Рубрика «анб» - 9

в 17:14, , рубрики: 0day, Heartbleed, open source, анб, информационная безопасность, уязвимости

EFF подал в суд на АНБ за неразглашение 0day уязвимостейФонд электронных рубежей (EFF) подал иск против Агентства национальной безопасности США.

EFF требует, в соответствии с Законом о свободе информации, опубликовать документы с описанием правил, которыми руководствуется правительство в принятии решений о рассекречивании информации о компьютерных уязвимостей.

Вполне вероятно, что иск будет удовлетворён, поскольку в точности соответствует параграфу 552 Закона о свободе информации, в части «общественной важности» рассекречиваемой информации. В этом случае он станет первым шагом в подготовке процесса публичного обсуждения деятельности АНБ.

Агентство ранее уже косвенно дало понять, что при определённых условиях не разглашает информацию о 0day-уязвимостях, используя их для сбора разведданных в целях национальной безопасности.
Читать полностью »

в 7:44, , рубрики: linux, Linux Journal, Tails, Tor, XKeyscore, анб, информационная безопасность, экстремизм

Благодаря документам Сноудена в прошлом году стало известно о существовании программы XKeyscore, в рамках которой осуществляется мониторинг интернет-трафика по ключевым словам, поисковым запросам и т.д.

Вчера немецкий журналист Якоб Аппельбаум — один из тех, кому Эдвард Сноуден передал часть секретных документов АНБ — опубликовал файл xkeyscorerules100.txt, действующий в системе XKeyscore. Это несколько правил, по которым осуществляется мониторинг активности пользователей в интернете.

Программное обеспечение XKeyscore Deep Packet Inspection работает на 150 специальных серверах по всему миру, обычно установленных возле крупных телекоммуникационных узлов. Модульная архитектура XKeyscore предусматривает загрузку отдельных небольших «правил» (rules), написанных на собственных языках программирования Genesis и XKScript, а также на C++ и Python. Согласно этим правилам осуществляется извлечение полезной информации из записанного интернет-трафика.
Читать полностью »

в 19:04, , рубрики: Heartbleed, openssl, анб, банковские карты, безопасность, информационная безопасность, паранойя, платежный шлюз, уязвимости, шапочка из фольги, метки: , , , , , , , ,

imageМногие уже слышали про найденную в OpenSSL уязвимость. Можно с уверенностью сказать, что по освещенности в интернет-СМИ она займет почетное первое место. Про нее не только пишут, но и создают специальные сайты, проверяющие сервисы и даже рисуют комиксы. И не удивительно — масштаб поражения действительно впечатляет, по некоторым оценкам более 17% всех сайтов с поддержкой ssl уязвимы, учитывая простоту эксплуатации это событие можно сравнить с эпидемией. К сожалению, даже это для многих не является достаточным аргументом — спустя неделю многие сайты продолжают оставаться под угрозой. Это может быть не критично для простых сервисов, но не для финансовых. Особенно болезненно это может сказаться на платежных шлюзах, через которые осуществляются платежи. Об одном из таких я и расскажу.Читать полностью »

в 17:46, , рубрики: 2014, nsa, TED, анб, информационная безопасность, Исследования и прогнозы в IT, лекция, озвучка, перевод, сноуден, метки: , , , , , , ,

Совсем недавно в рамках конференции TED состоялось необычное мероприятие — лекцию читал человек, находившийся в другой стране.
При этом он спокойно перемещался по сцене, осматривал аудиторию и даже «пожимал» руку ведущему.
Каким образом? Объяснение (а также саму лекцию на русском языке) вы найдёте под катом.
Эдвард Сноуден на TED: Как нам вернуть Интернет (озвучка)
Читать полностью »

в 9:44, , рубрики: анб, Барак Обама, информационная безопасность, конфиденциальность, США, метки: , , ,

image

Президент США Барак Обама готовится представить законопроект, в котором будет «резко пересмотрена» программа Агентства национальной безопасности по записи телефонных разговоров всех граждан, пишет The Verge с ссылкой на The New York Times. Согласно законопроекту, все данные о разговорах будут оставаться в руках телефонных операторов, — от которых не будут требовать хранить эти данные дольше, чем нужно, — и АНБ не будет иметь к ним доступа, если только не предоставит доказательства, что конкретный звонок имел отношение к терроризму.
Читать полностью »

в 23:23, , рубрики: apple, ecdsa, open source, openssl, SSL, TLS, анб, баги, ГПСЧ, информационная безопасность, криптография, ошибки, метки: , , , , , , , , , ,

Компания Apple недавно допустила крупную ошибку, забыв удалить лишнюю строчку с оператором безусловного перехода goto посередине функции SSLVerifySignedServerKeyExchange для проверки серверной подписи при установке SSL-соединения. В результате, функция успешно завершала работу, независимо от результата проверки подписи.

Однако, это не первый случай в истории, когда критическая ошибка объясняется единственной строчкой кода. Вот ещё несколько таких примеров.

X Server

В 2006 году было обнаружено, что X Server проверяет рутовые права у пользователя, но при этом разработчики в реальности забыли вызвать соответствующую функцию.

