В сентябре 2014 года компания Google запустила проект ARC (App Runtime for Chrome). Это среда выполнения для приложений Android. Изначально предполагалось, что они будут запускаться под Chrome OS, но с помощью хака chromeos-apk от разработчика под ником vladikoff файлы можно запустить на любом десктопе под OS X, Linux и Windows.
Фактически, приложения Android сейчас запускаются на всех платформах, кроме iOS.
Рантайм ARC до последнего момента находился в ранней бета-версии, а Google ограничивала распространение проектов, которые портировали под ARC, сотрудничая только с избранными разработчиками. Но сейчас, в последней версии Developer Preview, компания сделала важный шаг вперёд. Теперь каждый может запустить любое приложение в среде выполнения ARC.
Для работы нужен файл APK, компьютер под любой ОС с браузером Chrome 40+ и, самое главное, упаковщик ARC Welder. Именно он преобразует APK в необходимый файл. Он может даже выдать ZIP-файл для загрузки в Chrome Web Store.
Программы работают через Native Client (NaCL) — песочницу, встроенную в Chrome. Туда портирован полный стек Android, так что приложения исполняются в клиенте NaCL на любой платформе.
Балтиморская группа ФБР отчиталась об успешном завершении операции против международной хакерской группировки, которая взламывала серверы ИТ-компаний и украла интеллектуальной собственности на $100-200 млн (правообладатели затрудняются точно оценить стоимость программного кода игр и других материалов).
В среду был признан виновным Остин Алкала (Austin Alcala), 19-летний программист из Индианы, четвёртый участник банды, воровавший компьютерные игры для Xbox One и Xbox Live и сопутствующие файлы с серверов разработчиков. Программист осуществлял преступную деятельность с лета 2012 по апрель 2014 года. Среди пострадавших корпораций — Microsoft Corporation, Epic Games Inc., Valve Corporation и Zombie Studios.
Взлом корпораций осуществлялся посредством SQL-инъекций по украденным логинам.
Среди скопированного программного обеспечения, сообщает ФБР, — футбольный симулятор FIFA, шутеры Call of Duty: Modern Warfare 3 и Gears of War 3. Злоумышленники забирали ещё не вышедшее программное обеспечение, исходные коды, торговые секреты, защищённые копирайтом работы и другие конфиденциальные и проприетарные материалы. Хакеры также скопировали приватные финансовые данные об определённых сотрудниках этих фирм.
Например, перед выпуском игровой приставки Xbox One они намеренно проводили атаку на соответствующие корпоративные серверы, где хранилась документация, технические спецификации, исходные коды и другая информация об этой приставке.
Вид наказания и срок для Остина Алкалы установит окружной суд Делавэра 29 июля 2015 года.
Фонд электронных рубежей (EFF) выпустил пятую версию известного расширения HTTPS Everywhere, которое форсирует защищённое соединение HTTPS на всех сайтах, где это возможно. Даже если пользователь пытается зайти на незащищённую версию, расширение всё равно перенаправляет его на HTTPS-версию сайта, если такая доступна.
В идеале, каждый сайт в интернете должен загружать защищённую версию по умолчанию, но в реальности всё не так красиво. На многих ресурсах защищённая версия — это необязательная опция. Именно для таких ситуаций подходит расширение HTTPS Everywhere, чтобы случайно не загрузить стандартную версию.
По сравнению с предыдущим мажорным релизом, в HTTPS Everywhere 5 представлены тысячи новых правил, интерфейс переведён на 16 новых языков, а ещё появился новый режим «Блокировать все запросы HTTP» (“Block All HTTP Requests”) для браузера Chrome.
Перед выпуском новой версии проведён серьёзный объём работы. Авторы столкнулись со слишком большим количеством пользовательских правок и добавлений к набору правил. Обработать такой объём вручную не представлялось возможным, поэтому пришлось разработать систему автоматической проверки каждого нового правила. Даже несмотря на это, иногда HTTPS Everywhere даёт сбои и блокирует доступ к сайту. Если такое случилось, то очень легко отменить правило для данного сайта: нажать на значок расширения и снять соответствующую галочку рядом с названием сайта.
