Чипы, тату и сетчатка. Чем могут заменить пароли от соцсетей и почты
Почему мир готов отказаться от паролей и что будет использоваться вместо привычной комбинации букв, цифр и специальных знаков.Пароли как способ подтверждения личности и аутентификация давно уже нельзя назвать надежным способом авторизации. Еще два года назад обычному человеку только в соцсетях принадлежало в среднем семь аккаунтов. Если к этому добавить электронную почту, онлайн-банкинг, другие полезные сервисы, то количество аккаунтов, а значит, и комбинаций "логин+пароль", превысит десяток. читать дальше
В этих условиях соблюдать три основных постулата парольной защиты - "сложный, не персонифицированный и изменяемый" - очень сложно. Придумать сложные пароли помогает множество приложений и онлайн-сервисов, но они предлагают такие запутанные комбинации, что человек запомнить их зачастую не в состоянии. Особенно, если речь идет не о двух-трех паролях, а о десятке или двух. Так что пароли "123456", "qwerty" или "password1" до сих пор не выходят из моды.
Например, исследование SplashData за 2017-й показало, что около 10% пользователей применяют хотя бы один из 100 самых плохих (самых популярных) паролей. А около 3% пользователей использовали наихудший пароль "123456"
Более того, пользователи часто не меняют пароли, сохраняя тот, который использовался при первой регистрации. Так, по данным последнего исследования компании Thycotic , более половины пользователей не меняли пароль к своим аккаунтам в соцсетях за последний год. При этом за последние годы были украдены миллиарды комбинаций "логин - пароль". Жертвами взломов аккаунтов в свое время были .....Ru, Yahoo, Microsoft, Opera, в Сеть утекли ранее взломанные пароли LinkedIn, Dropbox, ......., ......... Даже новости о продаже десятков миллионов паролей для аккаунтов G.... и Yahoo, равно как и появление сервиса для проверки своего мейла во взломанных базах, не смогли изменить поведение людей.
Многие пользователи применяют один и тот же (или очень похожий) пароль для разных аккаунтов, по разным исследованиям их доля составляет от 40% до 73% . Это означает, что среди украденных, а часто и опубликованных в открытом доступе паролей, есть и актуальные. Причем актуальные не только для аккаунтов взломанных сервисов, но и других ресурсов, устоявших перед атаками хакеров.
Двухэтапная защита
Уязвимости, связанные с использованием паролей, привели к появлению альтернатив. Некоторые из них дополняют традиционную парольную защиту. Например, двухфакторная (двухэтапная) авторизация предполагает использование еще одного фактора для "узнавания" пользователя наряду с паролем. К примеру, чтобы попасть в G....-почту, пользователи могут ввести свой пароль и указать код, полученный в SMS или мобильном приложении Google Authenticator. Такая же функция доступна и пользователям .........
Платежные системы активно работают над собственными альтернативами паролям для защиты интернет-платежей. 3D Secure - это технология, разработанная компаниями Visa и MasterCard, предполагающая, что владелец пластиковой карты для онлайн-платежа введет не только номер, срок действия и CVV-код карты (аналог обычного пароля), а еще и одноразовый пароль, который отправляется в SMS.
Комбинация факторов защиты усиливает безопасность и снижает вероятность взлома и кражи данных: даже если злоумышленники каким-то образом узнают пароль (либо получат в свое распоряжение платежную карту), этого будет недостаточно для совершения платежа.
На кончиках пальцев
Компании экспериментируют и с биометрическими альтернативами - считывание и распознавание биометрических данных помогает в том случае, если человек забыл пароль или потерял телефон. USB-флешки и ноутбуки с подтверждением авторизации через отпечатки пальцев существуют не первый год. В 2013-м Apple выпустила первый iPhone с дактилоскопическим датчиком, такой же сканер появился в 2015-м у флагманских смартфонов производства Samsung. Сегодня дактилоскопические датчики есть практически у всех смартфонов, выходящих на рынок.
Использовать отпечатки пальцев решили и для совершения платежей. MasterCard недавно объявила о запуске приложения Identity Check Mobile, которое позволяет идентифицировать покупателя через отпечаток пальца или снимок лица. Аналогичный способ авторизации есть и у Alipay - мобильного платежного приложения, принадлежащего Alibaba. Платежные системы Visa и Mastercard также разрабатывают банковские карты, в которых вместо PIN-кода будут использоваться отпечатки пальцев. В прошлом году Mastercard уже начала тестировать карты с биометрическими параметрами в Южной Африке.
В последней версии операционной системы Windows 10 появилась поддержка биометрической авторизации под названием Windows Hello: платформа распознает лицо владельца или отпечаток его пальца, а мобильная версия программы может сканировать и распознавать радужную оболочку или сетчатку глаза.
Apple использует разработанную ею технологию сканирования лица Face ID: она позволяет разблокировать смартфон взглядом, а еще используется для подтверждения платежных операций с помощью Apple Pay. Аналог Face ID под названием Face Unlock используется и на смартфонах с Android.
Однако и эти способы определения пользователя оказались не очень надежными: уже создано несколько способов взлома дактилоскопического датчика, да и систему распознавания лица научились обходить.
Что в голосе твоем
Распознавание голоса тоже активно используется для защиты данных - скопировать голос довольно сложно. Так, компания Nuance Communication, много лет занимающаяся разработкой технологий распознавания речи, представила свою альтернативу паролям - голосовую авторизацию. Британский банк HSBC использовал эту систему Nuance для аутентификации всех мобильных и телефонных клиентов.
Голландский банк ING в мобильном финансовом приложении заменил коды доступа к банковским счетам голосовой аутентификацией клиентов. Банк Santander UK развернул технологию распознавания голоса в начале 2017-го, предоставив клиентам возможность совершать платежи с помощью голосовых команд для iPhone.
Татуировки, чипы, вены
Компания Fujitsu разработала технологию распознавания рисунка кровеносных сосудов на ладони PalmSecure. Специальная камера с инфракрасным светом позволяет изучить рисунок и по нему идентифицировать человека. Авторы разработки заявляют, что этот метод является более точным, чем дактилоскопический сканер. Fujitsu уже несколько лет продает эту систему корпоративным заказчикам.
Еще одна уникальная характеристика человека - его сердечный ритм. Пока она сложна в реализации, но канадская компания Nymi уже продает кардиобраслет Nymi Band, который использует информацию о сердцебиении человека или измерения электрокардиограммы для аутентификации личности. Для проверки личности владельца устройство связывается через Bluetooth с другими включенными устройствами вроде смартфона или ноутбука, Браслет хранит уникальный сердечный код, который можно использовать как для авторизации на различных сайтах, так и в качестве аналога цифровой подписи. Недавно Nymi объявила, что устройство также можно использовать для совершения банковских транзакций: пользователю достаточно поместить браслет рядом с платежным терминалом, чтобы совершить покупку.
Еще одни альтернативы паролей - парольная таблетка и парольная цифровая татуировка. Компания Motorola работает над парольной таблеткой, которая при переваривании излучает 18-битный сигнал. Другое направление - цифровая татуировка, которую можно наклеить на руку. В ней есть датчики и антенна: датчик разблокирует аккаунт, антенна используется для передачи сигнала.
Искусственный интеллект и нейронные сети
Все чаще для идентификации пользователя применяется не только физическая биометрия, которая фокусируется на уникальных физиологических признаках, а еще и поведенческая. В этом случае речь идет об уникальных поведенческих маркерах, по которым можно распознать человека.
Например, исследователи из военной академии West Point пытаются построить систему идентификации личности на основе привычек и поведения человека. Эта система должна будет сформировать индивидуальный шаблон поведения пользователя и потом сравнивать его с тем, как себя ведет человек, например, работающий в данный момент за компьютером.
Ученые из Гонконга недавно сообщили о создании метода аутентификации, основанного на движении губ пользователя, который вслух произносит свой пароль. Метод Lip password использует алгоритмы машинного обучения, которые распознают особенности движения губ. Разработчики говорят, что сымитировать пароль другому человеку не удатстся.
BehavioSec - компания, которая использует машинное обучение для обнаружения мошенничества. Продукт BehavioSec может анализировать время и метод нажатия кнопок и элементов интерейса, места, углы нажатия, силу и целый ряд других параметров. Система используется в банковских приложениях наряду с другими методами идентификации. Разработчики обещают надежность идентификации до 99,7%.
Еще одним разработчиком таких инструментов является NuData. Компания использует так называемую пассивную биометрию и поведенческую аналитику для идентификации пользователей на основе поведения. Компания умеет построить цифровой профиль человека, анализируя его поведение на разных устройствах, среди анализируемых параметров, например, давление пальца на экране, угол наклона смартфона и ритм нажатия клавиши. На основании этого профиля компания умеет идентифицировать пользователя и определять мошенничество.
Аппаратная защита
Еще один способ идентификации пользователя, который может усилить парольную защиту - это использование аппаратного ключа (аппаратного токена). Такой ключ представляет собой устройство в виде "флешки", которое можно использовать как дополнение к паролю. Популярные онлайн-сервисы поддерживают авторизацию посредством токенов, работающих на основе стандарта FIDO Universal 2nd Factor (U2F): такая возможность, например, доступна пользователям Google, Dropbox и ......... Для начала пользователям нужно добавить поддержку аппаратного токена в настройках своих профайлов. После этого, чтобы зайти в аккаунт, нужно будет не только ввести пароль, а и подключить аппаратный токен - вставить его в USB-разъем и нажать на нем кнопку. Аппаратные ключи могут поддерживать также Bluetooth или NFS-протоколы - в этом случае можно защитить аккаунты при работе со смартфона.
Компания Google перевела часть своих сотрудников на использование аппаратных токенов и за год ни один из них не потерял доступ к своему аккаунту. А летом этого года Google выпустила собственный аппаратный токен Titan Security Key, предназначенный для авторизации на сервисах Google.
Альянс FIDO недавно разработал протокол авторизации пользователей на основе аппаратных ключей FIDO2. Такой протокол уже начали поддерживать последние версии браузеров и как только онлайн-сервисы начнут работать с ним, можно будет смело заявлять о появлении достойной альтернативы и даже замены паролям.
Будущее пароля: не вместо, а вместе
Итак, умрут ли пароли как способ аутентификации? Несмотря на многочисленные эксперименты, некоторые - довольно успешные, вряд ли стоит хоронить старый добрый пароль. По крайней мере, в массовом использовании. Вероятно, наряду с паролем будут активнее использоваться и другие методы, отличающие "своих от чужих", не исключено, что бизнес перейдет на поддержку USB-токенов или расширит использование биометрической авторизации.
Тем не менее, обычный пользователь онлайн-сервисов и потребитель контента вряд ли вскоре откажется от старого доброго пароля.
В Messenger на iOS появился тестовый тёмный режим
04.03.2019
По слухам, в iOS 13 появится долгожданный общесистемный тёмный режим.Похоже, тестирует соответствующий интерфейс в своём приложении Messenger для обмена сообщениями. Как заметил один из пользователей ......, в приложении появился неочевидный способ включить тёмный интерфейс. Процедура проста. читать дальше
По умолчанию в Messenger нет никаких настроек соответствующего режима. Поэтому необходимо перейти в ветку чата и отправить собеседнику (или получить от него) смайлик 🌙 (луна). После того, как отправлен эмотикон, следует нажать на него в ветке, чтобы появилось сообщение о том, что пользователь обнаружил тёмный режим. Если при нажатии на смайлик такое сообщение не появляется, возможно, придётся принудительно выйти из Messenger, а затем снова нажать на «луну».
После этого нужно пройти в настройки Messenger и переключиться в тёмный режим, который активирует новый интерфейс. Тёмный режим Messenger — это по-настоящему чёрный интерфейс, в отличие от некоторых тёмных дизайнов темно-серого цвета. Это означает, что на OLED-дисплее смартфонов iPhone X или XS он будет выглядеть довольно красиво.
Что в iOS 13 будет добавлена долгожданная поддержка тёмного режима на уровне системы. Хотя в прошлом году в macOS Mojave появился такой вариант интерфейса, iOS до поры осталась без новшеств. Однако WWDC и сентябрьский публичный запуск iOS 13 приближаются, так что наверняка всё больше приложений начнут тестировать тёмный режим.
Positive Technologies: число критически опасных уязвимостей веб-приложений в 2018 году выросло в три раза
Доля приложений с критически опасными ошибками безопасности сегодня составляет 67%. Число критически опасных уязвимостей, которое в среднем приходится на одно веб-приложение, по сравнению с 2017 годом выросло в три раза. Среди них наиболее распространены уязвимости, связанные с недостаточной авторизацией, возможностью загрузки или чтения произвольных файлов, а также с возможностью внедрения SQL-кода. Также высока доля веб-приложений с уязвимостями «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS). В четырех из каждых пяти веб-приложений отмечены ошибки конфигурации. читать дальше
Помимо этого, в 19% веб-приложений содержатся уязвимости, позволяющие злоумышленнику получить контроль не только над приложением, но и над ОС сервера. Если такой сервер находится на сетевом периметре организации, злоумышленник может проникнуть во внутреннюю сеть компании.
Персональные данные хранятся и обрабатываются почти в каждом исследованном веб-приложении (91%). При этом киберпреступники могут похитить личную информацию пользователей в 18% веб-приложений, где осуществляется обработка данных.
«Для обеспечения безопасности веб-приложений необходимо проводить анализ их защищенности, — говорит аналитик Positive Technologies Яна Авезова. — Тестирование методом белого ящика (с известным исходным кодом) позволяет выявить и в дальнейшем устранить уязвимости, не дожидаясь кибератаки. При этом для исправления 83% уязвимостей, включая большинство критически опасных, необходимо внести изменения в программный код. Для снижения риска нарушения бизнес-процессов в период подготовки нового релиза приложения мы рекомендуем использовать специализированные решения, в частности межсетевые экраны уровня приложений (web application fire....s, WAF)».
Американцы совершили три миллиона кибернападений на Россию
Российские службы несколько дней назад зарегистрировали три миллиона атак на отечественные IP-адреса.на посла России в США Анатолия Антонова, кибернападения велись с американской территории.Представитель в Вашингтоне уточнил, что данная информация пока является закрытой, но «это реальность». По мнению Антонова, так американская сторона вмешивается в российские дела. Он планирует вынести данную проблему на обсуждение с коллегами из США. читать дальше
27 февраля пресс-секретарь президента России Дмитрий Песков заявил о большом количестве кибератак, которые исходят с территории США. По его словам, жертвами нападений стали как физические лица, так и крупные организации. Тогда представитель Кремля не исключил возможность отключения страны от мировой сети.
Ранее, в феврале, американские спецслужбы отключили доступ к сети у нескольких российских компаний. В числе жертв оказались «Агентство интернет-исследований» и издание ФАН. Эта атака была названа предупредительной мерой: она должна была продемонстрировать, что российские кибератаки на США не будут оставлены безнаказанными.
США возлагают на Россию ответственность за серию кибератак, совершенных в 2016 году во время избирательной кампании против американских политических организаций. По утверждениям американских властей, в июле российские хакеры взломали серверы Национального комитета Демократической партии, а также партийного комитета по выборам в Конгресс. Москва отвергает причастность к кибернападениям.
Последний раз редактировалось peresihne; 05.03.2019 в 19:29.
Messenger для Windows 10 получил крупное обновление
06.03.2019
Прошло более полугода с момента последнего обновления приложение Messenger для Windows 10. На днях же разработчики выпустили обновление под номером 96.2194.9505. И хотя статус приложения до сих пор не вышел из беты, в новой сборке были добавлены многочисленные изменения и улучшения, как внешние, так и внутренние. читать дальше
Теперь при входе в систему используется обновлённая раскладка. В чате появился поиск по тексту, а настройки были обновлены. Также появилась функция «Сохранение данных», которая позволяет избежать автоматической загрузки медиафайлов в случае использования лимитированного трафика. Последнее может быть актуально для мобильных сетей.
Также появилась возможность добавить номер мобильного телефона для использования с Messenger, а ещё — создать новую учетную запись прямо из программы. Также было улучшено управление чатом на странице Новая версия программы уже доступна для скачивания в Windows Store.
Отметим, что ранее в версии Messenger для мобильной операционной системы iOS появился встроенный «тёмный режим», который активируется отправкой или получение смайла «Луна» в чате. После этого нужно нажать на изображение, затем появится сообщение об обнаружении режима.
А до этого Марк Цукерберг запланировал объединить WhatsApp, и Messenger на уровне единого протокола. При этом приложения останутся отдельными, однако будут обеспечивать возможность связи между собой и поддержку сквозного шифрования. Всё это планируется запустить в 2019-м или 2020-м году. При этом на пути реализации проекта есть ряд проблем, касающихся как безопасности, так и чисто технических аспектов.
Налог с дохода интернет-гигантов во Франции может превысить 500 млн евро в год
Трёхпроцентный налог с французских доходов крупных интернет-компаний может приносить более 500 млн евро в год, заявил министр финансов Франции Брюно Ле Мэр (Bruno Le Maire). читать дальше
Министр пояснил газете Le Parisien, что налог будет взиматься с компаний с глобальным доходом от цифровых продаж не менее 750 млн евро и доходом во Франции более 25 млн евро.
По словам чиновников, под эти требования подпадают на около 30 компаний, в основном американских, а также китайских, немецких, испанских и британских. Кроме того, налог коснётся одной французской фирмы и нескольких фирм с французским происхождением, которые были куплены иностранными компаниями.
В частности, речь идёт о «большой четвёрке» — Google, Amazon,и Apple (GAFA), а также Uber, Airbnb, Booking и французской Criteo, специализирующейся на онлайн-рекламе.
«Система налогообложения в 21-м веке должна основываться на том, что имеет сегодня ценность, и это — данные», — сказал Ле Мэр.
Он добавил, что это также вопрос фискальной справедливости, поскольку цифровые гиганты платят примерно на 14 процентных пунктов меньше налогов, чем европейские малые и средние компании.
Ле Мэр заявил, что налог будет нацелен на платформенные компании, которые получают комиссию за то, что они связывают компании с клиентами. Налогообложению будут подлежать такие компании, как Amazon, выступающая в качестве цифрового посредника между производителем и клиентом. А французский ретейлер Darty, который продаёт телевизоры и стиральные машины через свой сайт, налог платить не будет.
Также налогом будет облагаться продажа персональных данных в рекламных целях.
Министр сообщил, что представит законопроект кабинету министров, прежде чем он будет направлен для голосования в парламент.
Добавлено через 18 часов 35 минут Вредоносная матрёшка: многоуровневый зловред распространяется через популярный торрент-трекер
«Лаборатория Касперского» предупреждает о появлении вредоносной программы PirateMatryoshka, которая атакует пользователей популярного торрент-трекера The Pirate Bay.PirateMatryoshka — это многоуровневый зловред, состоящий из ряда компонентов, предназначенных для загрузки на компьютер жертвы рекламных и вредоносных модулей. читать дальше
По данным «Лаборатории Касперского», PirateMatryoshka распространяется под видом взломанных версий платных программ. Причём опасные раздачи формируются на торрент-трекере десятками различных аккаунтов, включая те, которые были зарегистрированы довольно давно: это может ввести потенциальную жертву в заблуждение, поскольку хорошая репутация пользователя, раздающего файл, усыпляет бдительность.
Запуск полученного вредоносного файла приводит к проникновению на компьютер трояна. Он начинает свою работу с того, что демонстрирует пользователю фишинговую страницу The Pirate Bay. Эта страница запрашивает логин и пароль для входа в торрент якобы для продолжения процесса загрузки, а на самом деле — для взлома аккаунтов пользователей и дальнейшей раздачи зловреда.
Даже если жертва отказывается ввести личные данные, процесс заражения компьютера продолжается. Троян распаковывает вредоносные модули двух типов — инсталляторы файловых партнёрских программ и автокликеры. «Первые загружают вместе с нужным контентом дополнительное ПО, при этом тщательно скрывая возможность отказаться от него. Вторые же проставляют галочки в нужных местах и нажимают на кнопки, соглашаясь за пользователя с установкой ненужного ему софта. В результате компьютер жертвы заполняется нежелательными и вредоносными программами», — отмечает «Лаборатория Касперского».
Последний раз редактировалось peresihne; 07.03.2019 в 12:11.
Причина: Добавлено сообщение
Facebоok построит платформу, ориентированную на безопасность
Генеральный директор Марк Цукерберг написал в блоге, что обязуется создать новую «платформу, ориентированную на конфиденциальность». Она должна будет стать моделью для будущих изменений социальной сети. читать дальше
В качестве примера компания намерена использовать WhatsApp. Это означает наличие сквозного шифрования, а также того, что соцсеть не будет хранить данные у себя. По словам Цукерберга, «люди могут быть уверены в том, что сказанное ими друг другу останется в безопасности, а их сообщения и контент не будут храниться вечно». Иначе говоря, сообщения будут удаляться через определённое время.
При этом глава компании не упомянул рекламу, фейковые новости и другие способы дезинформации, что давно является главной претензией к компании. Также Цукерберг заявил, что Messenger и WhatsApp станут основными способами общения людей в сети Оба приложения будут переработаны, чтобы сделать их быстрее, проще и безопаснее. Кроме того, мессенджеры будут связаны единым протоколом передачи и смогут функционировать через SMS. Последнее будет предлагаться в виде подписки.
Но самое интересное глава социальной сети приберёг напоследок. Он заявил, что компания не будет строить дата-центры в тех странах, в которых нарушаются права человека. По его словам, если это будут полноценные ЦОД, а не просто кеширующие серверы, это упростит правительствам таких стран контроль за своими гражданами. При этом бизнесмен отметил, что такое решение может привести к блокировке в этих странах, но компания готова на такие жертвы.
В свете вышеизложенного ряд российских СМИ уже написали о возможности блокировки в РФ. Ведь недавно Роскомнадзор оштрафовал и на 5 тыс. рублей за отказ корпораций хранить персональные данные внутри страны. Впрочем, пока никаких заявлений о подготовке столь радикальных мер не было озвучено.
Добавлено через 23 часа 30 минут Показана уязвимость, позволяющая жёстким дискам тайно записывать разговоры
Скоро на всех рабочих местах с компьютером будут висеть таблички «Не болтай! Идёт запись!». Если серьёзно, то исследователи начинают обращать пристальное внимание на уязвимость разного рода датчиков в любой электронике, а не только в компьютерах. Этих датчиков сегодня пруд пруди. Фитнес-браслеты, подушки безопасности в машинах, термостаты, навигация и прочее, и прочее. Традиционно служебные программы и, собственно, платформы безусловно доверяют показаниям датчиков, а зря. Исследования последних лет доказывают, что показания датчиков можно изменить в преступных целях с помощью нехитрого электромагнитного или акустического воздействия на них. читать дальше
Два года назад группа учёных из Мичиганского университета и Университета Южной Каролины во главе со специалистом по компьютерной безопасности Кевином Фу (Kevin Fu) показала несколько примеров атак на датчики смартфонов и браслетов с помощью звуковых сигналов. Звуковые волны необходимой частоты (близкой к резонансной частоте MEMS-датчика атакуемого акселерометра) могут встраиваться в обычную звуковую дорожку ролика на YouTube. При проигрывании такого ролика происходит атака на датчик, который начнёт передавать не реальные показания, а вредоносную последовательность. Например, в программе с графиком показаний измеренного напряжения на экране смартфона исследователи вместо кривой измерения вывели на экран слово «WALNUT».
Сегодня группа Кевина Фу пошла дальше. На конференции American Association for the Advancement of Science (AAAS) исследователи показали, что звуковыми волнами атаковать можно также физические объекты в составе персональных компьютеров. В частности, уязвимыми для акустических атак оказались такие привычные и жизненно важные узлы для ПК, как жёсткие диски. Точнее, жёсткие диски можно использовать в качестве безмикрофонной платформы для несанкционированной записи разговоров вблизи компьютера.
Обнаруженная уязвимость кроется в работе системы обратной связи для точного позиционирования магнитных головок над поверхностью магнитной пластины. Источники паразитных вибраций головок, к которым также относятся звуковые волны, порождённые беседой рядом с ПК, заставляют цепи управления вырабатывать компенсационные токи. Эти сигналы можно прочесть и подвергнуть расшифровке.
Утверждается, что точность записи настолько высокая, что звучавшую рядом с ПК музыкальную композицию легко распознал популярный сервис Shazam. Вредоносное ПО может действовать похожим способом и вести записи разговоров с последующей передачей куда надо. Тем самым вопрос звукоизоляции жёстких дисков выходит на новый уровень. Теперь это необходимо делать не только для того, чтобы притушить стрекотню головок HDD, но также для того, чтобы жёсткий диск вас не слышал.
В Windows 7 обнаружена новая уязвимость нулевого дня
Компания Google сообщила в своём блоге, что в Windows 7 обнаружена новая уязвимость нулевого дня. Это одна из двух брешей, которые хакеры использовали для внедрения вредоносного кода на целевые системы.Сообщатся, что эта уязвимость позволяет хакерам расширять локальные привилегии для выполнения произвольного вредоносного кода. При этом, по данным Google, проблема касается 32-разрядных систем. читать дальше
В Microsoft заявили, что знают о проблеме и уже работают над исправлением. Однако на создание полноценного решения нужно не менее 10 дней. Также в компании не преминули напомнить, что желательно обновить «семёрку» до более новой версии, которая будет защищена от проблем. Речь идёт, разумеется, о Windows 10.
Ещё одна уязвимость была обнаружена в браузере Chrome. Она также позволяла хакерам выполнять произвольный код. Эта ошибка была исправлена 1 марта. В версии 72.0.3626.121 патч уже есть.
Отметим, что компания Microsoft всеми силами пытается перевести пользователей на более новые версии системы. Что же касается расширенной поддержки Windows 7, то её можно будет приобрести с 1 апреля 2019 года. Покупка осуществляется для каждого компьютера отдельно, а стоимость будет удваиваться ежегодно. При этом текущая версия поддержки «семёрки» должна закончиться 14 января 2020 года.
Последний раз редактировалось peresihne; 10.03.2019 в 07:02.
Причина: Добавлено сообщение
Обнаружена база данных с более чем 800 млн адресов и других записей
Исследователь безопасности недавно обнаружил общедоступную базу данных MongoDB, которая содержала более 808 миллионов адресов электронной почты и других записей в виде простого текста. Размер базы данных составлял 150 Гбайт, так что масса сведений, включая некоторую личную информацию, была открыта для всех. Утечка связана со службой проверки электронной почты, которая подключила свой сайт к Сети. читать дальше
База данных была обнаружена Бобом Дьяченко (Bob Diachenko) из Security Discovery (в ноябре он же выявил открытую базу с 9,5 млн подробных записей о людях, собранных компанией Adapt) и Винни Троем (Vinny Troya) из NightLion Security. Согласно отчёту, рассказывающему об утечке, база данных была обнаружена 25 февраля. В своём сообщении господин Дьяченко сказал: «После проверки я был шокирован огромным количеством адресов, которые были общедоступны для всех, кто подключён к Интернету».
