Глава Росфинмониторинга обвинил онлайн-игры в финансировании терроризма
В разговоре с президентом России директор федеральной службы по финансовому мониторингу Юрий Чиханчин заявил, что при помощи внутриигровой валюты осуществляется спонсирование терроризма. Он рассказал, что сейчас ведомство сотрудничает с Федеральной службой безопасности для выявления модели поведения злоумышленников.
На вопрос главы государства о перемещении финансов в компьютерных играх Чиханчин ответил, что оплата внутриигровой валютой «оружия» и «игрока» в шутерах является расчетом с террористами.
Глава Росфинмониторинга заявил, что беспокойство ведомства сейчас вызывают террористы-одиночки, поскольку у них появляются новые системы финансирования. Особое внимание он уделил «самофинансированию». Также Чиханчин обратил внимание на молодежные организации, имеющие современные инструменты для финансовых операций.
Директор отчитался о заморозке активов более 2 тыс. человек в ходе работы Межведомственной комиссии по противодействию финансированию терроризма.
Летом глава ФСБ Александр Бортников заявил о том, что террористические организации вербуют подростков через многопользовательские игры, социальные сети и онлайн-чаты. Он отмечает, что исламистские группировки научились создавать игры-клоны, способные склонять молодежь к преступному поведению и терактам. Также Бортников выразил обеспокоенность закрытыми пабликами, пропагандирующими культуру насилия, суицид и деструктивное поведение.
В мае после нападения на школу в Казани, в результате которого погибли девять человек и 24 пострадали, глава Татарстана Рустам Минниханов высказался о необходимости персонифицированного доступа к компьютерным играм, в которых есть убийства. По его мнению, игровые развлечения влияют на психику не только детей, но и взрослых.
Глава Следственного комитета Александр Бастрыкин обвинил интернет и социальные сети в размытии нравственных ценностей и ориентиров подростков после произошедшей в Пермском государственном университете стрельбе, в результате которой погибли 6 человек и 47 пострадали. Он считает, что нужно принять больше мер для борьбы по защите молодежи от вредной информации.
Эксперты Роскачества рассказали о шести мобильный играх, которые приносят вред детям, но не назвали сами тайтлы. Однако специалисты описали опасные механики, негативно влияющие на подрастающее поколение.
В разговоре с президентом России директор федеральной службы по финансовому мониторингу Юрий Чиханчин заявил, что при помощи внутриигровой валюты осуществляется спонсирование терроризма. Он рассказал, что сейчас ведомство сотрудничает с Федеральной службой безопасности для выявления модели поведения злоумышленников.
На вопрос главы государства о перемещении финансов в компьютерных играх Чиханчин ответил, что оплата внутриигровой валютой «оружия» и «игрока» в шутерах является расчетом с террористами.
Глава Росфинмониторинга заявил, что беспокойство ведомства сейчас вызывают террористы-одиночки, поскольку у них появляются новые системы финансирования. Особое внимание он уделил «самофинансированию». Также Чиханчин обратил внимание на молодежные организации, имеющие современные инструменты для финансовых операций.
Директор отчитался о заморозке активов более 2 тыс. человек в ходе работы Межведомственной комиссии по противодействию финансированию терроризма.
Летом глава ФСБ Александр Бортников заявил о том, что террористические организации вербуют подростков через многопользовательские игры, социальные сети и онлайн-чаты. Он отмечает, что исламистские группировки научились создавать игры-клоны, способные склонять молодежь к преступному поведению и терактам. Также Бортников выразил обеспокоенность закрытыми пабликами, пропагандирующими культуру насилия, суицид и деструктивное поведение.
В мае после нападения на школу в Казани, в результате которого погибли девять человек и 24 пострадали, глава Татарстана Рустам Минниханов высказался о необходимости персонифицированного доступа к компьютерным играм, в которых есть убийства. По его мнению, игровые развлечения влияют на психику не только детей, но и взрослых.
Глава Следственного комитета Александр Бастрыкин обвинил интернет и социальные сети в размытии нравственных ценностей и ориентиров подростков после произошедшей в Пермском государственном университете стрельбе, в результате которой погибли 6 человек и 47 пострадали. Он считает, что нужно принять больше мер для борьбы по защите молодежи от вредной информации.
Эксперты Роскачества рассказали о шести мобильный играх, которые приносят вред детям, но не назвали сами тайтлы. Однако специалисты описали опасные механики, негативно влияющие на подрастающее поколение.
Сноуден раскритиковал ребрендинг Facebook
Экс-сотрудник ЦРУ Эдвард Сноуден высказался о ребрендинге Facebook, отметив, что новое название не изменит сути компании. Об этом он написал в своем Twitter-аккаунте.
«Facebook — это Facebook. Не пишите об имени, пишите о том, что они делают, потому что это самое главное. Бумажная работа ничего не меняет в природе вещей», — заявил Сноуден.
Вчера во время мероприятия Oculus Connect 2021 глава Facebook Марк Цукерберг объявил о переименовании корпорации, которая теперь будет называться Meta.
В начале месяца Facebook столкнулась с обвинениями в игнорировании пагубного влияния своих сервисов на психику подростков и пособничестве распространению дезинформации ради увеличения собственной прибыли.
Из-за этого репутация компании пошатнулась. Многие СМИ утверждают, что переименование корпорации — это попытка исправить положение.
Экс-сотрудник ЦРУ Эдвард Сноуден высказался о ребрендинге Facebook, отметив, что новое название не изменит сути компании. Об этом он написал в своем Twitter-аккаунте.
«Facebook — это Facebook. Не пишите об имени, пишите о том, что они делают, потому что это самое главное. Бумажная работа ничего не меняет в природе вещей», — заявил Сноуден.
Вчера во время мероприятия Oculus Connect 2021 глава Facebook Марк Цукерберг объявил о переименовании корпорации, которая теперь будет называться Meta.
В начале месяца Facebook столкнулась с обвинениями в игнорировании пагубного влияния своих сервисов на психику подростков и пособничестве распространению дезинформации ради увеличения собственной прибыли.
Из-за этого репутация компании пошатнулась. Многие СМИ утверждают, что переименование корпорации — это попытка исправить положение.
Нейросеть обучили распознавать рак кожи
Математики из Северо-Кавказского федерального университета разработали систему, которая распознает 10 различных видов пигментных поражений кожи по фотографии с родинкой.
Авторы разработки отмечают, что рак кожи остается одним из наиболее распространенных видов злокачественных опухолей, и встречается все чаще из-за усиления ультрафиолетового излучения. Однако диагностика данного типа рака представляет проблему, поскольку отличить злокачественное образование об доброкачественного сложно.
Разработчики решили задействовать искусственный интеллект.
Они спроектировали систему на основе нейросетей, которая поможет повысить точность диагностики. Математики работали с зашумленными изображениями кожи, особенно, с теми, которые содержали волосы.
Предложенная ими система способна предварительно обрабатывать изображение, чтобы повысить точность распознавания меланомы и других пигментных поражений кожи.
Разработанное решение предполагает замену пикселей волосяных структур на пиксели кожи. При таком подходе удается сохранить диагностические признаки на снимке.
Сначала происходит разложение RGB-изображения на цветовые составляющие, затем определяется местоположение волос и производится замена пикселей волос соседними пикселями. После этого система собирает изображение обратно.
Затем происходит распознавание и классификация пигментных поражений кожи с помощью специально обученных сверточных нейронных сетей AlexNet. Для них использовали около 42 тысяч клинических дерматоскопических изображений из международного открытого архива ISIC Melanoma Project.
В итоге созданная система способна распознавать 10 категорий пигментных поражений кожи: от дерматофибромы, невуса, солнечного лентиго, разных видов кетароза до меланомы и других видов рака.
Точность системы при тестировании составила 80,81 %. Этот показатель выше, чем у аналогов. Также предложенная система обладает большей точностью при распознавании пигментных поражений кожи в сравнении с методами визуальной диагностики у врачей-онкологов, чей средний показатель составляет от 65 % до 75 %.
Авторы разработки отмечают, что использование системы позволит повысить качество диагностики и начать лечение на более ранней стадии заболевания. Если же создать на ее основе мобильное приложение, то проверить себя на наличие подобных поражений кожи сможет любой желающий.
Теперь исследователи планируют построить более сложные системы нейросетевой классификации пигментных новообразований кожи, в которых будут использоваться метаданные о пациентах (возраст, пол, расовая принадлежность, генетическая предрасположенность и др.).
Также систему можно потенциально применять для обработки рентгеновских снимков, чтобы выявить различные заболевания легких, и других изображений, полученных в ходе медицинского обследования.
В 2017 году ученые из Стэнфорда также создали систему, которая способна ставить диагноз, анализируя фотографию кожи пациента. Алгоритм получил название «глубинная конволюционная нейросеть». Он работает на Google Brain, проекте Google, цель которого — изучение возможностей машинного обучения.
Математики из Северо-Кавказского федерального университета разработали систему, которая распознает 10 различных видов пигментных поражений кожи по фотографии с родинкой.
Авторы разработки отмечают, что рак кожи остается одним из наиболее распространенных видов злокачественных опухолей, и встречается все чаще из-за усиления ультрафиолетового излучения. Однако диагностика данного типа рака представляет проблему, поскольку отличить злокачественное образование об доброкачественного сложно.
Разработчики решили задействовать искусственный интеллект.
Они спроектировали систему на основе нейросетей, которая поможет повысить точность диагностики. Математики работали с зашумленными изображениями кожи, особенно, с теми, которые содержали волосы.
Предложенная ими система способна предварительно обрабатывать изображение, чтобы повысить точность распознавания меланомы и других пигментных поражений кожи.
Разработанное решение предполагает замену пикселей волосяных структур на пиксели кожи. При таком подходе удается сохранить диагностические признаки на снимке.
Сначала происходит разложение RGB-изображения на цветовые составляющие, затем определяется местоположение волос и производится замена пикселей волос соседними пикселями. После этого система собирает изображение обратно.
Затем происходит распознавание и классификация пигментных поражений кожи с помощью специально обученных сверточных нейронных сетей AlexNet. Для них использовали около 42 тысяч клинических дерматоскопических изображений из международного открытого архива ISIC Melanoma Project.
В итоге созданная система способна распознавать 10 категорий пигментных поражений кожи: от дерматофибромы, невуса, солнечного лентиго, разных видов кетароза до меланомы и других видов рака.
Точность системы при тестировании составила 80,81 %. Этот показатель выше, чем у аналогов. Также предложенная система обладает большей точностью при распознавании пигментных поражений кожи в сравнении с методами визуальной диагностики у врачей-онкологов, чей средний показатель составляет от 65 % до 75 %.
Авторы разработки отмечают, что использование системы позволит повысить качество диагностики и начать лечение на более ранней стадии заболевания. Если же создать на ее основе мобильное приложение, то проверить себя на наличие подобных поражений кожи сможет любой желающий.
Теперь исследователи планируют построить более сложные системы нейросетевой классификации пигментных новообразований кожи, в которых будут использоваться метаданные о пациентах (возраст, пол, расовая принадлежность, генетическая предрасположенность и др.).
Также систему можно потенциально применять для обработки рентгеновских снимков, чтобы выявить различные заболевания легких, и других изображений, полученных в ходе медицинского обследования.
В 2017 году ученые из Стэнфорда также создали систему, которая способна ставить диагноз, анализируя фотографию кожи пациента. Алгоритм получил название «глубинная конволюционная нейросеть». Он работает на Google Brain, проекте Google, цель которого — изучение возможностей машинного обучения.
Мессенджер WhatsApp с сегодняшнего дня перестанет работать на ряде устройств
Речь идет о смартфонах со старой операционной системой. На официальном сайте WhatsApp сказано, что в полной мере приложение может работать только на устройствах с новой прошивкой и при условии, что телефон принимает SMS-сообщения или звонки во время подтверждения номера. Если же смартфон работает только от Wi-Fi сети, то приложение будет функционировать в ограниченном режиме.
Разработчики рекомендуют пользователям перейти на поддерживаемое устройство или сохранить историю переписки до сегодняшнего дня. В противном случае прочитать старые сообщения уже не получится.
Отмечается, что ограничения для операционных систем устанавливаются для того, чтобы при использовании более старых версий злоумышленники не могли получить доступ к чужой переписке. Вместе с тем эксперты опасаются, что подобные нововведения могут затронуть большое количество людей, которые не гонятся за модой на телефоны.
По данным опроса ВЦИОМ, на февраль этого года WhatsApp является самым популярным мессенджером. В тройку также входят Viber и Telegram.
Речь идет о смартфонах со старой операционной системой. На официальном сайте WhatsApp сказано, что в полной мере приложение может работать только на устройствах с новой прошивкой и при условии, что телефон принимает SMS-сообщения или звонки во время подтверждения номера. Если же смартфон работает только от Wi-Fi сети, то приложение будет функционировать в ограниченном режиме.
Разработчики рекомендуют пользователям перейти на поддерживаемое устройство или сохранить историю переписки до сегодняшнего дня. В противном случае прочитать старые сообщения уже не получится.
Отмечается, что ограничения для операционных систем устанавливаются для того, чтобы при использовании более старых версий злоумышленники не могли получить доступ к чужой переписке. Вместе с тем эксперты опасаются, что подобные нововведения могут затронуть большое количество людей, которые не гонятся за модой на телефоны.
По данным опроса ВЦИОМ, на февраль этого года WhatsApp является самым популярным мессенджером. В тройку также входят Viber и Telegram.
Телефонные мошенники стали чаще использовать поддельные удостоверения сотрудников правоохранительных органов
Среди телефонных мошенничеств участились случаи, когда злоумышленники присылают жертвам фотографии удостоверений сотрудников МВД и Центробанка. Считается, что раскрытие конфиденциальной информации повышает доверие жертвы к мошеннику, рассказали «Ведомостям» в компаниях, занимающихся информационной безопасностью.
Директор технического департамента RTM Group Федор Музалевский отмечает, что в первой половине 2021 года было известно о нескольких таких случаях. На сегодняшний день эти инциденты исчисляются десятками. Это значит, что в действительности речь может идти о тысячах случаев мошенничества с использованием поддельных удостоверений. Есть предположения, что в процентном соотношении таких злоумышленников не более 5 %.
По словам руководителя центра мониторинга и реагирования Group-IB Александра Калинина, изменилось соотношение между звонками без поддельных документов и с ними: число вторых продолжает расти.
Использование поддельных документов помогает расположить жертву к мошеннику, из-за чего злоумышленники могут запрашивать гораздо большие суммы.
Музалевский рассказывает, что обычно в таких разговорах мошенники представляются сотрудниками правоохранительных органов и говорят, что в отношении клиента осуществляются противоправные действия или оформляется мошеннический кредит, поэтому в интересах жертвы сотрудничать со следствием и перевести все деньги на защищенный счет».
В МВД Чувашии рассказали о случае, когда 54-летняя жительница Чебоксар перевела на счета мошенников четыре млн рублей из собственных накоплений и взяла кредит на три с половиной млн. Злоумышленники представились «представителями банка», сообщили женщине об утечке личных данных и попытке оформить кредит на ее имя и предложили перевести средства «на безопасный счет».
Вскоре с пострадавшей связался «сотрудник МВД» и прислал ей фотографию своего удостоверения. Когда женщина отправилась перевести деньги на указанный счет, ее не смогли переубедить ни сотрудники банка, ни полицейские. Таковы правила: банк не может отказать в переводе средств, даже если сотрудник понимает, что клиент попался на удочку злоумышленников. Музалевский подчеркивает, доверие стало ключевой составляющей успеха телефонных мошенников, фотографии и сканы документов лишь подкрепляют обман. Главный эксперт «Лаборатории Касперского» Сергей Голованов добавляет, что человек может знать о существовании «звонков представителей банка», однако уверенность мошенников, обращение по имени и предоставленные документы моментально сбивают жертву с толка и заставляют довериться голосу в трубке.
В ЦБ уже знают о новом виде мошенничества. В организации напоминают, что Банк России не направляет гражданам письма, не звонит и не рассылает сообщения по собственной инициативе.
Отметим, что в 2020 году телефонное мошенничество стало причиной краж суммой на семь млрд рублей, а общая сумма ущерба составила десять млрд.
Доля социальной инженерии снизилась до 52 %, или 3,1 млрд рублей за этот период относительно 3,87 млрд рублей за аналогичный период прошлого года. Сумма возвращенных средств продолжает снижаться (до 7,4 %, или 430 млн руб.). Доля возврата снижается от года к году: в 2019 году пострадавшим вернули 14,6% (936 млн рублей) похищенных средств, в 2020 году – уже 11,3 % (1,1 млрд руб.).
Основная причина отказа в возврате средств в том, что клиенты сами раскрывают конфиденциальную информацию мошенникам, а ее разглашение нарушает пользовательское соглашение и снимает ответственность с банков.
Чаще всего обманутым клиентам отказывают из-за того, что они раскрыли конфиденциальную информацию злоумышленникам ― это нарушение пользовательского соглашения, поэтому банки не несут никакой ответственности.
Эксперты считают, что подделать документы не так сложно: в среднем на черном рынке липовое удостоверение работника правоохранительных органов стоит не более тысячи рублей.
Среди телефонных мошенничеств участились случаи, когда злоумышленники присылают жертвам фотографии удостоверений сотрудников МВД и Центробанка. Считается, что раскрытие конфиденциальной информации повышает доверие жертвы к мошеннику, рассказали «Ведомостям» в компаниях, занимающихся информационной безопасностью.
Директор технического департамента RTM Group Федор Музалевский отмечает, что в первой половине 2021 года было известно о нескольких таких случаях. На сегодняшний день эти инциденты исчисляются десятками. Это значит, что в действительности речь может идти о тысячах случаев мошенничества с использованием поддельных удостоверений. Есть предположения, что в процентном соотношении таких злоумышленников не более 5 %.
По словам руководителя центра мониторинга и реагирования Group-IB Александра Калинина, изменилось соотношение между звонками без поддельных документов и с ними: число вторых продолжает расти.
Использование поддельных документов помогает расположить жертву к мошеннику, из-за чего злоумышленники могут запрашивать гораздо большие суммы.
Музалевский рассказывает, что обычно в таких разговорах мошенники представляются сотрудниками правоохранительных органов и говорят, что в отношении клиента осуществляются противоправные действия или оформляется мошеннический кредит, поэтому в интересах жертвы сотрудничать со следствием и перевести все деньги на защищенный счет».
В МВД Чувашии рассказали о случае, когда 54-летняя жительница Чебоксар перевела на счета мошенников четыре млн рублей из собственных накоплений и взяла кредит на три с половиной млн. Злоумышленники представились «представителями банка», сообщили женщине об утечке личных данных и попытке оформить кредит на ее имя и предложили перевести средства «на безопасный счет».
Вскоре с пострадавшей связался «сотрудник МВД» и прислал ей фотографию своего удостоверения. Когда женщина отправилась перевести деньги на указанный счет, ее не смогли переубедить ни сотрудники банка, ни полицейские. Таковы правила: банк не может отказать в переводе средств, даже если сотрудник понимает, что клиент попался на удочку злоумышленников. Музалевский подчеркивает, доверие стало ключевой составляющей успеха телефонных мошенников, фотографии и сканы документов лишь подкрепляют обман. Главный эксперт «Лаборатории Касперского» Сергей Голованов добавляет, что человек может знать о существовании «звонков представителей банка», однако уверенность мошенников, обращение по имени и предоставленные документы моментально сбивают жертву с толка и заставляют довериться голосу в трубке.
В ЦБ уже знают о новом виде мошенничества. В организации напоминают, что Банк России не направляет гражданам письма, не звонит и не рассылает сообщения по собственной инициативе.
Отметим, что в 2020 году телефонное мошенничество стало причиной краж суммой на семь млрд рублей, а общая сумма ущерба составила десять млрд.
Доля социальной инженерии снизилась до 52 %, или 3,1 млрд рублей за этот период относительно 3,87 млрд рублей за аналогичный период прошлого года. Сумма возвращенных средств продолжает снижаться (до 7,4 %, или 430 млн руб.). Доля возврата снижается от года к году: в 2019 году пострадавшим вернули 14,6% (936 млн рублей) похищенных средств, в 2020 году – уже 11,3 % (1,1 млрд руб.).
Основная причина отказа в возврате средств в том, что клиенты сами раскрывают конфиденциальную информацию мошенникам, а ее разглашение нарушает пользовательское соглашение и снимает ответственность с банков.
Чаще всего обманутым клиентам отказывают из-за того, что они раскрыли конфиденциальную информацию злоумышленникам ― это нарушение пользовательского соглашения, поэтому банки не несут никакой ответственности.
Эксперты считают, что подделать документы не так сложно: в среднем на черном рынке липовое удостоверение работника правоохранительных органов стоит не более тысячи рублей.
Злоумышленники берут имена настоящих сотрудников органов из открытых баз, поэтому жертва с большой вероятностью сможет найти человека, представившегося чужим именем.
Microsoft признала проблемы с принтерами в ОС Windows
Microsoft признала неполадки, связанные с работающими с компьютерами на Windows принтерами. Об этом сообщает издание BleepingComputer.
Специалисты компании заявили, что в Microsoft в курсе указанных проблем. Как отметили журналисты, неполадки возникли после выхода обновлений KB5006674 для Windows 11 и KB5006670 для Windows 10.
По словам экспертов, апдейты снова могли повлиять на функцию удаленной печати посредством сетевого оборудования. Чаще всего с поломками сталкиваются сотрудники предприятий, использующих корпоративные версии операционных системы Microsoft. Однако подключиться к серверам компании для удаленной печати не могут и многие пользователи домашних версий Windows.
Представители Microsoft пообещали исправить ошибки в будущем. В качестве временной меры инженеры компании рекомендовали корпоративным пользователям обратиться к системным администраторам для обновления TCP-соединения с сервером печати.
В октябре стало известно, что производитель офисного оборудования Brother рассказал о проблемах его девайсов при взаимодействии с Windows 11. В июле сообщалось, что злоумышленники нашли способ взлома компьютеров через принтеры.
Microsoft признала неполадки, связанные с работающими с компьютерами на Windows принтерами. Об этом сообщает издание BleepingComputer.
Специалисты компании заявили, что в Microsoft в курсе указанных проблем. Как отметили журналисты, неполадки возникли после выхода обновлений KB5006674 для Windows 11 и KB5006670 для Windows 10.
По словам экспертов, апдейты снова могли повлиять на функцию удаленной печати посредством сетевого оборудования. Чаще всего с поломками сталкиваются сотрудники предприятий, использующих корпоративные версии операционных системы Microsoft. Однако подключиться к серверам компании для удаленной печати не могут и многие пользователи домашних версий Windows.
Представители Microsoft пообещали исправить ошибки в будущем. В качестве временной меры инженеры компании рекомендовали корпоративным пользователям обратиться к системным администраторам для обновления TCP-соединения с сервером печати.
В октябре стало известно, что производитель офисного оборудования Brother рассказал о проблемах его девайсов при взаимодействии с Windows 11. В июле сообщалось, что злоумышленники нашли способ взлома компьютеров через принтеры.
Microsoft предупреждает об опасной уязвимости в девайсах Surface Pro 3
Инженеры Microsoft опубликовала бюллетень безопасности, посвященный новой уязвимости, которая затрагивает планшеты Surface Pro 3. Баг может использоваться злоумышленником для внедрения вредоносных устройств в корпоративные сети и обхода механизма аттестации (Device Health Attestation).
Прочие устройства Surface, включая Surface Pro 4 и Surface Book, считаются неподверженными данной проблеме. Хотя Surface Pro 3 был выпущен в июне 2014 года и снят с производства в ноябре 2016 года, производитель заявляет, что машины сторонних вендоров, использующие аналогичный BIOS, тоже могут быть уязвимы.
К счастью, для успешной эксплуатации нового бага злоумышленнику потребуется либо доступ к учетным данным владельца устройства, либо физический доступ к планшету.
Проблема имеет идентификатор CVE-2021-42299 (5,6 балла по шкале CVSS), и инженер-программист Google Крис Феннер, обнаруживший баг, дал ему название TPM Carte Blanche.
Device Health Attestation — это облачная и локальная служба, которая проверяет логи TPM и PCR и информирует Mobile Device Management (MDM) о том, включена ли безопасная загрузка, BitLocker, защита Early Launch Antimalware (ELAM), правильно ли подписан Trusted Boot и так далее.
Благодаря CVE-2021-42299, атакующий могут «подправить» логи TPM и PCR для получения ложной аттестации, что в итоге позволит нарушить весь процесс валидации Device Health Attestation.
«Устройства используют Platform Configuration Registers (PCR) для записи информации об устройстве и конфигурации ПО, чтобы гарантировать безопасность процесса загрузки. Windows использует эти метрики PCR для определения состояния устройства», — гласит официальное описание Microsoft.
«Уязвимое устройство может маскироваться под исправное, после внедрения произвольных значений в банки Platform Configuration Register (PCR), — пишет Феннер. — Злоумышленник может подготовить загрузочную USB-флешку с Linux, чтобы минимизировать необходимое взаимодействие с целевым устройством (например, осуществить атаку типа Evil Maid)».
Эксперт Google уже обнародовал PoC-эксплоит, демонстрирующий, как данная уязвимость может использоваться.
Инженеры Microsoft опубликовала бюллетень безопасности, посвященный новой уязвимости, которая затрагивает планшеты Surface Pro 3. Баг может использоваться злоумышленником для внедрения вредоносных устройств в корпоративные сети и обхода механизма аттестации (Device Health Attestation).
Прочие устройства Surface, включая Surface Pro 4 и Surface Book, считаются неподверженными данной проблеме. Хотя Surface Pro 3 был выпущен в июне 2014 года и снят с производства в ноябре 2016 года, производитель заявляет, что машины сторонних вендоров, использующие аналогичный BIOS, тоже могут быть уязвимы.
К счастью, для успешной эксплуатации нового бага злоумышленнику потребуется либо доступ к учетным данным владельца устройства, либо физический доступ к планшету.
Проблема имеет идентификатор CVE-2021-42299 (5,6 балла по шкале CVSS), и инженер-программист Google Крис Феннер, обнаруживший баг, дал ему название TPM Carte Blanche.
Device Health Attestation — это облачная и локальная служба, которая проверяет логи TPM и PCR и информирует Mobile Device Management (MDM) о том, включена ли безопасная загрузка, BitLocker, защита Early Launch Antimalware (ELAM), правильно ли подписан Trusted Boot и так далее.
Благодаря CVE-2021-42299, атакующий могут «подправить» логи TPM и PCR для получения ложной аттестации, что в итоге позволит нарушить весь процесс валидации Device Health Attestation.
«Устройства используют Platform Configuration Registers (PCR) для записи информации об устройстве и конфигурации ПО, чтобы гарантировать безопасность процесса загрузки. Windows использует эти метрики PCR для определения состояния устройства», — гласит официальное описание Microsoft.
«Уязвимое устройство может маскироваться под исправное, после внедрения произвольных значений в банки Platform Configuration Register (PCR), — пишет Феннер. — Злоумышленник может подготовить загрузочную USB-флешку с Linux, чтобы минимизировать необходимое взаимодействие с целевым устройством (например, осуществить атаку типа Evil Maid)».
Эксперт Google уже обнародовал PoC-эксплоит, демонстрирующий, как данная уязвимость может использоваться.
Аналитики: подростки в среднем зарабатывают больше взрослых в TikTok
Специалисты аналитической компании Yoloco провели исследование с целью выяснить среднюю стоимость рекламной интеграции у русскоязычных блогеров TikTok. По данным Mediascope, социальная сеть опережает Telegram по популярности.
В августе аудитория TikTok старше 12 лет составляла 15,3 млн человек. Больше всего в соцсети зарабатывают блогеры в возрасте от 12 до 21 года. Стоимость одной рекламной интеграции у них стоит 1,6 тыс. руб, у более взрослых пользователей — 1,3 тыс. руб., у тех, кому меньше 12 лет — примерно 1 тыс. руб.
Исследователи разделили аккаунты блогеров на категории по количеству подписчиков: «звезда» — более 1 млн, «топ» — от 500 тыс. до 1 млн, «макро» — от 300 до 500 тыс., «мидл» — от 100 до 300 тыс., «микро» — от 10 до 100 тыс., «нано» — до 10 тыс.
В настоящий момент самые популярные блогеры зарабатывают на рекламе в 71 раз больше начинающих, к примеру, в Instagram это значение выше в 60 раз. Медианная стоимость размещения рекламы в Tiktok возрастает от 350 руб. до 25 тыс. руб. Цена за интеграцию в верифицированной учетной записи увеличивается в 50 раз, говорят эксперты. В Instagram эта особенность поднимает доход блогеров в 10,5 раз. Раздача «синих галочек» в TikTok происходит довольно избирательно, что, вероятно, сказывается на различии стоимости рекламных размещений.
Директор юридического бюро «Падва и Эпштейн» Антон Бабенко отмечает, что лица в возрасте от 6 до 14 лет не вправе заключать сделки с рекламодателями без родителей. По мнению юриста, даже, если автору контента больше 14 лет, то лучше все-равно оформить согласие родителей, которые могут выступать физическими лицам, самозанятыми и индивидуальными предпринимателями.
Эксперты Yoloco выяснили, что женщины-блогеры берут за рекламные интеграции в два раза больше мужчин — 2 тыс. руб. и 1 тыс. руб. Это объясняется присутствием на площадке: мужчин в TikTok — 51 %, женщин — 37 %, не указавших пол — 12 %.
Владельцы учетных записей, посвященных психологии, в среднем возьмут за одно размещение 7 тыс. руб., танцам и кулинарии — 3 тыс., руб., красоте — 2,8 тыс. руб., юмору и образованию — 1,5 тыс. руб., образу жизни — 1,2 тыс. руб., играм — 600 руб., гаджетам и науке — 500 руб.
На стоимость рекламной интеграции влияет количество лайков, если у поста их больше 2 млн, то блогер получает в 8 раз больше за одно размещение. Стоимость определяет и количество просмотров — автор, увиденной 100 тыс. раз публикации, берет за рекламу в 8,3 раза больше. Сказывается и количество созданного ранее контента, если владелец аккаунта создал более 400 роликов, то доход за рекламу вырастет в 2,5 раза. Размер гонорара блогера увеличивается в 34 раза, если он уже что-то рекламировал.
Стоимость одного просмотра на площадке стоит от 20 до 30 коп., заявляет основатель TikTok-агентства Hi Тимофей Данилов. Генеральный директор Единого агентства блогеров и бывший директор по рекламе российского офиса TikTok Владимир Алексеев говорит, что для демонстрации контента большему количеству пользователей социальной сети необходимы просмотры роликов до конца и лайки подписчиков блогера на начальных этапах.
Он утверждает, что основным критерием для рекламодателей является узнаваемость автора контента, а не его аудитория.
Глава агентства Nostra Blogers Николай Ностра сообщил, что товары повседневного спроса стоимостью от 1 до 2 тыс. руб. рекламируют многократнее, чем остальные категории товаров, особенно дорогостощие продукты.
В сентябре Yoloco представила исследование о стоимости рекламных интеграций в Instagram. Исследователи выяснили, что мужчины-блогеры зарабатывают больше женщин. Самые крупные гонорары за рекламу в социальной сети получают актеры, шоумены и продюсеры.
Специалисты аналитической компании Yoloco провели исследование с целью выяснить среднюю стоимость рекламной интеграции у русскоязычных блогеров TikTok. По данным Mediascope, социальная сеть опережает Telegram по популярности.
В августе аудитория TikTok старше 12 лет составляла 15,3 млн человек. Больше всего в соцсети зарабатывают блогеры в возрасте от 12 до 21 года. Стоимость одной рекламной интеграции у них стоит 1,6 тыс. руб, у более взрослых пользователей — 1,3 тыс. руб., у тех, кому меньше 12 лет — примерно 1 тыс. руб.
Исследователи разделили аккаунты блогеров на категории по количеству подписчиков: «звезда» — более 1 млн, «топ» — от 500 тыс. до 1 млн, «макро» — от 300 до 500 тыс., «мидл» — от 100 до 300 тыс., «микро» — от 10 до 100 тыс., «нано» — до 10 тыс.
В настоящий момент самые популярные блогеры зарабатывают на рекламе в 71 раз больше начинающих, к примеру, в Instagram это значение выше в 60 раз. Медианная стоимость размещения рекламы в Tiktok возрастает от 350 руб. до 25 тыс. руб. Цена за интеграцию в верифицированной учетной записи увеличивается в 50 раз, говорят эксперты. В Instagram эта особенность поднимает доход блогеров в 10,5 раз. Раздача «синих галочек» в TikTok происходит довольно избирательно, что, вероятно, сказывается на различии стоимости рекламных размещений.
Директор юридического бюро «Падва и Эпштейн» Антон Бабенко отмечает, что лица в возрасте от 6 до 14 лет не вправе заключать сделки с рекламодателями без родителей. По мнению юриста, даже, если автору контента больше 14 лет, то лучше все-равно оформить согласие родителей, которые могут выступать физическими лицам, самозанятыми и индивидуальными предпринимателями.
Эксперты Yoloco выяснили, что женщины-блогеры берут за рекламные интеграции в два раза больше мужчин — 2 тыс. руб. и 1 тыс. руб. Это объясняется присутствием на площадке: мужчин в TikTok — 51 %, женщин — 37 %, не указавших пол — 12 %.
Владельцы учетных записей, посвященных психологии, в среднем возьмут за одно размещение 7 тыс. руб., танцам и кулинарии — 3 тыс., руб., красоте — 2,8 тыс. руб., юмору и образованию — 1,5 тыс. руб., образу жизни — 1,2 тыс. руб., играм — 600 руб., гаджетам и науке — 500 руб.
На стоимость рекламной интеграции влияет количество лайков, если у поста их больше 2 млн, то блогер получает в 8 раз больше за одно размещение. Стоимость определяет и количество просмотров — автор, увиденной 100 тыс. раз публикации, берет за рекламу в 8,3 раза больше. Сказывается и количество созданного ранее контента, если владелец аккаунта создал более 400 роликов, то доход за рекламу вырастет в 2,5 раза. Размер гонорара блогера увеличивается в 34 раза, если он уже что-то рекламировал.
Стоимость одного просмотра на площадке стоит от 20 до 30 коп., заявляет основатель TikTok-агентства Hi Тимофей Данилов. Генеральный директор Единого агентства блогеров и бывший директор по рекламе российского офиса TikTok Владимир Алексеев говорит, что для демонстрации контента большему количеству пользователей социальной сети необходимы просмотры роликов до конца и лайки подписчиков блогера на начальных этапах.
Он утверждает, что основным критерием для рекламодателей является узнаваемость автора контента, а не его аудитория.
Глава агентства Nostra Blogers Николай Ностра сообщил, что товары повседневного спроса стоимостью от 1 до 2 тыс. руб. рекламируют многократнее, чем остальные категории товаров, особенно дорогостощие продукты.
В сентябре Yoloco представила исследование о стоимости рекламных интеграций в Instagram. Исследователи выяснили, что мужчины-блогеры зарабатывают больше женщин. Самые крупные гонорары за рекламу в социальной сети получают актеры, шоумены и продюсеры.
Шифровальщик Chaos атакует игроков Minecraft
Эксперты FortiGuard сообщают, что шифровальщик Chaos атакует Windows-устройства геймеров и распространяется под видом alt list для Minecraft на игровых форумах. Пока эти атаки, в основном, обращены против пользователей из Японии.
Приманка, которую используют злоумышленники — это текстовые файлы alt list, которые предположительно содержат учетные данные для аккаунтов Minecraft (в том числе украденные), но на самом деле таким образом можно скачать лишь малварь Chaos.
Исследователи отмечают, что игроки Minecraft порой используют списки альтов, когда хотят потроллить или поиздеваться над другими игроками (без риска быть забанеными). Аккаунты из alt list часто применяются для таких «преступлений», а найти такие списки обычно можно, к примеру, на paste-сайтах. К тому же, в силу популярности таких списков, они часто распространяются бесплатно или создаются через автоматические генераторы учетных записей.
Зашифровав файлы жертвы, Chaos добавляет четыре случайных символа или цифры в качестве расширения к зашифрованным файлам. За расшифровку данных вымогатель требует выкуп в размере 2000 иен (пример 17,56 доллара США), причем предоставить деньги нужно в виде предоплаченных карт.
Эксперты предупреждают, что Chaos настроен на поиск в зараженных системах файлов различных типов, размером менее 2 МБ. Если же размер файла превышает 2 Мб, то в файлы будут вставлены случайные байты, что сделает их невосстановимыми, даже жертва заплатит хакерам выкуп. Неясно, умышленно ли создатели Chaos заложили в своего шифровальщика такую функциональность, стремясь безвозвратно повредить файлы жертв, или это была ошибка.
Эксперты FortiGuard сообщают, что шифровальщик Chaos атакует Windows-устройства геймеров и распространяется под видом alt list для Minecraft на игровых форумах. Пока эти атаки, в основном, обращены против пользователей из Японии.
Приманка, которую используют злоумышленники — это текстовые файлы alt list, которые предположительно содержат учетные данные для аккаунтов Minecraft (в том числе украденные), но на самом деле таким образом можно скачать лишь малварь Chaos.
Исследователи отмечают, что игроки Minecraft порой используют списки альтов, когда хотят потроллить или поиздеваться над другими игроками (без риска быть забанеными). Аккаунты из alt list часто применяются для таких «преступлений», а найти такие списки обычно можно, к примеру, на paste-сайтах. К тому же, в силу популярности таких списков, они часто распространяются бесплатно или создаются через автоматические генераторы учетных записей.
Зашифровав файлы жертвы, Chaos добавляет четыре случайных символа или цифры в качестве расширения к зашифрованным файлам. За расшифровку данных вымогатель требует выкуп в размере 2000 иен (пример 17,56 доллара США), причем предоставить деньги нужно в виде предоплаченных карт.
Эксперты предупреждают, что Chaos настроен на поиск в зараженных системах файлов различных типов, размером менее 2 МБ. Если же размер файла превышает 2 Мб, то в файлы будут вставлены случайные байты, что сделает их невосстановимыми, даже жертва заплатит хакерам выкуп. Неясно, умышленно ли создатели Chaos заложили в своего шифровальщика такую функциональность, стремясь безвозвратно повредить файлы жертв, или это была ошибка.
В Сеть попала база более 45 млн пользователей VPN-сервисов
В открытом доступе в Сети оказались данные 45,5 млн анонимных пользователей мобильных VPN-сервисов. Как пишет издание «Коммерсантъ», среди них информация о 800 тысяч российских граждан.
В открытом доступе оказались логины и пароли пользователей, IP-адреса и идентификаторы устройств тех, кто пользовался сервисами FreeVPN.org и DashVPN.io. Оба сервиса принадлежат компании ActMobile Networks со штаб-квартирой в США.
В базе находились данные с 2017 по 2021 год.
Ранее стало известно, что Роскомнадзор заблокировал шесть VPN-сервисов — речь идет о Hola VPN, ExpressVPN, KeepSolid VPN Unlimited, NordVPN, Speedify VPN и IPVanish VPN. Как следует из заявления надзорного ведомства, программы, созданные для обхода блокировок, «создают условия для незаконной деятельности».
В открытом доступе в Сети оказались данные 45,5 млн анонимных пользователей мобильных VPN-сервисов. Как пишет издание «Коммерсантъ», среди них информация о 800 тысяч российских граждан.
В открытом доступе оказались логины и пароли пользователей, IP-адреса и идентификаторы устройств тех, кто пользовался сервисами FreeVPN.org и DashVPN.io. Оба сервиса принадлежат компании ActMobile Networks со штаб-квартирой в США.
В базе находились данные с 2017 по 2021 год.
Ранее стало известно, что Роскомнадзор заблокировал шесть VPN-сервисов — речь идет о Hola VPN, ExpressVPN, KeepSolid VPN Unlimited, NordVPN, Speedify VPN и IPVanish VPN. Как следует из заявления надзорного ведомства, программы, созданные для обхода блокировок, «создают условия для незаконной деятельности».
Коммерсантъ
Электронный след вывел в сеть
Данные анонимных пользователей VPN-сервисов оказались в интернете. В открытый доступ попали логины и пароли, а также IP-адреса и идентификаторы устройств 45,5 млн пользователей мобильных VPN-сервисов, из которых около 800 тыс. пришлось на россиян. Подобные…
Использование общедоступных мессенджеров в корпоративных целях может быть небезопасно
Эксперт по информационной безопасности компании AT Consulting Андрей Слободчиков рассказал, что пользоваться общедоступными мессенджерами вроде Telegram или WhatsApp для делового общения небезопасно. Лучше пользоваться программами, в том числе электронной почтой, которые можно разместить на сервере корпоративной сети, передает «Газета.Ru».
Слободчиков отметил, что во время пандемии почтовые сервисы, мессенджеры и соцсети стали главными каналами утечек, так как они используют сторонние сервисы для передачи и хранения персональных данных.
Если все же нельзя отказаться от общедоступных мессенджеров, стоит использовать только те, которые поддерживают шифрование передаваемых и хранимых данным, а также предоставляют возможность гибкой настройки прав доступа к групповым чатам.
Для дополнительной безопасности эксперт советует перестать пользоваться мессенджерами при подключении к публичному сети Wi-Fi.
Эксперт по информационной безопасности компании AT Consulting Андрей Слободчиков рассказал, что пользоваться общедоступными мессенджерами вроде Telegram или WhatsApp для делового общения небезопасно. Лучше пользоваться программами, в том числе электронной почтой, которые можно разместить на сервере корпоративной сети, передает «Газета.Ru».
Слободчиков отметил, что во время пандемии почтовые сервисы, мессенджеры и соцсети стали главными каналами утечек, так как они используют сторонние сервисы для передачи и хранения персональных данных.
Если все же нельзя отказаться от общедоступных мессенджеров, стоит использовать только те, которые поддерживают шифрование передаваемых и хранимых данным, а также предоставляют возможность гибкой настройки прав доступа к групповым чатам.
Для дополнительной безопасности эксперт советует перестать пользоваться мессенджерами при подключении к публичному сети Wi-Fi.
Facebook отказывается от распознавания лиц и удалит данные миллиарда пользователей
Компания Facebook объявила, что более не будет использовать систему распознавания лиц (Face Recognition) на своей платформе и удалит соответствующие профили, созданные ранее для миллиарда человек.
Система Face Recognition анализировала фотографии, сделанные отмеченными пользователями, и фотографии профилей связанных с ними пользователей, чтобы создать уникальный шаблон. Затем этот шаблон использовался для идентификации пользователей на других загруженных фотографиях, а также автоматических тегов в Memories.
Теперь, через неделю после своего ребрендинга в Meta, Facebook объявила, что отказывается от функции распознавания лиц и удалит шаблоны, созданные системой.
Ребрендинг
На прошлой неделе социальная сеть сообщила о ребрендинге своей материнской компании, которая отныне будет называться Meta. Это название вдохновлено романом Нила Стивенсона «Лавина», где Метавселенной называется виртуальная реальность, охватывающая весь мир.
Смена названия произошла на фоне недавней утечки внутренних документов Facebook, которые продемонстрировали ее многочисленные этические проблемы. В частности, выяснилось, что компания знала о последствиях, возникающих при использовании ее платформы, включая распространение радикализирующей дезинформации, а также негативные последствия для психического здоровья подростков-пользователей.
Марк Цукерберг заявил, что компания готова меняться и в будущем удвоит усилия по созданию иммерсивного виртуального опыта.
«Многие конкретные случаи, когда распознавание лиц может быть полезным, необходимо сопоставлять с растущими опасениями по поводу использования этой технологии в целом, —пишет Джером Пезенти, вице-президент компании по искусственному интеллекту. — Существует много опасений о том, какое место должна занимать технология распознавания лиц в обществе, и регулирующие органы все еще находятся в процессе разработки четкого набора правил, регулирующих ее использование. В условиях продолжающейся неопределенности мы считаем целесообразным ограничение использования распознавания лиц узким набором сценариев использования».
Дело в том, что Facebook уже сталкивалась с юридическими последствиями подобных «опасений». Так, недавно компания выплатила 650 миллионов долларов в связи с коллективным судебным иском в штате Иллинойс, где утверждалось, что социальная сеть собирала и хранила биометрические данные пользователей без их согласия.
Защитник конфиденциальности и приватности, а также ИБ-исследователи уже хвалят Facebook за отказ от распознавания лиц.
Компания Facebook объявила, что более не будет использовать систему распознавания лиц (Face Recognition) на своей платформе и удалит соответствующие профили, созданные ранее для миллиарда человек.
Система Face Recognition анализировала фотографии, сделанные отмеченными пользователями, и фотографии профилей связанных с ними пользователей, чтобы создать уникальный шаблон. Затем этот шаблон использовался для идентификации пользователей на других загруженных фотографиях, а также автоматических тегов в Memories.
Теперь, через неделю после своего ребрендинга в Meta, Facebook объявила, что отказывается от функции распознавания лиц и удалит шаблоны, созданные системой.
Ребрендинг
На прошлой неделе социальная сеть сообщила о ребрендинге своей материнской компании, которая отныне будет называться Meta. Это название вдохновлено романом Нила Стивенсона «Лавина», где Метавселенной называется виртуальная реальность, охватывающая весь мир.
Смена названия произошла на фоне недавней утечки внутренних документов Facebook, которые продемонстрировали ее многочисленные этические проблемы. В частности, выяснилось, что компания знала о последствиях, возникающих при использовании ее платформы, включая распространение радикализирующей дезинформации, а также негативные последствия для психического здоровья подростков-пользователей.
Марк Цукерберг заявил, что компания готова меняться и в будущем удвоит усилия по созданию иммерсивного виртуального опыта.
«Многие конкретные случаи, когда распознавание лиц может быть полезным, необходимо сопоставлять с растущими опасениями по поводу использования этой технологии в целом, —пишет Джером Пезенти, вице-президент компании по искусственному интеллекту. — Существует много опасений о том, какое место должна занимать технология распознавания лиц в обществе, и регулирующие органы все еще находятся в процессе разработки четкого набора правил, регулирующих ее использование. В условиях продолжающейся неопределенности мы считаем целесообразным ограничение использования распознавания лиц узким набором сценариев использования».
Дело в том, что Facebook уже сталкивалась с юридическими последствиями подобных «опасений». Так, недавно компания выплатила 650 миллионов долларов в связи с коллективным судебным иском в штате Иллинойс, где утверждалось, что социальная сеть собирала и хранила биометрические данные пользователей без их согласия.
Защитник конфиденциальности и приватности, а также ИБ-исследователи уже хвалят Facebook за отказ от распознавания лиц.
Ноябрьские патчи для Android устранили 0-day баг, использующийся для целевых атак
Разработчики Google выпустили ежемесячные патчи для Android, суммарно исправив 39 уязвимостей. Среди них была и проблема нулевого дня, которая уже использовалась злоумышленниками для целевых атак.
Одним из наиболее серьезных багов этого месяца определенно можно назвать вышеупомянутый 0-day. Проблема получила идентификатор CVE-2021-1048 и описывается как use-after-free проблема ядра, которую можно использовать для локального повышения привилегий.
Пока нет никаких технических подробностей об этом баге и использующих его атаках, так как производители OEM-оборудования пока еще работают над интеграцией свежего патча в свои сборки, и большинство пользователей Android по-прежнему уязвимы.
Другие важные проблемы, исправленные с выходом ноябрьских патчей, это две критические RCE-ошибки в компоненте System (CVE-2021-0918 и CVE-2021-0930). Эти недостатки позволяют злоумышленникам выполнять произвольный код в контексте привилегированного процесса, просто отправив специально подготовленную передачу на устройство жертвы.
Еще два критических бага, CVE-2021-1924 и CVE-2021-1975, затрагивают компоненты Qualcomm с закрытым исходным кодом. А пятая критическая уязвимость была обнаружена в Android TV (CVE-2021-0889) и может позволить злоумышленнику, находящемуся в непосредственной близости от жертвы, незаметно подключиться к устройству и выполнить произвольный код без какого-либо взаимодействия с пользователем.
Разработчики Google выпустили ежемесячные патчи для Android, суммарно исправив 39 уязвимостей. Среди них была и проблема нулевого дня, которая уже использовалась злоумышленниками для целевых атак.
Одним из наиболее серьезных багов этого месяца определенно можно назвать вышеупомянутый 0-day. Проблема получила идентификатор CVE-2021-1048 и описывается как use-after-free проблема ядра, которую можно использовать для локального повышения привилегий.
Пока нет никаких технических подробностей об этом баге и использующих его атаках, так как производители OEM-оборудования пока еще работают над интеграцией свежего патча в свои сборки, и большинство пользователей Android по-прежнему уязвимы.
Другие важные проблемы, исправленные с выходом ноябрьских патчей, это две критические RCE-ошибки в компоненте System (CVE-2021-0918 и CVE-2021-0930). Эти недостатки позволяют злоумышленникам выполнять произвольный код в контексте привилегированного процесса, просто отправив специально подготовленную передачу на устройство жертвы.
Еще два критических бага, CVE-2021-1924 и CVE-2021-1975, затрагивают компоненты Qualcomm с закрытым исходным кодом. А пятая критическая уязвимость была обнаружена в Android TV (CVE-2021-0889) и может позволить злоумышленнику, находящемуся в непосредственной близости от жертвы, незаметно подключиться к устройству и выполнить произвольный код без какого-либо взаимодействия с пользователем.
Хакеры эксплуатируют критическую RCE-уязвимость в GitLab
Специалисты компании Rapid7 предупреждают, что критическая RCE-уязвимость в GitLab, ведущая к удаленному выполнению кода без аутентификации, исправленная 14 апреля 2021 года, по-прежнему представляет опасность для 50% развертываний. Хуже того, эту проблему активно используют хакеры.
Уязвимость имеет идентификатор CVE-2021-22205 и максимально возможную оценку по шкале CVSS v3 — 10 баллов ровно. Изначально считалось, что уязвимость требует аутентификации, и ей была присвоена оценка 9,9 балла по шкале CVSS, но 21 сентября 2021 года это решение пересмотрели, когда стало ясно, что аутентификация не требуется.
Баг позволяет удаленному неаутентифицированному злоумышленнику выполнять произвольные команды от имени пользователя git (администратора репозитория). По сути, эта проблема дает атакующему полный доступ к репозиторию, включая удаление, изменение и кражу исходного кода.
Хакеры начали эксплуатировать этот баг против серверов GitLab, доступных через интернет, в июне 2021 года. Тогда ошибка применялась для создания новых пользователей и предоставления им прав администратора. Хакеры использовали в своих атаках эксплоит, опубликованный на GitHub в июне 2021 года, позволяющий им злоупотреблять уязвимым компонентом ExifTool. В рамках подобных атак злоумышленникам не нужно проходить аутентификацию, использовать токен CSRF или даже валидный эндпоинт HTTP.
