Минцифры предложило включить в реестр отечественного ПО «переработанные» программы
Теперь Российские разработчики смогут дорабатывать свободно распространяемое ПО с открытым кодом.
Известно, что «существенной доработки» такого ПО не потребуется.
Раньше предлагалось требовать доказательства оригинальности ПО, включаемого в реестр отечественного, но в финальную версию документа это не включили.
Так, на основе свободного ПО в реестр отечественных включили «Базальт СПО», «Astra Linux», «Мой офис» и другие программы.
Теперь Российские разработчики смогут дорабатывать свободно распространяемое ПО с открытым кодом.
Известно, что «существенной доработки» такого ПО не потребуется.
Раньше предлагалось требовать доказательства оригинальности ПО, включаемого в реестр отечественного, но в финальную версию документа это не включили.
Так, на основе свободного ПО в реестр отечественных включили «Базальт СПО», «Astra Linux», «Мой офис» и другие программы.
Павел Дуров рассказал, как будет монетизироваться Telegram
Прежде всего, Павел сообщил о том, что пользователям не нужно беспокоиться о рекламе.
Данные для таргетинга рекламы собираться не будут.
Реклама будет исключительно контекстной и основанной на тематике каналов.
Она будет показываться только в крупных каналах. Ни в группах, ни в личных чатах её не будет.
Известно, что пользователи смогут отказаться от показа рекламы.
Также, скоро будет добавлена система донатов и платных подписок на каналы.
Прежде всего, Павел сообщил о том, что пользователям не нужно беспокоиться о рекламе.
Данные для таргетинга рекламы собираться не будут.
Реклама будет исключительно контекстной и основанной на тематике каналов.
Она будет показываться только в крупных каналах. Ни в группах, ни в личных чатах её не будет.
Известно, что пользователи смогут отказаться от показа рекламы.
Также, скоро будет добавлена система донатов и платных подписок на каналы.
Сисадмин Яндекса получил доступ к электронной почте пользователей
Компания Яндекс объявила о том, что один из её сисадминов получил несанкционированный доступ к электронным адресам пользователей.
В ходе плановой проверки выяснилось, что 4887 электронных адресов Яндекса были скомпрометированы.
Яндекс утверждает, что злоумышленник сделал это «для личной выгоды».
К счастью, проблема уже решена: в самой компании изменили порядок административного доступа к таким данным.
Также, владельцев электронных адресов предупредили о взломе и попросили сменить пароли.
Компания Яндекс объявила о том, что один из её сисадминов получил несанкционированный доступ к электронным адресам пользователей.
В ходе плановой проверки выяснилось, что 4887 электронных адресов Яндекса были скомпрометированы.
Яндекс утверждает, что злоумышленник сделал это «для личной выгоды».
К счастью, проблема уже решена: в самой компании изменили порядок административного доступа к таким данным.
Также, владельцев электронных адресов предупредили о взломе и попросили сменить пароли.
Немец скрывает от полиции $83 млн в биткоинах, отказываясь говорить пароль
Немецкой прокуратуре удалось конфисковать у мошенника биткоины на сумму $83 млн.
Правда, есть одна проблема: они не могут получить к ним доступ, ведь преступник не говорит пароль.
Он обвинён в скрытой установке программ для майнинга на другие компьютеры.
Мужчина был приговорён к 2 годам заключения и, с тех пор, уже отбыл свой срок.
В итоге преступнику удалось сохранить молчание.
К слову, по статистике, около 20% всех биткоинов в мире утеряны или закрыты в кошельках с забытыми паролями.
Немецкой прокуратуре удалось конфисковать у мошенника биткоины на сумму $83 млн.
Правда, есть одна проблема: они не могут получить к ним доступ, ведь преступник не говорит пароль.
Он обвинён в скрытой установке программ для майнинга на другие компьютеры.
Мужчина был приговорён к 2 годам заключения и, с тех пор, уже отбыл свой срок.
В итоге преступнику удалось сохранить молчание.
К слову, по статистике, около 20% всех биткоинов в мире утеряны или закрыты в кошельках с забытыми паролями.
This media is not supported in your browser
VIEW IN TELEGRAM
Пользователь Twitter нашёл опасную уязвимость на устройствах Samsung
Он создал приложение, которое без каких-либо разрешений пользователя автоматически становится администратором устройства.
Сразу после запуска это приложение получает доступ почти ко всем функциям устройства, в том числе — удаление других приложений.
На видео в своём Twitter-аккаунте он наглядно показал, как этой программе без разрешений за считанные секунды удалось удалить другие приложения с его устройства.
Он создал приложение, которое без каких-либо разрешений пользователя автоматически становится администратором устройства.
Сразу после запуска это приложение получает доступ почти ко всем функциям устройства, в том числе — удаление других приложений.
На видео в своём Twitter-аккаунте он наглядно показал, как этой программе без разрешений за считанные секунды удалось удалить другие приложения с его устройства.
Владимир Путин назвал условия блокировки в России зарубежных сайтов
На одной из встреч Владимир Путин сообщил об условиях блокировки в России зарубежных интернет-сервисов.
Он рассказал, что YouTube и другие популярные сервисы в ближайшее время блокировать не планируется.
По его словам, он не хочет доставлять неудобства гражданам, которые «активно ими пользуются».
Он подчеркнул, что не хочет «искусственно» создавать проблемы гражданам.
Блокировка будет только в том случае, если «сервисы начнут представлять реальную угозу».
На одной из встреч Владимир Путин сообщил об условиях блокировки в России зарубежных интернет-сервисов.
Он рассказал, что YouTube и другие популярные сервисы в ближайшее время блокировать не планируется.
По его словам, он не хочет доставлять неудобства гражданам, которые «активно ими пользуются».
Он подчеркнул, что не хочет «искусственно» создавать проблемы гражданам.
Блокировка будет только в том случае, если «сервисы начнут представлять реальную угозу».
Каждый раз, когда вы ставите на рабочую почту пароль QWERTY123, где-то плачет один сотрудник службы безопасности и радуется один хакер.
Но ненадежные пароли — не единственная лазейка для «черных» хакеров. А вот найти все остальные «виртуальные бреши» и спасти компанию от кибератаки и утечки данных — задача «белых», или этичных хакеров.
В SkillFactory стартует курс для таких специалистов, или по-другому пентестеров. За 10 месяцев вы научитесь легально атаковать системы безопасности и находить в них уязвимости.
Преподаватели — пентестеры с опытом более 10 лет, которые успели поработать с РЖД и Газпромом. Выпускники курса с помощью карьерного центра находят работу в NVIDIA, CISCO, Сбере и других крупных компаниях.
🔥Узнать подробнее можно по ссылке: https://clc.am/02a9Sw
А по промокоду ЭКСПЛОИТ скидка 45% до 22 февраля!
#промо
Но ненадежные пароли — не единственная лазейка для «черных» хакеров. А вот найти все остальные «виртуальные бреши» и спасти компанию от кибератаки и утечки данных — задача «белых», или этичных хакеров.
В SkillFactory стартует курс для таких специалистов, или по-другому пентестеров. За 10 месяцев вы научитесь легально атаковать системы безопасности и находить в них уязвимости.
Преподаватели — пентестеры с опытом более 10 лет, которые успели поработать с РЖД и Газпромом. Выпускники курса с помощью карьерного центра находят работу в NVIDIA, CISCO, Сбере и других крупных компаниях.
🔥Узнать подробнее можно по ссылке: https://clc.am/02a9Sw
А по промокоду ЭКСПЛОИТ скидка 45% до 22 февраля!
#промо
Исследователи показали, как обмануть детекторы дипфейков
По их словам, для этого достаточно внедрить входные данные или состязательные примеры в каждый кадр дипфейка.
Это должно заставить систему ИИ допустить ошибку, что будет работать даже после сжатия видео.
Зная это, можно «обмануть» детекторы даже ничего не понимая в работе модели машинного обучения.
Естественно, исследователи отказались публиковать свой код, чтобы им не воспользовались злоумышленники.
По их словам, для этого достаточно внедрить входные данные или состязательные примеры в каждый кадр дипфейка.
Это должно заставить систему ИИ допустить ошибку, что будет работать даже после сжатия видео.
Зная это, можно «обмануть» детекторы даже ничего не понимая в работе модели машинного обучения.
Естественно, исследователи отказались публиковать свой код, чтобы им не воспользовались злоумышленники.
Специалисты SIO считают, что власти Китая прослушивают граждан в Clubhouse
Они обнаружили, что в работе приложения Clubhouse в Китае есть ряд проблем безопасности.
Из-за них доступ к данным пользователей могут получить власти Китая, несмотря на то, что Clubhouse заблокировано на его территории.
Компания Alpha Exploration, которая владеет Clubhouse, сообщила, что намерена полностью отказаться от китайских серверов.
Таким образом, работа Clubhouse в КНР в скором времени будет полностью прекращена.
Они обнаружили, что в работе приложения Clubhouse в Китае есть ряд проблем безопасности.
