Крайни потребители

Bluetooth уязвимост позволява неоторизирано подслушване на милиони устройства. Пробойната в сигурността е открита от Израелския технологичен институт.

Тя засяга сигурното сдвояване (pairing) при използването на Bluetooth Low Energy (LE) и прави възможно засичането и манипулирането на трафик между две устройства. Пробойната в сигурността може да бъде експлоатирана на ниво операционна система, както и фирмуеъра на устройството.

Как атаката се осъществява

При сдвояването (pairing) на две устройства се обменят публични ключове, които се използват за Diffie-Hellman обмен (и автентикация посредством него). Към тях се изпращат и допълнителни параметри, които не се валидират правилно от страна на устройството. При изпращането на подправени параметри, трета страна може да осъществи man-in-the-middle атака и да открадне действителните криптографски ключове, които защитават комуникацията. В последствие, атакуващият може да подслушва всичко, случващо се между двете устройства.

Как това ще се отрази на потребителите

Въпреки че атаката засяга милиони устройства, условията, нужни за успешното ѝ осъществяване са крайно специфични. За да може да получи снимките ви или да чува разговорите ви, атакуващият трябва да е в обхват докато две уязвими устройства се сдвояват и да подправи напълно комуникацията – нещо, което не е по силите на много.

Дори и така, силно ви препоръчваме да следите новините от производителите на всичките ви Bluetooth устройства. Предстои издаването на патчове за поправяне на уязвимостта.

Apple патчна уязвимостта със следните версии:

• macOS High Sierra 10.13.5
• iOS 11.4
• watchOS 4.3.1
• tvOS 11.4

Intel пусна ъпдейти за устройствата си в понеделник, като насочи фокуса си към хората, използващи продукти от Dual Band Wireless-AC, Tri-Band Wireless-AC и Wireless-AC сериите.

Broadcom съобщи, че патчове за уязвимостта са дистрибутирани към OEM клиентите на компанията, които сега са отговорни за дистрибуцията им към крайните потребители.

Qualcomm все още няма изявление относно уязвимостта.

Към момента все още няма признаци за експлоатиране на уязвимостта с криминални цели. Според Bluetooth Special Interest Group, всички механизми за атакуване на дупката в сигурността са разработени единствено с научни цели.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

След големия интерес в подобренията, свързани със сигурността, на новата версия на мобилната операционна система на Apple iOS, идва ред и на конкурента – Android P. 

Сред множеството нововъведения в Android P редица визуални подобрения, нови функции и дори технология за адаптиране на батерията към вашето индивидуално потребление. ДОбрата новина за потребителите на платформата е, че сигурността също не е оставена на заден план. Ето най-важните нововъведения в тази сфера:

Hardware Security Module

HSM е технология, която видяхме в Project Vault – проект, целящ да превърне SD карта в модул, който е изцяло използван за сигурността на устройството. След като проектът беше спрян, Google го възкреси за излизането на Android P.

В новия си вид, HSM ще представлява вграден в устройството модул, който ще присъства само при устройствата чиито производители желаят да го внедрят. Той ще разполага с истински random генератор, собствен процесор и редица механизми, които предотвратяват чуждата намеса в работата на устройството.

Декриптиране на устройството само, докато е отключено

Въпреки че не е сериозна промяна, тази настройка ще ви позволи да направите декриптирането на защитено устройство възможно само когато екранът е отключен. Това ще ви даде допълнителен слой на защита в случай, че устройството ви непредвидено смени собственика си (загубите го, откраднат го и т.н.).

Сигурен трансфер на криптографски ключове

Google ще даде на разработчиците възможността да съхраняват ключове в специфичен дял от паметта, който устройството не може да достъпва просто така. Това ще подобри сигурността за приложения, които прехвърлят информация през HTTPS връзка и такива, които използват локални криптографски ключове по една или друга причина.

