Рубрика «паранойя»

Nitter — это свободный фронтенд для Twitter, ориентированный на сохранение конфиденциальности пользоватей. Написан на языке Nim, и находится в стадии активной разработки (ни одного релиза пока не было). Аналогом для YouTube является Invidious, который и вдохновил автора на создание проекта.

Nitter, альтернативный фронтенд для Twitter - 1

Читать полностью »

Security Week 33: по ком осциллирует монитор? - 1В книге Нила Стивенсона «Криптономикон», про которую у нас в блоге был пост, описываются разные виды утечек информации по сторонним каналам. Есть практические, вроде перехвата ван Эйка, и чисто теоретические, для красного словца: отслеживание перемещений человека по пляжу на другой стороне океана, построение карты города по тому, как его жители преодолевают бордюрный камень на перекрестках (вот это сейчас можно реализовать акселерометрами, только бордюры везде спилили и переименовали в поребрики). Перехват Ван Эйка, впрочем, тоже сложная штука — реконструировать картинку на экране по электромагнитному излучению монитора непросто, особенно если не упрощать атакующему жизнь и не печатать в ворде огромные буквы.

21 августа ученые из университетов США и Израиля опубликовали работу, которая реализует похожую идею: как реконструировать картинку, отслеживая излучение монитора. Только в качестве побочного канала утечки данных они использовали довольно простой в обращении звук. С вами такое наверняка тоже случалось: стоит неаккуратно положить провода или же попадется неудачная комбинация из монитора и колонок — и вы начинаете слышать противный писк, который еще и меняется в зависимости от направления прокрутки текста мышью. Работа посвящена анализу такого звукового излучения. Ученым удалось «увидеть» на атакуемой системе крупный текст, идентифицировать посещаемый сайт и даже подсмотреть пароль, набираемый на экранной клавиатуре.

Учитывая другие открытия в сфере атак по боковым каналам, возможно, мы уверенно движемся к тому моменту, когда это направление исследований перевернет не только qdɐɓнǝvɐʞ, но и все наши представления о цифровой приватности.
Читать полностью »

TL; DR

Использование npm — пакетного менеджера NodeJS — сопряжено с проблемами безопасности. Штатными средствами невозможно контролировать права доступа, предоставляемые библиотекам. Вкупе с обилием микромодулей это может привести к непредсказуемым последствиям, часть из уже случившегося описана здесь, и в лучших традициях экосистемы npm я на неё сошлюсь.

Paraquire, или Перестаньте доверять библиотекам - 1

Под катом описывается proof-of-concept библиотеки, реализующей механизм загрузки npm-модулей с возможностью установить права подобно тому, как на Android можно выдавать приложению конкретные разрешения.

Вместо

var lib = require('untrusted-lib');

предлагается писать где-нибудь

var paraquire = require('paraquire')(module);

и затем

var lib = paraquire('untrusted-lib');

или же

var lib = paraquire('untrusted-lib', {builtin:{https:true}});

Исходный код доступен на гитхабе под LGPLv3.

Кроме того я, не будучи достаточно опытным NodeJS-разработчиком, прошу у сообщества советов и обсуждения.
Читать полностью »

Идеальная домашняя сеть или «сам себе злобный перфекционист» - 1

Мудрость Бертрама Гилфойла

«Соник Уолл Соник Пойнт Эй-Си-И» вместе с «Ти-Зи 600» — самый передовой фаерволл, встроенная защита от атак, дешифратор SSL, анализатор управления приложениями и фильтрация контента.

Динеш, единственная польза от твоих жалких и вульгарных телодвижений в постели с кибертеррористкой, это то, что я наконец-то занялся нашей защитой.

Как говорит технический директор Qrator Labs Артём ximaera Гавриченков, DDoS-mitigation начинается там, где заканчиваются силы и время одного хорошего системного администратора.

В день системного администратора, который в Qrator Labs считают профессиональным праздником даже больше, чем день программиста, мы задумались — о чём таком можно было б рассказать на Хабре, с чем точно сталкивался каждый?..

Решение было найдено быстро, ведь есть такое место, где каждый человек может побыть системным администратором в любой удобный, а порой и неудачно-вынужденный, момент времени — дома.
Читать полностью »

Знания об инопланетянах могут оказаться такими же опасными, как сами инопланетяне

image

Представьте, что вы всю жизнь прожили в небольшой деревне, находящейся в дебрях континентальной глуши. Это сообщество столетиями было изолировано от мира. Однажды вы отправляетесь изучать окружающий мир, обходя границы изведанной территории. Внезапно и неожиданно вы натыкаетесь на столб с вывеской. Шрифт на нём кажется вам незнакомым, чужим, но текст вполне ясен. На нём написано: «Мы здесь».

Что дальше?

