Одна из самых странных новинок на Всемирном мобильном конгрессе в Барселоне — круглый смартфон Runcible, который работает под управлением Firefox OS и напоминает хайтек-версию старых карманных часов. Впечатление усиливается деревянным корпусом. Впрочем, крышки сменные: можно поставить железную, медную, латунную или выбрать разные варианты дерева.
Производитель уникального устройства — компания Monohm. Судя по всему, оно позиционируется в премиальный сегмент рынка и будет стоить в районе $600. Обозреватели говорят, что с крышкой из благородного дерева создаётся впечатление солидного гаджета. Интересно, что разработчик называет Runcible «первым в мире антисмартфоном».
Monohm использует платформу Firefox OS для экспериментов с разными необычными функциями. Скажем, камера записывает круглые фотографии и видеоролики (очевидно, обрезая их под экран устройства. В процессе съёмки фокусировка и зуммирование осуществляются вращением смартфона вокруг своей оси, по аналогии с поворотом фокусировочного кольца на объективах профессиональных фотоаппаратов. Иконки сделаны круглыми, список приложений не содержит ничего лишнего.
Конечно, Runcible — исключительно нишевое устройство, как российский смартфон YotaPhone с двумя экранами. Но это не отрицает факта его привлекательной необычности. Хорошо, что не у всех производителей гаджетов шаблонное мышление, остались ещё креативные личности.
Федеральная торговая комиссия США (FTC) давно сражается со спамерами, которые организуют массовые роботизированные звонки на телефоны пользователей. Например, недавно завершились расследования по делам восьми таких групп, организовавших в 2011-2012 гг от 12 до 15 млрд таких звонков.
Снимая трубку, абонент обычно слышит запись аудиосообщения, в котором какой-нибудь «Джон из организации Political Opinions of America» сообщает, что пользователя тщательно выбрали для участия в 30-секундном опросе, по завершении которого можно нажать кнопку “1” и получить путёвку в круиз на Багамы. Если пользователь сделает это, то его направляют к реальному специалисту по телемаркетингу, который продаёт путёвки от турфирмы.
Подобные приёмы запрещены правилами FTC, а именно — условиями Telemarketing Sales Rule (TSR). Правда, там есть исключение для телефонных опросов на политическую тематику. Эту лазейку и использовали злоумышленники, которым удалось продать путёвок на миллионы долларов. В результате, нарушителям выписали штрафы от $25 тыс. до $500 тыс.
Чтобы более эффективно бороться с такими коммерсантами, FTC предлагает использовать новые технологии. Например, ещё в 2012 году она проводила конкурс идей Robocall Challenge, одним из победителей которого стала компания Nomorobo, сейчас это бесплатный сервис по блокировке робозвонков.
Но мошенники тоже не спят в шапку и оптимизируют свои техники. Например, для VoIP-звонков они выбирают специально аудиозаписи таких голосов, которые оптимальным образом сжимаются кодеком с минимальной потерей качества, чтобы оптимизировать издержки на трафик. Они уже давно научились, как обманывать систему определения номеров Caller ID.
FTC обратилась за помощью к краудсорсингу. Вчера служба объявила новый конкурс Robocalls: Humanity Strikes Back на разработку эффективных «ханипотов», то есть «ловушек» для робозвонков. Автоматических систем, которые принимают такие звонки, записывают их и передают информацию исследователям из государственных и частных компаний для анализа.
Конкурс продлится до 15 июня 2015 года. Среди участников выберут пять финалистов, которых пригласят на хакерскую конференцию Defcon 23 в Лас-Вегасе 9 августа 2015 года. Группа экспертов в жюри выберет победителя, для него приготовлен приз $25 тыс. Остальные финалисты тоже получат награды: по $10,5 тыс. за второе и третье места, по $2000 за четвёртое и пятое.
Компания Open Whisper Systems выпустила новую версию бесплатного приложения для зашифрованных чатов Signal 2.0 для iOS. Что отличает вторую версию, так это поддержка передачи криптосообщений в Android-приложения Redphone и TextSecure и обратно.
Раньше за такой тип кроссплатформенной криптографии приходилось оплачивать ежемесячную подписку, а теперь он доступен бесплатно.
Приложения Signal и TextSecure используют протоколы с совершенной прямой секретностью (perfect forward secrecy), то есть генерируют временные ключи для каждого сообщения, что значительно осложняет задачу злоумышленнику, который пытается перехватить эти сообщения. В этом смысле Open Whisper Systems находится на полшага впереди многих других разработчиков защищённых IM-мессенджеров. У приложений также довольно простой интерфейс для обычного пользователя, а исходный код программ открыт.
В программе Signal есть ещё одна интересная функция: защита от снятия скриншотов системой iOS в момент завершения программы (это стандартная функция iOS).
