Хотите поговорить об энтропии? Я не хочу, но надо, так как одна из самых важных новостей недели (и, что удивительно, самая популярная новость на Threatpost) как раз про нее. Точнее — про впечатляющий (если потом не опровергнут) прорыв в решении проблемы генерации случайных чисел. Научная работа исследователей Дэвида Цукермана и Эшана Чаттопадхья из Техасского университета доказывает возможность генерации случайных чисел высокого качества на основе двух источников более низкого качества. Если еще точнее, то такая возможность была и раньше — например, около 10 лет назад это показал бельгийский математик Жан Бургейн. Проблема в работе Бургейна заключалась в том, что к этим самым «не очень качественным» источникам на самом деле предъявлялись довольно высокие требования по части энтропии, соответственно его исследования имели чисто научную ценность.

А вот в данном случае ценность может быть вполне практическая: если просто, то новая работа позволит получать случайные числа быстро и дешево, уменьшит шансы на, скажем, взлом зашифрованной переписки из-за уязвимости алгоритма генерации. Основное требование к двум источникам — это отсутствие корреляций между ними. В общем, хорошая (хотя и чрезвычайно сложная для понимания) новость с научного фронта, которая вполне может найти применение в криптографии, и не только в ней. Отзывы на научную работу в целом весьма положительные, но, как правильно отмечается в этой статье BBC, исследование не предлагает ничего принципиально нового. Но качество и скорость существующих методов генерации случайных чисел могут быть улучшены.

Предыдущие выпуски дайджеста доступны по тегу.

Microsoft урезает возможности технологии Wi-Fi Sense
Новость. Анонс на TechNet.

Технология Wi-Fi Sense в общем-то дает неплохую функциональность. Она позволяет дать вашим друзьям или коллегам доступ к известной вам Wi-Fi сети, без передачи пароля. По умолчанию Windows автоматически делится такой информацией с вашими контактами в Outlook и Skype, а через пару кликов можно поделиться вайфаем с друзьями в Facebook. В общем, вполне себе нормальная функция, которая правда решает проблему как раз в том месте, где ее нет. Нет никакой проблемы раздать Wi-Fi паре друзей. Гораздо сложнее раздавать пароль, например, посетителям ресторана.



Как бы то ни было, в прошлом году Microsoft получила за эту функцию много «любви» от пользователей и медиа. Впрочем, на фоне других «улучшений» по части сбора информации в Windows 10, Wi-Fi Sense стала максимум вишенкой на тортике. Да и вообще, сама технология появилась еще до Windows 10, в апреле 2014 года. Тогда на нее никто не обратил внимания. В общем, не сложилось: по причине редкого использования функции, на этой неделе Microsoft решила ее отменить, ограничив возможности автоматического подключения известными открытыми хотспотами.

Насколько вообще обосновано критиковать Microsoft за подобные «улучшения»? С одной стороны, пример Wi-Fi Sense показывает, что пользователям все сложнее контролировать распространение информации о себе. В контактах в скайпе лично у меня кого только нет, и примерно половине людей я вообще ничего не хочу рассказывать о себе, тем более делиться доступом к своим хотспотам. С другой, сбор информации о пользователе действительно нужен для повышения качества онлайновых сервисов и разработки новых технологий. Этим занимаются все, не только Microsoft, и мне, например, вполне нормально, что мой смартфон утром и вечером сообщает ситуацию с пробками по пути на работу и домой. Потому что знает в точности, где я живу и работаю.

Развитие этих технологий неминуемо изменит отношение между пользователями и разработчиками онлайновых сервисов и программ. Как именно — не очень ясно, и люто ограничивать сбор информации тоже наверное неправильно: сложнее будет разрабатывать новые технологии. Пожалуй, единственное, что хотелось бы обеспечить — это право пользователей решать, какую информацию и куда он отдает. Как минимум — знать, что и где собирается. Получается Wi-Fi Sense — это позитивная жертва диспута о приватности: не было длительных судебных процессов и неуклюжего законодательства. Просто общественность дала понять Microsoft, что убытков от экспериментальной фичи больше, чем пользы.

Обнаружена и закрыта уязвимость в open-source архиваторе 7-Zip
Новость. Исследование.

Уязвимости в open-source проектов хороши (ок, неудачное слово) тем, что всегда можно проанализировать, откуда взялась проблема и как была исправлена, вплоть до конкретной строчки кода. Специалисты исследовательского подразделения Cisco Talos обнаружили некорректную работу архиватора 7-Zip с форматом UDF (не все уже помнят, но это стандарт для перезаписываемых CD, а позже — для различных видов DVD). Особенностью формата является возможность использования нескольких разделов на одном диске. Как выяснилось, этот момент позволяет создать подготовленный образ в формате UDF, при обработке которого архиватором происходит переполнение буфера и появляется возможность для выполнения произвольного кода.

