Хакеры начали атаковать таргетировано
Мошенники придумали, как удешевить стоимость атаки: они начали отбирать жертв по критериям. Теперь переадресация на фейковые сайты настраивается исходя из соответствия пользователя заданным критериям.
Главные критерии отбора: геолокация, тип браузера и устройства, с которого пользователи заходят на фишинговый сайт.
Суть та же: злоумышленными создают фейковые страницы банков, вынуждая человека прислать логин и код из смс.
Такой таргетинг удешевляет стоимость атак, так как хакерам не нужно делать разные сайты под разные типы устройств.
Мошенники придумали, как удешевить стоимость атаки: они начали отбирать жертв по критериям. Теперь переадресация на фейковые сайты настраивается исходя из соответствия пользователя заданным критериям.
Главные критерии отбора: геолокация, тип браузера и устройства, с которого пользователи заходят на фишинговый сайт.
Суть та же: злоумышленными создают фейковые страницы банков, вынуждая человека прислать логин и код из смс.
Такой таргетинг удешевляет стоимость атак, так как хакерам не нужно делать разные сайты под разные типы устройств.
Местоположение смартфонов будет раскрываться без суда
Самое полезное и продуктивное министерство(Минцифры) готовит поправки в закон о связи, с принятием которых может избавить россиян от тайны связи.
Новая поправка позволит получать детализацию по звонкам, а также геолокацию смартфона без решения суда.
По сути, детализацию звонков правоохранители получали и раньше, но их действия были в «серой зоне». В 2019 году Мегафон и МТС оштрафовали налоговики за то, что компании отказались передавать им данные по звонкам. Операторы даже оспаривали это в суде, но проиграли. Суд решил, что предоставляемая информация не позволяет идентифицировать абонента, следовательно не относится к «тайне телефонных переговоров» из Конституции.
Но сейчас получается, что на основе данных о геолокации с устройства, сопоставления их с данными камер видеонаблюдения можно будет установить личность человека.
Пока Минцифры додумались закрыть пробел в законодательстве, технологии дошли до того, что идентифицировать личность благодаря этим данным стало возможно. Раньше силовики делали это полузаконно, а теперь эта поправка будет противоречить статье конституции. Закон за технологиями не успевает.
Идиоты, не иначе.
Самое полезное и продуктивное министерство(Минцифры) готовит поправки в закон о связи, с принятием которых может избавить россиян от тайны связи.
Новая поправка позволит получать детализацию по звонкам, а также геолокацию смартфона без решения суда.
По сути, детализацию звонков правоохранители получали и раньше, но их действия были в «серой зоне». В 2019 году Мегафон и МТС оштрафовали налоговики за то, что компании отказались передавать им данные по звонкам. Операторы даже оспаривали это в суде, но проиграли. Суд решил, что предоставляемая информация не позволяет идентифицировать абонента, следовательно не относится к «тайне телефонных переговоров» из Конституции.
Но сейчас получается, что на основе данных о геолокации с устройства, сопоставления их с данными камер видеонаблюдения можно будет установить личность человека.
Пока Минцифры додумались закрыть пробел в законодательстве, технологии дошли до того, что идентифицировать личность благодаря этим данным стало возможно. Раньше силовики делали это полузаконно, а теперь эта поправка будет противоречить статье конституции. Закон за технологиями не успевает.
Идиоты, не иначе.
Не отмороженный депутат Антон Горелкин сделал субъективный рейтинг IT-компаний по трём категориям: «лояльные», «нейтральные», «отмороженные».
Тут можно понять образ мышления Горелкина
Тут можно понять образ мышления Горелкина
This media is not supported in your browser
VIEW IN TELEGRAM
«Еду в Магадан» закончилось для Касперского сегодня
В Telegram появился бот для подмены номера
Функционал нового бота - хорошая предпосылка для очередного всплеска телефонного мошенничества. Можно подменять номер и изменять голос во время вызова. Никакого ПО для интернет-телефонии не требуется, поэтому технология доступна любому, кто заплатит деньги за услугу.
Помимо мошенников, бот могут использовать и пранкеры. Если у вас есть личный номер министра и, допустим, номер его зама, то благодаря функционалу вы сможете его разыграть. После оплаты бот предлагает ввести номер телефона человека, которому вы собираетесь звонить и номер, который должен высветиться на его смартфоне.
Всем, кто на днях делился своими персональными номерами в чатах, где раздавали инвайты в социальную сеть Clubhouse, пламенный «Привет»!
Функционал нового бота - хорошая предпосылка для очередного всплеска телефонного мошенничества. Можно подменять номер и изменять голос во время вызова. Никакого ПО для интернет-телефонии не требуется, поэтому технология доступна любому, кто заплатит деньги за услугу.
Помимо мошенников, бот могут использовать и пранкеры. Если у вас есть личный номер министра и, допустим, номер его зама, то благодаря функционалу вы сможете его разыграть. После оплаты бот предлагает ввести номер телефона человека, которому вы собираетесь звонить и номер, который должен высветиться на его смартфоне.
Всем, кто на днях делился своими персональными номерами в чатах, где раздавали инвайты в социальную сеть Clubhouse, пламенный «Привет»!
«Хабр» опубликовал рейтинг зарплат в IT по городам России за 2020
https://habr.com/ru/article/540718/?utm_source=telegram&utm_medium=social&utm_campaign=/ru/article/540718/
https://habr.com/ru/article/540718/?utm_source=telegram&utm_medium=social&utm_campaign=/ru/article/540718/
Для pornhub теперь нужен паспорт и биометрическая верификация
Pornhub анонсировал новую политику безопасности. Помните историю, как с этим сервисом перестали сотрудничать платежные системы из-за плохой модерации контента?
Для пользователей, загружающих видео, усложнят правила: им придётся проходить биометрическую верификацию и авторизовываться через документы.
После скандала с незаконным контентом, порно - сайт удалил 80% видео, так как они были загружены из непроверенных источников.
Теперь Pornhub готовит ещё и первый Transparency report среди сайтов для взрослых.
Где-то во вселенной на продажу выставят базу создателей хоум порно.
Pornhub анонсировал новую политику безопасности. Помните историю, как с этим сервисом перестали сотрудничать платежные системы из-за плохой модерации контента?
Для пользователей, загружающих видео, усложнят правила: им придётся проходить биометрическую верификацию и авторизовываться через документы.
После скандала с незаконным контентом, порно - сайт удалил 80% видео, так как они были загружены из непроверенных источников.
Теперь Pornhub готовит ещё и первый Transparency report среди сайтов для взрослых.
Где-то во вселенной на продажу выставят базу создателей хоум порно.
Google закрыли 0-day уязвимость для Windows, Mac и Linux
Уязвимость CVE-2021-21148 пофиксили в новой версии Chrome. Она была в движке V8 JavaScript и эксплуатировалась хакерами. Её описывают как ошибку нарушения целостности информационной памяти.
Она позволяла осуществлять выполнения произвольного кода. Поэтому, настоятельно советуем обновиться, прежде чем поехать бухать в бар.
https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html
Уязвимость CVE-2021-21148 пофиксили в новой версии Chrome. Она была в движке V8 JavaScript и эксплуатировалась хакерами. Её описывают как ошибку нарушения целостности информационной памяти.
Она позволяла осуществлять выполнения произвольного кода. Поэтому, настоятельно советуем обновиться, прежде чем поехать бухать в бар.
https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 88.0.4324.150 for Windows, Mac and Linux which will roll out over the coming days/weeks. A full list ...
Тем временем, мальчики, в гугле решили не отставать от своего брата по тяге к монополизации рынка. В компании вслед за Apple создают собственную систему защиты от отслеживания для Android. Если кто-то забыл или не слышал, Apple уже сделали такую для AppStore.
Цель у обоих гигантов BigTech благая: ограничить сбор данных пользователей и отслеживание их приложениями(читай: задавить Цукерберга). Цукерберг после объявления Тимом Куком новых правил был в бешенстве. Но то была только одна компания. Как будет действовать Марк, когда окажется под давлением двух крупных владельцев магазинов приложений - очень любопытно.
У Apple App Tracking Transparency вступит в силу в марте 2021. Без согласия пользователя приложение не сможет собирать никаких данных, даже уникальный идентификатор устройства. Жёстко.