Раньше Google понижал в выдаче веб-страницы с маленьким количеством входящих ссылок. Скоро он научится «наказывать» страницы с текстом, который содержит недостоверные факты. Это следует из научной работы “Knowledge-Based Trust: Estimating the Trustworthiness of Web Sources” от сотрудников Google.
Им удалось разработать систему, которая автоматически извлекает факты с веб-страниц, отличает ошибки парсинга от фактологических ошибок в тексте, а затем вычисляет уровень достоверности текста (оценка KBT, Knowledge-Based Trust). Эта оценка иногда является более объективным показателем, что рейтинг PageRank (по крайней мере, рейтинг KBT способен уточнить значение PageRank). Например, у сайтов с «жёлтыми» новостями часто больший рейтинг PageRank, потому что на них много входящих ссылок из-за вирусности контента. Но в то же время их нельзя считать надёжным источником информации.
Для извлечения фактов использовались наработки проекта Knowledge Vault (KV), который применяет 16 различных методов извлечения триад данных (субъект, утверждение, объект) с веб-страниц. Субъект и утверждение принадлежат к множеству из краудсорсинговой базы знаний Freebase, а объект может быть сущностью, числом, датой или строкой.
Триада считалась «правдивой», если она в полном составе присутствует в базе Freebase. Если же там есть субъект и утверждение, а значение объекта иное, то факт считался ложным. Если пара из субъекта и утверждения отсутствует в базе, то такую триаду исключали из выборки.
Ошибки парсинга отличали по нескольким признакам: 1) субъект = объект; 2) субъект или объект не соответствует требованиям; 3) объект находится за пределами диапазона значений (например, вес спортсмена более 500 кг).
Исследователям удалось значительно улучшить результат работы Knowledge Vault. Кроме вышеупомянутого разграничения ошибок парсинга и фактических ошибок, они также сделали более сложную модель, которая умеет учитывать рейтинг нескольких страниц с одного веб-сайта, а не каждой страницы по отдельности. Дело в том, что по отдельности качественно вычислять рейтинг не всегда получается: так, для более миллиарда веб-страниц KV сумела извлечь только по одной триаде данных, а с некоторых страниц — десятки тысяч триад.
Технологию проверили на выборке в 119 млн веб-страниц и 5,6 млн веб-сайтов, которые сравнили с базой 2,9 млрд фактов, собранных из интернета. Такое масштабное тестирование подобных систем тоже проведено впервые. Ручная проверка показала, что автоматическое KBT-рейтингование работает хорошо.
Интересно, что PageRank и KBT зачастую являются ортогональными сигналами. Так, высокий PR и низкий KBT характерен для «жёлтых» СМИ из этого списка и веб-форумов.
Результаты работы предложено использовать для улучшения объективности PageRank, но они могут найти применение и в некоторых других задачах по дата-майнингу.
Недавно специалисты по безопасности продемонстрировали способ, как изготовить накладку на палец с чужим рисунком кожи, сделав копию по фотографиям высокого разрешения. В интернете немало детальных фотографий с ладонями политиков. Копию можно изготовить не только с фотографии, но и со следа на стакане, столе или экране мобильного телефона.
Теперь хакеры пошли ещё дальше, что вполне логично, ведь в интернете ещё больше фотографий с глазами политиков, так что теоретически можно обмануть биометрические сканеры радужной оболочки глаза.
Пошаговый процесс выполнения «копии» представят на конференции CanSecWest, которая пройдёт 18-20 марта 2015 года в Ванкувере. Туда заявился с докладом специалист по безопасности Ян Starbug Крисслер из известного хакерского клуба Chaos Computer Club. Он говорит, что ему удалось обойти проверку, например, в сканере Panasonic Authenticam BM-ET200, который он достал для тестирования. Этот сканер, вообще-то, уже снят с производства, но до сих пор много где используется.
Крисслер сказал, что подходящая фотография должна быть достаточно яркой. Кроме того, она должна быть большой и детализированной. Но это не особая проблема: как показал опыт, для обмана сканера достаточно фотографии радужной оболочки с диаметром от 75 пикселов, в идеале должно быть видно больше 75% изображения радужной оболочки. Печатать следует на принтере с разрешением 1200 dpi.
В отличие от сканеров отпечатков пальцев, тут процесс изготовления копии гораздо проще: хватит обычной распечатки, не нужно использовать желатин, трафарет и прочее.
Для проверки Крисслер нашёл в интернете несколько фотографий глав государств высокого разрешения. Например, избирательный плакат Ангелы Меркель высокого разрешения с диаметром радужной оболочки глаз 175 пикселов, что просто идеально.
Facebook представил для разработчиков приложений новый способ аутентификации пользователей: анонимный логин. Со стороны крупнейшего коллектора личных данных в интернете это выглядит слегка двусмысленно и нагловато.
