Насколько лицензионно?
-
Похожий контент
-
От Mrak
Всем привет! Хотел обсудить безопасность сдачи государству биометрических данных.
На официальном сайте https://ebs.ru/citizens/ указаны некоторые положительные стороны. Например, при сдаче расширенной биометрии больше не надо ходить в офис оператора связи. Также можно спокойно сделать квалифицированную ЭЦП бесплатно (без ежегодных взносов, как с иными организациями).
Плюс надо учитывать, что у государства уже есть часть данных из-за выдачи паспорта гражданина РФ и загранпаспорта РФ. Биометрические данные в неполном виде хранятся в связи с заключением договора банковского обслуживания (иначе они дистанционно не смогут обслужить, подтверждать операции по фото или голосу).
Отсюда вопрос: сдавать ли самые полные биометрические данные и пользоваться всеми возможными благами (чего уже стесняться, когда часть данных уже записано?), либо повременить, ведь в случае утечки лицо и голос уже не переделать?
Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь". -
От KL FC Bot
В блоге эксперта по кибербезопасности Джона Джексона появилось исследование двух уязвимостей в десктопном клиенте мессенджера Signal — CVE-2023-24068 и CVE-2023-24069. Эксперт приходит к выводу, что эксплуатация этих уязвимостей может быть использована для шпионажа. Поскольку у десктопных приложений Signal под все операционные системы общая кодовая база, уязвимость присутствует не только в клиенте под Windows, но и под MacOS и Linux. Уязвимы все версии вплоть до 6.2.0. Давайте рассмотрим, насколько эта угроза реальна.
Что за уязвимости CVE-2023-24068 и CVE-2023-24069
Суть первой уязвимости, CVE-2023-24069, заключается в непродуманном механизме работы с файлами. Если отправить в чат файл, десктопный клиент сохраняет его в локальной директории. Когда файл удаляют, то из директории он исчезает… если, конечно, на него никто не ответил или не переслал его в другой чат. Причем несмотря на то, что в целом Signal позиционируется как безопасный мессенджер, и все сообщения в нем шифруются, сохраняются файлы в незащищенном виде.
Уязвимость CVE-2023-24068 была найдена в процессе дальнейших манипуляций с клиентом. Оказывается, отсутствие механизма валидации файлов в клиенте позволяет подменять их после отправки. То есть если на десктопном клиенте был открыт пересланный файл, то злоумышленник может подменить его в локальной папке на посторонний. И при дальнейших пересылках ничего неподозревающий пользователь будет распространять совершенно не тот файл, которых хотел отправить.
View the full article
-
От KL FC Bot
Создатели Telegram позиционируют свой мессенджер как безопасный и защищенный. Но на практике это не совсем так: дело в том, что у «Телеги» есть ряд особенностей, из-за которых защитить свою переписку в реальной жизни оказывается не слишком легко, — и связаны они вовсе не со сложностями криптографии, а с гораздо более прозаическими вещами. Давайте поговорим про несколько весьма неоднозначных решений в интерфейсе и общей логике работы Telegram, делающих его совсем не таким безопасным, как принято считать.
Оттенки безопасности переписки
Для начала разберемся, как работает защищенный (или безопасный) мессенджер. Первое, что стоит понимать: практически все существующие системы обмена сообщениями уже давно используют шифрование данных при их передаче с устройства пользователя на сервер. Это тот минимум, который должен обеспечивать любой современный мессенджер. Однако этого недостаточно, чтобы считать систему обмена сообщениями защищенной, поскольку это не гарантирует полной безопасности переписки.
И вот почему: если доступ к сообщениям, помимо участников беседы, есть и у сервиса, то это создает дополнительные риски. Например, сами владельцы сервиса могут оказаться излишне любопытными или жадными. Или допустим даже, что нынешние владельцы кристально честны и не суют нос в данные пользователей, — кто гарантирует, что это не сделают следующие, к которым мессенджер перейдет после продажи? В конце концов, сервис может кто-то взломать — и в этом случае доступ к переписке может получить взломщик.
Есть очень эффективный способ избежать всех этих опасностей и сразу закрыть вопрос о том, можно ли сервису доверять, — для этого используют сквозное шифрование. Оно предполагает, что информация шифруется на устройстве отправителя и расшифровывается только на устройстве получателя. Таким образом, сам сервис пересылает туда-сюда только зашифрованные данные и доступа к содержанию сообщений не имеет. Это автоматически обеспечивает защиту переписки от любопытства нынешних и будущих владельцев сервиса и от всех неприятностей, которые с ним могут произойти.
Итак, мы приходим к очень простой формуле: защищенный мессенджер — это такой мессенджер, который использует сквозное шифрование. Теперь самое время перейти к тому, как с этим обстоят дела у Telegram.
View the full article
-
От KL FC Bot
Threema, один из наиболее популярных защищенных мессенджеров, на этой неделе оказался в эпицентре скандала. Исследователи из университета ETH Zurich нашли 7 (!) уязвимостей в протоколах Threema, а разработчики мессенджера, не отрицая этого факта, сказали, что «все исправлено, и вообще, проблема высосана из пальца». Нужно ли срочно переходить на Signal, и где правда?
В скандале с Threema сложно разобраться до конца, потому что обе стороны ведут себя хотя и цивилизованно, но не идеально. Исследователи из ETH Zurich явно преувеличивают значимость своей работы, в которой описаны не только уязвимости, но и гипотетические сценарии их эксплуатации, а разработчики Threema явно преуменьшают опасность уязвимостей и говорят, что эксплуатировать их практически невозможно.
Тем, кого интересуют только практические выводы, предлагаем сразу перейти к ним.
Уязвимости Threema
Все уязвимости были ответственно разглашены в октябре и оперативно исправлены. По информации обеих сторон, эксплуатации уязвимостей «в дикой природе» не было, поэтому бояться разглашения информации вроде бы нет причин. Тем не менее ситуация не безоблачна.
Сосредоточимся на заключениях, которые можно сделать из внимательного чтения цюрихского исследования, блогпоста Threema, а также других публично доступных исследований протокола и приложений Threema. Во-первых, в приложении использованы сильные алгоритмы криптографии и их стандартизованная и надежная реализация NaCl. Во-вторых, вокруг этого «обернут» собственный протокол обмена информацией, реализация которого несовершенна. Теоретически это делает возможными различные атаки (такие как отправка в групповом чате сообщения, которое будет выглядеть по-разному у разных получателей), а также вполне практические. Например, при наличии физического доступа к смартфону чтение на нем баз данных Threema и резервных копий будет очень несложным — если для защиты приложения не была задана парольная фраза. Также возможно «клонирование» Threema ID, что позволит в дальнейшем переписываться от имени жертвы (но не одновременно с ней). Разумеется, все сценарии с физическим доступом к смартфону являются одними из самых негативных для любого приложения, и защититься от них невероятно сложно.
View the full article
-
От KL FC Bot
Летом 2022 года специалист по информационной безопасности Дэвид Шютц возвращался домой, проведя сутки в пути. Его смартфон Google Pixel 6 ожидаемо был почти разряжен: к моменту, когда Дэвид оказался наконец у себя дома, индикатор заряда показывал 1%. Естественно, телефон выключился посреди набора сообщений в мессенджере. Исследователь нашел зарядку, включил телефон, но продолжить общение не смог — требовалось ввести PIN-код от SIM-карты. Сказалась усталость от путешествия, Дэвид три раза ввел неправильный PIN. В таком случае требуется ввести еще один секретный код PUK. После введения этого кода Дэвид увидел приглашение для логина с помощью отпечатка пальца. А после того как отпечаток был распознан, телефон завис.
После перезагрузки телефона у вас обычно нет возможности разблокировать его с помощью отпечатка пальца. Требуется код разблокировки. Источник
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти