростях, близких к световому пределу, и в недорогих, совместимых с электронными оптических чипах».

Нынешние технологии позволяют пересылать шифрованную информацию быстро, однако её можно будет взломать будущими суперкомпьютерами и квантовыми компьютерами. Исследователи говорят, что новый метод шифрования нельзя взломать. Он использует современную инфраструктуру связи и занимает меньше места, чем традиционные методы шифрования. В методе применяются классические законы физики, в частности, второй закон термодинамики. Он обеспечивает превосходную секретность, не позволяя хакерам получить доступ к информации.

Ключи, генерируемые чипом и открывающие доступ к каждому сообщению, никогда не сохраняются и не контактируют с самими сообщениями. Их нельзя воссоздать, даже самим пользователем, что добавляет безопасности. По сути, учёные смогли реализовать процесс, теоретически доказанный Гилбертом Вернамом в 1917 году.

Сейчас команда исследователей работает над коммерческим решением своей патентованной технологии и проектирует удобное для пользователей ПО, при этом они уже имеют полностью функциональную демонстрацию.

XSS-атаки стали самыми популярными в 2019 году

По данным исследования PreciseSecurity.com, кибератакам в прошедшем году подверглись 75% больших компаний в Европе и Северной Америке. При этом почти 40% всех кибератак были проведены с использованием кросс-сайтовых скриптов.

Атаки типа кросс-сайтовых скриптов, или XSS, относят к типу инъекционных, при которых вредоносный код внедряется на сайт.

Большинство XSS-атак выполняются с использованием веб-приложений, которые отправляют вредоносный код, в основном в виде скриптов, исполняемых на стороне браузера у конечного пользователя. Статистика демонстрирует, что SQL-инъекции являются вторым типом атак по распространённости, а за ним следует фаззинг.

Интересны и цели хакеров, выполняющих взлом. Так, примерно 60% из них занимались взломом в качестве испытания сил и для изучения самой возможности взлома. 40% хакеров атаковали просто свои любимые компании, а 36% из них хотели проверить реакцию команды безопасности.

Из всех атак 2019 года, 72,3% произошли на сайтах, и это любимая платформа для хакеров по всему миру. API стал второй по привлекательности платформой для взлома — 6,8% атак. Около 7% атак осуществлялись на мобильной системе Android, а 3,9% атак произошло через загружаемое из Интернета ПО.

Cherry анонсирует безопасную клавиатуру

Компания Cherry, специализирующаяся на компьютерной периферии, анонсировала устройство Secure Board 1.0 с шифрованием нажатий клавиш.

Клавиатура имеет интегрированный ридер смарткарт, карт, совместимых с RF/NFC и метками. Ридер Class 2 обеспечивает чтение и запись карт, отвечающих стандартам ISO 7816 и ISO 14443 A/B. Цифровая клавиатура позволяет безопасно вводить цифроалфавитный PIN.

Клавиатура Cherry Secure Board 1.0

Специальный безопасный режим работы обеспечивает шифрование нажатия клавиш. Это шифрование гарантировано сертификатом. Таким образом удалось обезопасить систему от аппаратных клавиатурных шпинов, которые могли бы перехватить важные данные и пароли. Блокировка стандартного клавиатурного канала предотвращает атаку поддельными USB-устройствами, которые распознаются системами как клавиатуры. Сейчас безопасный режим работы можно использовать в Linux. Решение для Windows пока находится в разработке.

Клавиатура Cherry Secure Board 1.0

Что касается экстерьера, то клавиатура может похвастать тонким эргономичным дизайном, специализированным для использования с рабочими станциями. Также клавиатура Secure Board 1.0 отвечает требованиям FIPS-201.

Клавиатура Cherry Secure Board 1.0 предлагается по цене 70 евро.

Mozilla обвиняет плагины Avast в сборе пользовательских данных

Группа Mozilla приняла решение удалить продукты Avast и AVG из репозитория дополнений своего браузера после того, как был выявлен сбор большого количества пользовательских данных.

Таким образом, теперь установить плагины Avast или AVG из хранилища Mozilla больше нельзя. Ни Avast Online Security и SafePrice, ни AVG Online Security и SafePrice, больше недоступны. При этом сами плагины пока не запрещены, так что ими можно свободно пользоваться.

Дополнения в Firefox

Создатель AdBlock Plus Владимир Палант опубликовал анализ работы расширения Avast в октябре 2019 года на своём персональном сайте. Он выявил, что расширения Avast передают данные материнской компании, и эти данные куда шире, чем требовалось бы для работы расширения. Так, расширение отсылает полные адреса страницы, заголовка страницы, рефералы и прочие данные по запросу. Данные собираются при открытии страницы и при переключении вкладки. На странице поиска передаётся также каждая ссылка.

Пока переговоры между Mozilla и Avast о работе плагина не ведутся, и если ситуация не изменится, средства Avast могут быть полностью заблокированы в Firefox.

Выявлен необычный зловред для серверов

Исследователи из Intezer и IBM X-Force обнаружили необычную форму вредоносного ПО, которое нацелено на атаку корпоративных серверов.

Названный PureLocker вирус написан на PureBasic, что не только необычно, но и облегчает хакерам процесс заражения, поскольку иногда поставщики антивирусного ПО не могут достоверно определить вирусную сигнатуру зловреда, написанного на этом языке.

Майкл Каджилоти из Intezer заявил, что PureBasic можно использовать в Windows, Linux и OS-X, а значит хакеры не зависят от какой-либо ОС на целевом сервере.

«Целевой сервер означает, что хакеры пытаются поразить своих жертв в самое уязвимое место, особенно, в базы данных, которые содержат наиболее важную информацию в организации».

Пока о количестве жертв PureLocker информации нет, однако в Intezer и IBM X-Force отметили, что кампания по распространению вируса активна. Кроме того, зловред предлагается хакерам «как сервис».

Сервис предлагается в виде сделанного на заказ инструмента и доступного киберпреступникам, способным заплатить значительную сумму. Исходный код вируса PureLocker имеет эксклюзивную природу, поскольку содержит много строк из зловреда, использующего бэкдор more_eggs.

Этот зловред продаётся в дарквэбе «ветеранскими» провайдерами вредоносного ПО. Инструменты использовались некоторыми из самых активных хакерских группировок, включая Cobalt Gang и FIN6, а зловреды разделяют код с предыдущими атаками, устроенными этими хакерами.