Разработчики сильно зависят от армии добровольцев, которые постоянно вносят изменения в базу и пытаются поддерживать её в актуальном состоянии. Если какой-то сайт «ломается» в HTTPS Everywhere, то баг-репорты принимаются через Github или по электронной почте https-everywhere@lists.eff.org.
У нынешних пользователей HTTPS Everywhere обновление произойдёт автоматически. Остальные могут скачать расширение для Firefox, Opera 15+, Chromium, Chrome и Android с официального сайта.
Прошли те времена, когда Skype был независимой компанией и ставил одним из приоритетов криптографическую защиту трафика и обеспечение анонимности пользователей. Теперь всё иначе, так что озабоченным приватностью людям приходится искать альтернативы.
Разумеется, самой логичной альтернативой кажется ZRTP — криптографический протокол согласования ключей шифрования, специально разработанный для голосового трафика VoIP и выпущенный в 2006 году. ZRTP описывает метод получения ключей по алгоритму Диффи-Хелмана для организации соединения SRTP (Secure Real-time Transport Protocol). Согласование ключей происходит в том же потоке RTP, по которому установлена аудио/видео связь, то есть не требуется отдельный канал связи.
Новая программа Ghost Call использует протокол ZRTP для установления соединения, а непосредственная передача трафика происходит с помощью клиента Linphone (исходный код открыт), доступного на всех мобильных и десктопных платформах. VoIP-трафик можно пропускать через выходные узлы Tor, которые поддерживают TLS SIP. За счёт такой схемы мы скрываем свой IP-адрес от собеседника и от посторонних лиц, которые прослушивают трафик.
Ghost Call предлагает всем регистрировать анонимные телефонные номера, заходя через прокси или Tor. После этого можно осуществлять анонимные и защищённые звонки на другие номера Ghost Call.
По какой-то причине в качестве идентификаторов Ghost Call выбран формат стандартных телефонных номеров (см. скриншот), хотя, вроде бы, ничего не мешает использовать произвольные символы. Но как говорится, жираф большой, ему видней.
Разработчик предупреждает, что во время текущего бета-тестирования он сохраняет логи на сервере в течение 24 часов, прежде чем удалить.
Человеческая память не приспособлена для случайных символов и цифр. В то же время известно, что для составления достаточно надёжного пароля этого и не требуется. Можно подобрать достаточно длинную парольную фразу на человеческом языке, которая будет обладать такой же стойкостью, что и длинный пароль из случайных символов.
Мозгу человека нужна логическая последовательность. Если символы складываются в слова, а слова складываются во фразы — они гораздо лучше запоминаются. Кстати, эту технику используют чемпионаты мира по запоминанию случайных последовательностей карт. Они рассказывают, что каждая карта у них ассоциируется с определённым объектом, и тогда «случайная последовательность» превращается в длинную интересную историю с приключениями. Такую историю легче запомнить.
Джон Клементс (John Clements) из Калифорнийского политехнического университета (Cal Poly) разработал метод генерации парольных фраз на «английском» языке, используя цепи Маркова и словарь из произведений Чарльза Диккенса. Таким образом, можно генерировать 56-битные фразы вроде “The cusay is wither?”, эта фраза обладает такой же стойкостью, как сочетание вроде “tQ$%Xc4Ef”.
Модель Маркова работает очень просто. Программа изучает текст на входе (в данном случае, произведения Чарльза Диккенса на английском языке), а затем вычисляет вероятность сочетания букв друг с другом. Если ввести “ca”, то модель скорее предложит третью букву “car”, чем “caf”.
При генерации пароля достаточно ввести первые два символы, а модель уже достроит последовательность до нужной длины. Фраза всегда содержит нормально произносимые слова и относительно легко запоминается, даже если слова в реальности не существуют в английском языке.
Автор научной работы указывает на главное достоинство программы. Её можно натренировать на любом текстовом массиве, который не известен злоумышленнику и поэтому будет более устойчив к брутфорсу. Например, на архиве своих личных почтовых писем.
