18 апреля 2014

Новости недели: от крутости ФБР до странностей Microsoft

Безопасность Новости

Вот и прошла неделя: последние рабочие часы вот-вот закончатся, и мы традиционно спешим рассказать вам о самых интересных событиях минувших будней. Хак сканера отпечатков пальцев в смартфоне Samsung, загадочная утечка данных банковских карт с сайта РЖД, случайное изобретение Google оружия против капчи и другие новости недели в нашем пятничном дайджесте.

Новости недели: от крутости ФБР до странностей Microsoft

Heartbleed и странная утечка из РЖД
Очевидно, уязвимость Heartbleed, о которой мы рассказывали на прошлой неделе, еще долго будет напоминать о себе из самых неожиданных мест. Одним из них стал сайт РЖД, который, по сообщению анонимных хакеров (предположительно кардеров), наряду со своим банком-партнером стал жертвой уязвимости в OpenSSL, которую якобы не смог закрыть аж в течение недели. В результате с серверов, опять же якобы, утекли данные более 200 тысяч карт, которыми пользователи расплачивались за билеты в период с 7 по 14 апреля. «Якобы» в данном случае оказалось в тексте неспроста: вся история пронизана нестыковками, а убедительных фактов для составления внятной картины явно не хватает. Заявившие об утечке хакеры выложили в открытый доступ архив с данными более 10 тысяч карт, правда, с отредактированными номерами. Но, несмотря на то что через некоторое время начали появляться сообщения от тех, кто нашел свои карты в списке, источник и причины утечки до сих пор толком неизвестны: представители РЖД и банка ВТБ24 отрицают факт утечки, которая, к слову, могла произойти при совершенно других обстоятельствах. Будем следить за развитием событий.

Атака длинною в год
Французская компания LaCie, известная отечественному потребителю по ярким внешним накопителям, сообщила на этой неделе о том, что ее сайт подвергся хакерской атаке. Казалось бы, ничего необычного: серьезные взломы происходят тут и там чуть ли не каждый день. Но случай на самом деле особый: дело в том, что данная атака проходила на сайт в течение целого года! По сообщению представителей компании, неустановленным лицам удалось скомпрометировать систему защиты серверов при помощи некоего зловреда и получить доступ к пользовательским данным, в том числе имена, адреса, email и данные кредиток. В связи с этим конфузом в LaCie срочно предупредили всех своих пользователей о том, что, если они приобретали что-то через официальный сайт компании в течение последнего года, лучше принять соответствующие меры: сменить пароли, перевыпустить карты и так далее.

Такая странная Microsoft
На неделе корпорация Microsoft выпустила увесистое обновление для Windows 8.1. И, наверное, данный факт прошел бы почти незамеченным, если бы не один нюанс: пользователи, по той или иной причине не пожелавшие накатывать обновление, впредь окажутся лишены всех последующих патчей: при попытке установить любой из них они будут получать сообщение о том, что данное обновление неприменимо.

Все это можно было бы списать на технические неполадки или непреднамеренную ошибку, но, судя по официальному блогу компании, все именно так и задумано. Наш коллега связался с одним из сотрудников Microsoft, но тот не смог толком объяснить причины такого спорного решения. В любом случае если у вас включено автоматическое обновление (скорее всего, так оно и есть), то волноваться не о чем. Также беспокоиться не стоит и пользователям Windows 7 и Vista.

Как обмануть сканер отпечатков в Samsung Galaxy?
Очень просто: приложить фотографию отпечатка пальца. Серьезно: сканер на новом флагмане Samsung Galaxy S5 вводится в заблуждение при помощи старого трюка, подразумевающего сканирование отпечатка, несложное его редактирование и нанесение на пленку. Пикантности ситуации придает тот факт, что при помощи такого способа можно не только разблокировать смартфон, но и произвести оплату при помощи PayPal.

Надо сказать, что в прошлом году ровно тот же фокус можно было наблюдать со сканером отпечатков в смартфоне iPhone 5S. Выходит, что за полгода Samsung ничему не научилась, ну или просто очень тщательно следит за тем, чтобы ключевые особенности ее продуктов ни в чем не отставали от конкурентов :)

А у ФБР больше!
В следующем году Федеральное бюро расследований сможет похвастать, наверное, самой большой в мире базой данных лиц: 52 млн изображений! Проект NGI (Next Generation Identification, идентификация следующего поколения) существует уже довольно давно, однако на данный момент численность фотографий в его базах не превышает 20 млн, зато отпечатков пальцев куда больше — их в базе более чем на 100 млн человек. Интересно, что NGI — первая в США БД, сочетающая в себе данные не только о преступниках, но и о законопослушных гражданах. Не менее любопытен и способ пополнения этой базы данных: когда на работу в какую-либо американскую компанию приходит новый сотрудник, руководство обязано снять отпечатки пальцев (а теперь еще и сделать фотографию) и передать копию в ФБР.

Вредоносная иконка
В очередной раз убеждаемся в том, что редкая неделя обходится без сообщений об уязвимости в Android. На этой неделе очередную брешь обнаружили исследователи из FireEye: как и в некоторых других случаях, дыра связана с использованием разрешений, которые пользователь (или система) дает приложению на доступ к разным элементам ОС. На этот раз эксперты откопали особенность Android, которая позволяет приложению не запрашивать у пользователя разрешение, а получать доступ сразу, без лишних вопросов. Два из таких разрешений позволяют программе подменять или модифицировать иконки, что дает возможность увести юзера, например, на вредоносный сайт. Ну, или загрузить не менее вредоносный файл. Забавно, что уязвимость вскрылась еще в прошлом году, однако Google не торопилась с исправлением. Возможно, теперь, когда о баге стало известно публично, разработчики поторопятся.

Google случайно создала инструмент для хакеров
Ну и традиционно — небольшая хохма в завершение дайджеста. Разработчики из Google, как известно, большие выдумщики: то новую соцсеть сделают, то очки прямиком из будущего выпустят. Но в перерывах между этим ребята занимаются вполне приземленными вещами: например, создают алгоритм распознавания номеров домов для автоматизации сбора данных для карт Google Maps. Так вот, получившаяся система оказалась настолько совершенна, что запросто может читать практически любой искаженный текст. В том числе и CAPTCHA.

Зато одновременно с этим специалисты компании поняли, что просто размытого текста в качестве CAPTCHA теперь недостаточно. Профит!

Вот такими были эти рабочие дни. До встречи на следующей неделе, и приятных вам выходных!