Утечка состояла из 798 млн записей с адресами более 4 млн адресов были дополнены номерами телефонов и ещё более 6 млн записей были обозначены как businessLeads. В общей сложности в базе данных сайта Verification.io содержится более 808 миллионов записей. Среди прочей информации, в этих записях включены такие вещи, как e...., IP-адрес пользователя, дата рождения, почтовый индекс, адрес, пол и номер телефона.
О находке было сообщено Verification.io, которая затем отключила свой сайт. Согласно скриншоту службы, она специализировалась на проверке электронных адресов предприятий: по-видимому, услуга заключалась в том, что клиенты загружали списки адресов электронной почты для проверки. Служба поддержки ответила исследователям, что доступ к базе данных компания закрыла. В своём письме Verification.io среди прочего сообщила, что весь этот массив информации был собран из общедоступных источников, а не данных клиентов.
Утечка состояла из 798 млн записей с адресами более 4 млн адресов были дополнены номерами телефонов и ещё более 6 млн записей были обозначены как businessLeads. В общей сложности в базе данных сайта Verification.io содержится более 808 миллионов записей. Среди прочей информации, в этих записях включены такие вещи, как e...., IP-адрес пользователя, дата рождения, почтовый индекс, адрес, пол и номер телефона.
О находке было сообщено Verification.io, которая затем отключила свой сайт. Согласно скриншоту службы, она специализировалась на проверке электронных адресов предприятий: по-видимому, услуга заключалась в том, что клиенты загружали списки адресов электронной почты для проверки. Служба поддержки ответила исследователям, что доступ к базе данных компания закрыла. В своём письме Verification.io среди прочего сообщила, что весь этот массив информации был собран из общедоступных источников, а не данных клиентов.
Простая уязвимость в автомобильной сигнализации грозила угоном 3 млн машин в мире
Специалисты по кибербезопасности британской компании Pen Test Partners обнаружили весьма опасную, хотя и досадную уязвимость в системе работы бесключевой автомобильной сигнализации двух крупных мировых компаний ― российской Pandora и американской Viper (в Англии ― Clifford). Выявленная уязвимость в системе работы сигнализации, установленной на автомобили, позволила исследователям получить удалённый доступ к системам автомобиля и к данным, которые он мог выдавать. читать дальше
Поскольку уязвимость выявлена на этапе независимого закрытого тестирования, о ней сразу же сообщили компаниям-производителям сигнализации. К настоящему дню уязвимость, которая затрагивала порядка 3 млн автомобилей в мире, закрыта и не представляет угрозы.
С помощью выявленной уязвимости любой мог получить доступ к удалённому кабинету авторизованного владельца транспортного средства. Недоработки в пользовательском интерфейсе на серверах поддержки позволяли подменить почтовый адрес пользователя любым другим адресом без авторизации и провести операцию сброса пароля с последующей отправкой пароля на адрес злоумышленника. Это оказалось сделать настолько легко, что исследователи назвали свой доклад «Угнать за 6 секунд».
После получения пароля пользователя и входа в аккаунт на смартфоне можно было запустить приложение, которое позволяло следить за перемещением автомобиля на карте, дистанционно глушить двигатель для принудительной остановки и открывать двери, а также прослушивать и записывать разговоры в салоне с помощью предусмотренного системой сигнализации микрофона для связи со службами спасения и техпомощью.
К настоящему дню, как уже сказано выше, найденной уязвимостью воспользоваться нельзя. По сообщениям компаний-производителей сигнализации, за то короткое время, в течение которого была вероятность утечек, никаких данных похищено не было. Никто из автовладельцев с установленными системами сигнализации Pandora и Viper (Clifford) не пострадал и не понёс ущерб от уязвимости.
Последний раз редактировалось peresihne; 10.03.2019 в 20:19.
Кандидат в президенты США обещает раздробить Google и Amazon
Кандидат от Демократической партии Элизабет Уоррен (Elizabeth Warren) пообещала разделить на части крупные технологические компании, такие как Google и Amazon. читать дальше
В посте на веб-сайте Medium Уоррен подробно рассказала, почему она хочет разбить крупные интернет-компании. В частности, она обвиняет эти компании в использовании их огромных ресурсов для формирования игрового поля и скупки потенциальных конкурентов.
У Уоррен есть два предложения, как противостоять влиянию этих компаний. Во-первых, крупные технологические платформы должны иметь статус «платформы для услуг» — платформы-утилиты. «Этим компаниям будет запрещено одновременно владеть платформой для услуг и любыми участниками на этой платформе», — пишет сенатор в своём посте. Во-вторых, необходимо препятствовать технологическим слияниям, которые она считает антиконкурентными. В качестве примера Уоррен приводит приобретение Amazon компании Whole Foods Market, и покупку социальной сетью Политик утверждает, что эти слияния и поглощения нанесли ущерб конкуренции.
Предлагаемые меры, как полагает Элизабет Уоррен, позволят малым предприятиям конкурировать с Amazon, продавая свои товары на торговой площадке интернет-компании, не опасаясь, что та вытеснит их из бизнеса. Это также заставило бы уважать конфиденциальность своих пользователей и не позволило бы Google отображать сайты конкурентов ниже в результатах поиска.
Проще простого: 10 полезных «лайфхаков» для пользователей YouTube
Знаете ли вы, что YouTube таит в себе множество интересных возможностей, позволяющих просматривать видео на старых ПК, расшифровывать аудиозаписи на различных языках, скачивать ролики, создавать из них GIF-анимацию и проделывать прочие трюки? Все подробности — в нашей подборке секретов видеосервиса читать дальше
Практически в любом программном продукте кроются свои секреты, y YouTube они, конечно же, тоже есть. При грамотном подходе можно не только существенно упростить с ним работу, но и задействовать его для решения различных задач. Подтверждением этому служит наша небольшая подборка полезных лайфхаков и малоизвестных функций YouTube, которые могут пригодиться всем пользователям популярного видеохостингового сайта.
Как смотреть YouTube-ролики на старых компьютерах. Ни для кого не секрет, что для комфортного просмотра размещённого в Сети мультимедийного контента необходим производительный ПК с широкополосным интернет-подключением. Ежели такового под рукой нет, то справиться с ситуацией поможет бесплатный плеер CherryPlayer , разработанный с прицелом на вычислительные машины не первой свежести с операционной системой Windows на борту. Программа поддерживает взаимодействие с аккаунтами и плейлистами YouTube, позволяет проигрывать потоковое видео с выбранным качеством и кешировать загружаемые из Сети данные, а также оснащена средствами поиска и набором встроенных кодеков. Помимо этого, CherryPlayer умеет находить общий язык со множеством других сервисов и имеет в своём активе пару дополнительных функций, о которых мы упомянем чуть ниже. Плеер доступен для скачивания на сайте разработчика как в виде установочного дистрибутива, так и в формате portable-версии, которая может быть записана, например, на флешку.
Как сделать резервную копию канала YouTube. О важности резервного копирования данных лишний раз говорить не приходится, даже в случае с таким надёжным сервисом, как YouTube. Любое отклонение от правил видеохостинговой площадки, нарушение авторских прав или взлом пользовательского аккаунта могут привести к потере хранящихся на серверах сервиса роликов. Чтобы в таких случаях минимизировать риск необратимой потери данных, имеет смысл регулярно создавать копию своего канала YouTube, благо такая возможность имеется в настройках Google-аккаунта. Нужно всего лишь перейти по ссылке google.com/takeout, определить тип резервируемых данных YouTube (видео, плейлисты, подписки и так далее), выбрать желаемый формат архива и дождаться создания бекапа. При желании можно настроить автоматическое копирование файлов в облачные хранилища Google Drive, Dropbox, OneDrive и Box.
Как скачать субтитры из YouTube-роликов. Одной из сильных сторон YouTube является поддержка сопровождающих видеоряд субтитров, во-первых, помогающих смотреть видео людям с нарушением слуха, а во-вторых, благодаря системе распознавания разговорной речи и встроенному переводчику Google, здорово упрощающих просмотр фильмов и роликов на иностранных языках. YouTube позволяет просматривать текстовые расшифровки видео с привязкой транскрибированных фраз ко времени, но не предоставляет удобных инструментов для их скачивания. Обойти это ограничение можно с помощью онлайнового сервиса SaveSubs, позволяющего не только скачивать cубтитры в форматах SRT и TXT, но и переводить их на различные языки. Достаточно скормить сервису ссылку на YouTube-ролик, ну а дальше — дело техники.
Создание рингтонов из YouTube-роликов. С этой задачей лучше всего справится разработанная компанией iSkysoft программа iMedia Converter Deluxe, которая представлена в версиях для платформ Windows и macOS. Порядок действий простой: в окне приложения указываем ссылку на видео с приглянувшейся мелодией, извлекаем из YouTube-ролика аудиодорожку в выбранном качестве, далее во встроенном редакторе вырезаем нужный фрагмент и конвертируем его в подходящий для мобильного устройства формат. Если всё делать в темпе вальса, то выполнение перечисленных операций займёт не более пары минут. При этом сразу стоит оговориться, что iMedia Converter Deluxe распространяется по подписке и стоит определённых денег.
Мгновенное скачивание роликов YouTube. Существует огромное количество способов переноса видеофайлов с YouTube на диск компьютера. Эта задача, к примеру, по зубам рассмотренным выше программам CherryPlayer и iMedia Converter Deluxe. Однако пока запустишь их на компьютере, пока найдёшь нужный пункт меню и активируешь процесс — столько времени пройдёт... Гораздо быстрее и эффективнее в таких случаях использовать специализированный сервис SaveFrom...... Для работы с ним нет необходимости каждый раз набирать его адрес, достаточно всего лишь в URL просматриваемого ролика добавить «ss» перед youtube.com (см. поясняющий скриншот ниже) и нажать Enter. В результате произойдёт переадресация на сайт сервиса SaveFrom..... с готовыми ссылками для скачивания видео в различных форматах и качестве.
Создание GIF-анимации из YouTube-роликов. По этой части софтверными разработчиками тоже изобретено множество инструментов, позволяющих буквально в два-три клика мышью конвертировать видеофайлы YouTube в анимационные картинки. Самым простым среди них, на наш взгляд, является сервис FreeGifMaker.me. Любителям более навороченных программных решений порекомендуем сервисы Giphy Gif Maker и Gifs.com. Методика работы с ними незамысловатая: вводим адрес ролика, немного колдуем с параметрами создаваемого GIF-изображения — и дожидаемся склейки кадров анимационной картинки. Готовые файлы можно загрузить на компьютер или использовать для публикации в социальных сетях.
