• Microsoft
• xakep.ru

Подробности

Автор: marussia

Категория: IT

Опубликовано: 17 ноября 2020

Просмотров: 985

Рейтинг:  0 / 5

 Эксперты компании Microsoft в очередной раз подняли вопрос о небезопасности многофакторной аутентификации через телефон, то есть посредством одноразовых кодов в SMS-сообщениях или голосовых вызовов. Вместо этого компания призывает использовать более новые технологи, в том числе приложения-аутентификаторы и ключи безопасности.

 На этот раз предупреждение исходит от главы по безопасности идентификационной информации компании, Алекса Вейнерта (Alex Weinert). В прошлом году, ссылаясь на внутреннюю статистику Microsoft, эксперт писал, что пользователи, включившие многофакторную аутентификацию (МФА), были защищены от 99,9% автоматических атак на свои учетные записи. Однако теперь Вейнерт объясняет, что если у пользователя есть стоит между несколькими способами МФА, то ни в коем случае нельзя делать выбор в пользу телефона.

 Эксперт рассказывает, что многофакторная аутентификация через телефон может зависеть хотя бы от состояния телефонных сетей. Так как SMS-сообщения и голосовые вызовы передаются в открытом виде, они могут быть легко перехвачены злоумышленниками с помощью таких методов и инструментов, как SDR (Software-Defined Radio), FEMTO или различных багов SS7.

 Кроме того, одноразовые коды из SMS-сообщений могут быть извлечены с помощью опенсорсных и доступных фишинговых инструментов, таких как Modlishka, CredSniper или Evilginx. Или же сотрудники мобильных операторов могут быть обмануты мошенниками с целью подмены SIM-карты жертвы (такие атаки обычно называют SIM swap), что позволит злоумышленникам получать одноразовые коды МФА от лица цели.

 По словам Вейнерта, все это делает МФА на основе SMS-сообщений и голосовых вызовов «наименее безопасным из всех доступных на сегодня методов МФА». Специалист советует пользователям применять более мощный механизм многофакторной аутентификации, если таковой доступен, и рекомендует приложение Microsoft Authenticator. А если пользователи хотят только лучшего, им вообще следует использовать аппаратные ключи, которые Вайнерт еще в прошлом году называл лучшим решением в области МФА.

 Напомню, что высказанная Вейнертом точка зрения совсем не нова. Еще в 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».

Источник: https://xakep.ru/2020/11/12/no-sms-mfa/

• Facebook
• securitylab.ru

Подробности

Автор: marussia

Категория: IT

Опубликовано: 01 ноября 2020

Просмотров: 551

Рейтинг:  2 / 5

 Мошенники придумали новый способ обхода двухфакторной аутентификации (2FA) в социальной сети Facebook. Киберпреступники рассылают поддельные уведомления о нарушении авторских прав с угрозой удаления страниц, если пользователь не попытается подать «апелляцию». По словам исследователей из компании Sophos, суть «апелляции» заключается в предоставлении мошенникам логина, пароля и кода 2FA с мобильного устройства.

«Ни одна из этих тактик не нова — афера была просто интересной и информативной комбинацией. Во-первых, электронное письмо короткое и простое; во-вторых, ссылка в письме ведет на легитимный сайт, а именно Facebook; в-третьих, рабочий процесс на мошенническом сайте удивительно правдоподобен», — отметили эксперты.

 Поддельные электронные письма Facebook достаточно убедительны, чтобы побудить администраторов в социальных сетях нажать на вредоносную ссылку. В электронном письме содержится угроза удаления страницы жертвы, если «апелляция» не будет подана в течение 24 часов.

 Фишинговый URL-адрес отличается от связанного текста и перенаправляет жертву на домен .CF, расположенный в Центральноафриканской Республике.

 Сайт был временно настроен на облачном web-хостинге, который генерирует сертификат HTTPS после того, как сайт находится в режиме online, усложняя его обнаружение.

