Учитывая претензии со стороны Microsoft, хакеры из проекта Project Zero решили слегка скорректировать сроки разглашения информации об уязвимостях, найденных в сторонних продуктах. Что ж делать, если некоторые компании не укладываются в стандартные сроки.
Теперь условия раскрытия информации изменяются. Если дедлайн приходится на выходные или праздники, то публикация переносится на ближайший рабочий день. Если у вендора готов патч для уязвимости, то дедлайн переносится на срок до 14 дней.
«Установка сроков перед разглашением информации об уязвимостях долгое время считалась стандартной практикой, — пишут в официальном блоге Project Zero. — Эта практика улучшает безопасность пользователей, стимулируя более быстрый выпуск патчей. Как указано в 45-дневном правиле CERT, она также “обеспечивает баланс между интересами общества, которое должно получить информацию, и интересами вендоров, чтобы эффективно отреагировать на уязвимость”». Аналогичные принципы публикации информации по прошествии определённого времени заложены в 90-дневное правило Yahoo и 120-дневное правило ZDI.
Нужно учитывать и тот факт, говорит Google, что хакерское сообщество зачастую тратит больше времени и усилий на поиск багов, чем фирма-разработчик. Соответственно, когда Project Zero находит очень опасную уязвимость в каком-либо продукте, есть большая вероятность, что этот баг уже известен злоумышленникам. Поэтому публикация уязвимости имеет смысл.
Раньше у Project Zero был стандартный срок раскрытия информации 90 дней. Но недавно произошёл ряд инцидентов с компанией Microsoft. После одного из них Microsoft выступила с публичной критикой компании Google за публикацию информации об уязвимости, для которой патч должны выпустить через два дня. По мнению Microsoft, конкуренты злорадно подвергли опасности пользователей Windows 8.1. В данном случае Microsoft слегка не уложилась в отведённые 90 дней. «Хотя публикация соответствует срокам, заявленным Google, но решение выглядит не столько соответствующим принципам, сколько своеобразному “ага, подловили”, — написал тогда Крис Бец (Chris Betz), старший директор Microsoft Security Response Center. — То, что хорошо для Google, не всегда является благом для пользователей. Мы призываем Google помнить о том, что защита пользователей — наша главная общая задача».
Устанавливая новые правила, представители Project Zero подчёркивают, однако, что далеко не все вендоры нарушали дедлайн. Например, отдел Adobe Flash закрыл 37 найденных уязвимостей (100%) в 90-дневный срок. Вообще, из 154 багов, найденных Project Zero к настоящему моменту, 85% было закрыто в срок. А если учитывать баги после 1 октября 2014 года, то и вовсе 95% закрыто. То есть Microsoft оставалась чуть ли не единственной компанией, которая не успевала залатать дыры вовремя.
Visa намерена усилить антифродовую систему. Компания придумала новый способ, как выявлять мошеннически транзакции. Способ простой до гениальности, нужно всего лишь отслеживать местонахождение владельца карты и сравнивать его с местом проведения транзакции. Новую функцию Visa намерена представить в апреле 2015 г.
Судя по описанию, пользователям предложат добровольно подписаться на сервис. После этого система начнёт отслеживать координаты их смартфонов. Планируется, что банк-эмитент интегрирует функцию определения координат в банковское мобильное приложение, которое клиент устанавливает на смартфон. По мере отслеживания перемещений человека будет построена окружность с радиусом около 80 км вокруг места жительства человека. Впоследствии, если клиент покинул эту зону, то его транзакции будут с меньшей вероятностью помечены как фродовые системой Visa.
Технология вводится для того, чтобы уменьшить количество мошеннических переводов с чужих карточек и одновременно уменьшить количество ложных срабатываний антифродовой системы. Обычно такие ложные срабатывания происходят тогда, когда пользователь выезжает за рубеж и пытается снять деньги с зарубежного банкомата. Случается, что банк «в целях безопасности» блокирует карточку туриста именно тогда, когда ему больше всего нужны деньги. Остаться за рубежом без финансов — неприятная перспектива.