Из-за них доступ к данным пользователей могут получить власти Китая, несмотря на то, что Clubhouse заблокировано на его территории.
Компания Alpha Exploration, которая владеет Clubhouse, сообщила, что намерена полностью отказаться от китайских серверов.
Таким образом, работа Clubhouse в КНР в скором времени будет полностью прекращена.
Forwarded from SecAtor
В конце января Apple закрыли две 0-day уязвимости в браузерном движке WebKit, применяющемся в Safari, которые позволяли осуществить удаленное выполнение кода (RCE) и использовались в дикой природе.
Следующим же обновлением безопасности от 1 февраля была устранена еще одна уязвимость CVE-2021-1801 в том же движке WebKit, отчет в отношении которой вчера был опубликован исследователем Элией Штейном из Confiant. Ошибка, позволявшая обход ограничений песочницы iFrame, использовалась злоумышленниками из группы Scamclub для массового перенаправления пользователей с легальных сайтов на мошеннические.
Изначально уязвимость была обнаружена исследователями 22 июня 2020 года, 23 июня были оповещены Apple и Google, поскольку Chrome для iOS тоже использует движок WebKit и подвержен эксплойту . И только 1 февраля Apple присвоили ошибке CVE и исправили ее в очередном обновлении, в Chrome же уязвимость была устранена в начале декабря.
Между тем, как утверждают Confiant, только за последние 90 дней Scamclub произвели более 50 млн. показов вредоносной рекламы, с пиками до 16 млн. в один день. Сколько пользователей пострадало от нее - неизвестно. Почему исправление уязвимости заняло у Apple так много времени - тоже не ясно.
Группа Scamclub была впервые описана исследователями Avast в конце 2018 года, когда в результате деятельности скамеров всего за двое суток 300 млн. пользователей были перенаправлены на мошеннические сайты, 96% жертв были пользователями iOS.
Следующим же обновлением безопасности от 1 февраля была устранена еще одна уязвимость CVE-2021-1801 в том же движке WebKit, отчет в отношении которой вчера был опубликован исследователем Элией Штейном из Confiant. Ошибка, позволявшая обход ограничений песочницы iFrame, использовалась злоумышленниками из группы Scamclub для массового перенаправления пользователей с легальных сайтов на мошеннические.
Изначально уязвимость была обнаружена исследователями 22 июня 2020 года, 23 июня были оповещены Apple и Google, поскольку Chrome для iOS тоже использует движок WebKit и подвержен эксплойту . И только 1 февраля Apple присвоили ошибке CVE и исправили ее в очередном обновлении, в Chrome же уязвимость была устранена в начале декабря.
Между тем, как утверждают Confiant, только за последние 90 дней Scamclub произвели более 50 млн. показов вредоносной рекламы, с пиками до 16 млн. в один день. Сколько пользователей пострадало от нее - неизвестно. Почему исправление уязвимости заняло у Apple так много времени - тоже не ясно.
Группа Scamclub была впервые описана исследователями Avast в конце 2018 года, когда в результате деятельности скамеров всего за двое суток 300 млн. пользователей были перенаправлены на мошеннические сайты, 96% жертв были пользователями iOS.
Medium
Malvertiser “ScamClub” Bypasses Iframe Sandboxing With postMessage() Shenanigans [CVE-2021–1801]
This blog post is about the mechanics of a long tail iframe sandbox bypass found in a payload belonging to the persistent malvertising…
Forwarded from addmeto (Grigory Bakunov)
Reddit опубликовал отчет о прозрачности за 2020 год: было удалено 233 миллиона фрагментов контента из 3,4 миллиарда, заблокированы 82858 субреддитов, что в 4 раза больше, чем в 2019 году. Короче модерация в реддите идет полным ходом, не думайте что там прямо казачья вольница https://techcrunch.com/2021/02/16/reddits-transparency-report-shows-a-big-spam-problem-and-relatively-few-government-requests/
TechCrunch
Reddit’s transparency report shows battle against spam but relatively few government requests
Reddit has published its transparency report for 2020, showing various numbers relating to removed content, government requests and other administrative actions. The largest problem by far — in terms of volume, anyway — is spam, which made up a large proportion…
США обвинили северокорейских хакеров в краже $1,3 млрд
Министерство юстиции США утверждает, что эти деньги были украдены в ходе атак на банки, криптовалютные сервисы и на другие компании.
По их словам, хакеров спонсирует именно государство КНДР.
Они создали и развернули несколько вредоносных приложений с целью кражи и вымогательства денег.
В основном, кибератаки были нацелены на криптовалюту.
В итоге, этим северокорейцам уже предъявлены соответствующие обвинения.