Эксперты предупреждают, что эксплуатация этой проблемы продолжается до сих пор, так как, по их данным, около 50% из 60 000 развертываний GitLab, доступных через интернет, работают без патчей. При этом еще 29% установок тоже могут быть уязвимы, — аналитики не смогли определить версии этих серверов.
В Rapid7 призывают администраторов как можно скорее выполнить обновление до одной из следующих версий, чтобы исправить ошибку: 13.8.8, 13.9.6 и 13.10.3.
Специалисты компании Rapid7 предупреждают, что критическая RCE-уязвимость в GitLab, ведущая к удаленному выполнению кода без аутентификации, исправленная 14 апреля 2021 года, по-прежнему представляет опасность для 50% развертываний. Хуже того, эту проблему активно используют хакеры.
Уязвимость имеет идентификатор CVE-2021-22205 и максимально возможную оценку по шкале CVSS v3 — 10 баллов ровно. Изначально считалось, что уязвимость требует аутентификации, и ей была присвоена оценка 9,9 балла по шкале CVSS, но 21 сентября 2021 года это решение пересмотрели, когда стало ясно, что аутентификация не требуется.
Баг позволяет удаленному неаутентифицированному злоумышленнику выполнять произвольные команды от имени пользователя git (администратора репозитория). По сути, эта проблема дает атакующему полный доступ к репозиторию, включая удаление, изменение и кражу исходного кода.
Хакеры начали эксплуатировать этот баг против серверов GitLab, доступных через интернет, в июне 2021 года. Тогда ошибка применялась для создания новых пользователей и предоставления им прав администратора. Хакеры использовали в своих атаках эксплоит, опубликованный на GitHub в июне 2021 года, позволяющий им злоупотреблять уязвимым компонентом ExifTool. В рамках подобных атак злоумышленникам не нужно проходить аутентификацию, использовать токен CSRF или даже валидный эндпоинт HTTP.
Эксперты предупреждают, что эксплуатация этой проблемы продолжается до сих пор, так как, по их данным, около 50% из 60 000 развертываний GitLab, доступных через интернет, работают без патчей. При этом еще 29% установок тоже могут быть уязвимы, — аналитики не смогли определить версии этих серверов.
В Rapid7 призывают администраторов как можно скорее выполнить обновление до одной из следующих версий, чтобы исправить ошибку: 13.8.8, 13.9.6 и 13.10.3.
Эксперт Оганесян рассказал жителям РФ о способах распознавания слежки через веб-камеру
Определить факт слежки за пользователем при помощи веб-камеры довольно просто, однако это требует некоторой внимательности. Так, если наблюдение осуществляется при помощи вредоносного ПО, об этом сообщит система или антивирус.
Ещё одним признаком захвата контроля над камерой или микрофоном компьютера является нестабильная работа приложений вроде Skype или Zoom. В свою очередь при использовании мобильного клиента таких программ резко возрастает количество использованного трафика.
Разумеется, самым простым и очевидным способом избежать слежки является установка лицензионного ПО из проверенных источников и использование антивирусного ПО. А вот заклеивать камеру изолентой или скотчем не выход — доступ к микрофону у злоумышленников всё равно останется.
Определить факт слежки за пользователем при помощи веб-камеры довольно просто, однако это требует некоторой внимательности. Так, если наблюдение осуществляется при помощи вредоносного ПО, об этом сообщит система или антивирус.
Ещё одним признаком захвата контроля над камерой или микрофоном компьютера является нестабильная работа приложений вроде Skype или Zoom. В свою очередь при использовании мобильного клиента таких программ резко возрастает количество использованного трафика.
Разумеется, самым простым и очевидным способом избежать слежки является установка лицензионного ПО из проверенных источников и использование антивирусного ПО. А вот заклеивать камеру изолентой или скотчем не выход — доступ к микрофону у злоумышленников всё равно останется.
В Telegram появилась первая сторонняя реклама, размещенная через официальную платформу, причем не по тематике каналов
7 ноября 2021 года в Telegram появилась первая сторонняя реклама, размещенная через официальную платформу. В основном это реклама каналов с криптовалютой или бирж, а также модных аксессуаров. Причем эти объявления нельзя удалить, они находятся внизу и вообще часто не по тематике каналов, что не соответствует заявлениям Дурова. А по уровню незаметности и ненавязчивости такой рекламы, хотя обещалось обратное, у пользователей мессенджера уже началась к ней неприязнь
Эксперты рынка пояснили, что это неправильный формат и вообще не то, что обещалось — какие-то мусорные каналы на 100-500 подписчиков. По их мнению, кто-то создает сетку по наиболее популярным тематикам и запускает рекламу, хотя еще перед запуском официальной рекламы Telegram обещал жесткие критерии отбора и уровень входа от 2 млн евро.
По ожиданию специалистов, в мессенджере должна была появиться реклама «Тинькофф», «Яндекса», «Сбера», «Альфабанка», «Мегафона», МТС, «билайн» и других, а вместо этого там первой возникла реклама свежесозданных в конце октября каналов, которые, очевидно, делаются одной командой. Эксперты рынка посчитали это непрофессиональным использованием рекламных инструментов со стороны Telegram, так как условия и критерии отбора рекламодателей тут не соблюдаются, а в официальной рекламе могут быть скамы и вообще обман пользователей.
Обновление публикации: согласно сообщениям пользователей, странная реклама в Telegram у большей их части пропала. Такое ощущение, что ее оперативно отключили со стороны мессенджера после жалоб, а запустили ее те, кто нашел изъян в рекламной программе Telegram и каким-то образом смог обойти обозначенный ранее Дуровым входной порог.
26 октября 2021 года основатель Telegram Павел Дуров объявил, что скоро в мессенджере появится реклама под названием спонсируемые сообщения. Дуров объяснил, что большинство пользователей Telegram даже не заметит это изменение по трем причинам:
• Telegram не будет показывать рекламные сообщения в списке чатов, личных беседах или группах. Реклама затронет только большие каналы — сервисы, где уже и так есть реклама, и поддержка которых приводит к наибольшим расходам со стороны Telegram;
• Для показа рекламы не будут использованы личные данные. Конфиденциальность пользователей для Telegram первостепенна. Содержимое рекламных сообщений будет зависеть только от тематики каналов, в которых они выводятся, а не от личных данных пользователей;
• Официальные рекламные сообщения в Telegram будут ненавязчивыми. В них допускаются только короткие тексты без внешних ссылок или фотографий. Рекламное объявление может появиться только после просмотра всех новых сообщений в канале.
4 ноября в Telegram появилась первая реклама под названием спонсируемые сообщения. Пока что это реклама тестирования рекламы, которая ведет на канал основателя мессенджера Павла Дурова.
6 ноября 2021 года Дуров анонсировал подписку на отмену рекламы в Telegram по просьбе пользователей, чтобы у них была платная возможность избежать этой не отключаемой и очень навязчивой опции мессенджера.
7 ноября 2021 года в Telegram появилась первая сторонняя реклама, размещенная через официальную платформу. В основном это реклама каналов с криптовалютой или бирж, а также модных аксессуаров. Причем эти объявления нельзя удалить, они находятся внизу и вообще часто не по тематике каналов, что не соответствует заявлениям Дурова. А по уровню незаметности и ненавязчивости такой рекламы, хотя обещалось обратное, у пользователей мессенджера уже началась к ней неприязнь
Эксперты рынка пояснили, что это неправильный формат и вообще не то, что обещалось — какие-то мусорные каналы на 100-500 подписчиков. По их мнению, кто-то создает сетку по наиболее популярным тематикам и запускает рекламу, хотя еще перед запуском официальной рекламы Telegram обещал жесткие критерии отбора и уровень входа от 2 млн евро.
По ожиданию специалистов, в мессенджере должна была появиться реклама «Тинькофф», «Яндекса», «Сбера», «Альфабанка», «Мегафона», МТС, «билайн» и других, а вместо этого там первой возникла реклама свежесозданных в конце октября каналов, которые, очевидно, делаются одной командой. Эксперты рынка посчитали это непрофессиональным использованием рекламных инструментов со стороны Telegram, так как условия и критерии отбора рекламодателей тут не соблюдаются, а в официальной рекламе могут быть скамы и вообще обман пользователей.
Обновление публикации: согласно сообщениям пользователей, странная реклама в Telegram у большей их части пропала. Такое ощущение, что ее оперативно отключили со стороны мессенджера после жалоб, а запустили ее те, кто нашел изъян в рекламной программе Telegram и каким-то образом смог обойти обозначенный ранее Дуровым входной порог.
