У драмы с ФБР и айфоном техасского стрелка внезапно появилось продолжение. Хотя, впрочем, вполне ожидаемо. Американское министерство юстиции заявило, что шифрование данных - это плохо, и оно стоит людям жизней, а правоохранительные органы должны иметь возможность получить доступ к данным на телефоне преступника. Как бы опять не началось все то же самое, как было с ФБР полтора года назад, где ФБР требовала от Apple написать кастомную iOS для телефона стрелка из Сан Бернардино. Тогда, к счастью, обошлось. Сейчас времена немного другие, неизвестно, как оно повернётся ещё. http://www.washingtonexaminer.com/rod-rosenstein-criticizes-tech-companies-for-phone-encryption/article/2640147
Washington Examiner
Rod Rosenstein criticizes tech companies for phone encryption
Deputy Attorney General Rod Rosenstein lamented the inability for federal investigators to get into the cellphones of crime suspects and the failure of technology companies to assist in the effort.
когда ваша персональная информация опасносте — как суды могут опубликовать ваши персональные данные без вашего разрешения: https://t.me/PlushevChannel/1423
Telegram
PLUSHEV
Новости старика Фрэнкленда
Обещал рассказать что там за курьез с опубликованием моих персональных данных вышел. Когда парни из Агоры позвонили в суд и попросили мой адрес убрать, там поначалу удивились, и сказали, что ничего не нарушено, у них всегда…
Обещал рассказать что там за курьез с опубликованием моих персональных данных вышел. Когда парни из Агоры позвонили в суд и попросили мой адрес убрать, там поначалу удивились, и сказали, что ничего не нарушено, у них всегда…
Продолжая тему шифрования устройств и бэкдоров. вот тут издание, пересказывая Арстехнику, пишет:
Первый заместитель генпрокурора США Род Розенштейн считает, что шифрование, к которому власти не будут иметь специального ключа, вредит национальной безопасности. Американские правоохранители, кажется, начинают терять терпение в общении с ИТ-компаниями, пишет ArsTechnica.
Род Розенштейн, первый заместитель генпрокурора США, в недавнем интервью Politico Pro подробно изложил позицию министерства юстиции относительно шифрования. По его мнению, оно не должно стать инструментом в руках преступников для ухода от правосудия.
https://hightech.fm/2017/11/13/strong-encryption
У меня, честно говоря, от таких заявлений руки опускаются. Потому что нихрена они там не понимают рисков, связанных с наличием "специального ключа" и не учатся на своих же ошибках. Они думают, что если у них будет такой "специальный ключ", то он будет только у них, и никуда он не утечет. Как вообще об этом можно говорить, когда чуть ли не каждую неделю Wikileaks выкладывает очередной архив то инструментов NSA, то инструментов ЦРУ, которые используют эти организации для ведения киберборьбы с другими странами и злоумышленниками? Вон буквально на прошлой неделе WL опубликовали исходники и документацию по Hive в рамках релиза Vault 8, из которого в том числе выяснилось, что инструменты подписывались фальшивыми сертификатами, прикидываясь программами Лаборатории Касперского. Поэтому я уверен, что если начнется очередной виток напряженности между министерством юстиции и компанией вроде Apple, то повторится та же история, что полтора года назад.
Тогда, напомню, ФБР хотела, чтобы Apple написала специальную версию iOS для iPhone террориста, которая бы облегчила ФБР процесс подбора пароля для устройства. В итоге все закончилось тем, что израильская компания Cellebrite, специализирующаяся на взломе мобильных устройств, обнаружила уязвимость в iOS (какую — мы до сих пор не знаем, но якобы к новым устройствам и новым версиям iOS она не может быть применена), и смогла получить доступ к данным на устройстве, поэтому ФБР отстала от Apple. Более того, на устройстве еще и никакой полезной информации не было обнаружено, а шуму-то было. я тогда написал пост о том, какие последствия может вызвать для всех нас наличие такого "специального ключа" (а по сути — бэкдора, надо называть вещи своими именами), и с тех пор ничего не поменялось.
https://alexmak.net/blog/2016/02/19/implications/
Первый заместитель генпрокурора США Род Розенштейн считает, что шифрование, к которому власти не будут иметь специального ключа, вредит национальной безопасности. Американские правоохранители, кажется, начинают терять терпение в общении с ИТ-компаниями, пишет ArsTechnica.
