Чтобы помочь разработчикам защищать свои сайты и их посетителей, компания Mozilla создала очередной онлайн-сканер, который проверяет настройки безопасности веб-сайтов. Он назван Observatory и первоначально был создан для внутреннего применения инженером компании Эйприл Кинг, после чего инструмент стал доступен всем желающим.
Вдохновение при его разработке Кинг черпала у сервиса SSL Server Test от Qualys SSL Labs, который оценивает конфигурацию SSL/TLS сайтов и описывает потенциальные слабости. Observatory точно так же использует систему баллов от 0 до 100 с возможностью получения дополнительных бонусных очков, выдавая итоговую оценку от F до A+.
В отличие от SSL Server Test, который смотрит только на TLS, Observatory сканирует широкий спектр механизмов сетевой безопасности. В их число входят флаги безопасности куки, Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), HTTP Public Key Pinning, HTTP Strict Transport Security (HSTS), перенаправления, X-Frame-Options, X-Content-Type-Options, X-XSS-Protection и ряд других. Проверяется не только использование этих технологий, но и их правильная настройка. Не ведётся контроль наличия уязвимостей в коде самого сайта, что умеют некоторые другие бесплатные и платные инструменты.
Создать безопасную конфигурацию с правильным применением всех современных технологий зачастую бывает сложнее, чем найти и закрыть уязвимости в коде. В результате из 1,3 млн. просканированных сайтов удовлетворительную оценку получили 121.984, менее 10%. Среди не прошедших экзамен были и сайты самой Mozilla - например, addons.mozilla.org получил минимальную оценку, которая в результате исправлений поднялась до максимальной A+.
Результаты тестов в Observatory выдаются в понятном виде и предлагаются ссылки на руководства Mozilla по веб-безопасности, с описаниями и примерами. Код Observatory является открытым, API и инструменты для работы с командной строкой доступны всем желающим.
Исследователи из компаний Citizen Lab и Lookout Inc. сообщают, что малоизвестный израильский стартап использует неизвестные ранее уязвимости операционной системы iOS, помогая правительствам стран вести слежку за гражданами. Wall Street Journal пишет, что программа-шпион разработана NSO Group Technologies Ltd. и продаётся правительствам разных стран. Впервые о ней узнали в августе благодаря правозащитнику из Объединённых Арабских Эмиратов.
Программа называется Pegasus и задействует три уязвимости iOS. Попав на устройство, она может вести записи, отслеживать передвижения и отправлять персональные данные. Apple в четверг сообщила, что ей известно о наличии этих уязвимостей, для закрытия которых выпущен экстренный патч 9.3.5.
Представитель Lookout говорит, что это самое профессиональное шпионское программное обеспечение, которое он когда-либо видел, и что его деятельность не вызывает подозрений. Оно не приводит к повышенному энергопотреблению на мобильном устройстве и передаёт данные только при подключении по Wi-Fi.
Представитель NSO утверждает, что о деле правозащитника из ОАЭ компании ничего не известно, и что целью приложения является помощь в борьбе против терроризма и преступности по всему миру.
Когда в приложении WhatsApp было представлено сквозное шифрование данных по умолчанию, его стали считать одной из самых безопасных программ обмена сообщениями. Эта репутация может пошатнуться после недавнего обновления условий использования сервиса, где говорится об обмене пользовательской информации (в том числе номерами телефонов) с социальной сетью Facebook, которой принадлежит WhatsApp.
Благодаря этому Facebook собирается выдавать более точные предложения потенциальных друзей и целенаправленную рекламу. WhatsApp также говорит о помощи в противостоянии спаму и оскорблениям, улучшении качества работы сервисов.
WhatsApp сообщает, что обновление станет частью плана по предложению новых методов общения между людьми и организациями. Разработчики надеются, что сервис смогут использовать банки для информирования клиентов о транзакциях, авиакомпании для отправки уведомлений об отмене или переносе рейсов и т.д. Отказаться от возможности открыть свой указанный в WhatsApp телефонный номер перед Facebook можно перед тем, как согласиться с новыми условиями использования, потом на отказ даётся 30 дней. Если пользователя нет в социальной сети Facebook, для него при работе с WhatsApp ничего не изменится.
Уже нашлись недовольные новыми правилами и говорящие о потенциальных проблемах с конфиденциальностью. В ответ в блоге разработчики WhatsApp назвали конфиденциальность пользователей одним из своих приоритетов. В любом случае, с миллиардом активных пользователей потеря небольшой их части вряд ли будет замечена.
Релиз игры Deus Ex: Mankind Divided на ПК оказался не самым успешным мероприятием. Геймеры столкнулись с рядом проблем, включая падения игры и неотключаемое ускорение мыши. Разработчики из Eidos Montreal знают о существовании неполадок и выпустили первый патч, исправляющий ряд случаев падений игры. В версии 1.0 сборка 524.7 представлены следующие изменения:
устранены падения игры при взаимодействии со сторонними приложениями
устранены падения после просмотра вступительного ролика
устранены падения после ролика в Праге
исправлено отображение опции настройки мыши
Eidos предупреждает, что игра Mankind Divided является крайне требовательной к аппаратным ресурсам и могут возникнуть проблемы, когда выставленные настройки не соответствуют производительности компьютера. Разработчик рекомендует начинать игру на высоких настройках с отключенным MSAA и уже отсюда пытаться повысить параметры. Особенно требовательными оказываются варианты Very High и Ultra, хотя качество графики при этом самое лучшее. Через несколько недель появится приносящий поддержку DirectX 12 патч, который при определённых условиях может улучшить производительность.
После установки нынешнего патча главной проблемой останется ускорение мыши, хотя время от времени продолжают поступать сообщения о падениях игры. Eidos продолжит выпускать патчи и улучшать игру, хотя возникает вопрос, что мешало ей, как и многим другим современным разработчикам игр, успеть отладить игру до начала продаж.
Исследователи из компании ESET обнаружили первый известный ботнет из устройств на операционной системе Android, который управлялся через аккаунты в Твиттере, передававшие команды на инфицированные устройства. Ботнет был создан при помощи распространения на смартфоны и планшеты вредоносной программы Twitoor, трояна-бэкдора, поступавшего в сообщениях СМС и приложениях из неофициальных источников.
ESET говорит, что троян скрывается в приложениях, выдающих себя за программы для просмотра ММС и проигрыватели контента для взрослых. Приложения на самом деле не обладают указанной функциональностью и после установки скрывают своё присутствие на устройстве. Twitoor через определённые промежутки времени обращается к аккаунту в Твиттере для получения команд.
ESET не описывает возможности трояна, но ботнеты часто используются для проведения DDoS-атак, распространения рекламы, другого вредоносного ПО и рассылки спама. Впервые специалисты видят Android-ботнет, управляемый через Твиттер. Ранее такие варианты наблюдались на ПК; также для управления применяются сервисы Dropbox, GitHub, Baidu или Google Docs. В будущем в этот список могут войти статусы на Facebook, LinkedIn и другие социальные сети.
Ботнет Twitoor при желании в любой момент может сменить управляющий аккаунт в Твиттере. Это помогает избежать обнаружения, а для противостояния ботнету нужны целенаправленные действия персонала Твиттера.