Министерство юстиции США утверждает, что эти деньги были украдены в ходе атак на банки, криптовалютные сервисы и на другие компании.
По их словам, хакеров спонсирует именно государство КНДР.
Они создали и развернули несколько вредоносных приложений с целью кражи и вымогательства денег.
В основном, кибератаки были нацелены на криптовалюту.
В итоге, этим северокорейцам уже предъявлены соответствующие обвинения.
Обнаружен первый вирус для компьютеров на Apple M1
Он может показывать рекламу и собирать данные из браузера своей жертвы.
Основная цель злоумышленников — заработок от коммерческих просмотров и продажи данных пользователей.
Это не новый вирус. Хакеры просто пересобрали x86-версию уже известного вируса Pirrit под архитектуру ARM.
Обнаружить эту угрозу стандартными способами невозможно.
К счастью, Apple уже заблокировала сертификат разработчика, с помощью которого подписывался вирус.
Он может показывать рекламу и собирать данные из браузера своей жертвы.
Основная цель злоумышленников — заработок от коммерческих просмотров и продажи данных пользователей.
Это не новый вирус. Хакеры просто пересобрали x86-версию уже известного вируса Pirrit под архитектуру ARM.
Обнаружить эту угрозу стандартными способами невозможно.
К счастью, Apple уже заблокировала сертификат разработчика, с помощью которого подписывался вирус.
За 2020 год россияне потратили 3,2 трлн рублей на покупки в интернете
Для сравнения: в прошлом году этот показатель был в 1,5 раза меньше.
Доля онлайн-покупок составила 9,6% от общего оборота розничной торговли, а в первом полугодии — 10,2%, что стало историческим максимумом.
Самое большое число операций пришлось на Москву — 24,7% покупок.
Известно, что к онлайн-покупкам всё чаще стали подключаться регионы.
Как сообщают эксперты, в 2021 году объём рынка электронной коммерции составит 3,745 трлн рублей. Из них 3,226 трлн придётся на интернет-магазины.
Для сравнения: в прошлом году этот показатель был в 1,5 раза меньше.
Доля онлайн-покупок составила 9,6% от общего оборота розничной торговли, а в первом полугодии — 10,2%, что стало историческим максимумом.
Самое большое число операций пришлось на Москву — 24,7% покупок.
Известно, что к онлайн-покупкам всё чаще стали подключаться регионы.
Как сообщают эксперты, в 2021 году объём рынка электронной коммерции составит 3,745 трлн рублей. Из них 3,226 трлн придётся на интернет-магазины.
ФБР предупредило о том, что TDoS-атаки могут привести к гибели людей
TDoS-атаки — это попытки сделать телефонные системы недоступными путем блокировки входящих и исходящих вызовов.
По словам ФБР, если такие атаки будут направлены на службу 911, это может привести к ужасным последствиям.
Цель злоумышленников в том, чтобы как можно дольше удерживать отвлекающие звонки активными.
Это перегрузит телефонную систему жертвы, и реальные звонки будут сильно задерживаться.
Помимо того, что мошенники могут вымогать деньги у государственных организаций, такие атаки с большой вероятностью привели бы к гибели людей.
TDoS-атаки — это попытки сделать телефонные системы недоступными путем блокировки входящих и исходящих вызовов.
По словам ФБР, если такие атаки будут направлены на службу 911, это может привести к ужасным последствиям.
Цель злоумышленников в том, чтобы как можно дольше удерживать отвлекающие звонки активными.
Это перегрузит телефонную систему жертвы, и реальные звонки будут сильно задерживаться.
Помимо того, что мошенники могут вымогать деньги у государственных организаций, такие атаки с большой вероятностью привели бы к гибели людей.
Forwarded from Эксплойт
Как отправлять самоуничтожающиеся сообщения и файлы
Иногда возникает необходимость передать сообщение или медиафайл, но сделать это так, чтобы после прочтения сообщение исчезло и больше никто не смог его прочитать. В Telegram есть такая функция, но только для медиафайлов.
wipenote.io - это сервис с открытым исходным кодом, с помощью которого можно безопасно передавать данные, не беспокоясь, что их прочитает кто-то другой. Это может быть как текстовая информация, так и медиафайлы.
После прочтения получателем записка уничтожается, и восстановить и прочитать ее возможности нет ни у кого. Сервис также позволяет защитить записку паролем и установить таймер времени удаления.
