Уязвимость протокола Bluetooth позволяет злоумышленникам запускать двигатель электромобилей Tesla и проникать в салон
Эволюция систем безопасности Tesla привела к тому, что автовладельцу нет нужды постоянно носить при себе ключ от машины, при необходимости его можно заменить не только карточкой, но и смартфоном. «Электронный ключ» также можно передавать и другим людям. Все эти удобства цивилизации имеют обратную сторону медали — уязвимость в протоколе Bluetooth LE позволяет злоумышленникам проникать в салон электромобилей и угонять их. читать дальше
Специалисты британской компании NCC Group обнаружили, что уязвимость в протоколе Bluetooth Low Energy позволяет удлинять радиус действия штатного ключа или его электронного аналога, отпирая электромобиль и получая доступ к его управлению даже в том случае, если владелец находится на значительном удалении от машины. Злоумышленнику для реализации взлома системы безопасности Tesla по такой системе потребуются два ретранслятора, позволяющие увеличивать диапазон сигнала смартфона владельца или штатного ключа, а также ноутбук со специальным программным обеспечением.
В ходе эксперимента, показанного представителями NCC Group сотрудникам ........g News на примере имеющегося в их распоряжении электромобиля Tesla, один ретранслятор располагался на расстоянии около 14 метров от смартфона автовладельца, а второй был подключен к ноутбуку хакера, расположившегося в непосредственной близости от машины. Комплект оборудования для реализации этой схемы, если не считать ноутбук, стоит около $100 и может быть куплен в интернет-магазинах, а после установления соединения проникновение в салон электромобиля требует не более десяти секунд.
По данным исследователей, угонщики спокойно могут приближаться с ретрансляторами к дому автовладельца, когда тот спит, оставляя смартфон включенным, и получать контроль над припаркованным по близости электромобилем. Методика взлома отличается от уже известных лишь в некоторых нюансах, и, по большому счёту, не является уникальной для электромобилей Tesla. Таким способом можно получать доступ к более чем двум сотням моделей автомобилей, а также различным «умным» устройствам типа электронных замков, использующих протокол BLE для связи со смартфоном. В случае с Tesla для реализации защиты от взлома необходимо модифицировать аппаратную часть машины, поэтому сложно сказать, решится ли компания на масштабный отзыв электромобилей в профилактических целях.
Уязвимость приложения Find My может использоваться злоумышленниками даже при отключенном iPhone
Группа исследователей из Дармштадтского технического университета в Германии обнаружила опасную уязвимость, которая может использоваться для слежки за пользователями iPhone и загрузки вредоносного программного обеспечения даже после отключения смартфона. Проблема связана с работой приложения Find My, которое предназначено для поиска устройства в случае потери или кражи. читать дальше
Дело в том, что Bluetooth, NFC и сверхширокополосная связь UWB продолжают работать даже в случае отключения iPhone по питанию. Это означает, что модули беспроводной связи потенциально могут использоваться злоумышленниками для проведения атак разного типа. Кроме того, в режиме пониженного энергопотребления пользователям смартфонов Apple остаются доступны некоторые функции, такие как бесконтактная оплата покупок.
«В последних моделях iPhone Bluetooth, беспроводная передача данных малого радиуса действия NFC и сверхширокополосная связь UWB продолжают работать после отключения питания, и все три беспроводных чипа имеют прямой доступ к защищённому элементу», — говорится в сообщении исследователей.
В рамках проделанной работы исследователям удалось интегрировать на устройство вредоносное ПО через Bluetooth, который работал при отключённом питании. Отмечается, что распространение вредоносного ПО таким образом является сложным процессом, в ходе которого последовательно эксплуатируются несколько уязвимостей.
Минцифры: Россия не планирует блокировать YouTube
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России), несмотря на сложившуюся ситуацию, в настоящее время не намерено ограничивать доступ к платформе YouTube. читать дальше
Слухи о блокировке YouTube в России ходят несколько месяцев. Ранее в СМИ также появилась информация, что некоторые российские пользователи YouTube стали сталкиваться с проблемами в работе популярного видеосервиса.
«Мы не планируем закрытие YouTube. Прежде всего, когда мы что-то ограничиваем, мы должны чётко понимать, что наши пользователи не страдают. Задача наша, чтобы у нас был свой конкурентноспособный аналог, который появится не потому, что мы закрыли YouTube, а чтобы он развивался в конкуренции»,
Кроме того, отмечается, что Россия не хочет закрываться от кого-либо. Однако «власти должны выстраивать барьеры для того, чтобы избавлять пользователей от чрезмерного давления и токсичного контента».
Российские эксперты обнаружили новую хакерскую группу
Экспертный центр безопасности Positive Technologies (PT Expert Security Center, PT ESC) выявил ранее неизвестную хакерскую группировку, возможно, с китайскими корнями, сообщил ресурс ... со ссылкой на поступившее к нему исследование этого центра. Группировка получила название Space Pirates из-за строки «P1Rat» в используемом ею коде, а также в связи с тем, что её целью были объекты авиационно-космической отрасли. читать дальше
Space Pirates относится к категории APT-групп (advanced persistent threat), что означает наличие современного уровня специальных знаний и значительных ресурсов, позволяющих создавать угрозу опасных кибератак. Группа действует минимум с 2017 года, занимаясь шпионажем и кражей конфиденциальной информации. В числе её жертв центр назвал государственные учреждения и ИТ-департаменты, предприятия аэрокосмической и электроэнергетической отраслей в России, Грузии и Монголии.
Впервые активность группы была отмечена в конце 2019 года, когда в адрес отечественного предприятия авиационно-космического сектора было направлено фишинговое письмо с ранее не встречавшимся вредоносным программным обеспечением. В дальнейшем специалистами PT ESC были выявлены ещё четыре отечественные компании, которых пытались скомпрометировать подобным образом. По оценке экспертов Positive Technologies, две атаки Space Pirates в России увенчались успехом.
По мнению специалистов Positive Technologies, у группировки азиатские корни, так как на своих ресурсах она использует китайский язык и инструменты, популярные у азиатского сообщества хакеров.
С этим мнением согласен старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. «В целом, предприятия, связанные с критической инфраструктурой, — одни из многочисленных сфер интереса злоумышленников, в том числе говорящих на китайском. Подобные атаки обычно не массовые, а сложные и таргетированные, направленные на шпионаж. Такой тип атак может быть наиболее опасен, если злоумышленникам удастся получить доступ к интересующим их данным», — отметил он.
Руководитель отдела исследования сложных киберугроз компании Group-IB Анастасия Тихонова утверждает, что большая часть применяемых инструментов Space Pirates характерна для китайских хакерских групп. Выбор объектов для атак также позволяет предположить её китайское происхождение. Тихонова подчеркнула, что становится всё сложнее относить ту или иную кампанию к конкретной хакерской группе, так редко кто используют уникальные инструменты, а чаще улучшает имеющиеся. К тому же хакеры могут объединять усилия для конкретных атак.
вконтакте» покажет первый сериал по сценарию нейросети
Социальная сеть « представит на платформе «VK Видео» первый российский сериал, сценарий которого создала нейросеть. Проект носит название «Сидоровы»: в нём принимает участие телеканал СТС совместно со студентами направления «Программирование» образовательной платформы Skillbox. читать дальше
Речь идёт об использовании платформы искусственного интеллекта A.I. TV Script Generator. Чтобы обучить машинный разум, авторы загрузили в него популярные сериалы. Тысячи страниц текста позволили задать алгоритмы, максимально приближённые к написанию киносценария.
Говорится, что нейросеть научилась самостоятельно генерировать основные структурные элементы киноленты: время и место действия, имена героев, реплики, ремарки и другие компоненты. На финальной стадии полученный контент попадает к редактору, который может внести правки.
«В нейросеть были загружены 355 892 слова, 88 эпизодов, 7 телешоу. Потребовалось 20 экспериментов с параметрами и способом подачи данных в модель, чтобы подойти к наилучшему качеству производимого сетью контента. Принимая на вход небольшое текстовое вступление, нейросеть может генерировать бесконечное количество отличных друг от друга сценариев за сотые доли секунды», — говорится в сообщении.
Сериал «Сидоровы» расскажет про типичную российскую семью, члены которой вдруг осознают, что их жизнь оторвана от реальности. Они не покидают своей квартиры, слышат закадровый смех и попадают в странные анекдотичные ситуации.
Apple разрешила разработчикам приложений повышать стоимость подписки без прямого согласия пользователей
Компания Apple объявила о внесении изменений в правила для разработчиков приложений для площадки App Store, касающихся изменения стоимости подписки при активированной функции автоматического продления. В соответствии с нововведением, разработчики не будут обязаны запрашивать явное согласие пользователя в случае изменения стоимости подписки. читать дальше
В настоящее время пользователь должен подтвердить своё согласие с новыми условиями предоставления подписки через соответствующий интерфейс. Если за определённый период согласия не поступает, то действие подписки автоматически прекращается. Однако в будущем разработчики смогут повышать стоимость подписки, и она будет продлеваться даже в случае, если пользователь не дал явного согласия на это.
