Кіберфахівці довели, що CAPTCHA є ненадійною для захисту
Дослідники фірми F-Secure, яка спеціалізується на кібербезпеці, створили алгоритм, який зміг зламати майже половину тестів CAPTCHA (які перевіряють, чи не використовує програму або додаток комп’ютер замість людини) в поштовому сервісі Microsoft Outlook.
читать дальше
Фахівці створили нейронну мережу, яку навчили за допомогою ручного введення CAPTCHA. Після цього вони перевірили її роботу. Спершу відсоток зламаних нейронною мережею кодів був невисоким (16-22%), аж поки алгоритм не вдосконалили з урахуванням особливостей CAPTCHA в Microsoft Outlook.
Після того, як розробники навчили мережу самостійно вводити відповіді у віконце CAPTCHA, відсоток автоматично зламаних кодів зріс до 47%.
«Ми вже говорили про це минулоріч і скажемо знову: CAPTCHA на основі тексту вже не працюють… Ми не говоримо, що вони не мають користі — просто їх не треба сприймати як універсальний засіб, який зупиняє автоматизовані атаки», — пояснюють в F-Secure.
CAPTCHA (англ. «completely automated public turing test to tell computers and humans apart» — повністю автоматизований публічний тест Тюринга для розрізнення комп'ютерів і людей) —це комп'ютерний тест, який використовується для того, щоб визначити, хто використовує систему — людина чи комп'ютер.
У найпоширенішому варіанті CAPTCHA від користувача потрібно ввести символи, зображені, як правило, у спотвореному вигляді на пропонованому малюнку, іноді з додаванням шуму або напівпрозорості.
Обнаружены новые механизмы проникновения вредоносов в Google Play
Компания ESET сообщила, что ее специалисты обнаружили новое вредоносное приложение для Android. Программа под названием ID DEFENSOR может похищать деньги со счетов жертвы и получать контроль над ее учетными записями электронной почты. Во время анализа данное приложение было доступно в официальном магазине.
читать дальше
В ходе исследования специалисты ESET выяснили, что программа несанкционированно использует функционал специальных возможностей. При этом она не требует подозрительных разрешений за исключением доступа к функциям специальных возможностей.
«Специальные возможности давно известны как ахиллесова пята операционной системы Android, и решения по безопасности выявляют различные комбинации несанкционированного использования этого функционала в сочетании с другими показателями опасного поведения», — объясняет Лукаш Стефанко, исследователь ESET.
Столкнувшись с вредоносным программным обеспечением, которое не требовало подозрительных разрешений за исключением доступа к функциям специальных возможностей, все известные механизмы безопасности не смогли обнаружить угрозу. В результате приложение попало в Google Play и пробыло в магазине несколько месяцев.
«Это стало для нас ценным уроком. На основе информации о DEFENSOR ID мы усовершенствовали свои технологии обнаружения, чтобы также охватить вредоносные программы с таким уникальным функционалом», отмечает Стефанко.
Кроме особых методов избежания обнаружения, DEFENSOR ID способен нанести вред своим жертвам. Он относится к категории банковских троянов и является исключительно опасным: для получения контроля над устройством после установки ему необходимо от пользователя лишь одно действие.
«После того, как жертва предоставила доступ к функциям специальных возможностей, это вредоносное приложение для Android может похищать деньги с банковского счета или кошелька криптовалюты, а также получать доступ к учетным записям электронной почты или социальных сетей», — комментирует исследователь.
После уведомления от специалистов ESET компания Google удалила DEFENSOR ID из официального магазина.
У Teлеграм продають особисті дані клієнтів ПриватБанку
Вже більше місяця в спеціальному ........-каналі можна придбати будь-які паспортні дані клієнтів ПриватБанку, включаючи прописку, ідентифікаційний номер, паспорт – і все це за дуже низькою ціною в п’ятдесят доларів за десять запитів. Ведеться розслідування випадку.
читать дальше
Конфіденційні дані за оптовою ціною
Перший бот, під назвою «Досьє», який продавав особисті дані користувачів ПриватБанку, був оперативно закритий. Другий ще працює. Джерело витоку поки що невідоме або не розголошується.
Бот «Досьє» дозволяв за невелику плату отримати наступні дані:
ПІБ користувача
дату народження
серію і номер паспорта
прописку
ідентифікаційний код.
Функціонал другого бота повністю аналогічний – судячи з усього, використовується одна і та ж база.
Бот платний, правда, ціни дуже низькі:
10 запитів стоять 50 доларів
50 запитів – 100 доларів
200 запитів – всього 200 доларів.
Як повідомляє сам ПриватБанк, чат-бот в ........і був виявлений майже відразу ж, як тільки він з’явився – 23 квітня. Відразу ж було подано заяву в поліцію і відкрито кримінальну справу за фактом витоку конфіденційної інформації, а також розіслані попередження користувачам, щоб вони не передавали нікому свої дані. Зауважимо, що за кілька днів до витоку, дев’ятнадцятого числа, була заарештована співробітниця ПриватБанку, яка намагалася продати дані клієнтів. Судячи з усього, вона була така не одна.
СМИ: хакерской атаке подверглись исследовательские центры, работающие над вакциной от коронавируса
В понедельник, 25 мая, телеканал "Кешет-12" сообщил, что хакерской атаке подверглись израильские исследовательские центры, в которых ведется работа над созданием вакцины от коронавируса.
читать дальше
По информации телеканала, атаки на компьютерные сети исследовательских центров начались на прошлой неделе и продолжаются до сих пор.
Хакеры не пытаются получить доступ к информации об исследованиях или вакцине. Единственная их цель - помешать работе ученых.
Вместе с тем, телеканал сообщил, что хакерская атака не отразилась на функционировании исследовательских центров, они продолжают работать в прежнем режиме.
Український поштовий сервіс МЕТА виявили в реєстрі ресурсів, які згодні передавати дані про користувачів російським держорганів
читать дальше
Український сервіс електронної пошти META виявили в реєстрі організаторів поширення інформації (ГРІ), який з 2014 року веде Роскомнагляд. Присутність українського сервісу в реєстрі помітили активісти проекту РосКомСвобода .
В ході чергового моніторингу реєстру ГРІ РосКомСвобода виявив нового учасника, який цікавий тим, що став першим з українських інтернет-сервісів, котра погодилася на співпрацю з Роскомнаглядом і ФСБ», - відзначили в проекті.
Для внесення в реєстр сервіс погодився надати свої дані Роскомнагляд, а також зобов'язався "збирати, зберігати та надавати інформацію про дії користувачів на своєму ресурсі уповноваженим держорганам", підкреслили в РосКомСвободі.
Відзначається, що ФСБ може зажадати від META всі контакти користувачів з адресної книги, електронної пошти, а також дані про кількість та обсяг повідомлень, авторизації через сторонні сервіси, особистому листуванні всередині інтернет-ресурсу та інші метадані.
За «законом Ярової», який набрав чинності 1 липня 2018 року, учасник реєстру зобов'язаний зберігати всі телефонні розмови, текстові повідомлення, зображення, аудіо, відеозапису і іншу інформацію від 30 днів до пів року в залежності від типу інформації. Крім того, реєстр повинен передавати цю інформацію російським спецслужбам на їх запит.
Також зазначається, що після вступу в силу з 1 липня 2018 року так званої "закону Ярової", учасники реєстру зобов'язані зберігати всі телефонні розмови, текстові повідомлення, зображення, аудіо, відеозапису і іншу інформацію від 30 днів до пів року в залежності від типу інформації. Крім того, реєстр повинен за запитом передавати дані російським спецслужбам. Учасники реєстру, які підтримують функцію шифрування даних користувачів зобов'язані на вимогу ФСБ ці дані розшифрувати.
У РосКомСвободі допускають, що український сервіс міг дати згоду на співпрацю з російськими держорганами не отримавши від Роскомнагляду повідомлення, обов'язки на них тепер покладаються. Відзначається, що російське відомство надходило так з деякими іншими іноземними сервісами.
Сервіс електронної пошти МЕТА створений на базі одноменного пошукача, який був запущений в Україні в 1998 році. У 2007 році партнерами компанії стала інвестгруппа Русские фонды і міжнародна венчурна компанія Digital Sky Technologies, створена російським бізнесменом Юрієм Мільнером.
Нацбанк Украины отнес операции с криптовалютой к высокорисковым
Национальный банк Украины утвердил порядок финмониторинга криптовалют, в котором признал операции с виртуальными активами (ВА) высокорисковыми.«Банк устанавливает высокий риск деловых отношений по отношению к клиентам (лицам), осуществляющим деятельность в сфере виртуальных активов», – говорится в документе.
читать дальше
По мнению основателя биржи Kuna Михаила Чобаняна, в Украине криптовалюта является реальным конкурентом банковской системе.