HTTPS по подразбиране за всички приложения

Като част от глобалното придвижване към HTTPS, Android P ще въведе сигурна връзка за всички приложения. Въпреки че системата ограничава некриптирания трафик още във версия 8, очакваната версия ще принуждава разработчиците да използват HTTPS. Приложенията ще могат да комуникират само с определени домейни през HTTP връзка.

Камерата и микрофонът не могат да бъдат използвани във фонов режим

Към момента, приложенията са способни да използват камерата и микрофонът ви във фонов режим – без вашето знание. В идната версия на операционната система, те ще са недостъпни, освен когато вие ги използвате за свои цели.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

iOS 12 е готов за пазарен дебют през септември тази година. Освен подобрен интерфейс и нови функционалности, новата версия на операционната система за iPad и iPhone (и вграденият в нея браузър Safari) вдига високо и летвата на информационната сигурност. Ето защо:

По-малко Ad Tracking

Браузърът Safari е известен с факта, че не разрешава third-party cookies, които ви проследяват докато посещавате няколко уебсайта наведнъж. Иначе казано – не позволява създаването на крос референции за навиците ви на сърфиране, с което да се създават модели на поведението ви и таргетиране на реклами към вас.

В iOS 12 тази функционалност ще бъде допълнена с блокиране на секциите за коментари и бутони за споделяне на социални мрежи и медии – те няма да работят изобщо. Причината – че чрез тях, различни трети страни може да ви идентифицират дори и да не кликате на тези бутони или  да коментирате.

Освен това, Apple ще внедри и допълнителни мерки за предотвратяването на т.нар fingerprinting – разпознаването на устройството ви чрез уникалната му конфигурация, добавки, приложения и т.н.

Моментално споделяне на локация със спешни услуги

Apple си партнира с RapidSOS, за да помогне за развитието на всичките 6,500 центъра за спешни повиквания в САЩ. Това партньорство дава възможност на iPhone да изпрати точното местоположение до центъра за спешни повиквания моментално, когато някой е в беда и се обади на 911.

Това ще помогне на всички неспособни да дадат местоположението си на телефонния оператор. Също така може да помогне и на хора, които се обаждат от ново непознато за тях място. Apple ще използва технология, наречена HELO, за да изпраща данните до оператора в кол центъра.

По-добра защита от хакване

Когато някой иска да получи достъп до вашия iPhone без ваше разрешение, най-често използва brute-force атаки. Опитите за brute-force представляват малко по-сложен и много по-бърз процес на „налучкване“.

За да се справи с това, iOS 12 ще наложи лимит. Например, ако телефонът не бъде отключван за повече от 1 час, той ще смени своето състояние и ще блокира изтичането на информация през USB свързаност с компютър.

 

Двуфакторна автентикация

Двуфакторната автентикация (2FA) е чудесен начин да добавите още един слой сигурност към чувствителни приложения и уебсайтове от трети страни. Въпреки това, в предишни версии на системата, влизането в специално защитено приложение се случва чрез копиране на SMS кода от съобщение и въвеждането му. Последната версия на iOS опростява този процес допълнително като ви дава възможност за автентикация директно през системата.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Опазването на личните ни данни (трябва да) е приоритет номер едно за всеки от нас. Затова ще ви разкажем как да намалите риска за прекомерно споделяне или дори източване на информация за вас чрез конфигурация на браузъра ви или чрез инсталиране на допълнителни добавки. 

В първия ни материал по темата ви показахме как да използвате външни добавки, за да подобрите сигурността си и да опазите личните си данни. Това, обаче, не е всичко, което браузърът ви може да ви предложи – има още някои малки детайли, които вероятно не искате да пропуснете.

Ето няколко съвета за това как да вземете максимума от вградените функционалности на браузъра ви за сигурност.

Mozilla Firefox

За да достъпите настройките на браузъра, въведете about:config в адресната лента и приемете предупреждението.