Отметим, что о повышении цен пользователи будут своевременно уведомляться по электронной почте и посредством push-уведомлений. Если новые условия не будут устраивать пользователей, они смогут отписаться от услуги до того, как подписка будет продлена автоматически. Воспользоваться новой функцией разработчики смогут не чаще одного раза в год, а размер оплаты не может единовременно увеличиваться более чем на 50 %. Кроме того, цена подписки не должна увеличиваться более чем на $5 в случае ежемесячного тарифа и на $50 в случае годового плана.
В Apple посчитали, что пользователи часто пропускают уведомления о повышении стоимости подписки, из-за чего она автоматически прекращается. При этом нет никакой гарантии, что пользователи будут внимательнее следить за уведомлениями после вступления в силу анонсированных изменений.
вконтакте выпустила мобильное приложение для общения «VK Мессенджер»
Социальная сеть запустила отдельное мобильное приложение для общения — «VK Мессенджер». Оно позволяет вести беседы с пользователями самой платформы и абонентами из телефонной книги. читать дальше
Доступны групповые чаты на более чем 1000 человек, исчезающие сообщения, аудио- и видеозвонки без ограничений, возможность записывать аудиосообщения и читать их расшифровки, отправлять музыку, стикеры, фото, видео и истории, а также файлы до 2 Гбайт, делиться геопозицией, переводить деньги и многое другое.
Если сообщение было отправлено человеку, которого нет в друзьях, он получит запрос на переписку. Кроме того, реализованы функции, которых нет в основном приложении VK. Например, возможность скрыть время последней активности, а также переписка в фантом-чатах — все сообщения в них будут пропадать спустя некоторое время.
Мы фиксируем существенный рост активности в чатах и звонках, поэтому стремимся предоставить больше инструментов для общения. Новое приложение отвечает на запросы пользователей, которые предпочитают отдельные приложения для разных сценариев. На данный момент мобильный "VK Мессенджер" доступен в бета-версии и будет оперативно развиваться и получать новые функции, которые будут внедряться с учётом пожеланий и отзывов пользователей»,
Интернет "быстрее скорости света": ученые работают над сетью нового поколения
В будущем появится "Интернет навыков", где все знания и умения людей будут оцифрованы, а данные будут передаваться мгновенно.Сотрудники Орхусского университета и эксперты промышленной отрасли Дании пытается ускорить передачу данных в Интернете. читать дальше
Исследователи во главе с доцентом факультета электротехники и вычислительной техники Орхусского университета Ци Чжаном запустили научно-исследовательский проект под названием eTouch, чтобы в будущем преодолеть ограничения современных технологий передачи данных. Если конкретнее, они стремятся обеспечить передачу тактильных ощущений в реальном времени без ощутимой задержки независимо от расстояния. Проект стартует в 2022 году и продлится три года при спонсировании Датского независимого исследовательского фонда.
По словам ученых, в будущем должен появиться так называемый Интернет навыков — в нем все умения людей будут оцифрованы. При помощи тактильной обратной связи специалисты смогут удаленно управлять роботами-аватарами, будто собственным телом, к примеру, хирург сможет ощущать скальпель и проводить операции, пока физически находится в другой стране.
Проблема в том, что современной скорости Интернета не хватает для полноценного управления роботами на большом расстоянии — даже свет со временем "тормозит" в оптоволокне, что снижает время отклика машины на действия оператора. Чтобы обмануть кожу и тело, заставив их воспринимать виртуальные ощущения как реальные, задержка должна составлять меньше одной миллисекунды (0,001 секунды). Уже существуют оптоволоконные сети со сверхвысокой пропускной способностью и сверхнизкой задержкой на уровне одной тысячной секунды, однако они могут обеспечивать высокую скорость на расстоянии максимум 150 км и только в идеальных условиях.
Для решения этой проблемы исследователи используют модельно-опосредованную телеоперацию, в которой виртуальная модель (цифровой близнец) будет точно описывать удаленную среду и мгновенно создавать тактильную обратную связь локально без необходимости отправлять сигналы на большие расстояния. Современная концепция Интернета не позволяет создать достаточно точную модель, поэтому инженеры решили использовать граничные вычисления (Edge Computing), — парадигму распределенных вычислений, осуществляемых в пределах досягаемости конечных устройств, предусматривающую сокращения времени сетевого отклика и более эффективное использование пропускной способности сети.
В команду пригласили специалистов мирового уровня в области граничных вычислений, технологии телероботов и машинного обучения из Мюнхенского технического университета (TUM), Дрезденского технического университета (TUD), Орхусского университета, а также представителей промышленности.
"Включение передачи тактильных ощущений в режиме реального времени через Интернет потенциально позволит выполнять различные физические операции без физического присутствия человека", — объяснил Ци Чжан. — Реализация нашего видения влечет за собой большие проблемы, поэтому мы должны начать с основных операций и продвигаться к намеченной цели не торопясь. Но если наш метод сработает, он может стать новаторским для Интернета будущего и обеспечить распространение "тактильного Интернета" на межконтинентальные расстояния и, возможно, даже в космос".
Ранее Nokia ускорила оптоволоконный интернет до 600 Гбит/с. Компания успешно протестировала новую технологию связи в Финляндии на расстоянии более 780 километров.
Писали также, как устроен квантовый Интернет и когда он начнет работать. Квантовые сети отличаются более высокой скоростью передачи данных, однако слишком уязвимы к влиянию окружающей среды и могут потярять информацию при малейшем вмешательстве.
Сайт Sony Pictures в рф приостановил работу. На сайте отображается надпись Sony Pictures, при нажатии на которую происходит переадресация на основной зарубежный сайт.Аккаунты в социальных сетях также не ведутся, как и аккаунты PlayStation.
Мошенники стали наживаться на уходе Apple из России — предлагают пополнить Apple ID и не только
Компания Group-IB, работающая в сфере информационной безопасности, обнаружила новые мошеннические схемы кражи денег, данных банковских карт и учётных записей Apple под предлогом оплаты и использования сервисов App Store, Apple Pay и iTunes. За два года специалисты компании выявили свыше 5 тыс. доменов в зоне .RU, используемых для фишинговых атак на россиян с целью получения доступа к iPhone и сервисам Apple. читать дальше
После прекращения работы в России платёжной системы Apple Pay и появления сложностей с оплатой в App Store и iTunes злоумышленники начали использовать новые схемы для кражи денег, данных банковских карт и учётных данных Apple ID. Например, что злоумышленники стали предлагать пользователям пополнить счёт в App Store и iTunes посредством покупки виртуальных карт номиналом 1000 рублей, 2500 рублей, 5000 рублей, 5500 рублей и 6000 рублей.
Речь идёт о картах App Store & iTunes Gift Card, которые дают возможность пополнения счёта аккаунта и приобретения контента в магазинах Apple. Но мошенники, конечно же, ничего на самом деле не продают. При покупке кода такой карты у нечестного продавца пользователь передаёт адрес электронной почты, а при оплате — данные банковской карты. В итоге эти данные и деньги пользователя попадают в руки мошенников.
Ещё одна схема строится на основе предложения вернуть возможность оплаты товаров и услуг с помощью платёжной системы Apple Pay. Пользователю отправляется фишинговая ссылка на «сервис iCloud», который используется для кражи данных. Если пользователь вводит на этой странице свои данные Apple ID, то мошенники получают доступ к его iCloud, App Store, Apple Music, ........, FaceTime.
Мошенники также используют схему обмана людей, которые недавно лишились своего iPhone, например, если смартфон был украден или утерян. Такому пользователю от имени службы поддержки Apple отправляются фейковые SMS-сообщения, в которых говорится о том, что устройство было включено и удалось обнаружить его местоположение. На деле же пользователь получает фишинговую ссылку на ресурс, имитирующий приложение Find My iPhone. Внимательно изучив присылаемые мошенниками ссылки можно обнаружить подмену. После перехода по фишинговой ссылке предлагается ввести данные Apple ID, в результате чего злоумышленники получают доступ к данным пользователя, включая файлы, хранящиеся в iCloud.
Мошенники также могут контактировать с жертвой по телефону или через мессенджер. Злоумышленник сообщает, что купил или нашёл iPhone, после включения которого увидел номер старого владельца. В ходе общения он пытается узнать пароль для разблокировки устройства, которое якобы «превратилось в кирпич». Если пользователь сообщает пароль, то общение тут же прекращается.
За последние два года специалисты центра реагирования на инциденты информационной безопасности CERT-GIB обнаружили в зоне RU 5283 фишинговых доменов, нацеленных на российских пользователей. Всего же в мире на данную тематику создано не менее 176 тыс. фейковых доменов, предназначенных для кражи данных. Отмечается, что схема мошенничества хорошо автоматизирована. Например, стоимость скрипта для фишинговых атак на iCloud составляет от $100 до $150, а неделя аренды мульбрендовой фишинговой панели — $500. Мошеннику лишь остаётся отправлять ссылки жертвам, а украденные данные автоматически перенаправляются в Teлеграм-бот.
Последний раз редактировалось peresihne; 17.05.2022 в 21:22.
У Axie Infinity новые проблемы
Хакеры получили доступ к учетке администратора бота Mee6 в Discord
Пользователям разослали сообщения с фишинговой ссылкой
Ущерб от атаки пока неизвестен читать дальше
Сегодня, 18 мая, администрация Axie Infinity заявила о том, что бот Mee6 был скомпрометирован. Злоумышленники воспользовались им для рассылки сообщений о фэйк-минте с фишинговыми ссылками.
Позднее появились данные, что преступники атаковали и другие серверы, на которых установлен этот бот. Речь идет о RTFKT, PROOF/Moonbirds, PXN, Memeland, Cool Cats и прочих.
Хакеры воспользовались уязвимостью, чтобы дать обширные права администратора поддельной учетке. Затем они с ее помощью разослали анонс якобы предстоящего минта.
В сообщении была фишинговая ссылка. Как только пользователь переходит по такому URL, преступник получает полный доступ к его конфиденциальной информации.
Администрация оперативно закрыла доступ к боту и стерла рассылку. Однако некоторые пользователи все еще могут видеть фишинговое сообщение. Их просят не переходить ни по каким ссылкам, полученным в Discord. Задержки с запуском Land и проблемы с Ronin, ущерб от взлома которого составил 625 млн долларов, не добавили популярности Axie Infinity. Проект переживает спад популярности, и очередная атака вполне может “добить” игру.
Аутентификация без паролей — возможно ли это и как: Google о своих новых проектах
Советы о том, каким должен быть надежный пароль, публикуют регулярно, но ими все равно мало кто пользуется. И даже самый надежный пароль можно взломать. А это значит одно — аутентификация должна быть без пароля вообще. читать дальше
Как прийти к этому миру без паролей и какие проекты для этого разрабатывает Google, на конференции Google I/O 2022 рассказал Эджи Катамура, Developer Advocate в Google. Highload публикует главное из этого материала.
WebAuthn — аутентификация с реальным ключом
Web Authentication, или WebAuthn — это веб стандарт, который позволяет пользователям аутентифицироваться через FIDO-совместимое устройство, или аутентификатор.
FIDO — это стандарт, определяющий механизм аутентификации. Этот стандарт был широко принят и доступен во всех основных браузерах. Аутентификатором может выступать ключ безопасности, который по сути действует именно как ключ. Он часто используется в качестве второго фактора для аутентификации на основе пароля.
Как работает WebAuthn
В WebAuthn есть три участника:
фронтенд сайта;
веб-сервер;
аутентификатор.
Сначала пользователь должен зарегистрировать аутентификатор на сайте — после первого входа в систему или во время создания учетной записи. Для этого веб-сайт сначала получает вызов от сервера, а затем вызывает navigator.credentials.create. В этот момент в браузере отображается диалоговое окно WebAuthn и аутентификатор предлагает пользователю буквально нажать на ключ.
Аутентификатор генерирует уникальную пару открытых ключей для пользователя, чтобы доказать, что он владеет устройством. Это также гарантирует, что если пользователь попадет на фишинговый сайт, учетная запись будет недоступна.
Затем аутентификатор подписывает вызов и учетные данные возвращаются на сервер. Сервер проверяет полученные данные и, наконец, сохраняет открытый ключ и идентификатор учетной записи в учетной записи пользователя.
В следующий раз, когда сайту потребуется аутентифицировать пользователя, сайт получит вызов и список идентификаторов учетных данных, которые потенциально могут аутентифицировать пользователя, поскольку пользователь мог создать несколько учетных данных для этого сайта.
Когда веб-сайт вызывает navigator.credentials.get, пользователю снова предлагают нажать на ключ. Когда он это делает, аутентификатор подписывает вызов и возвращает подпись. Наконец, сервер проверяет подпись с помощью открытого ключа. Пользователь успешно прошел аутентификацию.
Альтернатива ключам
Ключи безопасности — отличный выбор для учетных записей с высоким уровнем риска или в корпоративных условиях. Для обычных пользователей есть вариант проще — использовать Platform Authenticators, которые уже встроены в смартфоны и компьютеры. То есть датчики отпечатков пальцев и камеры с функцией распознавания лиц.
Чтобы использовать Platform Authenticator с WebAuthn, нужно прописать это в коде (authenticatorAttachment: ‘platform’, userVerification: ‘required’). В остальном схема работы будет такая же.
При работе с Platform Authenticators нужно учитывать две их особенности:
В текущей реализации FIDO для аутентификации пользователя необходим список идентификаторов учетных данных. То есть нужно попросить пользователя предоставить его имя пользователя перед аутентификацией.
Поскольку Platform Authenticators встроены в устройство, их можно использовать только на одном устройстве.
Вот какие решения этих проблем предлагает Google:
#1 Решение проблемы с именем пользователя
Использовать обнаруживаемые учетные данные (Discoverable Credentials). В таком случае пользователи выбирают учетную запись, предоставляемую операционной системой устройства, и проходят локальную аутентификацию для входа в систему, минуя ввод имени пользователя.
В будущем вы также сможете создать быструю форму подписи, в которой будет всего одна кнопка, вызывающая WebAuthn. Эта функция уже поддерживается в Chrome и других браузерах, а в конце этого года появится и в Android.
Чтобы использовать обнаруживаемые учетные данные, передайте пустой объект allowCredentials при аутентификации.
Кроме того, поскольку сервер не может предсказать, какой аутентификатор будет использовать пользователь, необходимо передать все возможные идентификаторы учетных данных.
#2 Решение проблемы с одним устройством
Для этого есть одно слово — passkeys. Это аналог паролей, но только passkeys являются учетными данными FIDO. В Chrome они синхронизируются на всех устройствах Android-пользователя.
Например, если пользователь создает ключ доступа на веб-сайте на одном устройстве Android, этот же ключ доступен и на другом устройстве Android, при условии, что пользователь зашел через тот же аккаунт Google.
От веб-разработчиков не требуется никаких дополнительных действий для активации этой функции на WebAuthn.
Поскольку passkeys основаны на стандарте FIDO, другие платформы (например, Apple) уже разрабатывают аналогичные функции. Если же говорить о Windows, то, если пользователь хочет войти в систему с компьютера, он может это сделать. Для этого нужно отсканировать QR-код, выбрать учетную запись и пройти аутентификацию через телефон.
При этом авторизация по QR-коду требуется только один раз. В последующие входы пользователь может просто выбирать имя телефона из списка обнаруживаемых учетных данных.
Passkeys на Android будет доступен позже в 2022 году.
Как защитить сайт, работающий только с паролями
Резко убрать пароли не получится — разработка идет постепенно, возникают проблемы совместимости, могут быть пользователи, у которых нет подходящих устройств. Но полагаться только на пароль все же неразумно. Поэтому рекомендуется добавить еще один этап аутентификации.
Использование одноразового пароля
Самый надежный вариант — использовать аутентификатор FIDO. Альтернативный вариант — попросить пользователя ввести одноразовый пароль (OTP) и отправить его по SMS или e.....
Для оптимизации работы можно использовать WebOTP API в Chrome и автозаполнение одноразового кода в Safari. В этом случае нужно специально отформатировать SMS, чтобы OTP заполнялся автоматически.
Identity federation
Еще одним надежным вариантом аутентификации является identity federation. Он состоит из стандартных протоколов, таких как OpenID Connect, OAuth или SAML. При использовании identity federation доверяющая сторона (Relying Party, RP) может делегировать свой механизм аутентификации для входа пользователей в систему поставщику идентичностей (Identity Provider, IdP)
Например, многие из вас наверняка регистрировались на разных веб-сайтах через учетную запись Google. Именно так и работает identity federation.
Проблема этого способа в том, что IdP могут узнать, какие RP посещает пользователь. Поэтому Google сейчас работает над новым API для браузера с функцией identity federation — Federated Credential Management API (FedCM).
Вот как он будет работать.
Допустим, ваш сайт — это RP. Как только пользователь заходит на сайт, если он уже подписан в IdP, появляется диалоговое окошко. Нажав на кнопку «Продолжить как», пользователь создает федеративную учетную запись и входит на сайт под своей идентификацией, предоставленной IdP.
Поскольку браузер является посредником в общении между RP и IdP, состояние входа пользователя в систему и информация о его учетной записи IdP не сообщаются RP до тех пор, пока пользователь не согласится войти в систему. Аналогично то, с какого RP пользователь пытается войти в систему, тоже не сообщается IdP до тех пор, пока пользователь не согласится войти.
Anonymous повідомили про злам російського "Сбербанку"
Децентралізована хакерська група Anonymous, яка підтримує Україну з перших днів нападу, повідомила про успішну атаку на російський "Сбербанк". Про злам банку хакери повідомили у своєму твітері.Публікація хакерів у твітері швидко набуває популярності. У коментарях низка користувачів вітають групу з успішним зламом та висловлюють підтримку Україні. читать дальше
Anonymouse – це угруповання активістів та хактивістів, члени якої, як вважається, у переважній більшості не знайомі один з одним; походять з різних країн і не мають чіткої внутрішньої структури. Anonymous брали на себе відповідальність за низку масштабних мережевих атак.
Хакери не стали стояти осторонь боротьби України проти злочинів російських окупантів та роблять дуже вагомий внесок у боротьбі проти агресора у кіберпросторі.
Хакери зламують російські сервери та "кладуть" російські урядові вебсайти.
Успіхи хакерів Anonymouse
Раніше Anonymous зламали Петербурзький соціальний комерційний банк, який активно використовують російські олігархи. Хакери пообіцяли найближчим часом опублікують у відкритий доступ близько 800 гігабайтів даних з цього банку.