С другой стороны, если новая система будет работать со сбоями, то может привести к ещё большему увеличению количества ложных срабатываний.
Пока неизвестно, в каких именно странах будет доступна услуга.
Мощность сигнала при распространении радиоволн сильно зависит от конфигурации помещения, интерференции отражённых сигналов и других факторов. Поэтому практически всегда она сильно изменяется при перемещении буквально на несколько сантиметров.
Очень удобно было бы «видеть», где в пространстве сигнал самый лучший. Такое несложно сделать, если подключить светодиод к простенькой dev-плате с приёмником WiFi (например, ESP8266, как в этом примере). Светодиод меняет цвет от синего к красному, в зависимости от силы сигнала.
Но самое интересное начинается, если заснять процесс на видеокамеру, перемещая светодиод в пространстве. После этого можно составить общую картинку со всех кадров, оставив на ней только изображение светодиода. Это настоящая карта сигнала на местности.
Один инженер с фотосообщества Imgur настолько увлёкся идеей, что автоматизировал картирование, используя станок с ЧПУ для равномерного точного перемещения устройства со светодиодом.
С помощью WebGL он даже сгенерировал трёхмерную модель силы сигнала в пространстве 360х360х180 мм, где перемещалось устройство.
Интерактивный интерфейс для визуализации доступен по адресу http://cnlohr.github.io/voxeltastic/ (предупреждение: браузеры с плохой поддержкой WebGL могут привести к сбою).
История программиста Сергея Алейникова получила продолжение. Бывший высокопоставленный ИТ-специалист инвестиционного банка Goldman Sachs был в 2010 году осуждён на восемь лет тюремного заключения за «кражу» у Goldman Sachs исходных кодов программного обеспечения для высокочастотного трейдинга, которое сам же и разработал. Через год апелляционный суд отменил решение суда первой инстанции, признал арест незаконным, отверг представленные улики и освободил Сергея из-под стражи.
История на этом не закончилась. Сейчас адвокаты Алейникова подали в суд на агентов ФБР, которые вели расследование. Есть основания полагать, что Goldman Sachs использовала агентов ФБР в своих целях, чтобы запрятать за решётку бывшего сотрудника. Как сказано в исковом заявлении, Goldman Sachs «использовала американскую систему правосудия как собственный частный карательный орган».
Советский программист эмигрировал в США в 1991 году, сделал карьеру, женился на местной красавице, которая родила троих детей (хотя и бросила мужа сразу после ареста), построил огромный дом по собственному проекту и зарабатывал миллион долларов в месяц на Уолл-стрит (правда, деньги и дом тоже ушли к жене после ареста Сергея).
Всё дело Алейникова изначально было шито белыми нитками. Формально, ему вменили в вину то, что он скопировал со служебного компьютера 8 мегабайт исходного кода после ухода из Goldman Sachs на более высокооплачиваемую работу в хэдж-фонд Миши Малышева. Это был код, над которым Сергей работал во время своей трудовой деятельности в Goldman Sachs. Он занимался оптимизацией инфраструктуры компании, уменьшением задержек в транзакциях. За пару лет в Goldman Sachs Сергей заработал репутацию одного из лучших специалистов в своей области.
Что интересно, его совершенно не волновал собственно сам трейдинг. В «украденном» коде не было программ-роботов и алгоритмов высокочастотной торговли (так называемых «стратегий»), хотя именно это считается наиболее ценным элементом программной системы любого высокочастотного трейдера. Сергей Алейников не верил в эту «чепуху», как он говорит. Он считал трейдинг чем-то вроде азартной игры для взрослых людей и не интересовался торговыми стратегиями. Для него работа была техническим вызовом. Он получал удовольствие от оптимизации программного кода и инфраструктуры, чтобы еще на миллисекунду уменьшить пинг между серверами Goldman Sachs и биржей NASDAQ.
