В последнее время довольно популярными стали бесконтактные пластиковые карты с микросхемами RFID/NFC. У них много сфер применения. Они используются как проездные в общественном транспорте и как платёжные карты, а при мелких покупках даже не требуют пинкода. Достаточно просто провести картой/смартфоном возле терминала.
Хакеры уже несколько лет экспериментируют с устройствами для массового считывания RFID-карт. Теоретически, в любом публичном месте (метро, вокзал, торговый центр), хорошенько потолкавшись в толпе, можно собрать целую коллекцию чужих «кредиток» и других документов.
Для защиты карточек существуют специальные портмоне с изоляцией. Но производитель одежды Betabrand совместно с антивирусной компанией Symantec предлагает более элегантный вариант: джинсы Ready Active, которые выпущены под гордым девизом «Защищено Norton».
Джинсы за $151,20 сделаны из классического материала и ничем не отличаются от обычных джинсов, кроме двух защищённых карманов: левого заднего и левого переднего. Карманы, которые находятся «под защитой Norton», прострочены жёлтой ниткой.
Разработчики штанов утверждают, что «каждый год карманники уводят более 10 миллионов учётных данных, считывая беспроводные микросхемы из карманов», и это один из самых популярных методов у злоумышленников.
На «Хакере» неоднократно упоминались программы для идентификации человека по уникальному паттерну нажатий клавиш — так называемая поведенческая биометрия.
Главным достоинством поведенческой биометрии является то, что шаблон поведения пользователя, в теории, невозможно подделать или украсть, да и сам пользователь даже под пытками не сможет его выдать. Таким образом, минимизируются возможности неавторизованного входа в систему.
Другим преимуществом является защита от неавторизованного доступа после авторизации. Даже если человек забыл завершить рабочую сессию, система всё равно способна обнаружить, что за компьютер сел кто-то другой. Это означает автоматическую защиту от кражи устройства: ваш ноутбук или смартфон автоматически заблокируется, если с ним начнёт работать посторонний.
Исследования в области поведенческой биометрии ведутся не только за рубежом, но и в России. Первым коллективом, который объявил о таких исследованиях, стала группа из Курского государственного университета под руководством Леонида Крыжевича, доцента кафедры матанализа и прикладной математики кандидата технических наук.
«Когда человек набирает текст на клавиатуре, у него задействуется порядка сорока различных мышц одновременно, и каждый человек их использует по-разному и с разной силой. Кроме, собственно, времени поиска клавиш, который играет важную роль, но напрямую зависит от обучаемости человека, не менее важную роль играет время удержания клавиши. Это длится несколько микросекунд, и это нажатие является уникальным», — рассказал Леонид Крыжевич в интервью агентству ТАСС.
По словам учёного, путем сложных математических преобразований, основанных на теории вероятности и статистике, коллективу КГУ удалось разработать программный продукт, который идентифицирует пользователя компьютера с точностью до 96%.
Для успешной работы программы, по словам Крыжевича, достаточно набора четырех-шести символов.
Ожидается, что демонстрационный программный продукт появится на рынке уже в следующем году.
В конце октября Microsoft анонсировала новую операционную систему Windows 10, предложив разработчикам также протестировать обновленную платформу. На прошлой неделе компания представила публике первый технический обзор возможностей Windows 10 в виде курса, который доступен на сайте Microsoft Virtual Academy. Обзор охватывает такие вопросы, как безопасность новой ОС, управление и развёртывание Windows 10, пользовательский интерфейс и другие.
Кстати, 21 января 2015 года компания Microsoft проведёт презентацию Windows 10. Скорее всего, на этом мероприятии официально представят версию Windows 10 Consumer Preview.
К январю времени в операционную систему включат новые функции. Нынешняя Technical Preview ориентирована на настольные компьютеры, но в итоговой версии должны реализовать тач-интерфейс. Ожидаются и другие изменения: open-source протокол AllJoyn для «интернета вещей», поддержка режима Continuum, в котором устройства типа «два-в-одном» смогут быстро переходить из одного режима в другой при подключении/отключении клавиатуры, Cortana (голосовой помощник с искусственным интеллектом) и др.
Большинство «антипиратских» технических средств предусматривают два варианта действий: они либо атакуют сервер, на котором лежит нелицензионный контент (например, требуют удаления видеороликов с YouTube), либо затрудняют поиск этого контента (цензура поисковой выдачи Google и др.).
Но после взлома компании Sony Pictures в открытый доступ попали документы, раскрывающие ещё одну методику, которую испытывают правообладатели во главе c Американской ассоциацией кинокомпаний (MPAA). Они хотят просто стирать адрес «провинившегося» сервера из системы DNS!
Метод впервые был предложен в законопроекте Stop Online Piracy Act (SOPA) в 2011 году. К досаде правообладателей, SOPA не удалось провести через парламент из-за бурных протестов общественности.
Тем не менее, MPAA не сдалась и через три года после провала SOPA снова вернулась к лоббированию этой тактики. Документы Sony показывают: юристы MPAA активно ищут способы использовать DNS-цензуру в рамках существующего законодательства. Они также проводят испытания вместе с интернет-провайдерами (Comcast) для проверки, как система может работать на практике.