Також нещодавно хакери оприлюднили базу електронних листів російських відомств. Зокрема, там є 230 тисяч повідомлень від російського мінкульту.
Увечері 10 травня у твітері з'явилося повідомлення, з якого стало ясно, що об'єднання хакерів Anonymous, зламали російський відеохостинг RuTube.
Отримали доступ до системи відеоспостереження Кремля. Хакери показали кадри з камер відеоспостереження. Їм вдалося зламати систему безпеки та поспостерігати за тим, що діється у самому серці ворога. Вони також наголосили, що навіть товсті стіни не допоможуть агресору сховатись.
Також хакери Anonymous оприлюднили дані 120 тисяч російських військових, які воюють проти України та інше. Інформація про них швидко розлетілася мережами.
Хакери Anonymous зламали російську систему Qiwi та викрали дані 12,5 мільйонів карт клієнтів
ConsenSys создаст децентрализованную платформу для обслуживания клиентов
Компания ConsenSys в партнерстве с LivePerson запустит «первую в мире» децентрализованную платформу для обслуживания клиентов VillageDAO.Решение находится на стадии пилотных тестов. Первым клиентом VillageDAO станет Web3-кошелек MetaMask от ConsenSys. Согласно заявлению, пользователи приложения получат поддержку с помощью технологии виртуального собеседника на базе ИИ [Conversational AI] от LivePerson. Компании сотрудничают с 2021 года. читать дальше
Предполагается, что децентрализованная платформа расширит возможности брендов по привлечению участников сообщества к обслуживанию клиентов. VillageDAO предоставит для этого необходимую инфраструктуру и механизмы стимулирования.
«Мы стремимся реализовать принципы децентрализации во всех наших операциях, и обслуживание клиентов — в первую очередь. С помощью VillageDAO мы будем вознаграждать членов сообществ за помощь в повышении качества вовлеченности и обучения его участников во всем пространстве Web 3.0», — заявил вице-президент ConsenSys Дрор Авиели.
Партнеры призвали компании присоединяться к платформе. Регистрация позволит брендам запросить для опытных пользователей статус эксперта для оказания поддержки в сообществе через новый сервис.
Индивидуальные пользователи также получат возможность участвовать в VillageDAO в качестве специалистов.
Создателем нашумевших троянов Jigsaw и Thanos оказался кардиолог из Венесуэлы
Министерство юстиции США обвинило 55-летнего врача-кардиолога Мойзеса Луиса Загала Гонсалеса (Moises Luis Zagala Gonzalez) из Венесуэлы в создании вирусов-вымогателей Jigsaw и Thanos, получивших широкое распространение несколько лет назад. Американские власти считают, что он продавал и лицензировал шифровальщики хакерам, получал в качестве гонорара часть выкупа от жертв киберпреступников, а также предлагал услуги по техподдержке вредоносного ПО и обучению работе с ним. читать дальше
«Многозадачный врач, лечив пациентов, попутно создал и назвал свой киберинструмент в честь смерти, а также зарабатывал на глобальной экосистеме программ-вымогателей, в которой продавал инструменты для проведения атак программ-вымогателей, обучал злоумышленников тому, как вымогать деньги у жертв, а затем хвастался успешными атаками, в том числе со стороны злоумышленников, связанных с правительством Ирана», — говорится в заявлении прокурора США Брион Пис (Breon Peace).
В киберпреступном сообществе Гонсалес известен под псевдонимами Nosophoros, Aesculapius и Nebuchadnezzar. Первым его творением стал вредонос Jigsaw, активность которого не фиксируется с осени 2021 года. Это инструмент использовался злоумышленниками не часто, в том числе потому, что для него был создан бесплатный инструмент дешифровки. По данным Минюста США, на основе первой версии вымогателя был создан вредонос Jigsaw 2.0 с встроенным счётчиком «судного дня» (Doomsday counter), который отслеживал, сколько раз жертва пыталась избавиться от вредоноса. «Если пользователь слишком много раз уничтожает программу-вымогатель, то ясно, что он не будет платить, поэтому лучше стереть весь жёсткий диск», — говорится в описании вредоноса.
В 2019 году Гонсалес создал новый продукт под названием Thanos, предположительно названный в честь злодея из вселенной Marvel, который уничтожил половину всего живого во Вселенной. При этом в основе имени Thanos стоит Танатос, олицетворение смерти в греческой мифологии. Новое творение Гонсалеса представляло собой конструктор по созданию вымогательского ПО. Он мог использоваться хакерами для создания собственных вредоносов и распространялся по модели «вымогатель как услуга, RaaS».
По данным американских властей, Гонсалес создал схему монетизации своих вредоносов, предлагая всем заинтересованным сторонам два способа получить доступ к продуктам. Первый вариант предполагал покупку лицензии на использование Thanos по цене от $500. Второй вариант назывался «партнёрской программой» в рамках которой, хакеры передавали Гонсалесу часть средств, полученных при проведении вредоносных кампаний с использованием Thanos.
Американские власти пытались выйти на след Гонсалеса с начала 2020 года. Расследование шло в течение двух лет и в конечном счёте удалось вычислить родственника хакера, проживающего в США, и чей счёт Гонсалес использовал для получения незаконных доходов. Он и помог правоохранителям установить личность разработчика Thanos. Сейчас Гонсалесу грозит до 10 лет тюремного заключения.
WhatsApp позволит видеть прежних участников групп и уходить из них без уведомления остальных пользователей
Согласно пока не подтверждённым официально данным, команда мессенджера WhatsApp работает над функцией, которая в будущем позволит участникам групп ознакомиться со списком покинувших эти группы в прошлом. Вероятно, будет предложена и другая функция — незаметно покидать группы без публикации уведомлений в общем чате. читать дальше
известного точными инсайдами о новых, в том числе тестовых версиях мессенджера, функция имеется в версии v2.22.12.4 для Android, доступной участникам программы тестирования Google Play Beta, но пока ей не могут воспользоваться обычные тестировщики.
Сообщается, что в этой версии ПО, работа над которой продолжается, имеется недоступная пока возможность — опция «Просмотреть прошлых участников» (View Past Participants), которая отображается в конце общего списка участников группы. При этом инсайдеры сообщают, что имеющие соответствующий уровень доступа могут видеть бывших пользователей — такая возможность есть не только у администраторов. Впрочем, всё может измениться до того, как функция станет доступна бета-тестерам или всем желающим.
Кроме того, новая возможность появится у тех, кто желает покинуть одну из групп, но по каким-то причинам не желает это афишировать. В бета-версии WhatsApp Desktop недавно появилась соответствующая функция (тоже пока недоступная бета-тестерам). Единственными, кто будет знать об уходе из группы, будет сам пользователь и администраторы. Пока общее уведомление в чате появляется каждый раз, как кто-то покидает группу.
VK анонсировала запуск 25 мая бета-версии российского магазина Android-приложений RuStore
Компания VK планирует запустить собственный магазин приложений RuStore для ОС Android 25 мая. Какие сервисы будут доступны на запуске, не уточняется. На данный момент стоит задача сделать магазин удобным для разработчиков, чтобы привлечь их, в том числе понятной и прозрачной коммуникацией. читать дальше
По словам Кириенко, магазин будет работать в бета-режиме. Какие функции в нём будут доступны, пока неясно, но летом разработчики планируют добавить в него рейтинговую систему, push-уведомления и привязку платёжных систем. На данный момент в маркетплейсе есть более 100 приложений. Компания выбирала наиболее востребованные сервисы. Про платные приложения пока не говорят, равно как и позже объявят детали о размере комиссии для разработчиков. Но известно, что она будет меньше 15 %.
Ранее премьер-министр России Михаил Мишустин поручил Минцифры разработать аналог Google Play и App Store. Он уточнил, что иностранные платформы могут ограничить возможность скачивания приложений для российских пользователей. При этом RuStore открыт не только для российских, но и для зарубежных разработчиков.
В разговоре с «И........ом» представители Минцифры заявили, что главным разработчиков крупнейшего отечественного магазина приложений, который получил название RuStore, является VK. Его создают в партнёрстве с отечественными IT-компаниями и при поддержке ведомства. Глава регулятора Максут Шадаев уточнил, что для реализации данного проекта не используются бюджетные средства. Партнёром для модерации приложений и защиты от киберугроз стал Kaspersky.
Как отметил глава VK Владимир Кириенко: «Приложение разрабатывалось "с нуля". У нас нет иллюзий, что в короткий срок можно создать магазин, обладающий полностью всеми функциями. Мы в начале пути. Благодаря поддержке отрасли и Минцифры нам удалось в короткие сроки подготовить запуск и обеспечить достаточное разнообразие, но нам предстоит большой объём инвестиций».
VK Видео» станет отдельным приложением в этом году
Компания VK планирует запустить свою платформу «VK Видео» в виде отдельного приложения. Сервис запустят до конца года, и он будет развиваться по модели YouTube. читать дальше
«До конца года планируем запустить платформу «ВК Видео» как отдельное приложение. Мы здесь действительно двигаемся к модели, близкой к YouTube», — сообщил господин Кириенко в ходе Российского интернет-форума. Он также добавил, что в перспективе VK планирует увеличить разнообразие контента, в том числе за счёт партнёрства с крупными самостоятельными сервисами, которые могут использоваться в рамках социальной сети «.........».