--- hw/xfree86/common/xf86Init.c
+++ hw/xfree86/common/xf86Init.c
@@ -1677,7 +1677,7 @@
   }
   if (!strcmp(argv[i], "-configure"))
   {
-    if (getuid() != 0 && geteuid == 0) {
+    if (getuid() != 0 && geteuid() == 0) {
        ErrorF("The '-configure' option can only be used by root.n");
        exit(1);
     }

Читать полностью »

в 2:39, , рубрики: nsa, анб, информационная безопасность, Медиа, метки: ,

The Day We Fought Back

11 февраля 2013 года покончил жизнь самоубийством сооснователь Reddit Аарон Шварц. Он также являлся директором некоммерческой организации Demand Progress, которая требует от властей модернизации законодательства в соответствии с развитием информационных технологий. В память об этом человеке, спустя ровно год после его смерти была организована крупнейшая протестная акция «The Day We Fought Back» против массовой слежки АНБ.
Читать полностью »

в 21:30, , рубрики: анб, большой брат следит за тобой, бэкдоры, Вирусы (и антивирусы), Гаджеты. Устройства для гиков, информационная безопасность, шпионские штучки, шпионское ПО, Эдвард Сноуден, метки: , , , , ,

imageСреди документов опубликованных Эдвардом Сноуденом, бывшим сотрудником ЦРУ и Агентства национальной безопасности США, были обнаружены материалы описывающие некоторые детали технологий шпионажа используемых АНБ. Список программных и аппаратных средств оформлен в виде небольшого каталога. Всего сорок восемь страниц отмеченных грифами «Секретно» и «Совершенно секретно», на которых дано краткое описание той или иной технологии для слежки. Данный список не является исчерпывающим. Представлены техники связанные с получением скрытого доступа к вычислительной технике и сетям, а также способы и устройства радиоэлектронной разведки связанные с мобильной связью и оборудование для наблюдения. В этой статье я расскажу об этих методах шпионажа, далее будет четыре дюжины слайдов(осторожно, трафик).
Читать полностью »

в 3:55, , рубрики: wi-fi, анб, Беспроводные технологии, большой брат следит за тобой, информационная безопасность, сноуден, метки: , , ,

Канадские спецслужбы следят за путешественниками с помощью Wi Fi хотспотов в аэропортах и кафеТелекомпания CBC News опубликовала секретную презентацию канадских спецслужб (опять спасибо Эдварду Сноудену), которая свидетельствует о том, что в 2012 году Центр безопасности коммуникаций Канады (Communications Security Establishment Canada, CSEC) в тесном сотрудничестве с АНБ США испытывали систему слежения за электронными устройствами граждан с помощью Wi-Fi-точек доступа, размещенных в общественных местах Канады и США, таких как аэропорты, библиотеки, отели и кафе.

Судя по полученным документам, прилетевший человек проходя через терминал аэропорта попадал в зону Wi-Fi, если в этот момент на его устройствах была включена беспроводная связь, система регистрировала их, присваивая уникальный ID и начинала отслеживать метаданные и дальнейшие перемещения по городу.
Читать полностью »

в 8:32, , рубрики: android, sms, twitter, анб, информационная безопасность, перехват данных, слежка за пользователями, сноуден, фатальный недостаток, метки: , , , , , , ,

При попытке обновить официальное приложение Twitter для Android я столкнулся с неприятным ростом его желаний:

[фрагмент скриншота]

Стремление к возможности читать и удалять мои SMS без моего ведома — это ужé достаточный повод не ставить такое обновление на мобильник. Но у него, по крайней мере, есть какие-то прецеденты (позавчера на Хабрахабре можно было прочесть, что на право читать SMS и перехватывать их покушáются Facebook, Viber, Hangouts, Telegram…), есть и какое-то объяснение для людей ленивых и недалёких: «мы просто хотим отправить Вам на SMS код активации и избавить Вас от необходимости вручную копировать или набирать его».

Но требовать право доступа к статусу телефона — это же вообще запредельная какая-то наглость. Это же возможность знать, когда мне звонят (или когда я звоню другим), и кто именно звонит мне (и кому я звоню). И куда сложнее обосновать это право, да ещё так обосновать, чтобы обыватель уверовал.

Что же это значит? — надеются, что «пипл схавает» и без объяснения?

Создаётся мрачное впечатление, что сделанные Сноуденом разоблачения возымели отчасти обратный эффект: корпорации решили, что людишки всецело и окончательно смирилися с тем, что каждый шаг каждого гражданина может под микроскопом рассматривать штатовский гэбэшник — а значит, теперь не только государство, но и другая сила (например, корпорация) может людишек невозбранно примучить, требуя полной открытости и наготы как обязательного условия для доступа ко блогосфере, чатам, микроблогам и так далее. И монетизировать эту открытость, сливая данные невесть кому.

Создаётся мрачное впечатление, что само наличие возможности для приложения запрашивать такие права, как доступ к SMS или к номерам собеседников — это ужé фатальный недостаток системы Android: ведь если приложение может такие права просить, а пользователь не может отказать в этой просьбе, не отказавшись заодно и от обновления, то тогда права будут просить непременно, просить жадно и настырно.

Читать полностью »

1...8910...14
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js