Препоръчителни настройки:

privacy.firstparty.isolate = true

Въведено като част от Tor Uplift проекта, тази настройка изолира идентификаторите на браузъра ви (примерно – бисквитки) до първоначалния домейн, предотвратявайки следенето в други домейни.

privacy.resistFingerprinting = true

Отново въведена в Tor Uplift проекта, тази настройка предпазва браузъра ви от fingerprinting.

privacy.trackingprotection.enabled = true

Това е вградената настройка за спиране на следенето на Firefox. Ако вече използвате филтри от трети страни (като от uBlock Origin), настройте този параметър на false, за да използвате филтрите на добавката.

browser.send_pings = false

Този параметър пречи на сайтове да следят кликовете ви.

dom.battery.enabled = false

Този параметър пречи на сайтове да следят нивото на батерията на лаптопа ви (да, вече и това е възможно).

dom.event.clipboardevents.enabled = false

Забранете на сайтовете да проследяват кога и какво сте селектирали и копирали от страницата.

geo.enabled = false

Забранява геолокацията.

media.navigator.enabled = false

Не позволява следенето на статуса на камерата и микрофона ви.

webgl.disabled = true

WebGL е потенциален риск за сигурността. Научете повече

network.IDN_show_punycode = true

Показването на punycode-a на един домейн може да ви позволи да различите оригинален такъв от домейн, използван за фишинг. Това се дължи на факта, че браузърът ви ще показва специалните символи които се използват да наподобят даден домейн.

Google Chrome

Настройки

В случая на Chrome, имаме основни настройки и едно нововъведение, което може би не сте използвали досега – флагове.

За да достъпите до настройките е нужно само да кликнете върху крайния бутон отдясно на адресната лента и да изберете Settings.

Оттам е нужно да стигнете до „Advanced Settings”, където се намира секцията Privacy & security

В нея можете да въведете настройките както са показани на изображението по-долу или да изберете сами за себе си.

Флагове

За да стигнете до флаговете на Chrome e нужно да въведете chrome://flags в адресната лента.

Предупреждение: Някои от тези функции могат да повлияят на стабилността на браузъра ви.

Флагове за по-добра поверителност:

#disable-hyperlink-auditing

Забранява проследяването на линковете, върху които кликате

#reduced-referrer-granularity

Изпраща по-малко информация за сайтът, от който идвате на нова страница

Флагове за подобрение на сигурността

#extension-content-verification – Strict

Проверява съдържанието на браузърни добавки, с цел да предотврати обмена на информация с трети приложения.

#enable-permissions-blacklist

Сравнява сайтовете, които посещавате срещу black list-a на Google и забранява различни типове достъп за тях ако има съвпадение.

Подобрения на сигурността в бета

#enable-site-per-process
Всеки уебсайт се изпълнява в отделен процес, където междусайтовите iframe елементи не могат да си взаимодействат с процесите на други страници.

Заключение

Като цяло, към момента Mozilla Firefox се движи напред към подобряване на потребителската поверителност по достъпен и ясен начин, докато Chrome дълбае на едно място. Това не прави единия браузър по-добър от другия, но е видим показател за интересите на създателите им.

Без значение дали използвате единия или другия, последвайте препоръките ни в предишната част, за да си подсигурите възможно най-много поверителност и сигурност онлайн.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Последен ъпдейт на 9 юли 2018 в 05:08 ч.

Втора част от материала – как да настроите браузъра си – вижте тук. 

Огромната част от интернет съществува само, защото потребителите са така добри да споделят личните си данни.

Може и да е крайно, но горното твърдение е излюстрация на начина, по който се монетизира присъствието ни онлайн. Навиците ни на сърфиране, интересите, за които споделяме – това е информация, която е превръщана в приходи от различни платформи, които я събират и препродават на рекламодатели.

