Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 12910 сообщений
Cообщения с меткой

информационная безопасность - Самое интересное в блогах

Следующие 30  »
rss_rss_hh_new

[Из песочницы] Метод гарантирования доверия в блокчейнах

Понедельник, 25 Сентября 2017 г. 18:02 (ссылка)






AlexeyVPolunin


сегодня в 18:02

Разработка





Метод гарантирования доверия в блокчейнах










Главной задачей для блокчейна в любой информационной системе является обеспечение доверия в среде, исключающей такое доверие по умолчанию. В качестве иллюстрации этой проблемы часто приводится задача о «византийских генералах». Не буду на ней подробно останавливаться, в Интернете найдется немало материалов. Вкратце, эта задача описывает процесс принятия решения в абсолютной анархической среде, где каждый за себя и никому не верит.



Консенсус как ахиллесова пята блокчейна



Но тотально не верить никому не получится, рано или поздно даже самый убежденный анархист должен принимать решение о доверии к другому индивидууму. В случае криптовалют, как первого практического использования технологии блокчейна, такое доверие основано на согласии (консенсусе) подавляющего большинства пользователей относительно произошедших финансовых транзакций.



Следует уточнить, согласие требуется не от обычных пользователей криптовалюты или, в общем случае, информационных систем, использующих технологию блокчейна, а среди майнеров, которые специализируются на формировании очередных блоков цепочки, и держателей полной копии блокчейна. По мере роста цепочки блоков снижается относительное число субъектов, определяющих консенсус. Процесс формирования и принятия новых блоков от равноправной модели стремится к централизованной. Именно это потенциально создает ситуацию, когда доверие обычных пользователей к определенной криптовалюте или информационной системе может быть сильно поколеблено.



На начальном этапе развития систем, использующих блокчейны, например, Биткоин, в число лиц, участвующих в выработке консенсуса мог войти любой желающий. Правило не изменилось и сегодня, но постепенно вырос заградительный порог для полноценного участия в этом процессе. Это заметное увеличение размера самого блокчейна и рост требований к вычислительной мощности.



Реальность такова, что в упомянутой системе Биткоин осталось лишь небольшое число игроков, формирующих консенсус. По данным сайта Blockchain.info легко в этом убедиться.



Текущие данные по распределению вычислительных мощностей доступны по ссылке blockchain.info/pools. Как видим, реальное число игроков не превышает двух десятков, а доминирует всего 5-6. В случае Биткоина, более 80% вычислительных ресурсов сосредоточено в одной всем известной азиатской стране.



Такая ситуация открывает далеко не гипотетическую возможность манипуляций с блокчейном в интересах некоторой группы лиц. Но не только Биткоин, все текущие реализации информационных систем на основе блокчейна в той или иной мере страдают этим недостатком. Существующие и вновь предлагаемые методы доверия, такие как PoW, PoS, DPoS, PoA, PoB, PoC и т.п., тоже не избавлены от подобных проблем. Порой манипуляции «освящаются» большой частью пользователей системы, как это было в примере с откатом в Эфириуме для восстановления справедливости после кражи монет в крупном масштабе. Это не только привело к форку со стороны недовольных, но так же поставило под сомнение использование Эфириума как среды для смарт-контрактов. Лично я не рискнул бы полагаться на этот блокчейн для подтверждения, например, своих прав на квартиру или земельный участок.



Риски подмены данных



Несмотря на обилие вариантов консенсуса внутри блокчейна всегда существует вероятность волюнтаризма в принятии решения по данным, хранящимся в блокчейне. В блокчейнах, основанных на механизме консенсуса PoW, требующим огромной вычислительной мощности и столь же колоссальных энергетических затрат, вероятность коррекции тем меньше, чем старше блок. Но чем дальше, тем PoW становится крайне затратным и неэффективным способом обеспечения доверия. Он защищает прошлое от «подчисток», но в условиях централизации де-факто не гарантирует сохранность текущего.



Альтернативные методы, призванные снизить зависимость от вычислительной мощности, позволяют заново переписать историю блокчейна в сравнительно короткое время. Ведь эти методы искусственно ограничивают число участников консенсуса и требуемые вычислительные мощности.



Не стоит забывать, что блокчейн может создаваться и поддерживаться вообще без всякого консенсуса, например, блокчейны в независимых корпоративных информационных системах или в государственных информационных системах. Понятно, что такие системы могут вообще обойтись без блокчейна, чья роль заключается именно в гарантировании степени доверия. Если пользователь доверяет государственному институту в целом, то вполне может доверять его информационной системе. Но от имени государства или крупной компании выступают отдельные чиновники или сотрудники, поэтому нельзя исключать, что в силу злого умысла или банальных ошибок информация окажется искаженной. В условиях цифрового мира это может превратиться в катастрофу для отдельного индивидуума. Поэтому вопрос о степени доверия и гарантии неизменности данных становятся жизненно важными. Рано или поздно это подтолкнет государственные структуры и частные компании к внедрению блокчейнов в свои информационные системы.



Возникает закономерный вопрос: можно ли обеспечить гарантированный уровень доверия без использования избыточных вычислительных мощностей и в условиях реальной централизации при создании цепочки блоков?



Круговая порука как разновидность консенсуса



Такой способ есть, он заключается в изменении принципа консенсуса. В настоящее время консенсус в блокчейне отдельной информационной системе является внутренним процессом.

А если заменить внутренний консенсус на внешний? Точнее не консенсус в первоначальном смысле, а шире, делегировать подтверждение доверия в другие информационные системы. Иными словами, отдельные и независимые друг от друга блокчейны добровольно обмениваются значениями хэшей текущих сформированных блоков. Полученные хэши могут размещаться в блоках в виде особых записей, особых транзакций. Это не потребует коренной перестройки алгоритмов работы блокчейн-систем, но позволит гарантировать доверие по принципу all-round bail. В вольном русском переводе это звучит как «круговая порука».







Такой добровольный обмен хэшами решает ряд проблем.



Во-первых, участие любой информационной системы в этом обмене дает понять ее пользователям, что они получают гарантии неизменности информации, ранее занесенной в блокчейн этой системы. Ведь благодаря взаимному обмену хэшами и открытости самих хэшей легко проверить не вносились ли «задним числом» какие-нибудь корректировки в записи базы данных. Особенно это важно для проектов, не предусматривающих состязательности майнеров. Например, для корпоративных и государственных блокчейнов. Сам факт участия любого блокчейна в такой системе цифровой «круговой поруки» делает его привлекательным для пользователя.



Во-вторых, исчезает необходимость безумной гонки вычислительных мощностей, ведь гарантирование сохранения главной ветки цепочки блоков переносится на внешние системы. При этом практически полностью устраняется возможность сговора между участниками добровольно-взаимного обмена хэшами. Чем их больше, тем меньше вероятность закулисного соглашения. Ситуация возвращается к истокам на новом качественном уровне, вместо равноправия между пользователями внутри системы, как основы консенсуса, возникает равноправие между системами.



В-третьих, появляется возможность создания блокчейн-систем различной топологии, не ограничиваясь нынешней «плоской» Р2Р. Благодаря делегированию доверия можно создавать «многомерные» конструкции, например, иерархически-централизованные системы с единым центром формирования блоков. Это решит проблему низкой скорости транзакций, свойственную, скажем, Биткоину. Доступность различных топологических схем позволит внедрять технологию блокчейна в существующие корпоративные, общественные и государственные информационные системы без их кардинальной перестройки.



Можно еще перечислять перспективы, открывающиеся при внедрении механизма взаимного обмена хешами между независимыми блокчейнами, но особо отмечу возможность перехода на новое качество смарт-контрактов.



Близкими аналогами предлагаемого метода является система с permissioned blockchain (дочерними, зависимыми блокчейнами) в Эфириуме, а так же Exonum компании Bitfury Group.



Пример решения на принципе «круговой поруки»



Упомянутое решение по взаимному обмену хэшами между различными цепочками блокчейнов было разработано в рамках реализации проекта Business Trust Rating System. Проект еще не завершен, но на описанную выше ключевую технологию решения подана патентная заявка. Одновременно с упомянутым проектом ведутся работы над некоммерческим проектом, позволяющим обеспечить асинхронный обмен хешами между независимыми блокчейнами и создать механизм проверки доверия к любому блокчейну любым желающим.



В принципе, независимые блокчейны могут обмениваться хэшами текущих блоков непосредственно, как указано на рисунке:







Такая схема вполне возможна, но она имеет ряд ограничений.



Во-первых, низкая масштабируемость. При росте числа участников возникнет множество организационных и технических проблем по их взаимодействию.



Во-вторых, даже при двух участниках возникает проблема синхронизации, ведь период формирования блоков в каждом блокчейне свой, порой отличающийся на порядок.



В-третьих, не совсем очевиден процесс контроля за достоверностью данных со стороны пользователя.