Счастье и праздник по поводу конца изоляции? Простое пожатие плечами? Но человеческая природа предполагает, что с наибольшей вероятностью эта встреча вызовет цепь событий, приводящую к катастрофе.
Читать полностью »

«C той лишь разницей, что мы сами платим за следящие устройства, которые лежат у нас в карманах»

Эдвард Сноуден: правительства хотят опустить наше чувство собственного достоинства до уровня чипованных животных - 1

Эдвард Сноуден написал вступительное слово для новой книги The Assasination Complex от Гленна Гринвальда и активистов проекта The Intercept. Книга на основе секретных документов рассказывает о беспилотных летательных аппаратах ЦРУ, которые рутинно уничтожают сотни террористов и мирных граждан в разных странах мира в дистанционном режиме. Документы о дронах предоставил неизвестный осведомитель.

Эдвард Сноуден объясняет, почему слив секретной информации о правонарушениях является жизненно важным актом сопротивления и защиты демократии. Статья опубликована в газете The Guardian.
Читать полностью »

Как внедряется система безопасной печати на ближайшее к пользователю устройство (follow-me printing) - 1
Предположим, вы банк, нефтяная компания или просто параноик. Вам хочется, чтобы:

  • Уборщицы, враги и рептилоиды не забирали документы из принтеров.
  • Память принтера надёжно очищалась после печати.
  • Нецелевая печать отсутствовала.
  • Большие задания автоматически перенаправлялись на устройства с дешёвым отпечатком.
  • При отправке на печать задания 50 раз (как часто делает паникующий пользователь) выползало только одно.
  • Чтобы тексты фильтровались по стоп-словам, а картинки — распознавались и тоже не печатались, если содержат конфиденциальные данные (есть не у всех решений).
  • В редких случаях — ну и ещё чтобы в документах на лету слово «направо» заменялось на «налево» для введения потенциального противника в заблуждение.

Это дорого, но уже давно используется в финансовых учреждениях. Там печать выглядит так: вы отправляете задание на принт-сервер, он обрабатывает файл (если надо — посылает безопаснику на ручное согласование, но такая фича также есть не у всех решений), а потом отдаёт на определённый принтер только тогда, когда вы введёте пин и покажете свой отпечаток пальца непосредственно на устройстве, чтобы документ выпал вам лично в руки. Или не приложите свою смарт-карту вроде личного пропуска в здание.

Расскажу детальнее.Читать полностью »

image Два разработчика Google, Рейли Грант и Кен Рокот, представили международному консорциуму WWW (World Wide Web) черновик проекта WebUSB — протокола для работы USB-устройств в интернете, в котором описывается взаимодействие USB-совместимых устройств и веб-страниц.

Проект WebUSB был опубликован еще 21 марта и описывает API, с помощью которого будет обеспечиваться безопасное соединение USB-устройств и веб-служб. Данный протокол не будет затрагивать работу USB-накопителей, но по задумке авторов регламентирует взаимодействие с сетью всей прочей USB-периферии, такой как мыши, клавиатуры, камеры etc.
Читать полностью »

— А прикинь — сказал наш админ весело — если во вторник в московский полдень вся винда по стране одновременно выполнит команду «UNINSTALL»? Типа «ваш регион больше не поддерживается, доллар неустойки за серийник и подпись на еуле получите лично в нашем оофисе в Риге»… Ну закладка была не в свежем апдейте, а ещё в новогоднем — его не столь сурово тестили.
Я прикинул — число бухгалтерий, банков и касс — и понял, что отмена товарно-денежных в одной отдельно взятой может случиться «са-а-авсэм нэ так», как мечтали классики…
— Не-е-е, уже успели — линуксы развернуть. Хоть ~как-то ~где-то. Это отрефлексированная угроза.
Лучше вот смотри: силовой контактор солидной фирмы. В любом большом щите таких — рядами. Для электрика это атомарная вещь — простая и надёжная.
Устроен, думаете, элементарно? – от малой кнопки катушка соленоида тянет якорь — замыкает контакты с большими токами и напряжениями:
Вы не того параноите! (пред-пятничный пост) - 1
Читать полностью »

Известно, что при подключении к открытым Wi-Fi сетям ваш трафик может быть легко прослушан. Конечно, сейчас всё больше и больше сайтов используют HTTPS. Тем не менее, это ещё далеко не 100%. Возникает естественное желание обезопасить свой трафик при подключении к таким открытым Wi-Fi сетям.

Популярное решение этой проблемы — подключение через VPN. В таком случае ваш трафик передается в зашифрованном виде до VPN-сервера, и уже оттуда идет в интернет.

У такого решения есть небольшой недостаток: пока VPN-подключение ещё не установлено, все приложения на вашем компьютере (включая открытые вкладки браузера) получают доступ в интернет в обход VPN-подключения.

В этой статье я расскажу, как можно этого избежать.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js