PWN2OWN 2013: взломай браузер и получи 100 тысяч долларов
Осталось полтора месяца до начала хакерской конференции CanSecWest 2013 в канадском Ванкувере, где традиционно пройдёт конкурс по взлому браузеров PWN2OWN. Собственно, этот конкурс и принёс известность рядовой конференции, и он является там самым интересным событием.
Условия конкурса PWN2OWN 2013 остаются прежними: нужно взломать последнюю версию браузера на полностью пропатченной операционной системе. Если вам удалось взломать ноутбук — вы получаете этот ноутбук в подарок.
По правилам, атака должна осуществляться методом drive-by, то есть конкурсант должен предоставить вредоносный URL, с которого должен быть автоматически загрузиться и запуститься эксплойт, при минимальном человеческом участии или без него.
В прошлом году соревнования прошли не в полную силу, потому что Google отказался участвовать в мероприятии и выплачивать призы победителям за взлом Chrome. Вместо этого компания устроила параллельно собственный конкурс. Она сослалась на то, что правила противоречат внутренней политике Google, по которой авторы эксплойтов обязательно должны предоставить код, чтобы получить вознаграждение. Авторов это не устраивает: они хотят и получить приз на конкурсе, и продать потом эксплойт на чёрном рынке.
В этом году правила конкурса изменили, так что автор эксплойта обязан предоставить код организаторам конкурса (компания HP) и не
... Читать дальше »
Chrome зашифрует все поисковые запросы из адресной строки
Недавно вышла версия Chrome 24 на стабильном канале, а разработчики уже начали готовить к выпуску Chrome 25. Судя по всему, в следующей версии Chrome основной упор планируется сделать на новые функции безопасности. В частности, теперь браузер будет передавать в зашифрованном виде по HTTPS все поисковые запросы, сделанные из адресной строки.
Раньше подобное шифрование применялось только для пользователей, которые выполнили процедуру авторизации в Google Chrome (Sign In). Остальные запросы передавались в открытом виде. Теперь браузер научился устанавливать его изначально, начиная с отправки поискового запроса.
Кстати, новая версия Chrome 25 уже работает у многих пользователей, которые обновляются на канале для разработчиков и на бета-канале, это Dev и Beta, соответственно.
Можно только приветствовать последовательные действия Google по защите трафика пользователей от посторонних наблюдателей. Эти действия стимулируют и другие сайты защищать трафик. Протокол SSL по умолчанию был включен для всех пользователей Gmail в начале 2010 года, Twitter — в феврале 2012 года, Facebook — в ноябре 2012 года. Веб-интерфейс поиска Google для авторизованных пользователей по умолчанию использует SSL с октября 2011 года. Браузер Firefox переключился на шифрование по SSL всех поисковых запросов к Goo
... Читать дальше »
Самодельный меч хоббита светится при приближении орков
Один из фанатов-толкиенистов под ником jomegat уже много лет хотел сделать меч как у Бильбо Бэггинса. Ещё со времён «Властелина колец» он мечтал о такой игрушке, и чтобы этот меч светился в темноте. Как известно, меч Бэггинса имел собственное имя — Жало (Sting). Он чувствовал приближение орков и начинал светиться, сообщая хозяину об опасности.
После выхода на экраны фильма «Хоббит» в магазинах появилось множество детских игрушек на эту тему, в том числе и пластмассовые копии настоящих мечей, которые светятся в темноте при нажатии кнопки. Здесь jomegat уже не смог сдержаться. Он купил Жало и модифицировал его так, что меч светится не просто при нажатии кнопки, а автоматически при приближении орка.
Важное примечание: предполагается, что у орка есть мобильный телефон, на котором в силу безграмотности и низкой культуры орков всегда включен WiFi.
Jomegat нашёл в продаже дешёвый детектор WiFi за пять долларов и подключил его к цепи, замыкающей светодиод в «лезвии» меча.
На фотографиях изображён сам меч и встроенный детектор WiFi, а также фото светящегося меча в темноте.
Не каждый владелец мобильного телефона знает, что находится внутри у его любимого гаджета. Где проложена антенна, в каком конкретно месте припаян центральный процессор. Поэтому на недавней выставке CES большое внимание публики привлекла необычная акция, организованная сотрудниками компании Sony. Они разбирали и собирали экспонаты на выставочном стенде, словно автомат Калашникова.
