Миллионы криптографических ключей, используемых в правительстве, уязвимы

Миллионы криптографических ключей, используемых в правительстве, уязвимы

Критический недостаток в широко используемой библиотеке подорвал безопасность миллионов ключей шифрования, участвующих в очень серьезных схемах, например, выдача национальных удостоверений личности, подпись программного обеспечения и приложения, защищающие правительственные и корпоративные компьютеры.

Брешь позволяет злоумышленникам рассчитать приватную часть любого уязвимого ключа, используя его публичную часть. Затем хакеры могут использовать этот ключ для расшифровки конфиденциальных данных, внедрению вредоносного кода в программное обеспечение с цифровой подписью, а также для обхода защитных мер.

Эта уязвимость вызывает опасения, поскольку находится в коде, соответствующем двум международно признанным стандартам сертификации, которые являются обязательными для многих правительств, подрядчиков и компаний по всему миру. Библиотека была разработана немецким производителем чипов Infineon, она с самого начала генерирует слабые ключи.

Правительство Эстонии в прошлом месяце ссылалось именно на этот недостаток, ставший причиной уязвимости 750 000 удостоверений личности, выпущенных с 2014 года. В правительстве Эстонии сообщили, что закрывают базу данных открытых ключей для предотвращения инцидентов с безопасностью.

Недостаток существует в разработанной Infineon библиотеке RSA версии v1.02.013, в частности, в алгоритме, который она реализует для генерации простых чисел RSA. Библиотека работает на оборудовании Infineon и продается широкому кругу производителей, использующих чипы от Infineon.

Также напомним, что чипсеты Infineon TPM, которые поставляются со многими современными материнскими платами, генерируют небезопасные ключи шифрования RSA, это делает устройства таких производителей, как Acer, ASUS, Fujitsu, HP, Lenovo, LG, Samsung и Toshiba уязвимыми для атаки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Pax: ИИ-разработки Amazon и Microsoft ставят мир под угрозу

Разработки Amazon, Microsoft и Intel в области искусственного интеллекта ставят мир под угрозу. Об этом говорит отчёт некоммерческой организации Pax, проанализировавшей деятельности 50 технологических компаний.

В ходе исследования специалисты учитывали несколько критериев: имеют ли разработки анализируемых компаний отношение к смертоносному ИИ, работали ли анализируемые компании над военными проектами.

«Почему компании вроде Microsoft и Amazon не отрицают факта разработки крайне спорной формы оружия? А ведь искусственный интеллект может сам решать, убивать ли ему людей, без непосредственного участия этих самых людей», — объясняет Фрэнк Сличпер, один из авторов исследования.

Очевидно, что специалистов беспокоит оснащённое ИИ оружие, способное независимо от человека выбирать себе цель и атаковать ее. В последнее время на этот счёт было много споров.

Например, Google в прошлом году высказался за запрет использования искусственного интеллекта в системах вооружения.

А вот у Amazon и Microsoft немного другая ситуация — обе компании связаны с Пентагоном контрактами на $10 миллиардов. Они предоставляют военным США облачную инфраструктуру.

В отчете Pax упоминается, что основная задача аналитиков — проинформировать сообщество о текущих разработках в области ИИ, а также заставить корпорации выработать строгие правила в отношении того, какие разработки будут использоваться военными.

Специалист Калифорнийского университета Стюарт Рассел считает, что необходимо ввести запрет на использование оружия, оснащённого искусственным интеллектом.

«Машины, которые будут принимать решения в отношении убийства людей, не должны разрабатываться и использоваться», — подчеркнул Рассел.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru