vitus_wagner: My photo 2005 (Default)
https://theoutline.com/post/2348/what-isn-t-telegram-saying-about-its-connections-to-the-kremlin

Замечательное поливание телеграма грязью. Журналисты нашли бывшего сотрудника Telegram, который поцапался с Дуровыми по причине любовного треугольника, а потом еще судился с ними за незаконное увольнение (и получил встречный иск по поводу разглашения коммерческих секретов в ходе судебного процесса) и смакуют его откровения.

И теперь этот скандал обсуждают на слешдоте.

Впрочем, надо сказать, что меня всегда удивляло, почему это Телеграм не был заблокирован в России в мае вместе с другими мессенжерами.

Впрочем, я не доверяю любым интернет-протоколам, которые завязаны на сервер определенной компании. Они уязвимы по определению. Защищены против атак в легальном поле только протоколы, которые позволяют пользователям создавать собственые сервера и при этом оставаться на связи с пользователями других серверов, такие как E-Mail и XMPP.
vitus_wagner: My photo 2005 (Default)
https://www.fastcodesign.com/90139019/a-simple-design-flaw-makes-it-astoundingly-easy-to-hack-siri-and-alexa

Тут пишут, что современные компьютерные микрофоны имеют более широкий частотный диапазон, чем человеческое ухо, а современные системы распознавания голоса вполне способны понять настолько "высокий" голос, что люди его попросту не слышат.

Поэтому можно незаметным для хозяина способом манипулировать устройствами с голосовым управлением. Например, поменять пункт назначения у навигатора машины, или заставить умный дом отпереть дверь.
vitus_wagner: My photo 2005 (Default)
https://www.schneier.com/blog/archives/2017/08/hacking_a_phone.html

Шнайер тут пишет что можно заразить телефон вредоносным ПО через контоллер тачскрина, который заменяется в мастерской вместе с разбитым экраном.

Ну в общем, принципиальной новизны в этом нет. Шумил еще в прошлом веке писал:

Понимаешь, все замки и защиты в компьютерах
делают от пользователя, который сидит, в экран смотрит, на кнопки давит.
А от инженера, который этот компьютер чинит, защиты нет. Если от
инженера защиту поставить, как же он узнает, что сломалось?
.

Это, кстати, еще раз демонстрирует бессмысленность Full Disk Encryption, которыую пытаются пропихнуть производители операционок для телефонов. Если у тебя FDE, ремонтник не может без пароля к ключу шифрования диска протестировать отремонтированный телефон.

Короче, ремонтнику доверять приходится. Хочешь не хочешь. Мне, конечно, иногда удавалось перед отдачей сломанного ноутбука в ремонт поменять там пароли и удалить сенситивные файлы. Но не со всякой поломкой это проходит.

Еще и поэтому безумно злит привычка новых андроидов считать SD-карту менее секьюрным носителем, чем внутренняя память телефона. Она более секьюрна, потому что я могу ее из сломанного телефона вынуть и ремонтникам не давать. Сим-карту и SD-карту я физически контролирую, даже если телефон совсем не включается.

Но вообще, похоже, ремонтникам компьютеров нужна своя клятва Гиппократа.
vitus_wagner: My photo 2005 (Default)
https://www.privateinternetaccess.com/blog/2017/07/swedish-transport-agency-worst-known-governmental-leak-ever-is-slowly-coming-to-light/

Шведское транспортное агентство решило пойти в ногу со временем, и хранить свои базы в облаке. А в этих базах была информация про очень интересные и не очень афишируемые категории населения. Ну и естетсвенно оно утекло.

Что интересно, человек ответственный за принятие этого решения был оштрафован на целую половину месячной зарплаты. Небось бонусов за сокращение расходов эта тетка за предыдущие годы получила больше.

Некоторые вещи, которые были в тех базах (далеко не все):

The weight capacity of all roads and bridges (which is crucial for warfare, and says a lot about what roads are intended to be used as wartime airfields);

Names, photos, and home addresses of fighter pilots in the Air Force;

Names, photos, and home addresses of everybody and anybody in a police register, all of which are classified;

Names, photos, and home addresses of all operators in the military’s most secret units – equivalent to the SAS or SEAL teams;

Names, photos, and home addresses of everybody in a witness relocation program or who has been given protected identity for other reasons;

Type, model, weight, and any defects of any and all government and military vehicles, including their operator, which says a ton about the structure of military support units;
vitus_wagner: My photo 2005 (Default)
http://www.cbc.ca/news/technology/tapdance-refraction-networking-decoy-routing-test-usenix-1.4249177

Забавная технология для того чтобы обеспечить жителям стран с репрессивными режимами доступ к заблокированному контенту.

Работать, правда, будет при условии, что большая часть мира управляется нерепрессивными режимами, которые не только ничего не блокируют, но и всячески поддерживают своих ISP по части преодоления блокировок.
Как раз в выполнение этого условия верится с трудом.
vitus_wagner: My photo 2005 (Default)
https://www.schneier.com/blog/archives/2017/08/hacking_a_gene_.html

Тут пишут, что удалось внедрить malware в компьютер, управляющий генным сиквенсером при помощи специально подсунутой туда последовательности ДНК.

Это [livejournal.com profile] lenka_iz_hij на заметку. По-моему такого Сергей Островски еще не расследовал.
vitus_wagner: My photo 2005 (Default)
https://www.reuters.com/article/us-shipping-gps-cyber-idUSKBN1AN0HT

Из-за распорстранившейся практики глушения и подделки сигнала GPS разные страны рассматривают идею возвращения к наземным радионавигационным системам. Потому что передатчик Лорана находится на порядки блихе к судну, чем спутник GPS, ну и излучает куда более мощный сигнал. Имея антенну 100x100 метров и питание от электрической распределительной сети, это можно себе позволить. Такое карманной глушилкой уже не заглушишь.
vitus_wagner: My photo 2005 (Default)
https://www.bleepingcomputer.com/news/government/china-forces-muslim-minority-to-install-spyware-on-their-phones/

Вот тут пишут, что "полиция останавливает людей на улицах, проверяет, установлено ли на их смартфонах полицейское мониторингове приложение, и если нет, арестует на 10 суток".

Вот интересно, а если они остановят человека, а у него вообще никакого смартфона нет? И вообще мобильника?

Отдельно доставляет использлование md5 хэшей для контроля файлов. Вот я бы на месте уйгурских борцов за свободу срочно вычислил какую-нибудь коллизию. Чтобы это приложение, например. на само себя стучало как на террористический контент.

GNU Ring

Jul. 25th, 2017 11:17 am
vitus_wagner: My photo 2005 (Default)
Попробовал поставить себе GNU Ring - это такой мессенджер с поддержкой аудио-видео, у которого вообще нет никаких центральных серверов, а для поиска пользователей используется блокчейн и OpenDHT.

В отличие от ToX там предусмотрена штатная возможнсоть подключения к аккаунту нескольких устройств. У меня, правда, не получилось - андроидный Ring после импорта туда аккаунта, созданного на десктопе, стал падать.

Попробовать с кем-то пообщаться пока не получилось потому что не с кем. Не знаю никого, кто бы из знакомых имел там аккаунт.
vitus_wagner: My photo 2005 (Default)
[personal profile] qkowlew порадовал новостью от доктора веба:

на сайт gosuslugi.ru внедрен непонятно чей код, вставляющий левый iframe, который может обращаться к 15 левым доменам.

На данный момент по данным DrWeb никаких вредносных "Петь" или "Вов" с этих сайтов посетителям госуслуг не грузят.

Но данный пример показывает, что нефиг хихикать над украинцами, у которых система обновлений MeDoc распространяет ransomware и над американцами, которые дергаются по поводу влияния "страшных русских хакеров" на результат выборов.

Ибо у нас не лучше.

1. Для того чтобы взломать любой сайт, не надо иметь за спиной мощности всесильной спецслужбы (whistleblower-ы давно все потребные инструменты у спецслужбы слили и в открытый доступ выложили). Брюс Шнайер, например уверен, что не в состоянии предотвратить целевую атаку на свой сайт. А если уж Шнайер не может - то кто?

2. Государственные органы во всем мире, включая те самые спецслужбы, не умеют выстраивать оперативных служб реагирования на инциденты. (я б предложил передать все государственные сайты в оперативное управление РВСН, поскольку там-то должны уметь успевать принять меры за время подлета баллистической ракеты, но ведь то, что они это действительно умеют, никто не проверял)

В общем похоже, парадигму безопасности серверов надо менять. И вместо, (вернее вместе) контейнеризации, разграничения доступа и т.д. в первую очередь бороться за intrusion detection, и оперативное восстановление на known good state.
vitus_wagner: My photo 2005 (Default)
Выяснилось, что stretch я похвалить немного поторопился.

Как оказалось он молча, без вопросов апгрейдит keepass 0.43 на keepass 2.0.3.

Засада в том, что keepass <2 и keepass 2.x это программы у которых нет ничего общего, кроме названия и назначения.

Например, несовместим формат файлов. То есть keepass 2.x умеет один раз симпортировать базу от 1.x но записать обратно - уже никак.

А я держу keepass в качестве менеджера паролей ровно потому что он позволяет копировать базу как файл между разными устройствами с разными операционными системами. Поэтому ситуация когда на одном устройстве один формат, на другом другой - меня категорически не устраивает.