Напомним, ранее в виде отдельного приложения был запущен сервис обмена сообщениями «VK Мессенджер», позволяющий общаться пользователям самой платформы, а также вести беседы с контактами из телефонной книги. На момент запуска пользователям доступна возможность организации групповых чатов на более чем 1000 человек, а также функции аудио- и видеозвонков, исчезающие сообщения, возможность отправки фото, аудио, видео и др.
Кроме того, VK запустила отдельное приложение «VK Клипы», предназначенное для просмотра, съёмки и редактирования вертикальных видеороликов. Сервис поддерживает обработку видео с разрешением формата Full HD, частотой 60 кадров в секунду и максимальной продолжительностью до 180 секунд.
С взломом российских ТВ-каналов Anonymous помогли украинские спецслужбы
Кибератака против российских телевизионных каналов, благодаря которой парад на Красной площади 9 мая смогли увидеть далеко не все телезрители, была осуществлена группировкой Anonymous совместно с одной из украинских спецслужб. Об этом стало известно от советника руководителя МВД А. Геращенко. читать дальше
Подробности
По словам чиновника, в атаке на российские ТВ-каналы участвовали специалисты одной из двух украинских спецслужб. Эта специальная служба сотрудничает с Anonymous. Инициаторам атаки удалось взломать IT-системы региональных ТВ-каналов. В результате телезрителям был показан прошлогодний парад с совершенно другой озвучкой. Геращенко подчеркнул, что трансляция прошлогоднего парада на взломанных телеканалах велась с «проукраинской пропагандой».
В качестве примера одной из наиболее успешных кибератак на Российскую Федерацию советник главы МВД привел вывод из строя видеоплатформы Rutube. Она была взломана в преддверии 9 Мая. Восстановить работоспособность российского аналога YouTube удалось лишь через три дня. Геращенко назвал украинских IT-специалистов «самыми крутыми в мире».
Русские хакеры Killnet объявили кибервойну 10 странам: почему у них ничего не выйдет
Злоумышленники из РФ не справятся с превосходящими силами "противников" — киберспециалистами из США, Великобритании и НАТО.Российская хакерская группировка Killnet объявила кибервойну правительствам 10 стран, которые поддерживают украинцев. читать дальше
Хакеры заявили, что начнут совершать атаки против США, Великобритании, Литвы, Латвии, Эстонии, Румынии, Германии, Польши, Италии и Украины. По их словам, они изучали инфраструктуру государств этих стран в течение двух месяцев и теперь готовы действовать.
"Правительство этих стран будет ликвидировано. Все хакерские группировки, которые идут против нас, российский спецназ-легион совместно с Killnet придет за вами на рассвете", — отметила группа в своем видеообращении (орфография сохранена, — ред.).
Специалист по кибербезопасности Константин Корсун на своей странице в фacebook предположил: хакеры из РФ не смогут реализовать свои угрозы. Он напомнил, что Killnet до вторжения была никому неизвестной группой, а теперь все ее достижения заключаются в DDoS-атаках правительственных сайтов Италии и неудачной попытке сорвать трансляцию Евровидения.
Корсун пояснил, что в реальности Killnet предстоит столкнуться с командованием кибервойск США ARCYBER, которое располагает многомиллиардным бюджетом, 16 тысячами высококвалифицированных сотрудников, самыми современными технологиями, поддержкой других правительственных ведомств и IT-компаний. В Великобритании противниками Killnet будут Национальные киберсилы и Центр правительственной связи, на которые в 2021 году суммарно выделили 5,3 млрд фунтов стерлингов, а в Эстонии придется повоевать с киберцентром НАТО CCDCOE.
"Против Украины кибервойна не прекращалась с 2014 года, поэтому бутафорские угрозы здесь точно никого не испугают", — заявил Константин Корсун. — "Возможность выполнить обещанное выглядит примерно, как если бы сантехник из какого-то Омска угрожал бы убить Президента США".
В своем ........-канале хакеры отрицают атаку на Евровидение, но хвастают тем, что взломали сайт итальянской полиции. Позже службе кибербезопасности якобы удалось поставить "гео блок", в результате чего онлайн-ресурс не работает за пределами Италии. По состоянию на 18 мая сайт полиции не открывается пользователям в Украине.
Ранее стало известно, какие хакеры сражаются за Украину и за РФ в кибервойне. Украинцев поддерживают многие хактивисты из Польши, Грузии, Румынии, Турции и других стран, а на стороне россиян выступают лишь они сами и белорусы. Всего аналитики насчитали 46 проукраинских и 26 пророссийских группировки.
Писали также, как китайские хакеры атаковали Украину после вторжения России. Они рассылали сотрудникам госорганов письма с вредоносной программой для кражи данных с компьютеров.
Китайские хакеры атакуют авиационно-космические предприятия РФ
Недавно обнаруженная группировка как минимум с 2019 года "ломает" компании, подконтрольные Дмитрию Рогозину.Экспертный центр безопасности Positive Technologies в России обнаружил следы деятельности ранее неизвестной хакерской группировки,Отмечается, что у хакерской группы обнаружены китайские корни. Группировка получила название Space Pirates ("Космические пираты") из-за строки "P1Rat" в используемом ею коде, а также в связи с тем, что ее целью были объекты авиационно-космической отрасли. читать дальше
Группа Space Pirates наносила кибератаки предприятиям российской и грузинской аэрокосмической и электроэнергетической отрасли. Российские эксперты отмечают, что впервые группировка проявила себя, как минимум, в 2017 году, а первая крупная атака была зафиксирована в конце 2019 года, но тогда киберпреступников не идентифицировали, как Space Pirates.
Группа имеет китайские корни. Такой вывод был сделан потому, что киберпреступники используют китайский язык и инструменты, которые популярны среди азиатского сообщества хакеров.
Специалисты Positive Technologies сообщают, что под атакой хакеров могли оказаться еще четыре российские компании, а две попытки Space Pirates в России увенчались успехом.
Напомним, 12 мая разработчики Rutube пожаловалась в полицию на хакеров, взломавших их сайт. В тот же день они заявили о частичном возобновлении работы видеохостинга — некоторые ролики уже можно посмотреть, но публикация контента была недоступна.
Сбербанк внесли в список ИТ-компаний Минцифры после получения государственной аккредитации организации, осуществляющей деятельность в области информационных технологий. О присвоении Сбербанку 25 апреля статуса аккредитованной ИТ-компании России читать дальше
До этого в реестр аккредитованных ИТ-компаний России были внесены «дочки» «Сбера»: «Сбербанк Технологии», «Центр недвижимости от Сбербанка», «Сбербанк Сервис», «Сбербанк Факторинг», «Сбербанк — автоматизированная система торгов», «Сбербанк-телеком» (сотовый оператор «СберМобайл») и «Сбербанк Лизинг».
Право на получение госаккредитации ИТ-компании имеют российские организации, занятые в сфере разработки компьютерных программ и баз данных, а также оказывающие услуги по разработке, адаптации, модификации софта, баз данных и т.д.
Статус ИТ-компании даёт право на ряд льгот, включая пониженный процент страховых взносов — 7,6 % вместо 14 %, уменьшенную ставку налога на прибыль — 3 % вместо 20 % (в случае, если менее 90 % доходов компании поступает от разработки софта и баз данных). Принятый осенью 2021 года пакет льгот для ИТ включает 62 предложения для поддержки экспорта российских ИТ-продуктов, привлечения высококвалифицированных кадров и др. А в марте этого года был принят третий пакет, который включает нулевую ставку налога на прибыль до конца 2024 года, льготные кредиты для компаний, льготную ипотеку для ИТ-специалистов, отсрочку от призыва на военную службу и т. д.
По словам источника ..., близкого к правительству, Сбербанк после внесения в реестр из всех льгот сможет претендовать только на получение его айтишниками отсрочки от армии, так как являясь кредитной организацией, он не соответствует критериям по уровню доходов от разработки софта и баз данных.
На платформе TikTok появятся игры — во Вьетнаме уже проводится тестирование
TikTok приступила к тестированию новых функций платформы — вьетнамские пользователи смогут играть в приложении в игры, сообщает агентство ....... со ссылкой на собственные источники. Игры позволят платформе увеличить доходы от рекламы и время, которое пользователи проводят в приложении — даже с учётом сегодняшних 1 млрд посетителей в месяц. читать дальше
ьетнам является наиболее привлекательным «полигоном» для тестирования новых функций социальных платформ: возраст 70 % населения составляет менее 35 лет, при этом в стране отмечается высокий уровень технической грамотности. Поэтому многие свои новинки здесь испытывает не только TikTok, но также ........* и YouTube. А в III квартале сервис коротких видео планирует расширить программу тестирования и на другие страны Южной Азии.
Официального подтверждения планов не последовало, хотя представитель TikTok и сообщил, что компания начала тестировать размещение на платформе мини-игр формата HTML5, что стало возможным благодаря совместной работе с разработчиками и студиями, включая Zynga. Впрочем, утверждают два источника ......., TikTok собирается сконцентрироваться на играх разработки ByteDance. На первых порах это будут мини-игры с простыми механизмами и непродолжительным геймплеем, однако планы компании более масштабны. А во Вьетнаме платформе потребуется лицензия — в стране действуют ограничительные нормы, препятствующие распространению азартных игр, а также контенту, содержащему насилие и секс.
