Ни недели без Павла Дурова
В этот раз он решил высказаться об обществе и системе.
«Люди лучше работают в небольших группах менее 150 человек. Вот почему везде, где есть централизация и чрезмерная иерархия, присутствует неэффективность и недостаточно используемый человеческий потенциал»
«Это также причина того, почему такие страны, как Россия, не могут создавать и удерживать мировые бренды в своих юрисдикциях» - пишет Дуров.
В этот раз он решил высказаться об обществе и системе.
«Люди лучше работают в небольших группах менее 150 человек. Вот почему везде, где есть централизация и чрезмерная иерархия, присутствует неэффективность и недостаточно используемый человеческий потенциал»
«Это также причина того, почему такие страны, как Россия, не могут создавать и удерживать мировые бренды в своих юрисдикциях» - пишет Дуров.
Telegram
Pavel Durov
The "capitalism <-> socialism" opposition seems outdated. I prefer to think in terms of "centralization vs decentralization". Humans have evolved to perform best in small groups of less than 150 people. That's why wherever there's centralization and excessive…
Хакеры начали атаковать таргетировано
Мошенники придумали, как удешевить стоимость атаки: они начали отбирать жертв по критериям. Теперь переадресация на фейковые сайты настраивается исходя из соответствия пользователя заданным критериям.
Главные критерии отбора: геолокация, тип браузера и устройства, с которого пользователи заходят на фишинговый сайт.
Суть та же: злоумышленными создают фейковые страницы банков, вынуждая человека прислать логин и код из смс.
Такой таргетинг удешевляет стоимость атак, так как хакерам не нужно делать разные сайты под разные типы устройств.
Мошенники придумали, как удешевить стоимость атаки: они начали отбирать жертв по критериям. Теперь переадресация на фейковые сайты настраивается исходя из соответствия пользователя заданным критериям.
Главные критерии отбора: геолокация, тип браузера и устройства, с которого пользователи заходят на фишинговый сайт.
Суть та же: злоумышленными создают фейковые страницы банков, вынуждая человека прислать логин и код из смс.
Такой таргетинг удешевляет стоимость атак, так как хакерам не нужно делать разные сайты под разные типы устройств.
Местоположение смартфонов будет раскрываться без суда
Самое полезное и продуктивное министерство(Минцифры) готовит поправки в закон о связи, с принятием которых может избавить россиян от тайны связи.
Новая поправка позволит получать детализацию по звонкам, а также геолокацию смартфона без решения суда.
По сути, детализацию звонков правоохранители получали и раньше, но их действия были в «серой зоне». В 2019 году Мегафон и МТС оштрафовали налоговики за то, что компании отказались передавать им данные по звонкам. Операторы даже оспаривали это в суде, но проиграли. Суд решил, что предоставляемая информация не позволяет идентифицировать абонента, следовательно не относится к «тайне телефонных переговоров» из Конституции.
Но сейчас получается, что на основе данных о геолокации с устройства, сопоставления их с данными камер видеонаблюдения можно будет установить личность человека.
Пока Минцифры додумались закрыть пробел в законодательстве, технологии дошли до того, что идентифицировать личность благодаря этим данным стало возможно. Раньше силовики делали это полузаконно, а теперь эта поправка будет противоречить статье конституции. Закон за технологиями не успевает.
Идиоты, не иначе.
Самое полезное и продуктивное министерство(Минцифры) готовит поправки в закон о связи, с принятием которых может избавить россиян от тайны связи.
Новая поправка позволит получать детализацию по звонкам, а также геолокацию смартфона без решения суда.
По сути, детализацию звонков правоохранители получали и раньше, но их действия были в «серой зоне». В 2019 году Мегафон и МТС оштрафовали налоговики за то, что компании отказались передавать им данные по звонкам. Операторы даже оспаривали это в суде, но проиграли. Суд решил, что предоставляемая информация не позволяет идентифицировать абонента, следовательно не относится к «тайне телефонных переговоров» из Конституции.
Но сейчас получается, что на основе данных о геолокации с устройства, сопоставления их с данными камер видеонаблюдения можно будет установить личность человека.
Пока Минцифры додумались закрыть пробел в законодательстве, технологии дошли до того, что идентифицировать личность благодаря этим данным стало возможно. Раньше силовики делали это полузаконно, а теперь эта поправка будет противоречить статье конституции. Закон за технологиями не успевает.
Идиоты, не иначе.
Не отмороженный депутат Антон Горелкин сделал субъективный рейтинг IT-компаний по трём категориям: «лояльные», «нейтральные», «отмороженные».
Тут можно понять образ мышления Горелкина
Тут можно понять образ мышления Горелкина
This media is not supported in your browser
VIEW IN TELEGRAM
«Еду в Магадан» закончилось для Касперского сегодня
В Telegram появился бот для подмены номера
Функционал нового бота - хорошая предпосылка для очередного всплеска телефонного мошенничества. Можно подменять номер и изменять голос во время вызова. Никакого ПО для интернет-телефонии не требуется, поэтому технология доступна любому, кто заплатит деньги за услугу.
Помимо мошенников, бот могут использовать и пранкеры. Если у вас есть личный номер министра и, допустим, номер его зама, то благодаря функционалу вы сможете его разыграть. После оплаты бот предлагает ввести номер телефона человека, которому вы собираетесь звонить и номер, который должен высветиться на его смартфоне.
Всем, кто на днях делился своими персональными номерами в чатах, где раздавали инвайты в социальную сеть Clubhouse, пламенный «Привет»!
Функционал нового бота - хорошая предпосылка для очередного всплеска телефонного мошенничества. Можно подменять номер и изменять голос во время вызова. Никакого ПО для интернет-телефонии не требуется, поэтому технология доступна любому, кто заплатит деньги за услугу.
Помимо мошенников, бот могут использовать и пранкеры. Если у вас есть личный номер министра и, допустим, номер его зама, то благодаря функционалу вы сможете его разыграть. После оплаты бот предлагает ввести номер телефона человека, которому вы собираетесь звонить и номер, который должен высветиться на его смартфоне.
Всем, кто на днях делился своими персональными номерами в чатах, где раздавали инвайты в социальную сеть Clubhouse, пламенный «Привет»!
«Хабр» опубликовал рейтинг зарплат в IT по городам России за 2020
https://habr.com/ru/article/540718/?utm_source=telegram&utm_medium=social&utm_campaign=/ru/article/540718/
https://habr.com/ru/article/540718/?utm_source=telegram&utm_medium=social&utm_campaign=/ru/article/540718/
Для pornhub теперь нужен паспорт и биометрическая верификация
Pornhub анонсировал новую политику безопасности. Помните историю, как с этим сервисом перестали сотрудничать платежные системы из-за плохой модерации контента?
Для пользователей, загружающих видео, усложнят правила: им придётся проходить биометрическую верификацию и авторизовываться через документы.
После скандала с незаконным контентом, порно - сайт удалил 80% видео, так как они были загружены из непроверенных источников.
Теперь Pornhub готовит ещё и первый Transparency report среди сайтов для взрослых.
Где-то во вселенной на продажу выставят базу создателей хоум порно.
Pornhub анонсировал новую политику безопасности. Помните историю, как с этим сервисом перестали сотрудничать платежные системы из-за плохой модерации контента?
Для пользователей, загружающих видео, усложнят правила: им придётся проходить биометрическую верификацию и авторизовываться через документы.
После скандала с незаконным контентом, порно - сайт удалил 80% видео, так как они были загружены из непроверенных источников.
Теперь Pornhub готовит ещё и первый Transparency report среди сайтов для взрослых.
Где-то во вселенной на продажу выставят базу создателей хоум порно.
Google закрыли 0-day уязвимость для Windows, Mac и Linux
Уязвимость CVE-2021-21148 пофиксили в новой версии Chrome. Она была в движке V8 JavaScript и эксплуатировалась хакерами. Её описывают как ошибку нарушения целостности информационной памяти.