Поставил пока пакеты из jessie на hold. И думаю - стоит переходить на keepass 2.x
или не стоит?

Что-то мне все андроидные клиенты, совместимые с keepass2 вызывают подозрение:

У keepass2android интерфейс переписан с java на mono. Это для андроид-то!
KeePassMob содержит в себе код работы с сетью (dropbox), что по-моему для пассворд-менеджера под андроид категорически недопустимо. Поскольку уж если в этой дырявой системе есть способ защититься от доступа в сеть, то именно пассворд-менеджер обязан это сделать.

Поэтому я думаю о том, что может быть стоит еще какой password-manager поискать.

Требования:

1. Наличие клиентов для linux и android
2. Приемлемая usability для android, у которого жутко неудобная работа с clipboard
3. Приемлемая юзабилити под X11.
4. Возможность копирования базы паролей с устройства на устройство как файла по ЛЮБОМУ
протоколу передачи файлов scp, obex, smb.
5. Наличие в базе хотя бы пары дополнительных колонок кроме имя и пароль.
В качестве бонусов:
5. Команд-лайн интерфейс под linux.
6. Возможность хранения базы паролей в version control.
vitus_wagner: My photo 2005 (Default)
https://geektimes.ru/post/290557/

Немецкий провайдер Posteo сделал свой ход в борьбе с вирусом-вымогателем Petya. Он заблокировал почтовый ящик автора вируса, на который вирус предлагает слать сообщения о проведенной оплате с целью получить ключ для расшифровки.

Теперь даже если пользователи и готовы поддаться на шантаж и заплатить деньги, ключа они все равно не получат (а биткойны - уйдут).

Что-то в этой идее есть. Надо как-то приучить пользователей, что только наличие свежего бэкапа спасает от ransomware.


Так что, возможно, эта жестокая карантинная мера когда-нибудь в будущем окупится.
vitus_wagner: My photo 2005 (Default)
https://thenextweb.com/eu/2017/06/09/pirate-bay-founder-weve-lost-the-internet-its-all-about-damage-control-now/

Интервью с Петером Сунде, одним из основателей The Pirate Bay, в котором тот признает поражение децентрализованного и свободного интернета 90-х перед огромными централизованными корпорациями.

Впрочем, признаки поражения я замечал еще в 2011 году.
vitus_wagner: My photo 2005 (Default)
https://www.welivesecurity.com/2017/06/06/turlas-watering-hole-campaign-updated-firefox-extension-abusing-instagram/

Вот тут описан некоторый ботнет, которые пользуется для получения URL своего центра управления комментариями в инстаграмме. Причем URL, естественно, стеганографически спрятана в тексте комментария.

Проблема в том, что, получив в руки код соответствующей малвари можно начать следить за появлением соответствующих комментариев в треде, и оперативно вычислять новые С&C.

Кстати, не факт, что можно добиться от инстаграмма или от модераторов соответствующего аккаунта оперативного удаления соответствующих комментариев.

А вот можно ли добиться от инстаграмма фильтра, блокирующиего подобные комментарии совсем - мне кажется нет. Ну допустим, фильтр блокирующий zero-width unicode chars теоретически сделать можно. Но внедрить его в instagram сложно - большая система, требует долгого тестирования и т.д. Ну и авторы ботнета быстренько изобретут другой способ стеганографии. Можно вообще сделать способ кодирования, позволяющий сделать сообщение с кодом неотличимым от легитимного сообщения. И эта технология применяется задолго до появления компьютеров.
vitus_wagner: My photo 2005 (Default)
Что-то я не нашел очевидного (казалось бы) решения по защите хранящегося на (хостинговом, доступном всяким нехорошим людям) сервере почтового архива, которое бы работало так:

1. В распоряжении MDA есть открытый ключ gpg/сертификат X,509 для каждого пользователя.
2. Любое письмо, прилетающее по SMTP (в наше время в норме защищенное TLS по дороге) шифруется этим ключом конечного получателя перед тем, как сложиться в его maildir (но после того как оно прошло через фильтры sieve). Ну да, сеансовый ключ придется каждый раз генерировать. Ну и что?
3. В распоряжении IMAP-сервера есть зашифрованный приватный ключ. Когда пользователь логинится на IMAP-сервер, его аутентификация производится путем расшифровки этого ключа. После этого можно любую хранящуюся почту расшифровывать и пользователю выдавать.


Причем шифровать письма совершенно спокойно можно вместе с заголовками.
То есть и метаинформацию without user consent хрен достанешь.

Модификации требуемые для IMAP-сервера достаточно тривиальные.


Но почему-то никто так не сделал. Во всяком случае я такого не нашел.

Вместо этого предлагаются решения на базе двух мейлбоксов секьюрного и несекьюрного. С тем чтобы складывать в секьюрный мейлбокс можно было тоже только при наличии активной сессии.

Видиом, идея full-disk encryption (каковая есть зло) людям глаза застит. В то время как никто не мешает maildir шифровать пофайлово.

Правда, немножко непонятно как быть с тренировкой байесовского антиспама в такой ситуации. Ну ладно, допустим ham мы будем в sa-learn скармливать непосредственно в ходе сессии, когда мы его можем расширфровать (а спам и шифровать не обязательно). Но не явится ли байесовская база, которая должна быть доступна на чтение MDA каналом утечки информации?
vitus_wagner: My photo 2005 (Default)
http://www.reuters.com/article/us-china-cyber-law-idUSKBN18P0G9

Китай принял аналог российского закона о персональных данных, требующий хранения данных о китайских пользователях на территории Китая.

Правда, заодно там запретили торговать пользовательской информацией и признали за пользователем право требовать удаления его информации с серверов.

Почитать бы, конечно, сам текст закона, а не рейтеровский пересказ. А то похоже, что китайцы в отличие от наших правителей реально думают о защите своих бизнесов от киберугроз.
vitus_wagner: My photo 2005 (Default)
https://www.schneier.com/blog/archives/2017/03/security_orches.html

У Шнайера интересный и обширный пост на тему того, почему не работают стандартные методы упорядочивания и автоматизации в военном деле и в области реагирования на инциденты в компьютерной безопасности.

Он делает вывод что централизация и предваарительное планирование рулят в том случае, если у нас есть определенность (certainity), а там где есть неопределенность, нужны децентралиаация и инициатива.

Там где есть активный и способный к адаптации враг, неопределенности избежать невозможно, сколько данных не собирай. Поэтому нужны другие механизмы, которые в человеке эволюцией выработаны давно, а вот воплощать их в компьютерах мы еще не научились.

Кстати, по-моему это касается не только тех случаев, когда адаптивностью и инициативой обладает враг. Даже если контрагент тебе не враг, как не враг upstream-разработчик мейнтейнеру пакета, неопределенность он все равно вносит. Из самых благих побуждений. И попытка с этим бороться путем стандартизации процедур приведет только к тому, что ты не сможешь embrace the changes (как это по-русски сказать?) и сделаешь хуже.

В общем, гони хаос в дверь, он влезет в окно. Поэтому не надо стремиться все слишком упорядочить. В какой-то момент надо остановиться и сказать "а вот здесь мы позволяем хаос, и будем на него реагировать по мере возникновения".
vitus_wagner: My photo 2005 (Default)
Сидим с ребенком в очереди к врачу, и вдруг мне приходит письмо по email: «Ваш ребенок вошел в школу». А ведь некоторые родители полагаются на этот сервис.
vitus_wagner: My photo 2005 (Default)
Уже вторая новость за несколько дней выглядит как

1. У кого-то крадут ноутбук, на котором установлен какой-то софт для удаленного управления.
2. Вор, не переставляя системы, логинится с украденного ноутбука в свой Facebook.
3, Хозяин ноутбука или полицейский эксперт заходит в украденную машинку по сети, получает доступ к этому фейсбук-профайлу, и посредством содержащейся в нем информации карает преступника (в одном случае - затроллил его через друзей до удаления аккаунта, в другом - вычислил реальное имя и сдал полиции).

Мораль - только полный идиот в наше время ворует ноутбуки из машин. (умный - ворует информацию из ноутбуков так, чтобы никто не заметил).
vitus_wagner: My photo 2005 (Default)
https://www.bleepingcomputer.com/news/security/ultrasound-tracking-could-be-used-to-deanonymize-tor-users/

Новый способ деанонимизации пользоватлеей Tor - путем встраивания в веб-странчки джаваскрипта, генерирующего ультразвуковой сигнал. И подслушивания этого сигнала на других соседних устройствах.
(видимо с помощью тоже джаваскрипта, встроенного в баннеры).

Утверждается что технология придумана для совершенно "мирных" целей - связать между собой устройства, принадлежащие одному пользователю, чтобы лучше таржетировать рекламу. Но оказалось что заодно это успешно давит попытки анонимизироваться онлайн.

В общем, режьте рекламу со страниц. И к микрофонам нужен аппаратный выключатель. Который включается только тогда, когда ты в микрофон говоришь, как у старых добрых раций.
И о фильтрах, режущих высокие частоты стоит подумать. Хтя вот на колонках выключатель часто бывает, и где он есть он у меня по умолчанию выключен.

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner

October 2017

S M T W T F S
123 456 7
89 101112 1314
1516 17 18192021
22232425262728
293031    

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Oct. 19th, 2017 02:00 am
Powered by Dreamwidth Studios