«Анонимный логин — самый удобный способ для пользователей войти в ваше приложение, не выдавая при этом личную информацию», — убеждает разработчиков Facebook. Разумеется, при этом социальная сеть владеет полной информацией, кто конкретно в какое приложение вошёл, но обещает сохранить эту информацию в тайне от сторонних компаний. В принципе, этому заявлению можно верить: у Facebook нет особого резона выдавать такие сведения бесплатно.
Как и при обычной авторизации, пользователям в этом случае не нужно заводить аккаунт и указывать пароль.
Услуга Anonymous Login доступна в бета-версии. Заявки от разработчиков рассматриваются в порядке очереди.
Через два дня после того, как стало известно об опасной уязвимости FREAK в клиентских и серверных реализациях TLS/SSL, компания Microsoft тоже признала её наличие в разных версиях Windows. Изначально предполагалось, что среди серверов HTTPS уязвимы примерно треть сайтов, а среди клиентов — только Android и Safari (iOS и OS X). Но реальность оказалось хуже.
Напомним, что атака FREAK позволяет постороннему злоумышленнику с помощью MiTM перехватывать защищённые соединения и форсировать использование слабой криптографии из «экспортного» набора шифров RSA_EXPORT. Экспортные модули RSA максимального размера 512 бит подбираются максимум за 7-12 часов в облаке Amazon с расходами в районе $50-100.
Уязвимость возникла как результат ограничений на экспорт стойкой криптографии, действующих в США в прошлом веке. В давние времена они были учтены Netscape Corporation при разработке протокола SSL.
Список уязвимых операционных систем
Windows Server 2003 Service Pack 2
Windows Server 2003 на платформе x64 Service Pack 2
Windows Server 2003 с SP2 для систем на Itanium
Windows Vista Service Pack 2
Windows Vista на платформе x64 Service Pack 2
Windows Server 2008 для 32-битных систем Service Pack 2
Windows Server 2008 на платформе x64 Service Pack 2
Windows Server 2008 для систем на базе Itanium Service Pack 2
Windows 7 для 32-битных систем Service Pack 1
Windows 7 на платформе x64 Service Pack 1
Windows Server 2008 R2 на платформе x64 Service Pack 1
Windows Server 2008 R2 для систем на базе Itanium Service Pack 1
Windows 8 для 32-битных систем
Windows 8 на платформе x64
Windows 8.1 для 32-битных систем
Windows 8.1 на платформе x64
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Для Windows Server 2003 не существует способа устранения вручную, потому что архитектура управления шифрами Windows Server 2003 не предусматривает включение или выключение отдельных шифров. В серверных версиях Windows, кроме Windows Server 2003, экспортные шрифты тоже отключены по умолчанию.
Для остальных ОС в качестве временного решения предлагают вручную исключить группу экспортных шифров из списка доступных шифров в Group Policy Object Editor (gpedit.msc). Вероятно, скоро такую модификацию пришлют через процедуру автоматического апдейта.
Mozilla выпустила корректирующий релиз браузера Firefox 36.0.1, где разработчики устранили девять проблем, в том числе довольно неприятных. Новая версия уже распространяется через систему автоматических обновлений и лежит на официальном FTP.
Итак, сделанные исправления.
∙ Отключены все ANY-запросы к DNS-серверам. Выяснилось, что из-за новой реализации prefetch в браузере они создают большую нагрузки на серверы и клиенты, а также подходят для DoS-атаки с DNS-умножением трафика из-под Win32 (баг 1093983).
∙ Исправлено падение браузера при запуске на системах с установленной защитной программой Microsoft Enhanced Mitigation Experience Toolkit (видно, никто из разработчиков Mozilla ею не пользуется и пропустил такой явный баг 1137050).
∙ Восстановлена поддержка опции -remote, которую убрали в Firefox 36. Выяснилось, что она важна для гораздо большего количества программ, чем предполагалось, а именно, для Python, Emacs, Eclipse и любых дополнений к браузеру, которые работают с несколькими профилями.
∙ Символ подчёркивания “_” в хосте теперь снова нормально обрабатывается и не вызывает предупреждения об опасном сайте (1136616).
∙ Устранены два бага с мессенджером Hello: он временами зависал до перезагрузки браузера (1137469), а также внезапно исчезала вкладка с контактами (1137141). Здесь явно сыроватую технологию поспешили включить в стабильный релиз, да ещё активировали по умолчанию и поместили на самое видно место в интерфейсе. Вероятно, Mozilla чувствует потенциал WebRTC-чатов из браузера и необходимость срочно застолбить место здесь.
∙ Исправлен баг с несохраняющимися настройками печати (1136855).
∙ Исправлены падения браузера при некоторых обстоятельствах (без подробностей).
Некоторые шутят, что давно ждали, когда исправят именно последний баг в списке.
