Архив метки: Информационная безопасность

Facebook, Google и Twitter уличены в шпионаже за пользователями

Социальные сервисыСпециалисты по информационной безопасности из компании High-Tech Bridge (Женева, Швейцария) провели исследование пятидесяти наиболее популярных социальных сетей и сервисов и опубликовали полученные результаты.

Суть эксперимента была следующей: они развернули веб-сервер, на котором были созданы страницы с совершенно непредсказуемыми адресами, состоящими из случайной последовательности символов.

После этого сообщения, содержащие адреса таких страниц были переданы через исследуемые социальные сервисы и сети. Логи веб-сервера тщательно мониторились на предмет входящих запросов.

В течение десяти дней эксперимента в попытке изучения секретных страниц были уличены шесть сервисов из пятидесяти, и в их числе Facebook и Twitter (приватное сообщение со ссылкой), Google+ (ссылка в «круге» без подписчиков), Bit.ly и Goo.gl (укорачивание ссылки), Formspring (заданный пользователю вопрос со ссылкой).

Кстати, проведённый ранее аналогичный эксперимент показал, что подобным образом ведёт себя и Skype.

По результатам этого исследования можно считать, что у этих сервисов есть автоматизированные системы мониторинга конфиденциальной переписки пользователей. А сам эксперимент — достаточно прост чтобы повторить его результаты буквально в домашних условиях.

 


Отдельно хотим заметить: решения от Mipko — это не программы-шпионы. Даже отчёты на почту пользователей программа отправляет не через наши почтовые сервера, а через пользовательские. Таким образом, у нас самих нет никакой возможности получить конфиденциальные данные пользователей нашей программы. И это тоже легко проверить, просмотрев исходящие соединения программы любым соответствующим приложением.

Обнаружена уязвимость в умных унитазах

Унитаз взломанВ рамках серии публикаций «безумие и информационная безопасность» хотим сообщить вам очередную уникальную в своём роде новость: эксперты обнаружили уязвимость в программном обеспечении целой серии унитазов.

Уязвимость была обнаружена в японских унитазах Lixil Satis, но обнаружили её не британские, а американские эксперты из компании Trustwave SpiderLabs.

Среди функций японских унитазов присутствуют проигрывание музыки, автоматическое поднятие-опускание крышки и сиденья, автоматический смыв воды, некие личные настройки и ведение персональной статистики использования.

Управление всеми этими функциями осуществляется через BlueTooth с помощью специального приложения под Android. Суть уязвимости в том, что в коде этого приложения разработчики указали фиксированный пинкод для подключения — 0000. Зная его, можно подключиться к любому унитазу этой серии.

Для этого достаточно скачать с Google Play приложение My Satis, установить его на свой телефон и найти унитаз Lixil Satis в пределах досягаемости BlueTooth.

 


Компания Mipko: мы разрабатываем не просто клавиатурные шпионы, а полноценные системы мониторинга активности пользователей.

Ультимативная информационная безопасность

pax6uАмериканская администрация экономического развития (The Commerce Department’s Economic Development Administration) на днях продемонстрировала просто ультимативный подход к обеспечению информационной безопасности в своём ведомстве.

Некоторые компьютеры организации оказались заражены вирусом и предварительное исследование показало, что из 250 компьютеров заражено 146. Как оказалось позднее, предварительные данные были неверны. На самом деле заражены были всего два компьютера.

Но компания восприняла угрозы всерьёз. Пожалуй, даже слишком. Для защиты от кибер-атаки руководством было принято решение о физическом уничтожении всей «заражённой» техники в организации, включая компьютеры, клавиатуры, мышки, принтеры, камеры наблюдения, телевизоры и т.п.

Общий ущерб от этого решения (расследование, организация временной инфраструктуры, проектирование новой, уничтоженное оборудование, сама утилизация) составил $2.7 миллиона, т.е. половина бюджета организации.

Интересный подход, не правда ли?

Google Hangouts: шаг в сторону закрытых протоколов

google hangoutsКомпания Google приняла решение заменить IM-платформу Google Talk на Google Hangouts, в которой поддержка XMPP (Jabber) оказалась сильно ограниченной, а опция отключения архивирования чатов пользователя вообще исчезла.

Ряд специалистов выступили с критикой этого решения, так как на их взгляд оно указывает на переход от открытых к закрытым проприетарным протоколам.

Мессенджеры уже начали обновляться, причём речь не только о десктопных программах, но и о веб-приложениях (как часть Gmail и Google+, например) и о приложениях для смартфонов.

Основное отличие в том, что программами больше не поддерживается стандарт «server-to-server federation», который позволял при необходимости использовать альтернативный сервер для обмена сообщениями или даже создать собственный и быть уверенным в безопасном и конфиденциальном общении. Теперь все сообщения будут не только идти через сервера компании Google, но и сохраняться там.

К каким последствиям это может привести — очевидно.

