На Kickstarter почти собрали деньги на myIDkey

На сервисе Kickstarter сейчас собирают деньги на создание универсального менеджера паролей myIDkey. Разработчики продукта, хотят получить $150 тысяч. Кампания по сбору средств только стартовала, но пользователи уже вложили в эту идею около $113 тысяч, так что необходимые деньги разработчики легко получат.

Предлагаемый продукт представляет собой навороченный аппаратный менеджер учетных записей и личных данных. Устройство специально спроектировано таким образом, чтобы его можно было легко использовать. Разумеется, продукт также оснащен мощнейшей системой шифрования (AES256), которая позволяет сохранить пароли в целостности. Новинка даже умеет самоуничтожаться при краже!

Судя по реакции пользователей, подобный продукт чрезвычайно интересен для сегодняшней публики, которой приходится работать с миллионом разнообразных паролей, номеров учетных записей и никнеймов. Запомнить весь этот объём информации сложно. Гораздо проще вставить myIDkey в USB-разъем компьютера и автоматически разблокировать почту, Facebook или Skype.

У устройства весьма необычный метод авторизации пользователя. Разблокировка происходит путем считывания отпечатка пальца владельца: сделайте свайп по сенсору и myIDkey будет разблокирован. Это позволит клиентам читать пароли и другую важную информацию прямо со встроенного жидкокристаллического экрана. Когда продукт был успешно авторизирован, пользователь сможет нажать секретную кнопку с изображением микрофона и произнести вслух специальный аудио-ключ, чтобы быстрее получить доступ к наиболее важным данным. Устройство также поддерживает голосовой поиск.

Благодаря поддержке Bluetooth этот менеджер может по беспроводным каналам связываться со смартфоном, планшетом или компьютером. Система позволит автоматически заполнять формы, вводить на сайтах пароли и логины. На этом функционал myIDkey не заканчивается. Аппарат также самостоятельно генерирует пароли и хранит их в своей памяти, чтобы вам не пришлось их запоминать.

Если вы пожертвуете на myIDkey $80 или больше, то получите одно устройство и сможете насладиться его уникальными возможностями. Предполагается, что первые поставки продукта начнутся в сентябре 2013 года.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 21 Января 2026 - 09:50

Linux Уязвимости программ Малый и средний бизнес Корпорации

Критическая уязвимость в telnetd жила почти 10 лет и давала root-доступ

Исследователь по информационной безопасности Саймон Йозефссон обнаружил критическую уязвимость в компоненте telnetd, входящем в состав GNU InetUtils. Брешь незаметно существовала почти десять лет — с мая 2015 года — и позволяла удалённо входить в систему без аутентификации, сразу под пользователем root.

Проблема затрагивает все версии GNU InetUtils с 1.9.3 по 2.7 включительно. По сути, любой злоумышленник при определённых условиях мог получить полный контроль над системой, даже не зная пароля.

Как поясняет Йозефссон, сервер telnetd запускает системную утилиту /usr/bin/login, обычно от имени root, и передаёт ей имя пользователя. В уязвимой реализации это имя можно получить из переменной окружения, переданной клиентом.

Если клиент подсовывает значение -f root и подключается к серверу с опцией telnet -a (режим автологина), происходит следующее:

telnetd передаёт значение переменной окружения USER напрямую в login(1);
никакой проверки или экранирования не выполняется;
login(1) воспринимает -f root как служебный параметр;
а параметр -f означает вход без проверки пароля.

В итоге сервер автоматически аутентифицирует подключение как root — полностью обходя процесс валидации.

Обычное подключение по telnet не позволяет указать имя пользователя в таком виде. Однако в режиме автологина (-a) имя пользователя берётся не из командной строки, а именно из переменной окружения USER.

Именно здесь и кроется корень проблемы: telnetd доверял содержимому USER без какой-либо валидации. Достаточно было установить переменную окружения в значение -f root, и система сама открывала дверь.

Йозефссон показал рабочий пример атаки на системе Trisquel GNU/Linux 11, где после одной команды пользователь моментально получал root-доступ.

Как выяснилось, уязвимость появилась в коммите от 19 марта 2015 года и попала в релиз GNU InetUtils 1.9.3 от 12 мая того же года. Изначально изменение задумывалось как исправление проблемы с автологином в средах с Kerberos — разработчики добавили передачу имени пользователя через переменную окружения, но забыли проверить её содержимое.

Саймон Йозефссон рекомендует как можно скорее ограничить сетевой доступ к telnet-порту только для доверенных клиентов; установить патч или обновиться до версии GNU InetUtils, в которой уязвимости нет; в идеале — ещё раз задуматься, нужен ли telnet в инфраструктуре вообще.

Напомним, в этом месяце мы сообщали об опасной уязвимости в GNU Wget2, которая позволяет удалённо перезаписывать файлы.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »