Правозащитники требуют от Skype опубликовать отчёты о прослушке
Не секрет, что правоохранительные органы разных стран тесно сотрудничают с компьютерными компаниями. Например, компания Google в прошлом году получила 155 запросов от российских правоохранительных органов на выдачу почтовой переписки Gmail и прочих конфиденциальных данных на 181 пользователя Google. Был удовлетворён только 1 запрос. Известно, что компания Google крайне неохотно делится информацией о своих пользователях с правоохранительными органами, особенно если те не могут предоставить полный набор необходимых ордеров и документов для получения такой информации.
Как и Google, аналогичные запросы на выдачу информации получают от правоохранительных органов и Facebook, и Skype. Никто из них не публикует такой статистики, как Google, хотя особенно много вопросов возникает к сервису Skype, который сейчас находится в собственности Microsoft.
Во времена своей независимости руководство компании гарантировало, что у них нет даже технической возможности обеспечить запись и/или прослушивание P2P-разговоров пользователей Skype, даже по запросу правоохранительных органов. В 2009 году АНБ якобы предлагало «миллиарды долларов» за техническое решение, позволяющее прослушивать Skype. По совпадению, вскоре после этого сервис был куплен компанией Microsoft.
Новый владелец отказался сделать такое же категоричное заявление о невозможности прослушки, ч
... Читать дальше »
Хакер Kingcope памятен многим по рождественской акции, когда он опубликовал целую пачку эксплойтов для MySQL и не только. Сейчас Kingcope он снова дал знать о себе и опубликовал описание простого и эффективного способа обхода защиты ASLR в Windows 7 и Windows 8.
Защита памяти путём рандомизации адресного пространства (ASLR, Address Space Layout Randomization) предполагает изменение случайным образом адресов в памяти образа исполняемого файла, подгружаемых библиотек, кучи и стека. За счёт этого затрудняется выполнение эксплойтов. Даже если при помощи переполнения буфера или другим методом атакующий получит возможность передать управление по произвольному адресу, ему нужно будет угадать, куда же он может поместить шелл-код.
Метод обхода ASLR сам его автор описывает немецкой пословицей “Was nicht passt wird passend gemacht”, что в переводе означает «Если не влазит, бери молоток побольше». Kingcope демонстрирует, что если истощить адресное пространство в системе до минимума, и тогда система загружает DLL по известному адресу.
Истощение памяти происходит просто. Скрипт занимает память случайными байтами до тех пор, пока не получает сообщение об ошибке, после этого он освобождает немножко памяти. Неприятный побочный эффект применения данного эксплойта — система начинает сильно тормозить и плохо реагировать не действия пользователя. Другими словами, пользователь может заподозрить неладное.
Многочисленные пользователи мобильного фотосервиса и социальной сети Instagram сообщают на форуме о получении электронных писем с требованием предоставить в юридический отдел компании Facebook «паспорт государственного образца». Интересно, что такие письма начали приходить вскоре после 19 января 2013 года, когда вступили в действие новое Правила использования сервиса Instagram.
Некоторые пользователи предположили, что их аккаунт взломан, или что некие злоумышленники рассылают спам от имени Instagram, пытаясь выманить у обычных людей конфиденциальную информацию и отсканированные копии документов. Но нет, оказалось, что требование вполне законное: «Instagram изредка удаляет аккаунты за нарушение условий пользовательского соглашения и, в зависимости от нарушения, может потребовать загрузки удостоверения личности для верификации», — сказал официальный представитель Facebook в комментарии для прессы.
В этой истории занимательно также и то, что условия пользования сервисом Instagram не требуют обязательного указания настоящих имени и фамилии, как в случае Facebook. Поэтому требование того же Facebook предоставить паспорт для доказательства возраста и личности владельца аккаунта не вызывало у пользователей такого неприятия, как аналогичное требование Instagram. Сам Facebook начал проверять паспорта с февраля 2012 года.