Она позволяла осуществлять выполнения произвольного кода. Поэтому, настоятельно советуем обновиться, прежде чем поехать бухать в бар.
https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html
Уязвимость CVE-2021-21148 пофиксили в новой версии Chrome. Она была в движке V8 JavaScript и эксплуатировалась хакерами. Её описывают как ошибку нарушения целостности информационной памяти.
Она позволяла осуществлять выполнения произвольного кода. Поэтому, настоятельно советуем обновиться, прежде чем поехать бухать в бар.
https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 88.0.4324.150 for Windows, Mac and Linux which will roll out over the coming days/weeks. A full list ...
Тем временем, мальчики, в гугле решили не отставать от своего брата по тяге к монополизации рынка. В компании вслед за Apple создают собственную систему защиты от отслеживания для Android. Если кто-то забыл или не слышал, Apple уже сделали такую для AppStore.
Цель у обоих гигантов BigTech благая: ограничить сбор данных пользователей и отслеживание их приложениями(читай: задавить Цукерберга). Цукерберг после объявления Тимом Куком новых правил был в бешенстве. Но то была только одна компания. Как будет действовать Марк, когда окажется под давлением двух крупных владельцев магазинов приложений - очень любопытно.
У Apple App Tracking Transparency вступит в силу в марте 2021. Без согласия пользователя приложение не сможет собирать никаких данных, даже уникальный идентификатор устройства. Жёстко.
Цель у обоих гигантов BigTech благая: ограничить сбор данных пользователей и отслеживание их приложениями(читай: задавить Цукерберга). Цукерберг после объявления Тимом Куком новых правил был в бешенстве. Но то была только одна компания. Как будет действовать Марк, когда окажется под давлением двух крупных владельцев магазинов приложений - очень любопытно.
У Apple App Tracking Transparency вступит в силу в марте 2021. Без согласия пользователя приложение не сможет собирать никаких данных, даже уникальный идентификатор устройства. Жёстко.
Как относить к намерению Apple и Google регулировать сбор данных пользователей?
Anonymous Poll
72%
Это правильное решение
15%
Слишком жёстко для разработчиков
13%
Не знаю
Google выплатил $6, 7 млн участникам Bug Bounty
Такая сумма - совокупность всех вознаграждений за 2020 год. Самая большая разовая выплата составила $132 тыс. Это, во-первых, заставляет задуматься о том, что «легальный» хакинг тоже может быть хорошим способом заработать деньги. Во-вторых, можно сделать вывод о том, что в продуктах гугла много дыр: всего награждено 622 участника. Наверняка, кто-то работал командами, но все же 622 человека - достаточно большие цифры. Google всегда была одной из самых щедрых компаний в рамках Bug Bounty. Не малую роль в этом играет понимание того, сколько денег можно сэкономить. Что лучше: выплатить $6,7 млн участникам, обнаружившим уязвимости или потерять миллиарды, когда уже будет поздно? Вопрос риторический.
https://www.xda-developers.com/google-paid-over-6-7-million-bug-bounty-rewards-2020/
Такая сумма - совокупность всех вознаграждений за 2020 год. Самая большая разовая выплата составила $132 тыс. Это, во-первых, заставляет задуматься о том, что «легальный» хакинг тоже может быть хорошим способом заработать деньги. Во-вторых, можно сделать вывод о том, что в продуктах гугла много дыр: всего награждено 622 участника. Наверняка, кто-то работал командами, но все же 622 человека - достаточно большие цифры. Google всегда была одной из самых щедрых компаний в рамках Bug Bounty. Не малую роль в этом играет понимание того, сколько денег можно сэкономить. Что лучше: выплатить $6,7 млн участникам, обнаружившим уязвимости или потерять миллиарды, когда уже будет поздно? Вопрос риторический.
https://www.xda-developers.com/google-paid-over-6-7-million-bug-bounty-rewards-2020/
XDA Developers
Google paid out over $6.7 million in bug bounty rewards last year
In 2020, Google paid over $6.7 million to security researchers around the world for reporting security vulnerabilities in Google products.