Добрата новина, е че събирането на подобна информация е ясно регламентирано от новия регламент за защита на личните данни в ЕС (познат още като GDPR). А още по-добрата, че можем да вземем нещата в свои ръце – и да контролираме какво, с кой и кога споделяме онлайн благодарение на усилията на знайни множество различни добавки за браузъри. Ето няколко от тях, които можем да препоръчаме:

Преди всичко, застъпниците на онлайн поверителността силно клонят към Mozilla Firefox като най-разумен избор за браузър в момента, но това е избор, който оставяме на вас.

Privacy Badger – язовецът, който лови тракери

Privacy Badger е добавка за най-популярните браузъри, която е разработена и се поддържа от EFF (Electronic Frontier Foundation). Добавката ви пази като следи за елементи по страницата, които вграждат домейни от трети страни – с други думи, сайтове, които ви следят.

Предимството му е, че може да различава съдържание, което е ключово за функционалността на страницата от това, което само следи активността ви. Респективно, едното бива забранено, а другото – не.

Добавката също затруднява browser fingerprinting – техника, която цели да ви идентифицира чрез особеностите при настройките на браузъра ви, шрифтовете, които използва, инсталирани добавки и т.н.

Научете повече/инсталирайте | Проверете доколко браузърът ви подлежи на fingerprinting

Кажете „не“ на стотиците реклами с uBlock Origin (ако вече не сте)

Темата за онлайн рекламите и добавките, които ги блокират, е доста пипкава, особено след като беше разкрито, че понякога и двете страни следят и продават данните ви.

uBlock е проект, който претърпя много промени в последните години, сред които и разделяне на две части. uBlock Origin е версията, която се поддържа от оригиналните създатели. Според много тя е най-бързата и най-силно ориентирана към конфиденциалност добавка от този тип.

Инсталирането ѝ ще ви спести всички възможни реклами по уебсайтовете (а с тях и половината заплахи, на които попадате).

Това, за жалост ощетяващо за уебсайтовете, които използвате ежедневно, тъй като не могат да печелят от показването на реклами. Затова, помислете, преди да забраните рекламите на сайтовете, които наистина заслужават.

Chrome | Firefox

Cookie AutoDelete ви спестява ненужни бисквитки

Добавката ви позволява да се отървете от оставащи бисквитки, които би трябвало да са неактивни вече. Това ви пази не само от следене, но и от session hijacking атаки.

Всички сесии, бисквитки и допълнителна информация, която може да служи за следенето и ще бъде унищожавана след като спрете да използвате уебсайта, от който идва.

Chrome | Firefox

HTTPS Everywhere криптира трафика ви с множество сайтове

Тази добавка също е проект на EFF, в партньорство с The Tor Project.  Тя ви помага, като принуждава сайтовете, които поддържат криптирана връзка, да я използват за всички заявки, без значение какви линкове има в съдържанието им.

Научете повече / инсталирайте

Decentraleyes ви пази от мрежи за предоставяне на съдържание

Все повече и повече уебсайтове разчитат на външни хранилища за своето съдържание – видео, снимки, текст. Това, което печелят те е по-евтино лесно за управление съдържание, което може лесно да бъде споделяно. Това, което тези мрежи (content delivery networks) печелят е, че знаят до какво съдържание се докосвате в ежедневието си.

Decentraleyes спира това като емулира предоставянето на това съдържание за браузъра, но локално – без да бъде идентифициран вашия браузър.

Chrome | Firefox

С IP Address and Domain Information може да проверите дали пазарувате от реален електронен магазин (и не само)

В контекста на фишинг атаките, които се случват буквално всеки ден, е хубаво да може да проверите идентичността на сайта, който стои зареден пред вас. Същото важи и, ако ще пазарувате онлайн и искате да сте сигурни в легитимността на избрания магазин.

Това може да стане лесно с IP Address and Domain Information – безплатна добавка, с която може да видите детайлна информация за всеки IP адрес, домейн или доставчик на услуга. Така шансът да бъдете измамени от фалшиво копие на уебсайт намалява драстично.

Chrome | Firefox

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

В сезона на разпродажби, оферти за пътуване и безброй културни събития, можете действително да намерите много добри предложения онлайн. Всеки ден изникват нови приложения и услуги, които целят да ви показват по-изгодни оферти от тези, които бихте намерили сами.

Но някои от тях са прекалено добри, за да са истински – дори дотолкова, че много хора се хващат на тях и стават жертви.

В следващите редове ще ви дадем няколко съвета, които ще ви помогнат да не ставате част черната статистика:

Преди всичко, поставете основите

Няма как да се защитите ако между вас и заплахите няма нищо. За целта можете да поставите основите на защитата си (или да ги подсилите) като:

• Подсигурете домашния си компютър с платено лицензирано антивирусно решение
• Сменете паролите си с по-силни (с минимална дължина 10-12 символа, в които има поне по 1 малка и главна буква, цифра и специален символ като @, # и др.)
• Използвайте приложение, с което да генерирате и съхранявате пароли
• Използвайте двуфакторна автентикаця поне за най-важните си услуги/профили

Не се доверявайте на подозрителни магазини

Здравословната доза скептицизъм е задължителна при пазаруването онлайн. Може би все по-често ви се случва да се натъкнете на магазини с учудващо добри цени, които изглеждат някак набързо сглобени. В такъв случай е задължително да си зададете въпроса „Мога ли да се доверя на този магазин и ако да – защо?“

Дори и да не попаднете на некоректен търговец, можете да попаднете на сайт, който съхранява (или изпраща) потребителските данни по несигурен начин. Все още съществуват онлайн магазини, които съхраняват потребителските данни в чист текст, което прави придобиването им тривиално.

Ако един магазин не ви вдъхва доверие, просто пазарувайте от друго място – имате избор.

Пригответе се за измамни оферти

Фишинг измамите са особено активни през летния сезон, тъй като всички се ослушват за добри оферти. Точно заради това можете да получите мейл с оферта за отстъпка в любимите ви магазини или ексклузивна оферта за пътуване – единствено е нужно да влезете в някой от профилите си.

Ако линк или имейл ви пренасочи към неофициална страница, която изисква да влезете в профила си в социална мрежа или банка през нея, то вие сте потенциална жертва на измама.

Още по темата: Масова фишинг атака от името на български банки

Използвайте сигурни разплащания по сигурна връзка

HTTPS е ваш приятел при сърфирането в интернет. Използването на сигурния протокол за пренос на данни ви предоставя още един слой на защита от хора „подслушващи трафика ви“. Това важи особено силно в случай, че се разплащате с дебитна или кредитна карта.

За да сте сигурни, че няма да пропуснете този малък детайл, можете да използвате добавката HTTPS Everywhere. Тя ще ви предупреждава, когато комуникирате със сайт, който има несигурна връзка.

Не се доверявайте на публични мрежи

Представете си, че сте хакер, който си търси лесна мишена. В идеален случай, ви трябва незащитена мрежа, в която има множество хора с различни нива на защита, които използват мрежата за ежедневните си нужди. Какво по-добро от отворена WiFi точка?

Точно тези мрежи стават най-често цели за Man-in-the-Middle (MITM) атаки, в които атакуващият застава между вас и приложението/услугата, с която комуникирате. Извършвайте плащания през домашната си мрежа или през мобилния си интернет.

След всичко това остава да се отдадете на летните забавления, но да не ставате безгрижни в онлайн пространството. Ние ще продължим да ви съветваме как да се защитите.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

За да се насладите на почивката си през лятото, ще публикуваме поредица материали със съвети как да намалите риска от кибератака срещу вас и тези, които обичате или тези, с които работите. Следете freedomonline.bg за още материали по темата. 

Социалните мрежи днес дават ни дават лесен начин да споделим всичко за себе си. Летните отпуски са един от онези моменти, в които голяма част от потребителите на социални медии се опитват да се похвалят на кой плаж събират слънчеви лъчи или какво точно обядват или вечерят. В това няма нищо лошо – като изключим възможността да се превърне в предпоставка за нанасяне на сериозна вреда.