Специалисты по информационной безопасности призывают Google вернуться к открытым стандартам,  открыть спецификации Google Hangouts и опубликовать программный код для организации персонального сервера.

Более половины детей видели порнографию и насилие в сети

Дети, интернет, опасные сайтыПо данным уполномоченного по правам ребёнка в России, более половины интернет-пользователей из России младше 14 лет посещали сайты с отнюдь не детским содержанием, 40% из которых — порнографического содержания, 19% — содержащие сцены насилия, 16% — азартные игры, 14% — наркотики и 11% — материалы экстремистского характера.

Для просмотра сайтов дети всё чаще используют мобильные устройства — смартфоны и планшеты.

«Центр безопасного интернета в России» сообщает, что 10 000 000 детей из России в возрасте до 14 лет активно пользуются интернетом. Это 18% всех российских пользователей.

РосКомНадзором 1 ноября 2012 года в России был запущен «реестр запрещенных сайтов» , в котором собираются ресурсы с детской порнографией, пропагандой суицида и употребления наркотиков. Интернет-провайдеры по мере возможностей блокируют доступ к этому реестру, но по ряду технических и организационных причин этот реестр не меняет толком ничего и вызывает только смех у наблюдающей за ним интернет-аудитории.

 


downloadДля того чтобы по-настоящему обезопасить своих детей от возможных опасностей интернета достаточно скачать и установить Mipko Personal Monitor. Вы всегда будете знать, чем занимается ребёнок в интернете и какие сайты он посещает.

Перехват писем в Gmail: главный приоритет ФБР

gmailНа встрече Американской ассоциации юристов Эндрю Вайсман (Andrew Weissmann), советник ФБР, назвал главным приоритетом федерального бюро расследований на 2013 год создание правовой базы для мониторинга крупнейших интернет-сервисов.

Основная правовая база для «прослушки» интернет-ресурсов — часть закона о полномочиях спецслужб, известная как акт «О прослушке». Она позволяет ФБР отслеживать деятельность пользователей на уровне интернет-провайдера. Но большинство интернет-сервисов шифруют данные, передаваемые между сервером и пользователями, из-за чего ФБР теряет часть информации.

В качестве примеров таких сервисов Вайсман привел Gmail, голосовые чаты Google Voice и Skype, файловое хранилище Dropbox, а так же встроенные чаты в ряде онлайн-игр.

Таким образом, по закону ФБР может потребовать, например, от Gmail, содействия в перехвате данных, но обязательных для сотрудников Gmail действий закон не предусматривает, что не обеспечивает достаточной для ФБР эффективности. Происходит это потому, что действие акта распространяется только на провайдеров — они обязаны устанавливать у себя оборудование ФБР. На интернет-сервисы этот акт пока не действует.

По словам Вайсмана, ФБР будет работать над законодательными предложениями, которые, в случае их принятия, значительно расширят полномочия службы.


downloadДля того чтобы перехватывать сообщения своих детей на своём компьютере и обезопасить их от возможных опасностей интернета не нужно быть сотрудником ФБР. Скачайте полнофункциональную триальную версию Mipko Personal Monitor и попробуйте её бесплатно в течение 3 дней.

MicroSoft и Verizon патентуют слежение за пользователями

В новом патенте компании MicroSoft (патент номер 0120278904) описывается схема слежения за наличием и количеством человек в комнате пользователя с помощью специальных камероподобных устройств. Описанный пример применения этой схемы — контроль количества человек, просматривающих фильм. При превышении некоего числа система потребует покупку расширенной лицензии на контент. Он может быть проигран только определённое количество раз, в определённый отрезок времени и для определённого количества зрителей с определёнными ограничениями по возрасту.

patent
Согласно патенту, такая схема может применяться в самых разнообразных устройствах от планшетов, приставок и компьютеров и до мобильных телефонов.

Схожий патент есть и у компании Verizon, и в нём система слежки за пользователями расписана более подробно.

kinectЗа основу схемы взяты устройства, оснащённые микрофоном, камерой, инфракрасной камерой и лазерным датчиком. Бросается в глаза практически полная аналогия с уже существующими устройствами — приставками Kinect для игровых консолей Xbox.

Описанная система может определять не только количество людей в комнате, но анализировать происходящее с целью вычислить чем эти люди заняты (и показать при этом релевантную рекламу, например). Система распознаёт возраст присутствующих, а так же определяет наличие и вид животных.

Система так же может подключаться к сотовым телефонам пользователей для более точного контроля.

Компания Google для своего сервиса Google TV оформляет похожий патент, о котором пока мало что известно.

Все возможности подобных программно-аппаратных комплексов описываются в патентах как полностью добровольные со стороны пользователей действия. Впрочем, едва ли это запретит производителям контента (фильмов, игр) требовать обязательного подключения к системе.