Род Розенштейн, первый заместитель генпрокурора США, в недавнем интервью Politico Pro подробно изложил позицию министерства юстиции относительно шифрования. По его мнению, оно не должно стать инструментом в руках преступников для ухода от правосудия.
https://hightech.fm/2017/11/13/strong-encryption
У меня, честно говоря, от таких заявлений руки опускаются. Потому что нихрена они там не понимают рисков, связанных с наличием "специального ключа" и не учатся на своих же ошибках. Они думают, что если у них будет такой "специальный ключ", то он будет только у них, и никуда он не утечет. Как вообще об этом можно говорить, когда чуть ли не каждую неделю Wikileaks выкладывает очередной архив то инструментов NSA, то инструментов ЦРУ, которые используют эти организации для ведения киберборьбы с другими странами и злоумышленниками? Вон буквально на прошлой неделе WL опубликовали исходники и документацию по Hive в рамках релиза Vault 8, из которого в том числе выяснилось, что инструменты подписывались фальшивыми сертификатами, прикидываясь программами Лаборатории Касперского. Поэтому я уверен, что если начнется очередной виток напряженности между министерством юстиции и компанией вроде Apple, то повторится та же история, что полтора года назад.
Тогда, напомню, ФБР хотела, чтобы Apple написала специальную версию iOS для iPhone террориста, которая бы облегчила ФБР процесс подбора пароля для устройства. В итоге все закончилось тем, что израильская компания Cellebrite, специализирующаяся на взломе мобильных устройств, обнаружила уязвимость в iOS (какую — мы до сих пор не знаем, но якобы к новым устройствам и новым версиям iOS она не может быть применена), и смогла получить доступ к данным на устройстве, поэтому ФБР отстала от Apple. Более того, на устройстве еще и никакой полезной информации не было обнаружено, а шуму-то было. я тогда написал пост о том, какие последствия может вызвать для всех нас наличие такого "специального ключа" (а по сути — бэкдора, надо называть вещи своими именами), и с тех пор ничего не поменялось.
https://alexmak.net/blog/2016/02/19/implications/
Хайтек
Минюст США: «Шифрование, к которому у нас нет доступа, бесполезно»
Первый заместитель генпрокурора США Род Розенштейн считает, что шифрование, к которому власти не будут иметь специального ключа, вредит национальной безопасности. Американские правоохранители, кажется, начинают терять терпение в общении с ИТ-компаниями, пишет…
Тут у New York Times как раз вышла большая статья о последствиях для NSA от утечек, которые публикуют Shadow Brokers. Если вкратце - ничего хорошего https://www.nytimes.com/2017/11/12/us/nsa-shadow-brokers.html
NY Times
Security Breach and Spilled Secrets Have Shaken the N.S.A. to Its Core (Published 2017)
A serial leak of the agency’s cyberweapons has damaged morale, slowed intelligence operations and resulted in hacking attacks on businesses and civilians worldwide.
Некие вьетнамцы из компании Bkav утверждают, что им удалось обмануть Face ID с помощью маски, которую они собрали из каких-то подручных материалов и участков, напечатанных на 3Д принтере. Вот страница, где они рассказывают о своём достижении, там же есть видео с демонстрацией
http://www.bkav.com/d/top-news/-/view_content/content/103968/face-id-beaten-by-mask-not-an-effective-security-measure
Прежде чем паниковать и утверждать, что «эпол опять всех нажучила с рассказами про безопасность Face ID”, стоит сделать глубокий вдох и выдох. Во-первых, там есть какой-то скользкий момент на видео, когда маска разблокирует айфон, не видно анимации замочка, показывающего разблокировку от Face ID. Во-вторых, непонятен процесс производства такой маски - как нужно, например, сканировать лицо, чтобы такую маску воспроизвести. Вряд ли её можно сделать по фотографии. В-третьих, стоит дождаться независимой экспертизы от экспертов по безопасности, которые проанализируют детально процесс производства маски и взлома, чтобы оценить, нет ли там какого-то обмана. В-четвёртых, когда впервые появился Touch ID, тоже были демонстрации концептов по обману сканера отпечатка пальца, но это не остановило пользователей и не привело к массовым взломам сканеров отпечатков. И в-пятых, Face ID использует в том числе и машинное обучение, что означает, что в будущем механизм распознавания будет становиться лучше, поэтому даже если сейчас вьетнамцы нашли какую-то хитрость для обмана датчика, то в будущем эту хитрость вполне можно будет и элиминировать. Ну и главное - идеальных систем защиты не существует, да и Apple не обещала 100% защиты. У всех систем есть своя цена взлома, и если кто-то заморочится над печатью вашего лица в 3Д, предварительно его просканировав, да ещё и заполучив физический доступ к вашему устройству, то у вас наверняка гораздо большие проблемы, чем уязвимость у Face ID. Так что берегите там себя!