#полезно
Иногда возникает необходимость передать сообщение или медиафайл, но сделать это так, чтобы после прочтения сообщение исчезло и больше никто не смог его прочитать. В Telegram есть такая функция, но только для медиафайлов.
wipenote.io - это сервис с открытым исходным кодом, с помощью которого можно безопасно передавать данные, не беспокоясь, что их прочитает кто-то другой. Это может быть как текстовая информация, так и медиафайлы.
После прочтения получателем записка уничтожается, и восстановить и прочитать ее возможности нет ни у кого. Сервис также позволяет защитить записку паролем и установить таймер времени удаления.
#полезно
Согласно утечкам, у Apple M1X будет 12 ядер и до 32 ГБ ОЗУ
Позавчера появилась информация о системе на кристалле Apple M1X.
Согласно ней, новый чип будет почти в 2 раза производительнее чем Apple M1.
Он будет иметь 12 ядер, а не 8, как в M1. Причём 8 из них будут производительными, а 4 — будут иметь низкое потребление энергии.
Скорее всего, чип появится во втором квартале этого года. Его будут использовать в новых MacBook Pro 14, 16 и в iMac 27.
Позавчера появилась информация о системе на кристалле Apple M1X.
Согласно ней, новый чип будет почти в 2 раза производительнее чем Apple M1.
Он будет иметь 12 ядер, а не 8, как в M1. Причём 8 из них будут производительными, а 4 — будут иметь низкое потребление энергии.
Скорее всего, чип появится во втором квартале этого года. Его будут использовать в новых MacBook Pro 14, 16 и в iMac 27.
Защищённый браузер Brave выдаёт реальный IP-адрес пользователя
При просмотре пользователем Tor-сайта, браузер показывает его DNS-серверу реальный IP-адрес пользователя.
Разработчики никогда не заявляли о защищённости пользователей при просмотре Tor-страниц.
Они напрямую сообщали о том, что не гарантируют приватность в таком режиме.
Эта функция была скорее придумана для удобного посещения .onion-страниц, но она не заменяет использование полноценного Tor-браузера.
При просмотре пользователем Tor-сайта, браузер показывает его DNS-серверу реальный IP-адрес пользователя.
Разработчики никогда не заявляли о защищённости пользователей при просмотре Tor-страниц.
Они напрямую сообщали о том, что не гарантируют приватность в таком режиме.
Эта функция была скорее придумана для удобного посещения .onion-страниц, но она не заменяет использование полноценного Tor-браузера.
Главные новости индустрии информационной безопасности в обзоре от главного редактора SecurityLab Александра Антипова
- Объекты критической инфраструктуры все чаще подвергаются атакам злоумышленников: в Бразилии и американском штате Флорида пресекли попытку устроить техногенную катастрофу
- Что такое GPS-спуфинг и как это может испортить вам поездку
- Как защитить свои банковские счета? Учимся на ошибках девушки, которая потеряла 2 млн. рублей, оставив телефон в такси
И главный инцидент недели: как добытая кибератаками криптовалюта помогает в финансировании ядерной программы
Подробнее в выпуске на YouTube
- Объекты критической инфраструктуры все чаще подвергаются атакам злоумышленников: в Бразилии и американском штате Флорида пресекли попытку устроить техногенную катастрофу
- Что такое GPS-спуфинг и как это может испортить вам поездку
- Как защитить свои банковские счета? Учимся на ошибках девушки, которая потеряла 2 млн. рублей, оставив телефон в такси
И главный инцидент недели: как добытая кибератаками криптовалюта помогает в финансировании ядерной программы
Подробнее в выпуске на YouTube
WhatsApp ограничит аккаунты, которые не примут новые правила мессенджера
Они не смогут ни читать, ни писать сообщения.
Об этом сообщил WhatsApp в письме одному из своих торговых партнёров.
Позже мессенджер подтвердил подлинность письма на своём сайте. Ограничения начнут действовать после 15 мая этого года.
Несмотря на то, что пользователи, которые не дадут согласие к этому времени, не смогут отправлять или получать сообщения, у них всё ещё будет доступ к звонкам и уведомлениям.
Такие аккаунты будут считаться неактивными и автоматически удалятся через 120 дней после вступления в силу новой политики.
Они не смогут ни читать, ни писать сообщения.
Об этом сообщил WhatsApp в письме одному из своих торговых партнёров.
Позже мессенджер подтвердил подлинность письма на своём сайте. Ограничения начнут действовать после 15 мая этого года.
Несмотря на то, что пользователи, которые не дадут согласие к этому времени, не смогут отправлять или получать сообщения, у них всё ещё будет доступ к звонкам и уведомлениям.
Такие аккаунты будут считаться неактивными и автоматически удалятся через 120 дней после вступления в силу новой политики.