Security-новости от Александра Антипова (securitylab.ru). Выпуск #30

Главный редактор Securitylab.ru Александр Антипов еженедельно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на жизнь людей.

В тридцатом выпуске:

- экспертов беспокоит риск вмешательства в частную жизнь с помощью нейротехнологий,
- кинокомпании требуют от VPN-провайдеров хранить данные пользователей и отключать пиратов,
- в Китае детям запретили играть в видеоигры больше 3-х часов в неделю,
- в Microsoft Azure найдена худшая «облачная» уязвимость,
- обнаружен способ обхода PIN-кодов для бесконтактных платежей картами Mastercard и Maestro,
- талибы (движение внесено в список организаций, признанных в России террористическими, его деятельность запрещена) получили доступ к биометрическим данным афганцев,
- атаки китайских хакеров на Microsoft Exchange могут быть связаны с исследованиями ИИ,
- Дуров раскритиковал Apple и Google за цензуру информации,
- завершен 18-летний судебный процесс между компаниями IBM и SCO,
- инвесторы поверили в спутниковую связь на новых iPhone,
- Google заплатит Apple $15 млрд. за сохранение статуса главного поисковика в Safari,
- Cream Finance возместит пользователям украденные средства.

https://www.youtube.com/watch?v=x6Cj0CIgCAo

Касперский: Отказ от приватности - это налог на лучшую жизнь

Евгений Касперский заявил, что каждый обладатель смартфона и иного гаджета "прозрачен" для Глобальной сети. Всё, что пользователь читает, фотографирует - всё это может в одночасье оказаться в открытом доступе.

"Многие устройства, которые меняют вашу жизнь к лучшему, мы за них платим своей privacy. То есть это налог на лучшую жизнь! Я помню мир без мобильных и интернета, я не хочу обратно! Я готов пожертвовать немножко своей privacy, чтобы жить в лучшем мире", - заявил Евгений Касперский.

https://www.securitylab.ru/news/524072.php

🇷🇺В России обсуждают интеграцию преподавания кибергигиены и кибербезопасности в программу существующих предметов.

Об этом во время всероссийского марафона "Новое знание" сказал глава Минцифры Максут Шадаев.

С точки зрения педагогов, по мнению министра, содержательно курс кибербезопасности и кибергигиены наиболее подходит таким школьным дисциплинам, как ОБЖ и технология.

Если во внимание возьмут уроки ОБЖ, то предварительно планируется половину их тематики посвятить новому курсу. На уроках технологии можно также прививать навыки безопасного использования цифровых сервисов.

https://www.securitylab.ru/news/524106.php
-

📧ProtonMail раскрыл IP-адреса ряда своих французских пользователей, связанных с «зеленым» движением Youth for Climate.

Данные были предоставлены по запросу властей Франции, после чего эти пользователи оказались под арестом.

Между тем в политике конфиденциальности ProtonMail говорится, что компания «по умолчанию не ведет журналы IP», а «для создания защищенной учетной записи электронной почты не требуется никакой личной информации».

🇨🇭В ProtonMail пояснили, что IP-адреса всё же собираются, «но не по умолчанию», а согласно законодательству Швейцарии, где расположены штаб-квартира и серверы компании-владельца сервиса.

https://www.securitylab.ru/news/524107.php

🇷🇺У российских пользователей начались проблемы с протоколом BitTorrent

Компанией «Ростелеком» фактически запрещено скачивание торрент-файлов.

Обсуждение на OpenNET началась в связи с блокировкой Роскомнадзором шести сервисов виртуальной приватной сети (VPN) 3 сентября

Некоторые пользователи отметили снижение скорости загрузки торрент-файлов, тогда как другие говорят, что блокировка затрагивает только пользователей Уральского региона.

https://www.securitylab.ru/news/524138.php

🐻Вечером 6 сентября на внешнем экране торгового центра «МегаБерёзка» в Южно-Сахалинске рекламу сменило видеообращение группы хакеров «Анонимус

👺Мужчина в маске обратился к жителям острова, напомнив об экологических проблемах и Парижском соглашении по климату. Был также взломан и сайт торгового центра – на нём транслировалось то же самое видео.

В полутораминутном ролике человек в маске Гая Фокса на французском языке с русским переводом приветствует жителей Сахалина и предлагает им познакомиться.

«Мы не позволим вам остаться безнаказанными. Здесь и сейчас мы подводим черту. Вы поплатитесь за свой цинизм. Мы “Анонимус”. Нас легион», – так завершил свою речь неизвестный.

https://www.securitylab.ru/news/524153.php

🇸🇬В Сингапуре начали тестировать робота, следящего за порядком на улицах

Робот будет обнаруживать неправильную парковку велосипедов, мопеды на пешеходных дорожках, курение в общественных местах и много другое

это совместный проект компании Home Team Science and Technology Agency (HTX), Национального агентства по окружающей среде, управления наземного транспорта, Сингапурского продовольственного агентства и Совета по жилищному строительству и развитию.

Власти Сингапура считают, что применение робота Xavier поддержит работу государственных служащих, поскольку сократит количество людей, необходимых для пеших патрулей, и повысит эффективность операций.

https://www.securitylab.ru/news/524154.php

Модераторы WhatsApp могут просматривать личные сообщения пользователей

Когда в марте 2019 года глава Facebook Марк Цукерберг представил новый подход компании к конфиденциальности, в качестве примера он привел мессенджер WhatsApp и его основную особенность – сквозное шифрование, превращающее сообщения в нечитаемый формат, которые могут просмотреть только те, кому они предназначались. Как уверял Цукерберг, больше никто, даже сама компания, не может их прочитать. Однако, все эти уверения не соответствуют действительности, утверждается в новом материале некоммерческой организации ProPublica, занимающейся журналистскими расследованиями.