Независимый центр обмена (DLT Trust) в виде некоммерческой и общественной организации способен нивелировать указанные проблемы. Принцип его работы достаточно прост. Какой-нибудь блокчейн A после формирования очередного блока отсылает его хэш в данный центр обмена и в ответ получает актуальные хэши других блокчейнов (B и C) на текущий момент. Полученные хэши блокчейн записывает в очередной блок в виде специальной транзакции. Таким образом, достигается распределенное хранение хэшей, продублированное по числу участников обмена.



В настоящее время рассматривается два варианта хранения: отдельная запись для каждого блокчейна или запись результирующего хэша, полученного по алгоритму дерева Меркла.







Механизм проверки достоверности хэша любого блока любого блокчейна прозрачен для пользователя, желающего удостоверится в неизменности данных в конкретном блоке. Для этого он отправляет запрос в систему DLT Trust, содержащий атрибуты интересующего его блока. Система по указанным атрибутам ищет подтверждение значения хэша выбранного блока в соответствующих блоках других блокчейнов. Если все совпадает, то пользователь получает сообщение о неизменности ранее записанных данных.



Указанный механизм способен выявить факт подмены данных, например, в блокчейнах, формируемых без внутреннего консенсуса или в условиях ограниченного внутреннего консенсуса. Владелец такого блокчейна обладает возможностью изменить интересующую его запись и заново перестроить блокчейн, начиная с измененного блока для сохранения целостность цепочки, но уже с новыми значениями. Наличие копий хэшей предыдущего варианта блокчейна во множестве независимых других блокчейнах делает эту операцию бессмысленной. Достаточно одного факта несовпадения, чтобы пользователи навсегда утратили доверие к такой информационной системе.


Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/338696/

Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Comodo Group сообщают о четырехкратном увеличении числа киберугроз

Понедельник, 25 Сентября 2017 г. 11:53 (ссылка)




VASExperts


сегодня в 11:53

Разработка





Comodo Group сообщают о четырехкратном увеличении числа киберугроз










    Компания Comodo Group Inc. сообщает, что во втором квартале этого года количество вредоносных программ выросло почти в 4 раза по сравнению с первым кварталом. Согласно отчету, количество заражений увеличилось с 25 млн до 97 млн.



    По данным Лаборатории Касперского, им удалось обнаружить и отразить 45 тыс. атак червя WannaCry в более чем 74 странах. А Petya, новая итерация которого (NotPetya) появилась 27 июня, поразил 2 тыс. компаний с помощью EternalBlue.





    / Flickr / Christoph Scholz / CC



    Чаще всего заражения происходили с помощью троянов — 5,8 млн случаев. За ними следуют черви — 4,5 млн заражений и 2,6 млн традиционных вирусов. Также было выявлено 209 тыс. использований бэкдоров.



    «Инфекции» были зафиксированы в 236 из 253 доменов высшего уровня. Лидерами по числу атак оказались Россия, Индонезия и Филиппины. США же заняли первое место по числу заражений «троянскими конями».



    Как заявляют в Comodo, вирусы и черви чаще всего встречаются в странах со слабой экономикой, поскольку хорошо работают в слабозащищенных сетях. Бэкдоры же встречались чаще в богатых странах и носили целевой характер: в Австралии, Великобритании и Японии.



    Поэтому многие государства усиливают работу в сфере противодействия киберпреступлениям. Холгер Мунк (Holger Muench), президент Федерального ведомства уголовной полиции Германии призывает к ужесточению законов для борьбы с киберпреступностью в даркнете и другими криминальными группировками. А Япония запускает несколько тренировочных центров для подготовки специалистов по безопасности и исследования кибергуроз.



    В США член палаты представителей штата Джорджия Том Грейвс (Tom Graves) внес на рассмотрение законопроект, предоставляющий жертвам продолжающихся кибератак более широкие права, касающиеся ответных действий. В частности, пострадавшие от деятельности хакеров смогут предпринимать агрессивные контрмеры для защиты своей информации, то есть взламывать системы злоумышленников в ответ. Документ также описывает «активные меры киберзащиты», под которыми подразумеваются: установление преступника и передача этой информации правоохранительным органам.



    Россия также принимает участие в мировой борьбе с киберпреступностью, представив проект конвенции ООН «О сотрудничестве в сфере противодействия информационной преступности». Он описывает техническое и правовое взаимодействие сторон в сфере информационно-коммуникационных технологий.



    Чего ожидать к концу года



    Согласно прогнозам РАЭК и отчету об актуальных киберугрозах от Positive Technologies, число и сложность атак будут только расти. Есть даже вероятность еще одной крупной атаки типа DDoS, так как сервисы-вымогатели по сдаче троянов в аренду продолжают набирать популярность. Атаки будут эволюционировать в таких средах, как облачные технологии и мобильное ПО.



    Стоит отметить, что опасность грозит и IoT-технологиям. По данным Nexusguard, рост числа атак на IoT-сети вырос на 380% за последние полгода. Это объясняется как растущей популярностью IoT, так и уязвимостью технологии. Подробнее о других трендах в киберугозах можно почитать здесь и здесь.



    Эксперты отмечают, что основными причинами роста числа атак являются отставание технологий систем безопасности, напряженные отношения между некоторыми странами в рамках мировой политики, дефицит профессионалов ИТ-сферы и совершенствование методов и приемов самих атак (подробнее об этом мы писали здесь).





    / Flickr / Henri Bergius / CC



    Интеллектуальные методы защиты



    Эксперты по безопасности продолжают напоминать о важности соблюдения ИТ-гигиены: надежные пароли, обучение сотрудников, отказ от хранения важной информации в почте. Однако они также убеждены, что высокого уровня защиты можно достигнуть, исключив влияние человеческого фактора. Поэтому они обращаются к возможностям машинного обучения и системам искусственного интеллекта.



    Одним из таких интеллектуальных решений является Deep Instinct, которое использует глубокое обучение для распознавания вредоносного кода. Разработчики отобрали миллионы файлов всех разновидностей, классифицировали их и передали сети для тренировки. Конечным результатом стала модель прогнозирования, которую компания назвала «инстинктом». Решение может обнаруживать уязвимости нулевого дня, новые вредоносные программы и изощренные целевые кибератаки (APT).



    Еще один способ борьбы за безопасность с помощью ИИ был представлен компанией Microsoft. Они создали инструмент для разработчиков — Microsoft Security Risk Detection — который ищет ошибки и уязвимости в ПО, готовящемся к релизу.



    По словам исследователя Microsoft Дэвида Молнара (David Molnar), для проведения фаззинга компании обычно нанимают экспертов по безопасности. Но поскольку объем создаваемого и используемого программного обеспечения увеличился, тестирование усложнилось. При этом важность этой задачи выросла в несколько раз из-за стремительного роста числа кибератак.



    Молнар заявляет, что инструмент автоматизирует тот же алгоритм, которым пользуемся мы с вами, чтобы найти ошибку, только работает в иных масштабах благодаря облаку. Подробнее о нем можно почитать здесь.



    Представители компании также заявили, что Windows Defender в новом обновлении Creators Update для Windows использует возможности искусственного интеллекта для защиты от вредоносного ПО.



    Пусть ИИ пока не способен устранить все потенциальные киберугрозы, он может анализировать поведение программ. Решить задачу моделирования хорошего поведения «вручную» практически невозможно. Искусственный интеллект же может обрабатывать значительные объемы данных и автоматически генерировать базовые модели нормального поведения и различать вредоносный код.



    О Comodo Group


    Comodo Group — американская компания-производитель программного обеспечения. Является одним из крупнейших поставщиков сертификатов, предлагая бесплатные сертификаты для персональной электронной почты. Основана в 1998 году.



    P.S. Несколько материалов по теме из нашего блога:





    Original source: habrahabr.ru (comments, light).

    https://habrahabr.ru/post/338482/

    Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
    rss_rss_hh_new

    [Перевод] Overview of Cryptoeconomics. Перевод статьи

    Понедельник, 25 Сентября 2017 г. 08:24 (ссылка)




    NikMelnikov


    сегодня в 08:24

    Разработка





    Overview of Cryptoeconomics. Перевод статьи







    • Перевод




    От переводчика: это научный текст, немного вырванный из контекста, но очень и очень полезный. Хотел опубликовать его у себя в блоге, но решил сначала поделиться с сообществом здесь. Если есть предложения, как какие-то предложения можно перевести лучше, пишите, пожалуйста в личку.



    Наука о криптографии существует уже тысячелетия, но в формальной и систематизированной форме — всего пару десятилетий, и может быть определена как исследование коммуникации в состязательной среде (Rabah, 2004).





    Аналогичным образом, мы можем определить криптоэкономику как концепцию, которая идет на один шаг дальше, т.е., изучение экономического взаимодействия в состязательной среде (Davidson, De Filippi & Potts,2016; Ernst, 2016). Чтобы отличить себя от традиционной экономики, которая, безусловно, изучает, как экономическое взаимодействие, так и противодействие, криптоэкономика обычно фокусируется на взаимодействиях, которые происходят по сетевым протоколам. Отдельные области криптоэкономики включают:


    • Онлайн доверие и репутацию систем;

    • Крипто-токены/ криптовалюты, и, в целом, цифровые активы;

    • Смарт-контракты;

    • Согласованные алгоритмы;

    • Алгоритмы анти-спама и алгоритмы, устойчивые к атакам Сибиллы;

    • Активизированные рынки для вычислительных ресурсов;

    • Децентрализованные системы социального обеспечения /соц. помощи/ основного дохода; Децентрализованное управление (как для коммерческих, так и для некоммерческих организаций).





    В течение нескольких последних лет мы стали свидетелями роста криптоэкономики,

    что в значительной мере связано с увеличением количества криптовалют и цифровых токенов, которые привносят новые и интересные аспекты в такую науку как криптография (Potts, Davidson & De Filippi, 2016). Немногим ранее криптография была, по большому счету, простой вычислительной и информационной теоретической наукой, безопасность которой считали наиболее близкой к абсолютной.



    Как только деньги попадают в поле зрения, идеальный мир математики должен взаимодействовать с реальным миром и социальными структурами общества, экономическими стимулами, относительной верой и многими уязвимостями, которые возможно только уменьшить,

    но не удалить полностью. В то время, как криптографы привыкли к допущению типа «этот алгоритм гарантированно будет нерушимым при условии, что основные математические проблемы остаются неизменными», мир криптоэкономики вынужден довольствоваться неясными эмпирическими факторами, такими как, сложность при большом количестве атак, достаточное количество бескорыстных, а также заинтересованных в прибыли сторон, уровень концентрации различных ресурсов, и даже учитывать социально-культурные условия (Ernst, 2016; Davidson, De Filippi & Potts, 2016).



    Напротив, в традиционной прикладной криптографии, меры безопасности склоняются к виду:

    — Никто не может выполнить более чем 279 вычислительных шагов;

    — Факторные операции остаются неизменными (т.е. полиномиальными) (Rabah,2005);

    — Принятые n-ные корни композитных модулей неизменны;

    — Задача дискретного логарифма эллиптической кривой не может быть решена быстрее, чем в 2n/2 раза;



    С другой стороны, в криптоэкономике, основные меры безопасности от которых мы зависим выглядят примерно следующим образом (Ernst, 2016):

    — Никто из лиц, контролирующих более 25% всех вычислительных ресурсов не могут вступать в сговор;

    — Никто из лиц, контролирующих более 25% всех денежных ресурсов не могут вступать в сговор;

    — Сумма вычислений определенного доказательства рабочей функции, которая может быть выполнена с заданной суммой денежных средств, не является сверхлинейной за пределами точки, которая расположена достаточно низко.

    — Существует незначительное количество альтруистов и такое же незначительное количество сумашедших или политических оппонентов, поэтому большинство пользователей могут быть смоделированы как экономически рациональные.

    — Количество пользователей в системе великое множество, и в любой момент пользователи могут появляться и исчезать, в то же время, по крайней мере, некоторые из них будут постоянными.

    — Цензура невозможна, и передача сообщений между двумя узлами происходит относительно быстро.

    — Достаточно легко сгенерировать множество IP-адресов, которые дают неограниченную

    пропускную способность сети.

    — Большинство пользователей анонимны, в связи с этим негативная репутация и появление долгов практически неосуществимы.



    В связи с этим важно отметить, что существуют дополнительные предположения, касающиеся безопасности, характерные для возникающих проблем. Таким образом, нередко, даже невозможно, с уверенностью сказать, что возникшая проблема решена. Правильнее будет сказать, что необходимо будет создавать пути решения, оптимизированные для конкретных эмпирических и социальных реалий, и со временем продолжать их оптимизировать. (Ernst, 2016).

    Перевод осуществляла Елена Логачева, корректировал Никита Мельников.


    Original source: habrahabr.ru (comments, light).

    https://habrahabr.ru/post/338638/

    Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
    rss_rss_hh_new

    Как на анимешниках криптовалюту добывают

    Воскресенье, 24 Сентября 2017 г. 13:22 (ссылка)




    unc1e


    сегодня в 13:22

    Разработка





    Как на анимешниках криптовалюту добывают










      В целом, не только на них. Сегодня, во время просмотра анемэ некого контента, была обнаружена подгрузка подозрительного js скрипта

      Убрано под спойлер
      image



      Он подгружал еще один wasm скрипт

      Убрано под спойлер
      image



      Искомый скрипт был впилен в iframe

      Убрано под спойлер
      image



      Который выглядил так

      Убрано под спойлер
      image



      Загрузка цп при этом достигала 100%

      Убрано под спойлер
      image



      iframe трафик любезно предоставили эти товарищи

      Убрано под спойлер
      image



      А скрипт вот эти

      Убрано под спойлер
      image

      Однако, их слоган мне понравился. Скрипт оказался monero майнером в веб исполнении.