Цель у обоих гигантов BigTech благая: ограничить сбор данных пользователей и отслеживание их приложениями(читай: задавить Цукерберга). Цукерберг после объявления Тимом Куком новых правил был в бешенстве. Но то была только одна компания. Как будет действовать Марк, когда окажется под давлением двух крупных владельцев магазинов приложений - очень любопытно.
У Apple App Tracking Transparency вступит в силу в марте 2021. Без согласия пользователя приложение не сможет собирать никаких данных, даже уникальный идентификатор устройства. Жёстко.
Как относить к намерению Apple и Google регулировать сбор данных пользователей?
Anonymous Poll
72%
Это правильное решение
15%
Слишком жёстко для разработчиков
13%
Не знаю
Google выплатил $6, 7 млн участникам Bug Bounty
Такая сумма - совокупность всех вознаграждений за 2020 год. Самая большая разовая выплата составила $132 тыс. Это, во-первых, заставляет задуматься о том, что «легальный» хакинг тоже может быть хорошим способом заработать деньги. Во-вторых, можно сделать вывод о том, что в продуктах гугла много дыр: всего награждено 622 участника. Наверняка, кто-то работал командами, но все же 622 человека - достаточно большие цифры. Google всегда была одной из самых щедрых компаний в рамках Bug Bounty. Не малую роль в этом играет понимание того, сколько денег можно сэкономить. Что лучше: выплатить $6,7 млн участникам, обнаружившим уязвимости или потерять миллиарды, когда уже будет поздно? Вопрос риторический.
https://www.xda-developers.com/google-paid-over-6-7-million-bug-bounty-rewards-2020/
Такая сумма - совокупность всех вознаграждений за 2020 год. Самая большая разовая выплата составила $132 тыс. Это, во-первых, заставляет задуматься о том, что «легальный» хакинг тоже может быть хорошим способом заработать деньги. Во-вторых, можно сделать вывод о том, что в продуктах гугла много дыр: всего награждено 622 участника. Наверняка, кто-то работал командами, но все же 622 человека - достаточно большие цифры. Google всегда была одной из самых щедрых компаний в рамках Bug Bounty. Не малую роль в этом играет понимание того, сколько денег можно сэкономить. Что лучше: выплатить $6,7 млн участникам, обнаружившим уязвимости или потерять миллиарды, когда уже будет поздно? Вопрос риторический.
https://www.xda-developers.com/google-paid-over-6-7-million-bug-bounty-rewards-2020/
XDA Developers
Google paid out over $6.7 million in bug bounty rewards last year
In 2020, Google paid over $6.7 million to security researchers around the world for reporting security vulnerabilities in Google products.
Данные об эскортницах и их клиентах утекли в сеть
Киберугрозы медленно, но верно доходят до секс-индустрии. То у Tinder с Grindr проблемы, то PornHub, чувствуя время, усложняет правила верификации и добавляет биометрию, а про мужской пояс верности, блокирующийся через приложение, не слышал только ленивый. Теперь и бедные мексиканские эскортницы пострадали от большой дыры. Естественно, на их сайте.
На сервисе была информация о
472 695 участников. Это как 50% жителей Воронежа. Информация включала отображаемое имя, адрес электронной почты, хэшированные пароли MD5, необязательные имена учетных записей Skype, дату рождения и IP-адрес.
Работницы индустрии делились там фотографиями, контактной информацией и биографией с потенциальными клиентами. Клиенты же публиковали отзывы и оценивали девушек, основываясь на своём опыте. Стандартно, как и везде.
Утечка большая и грозит серьезными проблемами пострадавшим: тут вам и шантаж и даже самоубийство, если у кого-то особо сложная ситуация и слабая психика.
Киберугрозы медленно, но верно доходят до секс-индустрии. То у Tinder с Grindr проблемы, то PornHub, чувствуя время, усложняет правила верификации и добавляет биометрию, а про мужской пояс верности, блокирующийся через приложение, не слышал только ленивый. Теперь и бедные мексиканские эскортницы пострадали от большой дыры. Естественно, на их сайте.
На сервисе была информация о
472 695 участников. Это как 50% жителей Воронежа. Информация включала отображаемое имя, адрес электронной почты, хэшированные пароли MD5, необязательные имена учетных записей Skype, дату рождения и IP-адрес.
Работницы индустрии делились там фотографиями, контактной информацией и биографией с потенциальными клиентами. Клиенты же публиковали отзывы и оценивали девушек, основываясь на своём опыте. Стандартно, как и везде.
Утечка большая и грозит серьезными проблемами пострадавшим: тут вам и шантаж и даже самоубийство, если у кого-то особо сложная ситуация и слабая психика.
Cybrary до конца февраля сделали бесплатными свои самые лучшие курсы по кибербезопасности. Там сертификат CISSP, внутренние угрозы, основы облачной архитектуры, управление доступом к идентификаторам AWS и много всего ещё.
Ссылка на Reddit:
https://www.reddit.com/r/cybersecurity/comments/le0pt9/free_training_month_of_february_cybrary_select/
Ссылка на Reddit:
https://www.reddit.com/r/cybersecurity/comments/le0pt9/free_training_month_of_february_cybrary_select/
«Свободный» мессенджер Signal оказался не таким
Снова вспоминаем WhatsApp, который своей PR-ошибкой заварил кашу с ростом аудитории у Signal и Telegram. Мессенджер всего лишь неправильно преподнёс пользователям обновление политики конфиденциальности, а рок-звезды IT - Дуров и Илон Маск прорекламировали более безопасные и «свободные» мессенджеры на волне всеобщей паники.
Ну так вот в чем соль: иранские власти заблокировали Signal на своей территории. Ответка от мессенджера была такая: Давайте поддержим цифровую демократию и создадим TLS-прокси для обхода блокировки.
Исследователь DuckSoft обнаружил в прокси уязвимость и написал об этом статью на GitHub. Админы Signal выразили недовольство, назвав исследователя не этичным и безответственным, а статью с GitHub удалили. По их мнению, надо было по тихому нашептать об обнаруженной уязвимости специалистам по безопасности, а не выкатывать статью на GitHub. Исследователи перезалили статью на GitHub после удаления, а потом и BleepingComputer написал об обнаруженной уязвимости.
Под давлением админов Signal статью с BleepingComputer удалили. Цензура от «свободного» мессенджера? Везде двойные стандарты(
Снова вспоминаем WhatsApp, который своей PR-ошибкой заварил кашу с ростом аудитории у Signal и Telegram. Мессенджер всего лишь неправильно преподнёс пользователям обновление политики конфиденциальности, а рок-звезды IT - Дуров и Илон Маск прорекламировали более безопасные и «свободные» мессенджеры на волне всеобщей паники.
Ну так вот в чем соль: иранские власти заблокировали Signal на своей территории. Ответка от мессенджера была такая: Давайте поддержим цифровую демократию и создадим TLS-прокси для обхода блокировки.
Исследователь DuckSoft обнаружил в прокси уязвимость и написал об этом статью на GitHub. Админы Signal выразили недовольство, назвав исследователя не этичным и безответственным, а статью с GitHub удалили. По их мнению, надо было по тихому нашептать об обнаруженной уязвимости специалистам по безопасности, а не выкатывать статью на GitHub. Исследователи перезалили статью на GitHub после удаления, а потом и BleepingComputer написал об обнаруженной уязвимости.
Под давлением админов Signal статью с BleepingComputer удалили. Цензура от «свободного» мессенджера? Везде двойные стандарты(
Google сдались полиции
Полиция города Миннеаполис, где в 2020 проходили погромы после смерти Джорджа Флойда, надавила на Google. Компании пришлось раскрыть данные участников погромов.
Конкретизируем: полиция получила доступ к учетным записям, привязанным к устройствам, которые согласно метаданным были рядом с местами погромов. Google сдалась. Сначала компания уведомила каждого, кого сдала копам, а потом их обыскали сами полицейские.
Но это не первый раз, когда правоохранители США отправляют подобные запросы. В 2019 году только за одну неделю они направили 190 таких запросов. Ай-ай-ай!
