Рубрика «бэкдор» - 3

Разработчики шифрования iPhone могут уволиться из Apple, если им прикажут сотрудничать с ФБР - 1
Штаб-квартира Apple в Купертино, Калифорния

Если ФБР выиграет судебный процесс и заставит Apple снять защиту iPhone, то агентство может столкнуться с ещё одним препятствием: это разработчики.

Сотрудники Apple уже сейчас обсуждают, что делать, если поступит приказ помочь правоохранительным органам. Одни заявляют, что откажутся выполнить такой приказ, а другие говорят, что скорее уволятся с высокооплачиваемой работы, чем разрушат безопасность программного обеспечения, которое сами создали.
Читать полностью »

Универсальный инструмент для установки бэкдоров: Что не так с системными обновлениями - 1

В нашем блоге на Хабре мы не только рассказываем о развитии своего продукта — биллинга для операторов связи «Гидра», но и публикуем материалы о работе с инфраструктурой и использовании технологий.

Немецкий журналист и хакер Ляйф Риге (Leif Ryge) написал для издания Ars Technica интересный материал о том, что современный подход к организации обновлений программного обеспечениях несет в себе серьезные риски информационной безопасности. Мы представляем вашему вниманию главные мысли этой заметки.Читать полностью »

image

Дэвид Джолли — конгрессмен из Флориды, представил новый законопроект, который запрещает федеральным агентствам закупать продукты компании Apple. Это связано с тем, что компания не идет на сотрудничество по вопросам разблокировки iPhone 5С, связанного с терактом, произошедшим 2 декабря 2015 года в Сан-Бернардино (Калифорния), сообщает arstechnica.com.
Читать полностью »

Суд Нью-Йорка: власти не могут требовать от Apple принудительной разлочки смартфона - 1Федеральный суд Нью-Йорка вчера вынес вердикт, что правоохранительные органы не имеют права требовать от Apple помощи в принудительной разлочке смартфона, конфискованного у наркоторговца в Нью-Йорке. Этот судебный процесс шёл параллельно с процессом Apple против ФБР в Сан-Бернандино (Калифорния), который имеет все шансы дойти до Верховного суда.

Помощь третьей стороны в расследовании уголовного дела предусмотрена законом All Writs Act от 1789 года (текущая редакция от 1911 г). В октябре 2015 года компания Apple оспорила выданный судебный ордер, и федеральный суд восточного округа Нью-Йорка затребовал у конфликтующих сторон дополнительные материалы по делу, чтобы решить — действительно ли закон All Writs Act даёт право правительству требовать разлочки смартфона производителем. Вердикт таков: правительство не имеет такого права.
Читать полностью »

image
Читать полностью »

Исполнительный директор Google Сундар Пичаи и глава WhatsApp Ян Кум высказались в поддержку открытого письма Тима Кука, которое тот опубликовал в ответ на решение судьи обязать Apple снять ограничение на 10 попыток ввода пароля iPhone. Смартфон, о котором идет речь, принадлежал одному из террористов, устроивших массовое убийство в Сан-Бернардино. Террористы были убиты в ходе перестрелки с полицией. Теперь ФБР хочет получить доступ к смартфону одного из террористов, подозревая его в связях с ИГИЛ.

Сундар Пичаи написал у себя в Твиттере: «Мы создаём безопасные продукты, которые надежно хранят вашу информацию. Да, мы можем раскрывать данные по официальному запросу правоохранительных органов, но это совсем не то же самое, что требовать от компаний облегчать взлом пользовательских устройств и данных. Это может быть очень опасным прецедентом». Ян Кум в своем посте на Фейсбуке сказал, что всегда восхищался отношением Тима Кука к приватности и стремлением Apple защитить данные пользователей, и что полностью согласен со всем, что Кук написал в своём письме.
Читать полностью »

Security Week 04: дыра в WiFi софте Lenovo, конф-колл-бэкдор, Amazon раздает HTTPS бесплатно - 1Прошедшая неделя ничем особенным не отметилась: новостей было много, но почти все, кроме очередной уязвимости в софте Lenovo, запросто можно было определить в категорию «Что еще произошло». И ведь происшествия были важные: в OpenSSL закрыты новые уязвимости (но не такие ужасные, как Heartbleed); В iOS и Mac OS X закрыты критические дыры; в PayPal через программу bug bounty нашли и закрыли найденный в прошлом году серьезный баг в Apache Commons Collections. Да такой, что теоретически позволял обойти защиту и получить прямой доступ к серверам!

Все интересно, но как-то без огонька. Впрочем, это не первая моя попытка в рамках дайджеста поныть о том, что мол, ландшафт угроз уже не тот. Ведь за последние полгода, за редкими исключениями, каждую неделю происходили взломы, обнаруживались уязвимости очень и очень серьезные. Но вообще-то дайджест новостей в достаточно узкой сфере инфобезопасности и должен быть похож на скучную производственную многотиражку! Где ведется работа, выполняются планы, закрываются дыры, обновляется софт, появляются новые технологии защиты. Гораздо чаще описание происшествий в IT Security смахивает на вестник апокалипсиса — весело, зрелищно, но совсем не круто. А на этой неделе, да, все было достаточно позитивно. Эпичных провалов не было, зато случилась пара анекдотичных историй. Все выпуски — тут.
Читать полностью »

Security Week 02: уязвимые вебкамеры, продолжение истории с Juniper, Zero-Day в Silverlight и как его нашли - 1На этой неделе одной из самых обсуждаемых новостей стало окончание поддержки Microsoft Internet Explorer 8, 9 и 10. Данные версии браузеров перестанут получать обновления даже в случае обнаружения серьезных уязвимостей. Новость достаточно очевидная, чтобы не тратить на нее много места в дайджесте, но она наводит меня на еще одну мысль. Тем, кто пользуется IE 8, уже давно пора обновиться, и возможно прекращение поддержки их наконец-то подтолкнет к этому шагу. Обновиться достаточно просто, хотя кому-то придется для этого купить новый компьютер, но и это — не большая проблема.

Проблемы начнутся, когда «компьютеров» с аналогичным подходом к разработке и развитию, когда типичный софт и железо устаревают максимум за 2-3 года, будет несколько десятков в каждой отдельно взятой квартире — от счетчика электроэнергии до чайника и электроплиты. Заметный упор в сторону «умных» бытовых приборов на CES (пока в основном довольно странных и безумно дорогих холодильников и стиральных машин) показывает, что это произойдет довольно скоро. В нынешнем виде такие устройства могут работать десятилетиями. А в будущем? Представьте себе экосистему Android, распространенную на утюги и кофемолки. Получатся небезопасные устройства, которые надо обновлять, небезопасные устройства, которые не поддерживаются производителем, небезопасные устройства, о которых даже сам производитель не знает, что они небезопасные.

Какая-то не очень радужная перспектива, но пока я не вижу других вариантов развития. Производителям «умных вещей», увы, придется набить те же шишки на лбу, которые для производителей «больших» операционных систем давно пройденный этап. Все выпуски дайджеста — тут.
Читать полностью »

Security Week 01: Вымогатель на Javascript, $100k за баг в Adobe Flash, зашифрованное светлое будущее - 1Важным событием конца декабря стала конференция Chaos Communication Congress. Материалы с нее можно найти по ключевому слову 32c3, где 32 — порядковый номер мероприятия, начиная с 1984 года. Интересных исследований на мероприятии в Гамбурге было немало. Например, эксперты Феликс Домке и Даниель Ланге подробно рассказали о технической стороне «дизельгейта», включая особенности работы современных управляющих систем автомобилей. А здесь можно посмотреть монументальную 110-страничную презентацию об уязвимости железнодорожных систем, и прийти к выводу, что IT в поездах применяется широко, много, везде по-разному, и часто с применением стандартного ПО (Windows XP) или типовых протоколов беспроводной связи (GSM), недостатки которых с точки зрения безопасности широко известны и активно эксплуатируются (к счастью, пока в других местах).

А вот новость (презентация и ссылка на исследовательскую работу внутри) о том, что уникальные особенности стиля программирования просачиваются даже в скомпилированный код. Хотя данная тема и является достаточно узкоспециализированной, я вижу в ней нечто большее: возможно в ближайшем будущем картинка справа окончательно потеряет актуальность. Не потому, что все за всеми будут следить, а благодаря поведенческому анализу — пользователя можно будет идентифицировать по тому, как он взамодействует с сайтом, приложением или чем-то еще так же, как программиста — по тому, как тот пишет код. Вот кстати Apple буквально вчера приобрела стартап, специализирующийся на анализе человеческих эмоций. В общем, 2016-й год начинается интересно. А мы продолжаем наблюдение. Предыдущие серии доступны здесь.
Читать полностью »

Компания BlackBerry вместе с соответствующими сервисами полностью прекращает работу в Пакистане, поскольку управляющее ведомство Pakistan Telecommunication Authority (PTA) в июле этого года опубликовало директиву для всех мобильных операторов страны, согласно которой они обязаны прекратить доступ своих пользователей к BlackBerry Enterprise Services по причине «информационной безопасности». Причиной этого, как рассказывает в официальном блоге главный операционный директор Марти Бёрд (Marty Beard), стал конфликт с властями страны: от BlackBerry потребовали возможности читать пользовательскую переписку, но компания отказала в этом.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js