Предполагается, что DNS-провайдерам будут рассылать судебные уведомления о блокировке сайта. От них потребуют удалять соответствующую запись из таблиц маршрутизации. Если все DNS-провайдеры сделают такое для какого-то сайта, то его URL де-факто исчезнет из интернета.
Пока что никто ни разу не рассылал подобных судебных запросов, но MPAA определённо рассматривает этот вариант.
Вот уже почти четыре года на Github развивается Dissent — совместный проект исследователей из Техасского университета в Остине и Йельского университета. Они поставили задачу разработать мощную, анонимную систему групповых коммуникаций, которая с достаточной надёжностью гарантирует безопасность участников. Всё прошедшее время проект сохраняет статус «экспериментального прототипа», но недалёк тот день, когда он всё-таки созреет для практического использования.
Техническая схема реализации Dissent (Dining-cryptographers Shuffled-Send Network) имеет два фундаментальных отличия от известной сети анонимайзеров Tor.
Dissent использует протокол «обедающих криптографов» и проверяемый алгоритм смешивания (verifiable shuffle). В результате обеспечивается доказуемая анонимность коммуникаций, даже если злоумышленник анализирует весь проходящий трафик, что характерно для некоторых авторитарных государств с контролируемыми провайдерами.
Dissent стремится реализовать «ответственную» анонимность, то есть предоставляет полезный инструмент тем пользователям, которые в этом нуждаются, но при этом защищая форумы и конференции от анонимного спама и прочих злоупотреблений. В отличие от альтернативных систем, Dissent способен гарантировать, что каждый пользователь онлайнового форума получает в точности один голос, один псевдоним и один юнит пропускной способности, в то время как остальные пользователи имеют возможность заблокировать его в случае злоупотребления.
Разработчики предполагают, что Dissent лучше всего подходит для общения в закрытых малых группах, таких как доски объявлений, wiki, аукционы, чаты, системы голосования и т.д. Везде, где требуется криптографическая гарантия, что у каждого пользователя есть только 1 голос и где важно соблюдать анонимность.
К сожалению, у Dissent есть определённые ограничения: он требует поддерживать связь узлов сети по принципу «каждый с каждым», так что при увеличении сети трафик возрастает логарифмически. По этой причине Dissent лучше всего подходит для закрытых малых групп.
Более подробно о работе экспериментальных протоколов Dissent см. в технических докладах, подготовленных для конференций CCS ’10, OSDI ’12 и USENIX Security ’13.
В ядре Linux обнаружили несколько опасных уязвимостей, которые затрагивают все версии ядра и довольно легко эксплуатируются для эскалации привилегий на системах, где не работают защитные механизмы вроде SMAP и UDEREF (они встроены в защищённую среду Grsecurity).
Об уязвимостях CVE-2014-9090, CVE-2014-9322, CVE-2014-8133 и CVE-2014-8134 рассказал специалист по безопасности Энди Лютомирски (Andy Lutomirski) в списке рассылки Seclists.
Наиболее опасный баг CVE-2014-9090 связан с некорректной обработкой ошибки #SS, генерируемой инструкцией IRET. Баги CVE-2014-8133 и CVE-2014-8134 допускают обход механизма espfix, реализованного в ядре 3.16.
Говорят, что эти и другие уязвимости, которые периодически находят в Linux, связаны с фундаментальной проблемой разработки ядра. Проблема в нежелании разработчиков включать в ядро очень большие патчи, которые реализуют защиту от подобного рода эксплоитов. Патчи разработаны десятилетие назад, но до сих пор не приняты. Да и сам Линус Торвальдс не считает безопасность чем-то исключительно важным и не даёт патчам для безопасности приоритет перед обычными патчами.
Наличие всех четырёх уязвимостей можно проверить с помощью утилиты sigreturn_32. Если есть баг CVE-2014-9090 или CVE-2014-9322, то ОС выходит из строя.
Как известно, на рынке есть либо массивные дорогостоящие профессиональные микрофоны, либо дешевые решения в сегменте масс-маркета. До сих пор приходилось выбирать между микрофоном, который устанавливается на «ножке»-штативе на столе или крепится с помощьюпетельки на одежду, что ограничивает мобильность пользователя, и чем-то легким, но не соответствующим по качеству гарнитурам Hi-Fi-уровня. «Поэтому мы решили создать выносной электретный конденсаторный микрофон на съемном креплении. ModMic — комплексное решение этой задачи, сделанное из высококачественных материалов. Результат нас очень порадовал, так что мы честно гордимся функциональным дизайном своей продукции!» — заявили представители AntLion Audio во время презентации новинки.
ModMic — это конденсаторный микрофон с высококачественным электретным капсюлем диаметром 9,7 мм. А медное экранирование коаксиального кабеля снижает помехи и шумы, обеспечивая ясный и чистый сигнал. Стоит прикрепить к наушникам ModMic, и ты получишь полноценную гарнитуру. При этом качество передачи голоса будет на высшем уровне. ModMic — решение, позволяющее найти золотую середину между избыточной серьезностью дорогих микрофонов на штативе и их бюджетными версиями с фоновыми шумами. При этом тебе не нужно следить за тем, где находится микрофон, и ограничивать себя в движении. ModMic всегда с тобой, благодаря гибкой ножке он отлично зафиксирован именно там, где нужно. К ModMic прилагается магнитное крепление, которое легко поставить на любые наушники. Микрофон будет всегда надежно закреплен на девайсе. Ножку микрофона можно повернуть вверх на 90° или просто снять и прикрепить к любой металлической поверхности (например, на корпус компьютера). 3M-база создает сильную и крепкую фиксацию на металле, пластике, сетчатых поверхностях.
Бренд AntLion Audio принадлежит GTDevice LLC. Задача компании — честно работать с клиентами и относиться к людям так же, как мы бы хотели, чтобы относились к нам. Сотрудники GTDevice LLC ежедневно пользуются микрофонами собственного производства и с интересом выслушивают беспристрастные суждения пользователей/обозревателей о качестве продукции AntLion Audio. Эксклюзивный дистрибьютор AntLion Audio в России компания «Графитек» является ведущим российским дистрибьютором игровых компьютерных аксессуаров, периферии для ПК, консолей, потребительской электроники, а также средств для транспортировки и хранения технологических устройств из Европы, Азии и США.
Разработчики системы управления версиями Git сегодня ночью сообщили о критической уязвимости CVE-2014-9390, которая затрагивает все версии официального клиента. Судя по всему, пострадали только пользователи Windows и Mac OS X, но не Linux.
Уязвимость связана с тем, как в Git-клиенте реализован доступ к файловой системе, нечувствительной к регистру или с нормализацией регистра символов. Злоумышленник может создать вредоносную ветку Git, которая заставит клиент перезаписать собственный файл .git/config во время клонирования или проверки репозитория, что ведёт к выполнению произвольных команд на клиентской машине под OS X (файловая система HFS+) или любой версией Microsoft Windows (NTFS, FAT).
Уязвимость затронула различное программное обеспечение со встроенным клиентом Git, в том числе GitHub for Windows и GitHub for Mac. Поскольку это баг в клиенте, то Github.com и GitHub Enterprise напрямую не пострадали.
Уже выпущен патч и обновленная версия Git 2.2.1, где исправлен баг. Такие же исправленные версии вышли в других ветках: 1.8.5.6, 1.9.5, 2.0.5 и 2.1.4.
Одновременно опубликованы обновления для разнообразных портированных вариантов, включая инсталлятор Git OS X, JGit & EGit, libgit2 (и Visual Studio, который его использует). Обновлены десктопные приложения GitHub for Windows и GitHub for Mac.
В общем, разработчики потрудились на славу, согласовав свои действия в период эмбарго на разглашение информации.
Японский производитель электроники Sony, активно проявляющий интерес к виртуальной и дополненной реальности, намерен в течение 2015 года наладить производство гаджета под кодовым названием Single-Lens Display Module, превращающего любые очки в подобие Google Glass. Он представляет собой модуль с вычислительной платформой, проекционным дисплеем, набором сенсоров и беспроводных передатчиков, который крепится к оправе очков, чтобы стать помощником в спорте, работе и других видах деятельности.
«Этот дисплейный модуль потенциально разными способами обогащает жизнь пользователей, — говорит Sony в пресс-релизе. — Просто добавьте его к паре модных, солнцезащитных или других очков и вы мгновенно получите доступ к визуальной информации, которая выведет вашу повседневную жизнь на новый уровень удобства».
Устройство получило интересные технические характеристики, отличающиеся от стандартов, заданных Google и Vuzix. Особенно в Sony гордятся дисплеем. В двух модулях, закрепляемых на правой и левой дужке, весом 40 и 18 граммов поместились:
цветной OLED-дисплей с диагональю 0,23 дюйма и разрешением 600×400, который полностью охватывает цвета sRGB, имеет контрастность 10 000:1, яркость 800 кд/м² и скорость отклика 0,01 мс;
электронный компас;
акселерометр;
сенсорная панель;
процессор ARM Cortex-A7;
Bluetooth 3.0 + HS;
Wi-Fi стандартов 802.11b/g/n;
батарея ёмкостью 400 мАч.
Также на изображениях, показанных Sony, отчётливо видна деталь, напоминающая объектив камеры, которая в анонсе не упоминается. Таким образом под вопросом остаются возможности не только записывать видео и делать снимки, но и дополнять реальность с помощью визуального сканирования. По беспроводной связи устройство можно подключать к смартфону, обеспечивая его дополнительной функциональностью. Об операционной системе, как и о камере, ничего не говорится, хотя очевидно, что модуль вполне самостоятелен, имея на борту современный ARM-процессор и собственный набор датчиков. Японцы говорят о возможности запускать приложения непосредственно на «очках».
В течение года Sony также выпустит специальный SDK. Компания питает большие надежды на внедрение своего гаджета не только в развлекательный сеттинг, но и в работу промышленных предприятий, где в данный момент правят бал всё те же Glass и Vuzix M100.