Как извлечь аудиодорожку из ролика YouTube. Для решения этой задачи пригодятся уже упомянутые в заметке программы CherryPlayer (бесплатная) и iMedia Converter Deluxe (коммерческая) — с их помощью не составит труда утянуть с просторов YouTube понравившуюся музыку. Если же времени в обрез и нет желания захламлять диск компьютера лишним софтом, то можно прибегнуть к онлайновому сервису 4K Download Online , позволяющему скачивать аудио с YouTube в форматах MP3, M4A и OGG. При работе с перечисленными инструментами следует помнить о существовании авторских прав на загружаемый из Интернета контент и не нарушать их.
Загрузка MP3-файлов на YouTube. Владельцы каналов знают, что YouTube принимает к загрузке исключительно только видеофайлы, что вполне логично — ведь это видеохостинговый сервис, а не площадка для трансляции аудиоконтента. Тем не менее, из любого правила бывают исключения, и с помощью сервиса TunesToTube.com это ограничение можно легко обойти. Данный сервис на основе загруженного пользователем аудиофайла и выбранного статичного изображения создаёт видео со звуковой дорожкой и автоматически копирует его в YouTube. Воистину: всё гениальное просто! Таким образом можно размещать в сервисе музыкальные композиции без видеоряда, аудиокниги и диктофонные записи.
Расшифровка аудиозаписей с помощью YouTube. Благодаря встроенным в видеосервис технологиям распознавания разговорной речи, YouTube можно использовать для автоматической текстовой расшифровки аудиофайлов, например диктофонных записей интервью или лекций (привет студентам!). Как вы уже, наверное, догадались, для этого необходимо всего лишь с помощью сервиса TunesToTube.com «залить» в YouTube аудиофайл, опубликовать его и после этого получить на выходе готовую расшифровку в виде субтитров, которые можно легко скачать на компьютер для последующей обработки в текстовом редакторе. Такая недокументированная функция YouTube позволит существенно сэкономить время всем, кто часто работает с записанными на диктофон материалами: журналистам, юристам, переводчикам, историкам и специалистам многих других профессий.
Распознавание музыкальных треков в YouTube. Ну а завершают нашу подборку «лайфхаков» два простых способа идентификации композиций в видеороликах YouTube. Первый предполагает применение проверенного временем мобильного приложения Shazam, второй — установку расширения AHA Music для браузера Google Chrome. Оба продукта функционируют с использованием технологии акустических отпечатков и по отрывку композиции довольно точно определяют название песни, автора, исполнителя, альбом и многое другое. В общем, рекомендуем!
В заключение, раз уж речь сегодня зашла о YouTube, напомним читателям о существовании официального канала 3DNews Daily Digital Digest на этой площадке. На канале наши авторы и эксперты тестовой лаборатории размещают видеообзоры «железа» — ноутбуков, видеокарт, периферии и разных гаджетов. Ещё мы выкладываем обзоры новых игр, периодически стримим их и еженедельно публикуем GamesBlender — наш регулярный дайджест новостей игровой индустрии. Также на канале можно найти интересные ролики от разработчиков игр, которые мы переводим на русский язык: дневники о создании проектов, интервью и другой интересный контент. Подписывайтесь, чтобы ничего не пропустить!
Найден универсальный способ взлома Wi-Fi
Все устройства, имеющие возможность подключения к Wi-Fi, находятся под угрозой взлома, заявили ученые из бельгийского университета Левена. Эксперты отметили, что взломать можно абсолютно любой гаджет, с которого выходят в интернет таким образом. читать дальше
Так, роутеры защищены от вмешательства технологией сетевой безопасности Wireless Protected Access 2 (WPA-2), которая встраивается в сертифицированное оборудование с 2006 года, пишет «Федеральное агентство новостей». WPA-2 использует новейшие стандарты шифрования, а подключение к сети происходит в четыре фазы.
Однако для взлома такой защиты хакеры используют программу Key Reinstallation Attacks (KRACK). При этом исследователи утверждают, что вне зависимости от того, какое устройство человек использует, хакеры находят лазейки для взлома именно в WPA-2, что ставит под угрозу все гаджеты.
Получив доступ к устройству через Wi-Fi, злоумышленники могут считать всю информацию о пользователе, в том числе пароли и данные банковской карты. Такие компании, как Google и Apple, уже выпустили обновления для устранения такой уязвимости. В октябре прошлого года специалисты компании Checkmarx обнаружили очередной способ удаленно взломать смартфон на Android.
В течение трех-шести месяцев Госдепартамент США произведет отбор самых интересных проектов по модернизации безопасности интернета в Украине. Победитель получит от 500 000 до 1 180 500 долларов на реализацию своей идеи.
Основным критерием, который необходимо соблюдать в программе «улучшенного интернета», станет упор на урегулирование конфликтов, защиту прав человека и обеспечение свободного потока информации.
Последний раз редактировалось Volodya; 11.03.2019 в 15:08.
–>
Ваша реклама может быть здесь... пишите на телегу @VOPROS24
Часовой пояс GMT +3, время: 16:42.
Весь материал, представленный на сайте взят из доступных источников или прислан посетителями сайта. Любая информация представленная здесь, может использоваться только в ознакомительных целях. Входя на сайт вы автоматически соглашаетесь с данными условиями. Ни администрация сайта, ни хостинг-провайдер, ни любые другие лица не могут нести отвественности за использование материалов. Сайт не предоставляет электронные версии произведений и ПО. Все права на публикуемые аудио, видео, графические и текстовые материалы принадлежат их владельцам. Если Вы являетесь автором материала или обладателем авторских прав на него и против его использования на сайте, пожалуйста свяжитесь с нами.