 Получив доступ к учетным данным жертвы в Facebook, злоумышленники могут выставить похищенную персональную информацию в даркнете, использовать ее для взлома или удаления страниц, требований выкупа или даже совершения мошеннических покупок в приложениях.

Источник: https://www.securitylab.ru/news/513570.php

• интернет
• google
• securitylab.ru

Подробности

Автор: marussia

Категория: IT

Опубликовано: 09 октября 2020

Просмотров: 499

Рейтинг:  3 / 5

 Ничто так не характеризует человека, как его история поиска в интернете, и для того чтобы получить столь важные сведения о пользователе, сотрудникам правоохранительных органов требуется решение суда. Тем не менее, как показывают недавно рассекреченные судебные материалы, следователи могут действовать и в обратном порядке – запрашивать не историю поиска конкретного подозреваемого, а перечень всех пользователей, вводивших в поисковик определенные ключевые слова.

 Как сообщает CNet, в августе нынешнего года полиция арестовала помощника певца R. Kelly, обвиняемого в сексуальных домогательствах, Майкла Уильямса (Michael Williams) за поджог автомобиля свидетеля в штате Флорида. Ему были предъявлены обвинения в давлении на свидетеля и поджоге после того, как полиция запросила у Google информацию о тех, кто гуглил адрес владельца автомобиля примерно в то время, когда был осуществлен поджог.

 Согласно материалам суда, Google предоставила полиции IP-адреса пользователей, искавших адрес жертвы, и ей удалось связать IP-адрес с номером телефона Уильямса. По этому номеру следствие смогло установить местонахождение подозреваемого на момент пожара и подтвердить, что именно он осуществил поджог.

 Такие ордеры на раскрытие пользователей по ключевым словам (так называемые ордеры «keyword») похожи на ордеры «geofence» , когда полиция запрашивает у Google данные обо всех устройствах, зарегистрированных поблизости места преступления в определенное время.

 Как сообщили представители Google в четверг, 8 октября, компания заботится о защите конфиденциальности своих пользователей, при этом оказывая содействие правоохранительным органам.

«Мы требуем судебные ордеры и стремимся сузить рамки конкретных требований, если они слишком широки, в том числе путем опротестования в суде, если это необходимо. Запросы на раскрытие этих данных составляют менее 1% от общего числа ордеров и небольшую часть от общих запросов на раскрытие пользовательских данных, которые мы получаем в настоящее время», - сообщил директор по работе с правоохранительными органами и информационной безопасности Google Ричард Салгадо (Richard Salgado).

Источник: https://www.securitylab.ru/news/512873.php

• google

Подробности

Автор: marussia

Категория: IT

Опубликовано: 05 октября 2020

Просмотров: 389

Рейтинг:  3 / 5

 Google обновила политику пользования ее магазином приложений: корпорация делает обязательным использование ее платежной системы для цифровых покупок в Google Play. Новые правила вступят в силу через год, 30 сентября 2021 года.

 Обновление политики пользования означает, что через год у разработчиков приложений не останется возможности получать платежи от пользователей напрямую, с помощью кредитных карт, или через сторонние платежные системы. А значит, все партнеры Google должны будут платить комиссию 30% с каждого платежа пользователей в Google Play. Таким образом, Google ввела такие же правила для разработчиков приложений, как и у Apple.

 Напомним, что обе эти корпорации являются ответчиками по искам Epic Games, требующей отменить правило 30-процентной комиссии. На сторону Epic Games уже встали и другие технологические компании, включая Spotify, Match Group (владеет Tinder и другими сервисами знакомств) и Blockchain.com,— все они стали основателями коалиции против Apple.

Источник: https://www.kommersant.ru/doc/4511075

• телефон
• cnews.ru

Подробности

Автор: kermit

Категория: IT

Опубликовано: 14 сентября 2020

Просмотров: 726

Рейтинг:  3 / 5

 В протоколе Bluetooth выявлена проблема, позволяющая перезаписывать или снижать устойчивость ключа спаривания, вследствие чего прослушивать чужие коммуникации. Это чревато различными проблемами для конечных пользователей.