Как и в других подобных случаях, после публикации патентов возникло много обеспокоенных пользователей. Блоги и форумы наполнили ассоциации с романом Д. Оруэлла и опасения на счёт взлома или использования таких систем для незаконной слежки за людьми.


downloadПопробуйте бесплатную 3-дневную версию нашей программы Personal Monitor. Она никогда не передаёт собранную информацию никому кроме вас и позволяет вам точно знать, кто и что делал за вашим ПК.

Вирусы против ГИБДД Московской области

Стрелка-СТСпециалисты антивирусной компании «Лаборатория Касперского» обнаружили вирус, умышленно внедрённый в комплексы дорожной видеофиксации ГИБДД «Стрелка-СТ» в Московской области. Специалисты выявили более сотни файлов, заражённых четырьмя различными модификациями вируса.

Заражение комплексов привело к практически полному отключению областной системы видеофиксации на ключевых трассах, а нанесённый бюджету области ущерб составил 50 миллионов рублей — комплексы не функционировали две недели.

Анализ обнаруженных вирусов показал, что они действовали по давно известному принципу — периодически обращались по сети к удалённому серверу и выполняли полученные оттуда команды.

Таким образом, нельзя исключить возможность передачи данных с комплексов на сервер злоумышленников, и возможно мы по сути наблюдаем первое в России использование программы-шпиона для камеры.

В странах, где использование цифровых технологий более обширно, уже были зафиксированы случаи взлома всевозможных устройств — от цифрового замка в гостинице до кофеварки и ядерного реактора, но даже в мировом масштабе взлом федеральной системы видеофиксации — редкость.

В Управлении ГИБДД Московской области и Минтрансе проводят внутреннее расследование инцидента и считают, что причиной атаки стала недобросовестная конкуренция между компаниями, борящимися за право обслуживания системы.

Напоминаем вам, что шпионское программное обеспечение — это не только вирусы, в этой категории есть много совершенно законопослушных и полезных программ подобным программам.

mpm

donloadНапример, если вы хотите знать, чем занимаются ваши дети за компьютером в ваше отсутствие, то сбор данных об их активности может вам пригодиться и помочь предотвратить многие опасности.

Для этого достаточно просто скачать программу Personal Monitor и установить её на компьютер. 3 дня программа работает бесплатно в полнофункциональном режиме.

Программа слежения за компьютерами и пользователями

Американские журналисты обнаружили на видеосервисе YouTube ролик, не предназначенный для публичного просмотра. Он был загружен ещё в 2010 году для показа на государственной конференции по безопасности (она проходила в апреле 2012 года), но его показ не состоялся — разработчики посчитали, что программа ещё не достаточно готова.

Автор ролика и демонстрируемой в нем программы — американская оборонная компания Raytheon, а программа — RIOT (Rapid Information Overlay Technology). По полному названию программы можно легко найти этот ролик на YouTube.

Это программа для слежения за компьютерами и пользователями через большое количество источников данных включая социальные сети (Facebook, Foursquare, Twitter и т.п.). На каждого пользователя в программе заводится отдельный блок данных (личное дело), в который собирается информация из всех доступных источников.

Программа слежения собирает информацию о контактах, посещаемых местах, типичных маршрутах. Анализируются фотографии пользователя — выявляется внешний вид, анализируются EXIF-метки с GPS-данными и временем съёмки. Анализирую собранные данные, программа предугадывает дальнейшие действия человека.

В компании Raytheon подтвердили подлинность видео, сообщив, что программа пока не была продана заказчику — органам федеральной власти.

Разработка программ для слежения — давно наметившийся мировой тренд, который только набирает обороты.

Несмотря на грозную функциональность, подобным программам можно найти сотни мирных и законопослушных применений.

mpm

donloadНапример, если ваши дети пользуются компьютером в ваше отсутствие, то сбор данных об их активности может сильно упростить жизнь и детям и их родителям — ведь таким образом можно предотвратить многие опасности современного интернета.

И для этого не нужно заключать контрактов с оборонными компаниями, достаточно просто скачать программу Personal Monitor и установить её на компьютер. Первые 3 дня программа работает бесплатно в полнофункциональном режиме.

Google разрабатывает альтернативные схемы авторизации

google ringСотрудники Google сообщают о начале разработки новых технологий аутентификации пользователей без использования паролей.

Отдел безопасности компании предоставил отчёт о возможных путях снижения риска взлома в механизмах авторизации сайтов. Согласно этому отчёту, пользовательские пароли на сегодняшний день уже не являются достаточной мерой защиты информации.

Идея Google для защиты своего сервиса электронной почты Gmail (и связанных с ним) — миниатюрные криптографические USB-карты, которые позволят пользователям авторизовываться после регистрации без ввода пароля. Со временем предполагается отказ и от USB-интерфейса и переход к беспроводным технологиям, что позволит встроить метку доступа в любой аксессуар — часы, кольцо и т.п.