Эти действия, оказывается, противоречат конституции США, так как Google передаёт данные тех, кто был рядом, а не тех, кто точно был виновен.
Но не нам в России этому удивляться)
Полиция города Миннеаполис, где в 2020 проходили погромы после смерти Джорджа Флойда, надавила на Google. Компании пришлось раскрыть данные участников погромов.
Конкретизируем: полиция получила доступ к учетным записям, привязанным к устройствам, которые согласно метаданным были рядом с местами погромов. Google сдалась. Сначала компания уведомила каждого, кого сдала копам, а потом их обыскали сами полицейские.
Но это не первый раз, когда правоохранители США отправляют подобные запросы. В 2019 году только за одну неделю они направили 190 таких запросов. Ай-ай-ай!
Эти действия, оказывается, противоречат конституции США, так как Google передаёт данные тех, кто был рядом, а не тех, кто точно был виновен.
Но не нам в России этому удивляться)
НАТО против 5G в России
Без нормальной связи могут остаться 11 субъектов. Все дело в недоступности частот. Хорошие частоты (3,4-3,8 ГГц) не хотят отдавать военные, а 4,8-4,99, которые хочет Минцифры, могут быть недоступны из-за военных НАТО.
В общем, балтийские страны высказались против того, чтобы базовые станции для 5G располагались в 350 км от границ, так как они могут мешать радиолокационным системам. В Финляндии, Латвии и тд все средства радиолокации унифицированы с ЕС, поэтому для размещения нашего оборудования требуется дополнительное согласование.
Первым может огрести МТС, так как оператор сейчас тестирует свою зону 5G в Кронштадте, следом проблемы появятся на Кавказе(рядом Азербайджан и Грузия, которые закупают западное вооружение).
Российское оборудование для 5G делает «Ростех». На днях они презентовали первую российскую базовую станцию для 4G(на фото 👆)
Без нормальной связи могут остаться 11 субъектов. Все дело в недоступности частот. Хорошие частоты (3,4-3,8 ГГц) не хотят отдавать военные, а 4,8-4,99, которые хочет Минцифры, могут быть недоступны из-за военных НАТО.
В общем, балтийские страны высказались против того, чтобы базовые станции для 5G располагались в 350 км от границ, так как они могут мешать радиолокационным системам. В Финляндии, Латвии и тд все средства радиолокации унифицированы с ЕС, поэтому для размещения нашего оборудования требуется дополнительное согласование.
Первым может огрести МТС, так как оператор сейчас тестирует свою зону 5G в Кронштадте, следом проблемы появятся на Кавказе(рядом Азербайджан и Грузия, которые закупают западное вооружение).
Российское оборудование для 5G делает «Ростех». На днях они презентовали первую российскую базовую станцию для 4G(на фото 👆)
Новостей так много, что лучше коротко обо всем в одном посте:
-В Китае заблокировали голосовую социальную сеть ClubHous, так как жители страны могли обсуждать в ней политические темы без цензуры.
-ЕС хочет, чтобы Google платил СМИ за контент. Пример им подали Австралийские власти, где компания сначала отказалась платить медиа, но после объявления поисковика от Microsoft доминирующим резко передумала.
-Роскомнадзор сделал приложение, где любой Homo Sapiens сможет подать жалобу на любой сайт. Плюс там один: если ваш сайт заблокировали, вы получите извещение об этом.
-В приложении для сканирования QR-кодов обнаружили троян. После этого его удалили из Google Play. На момент удаления его скачали более 10 млн раз.
-В Китае заблокировали голосовую социальную сеть ClubHous, так как жители страны могли обсуждать в ней политические темы без цензуры.
-ЕС хочет, чтобы Google платил СМИ за контент. Пример им подали Австралийские власти, где компания сначала отказалась платить медиа, но после объявления поисковика от Microsoft доминирующим резко передумала.
-Роскомнадзор сделал приложение, где любой Homo Sapiens сможет подать жалобу на любой сайт. Плюс там один: если ваш сайт заблокировали, вы получите извещение об этом.
-В приложении для сканирования QR-кодов обнаружили троян. После этого его удалили из Google Play. На момент удаления его скачали более 10 млн раз.