«Процент населения, который использует криптовалюту в коммерческих целях в нашей стране и СНГ, достаточно высокий. Украинским банкам крайне сложно конкурировать с зарубежными банками. Офшоры для оптимизации налогов и ускоренных платежей сейчас уже закрыты и альтернативы крипте особо нет», – заявил Чобанян в прямом эфире на YouTube.
Он также добавил, что будет пытаться максимально отложить введение KYC-процедур на бирже Kuna:
«На Kuna KYC-модуль уже есть давно, но мы не инфорсим его на всех, потому что нет обязательства на данный момент. Мое мнение: крипта создана для свободы, KYC тут ни при чем. Я буду делать все, что возможно, и максимально откладывать срок введения KYC».
Напомним, 28 апреля в Украине вступил в силу закон о противодействии отмыванию денег и финансированию терроризма, однако прописанные в нем положения о финмониторинге криптовалютных операций пока применяться не будут.
До конца июля 2020 года Минцифры Украины должно подготовить и утвердить через Кабмин критерии риска и методологию риск-ориентированного подхода по рынку ВА.
«[Со дня вступления закона в силу] у Минцифры есть три месяца на подготовку нормативно-правовых актов, сейчас часть из них на доработке, часть на согласовании у Госфинмониторинга», – сообщил советник заместителя министра цифровой трансформации Андрей Дубецкий в комментарии ForkLog.
Хакер продает в сети базы данных 3-х криптокошельков
Сегодня стало известно, что хакер, который взломал форум Ethereum.org, опубликовал в сети несколько объявлений о продаже баз данных 3-х самых известных криптовалютных кошельков.
читать дальше
По информации, три базы данных включают личные данные более 80 тысяч пользователей Trezor, Ledger и KeepKey, в том числе: имя, адрес проживания, e-.... и телефонный номер. Однако в данных базах хакер не предлагает пароли доступа к учетным записям пользователей кошельков.
Из общего объема данных, которые продает хакер, самый больший объем информации он получил при взломе Ledger.
TikTok заробив найбільше грошей серед усіх мобільних додатків у світі
Сервіс TikTok і його китайський аналог Douyin в квітні заробили $78 млн на покупках всередині програми, свідчать дані аналітичної компанії Sensor Tower, на яку посилається ....... Це найбільший результат серед мобільних додатків у світі, і більший, ніж у YouTube, Netflix і Tinder.
читать дальше
Порівняно з квітнем минулого року виручка TikTok і Douyin, розроблених китайською ByteDance Ltd., зросла в 10 разів, зазначає Sensor Tower. Приблизно 86,6% виручки приніс китайський ринок, ще 8,2% – ринок США. В обох програмах є система покупки внутрішньої валюти, яку можна витрачати на підтримку вподобаних авторів. При цьому ні TikTok, ні Douyin не ввійшли в топ-10 Google Play за обсягом покупок всередині програми, але посіли перше місце серед додатків App Store.
На другому місці в загальному рейтингу опинився YouTube, виручка якого склала майже $76 млн. Вона виросла на 57% порівняно з квітнем 2019-го: більша частина виручки від покупок всередині програми надійшла з США (56,4%), на другому місці Японія (11%).
У першу п'ятірку також увійшли Tinder, Disney+ і відеосервіс Tencent Video.
Компанія ByteDance, якій належать TikTok і Doying, вивчає можливості для онлайн-торгівлі, але поки покладається на рекламу як на головне джерело прибутку, пише ........g. За даними дослідницької компанії Emarketer, більше 75 млн користувачів соцмереж у США 14 років і старше зроблять хоча б одну покупку всередині програми – зростання на 17,3% порівняно з 2019-м, зазначив Bloombеrg.
20 травня вартість ByteDance перевищила $100 млрд. За словами співрозмовників ........g, останнім часом пройшло кілька угод з продажу часток в ByteDance. В рамках деяких з цих угод ByteDance був оцінений в $140 млрд, засвідчило одне з джерел.
Пора догонять мир: 9 цифровых сервисов, которых не хватает в Украине
Несколько лет назад в Украине была инициатива пригласить в страну PayPal, ее поддерживали на уровне НБУ и Минфина, но ничего не получилось. Cейчас тему «привести PayPal в Украину» опять подняли. Об этом, в частности, пишет замминистра по цифровой трансформации Александр Борняков. Он в очередной раз поднял тему «PayPal в Украине» — попытки привести платежную систему в страну осуществлялись несколько раз, но пока что каждая из них оказалась безуспешной. Зато в комментариях под постом чиновника пользователи высказались о тех цифровых сервисах, которых не хватает в Украине:
читать дальше
1) PayPal. Если бы компания запустила для украинцев возможность принимать деньги на счет, это сильно облегчило бы жизнь украинским фрилансерам и предпринимателям, которые работают с зарубежными клиентами.