      Сам скрипт: pastebin.com/raw/9ejjyFsN

      Основная нагрузка: filebin.ca/3bTq9sInAOxJ



      Вот такие вот дела. Этот случай произошел с одним из самых популярных сайтов рунета согласно статистике alexa. В обозримом будущем, наверняка, блокчейн и майнеры окажутся даже в наших телевизорах.

      Главным следствием из подобной ситуации является полный отказ от взаимодействия с левыми рекламодателями, которые позволяют вставлять произвольный код в рекламу.


      Original source: habrahabr.ru (comments, light).

      https://habrahabr.ru/post/338580/

      Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
      rss_rss_hh_new

      Баг или фича в Facebook Messenger — Опрос

      Воскресенье, 24 Сентября 2017 г. 12:02 (ссылка)





      Если написать в Facebook Messenger сообщение и добавить к нему ссылку, а потом удалить ее, то ссылка всё равно будет отправлена.


      Читать дальше ->

      https://habrahabr.ru/post/338576/

      Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
      rss_rss_hh_new

      Kак Microsoft пытается отправить мобильную почту к себе

      Суббота, 23 Сентября 2017 г. 11:03 (ссылка)




      hardpoint


      сегодня в 11:03

      Разработка





      Kак Microsoft пытается отправить мобильную почту к себе














        Хранит ли Outlook-iOS-Android копию почтового ящика на сервере микрософт?




        В подвешенном состоянии очутились многие корпоративные пользователи, которые недавно обновились до iOS 11. Дело в том, что после обновления перестает работать стандартный клиент (Mail.app) с ресурсами на Exchange Server 2016, Office 365 или Outlook.com

        Отправка сообщения заканчивается ошибкой «Cannot Send Mail. The message was rejected by the server.»

        Проблема заключается в том, что Exchange 2016 использует HTTPS / 2 TLS-соединения для своих клиентов. Когда почтовое приложение iOS пытается подключиться к Exchange с помощью ActiveSync, оно неправильно согласовывает соединение.





        Microsoft подтвердило проблему и в качестве решения предлагает установить клиента Outlook for iOS.



        Данное решение весьма спорное, т.к. программа Outlook не подключается напрямую к почтовому серверу, а с введенными учетными записями сервер Microsoft, расположенный в США, подключается к вашему серверу и, скорее всего, загружает на него копию вашего почтового ящика.



        Ниже приведен фрагмент анализа логов подключения из программы SkypeTime.







        В российском сегменте этому вопросу не уделено достаточного внимания, поэтому приводим ссылки на зарубежные источники.



        news.ok.ubc.ca/it/2015/02/03/outlook-app-for-ios-and-android-devices-blocked

        blog.winkelmeyer.com/2015/01/warning-microsofts-outlook-app-for-ios-breaks-your-company-security

        blog.winkelmeyer.com/2015/02/updates-on-the-latest-outlook-ios-app-issues



        Насколько это юридически правильно и хорошо мы судить не будем, но для повышения уровня конфиденциальности можно заблокировать подключение с этих серверов на Exchange 2016.



        New-ActiveSyncDeviceAccessRule -QueryString "Outlook for iOS and Android" -Characteristic DeviceModel -AccessLevel Block



        Надеюсь данная информация будет кому то полезна.


        Original source: habrahabr.ru (comments, light).

        https://habrahabr.ru/post/338542/

        Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
        rss_rss_hh_new

        AliExpress «невероятные» возможности вашего профиля в интернет-магазине

        Пятница, 22 Сентября 2017 г. 23:26 (ссылка)




        ninadinastiia


        сегодня в 23:26

        Разработка





        AliExpress «невероятные» возможности вашего профиля в интернет-магазине














          Добрый вечер! Покупки — это здорово, а если на Алиэкспресс, то еще и не дорого, но правда рискованно и обычно долго. Конечно над ним постоянно работают, это видно, но пока еще не понятно многое.



          Просьба



          Началось с того, что меня попросили заказать в интерне-магазине на «Али» противоударный телефон для ребенка. Подобрали модель, согласовали, решили заказывать.

          Что то не заладилось сразу и обзавестись профилем в PayPal удалось, а вот привязать к нему карту — нет.

          Сразу оговорюсь, что электронными деньгами и картами пользуюсь очень аккуратно и никогда не храню на них деньги, ну раз ве что до 1 000,00 рублей.

          Попробовала заплатить картой напрямую, но все равно ничего не получалось. В какой то момент даже засомневавшись узнала баланс на счете, вдруг денег там нет.

          Деньги были и в достаточном количестве.



          Не понимая что не так, я вышла из одного профиля и зашла в другой, с которого уже делала покупки. Заметив что различается тип карты, платила я с VISA, решила что платеж не проходит потому что у покупателя Маэстро. По крайней мере я не нашла такого значка в списке.



          Вообщем то с самого начала я на электронную почту покупателя зарегистрировала профиль в интернет-магазине, затем добавила карту Маэстро, но платеж не проходил. Забавно что система PayPal со счета списала примерно один доллар, но платеж в пользу продавца не проходил ни как.

          У покупателя не было карты VISA, она была только у его супруги, мне скинули фотки карты, но было лень все заново регистрировать, и я добавила карту супруги покупателя на свой профиль.



          И тут, вдруг...



          «Спасибо за ваш платеж!» или что то подобное выдала мне система. Интересно! Только два реквизита я вводила не с карты — это дата рождения, и номер телефона. Но узнать их не составит определенного труда злоумышленнику, если он напрямую знаком с жертвой или имеет доступ к документации. Или допустим какие то знакомые, коллеги, родственники, не важно, мало ли.

          Покупателю сказала, что должно прийти СМС-сообщение из банка с подтверждением платежа, что б они не пропустили и обязательно мне позвонили, сообщили.



          Как то прям даже неловко



          На следующий день знакомый перезвонил и сказал, что деньги списаны, их просто списали и все. Сообщение пришло такое же, как из банкомата, когда переводишь средства.

          И тут возник резонный вопрос — а как? Как так получается, что не какой аутентификации платежа не было и он «провелся» не смотря на то, что владелец карты не был владельцем профиля? Странно, но а как же безопасность? Это допустимо или какая то ошибка при разработке?



          Послесловие



          Не смотря ни на что, телефон пришел и ребенку очень понравился, а это наверное главное). Проходя по различным учреждениям обращаю внимания как люди заполняющие различные заявления бросают свои документы и карты, наивно полагая, что списать с нее средства не зная пароль, под силу только хакерам или спец.службам.

          Как видно из рассказа выше балованный сын или транжира-подружка смогут осуществить покупку с вашей карты на AliExpress, в принципе без вашего согласия и на приличную сумму.

          Возможно я не права и это только рассуждения, но лишний раз подтверждает, что ваши деньги те — что у вас в кармане.


          Original source: habrahabr.ru (comments, light).

          https://habrahabr.ru/post/338534/

          Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
          rss_rss_hh_new

          Security Week 38: Секьюрити-камеры передают по ИК, нейросеть быстро подбирает пароли, хакеры ведут разведку через Word

          Пятница, 22 Сентября 2017 г. 19:20 (ссылка)




          Kaspersky_Lab


          вчера в 19:20

          Разработка





          Security Week 38: Секьюрити-камеры передают по ИК, нейросеть быстро подбирает пароли, хакеры ведут разведку через Word










            Каким бы действенным ни был метод защиты «отрезать кабель в интернет», пользуются им чрезвычайно редко – даже те, кому стоило бы. Но исследователи не унимаются в попытках придумать самый курьезный способ преодоления «воздушного разрыва». То звуком, то светом, то теплом, то голубями почтовыми. И таки трое ловкачей из Университета Бен-Гуриона на днях сообразили кое-что новое – использовать секьюрити-камеры.



            Замысел такой: физически изолированная (air-gapped) сеть заражается зловредом. Как – это давно придумано, и даже реализовано (Stuxnet, например). Флешечку можно подкинуть, диск с зараженным софтом, да мало ли что. Но войти – не значит выйти. Однако же мало найдется объектов с изолированной сетью без системы физической безопасности с камерами наблюдения. А чтобы что-то видеть, когда в помещении выключен свет, нужна подсветка, и большинство камер оснащается массивом ИК-светодиодов. Некоторые из этих камер можно увидеть снаружи, через окно.



            Соответственно, камеры со специальным троянцем превращаются в ДВУСТРОННИЙ канал передачи данных. Причем невидимый невооруженным глазом. Наружу данные передаются ИК-диодами, а злоумышленник с обычным смартфоном их принимает. Чтобы ввести данные, хакер пользуется таким же массивом ИК-диодов, а камера принимает их сигнал.