«Сворованные» 8 мегабайт — это своеобразный «дневник» работы Алейникова, все то важное, что он сделал за прошлые годы. Ирония в том, что на новом месте работы эти записи вряд ли ему бы пригодились, потому что там нужно было создавать систему с нуля. За месяц между «воровством» и арестом Сергей ни разу не зашел на «сервер в Германии», куда скопировал свой код. «Сервер в Германии», который цитируется в обвинительном заключении, — это просто размещение сайта, который выскочил первым в Google по запросу “Free Subversion Repository”, говорит Сергей, он сам даже не знал, в какой стране размещается сервер.
Алейников был одним из немногих людей в Goldman Sachs, который имел права администратора в системе, и если бы он действительно хотел незаметно скопировать чужой код, то сделал бы это более скрытно.
В лучших традициях «хакерского сумасшествия» властей уликой против Сергея стало то, что после копирования своего кода в репозиторий он (о, ужас!) стёр историю команд в bash.
В суде Сергей Алейников так и не смог объяснить судьям, зачем ему понадобилось копировать свой код на удаленный сервер в Германии. Он объяснял, что большая часть этого кода — open source программы, которые он модифицировал. Начальство ранее дало понять, что после модификации open source программа становится собственностью Goldman Sachs, как и всё остальное, что размещается на серверах Goldman Sachs.
К счастью, в конце концов разум всё-таки возобладал, и апелляционный суд принял справедливое решение. Сергея Алейникова оправдали. Теперь ФБР придётся ответить за нанесённый ущерб. Это потерянная работа с зарплатой $1 млн в год, потерянные накопления, возможность работать программистом и нарушение права Алейникова перенести принадлежащую ему собственность к новому работодателю.
Инженеры Оксфордского университета разрабатывают трансивер, который берёт сигнал с оптоволокна, усиливает его и транслирует по комнате на скорости 224 Гбит/с. Он также принимает обратный сигнал от компьютера и передаёт обратно в интернет.
Передача данных световым импульсом — вполне здравое решение, ведь на всём маршруте данные идут по оптоволокну, так зачем на последнем этапе в квартире/доме конвертировать сигнал в иную форму электромагнитного излучения? Логично и дальше передавать свет, уже без материального носителя.
Такая оптическая беспроводная система внутри помещений вряд ли заменит WiFi, говорит Ариэль Гомез (Ariel Gomez), аспирант отделения фотоники в Оксфорде, один из авторов исследования. Но с потенциальными скоростями до 3 терабит/с она определённо способна найти применение. Для сравнения, максимальная скорость WiFi ограничена 7 гигабитами/с. И в случае со светом не нужно беспокоиться об ограниченном радиочастотном диапазоне. «Если вы в оптическом канале, то имеете виртуально неограниченный диапазон и нелицензируемый спектр», — говорит Гомез.
Ключевая часть прибора — так называемое устройство «управления голографическим лучом». Предполагается, что ряд программируемых жидких кристаллов сможет корректировать луч, чтобы точно направить его в оптический канал диаметром 8-9 микрометров.
Инженерам удалось сконструировать прибор с полем зрения 60°, передающий свет с шестью разными длинами волн, каждая из которых несёт в себе 37,4 Гбита/с, так что общая ёмкость канала достигает 224 Гбита/с. Если ограничить поле зрения 36 градусами, то удаётся передать только три длины волны, а скорость снижается вдвое. В любом случае, это первая в мире демонстрация беспроводной передачи на такой скорости, которая покрывает целую комнату или значительную её часть.
Основа программного обеспечения Tor — сетевой протокол, который используют ретрансляторы и клиенты Tor для коммуникации. Разработчики стараются поддерживать максимально ясную и полную документацию, чтобы гарантировать нормальную работу стороннего ПО.
Разумеется, спецификации протокола нельзя изменять произвольно и неожиданно, ведь слишком много софта полагается на него. Поэтому с 2007 года действует прозрачная система принятия изменений. Автор каждого предложения оформляет небольшую заявку и отправляет её в список рассылки tor-dev. По достижении нормального качества её переправляют в репозиторий предложений. Когда готов окончательный текст, то его можно внедрить в официальные спецификации.
Предложений очень много. На данный момент во всех скопившихся заявках уже почти 100 000 слов, пишут разработчики. Это почти половина от действующего текста спецификаций.
Чтобы облегчить людям задачу по исследованию этого массива информации, несколько лет назад открыта отдельная рассылка с описанием последних предложений. Однако, в прошлом году она перестала выходить. Теперь ошибка исправляется. 8 февраля 2015 года вышла первая такая рассылка после годичного перерыва.
В рассылке перечислены наиболее важные предложения, сделанные за последние пару лет, из тех, которые всё ещё открыты для обсуждения. Среди них: кросс-сертификация серверных ключей; поддержка новых расширений SOCKS5; оптимизация режима Tor2Web; полный отказ от флага Named (флаг больше не присваивается, теперь нужно убрать парсинг из клиентского ПО); переход к работе клиента с небольшим количеством охранных узлов (guard nodes), с редкой сменой их — это должно улучшить защиту клиента; безопасная публикация статистики с узлов Tor (без выдачи личных данных); реализация защиты от атак типа guard-turnover, когда нападающий атакует охранные узлы клиента до тех пор, пока клиент не переключится на охранный узел под управлением злоумышленника.
Научно-исследовательское подразделение GReAT в «Лаборатории Касперского» вскрыло беспрецедентную кампанию по шпионажу, которая иногда предусматривала даже внедрение spyware в прошивки жёстких дисков разных производителей, а также «прослушку» компьютерных сетей в Иране, России, Пакистане и Китае. Результаты исследования, фрагменты вредоносного кода и его анализ представлены в подробном отчёте и дополнительном файле с вопросами и ответами (44 стр.).
На презентации результатов исследования вчера на конференции в Мексике представители «Лаборатории Касперского» назвали автора зловреда — так называемую группу Equation. «ЛК» прямо не указывает на происхождение злоумышленника, но зато приводит доказательства, что группа Equation связана с разработчиками червя Stuxnet, автор которого хорошо известен.
Отдельные импланты Equation внедрялись прямо в прошивки HDD, так что были недосягаемы для антивирусных продуктов. «Касперский» подчеркнул ещё несколько особенностей Equation: 1) шпионские инструменты иногда незаметно копировали с компьютера жертвы ключи шифрования, чтобы расшифровывать защищённый контент; 2) многие инструменты были созданы для работы на компьютерах, отключённых от Сети (air gap осуществлялся модулем Fanny через флэшки и стандартные уязвимости).
Представители «ЛК» сказали, что из всех хакерских групп, деятельность которых они отслеживают в интернете, группа Equation — самая продвинутая из них. К тому же, она действует с 2001 года. Есть косвенные улики, что группа существует и вовсе с 1996 года, то есть почти два десятилетия.
Внедрение закладок производилось в жёсткие диски Seagate, Western Digital, Toshiba, Maxtor, IBM и 6 других производителей (всего 12 «категорий» HDD). За перепрограммирование прошивки в наборе инструментов Equation отвечал модуль nls_933w.dll. Модуль также обеспечивал доступ к нескольким скрытым секторам на HDD.
Специалисты GReAT подчёркивают, что внедрение закладок в HDD встречалось крайне редко. Вероятно, АНБ оставляло этот метод только для наиболее важных целей.
Бывший сотрудник АНБ заявил Reuters, что выводы «Касперского» — верны. По его словам, нынешние сотрудники агентства оценивают эти шпионские программы так же высоко как Stuxnet. Другой бывший сотрудник разведки подтвердил, что АНБ разработала ценный способ сокрытия шпионских программ в жёстких дисках, но заявил, что не знает, какие шпионские задачи им отводились.
Western Digital, Seagate и Micron заявили, что ничего не знают об этих шпионских модулях и не предоставляли Агентству национальной безопасности США исходный код программного обеспечения своей продукции. Toshiba, Samsung и IBM отказались комментировать расследование «Касперского».
