Ученые рассказали, как АНБ «слушает» зашифрованный трафик
2015-10-19 10:30 Мария Нефёдова
Еще в 2013 году Эдвард Сноуден говорил о том, что Агентство Национальной Безопасности (АНБ) способно перехватывать VPN-трафик и взламывать практически любое шифрование (в том числе, SSH и HTTPS). Однако Сноуден не объяснял, каким образом АНБ это делает. Годом ранее, о той же проблеме писал и Джеймс Бамфорд (James Bamford), ссылаясь на анонимные источники. Теперь завеса тайны над методами АНБ приоткрыта. Информация экспертов не являлась преувеличением, вероятнее всего, АНБ пользуется слабыми местами в протоколе Диффи-Хеллмана.
Вредонос подменяет собой весь браузер сразу
2015-10-19 11:30 Мария Нефёдова
Специалисты компании Malwarebytes обнаружили весьма интересный образчик вредоносного ПО. Малварь, получившая имя eFast Browser, стремится подменить собой весь браузер жертвы вообще, вместо того, чтобы заражать существующий.
Инженер компании Microsoft Дэйл Майерс (Dale Myers) обнаружил неприятную особенность в работе популярной программы для хранения паролей 1Password. Проблемасопряжена с функцией1PasswordAnywhere, которая позволяет пользоваться сервисом где и когда угодно, не прибегая для этогок клиентскому ПО 1Password. Данная функция использует формат Agile Keychain, то есть пользовательские данные, фактически, хранятся в виде JavaScript-файлов. JavaScript не самый плохой формат для подобных целей, — к нему вполне можно применить шифрование и обезопасить информацию. Однако Майерс обнаружил, что авторы 1Password этого не сделали. Данные хранятся в открытом виде.
Если посмотреть на .agilekeychain-«файл» на диске, окажется, что это вовсе не файл, а директория, в которой можно обнаружить файл 1Password.html. Если открыть его через HTTP, вы увидите серую страницу, иконку, изображающую замок и предложение ввести пароль. После ввода мастер-пароля можно разблокировать keychain и получить доступ к информации.
Проблема в том, что метаданные пользователя не шифруются. Майерс обнаружил это, когда у него произошел сбой синхронизации с Dropbox, где он хранит свой keychain. Сбой возник с файлом 1Password.agilekeychain/data/default/contents.js. Майерс, как человек любопытный, открыл этот файл, желая посмотреть, что там внутри. И был бесконечно удивлен, обнаружив имена и адреса всего, что содержится в его 1Password. В виде простого, незашифрованного текста.
Для тех, кто подумал «и что здесь такого?», Майерс поясняет. Любой, кто узнает ссылку на основную страницу логина keychain пользователя, может чуть изменить ее и добраться до вышеупомянутого файла. В файле злоумышленник может обнаружить адреса и данные компрометирующие пользователя: порносайты и другие ресурсы, посещение которых человек, возможно, не хотел бы афишировать. Кроме того, злоумышленнику станет известно, лицензии какого софта есть у жертвы, каким банком она пользуется, какие ресурсы посещает и так далее.
Еще одна проблема, обнаруженная Майерсом – адрес страницы логина сохраняется в файле, в виде https://example.com/login. В 99% случаев это не страшно, но остается1% случаев, когда это проблема. Исследователь приводит простой пример. Недавно ему пришлось поменять пароль у своего интернет-провайдера. Как обычно и бывает в таких случаях, на email Майерсу пришла ссылка для сброса пароля. Он кликнул по ней, ввел новый пароль и нажал «применить». В ту же секунду 1Password спросил, нужно ли сохранить данные. Майерс нажал «сохранить», и новый пароль сохранился в keychain. Но что если снова открыть присланное провайдером письмо и кликнуть по ссылке сброса пароля еще раз? Разумеется, Майерс снова попал на страницу сброса пароля, так как провайдер не проверяет, использовалась ли ссылка до этого. И теперь эта ссылка сохранилась среди других метаданных 1Password, доступная, теоретически, кому угодно. Любой человек может просто скопировать ее себе в браузер и перехватить контроль над аккаунтом Майерса.
Майерс основательно покопался в поисковиках и нашел другие примеры keychain, помимо своего. Изучив их, он пришел к выводу, что узнать о человеке по keychain можно слишком многое: адрес проживания, место работы, даже имена жены и детей. Не говоря уже о его логинах и паролях, как в примере выше.
Исследователь немедленно связался с разработчиками 1Password – компанией AgileBits, сообщив им о проблеме. Оказалось, что разработчики не просто знают об этой слабости своего детища, но специально спроектировали его таким образом. По данным Майерса, 1Password работает именно так, потому что этопозволяет улучшить его производительность. По логике разработчиков, шифровать метаданные, наряду с паролями, [...]
Что отпугивает на собеседованиях: 20 практических советов от работодателей
2015-10-19 13:30 Ilya Rusanen Для подписчиков Для большинства из нас рано или поздно встает вопрос поиска работы. Опытные соискатели знают, как правильно вести себя на собеседовании, что можно и чего нельзя делать, и что приведет будущего работодателя в недоумение при приеме на техническую должность. Ну а как быть, если у тебя за плечами нет большого опыта поиска работы? Мы кинули клич нашим друзьям из крупных технологических компаний РФ и попросили рассказать, что отпугнет их в соискателе на должность программиста при приеме на работу.
