Посмотрел картинку — заразил компьютер
#безопасность

Уже несколько человек задали мне одинаковый вопрос: могут ли быть вирусы в картинках на компьютере? Либо где-то идёт массовая рассылка такой инфы, либо звёзды так встали, но давайте разбираться.

↔️ Компьютерный вирус — это программа

Код этой программы нужно доставить вам на компьютер и выполнить. В этом вирус мало чем отличается от других программ, которые вы скачиваете и запускаете на компьютере.

🎨 Можно ли спрятать код вируса в картинку?

Да. Это называется стеганография — когда в обычные с виду файлы прячется дополнительная информация. Лет 10 назад показывались атаки с использованием таких заражённых картинок.

😦 Так картинки опасны?

Сами по себе — нет. Картинка может быть способом доставки кода вируса на компьютер, но сам файл-изображение не может что-то запустить. Рассматривайте заражённую картинку как бумажку с инструкцией по нанесению вреда. Чтобы стало плохо, кто-то должен эту инструкцию выполнить.

⚙ И кто может её выполнить?

Чаще всего картинки открываются либо программами-просмотрщиками, либо браузерами. В такой программе должна быть уязвимость, из-за которой открытая картинка с сюрпризом будет воспринята как инструкция. Тогда да, это активирует вирус.

🚫 Всё, картинки не открываем?

Я бы не преувеличивал угрозу таких атак. Есть гораздо более простые и надёжные способы заражения компьютера. А вирусы в картинках — скорее, штучный товар на заказ. Если вы не наркобарон, к которому подбираются спецслужбы, смотрите картинки спокойно.

Если в ваших программах нет [известных] уязвимостей, то даже открыв заражённую картинку, ничего не случится. Просмотрщик просто не поймёт, что перед ним инструкция.

📌 Следуйте стандартным правилам безопасности: не скачивайте программы в сомнительных местах, обновляйте их и не открывайте полученные от незнакомцев файлы. Какая-то специфическая защита от вирусов из картинок не требуется.

Впрочем, есть интересный вариант, когда всё и впрямь выглядит как «открыл картинку — заразил компьютер». Расскажу о нём отдельно. Наливайте пока себе чайку ☕️

@digitaltea | про IT доступно

Нейросети: а был ли мальчик?

📹 Новая нейросеть Arcads создаёт короткие мега-реалистичные видео с людьми. Её создатели показали пример видео, и человека на нём действительно не отличить от настоящего.

Авторы Arcads планируют делать на заказ короткие рекламные ролики на разных языках. А в Сети прокатилась волна опасений реалистичных видео-фейков с людьми.

🍜И это была бы очередная новость из серии "до чего техника дошла", если бы не пикантный нюанс. Вскоре выяснилось, что супер-реалистичные люди на видео — это.. действительно люди. Живые актёры, снятые на камеру. То ли смеяться, то ли плакать 🤦‍♂️

Справедливости ради, это не совсем уж кидалово: нейронка там действительно есть. Но она лишь озвучивает текст заказчика на нужном языке и подгоняет артикуляцию актёра под слова. А это, как говорят в Одессе, две большие разницы.

🍜 Впрочем, что там мелкие стартапы. Великая и ужасная Amazon недавно закрыла свои "умные магазины" в США. Туда можно было приходить, просто брать товары и уходить. Нейросеть через камеры опознавала покупателей, следила, что они взяли, и списывала деньги с карты.

Но работало это всё не очень гладко. А потом и вовсе выяснилось, что Amazon наняла тысячу индусов, которые по камерам следили за магазинами и вручную формировали покупателям чеки. Нейросеть там тоже была, но без индусов она не справлялась.

📌 А говорят, нейросети людей без работы оставят 😀 Впрочем, технологии развиваются, а Остапы Бендеры остаются.

@digitaltea | про IT доступно

Помнить, кто мы

У меня на стене висит карта звёздного неба. Когда люди спрашивают, мол, "Астрономией увлекаешься?", я согласно киваю. Впрочем, молчаливое мерцание звёзд в ночном небе действительно манило меня с детства.

Но дело не только в этом. Эта карта — напоминание. Мы все, как и сама Земля, сделаны из звёздной пыли.

И человек, вешающий у себя на стене карту части планеты или даже целой планеты, мыслит слишком мелко.

С Днём космонавтики! 🚀

@digitaltea | про IT доступно

Чайный #дайджест №41

Друзья, за уходящую неделю мы с вами обсудили:

☕️ Что такое командная строка, и где её искать
☕️ Когда закончится поддержка Windows 10
⚡️ Можно ли подцепить вирус из картинки?
☕️ Во всех ли нейросетях есть нейросети

Если что-то упустили — можете почитать на досуге.
И поделиться с друзьями 👥

Всем хороших выходных!

@digitaltea | про IT доступно

Мой телевизор в опасности?
#безопасность

Когда мы говорим о безопасности наших устройств, то чаще всего имеем в виду компьютеры и смартфоны/планшеты. Но не стоит забывать, что "умной" сейчас стала самая разная техника. Со всеми вытекающими угрозами, например:

❗️ В телевизорах LG обнаружены уязвимости, четыре "дырки" в разных версиях прошивок. Эти уязвимости позволяют злодеям получить доступ к телевизору 🥷

У многих моих знакомых зомбоящики LG. У незнакомых, думаю, тоже.

🔄 Производитель уже выпустил обновления для устранения проблемы, достаточно обновить версию прошивки до актуальной. Обратите внимание, владельцы.

@digitaltea | про IT доступно

Посмотрел картинку — заразил компьютер 2
#безопасность

Продолжаем разговор о вирусах в картинках. Как и обещал, расскажу о теоретической ситуации, когда "открыл картинку — заразил компьютер" могло бы стать реальностью.

💻 Сработает это на Windows

Вам прислали картинку "Рыцарь в доспехе.jpg". Название, тип (jpg), миниатюра на предпросмотре в Проводнике — всё нормально.

Вы кликаете по ней мышкой, чтобы посмотреть и.. на компьютере начинает твориться какая-то дичь. Или ничего не происходит, зато в фоне ваши файлы и пароли начинают выкачиваться на сервер дядюшки Ляо.

🤒 Как это случилось?

А вы сами только что запустили этот вирус. Перед вами была не картинка, а исполняемый файл, программа.

В Windows можно при вводе имени файла использовать специальные невидимые символы, предназначенные для арабского текста, и отображать часть названия справа налево. Это и использовали злодеи, хитро переименовав файл.

Файл, который вы приняли за картинку, на самом деле назывался "Рыцарь в доспgpj.ехе", т.е. был обычной исполняемой программой (".exe" признак этого). А миниатюру для предпросмотра сделать тоже несложно штатными методами.

🤒 Но это НЕ вирус в картинке

Формально выглядело всё так, что вы открыли картинку, и началось. Но это был не вирус в картинке, он под неё лишь маскировался. И если бы вы посмотрели в свойства этого файла, то увидели, что это приложение.

Впрочем, вам бы и не нужно было параноить этого делать: при открытии этой "картинки" операционная система предупредила бы вас о намерении запустить приложение, а ещё вероятнее — антивирус бы поднял тревогу, когда вы скачали это файл 🚨

Но если вдруг этих механизмов защиты у вас нет, или они выключены, то такая экзотическая атака могла бы стать успешной.

📌 В остальных случаях — это в рубрику "для общего развития".

@digitaltea | про IT доступно

А кто ещё не успел смартфон купить?
#трендец

Крупные российские производители электроники ("Аквариус", Yadro, Depo и др.) предложили Минцифры исключить из параллельного импорта в Россию смартфоны, планшеты и ноутбуки любых брендов.

❓ О чём речь?

Если изменение примут, это сделает ввоз таких товаров в РФ незаконным, и по задумке авторов поддержит отечественных производителей. Примут или нет — жизнь покажет, лоббируют такую затею с 2023 года.

❗️ Почему важно?

Если (когда?) примут, то вероятные последствия такие:
🔸 Иностранные ноутбуки и смартфоны из продажи НЕ исчезнут, контрабанда будет
🔸 Ассортимент сильно сузится
🔸 Цены взлетят 🚀

Может, для поддержки отечественного производства оно и хорошо (не скромному же IT-шнику об этом судить 😇) Но мы-то с вами тут не страной управляем, а жизнь живём. Поэтому:

📌 Кто подумывал купить новую технику (и не Р-ФОН) в обозримом будущем, обратите внимание на это.

@digitaltea | про IT доступно

Чайный #дайджест №42

Друзья, за уходящую неделю мы с вами обсудили:

☕️ Актуальные уязвимости в телевизорах LG
☕️ Развивающий пример на тему "вирус в картинке"
☕️ Когда покупать смартфоны
⚡️ Что такое свободные операционные системы

Если что-то упустили — можете почитать на досуге.
И поделиться с друзьями 👥

Всем хороших выходных!

@digitaltea | про IT доступно

Почему торговать телом плохо, а лицом — хорошо?
#трендец #безопасность

Начнём с новости:

До конца 2024 года жители трех российских регионов — Челябинской, Липецкой и Ленинградской областей — смогут получать государственные и муниципальные услуги в МФЦ по биометрии без предъявления паспорта (с) Известия

👁 Это не первый заход на массовый сбор биометрии. В том же московском метро давно продвигают оплату проезда лицом. Оплачивать и подтверждать личность с помощью лица, глаза или пальца удобно, спору нет. Но удобство и безопасность — почти всегда антагонисты.

И дело даже не в том, что биометрия отлично вписывается в концепцию цифрового контроля (см. лонгриды про антисоциальный рейтинг и ЦРУбль). Мне скажут: "У тебя паранойя". Нет, я просто занимаюсь аналитикой трендов.

🎩 Вам давно звонили телефонные мошенники? Мне — вчера. А откуда у них мой номер и ФИО? Да купили слитые базы за три копейки в тёмных уголках Интернета. Банки, операторы связи, магазины — льют все. Точно так же сотрудники "хранилищ биометрии" сольют биометрические базы. Без вариантов, вопрос цены. А цена будет заметно выше.

Потому что если (когда) биометрия массово станет ключом к цифровым услугам, то кража биометрии будет равна краже вашей личности. Тем более, что свою биометрию в отличие от номера телефона вы изменить не можете. А "вы" можете делать со своим имуществом, что захотите: от взятия кредита до продажи квартиры. За такие возможности жульё и заплатить будет готово щедро.

👹 Не верится? Оглянитесь. 20 лет назад верилось, что ваши деньги будут в телефоне? А 10 лет назад верилось, что в кафе будут пускать по QR-кодам? А 5 лет назад верилось, что нейросети будут имитировать голос и почерк человека?

Я бы не зарекался.

@digitaltea | про IT доступно

Дыра в вашем айфоне
#безопасность

По профильным ресурсам инета прокатилась новость о том, что в iOS обнаружена серьёзная дыра в безопасности. Возможно, вы саму новость уже видели.

Все знают, что по левым ссылкам, присланным неизвестно от кого, тыкать не надо, потому что это чревато. Но:

❗️ В приложении iMessage выявлена уязвимость, которая позволяет прислать пользователю sms с вредоносной ссылкой, и эта ссылка активируется автоматически, даже если пользователь по ней не переходил. Дальнейший взлом устройства — дело техники.

На хакерских ресурсах инструмент для использования этой уязвимости продают за 2 млн. баксов.

Очень мерзкая вещь, если это правда. Впрочем, доказательств существования этой дыры пока не видно. Но на случай, если 2 лимона просят не за пустышку, iMessage стоит отключить до выяснения и/или исправления.

⚙ Для этого нужно перейти в «Настройки», потом «Сообщения» и выключить iMessage.

📌 Владельцам iPhone стоит отслеживать эту ситуацию.

@digitaltea | про IT доступно

Новая старая схема угона телеги
#безопасность

Сегодня у нас день предупреждений о бармалеях, похоже.

❗️ Популярная нынче схема угона Telegram-аккаунтов:

1️⃣ Человеку пишут в телегу от имени техподдержки: получен запрос на удаление вашего аккаунта Telegram, и если это делали не вы, запрос надо срочно отменять.

2️⃣ Присылают ссылку на похожий, но поддельный сайт Telegram, где "для отмены удаления" нужно ввести свой номер телефона, привязанный к Telegram, и полученный после этого код безопасности.

3️⃣ После введения этих данных человек испытывает давно забытое чувство свободы: у него больше нет аккаунта в Telegram, и вместо чтения десятков каналов он может пойти погулять 🥳

🛡 Что делать, если гулять вы не хотите:

🔸 Посылать "техподдержку телеги" туда же, где сидит "служба безопасности Сбера". В случае сомнений самому написать в поддержу Telegram ("Настройки” — “Задать вопрос”).

🔸 Нажимать кнопку "Заблокировать" и "Пожаловаться", когда вам пишут бармалеи. Этим вы поможете сообществу, серьёзно.

🔸 Обязательно использовать 2FA, которая в телеге называется "облачный пароль" и включается в настройках безопасности (о 2FA подробно писал тут). Это не даст бармалеям увести ваш аккаунт, даже если вы вдруг зевнули и ввели телефон с кодом на сайте.

🔸 Облачный пароль вводить только в своём приложении Telegram на телефоне или компе. Умельцы могут и сайт доделать с приглашением ввести пароль там же.

📌 Кому-то схема покажется наивной, но и на старуху бывает проруха — на то и расчёт бармалеев. Новизна здесь — в вызове паники "Сейчас мой аккаунт удалят! Не надаа!!"

Не напрягаемся, но и не расслабляемся 😉 Хорошего дня ☕️

@digitaltea | про IT доступно

JPEG. Как хранятся картинки
#матчасть

Коль скоро у нас зашёл разговор о вирусах в картинках, давайте я расскажу, а как же сами картинки в цифровом виде хранятся. Расскажу на примере формата JPEG, как одного из самых популярных.

🎨 JPEG

Когда вы видите файлы типа "kartinka.jpg", то "jpg" - это признак того, что изображение хранится в формате JPEG. Создан он в 1991 году Объединенной группой экспертов по фотографии — Joint Photographic Experts Group, отсюда и название формата.

❓ Зачем он нужен?

Файл исходного изображения, полученного вашим фотоаппаратом или офисным сканером, очень большой. JPEG позволяет сжать это изображение, уменьшив файл в десятки раз, и почти не потеряв в качестве.

⚙ Как работает?

1️⃣ Разбиваем картинку на маленькие одинаковые блоки, как кусочки пазла.

2️⃣ Для каждого кусочка пазла определяем основной цвет: если кусочек был синим с вкраплениями зелёного, он считается синим.

3️⃣ Округляем цвета, как числа в школе: близкие по оттенку цвета становятся одним оттенком.

Всё это необратимо упрощает исходное изображение, но если степень упрощения подобрать верно, то человеческий глаз ничего не заметит.

4️⃣ Файл ещё больше сжимается с помощью хитрой математики, и чем сильнее было упрощение на стадиях 1-3, тем лучше сожмётся. Наш jpg-файл готов.

🖌 Когда в разных программах вам предлагают выбрать степень сжатия при сохранении картинки в JPEG, речь идёт именно о том, как сильно изображение упрощать. Разницы между "хорошо" и "очень хорошо" большинство, скорее всего, не заметят. Но у меня всегда срабатывает эффект плацебо, и я выбираю максимальное качество 😀

📌 Для наглядности: на картинке слева упрощение сильное, справа — слабое 👇

@digitaltea | про IT доступно

Нейросети в сапогах
#трендец

🔫 Microsoft предлагает минобороны США использовать свои нейросетевые инструменты. В частности, речь идёт о применении нейронок для обучения систем управления боем.

🚫 Любопытно, что Microsoft в своих нейронных сервисах использует технологии компании OpenAI, которая прямо запрещает запрещала применение своих разработок для военных нужд.

Но в январе 2024 года OpenAI по-тихому убрала из условий использования своих технологий запрет на их применение "в военных и военно-политических" целях.

📍 Да и началось всё не сегодня. Так, ВВС США сообщили, что в 2023 году успешно провели учебный воздушный бой между двумя истребителями, одним из которых управляла нейросеть.

Миру предстоит новая гонка вооружений — на этот раз не в размере ядерных грибов, а в области искусственного интеллекта. Впрочем, победитель этой гонки получит преимущества, сопоставимые по эффективности с 🤯

📌 Технологии будущего в руках людей из мрака прошлого.

@digitaltea | про IT доступно

Linux: пингвин, несущий свободу
#матчасть

Продолжаем разговор о свободных операционных системах (ОС). Самой популярной свободной ОС является Linux.

❓ Что такое Linux?

🔸 Linux — строго говоря, это не одна система, а целое семейство ОС на базе ядра Linux.
🔸 Ядро — это главный программный модуль, управляющий основными функциями системы.
🔸 Фишка ядра Linux: оно бесплатное и имеет открытый исходный код. Каждый разработчик может настроить его по своему вкусу.
🔸 Если дополнить ядро другими программными модулями с нужными функциями, то получим ОС. На базе ядра Linux создано много разных ОС, и когда говорят "установить Linux", имеют в виду установку одной из таких ОС.

⚙ Как появилась Linux?

Создатель ядра — Линус Торвальдс. В 1991 году он учился в Хельсинском университете, где разочаровался в использовавшейся там учебной ОС Minix, и решил создать свою ОС. В 1992 он представил первую версию ядра Linux. И понеслось.

🎉 Достиг ли он успеха?

О, да. Сегодня Linux используется повсюду: в компьютерах, банкоматах, смартфонах. Она не принадлежит никакой организации и развивается независимыми разработчиками.

Для многих Linux стала не просто операционной системой, а символом свободы и сотрудничества.

Пингвин
А символом самой Linux является пингвин, поэтому на сленге иногда можно услышать "установить пингвинов", "работает на пингвине" и т.п. 🐧

Если интересно рассмотреть примеры ОС на базе Linux, наполняйте чашки чаем ☕️

@digitaltea | про IT доступно

Чайный #дайджест №43

Друзья, за уходящую долгую неделю мы с вами обсудили:

☕️ Почему торговать лицом опасно
☕️ Дыру в iOS ценой в 2 млн. баксов
☕️ Актуальную схему угона Telegram-аккаунтов
☕️ Хранение картинок в файлах JPEG
☕️ Как нейросеть в армию забрили
☕️ Как и зачем появилась Linux

Если что-то упустили — можете почитать на досуге.
И поделиться с друзьями в перерывах между шашлыками 🍢

Всем хороших длинных выходных!

@digitaltea | про IT доступно

Видеокамера с пушкой

Стартап из Словении создал «умную» камеру для охраны дома, в которую встроено... пейнтбольное ружьё.

Если воришка попытается пробраться в дом, камера его не просто заметит, а начнёт обстреливать шариками с краской. Это не только неприятно, но и помечает злодея, чтобы полиции было легче его обнаружить потом. Управляет процессом обороны дома нейросеть.

Также камеру можно зарядить шарикам со слезоточивым газом.

📌 Не мог не поделиться, поржал от души 😀 Предлагаю следующее поколение камеры совмещать сразу со спаренным пулемётом. Вот уж не думаешь, что порой фантастические фильмы будут воплощаться в жизнь так скоро.

Всё-всё, не отвлекаю от шашлыков 🍢

@digitaltea | про IT доступно

Linux-системы для новичков
#инструментарий

Привет, друзья! Надеюсь, первую партию праздников все прошли успешно 😉 Давайте плавно включаться в рабочий ритм.

Продолжая разговор о Linux, сегодня представлю вам системы, на которые будет наиболее комфортно перейти с Windows или MacOS тем, кто раньше с линуксами дела не имел.

🔸Ubuntu (https://ubuntu.com/)
Одна из самых популярных Linux-систем. По ней легко найти информацию в инете в случае возникновения вопросов и проблем, это большой плюс для новичка.

Создана в 2004 году, разрабатывается и поддерживается компанией Canonical. В этом и главный минус: частная компания управляет развитием ОС. Известны случаи сбора обезличенной информации о пользователях, и в саму ОС даже встраивалась реклама, будто в Windows какой-то.

🔸 Mint (https://www.linuxmint.com/)
Создана в 2006 году и изначально ориентирована на простоту для пользователя. Тоже достаточно популярна, а интерфейс ОС будет комфортен для тех, кто привык к Windows.

🔸 Manjaro (https://manjaro.org/)
Создана в 2011 году. По сравнению с первыми двумя не так популярна, чуть менее дружелюбна (субъективно), но более шустро работает на слабых компьютерах. А кроме того — имеет лучшие показатели по безопасности и приватности пользователя.

⚠️ Важно понимать: я не могу назвать эти ОС лучшими системами с точки зрения безопасности и приватности пользователя. Но по этим параметрам они точно лучше, чем Windows или MacOS.

📌 Для максимально комфортного перехода с Windows попробуйте Mint. Если хотите на старте получить хорошую прибавку к безопасности, выберите Manjaro. А самое большое и активное сообщество пользователей и разработчиков — у Ubuntu.

@digitaltea | про IT доступно

Кого больше атакуют хакеры?
#трендец

Коллеги из инфобез-компании Positive Technologies представили статистику распределения кибер-атак по секторам экономики в России за 2023 год.

📈 Несмотря на то, что между отдельными отраслями разница доходит до 4-5 раз раз, я бы всё же обратил внимание на достаточно равномерное распределение интереса атакующих.

💸 А это значит, что подход «Ой, да кому мы интересны!» на сегодня уже устарел. Если среди нас есть руководители или владельцы бизнесов, вспомните об этом, когда ваш безопасник придёт к вам защищать бюджет на всякие непонятные системы с конскими ценниками.

🐷Отдельно бросились в глаза 12% атак на медицинские учреждения. Обычно такое считается свинством даже в среде хакеров, если речь идёт о нарушении функционирования систем. Впрочем, если речь о том, чтобы тиснуть персональные данные из системы здравоохранения, где их, как водится, забыли защитить — это ок.

@digitaltea | про IT доступно