По словам другого источника, игры на платформе TikTok с самого начала будут идти с рекламой, выручка с которой будет делиться между платформой и разработчиками. Интерес сервиса к игровой индустрии согласуется с аналогичными программами других непрофильных крупных игроков: ещё в 2016 году на ........* появилась платформа Instant Games, а совсем недавно в отрасль пришел стриминговый гигант Netflix. В прошлом году владеющая TikTok компания ByteDance поглотила шанхайскую игровую студию Moonton, а также пекинскую C4games.
* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».
В России предложен законопроект о введении понятия NFT-токенов
Депутаты фракции «Новые люди» Владислав Даванков и Антон Ткачев внесли в Государственную Думу законопроект, которым предлагается ввести понятие «NFT-токены» в российское законодательство. читать дальше
Напомним, NFT — это невзаимозаменяемые токены, которые используются для подтверждения факта владения цифровыми активами и права их использования. Это могут быть, скажем, произведения компьютерного искусства, коллекционные цифровые предметы и пр.
«Нужно защитить права владельцев NFT. Сейчас в правовом поле в России этого понятия вообще нет, а сделки с NFT-токенами люди продолжают совершать на свой страх и риск. С криптовалютами дело сдвинулось с мёртвой точки, но NFT — это не цифровая валюта, а цифровой сертификат на право собственности, то есть объект интеллектуальной собственности, поэтому мы и предлагаем регулировать NFT как интеллектуальную собственность»
В соответствии с документом NFT-токены предлагается признать как невзаимозаменяемые токены уникального цифрового актива (изображений, видео или другого цифрового контента или актива) в виде невзаимозаменяемых данных, хранящихся в системе распределённого реестра (системе блокчейн).
Фонд Wikimedia Foundation внесён в список на «приземление» в России
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) внесла некоммерческую благотворительную организацию Wikimedia Foundation в перечень компаний, которые обязаны открыть в России своё представительство и выполнить ряд требований закона о «приземлении». читать дальше
запись о соответствующем решении появилась в реестре Роскомнадзора. В графе информации об иностранных ресурсах указаны сайты www.wikipedia.org; wikipedia.org; ru.wikipedia.org.
В соответствии с требованиями, фонд Wikimedia Foundation обязан разместить на информационных ресурсах электронную форму; создать филиал, открыть представительство или учредить российское юридическое лицо; зарегистрировать личный кабинет на официальном сайте Роскомнадзора.
Закон о «приземлении» иностранных IT-компаний вступил в силу с 1 января. Согласно ему компании с суточной аудиторией более чем 500 тыс. российских пользователей должны открывать в стране представительство.
Пока, как отмечается, фонд Wikimedia Foundation не выполнил ни одного из требований закона.
Минцифры готовится ввести оборотные штрафы в размере 1 % за утечки данных и ещё больше — за сокрытие инцидентов
До конца текущего года российские власти могут ввести оборотные штрафы для бизнеса за утечки персональных данных в размере 1 % от годового оборота. При этом неуведомление об утечке может повлечь гораздо более суровое наказание. читать дальше
департамента обеспечения кибербезопасности Минцифры России Владимира Бенгина, выступавшего на форуме по практической безопасности Positive Hack Days, у министерства имеются предложения, которые хочется внедрить «буквально завтра».
«Мы хотим ввести оборотные штрафы <...> в ближайшей перспективе, до конца этого года. <...> Наше мнение, что штраф должен быть очень большой, <...> 1% от годового оборота [компаний]», — заявил представитель министерства.
Он добавил, что Минцифры готовит не менее важное изменение в законодательство — федеральный закон, согласно которому организации будут обязаны уведомлять об утечке персональных данных. Если компания не уведомит об инциденте, «штраф должен быть гораздо больше, чем штраф только за утечку». Бенгин отметил, что утечки очень сложно скрыть. Об этом косвенно свидетельствует недавнее пополнение нелегальной базы, в которой имеются данные из известных в России компаний и сервисов.
В прошлом месяце о намерении ввести чувствительные оборотные штрафы за утечки персональных данных сообщал сам руководитель Минцифры Максут Шадаев.
Samsung представит собственное решение для защиты от голосового фишинга
Компания Samsung Electronics представит решение, блокирующее установку вредоносных приложений для т. н. голосового фишинга (вишинга) на смартфонах. Известно, что оно будет применяться как минимум на моделях текущего и прошлого флагманских поколений. читать дальше
южнокорейское издание Business Korea, вчера компания анонсировала новое решение в сфере безопасности для смартфонов флагманских серий Galaxy S21 и S22, которое станет доступным в первой половине текущего года. Оно будет уведомлять пользователей, распознавая вредоносные приложения, устанавливаемые в обход официального маркетплейса.
По словам представителя Samsung Electronics, система «блокирует установку приложений с подтверждённой историей голосового фишинга и демонстрирует предупреждение или всплывающее уведомление о блокировке, когда устанавливается приложение из неизвестного источника».
Пользователи смогут увидеть список не идентифицированных приложений и назначить разрешения и запреты для каждого из них. После применения нового инструмента, если пользователь выберет «запретить все установки из неизвестных источников», их установка будет заблокирована.
Samsung планирует постепенно внедрять решения для всех смартфонов Galaxy с оболочкой One UI 4.1 или новее, сначала в Корее.
«Ростелеком» проложил ВОЛС вблизи Северного полярного круга
Компания «Ростелеком» сообщила о завершении строительства новой волоконно-оптической линии связи (ВОЛС) вблизи Северного полярного круга. Речь идёт о магистрали Усинск — Харьяга в труднодоступном районе Республики Коми. читать дальше
Линия имеет протяжённость 196 км. Она соединила Головные сооружения (центральный пункт сбора и подготовки сырья нефтедобывающих компаний) и Харьягинское нефтяное месторождение. Отмечается, что оптоволоконный кабель прокладывали по сложному ландшафту в тяжёлых климатических условиях Крайнего Севера: болота, вечная мерзлота и резкие перепады температур.
«Для преодоления топких участков тракторам и кабелеукладчику приходилось двигаться без остановки, чтобы техника не увязла в трясине. В целях безопасности кабель прокладывали сцепом тракторов, соединённых тросом. Из-за трудных условий работы техники понадобилось значительно больше, чем обычно применяется для подобных работ », — отмечает «Ростелеком».
Новая линия связи поможет в развитии телекоммуникационной инфраструктуры нефтяной отрасли. Уже сейчас скорость передачи данных на месторождениях «ЛУКОЙЛ-Коми» от Усинска до Харьяги возросла до 10 Гбит/с — и это не предел. Решается также вопрос о прокладке магистрали дальше на северо-восток в сторону Варандея, где на берегу Ледовитого океана находится нефтеотгрузочный терминал.
YouTube добавил новую функцию, которая поможет пропускать неинтересные отрывки видео
Над индикатором воспроизведения теперь будет отображаться график, на котором будет видно, какая часть ролика проигрывалась чаще всего, а какую пользователи предпочли пропустить. До сих пор функция была доступна только владельцам Premium-подписки, однако теперь ею смогут воспользоваться все желающие.Это будет удобно при просмотре длинных видео, которые не разбиты на временные метки. Например, если только одна из его частей стала "вирусной". Кроме того, эта функция поможет выбрать самые полезные части обучающих видео, если у вас нет времени смотреть их целиком.
Rutube так і не відновився цілком після кібератаки 9 травня
Сервіс для розміщення відеозаписів російської пропаганди Rutube так і не зміг відновитися за 10 днів після кібератаки на День Перемоги. читать дальше
ослівно: "Наразі Rutube ще перебуває на стадії відновлення. Ми поступово відкриваємо до функцій платформи з міркувань безпеки".
Деталі: Точну дату відновлення хостингу не назвали.
Російські пропагандисти пояснили, що зараз відновлюють функції прямих трансляцій. Через кібератаку на сайті не всі сторінки, які курують у Кремлі, могли вести прямі трансляції одночасно.
Раніше керівництво сервісу планувало відновити роботу повністю до 16 травня, але не спромоглися.
Станом на вечір 19 травня, сайт Rutube відкривався, але працював з перебоями.
Передісторія:
9 травня хакери зламали Rutube, знищивши програмний код. Крім того, на російському телебаченні хакери зламали написи до телеканалів, написавши "Росіяни, на ваших руках кров тисячі українців".
10 травня на сайті Rutube оприлюднили звернення до міністра цифрової трансформації України Михайла Федорова українською мовою. У ньому вони запропонували передати управління сайтом до українського уряду.
Названа головна причина популярності TikTok серед українців
Спочатку основною аудиторією TikTok була молодь, але зараз сервісом коротких відео користуються українці різного віку. TikTok вистрілив виключно через свою ємність – у коротке відео потрібно було вмістити максимум інформації. У TikTok є не лише розважальний контент, а й корисний. Практично на будь-яку тему, починаючи від саду та городу, і закінчуючи порадами з будівництва.Формат коротких відео зручний тим, що користувач не витрачає час на перегляд заставок та сюжетів, які блогери вставляють для збільшення довжини ролика заради монетизації.