2) Сервис рекомендаций Yelp. Здесь пользователи оставляют отзывы по работе ресторанов, кафе, клубов и прочих развлекательных сервисов.
3) Сервис Lyft. В США это один из основных конкурентов Uber.
4) Платформа продажи крафтовых товаров Etsy. Здесь продаются товары ручной работы, хендмейд-подарки, ручное шитье, украшения и т.д. Ранее мы публиковали инструкцию о том, как украинскому мейкеру выйти на эту платформу и зарабатывать.
5) Игровой сервис Microsoft Xbox. За последние годы в Украине сильно выросло количество платящих геймеров. В стране уже работает PSN, магазин и сервис для геймеров-владельцев Playstation.
6) Музыкальный стриминговый сервис Spotify. О его запуске в Украине регулярно возникают слухи, но пока что никаких реальных анонсов об этом сервис не делал.
7) Интернет-супермаркет AliExpress. Это — один из самых популярных зарубежных интернет-магазинов в Украине. По статистике Нова пошта, украинцы заказывают оттуда 2,6 тонн товара в день. Также на украинском ecommerce-рынке были слухи о том, что AliExpress запускает в стране точки выдачи.
8) Revolut — это финансовый сервис, который работает как онлайн-банк. Особенность — сервис убирает все оплаты за обмен валют, так что можно высылать, обменивать и тратить деньги по всему миру без дополнительной оплаты. Были новости о том, что сервис планирует выйти на украинский рынок в 2020 году.
9) Сервис приема онлайн-платежей Stripe.
Облачный архиватор Smarsh приобрёл фирму кибербезопасности Entreda
Компания Smarsh, специализирующаяся на облачной архивации данных, за необъявленную сумму купила фирму Endreda, расширив с её помощью свою компетенцию на кибербезопасность и оценку информационных рисков.
читать дальше
Основанная в 2010 г. Entreda среди прочего предлагает удалённый десктоп, автоматические виртуальные приватные сети, мониторинг утечек данных и паролевых политик, антивирусные средства и шифрование устройства. Её платформа кибер-рисков Unity предназначена для оказания помощи регулируемым отраслям в контроле и защите клиентской информации и активов с обеспечением высокого уровня безопасности.
В число почти 300 клиентов компании входят зарегистрированные инвестиционные консультанты и брокер-дилеры, такие как Advisor Group, компания по управлению активами, насчитывающую в штате более 11 000 финансовых консультантов.
После поглощения, Entreda сохранит свой брэнд и продолжит работу под руководством сооснователь и нынешнего исполнительного директора, Сида Йенамандры (Sid Yenamandra).
«Последние несколько месяцев все больше и больше компаний обращались к нам за помощью в устранении рисков — регуляторных, соответствия и кибербезопасности, обусловленных переходом на долгосрочные модели удаленной работы и расширением применения технологий мобильных коммуникаций и групповой работы, таких как Microsoft Teams, Slack и Zoom, — заявил гендиректор Smarsh, Брайан Крамер (Brian Cramer). — Благодаря новому приобретению Smarsh теперь может предложить своим клиентам самые современные устройства, сетевые и пользовательские возможности управления соответствием требованиям и рисками кибербезопасности».
5G в Беларуси: в тестовом режиме запущена первая автономная сеть
Белорусский провайдер телекоммуникационных, ИКТ- и контент-услуг А1 (входит в состав A1 Telekom Austria Group) запустил в тестовом режиме 5G-сеть, построенную на основе автономной архитектуры. В тестовой сети уже совершен первый в стране звонок в новом формате качества. Вызов стал возможен благодаря внедрению технологии VoNR (Voice over New Radio).
читать дальше
VoNR, или Vo5G — это передовая технология, благодаря которой становится возможным осуществление голосовых звонков и видеовызовов в Standalone-сетях 5G (то есть имеющих автономную архитектуру и не являющихся надстройкой к уже существующим сетям предыдущего поколения). Новая технология позволяет обеспечить мгновенное соединение с собеседником и бесшовный переход абонента из сети 5G в сеть 4G во время разговора. Кроме того, благодаря VoNR высокоскоростным мобильным интернетом 5G можно пользоваться даже во время звонка.
