Flash Player по-прежнему остаётся самым уязвимым местом в системе, поэтому разработчики браузеров стараются всячески исключить эту брешь в безопасности своих продуктов.
Mozilla не исключение. Причём компания избавилась от Flash Player наиболее креативным образом. Недавно она выпустила новую альфа-версию браузера Firefox Nightly, в которой флэш-контент воспроизводится вообще без использования плагина Flash Player. Для этого в Firefox Nightly интегрирована новая технология под названием Shumway.
Shumway должен повысить защищённость браузера, потому что в открытом коде по умолчанию будет гораздо меньше багов. До сих пор открыт вопрос с эффективностью работы Shumway, но вполне возможно, что он будет и потреблять меньше вычислительных ресурсов, чем Flash Player.
Правда, экспериментальная технология пока работает только на флэш-видео с сайта Amazon.com, а именно, на видеороликах типа “Product Tour” и на видеороликах, которые закачивают сами пользователи в обзорах продуктов на Amazon. Такое видео можно найти, например, здесь (нажимай ссылку “Product Tour” слева).
Отдельно подчёркивается, что Shumway не воспроизводит фильмы “Instant Video” и телесериалы, поскольку они используют плагин Microsoft Silverlight с защитой DRM.
Разработчики обещают в будущем улучшить совместимость с Flash Player и распространить Shumway на контент с других сайтов.
Как заявлено в списке рассылки, эксперимент с Shumway ограничен только каналом Nightly на операционных системах Windows Vista+ и OS X. В системе должен быть установлен декодер H.264, который не всегда доступен под Windows XP и Linux.
Чтобы протестировать Shumway на других сайтах, можно установить полную версию расширения, которая не ограничена одним «Амазоном»: http://www.areweflashyet.com/shumway/.
В начале декабря стартовал приём заявок от желающих выступить на Positive Hack Days V, позднее организаторы анонсировали первую группу докладчиков, среди которых создатель Shodan Джон Мэтерли, кибердетектив Джон Бамбенек и профессиональный социнженер Крис Хаднаги.
Первый этап Call for Papers завершился в конце января, и сегодня представлена новая порция докладов, которые вошли в техническую, практическую и бизнес-программу грядущего PHDays. Гости форума узнают, как превратить обычную корпоративную IТ-систему в неприступную цифровую крепость, как обходят авторизацию в сети Wi-Fi в московском метро, как злоумышленники эксплуатируют уязвимости физических процессов.
Обход авторизации сети Wi-Fi московского метро
С января 2015 года Wi-Fi-сеть московского метрополитена официально заработала на всех линиях подземки, а к концу месяца была введена система обязательной идентификации устройств с использованием номера телефона. Георгий Носеевич расскажет об особенностях реализации и о слабых ее местах. Слушатели узнают о том, как злоумышленники могут перехитрить систему идентификации или использовать чужой номер телефона для получения доступа к сети. В качестве бонуса будет рассмотрен способ получения номера телефона любого конкретного пассажира в вагоне метро (например, симпатичной блондинки). Интересный момент: ни одна из атак не использует перехват Wi-Fi-трафика.
Яндекс: безопасность при слияниях и поглощениях
Когда одна компания покупает другую, до аудита безопасности дело, как правило, не доходит, а если доходит, то анализируются в основном только применимые требования регуляторов.
«Яндекс» является одним из наиболее активных покупателей технологических проектов в России и за рубежом, периодически взрывая инфопространство очередной новостью о громком поглощении. ИБ-аналитик поискового гиганта Наталья Куканова расскажет о том, как и зачем включили аудит безопасности в процесс приобретения новых компаний (M&A). Слушатели узнают, что именно необходимо проверять в случае M&A-сделок, как организовать аудит и как интерпретировать результаты. Все тезисы будут проиллюстрированы на примере реальных сделок «Яндекса».
Стандарты шифрования будущего
Маркку-Юхани Сааринен расскажет об инициативе NIST под названием CAESAR: это международное соревнование криптографов, целью которого является создание нового AE-стандарта безопасности на замену AES-GCM (этот алгоритм сертифицирован США и НАТО для работы с секретной информацией, но в нем были обнаружены различные проблемы безопасности).
В ходе своего выступления докладчик познакомит слушателей с шифрами — участниками соревнования CAESAR (среди которых есть и созданные российскими разработчиками), а также рассмотрит слабые и сильные стороны применяемых и разрабатываемых в нашей стране стандартов и алгоритмов шифрования (например, сигнатурного алгоритма ГОСТ Р 34.10-2001 «Кузнечик»).
Маркку-Юхани Сааринен уже более 15 лет проводит исследования в области информационной безопасности и криптографии, участвует в разработке криптографического ПО.
Вокруг песочницы OS X
Александр Ставонин проанализирует принципы работы стандартных средств самозащиты OSX («песочницы», реализованной с применением TrustedBSD), расскажет о широте их использования сторонними приложениями и продемонстрирует потенциальные проблемы и возможности злонамеренного использования TrustedBSD киберпреступниками — на примерах исходного кода.
Как построить цифровую крепость
Болгарский эксперт по информационной безопасности и расследованию инцидентов ИБ Александр Свердлов в ходе своего третьего по счету выступления на PHDays (в 2013 и 2014 годах он собирал аншлаги на мастер-классах по киберраследованиям) расскажет о том, как создать неприступную цифровую крепость. Слушатели узнают, как повысить безопасность маршрутизаторов с помощью установки альтернативных операционных систем (Qubes OS, BSD Router project, SRG/STIG), предотвращать запуск эксплоитов и анализировать защищенность приложений.
Если хакеры будут химиками
Исследователи и киберпреступники уже неоднократно демонстрировали возможность взлома SCADA-систем, управляющих электросетями, транспортной инфраструктурой или критически важными объектами вроде химических заводов. Однако очень часто ИБ-специалисты игнорируют тот факт, что в случае подобных объектов очень важную роль играют не только технологии, но и физические процессы.
Такие процессы (например, химическая реакция) могут и не останавливаться из-за того, что злоумышленник получил контроль над инфраструктурой или смог проникнуть в систему управления. Однако, если преступники научатся учитывать физические условия при разработке атак, то смогут влиять на течение процессов и реакций. Последствия могут быть опасными: нетрудно представить себе взрыв на химическом заводе, спровоцированный «сошедшим с ума» по воле хакера датчиком контроля температуры в цистерне с опасным веществом.
Докторант Технического университета Гамбурга Марина Кротофил познакомит аудиторию с этапами планирования и осуществления подобных кибератак, целью которых является создание разрушительного воздействия на определенный физический процесс.
Брюс Стерлинг оценит русский киберпанк
В этом году в программу форума вошёл конкурс киберпанковских рассказов «Взломанное будущее». До 15 апреля любой желающий может прислать на конкурс свой рассказ объемом до 30 тыс. знаков. Победители конкурса будут награждены на PHDays V, а их рассказы прочтут на форуме создатели культовой радиопередачи «Модель для сборки».
Подробнее об условиях конкурса можно узнать на сайте конференции. А здесь можно добавить лишь одну новую деталь. В жюри конкурса, помимо известных российских писателей и издателей, приглашен один из отцов киберпанка, визионер и культовый IT-публицист Брюс Стерлинг. «Мне очень интересно будет познакомиться с русским киберпанком», — отметил Брюс в беседе с организаторами PHDays.
Совсем скоро стартует вторая волна Call for Papers, не упустите свой шанс выступить перед 3000 участников Positive Hack Days! Даты будут объявлены в ближайшее время — следите за анонсами.
С тематикой выступлений PHDays можно ознакомиться, прочитав пост со списком лучших выступлений прошлогоднего форума.
Nvidia удивила многих своих поклонников, отключив функцию оверклокинга в мобильных видеокартах линейки GeForce GTX 900M. Такая возможность заблокирована в новых драйверах.
Речь идёт о драйвере GeForce R347 (версия 347.29). До установки этого апдейта пользователи без проблем разгоняли GPU. Однако, настройки видеокарты возвращаются к дефолтным после установки новых драйверов. Что ещё хуже, ограничение невозможно обойти с помощью специализированных сторонних программ для оверклокинга.
Разочарованные энтузиасты оверклокинга после обновления выражают своё возмущение на разных форумах, в том числе на официальном форуме GeForce.
Ещё удивительнее ответ, который пострадавшие пользователи получили от официальной техподдержки Nvidia. Сотрудники «суппорта» говорят, что старые драйвера GTX 900M содержали «баг», из-за которого возможен разгон графических процессором до скорости, не предусмотренной производителем. Новый драйвер исправляет эту ошибку.
Тем временем, в некоторых рекламных объявлениях с упоминанием видеокарт линейки GeForce GTX 900M по-прежнему упоминается возможность оверклокинга.
Возможно, скоро вместо почтового адреса и пароля в Outlook пользователям придётся показывать палец или радужную оболочку глаза. На саммите по кибербезопасности 13 февраля компания Microsoft объявила, что Windows 10 будет поддерживать следующую версию стандарта биометрической аутентификации Fast Identification Online (FIDO).
Спецификации FIDO предоставляют вендорам удобный фреймворк для работы с биометрическими сканерами производства третьих фирм. Таким образом, производителям ноутбуков, планшетов и других компьютеров будет несложно внедрить такой биометрический сканер и обеспечить программную поддержку на уровне операционной системы. В отличие от существующих сканеров отпечатка пальца, стандарт FIDO нацелен на то, чтобы полностью заменить текстовые пароли, а не дополнять их.
В официальном блоге, рассказывая о внедрении нового стандарта, Microsoft упоминает, что отказ от текстовых паролей является «одним из главных приоритетов для нас».