http://www.bkav.com/d/top-news/-/view_content/content/103968/face-id-beaten-by-mask-not-an-effective-security-measure
Прежде чем паниковать и утверждать, что «эпол опять всех нажучила с рассказами про безопасность Face ID”, стоит сделать глубокий вдох и выдох. Во-первых, там есть какой-то скользкий момент на видео, когда маска разблокирует айфон, не видно анимации замочка, показывающего разблокировку от Face ID. Во-вторых, непонятен процесс производства такой маски - как нужно, например, сканировать лицо, чтобы такую маску воспроизвести. Вряд ли её можно сделать по фотографии. В-третьих, стоит дождаться независимой экспертизы от экспертов по безопасности, которые проанализируют детально процесс производства маски и взлома, чтобы оценить, нет ли там какого-то обмана. В-четвёртых, когда впервые появился Touch ID, тоже были демонстрации концептов по обману сканера отпечатка пальца, но это не остановило пользователей и не привело к массовым взломам сканеров отпечатков. И в-пятых, Face ID использует в том числе и машинное обучение, что означает, что в будущем механизм распознавания будет становиться лучше, поэтому даже если сейчас вьетнамцы нашли какую-то хитрость для обмана датчика, то в будущем эту хитрость вполне можно будет и элиминировать. Ну и главное - идеальных систем защиты не существует, да и Apple не обещала 100% защиты. У всех систем есть своя цена взлома, и если кто-то заморочится над печатью вашего лица в 3Д, предварительно его просканировав, да ещё и заполучив физический доступ к вашему устройству, то у вас наверняка гораздо большие проблемы, чем уязвимость у Face ID. Так что берегите там себя!
Мне тут ещё подсказывают, что «там могло быть все проще, они обучили просто faceid этой маске вместе с лицом человека». Помните, что в интернете нельзя никому верить!
Организация Which?, занимающаяся правами потребителей в Великобритании, представила отчет, в котором назвала «умные игрушки» опасными для детей. По данным Which?, игрушки с Bluetooth, Wi-Fi и мобильными приложениями плохо защищены от сторонних вмешательств. В организации уверены, что к такой игрушке может подключиться кто угодно. Если в девайс встроен микрофон и динамик, то преступники (например, педофилы или воры) могут войти в контакт с ребенком и использовать несовершеннолетнего в своих интересах.
https://www.which.co.uk/news/2017/11/safety-alert-see-how-easy-it-is-for-almost-anyone-to-hack-your-childs-connected-toys/
Среди игрушек, которые Which? считает небезопасными, есть знаменитые куклы Furby Connect, роботы i-Que и животные Cloudpets.
По словам Алекса Нилла, занимающегося в Which? домашними продуктами и сервисами, игрушки с беспроводной связью становятся все более популярными. Родители детей должны подумать перед покупкой, смогут ли они обеспечить безопасность своего ребенка, если производитель с этой задачей не справился.
Представитель компании Hasbro (производитель Furby Connect) сказал, что специалисты Which? могли проводить свое исследование «в очень специфичных условиях», требующих серьезной инженерной и технической подготовки, которая, чаще всего, отсутствует у предполагаемых мошенников.
От себя хочу добавить, что в Хасбро какие-то упоротые чуваки сидят, если они на самом деле считают, что такие взломы требуют особой подготовки. Вся информация о подобных уязвимостях и взломах тут же становится доступной в сети и зачастую в виде готовых инструментов. Подобные уходы в отказ только еще больше вредят и производителям, и пользователям.
https://www.which.co.uk/news/2017/11/safety-alert-see-how-easy-it-is-for-almost-anyone-to-hack-your-childs-connected-toys/
Среди игрушек, которые Which? считает небезопасными, есть знаменитые куклы Furby Connect, роботы i-Que и животные Cloudpets.
По словам Алекса Нилла, занимающегося в Which? домашними продуктами и сервисами, игрушки с беспроводной связью становятся все более популярными. Родители детей должны подумать перед покупкой, смогут ли они обеспечить безопасность своего ребенка, если производитель с этой задачей не справился.