Двойной режим, общая проблема

 В протоколе беспроводных соединений Bluetooth версий 4.0 и 5.0 обнаружена критическая уязвимость, позволяющая частично перезаписывать или снижать устойчивость ключа спаривания. Баг получил название BLURtooth. Ему подвержены устройства с поддержкой двойного режима Bluetooth, то есть практически все современные смартфоны и иные устройства, оснащенные Bluetooth.

 BLURtooth можно эксплуатировать для атак на устройства с поддержкой как режима Bluetooth Classic (более высокоскоростного соединения), так и Low Energy, при условии, что устройства используют метод соединения Cross-Transport Key Derivation (CTKD).

 Как установили эксперты Координационного центра реагирования на угрозы при Университете Карнеги-Меллона, CTKD используется для спаривания устройств с поддержкой двухрежимного Bluetooth, процедура осуществляется однократно для обоих режимов. В процессе генерируются долговременный ключ (Long Term Keys) и связующие ключи (Link Keys). Когда передача данных требует более высокий уровень безопасности, эти ключи могут быть перезаписаны.

 Это обстоятельство и открывает возможность для атаки BLUR, которая позволяет снизить устойчивость ключа или перезаписать авторизованный ключ неавторизованным, так что злоумышленник получает дополнительный доступ к другим приложениям и службам на целевом устройстве.

 В протоколе Bluetooth выявлена проблема, позволяющая перезаписывать или снижать устойчивость ключа спаривания, вследствие чего прослушивать чужие коммуникации
Речь также может идти об атаке «человек посередине», то есть, возможности вклиниваться и подслушивать чужие коммуникации.

Патчей нет

 Поскольку найденная ошибка существует на уровне протокола, патча для нее не существует. Единственный способ противодействовать атакам - это контролировать среду, в которой происходит спаривание устройств.

«У соединений Bluetooth ограниченный диапазон действия, так что наиболее вероятный практический сценарий MITM-атаки - это общественные места: транспорт, фудкорты в торговых центрах или кинотеатры, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Что касается исправлений, то они, скорее всего, выйдут в ближайшие месяцы в форме обновления прошивок. Не факт, что все уязвимые устройства получат обновления».

 Эксперт отметил также, что устройства с поддержкой Bluetooth 5.1 снабжены функциями, позволяющими застраховаться от атак: конкретнее, стандарт BT 5.1 позволяет ограничить функции перезаписи ключей в CTKD, но их надо специально активировать.

Источник:https://www.cnews.ru/news/top/2020-09-11_vse_sovremennye_smartfony

• фсб
• Telegram

Подробности

Автор: marussia

Категория: IT

Опубликовано: 12 сентября 2020

Просмотров: 458

Рейтинг:  0 / 5

 По словам руководителя компании «Интернет-розыск» Игоря Бедерова, о массовой слежке за гражданами речь не идет.
 ФСБ способно расшифровывать несекретные чаты в Telegram, но о массовой слежке за пользователями речь не идет. Об этом в интервью всероссийскому образовательному проекту «Цифровая журналистика» рассказал глава компании «Интернет-розыск» Игорь Бедеров .

 По словам Бедерова, сотрудники ФСБ могут читать переписку в Telegram конкретных граждан в рамках конкретных уголовных дел, а не все сообщения всех пользователей мессенджера. Как пояснил эксперт, для начала эти подозреваемые должны быть идентифицированы. С этой целью сотрудники ФСБ, в распоряжении которых есть привязанный к Telegram номер телефона нужного пользователя, могут обратиться к оператору связи и обязать его пропускать трафик этого пользователя через специальные продукты. В частности, через «молотилку» - специальный анализатор, способный выявлять трафик Telegram в потоке общего трафика пользователя, и «расшифровку» - решение для расшифровки несекретной переписки в мессенджере.

 По словам Бедерова, он лично «видел разработку по расшифровке несекретных чатов Telegram» в Санкт-Петербурге. «Насколько я знаю, в МВД она не применяется вообще. В ФСБ об этом умалчивают», - добавил он.