Это видео показывали на конференции Sony, а теперь оно выложено на Youtube для всеобщего просмотра. Экран разделён на четыре части, в одной из которых тикает секундомер, а в трёх других инженеры Sony демонстрируют сборку гаджетов на скорость: мобильный телефон, фотоаппарат и видеокамера.
Ролик можно использовать для обучения китайцев на конвейере Foxconn: они смогут собирать по 20 гаджетов в час, то есть по 240-280 за рабочую смену.
Microsoft оспаривает результаты антивирусного теста AV-Test
В ноябре 2011 года антивирус Microsoft Security Essentials провалил результаты тестирования AV-Test и был лишён сертификата AV-Test. Полтора месяца ушло у специалистов Microsoft, чтобы разобраться в результатах провала. Но они сделали это — и подали официальный протест.
Подробные результаты тестирования Microsoft Security Essentials показали, что он хуже всего проявил себя при защите против 0-day атак, угроз в вебе и вредоносных вложений в электронной почте. Это тест против актуальных угроз (Real World Tesing), самый главный среди всех тестов. При проверке на 102 свежих образцах антивирусы в среднем отлавливали 89%, в то время как Microsoft Security Essentials обнаружил всего 69% в сентябре и 64% в октябре — меньше всех. Таким образом, Microsoft Security Essentials получил нулевую оценку в тесте против актуальных угроз, что негативно сказалось на итоговом результате.
Специалисты Microsoft проверили выборку, на которой осуществлялось тестирование. Они говорят, что антивирус пропустил всего 28 атак 0-day. В то же время проверка на базе пользователей Microsoft показало, что с упомянутыми атаки реально сталкивались всего лишь 0,0033% пользователей Microsoft Security Essentials. Другими словами, «тест против актуальных угроз» AV-Test — совсем не реалистичный тест, ибо в реальной жизни пользователи сталкиваются совершенно с другими угрозами. «Мы продолжаем оценивать и изучать спосо
... Читать дальше »
Хитрый программист нанял китайцев, а сам прохлаждался на работе
Аудит сетевых логов в американской компании Verizon обнаружил поразительную вещь: один из ведущих специалистов компании постоянно держал открытое VPN соединение с китайскими серверами. Оттуда под его учётными данными в корпоративную сеть входили китайские программисты — и выполняли все рабочие задания. Эта удивительная история опубликована в корпоративном блоге Verizon (кэш в Google). 45-летний ведущий программист с большим опытом работы, специалист C, C++, Perl, Java, Ruby, PHP, Python и проч., получал зарплату несколько десятков тысяч долларов в месяц. Но вместо написания кода он отдавал задания на аутсорсинг китайским специалистам, которых находил через биржи труда — очень быстро и дёшево. Ему оставалось только исправить ошибки в коде. Целыми днями программист просиживал в интернете на развлекательных сайтах вроде Reddit, смотрел видеоролики на Youtube и занимался тому подобными делами.
Как сообщается, программист никогда не был замечен в мошенничестве, он семейный человек с отличной репутацией. За последние несколько лет к нему не было никаких претензий на работе. Более того, несколько кварталов подряд его признавали лучшим программистом отдела.
Когда специалисты по безопасности обнаружили VPN-соединение с китайскими серверами, то первым делом подумали о наличии бэкдора в корпоративной сети. Всем известны многочисленные случаи пр
... Читать дальше »
50 ГБ бесплатного места под Android: приложение MediaFire
Бесплатный хостинг MediaFire выпустил мобильное приложение под Android, которое предоставляет удобный доступ к файловому хранилищу пользователя на сервере. Раньше работать с MediaFire можно было только через браузер, а теперь просмотр фотографий и документов доступен прямо с мобильного телефона, так же как загрузка в хранилище дополнительных файлов.
MediaFire бесплатно предоставляет 50 гигабайт дискового пространства каждому пользователю. Интерфейс веб-сервиса и мобильного приложения по удобству не уступает Dropbox. Впрочем, здесь максимальный размер каждого файла — 200 МБ, есть и другие ограничения, в том числе по сроку хранения файлов на неактивных аккаунтах, по сроку жизни прямых ссылок, и обязательный просмотр рекламы. От большинства этих ограничений можно избавиться на платном аккаунте, который стоит полтора доллара в месяц.
Со своими 50 гигабайтами MediaFire является самым щедрым среди бесплатных файлохостингов. Для сравнения, «Яндекс.Диск» даёт бесплатно 10 гигабайт, а Google Drive — и вовсе всего 5 ГБ. Зато в этих сервисах нет ограничения на максимальный размер одного файла. Точнее, это ограничение совпадает с максимальным размером выделенного дискового пространства.
Универсальная материнская плата Group Hug под все процессоры
До настоящего времени каждый производитель процессоров защищал собственную архитектуру CPU, так что для процессоров AMD, Intel или ARM требовались разные разъёмы, разные материнские платы и, как результат, разные серверы. Новый стандарт серверных плат Group Hug (можно вольно перевести как «Групповая обнимашка») решает эту проблему.
Спецификации Group Hug предполагают, что серверные модули с процессорами разных производителей подключаются к основной материнской плате через простой коннектор x8 PCI Express. Одна плата Group Hug поддерживает подключение до десяти SoC.
Стандарт разработан компанией Facebook и организацией Open Compute Project, которая объединяет более десятка компаний, в том числе владельцев дата-центров и крупных заказчиков серверного оборудования: это Facebook (основатель организации), NTT Data и Orange. Именно им важнее всего, чтобы производители договорились о едином стандарте, так что компоненты серверов станут универсальными, совместимыми и, как результат, более дешёвыми. Кроме того, в Open Compute Project входят производители устройств хранения данных: EMC, Fusion-io, Hitachi и Sandisk, им выгодно то же самое.
Не совсем очевидно, насколько это выгодно самим производителям, но компании AMD, Applied Micro, Intel и Calxeda уже согласились поддерживать новый стандарт и записались в члены Open
... Читать дальше »
InstallMonetizer: продвинутая платформа для монетизации бесплатного ПО
Всё больше разработчиков программ снабжают свои бесплатные дистрибутивы каким-нибудь сопутствующим софтом. Обычно это «полезный» тулбар, браузер или утилита для «облегчения» сёрфинга. В любом случае, автор программного обеспечения претендует на выплаты по партнёрской программе от компании, которая таким образом распространяет свой сторонний продукт. Подобными методами распространения не брезгуют даже крупные компании, как «Яндекс», Mail.ru и Google. Ситуация усугубляется тем, что некоторые из «полезных» программ пользователю потом сложно удалить с компьютера.
Так или иначе, но для отдельных сайтов и разработчиков такие партнёрские программы — существенный источник дохода. И для них важно вести статистику, сколько экземпляров партнёрского софта «залито» на компьютеры пользователей, какова эффективность каждого канала распространения и т.д.
Новый стартап InstallMonetizer позиционирует себя как «платформа монетизации программного обеспечения под Windows». Этот стартап получил инвестиции от авторитетного инкубатора Y Combinator и венчурного фонда Andreessen Horowitz, хотя созданный ими софт очень похож на C&C-сервер для управления ботнетом. Только вместо вредоносного ПО здесь отслеживается распространение тулбаров и других программ, которые устанавливаются на компьютеры пользователей.
Платформа предлагает очень продвинутые функции аналитики, в том числе отслеживание конверсии после установки, то есть количество акт
... Читать дальше »
Группа реагирования на инциденты в области промышленных систем управления (ICS-CERT) опубликовала отчёт с хроникой самых значительных происшествий за октябрь-декабрь 2012 года (pdf). Нужно сказать, что это довольно занимательное чтиво: вирусы всё чаще находят на критически важных объектах коммунальной инфраструктуры США, особенно на объектах энергосистемы. На диаграмме показано, как распределяются по разным секторам промышленности все инциденты в области компьютерной безопасности за 2012 год, по статистике ICS-CERT.
Обозначенный синим цветом энергетический сектор является безусловным лидером: на его долю пришлось 82 инцидента, то есть 41% от общего количества происшествий с системами SCADA в 2012 году.
В последнем отчёте опубликовано лишнее подтверждение этой печальной статистики. Сказано, что несколько недель назад специалисты ICS-CERT были вынуждены оказать помощь по удалению вирусов в компьютерном центре, который управляет работой электрических подстанций.
Как сообщается, всего обнаружено два вируса: один обычный, а другой — сложный, который могли внедрить в результате таргетированной атаки.
Вирусы были обнаружены случайно, когда один из сотрудников принёс USB-флэшку для проверки в ИТ-отдел. На эту флэшку записывались бэкапы конфигурационных файлов. Сотрудник ИТ-отдела вставил флэшку в компьютер со свежими антивирусными базами — и тот выдал предупреждение о наличии вредоносного ПО.