            Заявленные в исследовании параметры канала внушительны, по сравнению с другими способами преодоления воздушного разрыва – скорость 15 бит/c на каждый светодиод (что дает 120 бит/c при обычных для камер восьми светодиодах), дистанция – сотни метров наружу, и километры при передаче внутрь. Бен-гурионские затейники даже придумали, как обойтись без прямой видимости (правда, максимальная дистанция сокращается до десятков метров).







            Что ж, для того, чтобы мы увидели реальное применение такой техники, нам нужно, чтобы совпало три обстоятельства: (1) кто-то решил изолировать сеть воздушным разрывом, (2) его информацией заинтересовались хакеры и (3) этот кто-то включил секьюрити-камеры в свою суперзащищенную изолированную сеть. Звучит глуповато, но все равно, идея красивая.



            Разработан AI для быстрого угадывания паролей



            Новость. Исследование. Ученые из Технологического института Стивенса и Нью-йоркского технологического института опубликовали ранние результаты своей работы по применению генеративно-состязательных сетей (Generative adversarial network, GAN) для ускоренного угадывания паролей. Ну то есть более быстрого, чем перебор по заданным вручную правилам, как в Hashcat или John the Ripper.



            Идея выглядит вполне себе логичной – если кто и может определить, по каким принципам люди придумывают себе пароли, то только нейросети. Генеративно-состязательные сети в последнее время часто используют для забав вроде улучшения порченых фото или автоматического построения реалистично выглядящих картинок зверушек (реалистично выглядят они только для самих экспертов по deep learning, а на самом деле пипец какие страшные, см. пруф).



            Суть GAN в использовании двух нейросетей, одна из которых (генеративная) генерит нечто, более-менее похожее на тренировочные образцы, а вторая (дискриминационная) отличает сгенерированные образцы от тренировочных. Играя друг против друга на достаточно большой выборке, обе сети достигают состояния равновесия, в котором способны генерить очень достоверные образцы.



            Яйцеголовые хакеры, вооружившись TensorFlow 1.2.1, обучали сеть паролями, слитыми за последние 18 месяцев из LinkedIn и RockYou. Та в итоге сгенерила собственные, усовершенствованные правила подбора паролей. Сами по себе они оказались не сказать, что лучше, чем у HashCat, но если их совместить с правилами HashCat, то количество угаданных паролей из тестовой выборки повышалось на 18-24%. Цифры не очень впечатляют, но надо понимать, что на практике выборку можно взять и сильно побольше. То есть уже довольно скоро оценки сложности подбора паролей придется пересматривать – прогресс не остановить.



            Недокументированная возможность MS Office позволяет слить данные профиля



            Новость. Исследование. Сколько ни ковыряйся в Microsoft Office, или в его файлах, всегда найдешь какой-нибудь сюрприз. Наши ребята, исследуя целевую атаку Freakyshelly, наткнулись на фишинговую рассылку с файлами OLE2. На первый взгляд, внутри не было ничего вредоносного, ни макросов, ни эксплойтов, ни флеша. А потом нашли ссылки на PHP-скрипты на внешнем хостинге. Открываешь файл в Word, тот лезет по ссылкам – и наружу входят данные по установленному программному обеспечению.







            Предположительно, атакерам эти данные нужны для разведки. Вообще для успеха целевой атаки очень важны точные данные о том, какой софт установлен у жертвы, и каких версий. Но зачем Word вообще переходит по этим ссылкам?



            Исследователи обнаружили, что хакеры эксплуатируют не полностью документированную фичу MS Office – поле INCLUDEPICTURE в документе. Значение в этом поле всего лишь сообщает Word о том, что к определенным символам в тексте привязана картинка, ссылка на ее расположение должна быть в ASCII. Но кто-то придумал поставить туда хитросоставленный Unicode, и в итоге поле ссылается на определенное смещение в документе, где лежит форма, в дополнительных данных которой есть URL – куда Word и лезет. Помимо Word для Windows, эта фича работает в Microsoft Office для iOS и Android.



            Древности



            «Subliminal-1487»



            Периодически зашифровывает и выводит на экран текст: «LOVE, REMENBER?». Также содержит зашифрованный текст: «N:SUBLIMINAL V1.10 O:^HYSTERIA! D:02OCT89».



            Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 35.



            Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.


            Original source: habrahabr.ru (comments, light).

            https://habrahabr.ru/post/338520/

            Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество

            Следующие 30  »

            <информационная безопасность - Самое интересное в блогах

            Страницы: [1] 2 3 ..
            .. 10

            LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
            О проекте: помощь|контакты|разместить рекламу|версия для pda