Источник: https://www.securitylab.ru/news/511995.php

• Россия
• Интересное

Подробности

Автор: marussia

Категория: IT

Опубликовано: 14 июля 2020

Просмотров: 485

Рейтинг:  0 / 5

 Пользователи платежной системы PayPal в России с 31 июля не смогут отправлять деньги другим людям внутри страны или получать от них средства, указано в уведомлении о смене политики на сайте PayPal. Сервисы PayPal будут работать в обычном режиме, но только для расчетов с зарубежными пользователями.

 PayPal работает в России с 2006 г., тогда сервис позволял российским пользователям только оплачивать товары и услуги с помощью кредитных карт. Возможность платить в рублях и выводить средства на банковский счет появилась в российской версии сервиса в 2013 г. Офис PayPal в Москве будет сохранен, передает ТАСС заявление компании.

 С 4 июля в России вступили в силу поправки в закон «О национальной платежной системе». Изменения запрещают операторам электронных денежных средств передавать за рубеж сведения о платежах, осуществляемых на территории России.

Источник:https://www.vedomosti.ru/finance/news/2020/07/09/834289-paypal-rossii

• google
• android
• securitylab.ru

Подробности

Автор: marussia

Категория: IT

Опубликовано: 03 июля 2020

Просмотров: 684

Рейтинг:  1 / 5

 С новой версией SafetyNet некоторые приложения перестанут работать на устройствах, чьи владельцы получили права суперпользователя.

 Одним из главных преимуществ ОС Android является ее открытость – пользователи могут сами выбирать лаунчеры и приложения по умолчанию. Многих также подкупает возможность получать на Android-устройствах права суперпользователя и устанавливать свои версии прошивки. Тем не менее, вскоре пользователи могут ее лишиться, так как Google намерена усилить безопасность своей мобильной ОС.

 Процесс получения прав суперпользователя на Android-устройстве предполагает эксплуатацию уязвимостей. Для установки кастомизированной прошивки нужно разблокировать загрузчик ОС, что поддерживается (но не рекомендуется) некоторыми производителями электроники, в частности Sony. Однако последняя версия SafetyNet от Google будет воспринимать подобные действия как взлом.

 SafetyNet представляет собой набор API, позволяющий приложениям проверять устройство на предмет компрометации. SafetyNet жизненно необходим банковскому и финансовому ПО, но и другие приложения (например, Pokemon GO и McDonald’s) тоже им пользуются. В прошлом фреймворки для получения прав суперпользователя на Android-устройстве наподобие Magisk могли использовать те же API, чтобы «убедить» приложения, будто смартфон не был взломан. Однако с новой версией SafetyNet они лишились такой возможности.

 Как сообщают разработчики из XDA Developers, SafetyNet стал незаметно удостоверять аппаратное обеспечение с целью проверки целостности устройства. В частности, проверяется статус разблокировки загрузчика, наличие на устройстве ПО для получения прав суперпользователя и подписанных прошивок и пр. Другими словами, с обновленным SafetyNet скрыть от приложений факт взлома устройства практически невозможно.

 Стоит отметить, что получать права суперпользователя и устанавливать кастомизированные прошивки по-прежнему можно. Тем не менее, в таком случае обращающиеся к SafetyNet приложения перестанут работать, и пользователям придется выбирать, что им важнее – права суперпользователя или работа с ключевыми приложениями.

Источник:https://www.securitylab.ru/news/509673.php

• МВД
• securitylab.ru

Подробности

Автор: marussia

Категория: IT

Опубликовано: 20 мая 2020

Просмотров: 528

Рейтинг:  2 / 5

 Как считают в МВД, действующих статей в кодексе вполне достаточно для борьбы с фишингом, социальной инженерией и пр.

 МВД РФ не поддержало предложение добавить в Уголовный кодекс отдельные статьи для социальной инженерии, фишинга и кражи SIM-карт. Об этом во вторник, 19 мая, сообщили журналисты «РБК», в чьем распоряжении оказалось письмо врио начальника департамента информационных технологий, связи и защиты информации МВД Юрия Войнова, адресованное департаменту информационной безопасности Минкомсвязи.

 Ввести в УК новые составы преступлений было предложено в рамках «Системы мер по противодействию мошенничеству в отношении граждан и бизнеса с использованием методов социальной инженерии, фишинга и вредоносного ПО». Предполагалось, что МВД должно будет включить эти меры в план мероприятий федерального проекта «Информационная безопасность» национальной программы «Цифровая безопасность».

 Согласно письму Войнова, от создания вышеупомянутой системы мер лучше отказаться, поскольку ее реализация «приведет к выполнению МВД несвойственных функций и отвлечению личного состава органов внутренних дел от осуществления правоохранительной деятельности».

 По его словам, в УК уже есть статьи, которых вполне достаточно для борьбы с киберпреступлениями. К примеру, за кражу SIM-карт предусмотрена уголовная ответственность, если стоимость похищенного имущества превышает 2,5 тыс. руб., а если меньше – то административная ответственность. Как отметил Войнов, наказание за социальную инженерию и фишинг предусмотрено статьями УК «Кража», «Мошенничество», «Мошенничество в сфере компьютерной информации» и «Мошенничество с использованием средств платежа».

Источник:https://www.securitylab.ru/news/508462.php

• Павел Дуров

Подробности

Автор: marussia

Категория: IT

Опубликовано: 15 мая 2020

Просмотров: 501

Рейтинг:  1 / 5

 Вечером 12 мая 2020 года Павел Дуров опубликовал заявление, согласно которому работа над блокчейн-проектом TON и криптовалютой Gram прекращается.

 Напомню, что первая информация об этом проекте появились в феврале 2018 года, когда Павел Дуров зарегистрировал компании TON Issuer и Telegram Group в Комиссии по ценным бумагам и биржам США (SEC). За два раунда закрытого ICO команде удалось привлечь инвестиции в размере 1,7 миллиарда долларов от 175 инвесторов в США и за их пределами.

 О том, что такое TON и что должен был представлять собой проект, мы подробно рассказывали в прошлом году. Однако теперь описанному в той статье вряд ли суждено сбыться. Ниже мы приводим перевод заявления Павла Дурова, которое объясняет, с какими трудностями пришлось столкнуться команде и почему проект завершен (спойлер: Дуров назвал основной причиной неудачи юридические проблемы с властями США).

«Последние 2,5 года ряд наших лучших инженеров работал над блокчейн-платформой нового поколения под названием TON и криптовалютой, которую мы собирались назвать Gram. TON была создана, чтобы разделять принципы децентрализации, разработанные Bitcoin и Ethereum, но значительно превзойти их по скорости и масштабируемости.

 Мы очень гордились результатом — созданная нами технология позволяла осуществлять открытый, свободный, децентрализованный обмен ценностями и идеями. После интеграции с Telegram TON мог произвести революцию в сфере того, как люди хранят и переводят свои средства и информацию.

 К сожалению, американский суд не позволил TON случиться. Почему? Представьте себе, что несколько человек собрали деньги, чтобы построить на них золотодобывающую шахту, а потом поделить между собой золото, которое та производит. А затем пришел судья и сказал: "Эти люди вложили деньги в золотодобывающую шахту, потому что хотели получать прибыль. Они не собирались добывать золото для себя, они хотели продавать его другим людям. Поэтому им нельзя добывать золото".

 Если это кажется вам какой-то бессмыслицей, то вы не одиноки. Однако именно это произошло с TON (шахта) и Gram (золото). Судья использовал такую аргументацию и постановил, что людям нельзя покупать или продавать Gram, как они могут покупать или продавать биткоины.