В сети Litecoin активируют обновление MimbleWimble
В пятницу, 20 мая, примерно в 06:30 (Киев/МСК) в основной сети Litecoin активируют обновление MimbleWimble Extension Block (MWEB). Об этом рассказал создатель проекта Чарли Ли. читать дальше
MimbleWimble — это протокол с возможностями широкого масштабирования и повышенной приватности. Он использует несколько технологий, включая конфиденциальные транзакции и CoinJoin, которая скрывает входы и выходы отправителей и получателей, а также объединяет множество транзакций в одну.
Напомним, разработчики Litecoin заявили о готовности MWEB в феврале 2022 года. В марте они развернули в тестовой сети новую версию клиента Litecoin Core 0.21.2, которая включает обновления MWEB и Taproot.
Подписывайтесь на новости ForkLog в ........: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости, инфографика и мнения.
С 25 мая WhatsApp станет платным?
На сегодняшний день мессенджер WhatsApp является наиболее распространенной в мире платформой для обмена текстовыми и голосовыми сообщениями, а также контентом. За прошедший год разработчики попытались максимально приблизить функционал приложения к таким сервисам, как Zoom и Skype. читать дальше
Однако в последней версии мессенджера для устройств на базе Android, iOS, macOS, Windows и Linux добавлены новые возможности, из-за которых абонентам, возможно, придется перейти на платную подписку. В компании сообщили, что опция подписки не будет обязательной. Тем не менее для использования всех услуг сервиса нужно будет оформить один из трех тарифных планов — на один, три и двенадцать месяцев, стоимость которых пока что не озвучивается.
Уже сейчас известно, что WhatsApp Premium аккаунт позволит использовать мессенджер, привязанный к одному номеру телефона, на разных устройствах. Вся история переписки и другие данные будут синхронизироваться за счет серверов WhatsApp, поэтому вне зависимости от того, с какого телефона раньше осуществлялось общение, можно будет продолжать общаться дальше, делая это максимально легко и просто.
Новая платная подписка должна заработать уже 25 мая. Компания разошлет пользователям соответствующее уведомление с описанием подробностей тарифов и условиями подключения.
Мы ранее сообщали, что среди пользователей глобальной сети особой популярностью пользуются различные сервисы, скрывающие геолокацию и реальный IP-адрес устройства, функционирующие по принципу VPN. Однако с их помощью не всегда можно утаить свою реальную личность.
Роскомнагляд заблокував сайт ZMINA
Відповідне рішення Генпрокуратура Росії прийняла 27 квітня. Перші блокування відбулись цього ж дня, йдеться в публікації ZMINA. На території тимчасово окупованого Криму доступу до сайту теж немає. читать дальше
редакції видання наголошують, що не отримували жодних попереджень чи повідомлень від Роскомнагляду з приводу блокування, тож через які саме публікації заборонили сайт, невідомо.
Довідалися про блокування журналісти після того, як почала зменшуватись аудиторія з Росії та окупованих територій.
ZMINA публікує статті та новини, пов’язані із дотриманням прав людини, інструкції та поради у правовій сфері, зокрема для мешканців окупованих територій. З початком повномасштабного вторгнення Росії в Україну публікації фокусуються також на міжнародних, зокрема воєнних, злочинах, які скоюють російські військові та керівництво РФ.
«У березні ми запустили російськомовний переклад нашого контенту. Адже відомо, що правдиву інформацію про війну, зокрема про колосальну кількість порушень прав людини з боку Росії, не можуть давати ні російські медіа, ні ресурси на окупованих територіях. За два місяці війни кількість відвідувачів нашого сайту з території Росії зросла у понад 4 рази. Здебільшого читали контент зі свідченнями російських полонених та інформацію про те, як знайти загиблих в Україні російських військових», – розповіла головна редакторка сайту Ольга Падірякова.
Нагадаємо, від початку повномасштабної війни Росія регулярно блокує українські сайти, а також міжнародні медіа, що об’єктивно подають тему російської агресії.
Так, з 17 березня Роскомнагляд блокує онлайн-журнал «Свої.city», який пише про те, як війна позначилася на житті українців.
З 17 квітня недоступний в Росії сайт Інституту масової інформації.та ще понад 24 сайти, серед яких Human Rights Watch, а також медіа Dev.ua, «Апостроф», «......», «Громадське радіо», «Газета.ua», «Сегодня», MigNews.
У травні Вікіпедія повідомила, що Роскомнагляд вимагає видалити статті англійською мовою про війну в Україні та «рашизм» – «2022 Russian invasion of Ukraine» та «Rashism».
Інтернет-корпорація ICANN виділила $1 мільйон на підтримку українських доменів
"Інтернет-корпорація ICANN виділила Україні 1 млн доларів на підтримку стабільного функціонування української доменної системи. Її безперебійна робота — критично важлива складова роботи інтернету", - написав Федоров.Він зазначив, що з моменту російського вторгнення доменна система України піддалася масованим кібератакам і для забезпечення її безперебійної роботи потрібні інвестиції у систему захисту. Домовленості про підтримку вдалося досягти завдяки співпраці команди Мінцифри, правління ICANN та українських стейкхолдерів доменної індустрії."Ми продовжуємо підтримувати стабільну роботу інтернету в умовах збройної агресії. Дякую за взаємодію командам інтернет-провайдерів, адміністраторів та реєстраторів доменів", - зазначив Федоров.
Министерство юстиции США освободило «белых» хакеров от ответственности
Министерство юстиции США опубликовало документ, разъясняющий, что деяния, подпадающие под действие закона «О компьютерном мошенничестве и злоупотреблениях» (Computer Fraud and Abuse Act, CFAA), принятого ещё в 1984 году и обновлённого в 1986-м, не должны повлечь за собой уголовное преследование, если они совершены для «добросовестных исследований в области IT-безопасности». читать дальше
На момент принятия и корректировки закона специалистов по кибербезопасности просто не существовало. Кроме того, старые определения допускали такое широкое толкование, что уголовному преследованию мог подвергнуться любой, включая офисных сотрудников, проверяющих личную почту на рабочем месте.
Согласно документу министерства, добросовестными исследованиями в сфере IT-безопасности считаются факты использования компьютера «исключительно для тестирования, расследования и/или исправления проблем систем безопасности или поиска уязвимостей, если подобная деятельность проводится в форме, не допускающей вреда отдельным лицам или общественности», а полученная информация используется для защиты «устройств, машин или онлайн-сервисов». В документе упоминается, что министерство не заинтересовано в преследовании добросовестных исследователей, так называемых «белых» хакеров, выявляющих уязвимости ради всеобщего блага.
До недавних пор, согласно CFAA, любой, пытавшийся получить доступ к файлам, компьютерам, вычислительным системам и даже чужим сайтам, мог стать объектом для преследования правоохранительными органами США даже при наличии законного доступа к системе. Впрочем, «добросовестное исследование в сфере безопасности» — тоже довольно расплывчатый термин, хотя эксперты признают, что он несколько лучше старых определений, предусмотренных законом.
Верховный суд США постановил большинством голосов, что указанный в законе термин «злоупотребление авторизованным доступом» — слишком расплывчатое определение, и оно не должно касаться случаев несанкционированного использования систем, к которым граждане имеют легальный доступ, поскольку из-за этого уголовная ответственность предусмотрена для огромного количества ежедневных действий пользователей с компьютерами.
В качестве примера были приведены случаи «приукрашивания» профилей пользователей в приложениях для знакомств, создание недостоверных аккаунтов при устройстве на работу или поиске жилья для аренды, использование псевдонимов на сайтах, политика которых запрещает их использование, проверка результатов спортивных матчей на работе или, например, оплата счетов с рабочего компьютера — формально все эти действия могут расцениваться законом как федеральное преступление.
Согласно заявлению Министерства юстиции, теперь его ресурсы будут концентрироваться на случаях, когда подсудимый не был авторизован для использования компьютера вообще или имел легальный доступ лишь к одному из его сервисов, например, электронной почте, а вместо этого разыскивал в памяти машины материалы, не имеющие к пользователю никакого отношения, например, письма других пользователей. С текстом документа можно ознакомиться на сайте Министерства юстиции США.
«Росатом» намерен к концу 2024 года полностью перейти на российское ПО
Государственная корпорация по атомной энергии «Росатом», объединяющая более 400 предприятий атомной отрасли, планирует в течение ближайших лет полностью перевести свою компьютерную инфраструктуру на отечественное программное обеспечение (ПО). Речь, в частности, идёт об использовании операционной системы Astra Linux. читать дальше
На российское ПО перейдёт вся экосистема «Росатома». Сейчас, российский софт используется на 80 тыс. рабочих мест в госкорпорации. Отмечается, что уже сейчас «Росатом» перевёл более половины своих рабочих мест на Astra Linux. К концу 2024 года планируется осуществить полное импортозамещение в сфере программного обеспечения.
«На конец 2024 года мы планируем… 100 % смигрировать в единое информационное пространство. Мы к этому стремимся. Это будет 120–130 тыс. рабочих мест», — сообщил начальник управления технической политики в IT «Росатома» во время конференции «Ъ» «Импортозамещение ПО: время возможностей». Кроме того, глава госкорпорации отметил, что, в целом, «Российские атомные технологии импортонезависимы. И мы здесь не видим никаких сдерживающих факторов».
