• «Жучок» в запчасти для смартфона — еще одна возможность для шпиона



      Пользователи мобильных телефонов, которые доверились сервисным центрам, где ремонтируют устройства, могут стать жертвами кибершпионажа. Пока что это лишь теоретическая возможность, показанная специалистами по информационной безопасности, но в этом случае теория без труда может стать практикой, если еще не стала. О пользователях мобильных устройств, которые после ремонта обнаружили в своих телефонах «жучков», особо ничего не слышно. Возможно, причина только в том, что такие модули хорошо спрятаны.

      Отчет о проделанной работе, опубликованный группой хакеров, может стать причиной легкой (или не очень) паранойи у многих владельцев мобильных устройств. Но удивляться возможности прослушки не приходится — сделать это не так и тяжело. Причем жертвами кибершпионажа могут стать как пользователи Android телефонов, так и владельцы iOS девайсов.
      Читать дальше →
    • Специалисты по инфобезу: «Умный автомобиль далеко не всегда безопасный автомобиль»

        image
        Источник: Getty Images

        Еще три года назад два специалиста по информационной безопасности показали, что новые модели Jeep уязвимы для атак злоумышленников. Здесь имеются в виду не ходовые качества и прочие характеристики, а возможность управлять различными функциями удаленно. И чем «умнее» машина, тем сильнее она подвержена влиянию извне. К сожалению, демонстрация, проведенная упомянутыми специалистами, особо ни к чему не привела. Да, производитель Jeep постарался решить проблему, но другие компании все так же мало обращают внимание на необходимые меры информационной безопасности, как и раньше.

        На днях сотрудники компании Trend Micro опубликовали пост, который дает понимание того, насколько плохо хорошо защищены современные автомобили от возможности взлома. Эта же информация была озвучена на конференции по инфобезу DIVMA, проводившейся в Бонне, Германия. По словам исследователей, главная проблема — это протокол CAN, который различные элементы автомобиля используют для взаимодействия друг с другом и общей сетью. Как оказалось, протокол уязвим, и злоумышленники, при условии обладания необходимыми знаниями и оборудованием, могут эксплуатировать в своих интересах слабые места в защите CAN.
        Читать дальше →
      • Специалист по инфобезу взломал криптографическую защиту Apple Secure Enclave



          На днях стало известно, что специалист по информационной безопасности с ником xerub смог получить доступ к защите Secure Enclave. Хакер уже выложил соответствующий ключ дешифровки, при помощи которого другие эксперты смогут в подробностях изучить особенности криптографической защиты устройств Apple. «Любой человек теперь может просмотреть и потыкать в SEP», — заявил xerub.

          Корпорация Apple пока что не подтвердила аутентичность ключа, выложенного хакером. Тем не менее, представители компании уже заявили, что даже если это и так, данные пользователей гаджетов компании не окажутся под угрозой.
          Читать дальше →
          • +20
          • 14,3k
          • 4
        • Государство возьмет под контроль критическую инфраструктуру Рунета



            На днях стало известно о том, что критическая инфраструктура Рунета полностью будет контролироваться государством. Для того, чтобы это стало возможным, Минкомсвязи подготовило поправки в закон «О связи». Поправки, в случае их принятия, помогут сохранить работоспособность сайтов в национальных доменных зонах .ru и.рф даже в случае введения технологических санкций. Это позволит соответствующей инфраструктуре быть доступной извне.

            В проекте закона указывается необходимость создания на территории России национальной системы корневых серверов DNS, пишут «Известия». Это, по мнению законодателей, необходимо сделать для предотвращения возможности вмешательства в работу российского сегмента Сети. В пояснительной записке говорится, что «подсистема обеспечивает взаимодействие с аналогичными национальными системами корневых серверов иных государств (например Китая)».
            Читать дальше →
          • Найден способ противостоять атаке на 3D принтеры



              В 2016 году на Geektimes публиковалась статья о взломе 3D принтеров с целью внесения изменений, которые приводят к разрушению создаваемого объекта в процессе его эксплуатации. Короче говоря, речь идет об атаке на предприятия, которые используют 3D принтеры для создания деталей или их частей с целью изменения конфигурации производимых элементов. К примеру, это может быть винт коптера, части корпуса автомобиля, детали станка и многое другое. Исследование ученых получило название “dr0wned – Cyber-Physical Attack with Additive Manufacturing”. В его ходе специалисты получили доступ к файлм моделей деталей пропеллера дрона, изменили параметры модели, изготовили детали и запустили дрон. В итоге винт разрушался в полете и коптер падал с большой высоты.

              Понятно, что это была лишь демонстрация возможности атаки, которая могла быть гораздо масштабнее, если бы речь шла о реальном производстве. Только сейчас, спустя почти год, специалисты из другой команды нашли способ, который поможет противостоять теоретическому взломщику 3D-принтеров. Результаты этого проекта были представлены в Ванкувере, на мероприятии USENIX Security Symposium.
              Читать дальше →
            • Пакет Network Security Services и утилита Pretty-print

                Пакет Network Security Services (NSS) представляет собой набор библиотек, используемых при кроссплатформенной разработке защищенных клиентских и серверных приложений.
                Читать дальше →
              • К VPN через доверие

                  image

                  В России на текущий момент времени защищённые сетевые сервисы, необходимость использования которых на первый взгляд не совсем очевидна, становятся если не стандартом де-факто, то всё более востребованы со стороны пользователей. Это происходит по ряду причин, среди которых, конечно же, почти пятилетняя агрессивная отечественная государственная политика по отношению к регулированию интернет-пространства, а также общемировой тренд на безопасность и сохранение как можно больше личных данных при себе во время сетевых коммуникаций, чтобы ни злоумышленники, ни корпорации, ни госчиновники не воспользовались ими в своих интересах без твоего ведома.

                  Право на анонимность при цифровом взаимодействии есть у каждого из нас и подтверждается даже на высоких площадках ООН регулярно.

                  Если говорить про российское госрегулирование интернета и IT, то можно вспомнить десятки законов, которые были приняты за последние годы и все из них носят исключительно регрессивный, репрессивный и обременительный для интернет-отрасли и граждан характер. Большинство из этих законов вносят изменения в федеральный закон «Об информации, информационных технологиях и о защите информации» (149-ФЗ), а также в иные нормативно-правовые акты, например, в КоАП, вводя вместе с интернет-регуляторикой и административное воздействие для «непокорных». На данный момент «непокорными», которых можно наказывать блокировками и штрафами, для государства выступают только те или иные сетевые сервисы или IT-компании: веб-сайты, разработчики ПО, операторы связи, хостинг-компании, владельцы интернет-магазинов и т.д. До пользователей государство пока не добралось. Ну если оставить за скобками «экстремистские» дела за постинг и репостинг широкого спектра материалов, которые, как считают российские правоохранительные органы, могут нести угрозу безопасности государства или оскорбляют чьи-либо чувства.
                  Читать дальше →
                • Китайский разработчик дронов DJI добавит оффлайн-режим работы из-за отказа военных США от сотрудничества


                    Новая модель копера компании, Phantom 3 SE

                    В начале этого месяца стало известно, что военные США получили запрет на использование квадрокоптеров китайской компании DJI. Проблема заключается в том, что производитель дронов установил в своих устройствах специальное программное обеспечение, которое определяет местоположение устройства для того, чтобы определить, в какой зоне находится беспилотник — запрещенной для полетов или в обычной. С одной стороны, это правильно, поскольку владельцы коптеров не смогут запускать их в полет около важных промышленных объектов, АЭС, аэропортов и стадионов.

                    С другой стороны, пользователи дронов жалуются на то, что, покупая девайс, они не вправе использовать его функции на все 100%. Кроме того, некоторые клиенты DJI жаловались на «подслушивание». Несмотря на то, что производитель все отрицает, военные США все же предпочли отказаться от сотрудничества с китайской компанией и прекратить эксплуатацию коптеров DJI.
                    Читать дальше →
                  • С оборотом нелегальных товаров в даркнете можно бороться при помощи… отрицательных отзывов



                      Покупать в Интернете всегда интересно. Ассортимент товаров больше, чем в любом из магазинов в оффлайне, плюс при выборе товаров можно читать отзывы о товаре и его продавце. Чем выше рейтинг, как правило, тем больше такому продавцу доверяют покупатели. Чем ниже, соответственно, тем доверия меньше, а следовательно, и меньше заказов. Законы рынка никто не отменял, и они работают в онлайне так же хорошо, как и в оффлайне.

                      Иногда, правда, бывает и так, что конкуренты начинают «давить» своих соперников не совсем законными методами. Например, при помощи негативных отзывов. Нанимаются либо люди, которые систематически оставляют плохие отзывы о товарах и продавцах, либо к этой работе привлекаются боты. Это грязные методы, которые осуждаются всеми участниками рынка, но работают они неплохо. А что, если применить эти нечестные способы снижения репутации конкурента в отношении продавцов незаконных товаров вроде наркотиков и оружия?
                      Читать дальше →
                    • Биохакеры закодировали зловред в ДНК, чтобы атаковать софт для секвенирования генома

                        При секвенировании генома молекулы ДНК могут отбиваться. Молекулы способны нанести компьютеру ответный удар, заразив программу, которая пытается их прочитать. Такова идея исследователей из Университета Вашингтона, которые закодировали эксплоит в участке ДНК. Впервые в мире они доказали, что можно удалённо заразить компьютер через ДНК.

                        На фотографии слева — пробирка с сотнями миллиардов копий эксплоита, закодированного в синтетических молекулах ДНК, которые способны заразить компьютерную систему после секвенирования и обработки.

                        В последние пять лет стоимость секвенирования генома упала со $100 000 до менее $1000, что стимулировало научные исследования в сфере геномики и целую плеяду коммерческих сервисов, которые предлагают проанализировать ваше геном для разных целей: построение генетического дерева, поиск предков, анализ физических способностей, предрасположенности к разным видам спорта и физической активности, изучение совместимых микроорганизмов в кишечном тракте и многое другое. Авторы научной работы уверены, что при секвенировании генома недостаточное внимание уделяется безопасности: в этой области просто ещё не столкнулись с вредоносными программами, которые атакуют непосредственно через геном. Теперь такой вектор атаки нужно принимать в расчёт.
                        Читать дальше →
                      Самое читаемое