 Еще более парадоксальным является тот факт, что американский суд постановил, что Gram не может распространяться не только на территории США, но и во всем мире. Почему? Потому что, по словам судьи, граждане США могут найти какой-либо способ доступа к платформе TON после ее запуска. А значит, чтобы предотвратить это, Gram нельзя распространять нигде в мире, даже если другие страны на планете, судя по всему, не имеет ничего против TON.

 Данное судебное решение подразумевает, что другие страны не обладают суверенитетом, чтобы решать, что хорошо, а что плохо для их собственных граждан. Но если США вдруг решит запретить кофе и потребует закрыть все кофейни в Италии (потому там может оказаться какой-нибудь американец), сомневаемся, что на это кто-либо согласится.

 И все же, несмотря на это, мы приняли трудное решение не продолжать [работу над] TON.

 К сожалению, американский судья прав в одном: мы, люди за пределами США, можем голосовать за наших президентов и избирать наши парламенты, но мы по-прежнему зависим от США, когда речь заходит о финансах и технологиях (к счастью, не о кофе). США могут использовать свой контроль над долларом и глобальной финансовой системой, чтобы закрыть любой банк или банковский счет в мире. Они могут использовать свой контроль над Apple и Google для удаления приложений из App Store и Google Play. Так что да, это правда: другие страны не обладают полным суверенитетом и возможностью разрешать что-либо на своей территории. К сожалению, мы — 96% населения планеты, живущего в других странах — зависим от принимающих решения лиц, которые избираются 4% жителей США.

 В будущем это может измениться. Однако сейчас мы находимся в порочном круге: нельзя привнести больше баланса в излишне централизованный мир именно из-за того, что он настолько централизованный. Хотя мы пытались. Теперь мы оставляем это следующим поколениям предпринимателей и разработчиков, чтобы они подхватили это знамя и учились на наших ошибках.

 Я пишу этот пост, чтобы официально объявить о том, что активная работа Telegram над TON окончена. Вы можете видеть — или, возможно, уже видели — многочисленные сайты, использующие мое имя, бренд Telegram или аббревиатуру TON для продвижения своих проектов. Не доверяйте им свои деньги или данные. Ни нынешние, ни бывшие члены нашей команды не участвуют ни в одном из этих проектов. Хотя в будущем сети, основанные на технологии, которую мы построили для TON, могут появиться, мы не будем иметь к ним никакого отношения и вряд ли когда-нибудь станем поддерживать их каким-либо образом. Так что будьте осторожны и не дайте никому ввести вас в заблуждение.

 Я хочу завершить этот пост пожеланием удачи всем тем, кто стремится к децентрализации, равновесию и равенству в мире. Вы сражаетесь за правое дело. Эта битва вполне может оказаться самой важной битвой нашего поколения. Мы надеемся, что вы добьетесь успеха там, где мы потерпели неудачу».

 Напомним, что в конце прошлого месяца Дуров уведомил инвесторов Telegram Open Network о том, что запуск платформы в очередной раз откладывается из-за разбирательств с Комиссией по ценным бумагам и биржам США (SEC), а также из-за запрета американского суда на распределение токенов Gram.

 Тогда Дуров предложил инвесторам сделку: забрать 72% вложенных средств или подписать новый договор, дав проекту возможность запустить сеть до 30 апреля 2021 года. В последнем случае инвесторам предлагали получение Gram или другой криптовалюты по итогу запуска, либо возврат 110% средств. Дуров даже заявлял о готовности продать часть доли в Telegram в случае неудачи.

 Чуть позже инвесторы получили еще ряд писем от разработчиков, где условия сделки были скорректированы. Так, американским инвесторам, по сути, отказали в дальнейшем участии в проекте, но пообещали вернуть 72% средств. Остальным же сообщили, что они все же не получат ни Gram, ни другую криптовалюту «из-за неопределенного отношения соответствующих регулирующих органов». Вместо этого инвесторам предложили рассмотреть их вложения в проект как кредит под 52,77% годовых, чтобы те могли рассчитывать на возврат 110% своих первоначальных вложений к 2021 году.

Источник:https://xakep.ru/2020/05/12/ton-is-done/