Данные об эскортницах и их клиентах утекли в сеть
Киберугрозы медленно, но верно доходят до секс-индустрии. То у Tinder с Grindr проблемы, то PornHub, чувствуя время, усложняет правила верификации и добавляет биометрию, а про мужской пояс верности, блокирующийся через приложение, не слышал только ленивый. Теперь и бедные мексиканские эскортницы пострадали от большой дыры. Естественно, на их сайте.
На сервисе была информация о
472 695 участников. Это как 50% жителей Воронежа. Информация включала отображаемое имя, адрес электронной почты, хэшированные пароли MD5, необязательные имена учетных записей Skype, дату рождения и IP-адрес.
Работницы индустрии делились там фотографиями, контактной информацией и биографией с потенциальными клиентами. Клиенты же публиковали отзывы и оценивали девушек, основываясь на своём опыте. Стандартно, как и везде.
Утечка большая и грозит серьезными проблемами пострадавшим: тут вам и шантаж и даже самоубийство, если у кого-то особо сложная ситуация и слабая психика.
Киберугрозы медленно, но верно доходят до секс-индустрии. То у Tinder с Grindr проблемы, то PornHub, чувствуя время, усложняет правила верификации и добавляет биометрию, а про мужской пояс верности, блокирующийся через приложение, не слышал только ленивый. Теперь и бедные мексиканские эскортницы пострадали от большой дыры. Естественно, на их сайте.
На сервисе была информация о
472 695 участников. Это как 50% жителей Воронежа. Информация включала отображаемое имя, адрес электронной почты, хэшированные пароли MD5, необязательные имена учетных записей Skype, дату рождения и IP-адрес.
Работницы индустрии делились там фотографиями, контактной информацией и биографией с потенциальными клиентами. Клиенты же публиковали отзывы и оценивали девушек, основываясь на своём опыте. Стандартно, как и везде.
Утечка большая и грозит серьезными проблемами пострадавшим: тут вам и шантаж и даже самоубийство, если у кого-то особо сложная ситуация и слабая психика.
Cybrary до конца февраля сделали бесплатными свои самые лучшие курсы по кибербезопасности. Там сертификат CISSP, внутренние угрозы, основы облачной архитектуры, управление доступом к идентификаторам AWS и много всего ещё.
Ссылка на Reddit:
https://www.reddit.com/r/cybersecurity/comments/le0pt9/free_training_month_of_february_cybrary_select/
Ссылка на Reddit:
https://www.reddit.com/r/cybersecurity/comments/le0pt9/free_training_month_of_february_cybrary_select/
«Свободный» мессенджер Signal оказался не таким
Снова вспоминаем WhatsApp, который своей PR-ошибкой заварил кашу с ростом аудитории у Signal и Telegram. Мессенджер всего лишь неправильно преподнёс пользователям обновление политики конфиденциальности, а рок-звезды IT - Дуров и Илон Маск прорекламировали более безопасные и «свободные» мессенджеры на волне всеобщей паники.
Ну так вот в чем соль: иранские власти заблокировали Signal на своей территории. Ответка от мессенджера была такая: Давайте поддержим цифровую демократию и создадим TLS-прокси для обхода блокировки.
Исследователь DuckSoft обнаружил в прокси уязвимость и написал об этом статью на GitHub. Админы Signal выразили недовольство, назвав исследователя не этичным и безответственным, а статью с GitHub удалили. По их мнению, надо было по тихому нашептать об обнаруженной уязвимости специалистам по безопасности, а не выкатывать статью на GitHub. Исследователи перезалили статью на GitHub после удаления, а потом и BleepingComputer написал об обнаруженной уязвимости.
Под давлением админов Signal статью с BleepingComputer удалили. Цензура от «свободного» мессенджера? Везде двойные стандарты(
Снова вспоминаем WhatsApp, который своей PR-ошибкой заварил кашу с ростом аудитории у Signal и Telegram. Мессенджер всего лишь неправильно преподнёс пользователям обновление политики конфиденциальности, а рок-звезды IT - Дуров и Илон Маск прорекламировали более безопасные и «свободные» мессенджеры на волне всеобщей паники.