В Delivery Club обнаружена утечка данных о заказах пользователей
Сервис доставки еды и продуктов, медикаментов, товаров для красоты и товаров для дома Delivery Club сообщил об утечке данных о совершённых некоторыми пользователями заказах. читать дальше
Похищенная информация включает только сведения о заказах и не затрагивает банковские реквизиты. В компании уже занимаются внутренним расследованием, обещая провести дополнительный аудит внутренних систем.
«В компании занимаются внутренним расследованием инцидента. Слив не затронул информацию о банковских реквизитах пользователей. Судя по всему, масштаб текущей утечки гораздо меньше, чем это было ранее с другим сервисом доставки», — отметили в Delivery Club.
Напомним, в начале марта стало известно об утечке информации из базы службы «.......Еда». Утечка не коснулась банковских, платёжных и регистрационных данных пользователей, то есть логинов и паролей. Тем не менее, более 30 клиентов службы обратились в суд, требуя каждый по 100 тыс. рублей в качестве компенсации.
В Роскомнадзоре предложили ввести уголовную ответственность за торговлю персональными данными
Роскомнадзор предложил внести уголовную ответственность для лиц, причастных к распространению утёкших персональных данных. Идею поддержали в думском комитете по информполитике, а эксперты сомневаются: большинство таких злоумышленников находится за границей, да и статьи Уголовного кодекса для таких преступлений уже есть. читать дальше
Предложение внёс замруководителя Роскомнадзора Милош Вагнер в ходе расширенного заседания Госдумы по информполитике. Как пояснили ...........у» в ведомстве, всплеск мошенничеств с личными данными россиян можно остановить только жестокими наказаниями для тех, кто формирует спрос на персональные данные граждан. Идею поддержал глава комитета Александр Хинштейн, добавив, что наказывать нужно и покупателей личной информации.
Группа российских парламентариев, включая Александра Хинштейна и сенатора Андрея Клишаса, 6 апреля внесла в Госдуму поправки в законодательство, предложив обязать операторов персональных данных подключаться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГоcСОПКА) и уведомлять органы власти о каждом инциденте с утечками персональных данных. В Минцифры предложили также ввести оборотные штрафы для допустивших такие утечки компаний.
Подобные инциденты действительно становятся проблемой: в конце февраля в Сеть утекла база клиентов «.......Еды», а недавно уже заблокированный Роскомнадзором сайт дополнился базами ГИБДД, СДЭК, ....., Wildberries, «Билайна», ВТБ и других источников — в организациях факты утечек отвергли. А «.......Еда» была оштрафована за инцидент на 60 тыс. руб.
Вадим Перевалов из Ассоциации юристов России напомнил, что уголовная ответственность за торговлю личными данными уже существует, и она предусмотрена двумя статьями УК РФ: ст. 272 («Неправомерный доступ к компьютерной информации») и ст. 273 («Создание, использование и распространение вредоносных компьютерных программ»). А преподаватель Moscow Digital School Олег Блинов посетовал, что в полиции и прокуратуре недостаточно квалифицированных кадров, и расследовать подобные дела в правоохранительных органах не очень любят. При этом ужесточение законодательной базы может привести к перегибам, если под запрет попадёт, например, передача данных рекламным платформам.
Наконец, Владимир Ожерельев из юридической фирмы DRC выразил уверенность, что большинство киберпреступников, промышляющих личной информацией граждан, находится вне досягаемости российского правосудия, а правоприменительная практика должна стимулировать российские компании ответственнее подходить к защите информации — сейчас размеры штрафов слишком низкие.
Статус безробітного через "Дію": хто та скільки грошей отримає
Українська влада виступила з роз'ясненням населенню щодо реєстрації безробітним через додаток "ДІЯ" .Для того, щоб скористатися послугою, необхідно зайти в програму, вибрати меню "Послуги" та пункт "Допомога з безробіття": на самому порталі - послуга з отримання статусу безробітного. Далі необхідно підтвердити, що Ви дійсно втратили роботу, а після підтвердження даних потрібно вибрати місто та центр зайнятості, в якому Ви хочете оформити статус безробітного.За необхідності потрібно залишити свої паспортні та контактні дані, вибрати періодичність отримання виплат та картку підтримки, на яку нараховуватиметься допомога. Якщо у Вас немає готівкової картки, у додатку можна буде оформити віртуальну.Після того, як працівники центру зайнятості опрацюють заявку, відповідний користувач отримає push-повідомлення. Сума виплат може становити від 650 до 9924 гривень на місяць.
Wormhole виплатила хакеру $ 10 млн за знайдену помилку в блокчейні
Крипто-міст виплатив 10 мільйонів доларів хакеру, який у лютому розкрив помилку в основному брідж-контракті Wormhole на Ethereum. Ця людина відома під псевдонімом satya0x. читать дальше
Wormhole оголосила про програму ще в лютому, незабаром після того, як хакер вивів майже 323 мільйони доларів в ETH в результаті одного з найбільших на сьогоднішній день експлойтів протоколу DeFi. Незабаром після цього зловмиснику запропонували 10 мільйонів доларів, якщо кошти буде повернено.
Запущена Wormhole програма пропонує винагороду залежно від того, наскільки серйозна загроза. Наприклад, помилка смарт-контракту «низького» рівня може принести комусь до 2500 доларів, а «критична» помилка може принести до 10 мільйонів доларів — рівно стільки, скільки було присуджено satya0x.
У заяві, поширеній криптоплатформою, satya0x сказав, що проблеми безпеки блокчейна є «екзистенційною загрозою» для майбутнього криптовалют. «Я пишаюся тим, що відіграв роль у усуненні цієї серйозної проблеми та системної загрози для екосистеми», — заявив satya0x.
Microsoft предупредила о распространении вируса XorDDoS под Linux
Как сообщила Microsoft, в последние полгода началось активное распространение вируса XorDDoS, предназначенного для Linux-систем. За 6 месяцев частота обнаружений вредоноса подскочила на 254 %. Как видно из названия, его основным предназначением является организация ботнета для DDoS-атак, однако вирус может также играть роль шлюза для загрузки дополнительных зловредов. читать дальше
В Microsoft обнаружили, что на некоторые заражённые XorDDoS машины впоследствии устанавливалось другое вредоносное ПО, в частности, Tsunami, который, в свою очередь, далее разворачивал криптомайнер XMRig. При этом XorDDoS напрямую не использовался для установки и распространения вторичных полезных нагрузок — он скорее играл роль пути для последующих атак.
Вирус XorDDoS, использующий для связи со своим сервером оператора XOR-шифрование, существует по меньшей мере с 2014 года. Своим долголетием он обязан способности относительно успешно скрываться от обнаружения антивирусами. Кроме того, он довольно неприхотлив — вирус заражает как системы на Arm-чипах (чаще всего оборудование Интернета вещей), так и серверы на x64-процессорах. А проникновение осуществляется методом брутфорса через SSH.
В Tвиттер обновился API — возможности сторонних приложений расширятся
Накануне сервис микроблогов T рассказал об обновлении, которое значительно улучшит работу сторонних приложений для её платформы — оно расширяет доступ к хронологической ленте пользователей. Компания выпустила интерфейс .API v2, таким образом платформа отреагировала на обращения разработчиков. читать дальше
Предыдущая версия API была запущена в 2012 году, и она явно устарела, а использующие её создатели сторонних клиентов были вынуждены мириться с существенными ограничениями при попытке получать данные из ленты — выстроенные в обратном хронологическом порядке твиты и ретвиты определённых пользователей, а также их подписки.
Суть изменений в том, что старая версия API v1.1 позволяла запрашивать ленты 15 раз за 15 минут и могла возвращать до 800 твитов. Обновлённая API v2 предусматривает до 180 обращений за те же 15 минут, а максимальное число твитов увеличивается до 3200. Это также существенно упрощает задачу для разработчиков, которые до настоящего момента были вынуждены комбинировать два интерфейса: запрашивать ленту через API v1.1, а затем создавать дополнительные запросы на характерные для API v2 данные, такие как опросы или статистика.
Развёртывание новой версии интерфейса в тестовом формате началось с 2020, а ушло в релиз в конце 2021 года, и администрация платформы всё это время стремилась донести до разработчиков мысль о том, что она старается загладить перед ними свою вину: в течение долгих лет она отдавала явное предпочтение своему официальному приложению и ограничивала возможности сторонних. Из условий обслуживания также были удалены требования, ограничивающие сторонние клиенты по числу пользователей.
–>
Ваша реклама может быть здесь... пишите на телегу @VOPROS24
Часовой пояс GMT +3, время: 16:19.
Весь материал, представленный на сайте взят из доступных источников или прислан посетителями сайта. Любая информация представленная здесь, может использоваться только в ознакомительных целях. Входя на сайт вы автоматически соглашаетесь с данными условиями. Ни администрация сайта, ни хостинг-провайдер, ни любые другие лица не могут нести отвественности за использование материалов. Сайт не предоставляет электронные версии произведений и ПО. Все права на публикуемые аудио, видео, графические и текстовые материалы принадлежат их владельцам. Если Вы являетесь автором материала или обладателем авторских прав на него и против его использования на сайте, пожалуйста свяжитесь с нами.