Очередная прекрасная новость, как на самом деле устроен интернет. Если не вдаваться в детали, то у организаций, ответственных за маршрутизацию есть специальные процедуры для обновления этой самой маршрутизации на основе данных, которые предоставляют крупные сети и провайдеры. Иформация эта обычно приходит через email и чтобы зловреды не смогли подсунуть вредоносные данные и сломать интернет, в письмах проверяется отправитель.
Есть несколько способов это сделать, например, просто посмотреть адрес отправителя или использовать pgp-подпись. Естественно, адрес отправителя легко подделать и почти все крупные ответственные организации ещё в 2012 году отказались от такого способа. Кроме Level3 communications, в которой по традиционным причинам legacy можно до сих пор отправлять данные об изменении маршрутизации простым емейлом без всякой защиты.
Это просто чудо, что подобная атака до сих пор не случилась. Level3 всё-таки приняли решение окончательно отказаться от такого способа коммуникации после публикации.
_______
Источник | #fieryfiles
Есть несколько способов это сделать, например, просто посмотреть адрес отправителя или использовать pgp-подпись. Естественно, адрес отправителя легко подделать и почти все крупные ответственные организации ещё в 2012 году отказались от такого способа. Кроме Level3 communications, в которой по традиционным причинам legacy можно до сих пор отправлять данные об изменении маршрутизации простым емейлом без всякой защиты.
Это просто чудо, что подобная атака до сих пор не случилась. Level3 всё-таки приняли решение окончательно отказаться от такого способа коммуникации после публикации.
_______
Источник | #fieryfiles
Krebsonsecurity
The Internet is Held Together With Spit & Baling Wire
Imagine being able to disconnect or redirect Internet traffic destined for some of the world's largest companies -- just by spoofing an email. This is the nature of a threat vector recently removed by a Fortune 500 firm that operates…
Гугл прямо сейчас форсит свою извращённую версию 2FA, без которой залогиниться в аккаунт не получится. В роли mfa-агента выступает мобильное приложение google. И это кошмарная несекьюрная жесть. Хуже только смс.
Да, формально можно выбрать хардварный токен вместо приложения, но это для многих неудобно и дорого. При этом второй фактор через TOTP сделали «запасным», хотя его как раз и нужно было делать первичным.
Главная проблема с подтверждением через приложение (Google prompts) — это максимально непрозрачная и непонятная для управления операция. Для TOTP есть уже довольно богатая и понятная инфраструктура, сторонние приложения с разнообразной защитой, а тут — просто кнопка в приложении, которую может любой нажать, в чьём распоряжении оказался телефон. Выбрать разрешённые устройства я не смог, может эта фича где-то и есть, но найти не удалось.
2FA через Security key on mobile phone вообще непонятная хрень, которую мне так и не удалось заставить работать в браузере.
Ещё момент, при аутентификации через TOTP мне на телефон и на почту не приходит уведомление о новом входе в аккаунт. Я логику за этим не понимаю и пока считаю, что просто баг.
_______
Источник | #fieryfiles
Да, формально можно выбрать хардварный токен вместо приложения, но это для многих неудобно и дорого. При этом второй фактор через TOTP сделали «запасным», хотя его как раз и нужно было делать первичным.
Главная проблема с подтверждением через приложение (Google prompts) — это максимально непрозрачная и непонятная для управления операция. Для TOTP есть уже довольно богатая и понятная инфраструктура, сторонние приложения с разнообразной защитой, а тут — просто кнопка в приложении, которую может любой нажать, в чьём распоряжении оказался телефон. Выбрать разрешённые устройства я не смог, может эта фича где-то и есть, но найти не удалось.
2FA через Security key on mobile phone вообще непонятная хрень, которую мне так и не удалось заставить работать в браузере.
Ещё момент, при аутентификации через TOTP мне на телефон и на почту не приходит уведомление о новом входе в аккаунт. Я логику за этим не понимаю и пока считаю, что просто баг.
_______
Источник | #fieryfiles
Google
Sign in with Google prompts - Android - Google Account Help
When you sign in to your Google Account, you can tap a notification on your phone to confirm it’s you. You can use Google prompts to sign in: With your phone instead of a password In
В России сокращается количество банкоматов. Причины неизвестны, банки сами о них не говорят.
И по своему опыту подтверждаю — у нас в бизнес-центре из четырёх банкоматов остался один, сберовский, естественно.
_______
Источник | #fieryfiles
И по своему опыту подтверждаю — у нас в бизнес-центре из четырёх банкоматов остался один, сберовский, естественно.
_______
Источник | #fieryfiles
CNews.ru
Россиян лишают наличных денег. Банкоматы стремительно исчезают по всей стране - CNews
В России менее чем за год приблизительно на 9000 сократилось количество банкоматов. Это почти рекордный показатель...
Google Research опубликовали исследование из двух статей (раз, два) об использовании низкокачественного человеческого труда для аннотирования данных и тренировки ИИ. Основной вывод — полученные таким образом данные содержат всех тараканов тех людей, которые эти данные процессили, их мировоззрение, эмоции, этику и мораль.
Корпорации как правило не очень представляют, кто именно занимается аннотацией «сырых» данных, но при этом почему-то предполагают, что на выходе будет идеальный и корректный результат. Но вместо этого получается пристрастный, предубеждённый и необъективный набор данных, обогащённый негативом и предрассудками.
Очень часто такой работой занимаются низкооплачиваемые и неквалифицированные люди из бедных стран, у которых этические представления о контенте могут радикально отличаться от людей из «богатых» стран.
Рекомендации стандартные: аннотаторы должны быть с самых разных концов спектра, чтобы мнения коменсировали друг друга. Совет из серии «лучше быть богатым и здоровым, чем бедным и больным».
_______
Источник | #fieryfiles
Корпорации как правило не очень представляют, кто именно занимается аннотацией «сырых» данных, но при этом почему-то предполагают, что на выходе будет идеальный и корректный результат. Но вместо этого получается пристрастный, предубеждённый и необъективный набор данных, обогащённый негативом и предрассудками.
Очень часто такой работой занимаются низкооплачиваемые и неквалифицированные люди из бедных стран, у которых этические представления о контенте могут радикально отличаться от людей из «богатых» стран.
Рекомендации стандартные: аннотаторы должны быть с самых разных концов спектра, чтобы мнения коменсировали друг друга. Совет из серии «лучше быть богатым и здоровым, чем бедным и больным».
_______
Источник | #fieryfiles
Telegram
Горюче-сказочные материалы
Google Research опубликовали исследование из двух статей (раз, два) об использовании низкокачественного человеческого труда для аннотирования данных и тренировки ИИ. Основной вывод — полученные таким образом данные содержат всех тараканов тех людей, которые…