Согласно статье, на WhatsApp работает более 1 тыс. подрядчиков в Остине, Техасе, Дублине и Сингапуре, которые изучают пользовательский контент с помощью систем искусственного интеллекта, а также специального программного обеспечения Facebook. По словам бывших инженеров WhatsApp, модераторы получают доступ к частному контенту, когда пользователь пожалуется на сообщение, предположительно нарушающее политику сервиса.

Незашифрованные данные включают имена и изображения в профиле пользователя, номер телефона, статус, уровень заряда аккумулятора, язык и временную зону, идентификатор телефона, IP-адрес и ОС, мощность беспроводного сигнала, связанные аккаунты в Facebook и Instagram, дату последнего использования приложения и историю нарушений.

https://www.securitylab.ru/news/524167.php

Группировка REvil вернулась online

Группировка отключила свою web-инфраструктуру после масштабной атаки на американскую компанию Kaseya.

7 сентября сайт Happy Blog, где группировка публикует списки жертв, отказавшихся платить выкуп, вернулся online.

На данный момент на сайте указываются те же организации, что и до отключения серверов в июле. Также «ожил» платежный портал REvil на старом .onion адресе.

https://www.securitylab.ru/news/524184.php

Самая крупная в истории рунета DDoS-атака была совершена на серверы «Яндекса» в минувшие выходные.

Специалисты сумели сдержать атаку, но с трудом. В компании проходит внутренняя проверка. Рекордный масштаб кибератаки был подтвержден компанией Cloudflare.

Нападения реализованы через новый ботнет, маскирующийся под обычных пользователей. Он распространяется через уязвимость в прошивках и уже насчитывает до сотни тысяч зараженных устройств. Для организации ботнета могли использовать оборудование MikroTik.

Речь идет об угрозе инфраструктуре в масштабах страны».

https://www.securitylab.ru/news/524190.php

В Москве ДИТ и департамент образования планируют к 2022 году внедрить в школах столицы систему распознавания лиц.

Учеников и сотрудников будут пускать в школы только при наличии биометрической аутентификации.

В департаменте информационных технологий отметили, что систему будут вводить только по решению директора школы, учителей и родителей учеников.

Последних смущает вопрос сохранности биометрических данных детей. Они переживают, что информация о детях может попасть к третьим лицам.

https://www.securitylab.ru/news/524191.php

WhatsApp разрешит менять настройки приватности для определенных контактов

По данным портала WABetaInfo, известного точными утечками о новейших бета-версиях WhatsApp, новый функционал позволит пользователям скрывать время последнего посещения мессенджера от определенных контактов.

К примеру, в текущей версии статус «Был в сети», «Фото профиля» и «Просмотр контакта» могут видеть либо все пользователи, либо никто, более подробных настроек нет.

Новый функционал будет доступен в версиях мессенджера для Android и iOS. Сейчас он находится на стадии тестирования и в ближайшем будущем появится в бета-версиях WhatsApp.

https://www.securitylab.ru/news/524188.php

Российская киберполиция расследует несколько дел против сайтов, которые продают чит-коды для видеоигр.

СyberTank / CyberShip продавал бота для игры World of Tanks. Hagz занимался реализацией стандартных чит-кодов по упрощению прохождений компьютерных игр.

Отмечается, что сотрудники полиции провели контрольную закупку, и выяснили, что продаваемые программы носят вредноносный характер.

Авторам сайтов грозит до пяти лет лишения свободы по статье «Создание, использование и распространение вредноносных компьютерных программ».

https://www.securitylab.ru/news/524228.php?R=1

В Индии процветает новый вид мошенничества с использованием технологии Deepfake

С мужчинами в социальных сетях связываются женщины с фейковых аккаунтов, а затем звонят по видео, общаются с пользователем и производят действия сексуального характера.

После такого разговора мужчины получают угрозы разослать записанное видео знакомым и родственникам жертвы, если тот не перечислит определённую сумму на счёт шантажистов.

И если в такой схеме раньше участвовали настоящие женщины, то сейчас мошенники используют deepfake, а также технологию преобразования текста в звук, которая помогает в создании речи фальшивых девушек на видео.

https://www.securitylab.ru/news/524237.php

🇺🇸ВВС США снова позволило взломать свои спутники

Состязание Hack-A-Sat 2 направлено на развитие навыков, нужных для создания безопасных космических систем.

👩‍🚀Кибервойна в космосе уже не кажется фантастическим сценарием, учитывая развитие сети спутников, поддерживающих критическую инфраструктуру, связанную с интернетом и коммуникациями.

🛰Взломать спутник не так сложно, как кажется, продемонстрировал студент Оксфордского университета Джеймс Павур (James Pavur). Для этого ему понадобилось ПО и телевизионное оборудование стоимостью $300, с помощью которого Павур смог перехватить терабайты трафика спутников, в том числе конфиденциальные данные ряда крупнейших организаций в мире.

https://www.securitylab.ru/news/524240.php

♟Пользователи многих игровых и стриминговых сервисов заявили о возникновении проблем с получением доступа к платформам.

В частности, о проблемах с доступом заявляли пользователи онлайн-игр World of Tanks и World of Warships, сервисов Twitch и Flashscore, а также компании Avito и торрент-трекера BitTorrent.

Роскомнадзор причастность блокировки VPN-сервисов к проблемам в игровых ресурсах опровергает.

Представители операторов связи рассказали, что по закону они не контролируют и не могут отключать оборудование ТСПУ, если из-за него что-то происходит в сети некорректно при передаче данных пользователям.️ Также провайдеры пояснили, что «потенциально ТСПУ может оказывать воздействие на пропуск трафика».

https://www.securitylab.ru/news/524239.php