26 октября 2021 года основатель Telegram Павел Дуров объявил, что скоро в мессенджере появится реклама под названием спонсируемые сообщения. Дуров объяснил, что большинство пользователей Telegram даже не заметит это изменение по трем причинам:
• Telegram не будет показывать рекламные сообщения в списке чатов, личных беседах или группах. Реклама затронет только большие каналы — сервисы, где уже и так есть реклама, и поддержка которых приводит к наибольшим расходам со стороны Telegram;
• Для показа рекламы не будут использованы личные данные. Конфиденциальность пользователей для Telegram первостепенна. Содержимое рекламных сообщений будет зависеть только от тематики каналов, в которых они выводятся, а не от личных данных пользователей;
• Официальные рекламные сообщения в Telegram будут ненавязчивыми. В них допускаются только короткие тексты без внешних ссылок или фотографий. Рекламное объявление может появиться только после просмотра всех новых сообщений в канале.
4 ноября в Telegram появилась первая реклама под названием спонсируемые сообщения. Пока что это реклама тестирования рекламы, которая ведет на канал основателя мессенджера Павла Дурова.
6 ноября 2021 года Дуров анонсировал подписку на отмену рекламы в Telegram по просьбе пользователей, чтобы у них была платная возможность избежать этой не отключаемой и очень навязчивой опции мессенджера.
Обзор IT-Weekly: Мета закрывает систему распознавания лиц в Facebook, Apple экономит чипы для iPhone
https://www.it-world.ru/it-news/reviews/179606.html
https://www.it-world.ru/it-news/reviews/179606.html
ИТ Медиа | Рынок
Обзор IT-Weekly: Мета закрывает систему распознавания лиц в Facebook, Apple экономит чипы для iPhone
На мировом IT-рынке ничего серьезного на прошедшей неделе не произошло, обратить внимание можно, пожалуй, на то, что… Новый мэр Нью-Йорка планирует получать зарплату в биткойнах.<br />
Хакеры заявили о получении рут-ключей PlayStation 5
8 ноября команда хакеров fail0verflow рассказала, что смогли заполучить все симметричные корневые ключи от игровой приставки нового поколения PlayStation 5, включая индивидуальный корневой ключ для консоли. Взломщики пояснили, что Sony столкнется с большой проблемой по их замене, так как быстро и просто это сделать нельзя.
Хакеры рассказали, что в процессе взлома и получения доступа к защищенным разделам PS5 они не прибегали к специальным средствам, а все атаки совершили программно с помощью использования обнаруженной ранее уязвимости.
Ранее группа fail0verflow проводила взломы игровых приставок PlayStation 3 и 4. На базе эксплойтов хакеров были созданы прошивки, позволяющие запускать на консолях нелицензионное ПО. Также fail0verflow смогли запустить Linux на PlayStation 4.
8 ноября команда хакеров fail0verflow рассказала, что смогли заполучить все симметричные корневые ключи от игровой приставки нового поколения PlayStation 5, включая индивидуальный корневой ключ для консоли. Взломщики пояснили, что Sony столкнется с большой проблемой по их замене, так как быстро и просто это сделать нельзя.
Хакеры рассказали, что в процессе взлома и получения доступа к защищенным разделам PS5 они не прибегали к специальным средствам, а все атаки совершили программно с помощью использования обнаруженной ранее уязвимости.
Ранее группа fail0verflow проводила взломы игровых приставок PlayStation 3 и 4. На базе эксплойтов хакеров были созданы прошивки, позволяющие запускать на консолях нелицензионное ПО. Также fail0verflow смогли запустить Linux на PlayStation 4.
Google Chrome сливает данные датчика движения Android всем сайтам
Редко кто знает, что датчики движения Android-устройств по умолчанию доступны сайтам, которые пользователи посещают, используя Chrome. Мобильный браузер Google передает такие данные по запросу даже при самых жестких настройках приватности, а также в режиме инкогнито.
Компанию Google неоднократно упрекали за сбор огромного количества пользовательских данных с целью укрепления своих позиций на рынке контекстной рекламы. Однако техногиганту никак не удается найти приемлемое решение по охране конфиденциальности, не ущемляющее его собственные интересы.
Встроенная защита Android не распространяется на данные акселерометра и сенсоров ориентации, и приложения могут их считывать даже в фоновом режиме, притом независимо от уровня привилегий. Chrome делает это, даже когда пользователь поставил флаги во всех настройках приватности или запустил браузер в режиме инкогнито.
Доступ к таким данным оправдан, например, при посещении мобильной версии сайта Google Карты или у игровых приложений, которым важно следить за касаниями экрана и нажимом клавиш на виртуальной клавиатуре (телефон при этом немного наклоняется). Однако неограниченное предоставление подобной информации через Chrome по дефолту — слишком уж явное нарушение конфиденциальности, о которой так печется Google, по крайней мере, на словах.
В комментарии для Forbes представитель компании заявил, что они «умышленно ограничили разрешающую способность датчиков движения» и в 2019 году предоставили пользователям возможность блокировать сайтам доступ к таким данным. Непонятно только, почему для этого нужно преодолевать многоступенчатые настройки системы и снимать дефолт, который Google к тому же настойчиво порекомендует оставить.
Не проще ли поставить тотальный блок по умолчанию и предоставить пользователю самому решать, кому предоставить доступ к API, — как это сделала Apple для Safari на iPhone в том же 2019 году. Ее браузер теперь запрашивает разрешение у пользователя при переходе на сайт, пытающийся отследить местоположение визитера.
Более того, мессенджерам и клиентам сервисов звонков на iOS теперь запрещено работать в фоновом режиме, то есть их лишили возможности собирать информацию о пользователях в период бездействия. У Google же, напротив, все функции приватности по умолчанию отключены. Примечательно, что Chrome на iPhone безопаснее, чем на Android, так как Apple заблокировала доступ к API датчиков движения для всех браузеров.
Напомним, в браузере Google недавно появился еще один механизм, позволяющий сайтам собирать пользовательские данные без применения куки, — FLoC.
Эта скрытая функциональность, также посягающая на приватность навигации в Сети, вызвала неоднозначную реакцию в ИТ-кругах, и Google через несколько месяцев свернула пробный запуск, пообещав доработать проект.
Редко кто знает, что датчики движения Android-устройств по умолчанию доступны сайтам, которые пользователи посещают, используя Chrome. Мобильный браузер Google передает такие данные по запросу даже при самых жестких настройках приватности, а также в режиме инкогнито.
Компанию Google неоднократно упрекали за сбор огромного количества пользовательских данных с целью укрепления своих позиций на рынке контекстной рекламы. Однако техногиганту никак не удается найти приемлемое решение по охране конфиденциальности, не ущемляющее его собственные интересы.
Встроенная защита Android не распространяется на данные акселерометра и сенсоров ориентации, и приложения могут их считывать даже в фоновом режиме, притом независимо от уровня привилегий. Chrome делает это, даже когда пользователь поставил флаги во всех настройках приватности или запустил браузер в режиме инкогнито.
Доступ к таким данным оправдан, например, при посещении мобильной версии сайта Google Карты или у игровых приложений, которым важно следить за касаниями экрана и нажимом клавиш на виртуальной клавиатуре (телефон при этом немного наклоняется). Однако неограниченное предоставление подобной информации через Chrome по дефолту — слишком уж явное нарушение конфиденциальности, о которой так печется Google, по крайней мере, на словах.
В комментарии для Forbes представитель компании заявил, что они «умышленно ограничили разрешающую способность датчиков движения» и в 2019 году предоставили пользователям возможность блокировать сайтам доступ к таким данным. Непонятно только, почему для этого нужно преодолевать многоступенчатые настройки системы и снимать дефолт, который Google к тому же настойчиво порекомендует оставить.
Не проще ли поставить тотальный блок по умолчанию и предоставить пользователю самому решать, кому предоставить доступ к API, — как это сделала Apple для Safari на iPhone в том же 2019 году. Ее браузер теперь запрашивает разрешение у пользователя при переходе на сайт, пытающийся отследить местоположение визитера.
Более того, мессенджерам и клиентам сервисов звонков на iOS теперь запрещено работать в фоновом режиме, то есть их лишили возможности собирать информацию о пользователях в период бездействия. У Google же, напротив, все функции приватности по умолчанию отключены. Примечательно, что Chrome на iPhone безопаснее, чем на Android, так как Apple заблокировала доступ к API датчиков движения для всех браузеров.
Напомним, в браузере Google недавно появился еще один механизм, позволяющий сайтам собирать пользовательские данные без применения куки, — FLoC.
Эта скрытая функциональность, также посягающая на приватность навигации в Сети, вызвала неоднозначную реакцию в ИТ-кругах, и Google через несколько месяцев свернула пробный запуск, пообещав доработать проект.