Ну так вот в чем соль: иранские власти заблокировали Signal на своей территории. Ответка от мессенджера была такая: Давайте поддержим цифровую демократию и создадим TLS-прокси для обхода блокировки.
Исследователь DuckSoft обнаружил в прокси уязвимость и написал об этом статью на GitHub. Админы Signal выразили недовольство, назвав исследователя не этичным и безответственным, а статью с GitHub удалили. По их мнению, надо было по тихому нашептать об обнаруженной уязвимости специалистам по безопасности, а не выкатывать статью на GitHub. Исследователи перезалили статью на GitHub после удаления, а потом и BleepingComputer написал об обнаруженной уязвимости.
Под давлением админов Signal статью с BleepingComputer удалили. Цензура от «свободного» мессенджера? Везде двойные стандарты(
Google сдались полиции
Полиция города Миннеаполис, где в 2020 проходили погромы после смерти Джорджа Флойда, надавила на Google. Компании пришлось раскрыть данные участников погромов.
Конкретизируем: полиция получила доступ к учетным записям, привязанным к устройствам, которые согласно метаданным были рядом с местами погромов. Google сдалась. Сначала компания уведомила каждого, кого сдала копам, а потом их обыскали сами полицейские.
Но это не первый раз, когда правоохранители США отправляют подобные запросы. В 2019 году только за одну неделю они направили 190 таких запросов. Ай-ай-ай!
Эти действия, оказывается, противоречат конституции США, так как Google передаёт данные тех, кто был рядом, а не тех, кто точно был виновен.
Но не нам в России этому удивляться)
Полиция города Миннеаполис, где в 2020 проходили погромы после смерти Джорджа Флойда, надавила на Google. Компании пришлось раскрыть данные участников погромов.
Конкретизируем: полиция получила доступ к учетным записям, привязанным к устройствам, которые согласно метаданным были рядом с местами погромов. Google сдалась. Сначала компания уведомила каждого, кого сдала копам, а потом их обыскали сами полицейские.
Но это не первый раз, когда правоохранители США отправляют подобные запросы. В 2019 году только за одну неделю они направили 190 таких запросов. Ай-ай-ай!
Эти действия, оказывается, противоречат конституции США, так как Google передаёт данные тех, кто был рядом, а не тех, кто точно был виновен.
Но не нам в России этому удивляться)
НАТО против 5G в России
Без нормальной связи могут остаться 11 субъектов. Все дело в недоступности частот. Хорошие частоты (3,4-3,8 ГГц) не хотят отдавать военные, а 4,8-4,99, которые хочет Минцифры, могут быть недоступны из-за военных НАТО.
В общем, балтийские страны высказались против того, чтобы базовые станции для 5G располагались в 350 км от границ, так как они могут мешать радиолокационным системам. В Финляндии, Латвии и тд все средства радиолокации унифицированы с ЕС, поэтому для размещения нашего оборудования требуется дополнительное согласование.
Первым может огрести МТС, так как оператор сейчас тестирует свою зону 5G в Кронштадте, следом проблемы появятся на Кавказе(рядом Азербайджан и Грузия, которые закупают западное вооружение).
Российское оборудование для 5G делает «Ростех». На днях они презентовали первую российскую базовую станцию для 4G(на фото 👆)
Без нормальной связи могут остаться 11 субъектов. Все дело в недоступности частот. Хорошие частоты (3,4-3,8 ГГц) не хотят отдавать военные, а 4,8-4,99, которые хочет Минцифры, могут быть недоступны из-за военных НАТО.
В общем, балтийские страны высказались против того, чтобы базовые станции для 5G располагались в 350 км от границ, так как они могут мешать радиолокационным системам. В Финляндии, Латвии и тд все средства радиолокации унифицированы с ЕС, поэтому для размещения нашего оборудования требуется дополнительное согласование.
Первым может огрести МТС, так как оператор сейчас тестирует свою зону 5G в Кронштадте, следом проблемы появятся на Кавказе(рядом Азербайджан и Грузия, которые закупают западное вооружение).
Российское оборудование для 5G делает «Ростех». На днях они презентовали первую российскую базовую станцию для 4G(на фото 👆)