Представитель компании Hasbro (производитель Furby Connect) сказал, что специалисты Which? могли проводить свое исследование «в очень специфичных условиях», требующих серьезной инженерной и технической подготовки, которая, чаще всего, отсутствует у предполагаемых мошенников.
От себя хочу добавить, что в Хасбро какие-то упоротые чуваки сидят, если они на самом деле считают, что такие взломы требуют особой подготовки. Вся информация о подобных уязвимостях и взломах тут же становится доступной в сети и зачастую в виде готовых инструментов. Подобные уходы в отказ только еще больше вредят и производителям, и пользователям.
Which? News
Safety alert: see how easy it is for almost anyone to hack your child’s connected toys – Which? News
Connected toys with Bluetooth, wi-fi and mobile apps may seem like the perfect gift for your child this Christmas. But we’ve found that, without appropriate safety features, they can also pose a big…
Вот где страшно - эксперты из министерства национальной безопасности удаленно взломали и проникли в системы Боинга 757, стоящего в аэропорту. Детали взлома и доступ к каким именно системам был получен, разумеется, не разглашаются, но звучит это всё довольно таки стремно. http://www.aviationtoday.com/2017/11/08/boeing-757-testing-shows-airplanes-vulnerable-hacking-dhs-says/
Avionics International
Boeing 757 Testing Shows Airplanes Vulnerable to Hacking, DHS Says - Avionics International
A team of government, industry and academic officials successfully demonstrated that a commercial aircraft could be remotely hacked in a non-laboratory setting last year, a U.S. Department of Homeland Security […]
Как говорят американцы, oldie but goodie, то есть старая история, но сильно хорошая. Вчера случайно наткнулся на рассказ о том, как ещё во времена СССР доблестные шпионы смогли внедрить снималку электромагнитных импульсов в новые печатные машинки IBM. С помощью этих снималок они могли получать информацию о положении шарика машинки (там крутая технология была придумана для печати), и расшифровывать набираемые тексты. Вот такая информация опасносте ещё в эпоху до массовой оцифровизации всего
https://arstechnica.com/information-technology/2015/10/how-soviets-used-ibm-selectric-keyloggers-to-spy-on-us-diplomats/
https://arstechnica.com/information-technology/2015/10/how-soviets-used-ibm-selectric-keyloggers-to-spy-on-us-diplomats/
Ars Technica
How Soviets used IBM Selectric keyloggers to spy on US diplomats
Highly sophisticated bugs went undetected for 8 years during the Cold War.
Лаборатория Касперского выложила отчёт о своём расследовании истории из 2014 года, когда с компьютера подрядчика Агентства Национальной Безопасности были украдены (очевидно, русскими хакерами) секретные инструменты и документация Агентства. Есть хорошие новости и плохие. Во-первых, подрядчик сам идиот, и на его компьютере было обнаружено более 120 всяких зараженных файлов, а также бэкдор, через который, видимо, и влезли злоумышленники. Во-вторых, то, что информация с компьютера подрядчика попала на сервера ЛК - это ожидаемое поведение антивируса компании, которая таким образом анализирует обнаруженные угрозы. И в третих, это поведение описано в пользовательском соглашении. Однако, плохая новость тоже в этом заключается: используя продукты ЛК, будьте готовы к тому, что ваши файлы будут скачаны с компьютера на сервера компании, и если вас это не устраивает - не пользуйтесь продукцией ЛК.
Полностью отчёт можно прочитать тут https://securelist.com/investigation-report-for-the-september-2014-equation-malware-detection-incident-in-the-us/83210/
Полностью отчёт можно прочитать тут https://securelist.com/investigation-report-for-the-september-2014-equation-malware-detection-incident-in-the-us/83210/
Securelist
Investigation Report for the September 2014 Equation malware detection incident in the US
In early October, a story was published by the Wall Street Journal alleging Kaspersky Lab software was used to siphon classified data from an NSA employee’s home computer system. To assist any independent investigators and all the people who have been asking…
Меня тут ревностно поправляют доблестные сотрудники Лаборатории Касперского, что «не пользуйтесь» продуктами - это слишком радикальное предложение, тем более, что и конкуренты тоже подобными вещами занимаются. Достаточно в настройках отключить опцию отправки подозрительных файлов в облако. Так что отключайте и берегите там себя :)
Я уже писал какое-то время назад про вьетнамских изобретателей, утверждающих, что им удалось обмануть Face ID. https://t.me/alexmakus/1450
С тех пор на bbc вышло видео, где они демонстрируют успешную разблокировку телефона, но без деталей о том, как создаётся такая маска. Более того, когда журналисты из ArsTechnica попытались выяснить детали процесса и задали много уточняющих вопросов, на большинство из них авторы «взлома» ответили очень уклончиво, а на многие не ответили вообще. Я понимаю, допустим, их желание сохранить это в тайне, например, чтобы потом кому-то продать, но выглядит это все очень подозрительно. Пока что есть ощущение, что без кооперации «жертвы» и без постепенного обучения Face ID этот метод работать не будет, а, соотвественно, для большинства пользователей он не будет представлять угрозу. Почитайте сами, как вьетнамцы увиливают от ответов и скажите, что не чувствуете в этом какого-то обмана. https://arstechnica.com/information-technology/2017/11/hackers-say-they-broke-apples-face-id-heres-why-were-not-convinced/
Ps была ещё история с мамой, у которой 10-летний ребёнок может разблокировать своим лицом телефон мамы. Там, конечно, вместе с физическим сходством работает ещё и то, о чем предупреждала Apple: у детей до определённого возраста черты лица недостаточно развиты и Face ID на них может глючить. Я бы на месте Apple в этом случае планку чувствительности занижал, хотя это повысит количество несрабатываний, а компания этого как раз хотела бы избежать. Короче, нет в жизни счастья. И идеальных технологий тоже нет.
С тех пор на bbc вышло видео, где они демонстрируют успешную разблокировку телефона, но без деталей о том, как создаётся такая маска. Более того, когда журналисты из ArsTechnica попытались выяснить детали процесса и задали много уточняющих вопросов, на большинство из них авторы «взлома» ответили очень уклончиво, а на многие не ответили вообще. Я понимаю, допустим, их желание сохранить это в тайне, например, чтобы потом кому-то продать, но выглядит это все очень подозрительно. Пока что есть ощущение, что без кооперации «жертвы» и без постепенного обучения Face ID этот метод работать не будет, а, соотвественно, для большинства пользователей он не будет представлять угрозу. Почитайте сами, как вьетнамцы увиливают от ответов и скажите, что не чувствуете в этом какого-то обмана. https://arstechnica.com/information-technology/2017/11/hackers-say-they-broke-apples-face-id-heres-why-were-not-convinced/
Ps была ещё история с мамой, у которой 10-летний ребёнок может разблокировать своим лицом телефон мамы. Там, конечно, вместе с физическим сходством работает ещё и то, о чем предупреждала Apple: у детей до определённого возраста черты лица недостаточно развиты и Face ID на них может глючить. Я бы на месте Apple в этом случае планку чувствительности занижал, хотя это повысит количество несрабатываний, а компания этого как раз хотела бы избежать. Короче, нет в жизни счастья. И идеальных технологий тоже нет.
Telegram
Информация опасносте
Некие вьетнамцы из компании Bkav утверждают, что им удалось обмануть Face ID с помощью маски, которую они собрали из каких-то подручных материалов и участков, напечатанных на 3Д принтере. Вот страница, где они рассказывают о своём достижении, там же есть…
Теперь пишут, что полиция Техаса вручила Apple ордер на разблокировку iPhone SE Девина Келли, который расстрелял 26 человек в церкви. Похоже, нам предстоит вторая часть марлезонского балета с шифрованием данных на телефонах и попытками государства получить доступ к этим данным https://www.fastcompany.com/40498367/apple-is-served-a-search-warrant-to-unlock-texas-church-gunmans-phone
Fast Company
Apple Is Served A Search Warrant To Unlock Texas Church Gunman’s Phone
Once again, law enforcement appears to be trying to sway public opinion on the need for law enforcement “back doors” to encryption systems.
Как Google следит за пользователями, даже когда передача местоположения в телефоне отключена https://qz.com/1131515/google-collects-android-users-locations-even-when-location-services-are-disabled/
Quartz
Google collects Android users’ locations even when location services are disabled
Many people realize that smartphones track their locations. But what if you actively turn off location services, haven’t used any apps, and haven’t even inserted a carrier SIM card?
Опять взломали кошелёк с криптовалютой. Никогда такого не было и вот опять https://tether.to/tether-critical-announcement/