Разработанный как открытый стандарт, FIDO поддерживается рядом крупных компаний из технологического и банковского секторов, включая Microsoft, Google, PayPal и Bank of America. Система спроектирована на защиту биометрической информации через доказательство с нулевым разглашением. Этот протокол предусматривает, что доказывающий способен подтвердить наличие информации, не раскрывая её. В данном случае это означает, что отсканированные копии отпечатков пальцев или радужной оболочки хранятся локально и не передаются по сети.
Версия 1.0 спецификаций FIDO вышла в январе, а отдельные компании уже приступили к выпуску устройств для входа в аккаунты Google с помощью биометрической аутентификации.
Поддержка Windows 10 привязана к выходу спецификаций 2.0, в разработке которых принимает участие Microsoft.
У известного предпринимателя и бывшего хакера Кима Доткома родилась ещё одна сумасшедшая идея, суть которой пока не понимает никто, кроме него самого.
Судя по последним твитам Доткома, он задумал создать свой собственный интернет, в котором «важную роль» будет играть цепочка транзакций Bitcoin (blockchain).
Впервые он упомянул так называемый MegaNet в твиттере прошлой ночью. По его словам, «новый интернет не сможет контролировать, цензурировать или уничтожить» ни одно правительство или корпорация.
В последующих твитах Ким Дотком пояснил, как будет работать MegaNet.
«MegaNet не основана на IP. Никаких больше DDoS-атак и взломов. Никакой цензуры. Никакого шпионажа. Все ваши мобильные телефоны составляют зашифрованную сеть».
Дотком заинтриговал фолловеров тем, что «вы бы удивились», узнав, «как много неиспользуемой полосы пропускания и места для хранения есть в мобильных телефонах». Он сказал, что MegaNet задействует эти неиспользуемые ресурсы. Предприниматель заверил, что расход аккумулятора не станет проблемой при большом количестве телефонов в сети. При этом в работе MegaNet планируется использовать цепочку транзакций Bitcoin (blockchain).
Как показывает опыт, участники подпольных форумов по киберпреступности — не самые надёжные люди, когда дело доходит до ответственности и выполнения своих обязательств. История с эксплоит-паком RIG ещё раз подтверждает этот тезис.
Популярный эксплоит-пак RIG продаётся на подпольных форумах около года. Однако, 3 февраля 2015 года некий “Official HF Sales Rep” разместил объявление о продаже на новом форуме, которого обычно профессиональные киберпреступники стараются избегать.
Позже этот продавец заявил, что он является одним из разработчиков эксплоит-пака, хотя и не является его «владельцем».
Как и следовало ожидать, «владелец» RIG оказался не слишком рад такому развитию событий и назвал продавца мошенником. Между мужчинами назрел конфликт.
Разработчик предпринял неожиданный шаг. Он зарегистрировал твиттер-аккаунт @MalwareMustDie якобы как «специалист по информационной безопасности» и начал публиковать фрагменты исходного кода RIG.
Как минимум три независимых источника подтвердили, что опубликованный эксплоит-пак аутентичен и действительно является последней версией RIG. Код не содержит эксплоитов, изучить его можно по этой ссылке.
Когда браузер Vivaldi вышел в январе этого года, то на официальном сайте выложили бинарники, которые работают только в 64-битной версии Linux. Теперь разработчики решили расширить поддержку и на 32-битную версию.
Это довольно интересный шаг, ведь всё больше open source проектов стремятся расширить поддержку на 64-битную версию Linux и отказываются от 32-битной. Создатели Vivaldi движутся в противоположном направлении: от 64 к 32 битам.
Разработчики решили, что поддержка i686 является достаточно важной, хотя почти все современные процессоры x86 имеют 64-битный режим работы x86_64.
С момента официального анонса 27 января 2015 года Vivaldi скачали более 400 тыс. раз. Браузер получил отличные отзывы в прессе. Всё выглядит так, что у нынешних гегемонов Firefox, Chrome, Opera и прочих появился достойный конкурент.
С выходом сборки 1.0.105.7 поддерживаются 12 новых языков, в том числе польский и украинский. Реализовано несколько новых функций, в том числе открытие последней закрытой вкладки через сочетание клавиш Ctrl+Z или Ctrl+Shift+T.
Напомним, что браузер Vivaldi сделан на основе Chromium. Руководит разработкой Йон фон Течнер, бывший исполнительный директор норвежской компании Opera. Некоторые функции Vivaldi позаимствованы у прежней «Оперы» времён её славы, ещё до перехода на движок Blink. Среди них — распознавание жестов курсором мыши и экспресс-панель (speed dial). Есть и совершенно новые решения, как группировка вкладок в «стопки», поддержка записи заметок в браузере и другие улучшения кодовой базы Chromium. В будущем планируют добавить в Vivaldi поддержку почты, синхронизации, пространственной навигации, расширения и другие функции, а также улучшить производительность. Фон Течнер обещает сделать «самый быстрый браузер во вселенной».