Для пользования технологией VoNR необходимо, чтобы мобильное устройство абонента поддерживало режим 5G SA и было официально предназначено для использования на территории Беларуси. Первый звонок по технологии VoNR был совершен со смартфона на новой платформе MediaTek Dimensity 1000.
Тестовый запуск 5G-сети A1 позволил продемонстрировать более чем 10-кратное увеличение емкости сети и скорости передачи данных по сравнению с действующими 3G/4G-сетями оператора. Так, в ходе первого теста скорость сети максимально «разогнали» до 1,1 Гбит/c. В режиме стандартного тестирования при наличии нескольких терминалов (принимающих устройств) скорость загрузки данных на устройство (downlink) составляет в среднем 300 Мбит/с, скорость выгрузки данных в интернет (uplink) – 150 Мбит/c. При этом скорость отклика сети (ping) варьируется в пределах всего 10-15 миллисекунд.
Проект по развертыванию тестовой 5G-сети компании А1 был осуществлен в партнерстве с компанией ZTE.
У Teлеграм запустили фейковий канал "Киев Власть"
Два дні тому в соціальній мережі шахраї запустили канал під викраденою назвою "Киев Власть" – він поширює домисли та фейки
читать дальше
Зазначається, що редакція аналітичного інтернет-видання "КиевVласть" не має жодного відношення до цього -каналу, та радить своїм читачам не довіряти фейкам, вигадкам і домислам, які через нього поширюються.
Наголошується, що бренд видання зареєстрований і захищається законом про авторське право.
У виданні пояснили, що дізналися про створення такого каналу від читачів, які розповіли про поширення в ньому нібито "інсайдів, чуток і фактів про київських політиків".
По-перше, незрозумілий чорно-білий логотип на Teлеграм-каналі не є ні офіційним логотипом "КиевVласть", зареєстрованим як торгова марка (ТМ), ні будь-яким іншим логотипом нашого видання. По-друге, "КиевVласть" ніколи не мала, і поки що не має свого Teлеграм-каналу. З огляду на те, що трапилася провокація, редакція "КиевVласть" створить свій Teлеграм-канал, про що повідомить окремо. Посилання на офіційний -канал буде розміщене на сайті аналітичного інтернет-видання", – наголосили в редакції.
Повідомляється також, що редакція "КиевVласть" ніколи б не сплутала Київську міську раду з Київською міською державною адміністрацією, як це роблять автори фейкового каналу.
"Редакція "КиевVласть" вважає паразитування на своєму бренді, якому в серпні ц.р. виповнюється 10 років, і копіювання наших елементів стилю – крадіжкою інтелектуальної власності, що має каратися за законом. Ми, редакція "КиевVласть", прекрасно розуміємо, хто саме створив фейковий канал "Київ Влада". З усією відповідальністю заявляємо, що вважаємо цих людей дешевками, здатними лише на створення фейків і безглуздих "розпилів" бюджетів своїх недалекоглядних господарів", – підсумували у виданні.
Искусство взлома: хакерам достаточно 30 минут для проникновения в корпоративные сети
Для обхода защиты корпоративных сетей и получения доступа к локальной IT-инфраструктуре организаций злоумышленникам требуется в среднем четыре дня, а минимум — 30 минут. Об этом свидетельствует проведённое специалистами компании Positive Technologies исследование.
читать дальше
Проведённая Positive Technologies оценка защищённости сетевого периметра предприятий показала, что получить доступ к ресурсам в локальной сети можно в 93 % компаний, а в 71 % организаций проникнуть во внутреннюю инфраструктуру может даже низкоквалифицированный хакер. При этом в 77 % случаев векторы проникновения были связаны с недостатками защиты веб-приложений. Остальные способы проникновения заключались главным образом в подборе учётных данных для доступа к различным сервисам на сетевом периметре, в том числе к СУБД и службам удалённого доступа.
В исследовании Positive Technologies отмечается, что узким местом веб-приложений являются уязвимости, которые встречаются как в программных продуктах собственной разработки, так и в решениях известных производителей. В частности, уязвимое ПО было обнаружено в IT-инфраструктуре 53 % компаний. «Необходимо регулярно проводить анализ защищённости веб-приложений. Самым эффективным методом проверки является анализ исходного кода, который позволяет найти наибольшее количество ошибок. Для превентивной защиты веб-приложений рекомендуется использовать межсетевой экран уровня приложений (Web Application Fire...., WAF), который позволяет предотвратить эксплуатацию существующих уязвимостей, даже если они ещё не были обнаружены», — говорят исследователи.