Security Week 20: випадкові числа, вразливість у 7-Zip, Microsoft вимикає WiFi Sense

Хочете поговорити про ентропії? Я не хочу, але треба, так як одна з найбільш важливих новин тижня (і, що дивно, найпопулярніша новость на Threatpost) якраз про неї. Точніше — про вражаючий (якщо потім не спростовано) прорив у вирішенні проблеми генерації випадкових чисел. Наукова робота дослідників Девіда Цукермана і Эшана Чаттопадхья з Техаського університету доводить можливість генерації випадкових чисел високої якості на основі двох джерел більш низької якості. Якщо ще точніше, то така можливість була і раніше — наприклад, близько 10 років тому це показав бельгійський математик Жан Бургейн. Проблема в роботі Бургейна полягала в тому, що цим самим «не дуже якісним» джерелами насправді пред'являлися досить високі вимоги в частині ентропії, відповідно його дослідження мали суто наукову цінність.

А ось в даному випадку цінність може бути цілком практична: якщо просто, то нова робота дозволить отримувати випадкові числа швидко і дешево, зменшить шанси на, скажімо, злом зашифрованою листування через уразливості алгоритму генерації. Основна вимога до двох джерел — це відсутність кореляцій між ними. Загалом, хороша (хоча і надзвичайно складна для розуміння) новина з наукового фронту, яка цілком може знайти застосування в криптографії, і не тільки в ній. Відгуки на наукову роботу в цілому вельми позитивні, але, як правильно зазначається в цій статті BBC, дослідження не пропонує нічого принципово нового. Але якість і швидкість існуючих методів генерації випадкових чисел можуть бути поліпшені.

Попередні випуски дайджесту доступні тегу.

Microsoft обмежує можливості технології Wi-Fi Sense
Новость. Анонс на TechNet.

Технологія Wi-Fi Sense загалом дає непогану функціональність. Вона дозволяє дати вашим друзям або колегам доступ до відомої вам Wi-Fi мережі, без передачі пароля. За замовчуванням Windows автоматично ділиться такою інформацією з вашими контактами Outlook і Skype, а через пару кліків можна поділитися вайфай з друзями в Facebook. Загалом, цілком собі нормальна функція, яка правда вирішує проблему саме в тому місці, де її немає. Немає ніякої проблеми роздати Wi-Fi парі друзів. Набагато складніше роздавати пароль, наприклад, відвідувачам ресторану.



Як би те ні було, в минулому році Microsoft отримала за цю функцію багато «любові» від користувачів та медіа. Втім, на тлі інших «поліпшень» по частині збору інформації в Windows 10, Wi-Fi Sense стала максимум вишенькою на тортику. Та й взагалі, сама технологія з'явилася ще до Windows 10, у квітні 2014 року. Тоді на неї ніхто не звернув уваги. Загалом, не склалося: через рідкісного використання функції, цього тижня Microsoft вирішила її скасувати, обмеживши можливості автоматичного підключення відомими відкритими хотспот.

Наскільки взагалі обґрунтовано критикувати Microsoft за подібні «покращення»? З одного боку, приклад Wi-Fi Sense показує, що користувачам все складніше контролювати поширення інформації про себе. У контактах в скайпі особисто у мене кого тільки немає, і приблизно половині людей я взагалі нічого не хочу розповідати про себе, тим більше ділитися доступом до своїм хотспотам. З іншого, збір інформації про користувача дійсно потрібен для підвищення якості онлайнових сервісів і розробки нових технологій. Цим займаються всі, не тільки Microsoft, і мені, наприклад, цілком нормально, що мій смартфон вранці і ввечері повідомляє ситуацію з пробками по дорозі на роботу і додому. Тому що знає в точності, де я живу і працюю.

Розвиток цих технологій неминуче змінить відношення між користувачами і розробниками онлайнових сервісів і програм. Як саме — не дуже ясно, і люто обмежувати збір інформації теж напевно неправильно: складніше буде розробляти нові технології. Мабуть, єдине, що хотілося б забезпечити це право користувачів вирішувати, яку інформацію і куди він віддає. Як мінімум — знати, що й де збирається. Виходить Wi-Fi Sense — це позитивна жертва диспуту про приватності: не було тривалих судових процесів і незграбного законодавства. Просто громадськість дала зрозуміти Microsoft, що збитків від експериментальної фічі більше, ніж користі.

Виявлена закрита уразливість в open-source архіватор 7-Zip
Новость. Дослідження.

Уразливості в open-source проектів гарні (ок, невдале слово) тим, що завжди можна проаналізувати, звідки взялася проблема і як була виправлена, аж до конкретної рядки коду. Фахівці дослідницького підрозділу Cisco Talos виявили некоректну роботу архіватора 7-Zip формат UDF (не всі вже пам'ятають, але це стандарт для перезаписуваних CD, а пізніше — для різних видів DVD). Особливістю формату є можливість використання декількох розділів на одному диску. Як з'ясувалося, цей момент дозволяє створити образ підготовлений у форматі UDF, при обробці якого архіватором відбувається переповнення буфера і з'являється можливість для виконання довільного коду.

Уразливості в open-source не дуже хороші тим, що дуже складно оцінити масштаб проблеми. Хоча дана уразливість — це далеко не Heartbleed, схильні можуть бути багато програми і навіть пристрої, які так чи інакше використовують код 7-Zip. Всім рекомендується оновитися до останньої, 16-й версії архіватора.

Що ще сталося:
База з мільйонами паролів до LinkedIn (вкраденими, втім, ще в 2012 році) появилась на чорному ринку, рекомендується в цьому сервісі поміняти пароль.

В Dell нашли під сотню модифікацій мобільних блокерів, що поширюються в основному через порносайти. Чому я не здивований?

В Tumblr теж бажано змінити пароль.

Давнину:
«Hard-662»

Дуже небезпечний резидентний вірус, стандартно записується в запускаються .COM-файли. Щопонеділка о 18.00 виводить на екран текст: «it's hard days night!» і стирає по 50 перших секторів на всіх доступних дисках. Перехоплює int 21h.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 69.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.