Уязвимости в open-source не очень хороши тем, что очень сложно оценить масштаб проблемы. Хотя данная уязвимость — это далеко не Heartbleed, подвержены могут быть многие программы и даже устройства, которые так или иначе используют код 7-Zip. Всем рекомендуется обновиться до последней, 16-й версии архиватора.

Что еще произошло:
База с миллионами паролей к LinkedIn (украденными, впрочем, еще в 2012 году) появилась на черном рынке, рекомендуется в этом сервисе поменять пароль.

В Dell нашли под сотню модификаций мобильных блокеров, распространяющихся в основном через порносайты. Почему я не удивлен?

В Tumblr тоже желательно сменить пароль.

Древности:
«Hard-662»

Очень опасный резидентный вирус, стандартно записывается в запускаемые .COM-файлы. По понедельникам в 18.00 выводит на экран текст: «It's hard days night!» и стирает по 50 первых секторов на всех доступных дисках. Перехватывает int 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 69.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Поделиться с друзьями
-->

Комментарии (11)


  1. Dywar
    20.05.2016 23:11

    Да, все побежали обновлять 7zip, включая меня. http://www.7-zip.org/
    А там нет ни эцп, ни хэш для сравнения, так можно большую бот сеть сделать если вовремя подменить файл, когда о нем все говорят.


    1. HedgeSky
      21.05.2016 09:08

      Я правильно понимаю, что хэш поможет только в том случае, если злоумышленники получили доступ лишь к смене файла для загрузки? Ведь если есть полный доступ к системе, можно без проблем поменять и файл, и хэш на сайте. Это даже создаст иллюзию безопасности (что, на мой взгляд, ещё хуже её очевидного отсутствия).


      1. Dywar
        21.05.2016 10:06
        +1

        Так и есть, мало кто его запомнит или зайдет на сайт еще раз через не продолжительное время и возможно заметит подмену.


      1. icoz
        21.05.2016 12:07
        +2

        Поэтому центральный репозиторий с эцп — самое то. Как практически во всех линуксах.


      1. VitalKoshalew
        22.05.2016 23:41
        +1

        Хэш на той же странице — олдскульный метод защиты от нетаргетированных атак. Например, если трафик перехватывается и _во все_ .exe внедряется зловред. Или на компьютере пользователя вирус заражает файл и при этом не имеет возможности маскировать факт заражения.

        Не поможет такая защита в случае взлома сайта с дистрибьютивом (за последний год не менее трёх таких новостей припоминается), в случае очень хитрой таргетированной MItM атаки (когда подменяется и дистрибьютив и страница с хэшем) и в случае, если вирус маскирует заражение, выдавая для проверки незаражённый файл.

        Во времена бесплатных TLS-сертификатов, олдскульные авторы могли бы и потратить 15 минут на переход на HTTPS. Понятно, что авторы freeware никому ничем не обязаны, и спасибо им за то, что есть, но всё же.

        К счастью, на странице 7zip есть ссылка на SourceForge, где дистрибьютив по HTTPS можно скачать.


  1. Balab
    21.05.2016 17:40

    Непонятно, зачем совсем удалять Wi-Fi Sense, если эту функцию любой желающий может отключить в настройках? Кто-то же одобрил её внедрение, были потрачено время на разработку.


    1. Layan
      21.05.2016 22:57

      Более того. Я, например, очень даже использую эту функцию. Очень удобно, когда ко мне в офис приходят знакомые люди и не нужно по 5 минут искать пароль от WiFi для них.


      1. uploadfor
        22.05.2016 23:41

        А зачем «по 5 минут искать пароль от WiFi», если в Windows он и так хранится в открытом виде (т.е. в свойствах любого беспроводного подключения)?


  1. PavelMSTU
    21.05.2016 22:53
    -1

    По умолчанию Windows автоматически делится такой информацией с вашими контактами в Outlook и Skype

    Пресвятая селедка!..
    Даже не спрашивает пользователя?

    Хорошо ли это?


    1. Layan
      21.05.2016 22:58

      Спрашивает при установке и есть возможность отключить в настройках. То, что пользователи не делают это — не проблема тех, кто эту функцию использует активно


    1. valera5505
      22.05.2016 00:44
      +1

      Я не знаю, как у остальных, но у меня при первом подключении к любой сети спрашивает, причем галочка снята по умолчанию (хотя в настройках включено).