Защото някой може да чака да научи точно, че сте на няколко стотин или хиляди километра от вкъщи, например.

Защо искаме да споделяме?

Краткият отговор е защото имаме нужда да споделяме възгледите си, с което да се причислим към колектив със сходни виждания. Тази нужда е дълбоко вкоренена в психиката на всеки един от нас на еволюционно ниво.

Facebook и подобните се възползват от тази ни вкоренена нужда, като я засилват допълнително, улесняват споделянето като действие и разширяват кръгозора и скоростта, с които информацията пътува. Това не е лошо и не би било проблем, ако:

• действаме с ясната идея, че информацията ни е публична (т.е. вижда се извън кръга на приятелите ни), освен, ако ние не заявим нещо друго
• богатството от информация за себе си, която складираме безсрочно в онлайн пространството, сериозно улеснява всеки желаещ да ни измами

Пренасищането с информация не ни прави невидими

Естествено, не е нужно някой изрично да се цели във вас. Социалните платформи са дом на много блуждаещи хакери, които просто си търсят лесна мишена – човек, който е готов да сподели каквато и да е информация за внимание.

Злонамереният хакер може да намери нещо повече от ухилената ви физиономия на онази снимка от коледното парти, за която нямате търпение да потъне в небитието, зарината под стотици други. Например:

• Кога отсъствате от вкъщи (в случай, че желае да разгледа по-скъпите ви принадлежности)
• Интересите и навиците ви, които може да експлоатира, за да ви измами
• Кои сайтове посещавате, за да намери изтекли пароли и имена от предишни атаки

А в случай, че атаката му успее – всяка малка подробност, която сте дигитализирали, също.

Как да се предпазим от атака, която антивирусната ни не може да засече

Не е толкова сложно – както антивирусният ви софтуер си задава правилните въпроси за подозрителните процеси и файлове в системата, така и вие можете да подходите към споделянето онлайн. Погледнете от различни гледни точки:

• Информацията, която споделяте може ли да се използва срещу вас?
• Съгласни ли сте с това, че веднъж щом натиснете бутона „Публикувай“ с тази информация може да се използва по всевъзможни начини от всички?
• Съобщенията и предложенията от непознати звучат ли прекалено добре, за да са истински?
• Човекът, който ми пише сега, действително човекът, за когото се представя ли е?

В крайна сметка тук се борите не толкова с технологиите, колкото с хората, които искат да ги експлоатират. И точно като човек, можете да се досетите как биха действали те. Затова споделяйте отговорно и се погрижете близките ви да последват примера.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Много от нас могат да си спомнят как в зората на новото хилядолетие „Покемон“ вървеше към върха на популярността си. Преди 18 години група хакери се възползват от това, за да създадат първия вирус, насочен към деца – Pikachu. Вирусът таргетира системи от Windows 95 до Windows 2000.

Куриозната заплаха се разпространява като прикачен файл към мейл, именуван „Pikachu Pokemon”. В него въпросното същество поздравява получателя и заявява, че има да му каже няколко „приятелски думи“.

Към мейла е прикачен файл, с име pikachupokemon.exe. При неговото изпълнение потребителят вижда анимация на подскачащ по екрана покемон, под надслов „Between millions of people I found you. Don’t forget to remember this day every time MY FRIEND!”.

Не звучи особено заплашително, нали?

Но зад цялото представление се случва това, което целят атакуващите – вирусът добавя две нови команди към autoexec.bat, които се изпълняват при рестартиране на машината:

"del C:\WINDOWS"

"del C:\WINDOWS\system32"

Което, както можете да предположите, изтрива основните директории на системата и прави компютъра на всяко излъгало се ентусиазирано дете напълно безполезен.

Pikachu is confused!

Въпреки бурното си разпространение, вирусът успява да нанесе минимални щети поради един основен пропуск – хакерите забравят да изключат изискването за потвърждение. След всяко успешно заразяване и рестартиране, компютърът просто пита човека пред него дали желае да изтрие операционната си система. Можем да предположим (и да се надяваме), че отговорът е бил предимно отрицателен.

Шегата настрана, това се определя като основен фактор за слабото представяне на вируса. В сравнение с това, друг достатъчно широко разпространен вирус по това време е “ILOVEYOU”, който успява да нанесе щети за близо девет милиарда долара. Без значение колко е успешен, обаче, Pikachu поставя началото на все по-опасните вируси, насочени към особено наивна и уязвима част от обществото – децата.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Миналата година бе съобщено, че Mozilla Foundation планира да обедини сили с HaveIBeenPwned.com (HIBP) – популярен сайт за уведомяване при компрометиране на лични данни.

Целта на колаборацията е да се изпращат предупреждения на потребителите директно в браузъра, в случай, че бъде посетен уебсайт, който е бил компрометиран. Потребителите ще получават и уведомление дали идентификационните им данни са били част от изтичането на информация.

Тази опция за информиране при нередности вече е факт, но в малко по-различен формат.

Have You Been Pwned?

Firefox обяви стартирането на уебсайт, наречен The Firefox Monitor, който ще информира потребителя ако неговият имейл адрес е изтекъл онлайн или е станал част от пробив в сайт, в са използвани входни данни включващи имейл и парола. Както беше обявено, услугата работи в партньорство с HaveIBeenPwned (HIBP) и компанията за IT сигурност Cloudflare.

Новината бе съобщена на 25 юни 2018 г., но сайтът все още е в процес на разработка.

За потребителите, които се притесняват, че личните им данни сега биха изтекли в друга посока при проверката, от Mozilla обявиха, че са разработили начин, чрез който проверката ще става без личните данни да напускат браузъра.

От това, което нашия екип научи, разбрахме, че най-вероятно проверката ще става чрез изчисляването на hash стойност. След това, тя ще бъде изпращана за проверка към сайта и ако съвпадне с друга стойност в базата данни, то вие ще бъдете уведомени. Изпратените hash данни няма да бъдат запазвани.

През следващата седмица Mozilla ще покани поне 250 000 потребители, които ще могат да се възползват от услугата. Ако сте потребител на Firefox, не забравяйте да посетите The Firefox Monitor следващата седмица.

Това наистина е чудесна новина за потребителите, чиито идентификационни данни са компрометирани, но те няма да разберат до момента, в който информацията им бива използвана за злонамерени цели.

Що се отнася до уеб сайтовете, за тях това е „лоша“ новина, която може да ги накара да вложат повече  ресурси в мерки за сигурност, които биха им спестили това неудобство.

Как да направите личните си данни по-трудни за кражба

Какво можете да направите, за да избегнете изтичане на идентификационни данни, които използвате в различни уеб сайтове. (Форуми, Онлайн Магазини и т.н.)?

За съжаление, единственото което можете да направите е да не използвате една и съща парола за вход в различни уеб приложения. Добра практика е използването на различна парола за всяка уеб услуга. За да ви е по-лесно запомнянето, ще ви предложим следния пример:

Разделете паролите, които използвате на две части.

• Първа част – основна част, която никога не се променя и която винаги бихте могли да запомните.
• Втора част – променлива част, която създавате за всеки сайт на базата на името на сайта (може да използвате и друг артефакт).

Така ако основната част на паролата ви е “password” (никога не използвайте такава основна част ;) ), и посещавате сайт freedomonline.bg.

То паролата ви за вход би могла да изглежда по следния начин:

password_fr33d0mOnline

Надяваме се, че схванахте идеята.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 11:28 ч.

Анализатори на зловреден код в един от най-големите доставчици на антивирусни решения ESET, са открили нов щам на Android RAT, известен като HeroRat. Интересното в случая е, че се използва Telegram протокол за командване и контрол, както и за ексфилтриране на данни.Прочетете повече »