Корпорации запустят единый стандарт беспарольной аутентификации на своих платформах в 2023 году. Мобильные ОС Android и iOS, браузеры Chrome, Edge и Safari, ОС Windows и macOS будут поддерживать протокол авторизации без пароля.
В качестве устройства для авторизации можно будет использовать смартфон. Для входа в приложения достаточно будет разблокировать его с помощью биометрических данных, PIN-кода или графического ключа.
«С ключами доступа вы сможете войти в приложение или сервис практически на любом устройстве, независимо от платформы или браузера. Например, можно будет войти в систему в браузере Google Chrome, работающем под управлением Microsoft Windows, используя пароль на устройстве Apple».
Безопасность авторизации обеспечит ключ доступа — уникальный криптографический токен, который будет передаваться между телефоном и сайтом. Ключи будут асимметричными, поэтому злоумышленники не смогут взломать аккаунт, даже если получат доступ к одной части токена. В случае потери телефона токен можно перенести на новое устройство из облака.
В качестве устройства для авторизации можно будет использовать смартфон. Для входа в приложения достаточно будет разблокировать его с помощью биометрических данных, PIN-кода или графического ключа.
«С ключами доступа вы сможете войти в приложение или сервис практически на любом устройстве, независимо от платформы или браузера. Например, можно будет войти в систему в браузере Google Chrome, работающем под управлением Microsoft Windows, используя пароль на устройстве Apple».
Безопасность авторизации обеспечит ключ доступа — уникальный криптографический токен, который будет передаваться между телефоном и сайтом. Ключи будут асимметричными, поэтому злоумышленники не смогут взломать аккаунт, даже если получат доступ к одной части токена. В случае потери телефона токен можно перенести на новое устройство из облака.
👍9🤮6
Предполагается, что корпорации боятся вторичных санкций, которые закроют им доступ к американским технологиям. Lenovo и Xiaomi не комментируют остановки поставок и избегают журналистов.
По данным статистики с китайской стороны, экспорт товаров из Китая в Россию в марте в целом упал на 27% по сравнению с февралем. По большей части это коснулось ноутбуков (на 40%), смартфонов (66%) и базовых станций (98%).
По данным статистики с китайской стороны, экспорт товаров из Китая в Россию в марте в целом упал на 27% по сравнению с февралем. По большей части это коснулось ноутбуков (на 40%), смартфонов (66%) и базовых станций (98%).
🔥6👎4
Google запретила разработчикам из России обновлять и загружать в Google Play платные приложения. Специалисты считают, что Google пошла на такой шаг из-за невозможности переводить средства на счета разработчиков.
👍5
Золотую Nintendo Wii 2009 года продают на аукционе
Площадка Goldin выставила на продажу позолоченную Nintendo Wii, которая в 2009 году предназначалась в подарок королеве Елизавете II и её семье. Стартовая цена лота составляла $1500, сейчас ставка составляет $2 200 ($2 640 вместе с отчислениями в пользу Goldin).
В 2009 году разработчик и издатель игр THQ заказал позолоченную консоль Nintendo Wii, которую предполагалось доставить в Букингемский дворец в рамках маркетингового хода, направленного на продвижение набора игр BIG Family Games. Однако из-за строгой политики дворцовой корреспонденции консоль так и не попала во дворец.
Покупатель получит консоль и контроллер, покрытые 24-каратным золотом, копию BIG Family Games, сенсорную панель и все необходимые кабели.
Площадка Goldin выставила на продажу позолоченную Nintendo Wii, которая в 2009 году предназначалась в подарок королеве Елизавете II и её семье. Стартовая цена лота составляла $1500, сейчас ставка составляет $2 200 ($2 640 вместе с отчислениями в пользу Goldin).
В 2009 году разработчик и издатель игр THQ заказал позолоченную консоль Nintendo Wii, которую предполагалось доставить в Букингемский дворец в рамках маркетингового хода, направленного на продвижение набора игр BIG Family Games. Однако из-за строгой политики дворцовой корреспонденции консоль так и не попала во дворец.
Покупатель получит консоль и контроллер, покрытые 24-каратным золотом, копию BIG Family Games, сенсорную панель и все необходимые кабели.
🤔2
Разработчики NiceHash объявили об успешной разблокировке защиты LHR (Low Hash Rate - ограничение видеокарты, которое снижает её производительность в майнинге). Теперь при использовании майнеров NiceHash QuickMiner или NiceHash Miner достигается 100% эффективность любых 3D-карт Nvidia с защитой LHR.
NiceHash уже протестировали GeForce RTX 3080 Ti, и она выдала 120 MH/s при добыче Ethereum – ровно столько, сколько и должно быть. Примерно на том же уровне Ethereum добывает GeForce RTX 3090 – единственная 3D-карта Nvidia серии RTX 30, которую защита LHR обошла стороной.
Появился и первый независимый тест обновленного майнера NiceHash. Его провела команда польского ресурса Benchmark. pl. Результат GeForce RTX 3080 Ti при добыче Ethereum – 117 MH/s. Ранее производительность такой 3D-карты при добыче Ethereum составляла около 85 MH/s при использовании того же майнера.
NiceHash уже протестировали GeForce RTX 3080 Ti, и она выдала 120 MH/s при добыче Ethereum – ровно столько, сколько и должно быть. Примерно на том же уровне Ethereum добывает GeForce RTX 3090 – единственная 3D-карта Nvidia серии RTX 30, которую защита LHR обошла стороной.
Появился и первый независимый тест обновленного майнера NiceHash. Его провела команда польского ресурса Benchmark. pl. Результат GeForce RTX 3080 Ti при добыче Ethereum – 117 MH/s. Ранее производительность такой 3D-карты при добыче Ethereum составляла около 85 MH/s при использовании того же майнера.
👎7🔥6
Специалисты обнаружили две уязвимости в антивирусах Avast и AVG, связанные с общим для них драйвером защиты от руткитов (aswArPot.sys). Уязвимости появились в коде с релизом Avast 12.1 в 2012 году.
Баги получили идентификаторы CVE-2022-26522 и CVE-2022-26523. Им присвоен «высокий уровень серьезности», так как они позволяли злоумышленнику с ограниченными привилегиями в системе выполнить код в режиме ядра и в итоге получить полный контроль над устройством.
Примечательно, что информацию о багах опубликовали через несколько дней после того, как Trend Micro описала малварь AvosLocker, которая использовала в своих атаках другую проблему в том же самом драйвере для отключения антивирусных продуктов.
Баги получили идентификаторы CVE-2022-26522 и CVE-2022-26523. Им присвоен «высокий уровень серьезности», так как они позволяли злоумышленнику с ограниченными привилегиями в системе выполнить код в режиме ядра и в итоге получить полный контроль над устройством.
Примечательно, что информацию о багах опубликовали через несколько дней после того, как Trend Micro описала малварь AvosLocker, которая использовала в своих атаках другую проблему в том же самом драйвере для отключения антивирусных продуктов.
👍8🔥2
Главные новости недели
🇮🇳 Индия начнет разработку и производство чипов на RISC-V к 2023 году
🪲 Хакеры научились хранить бесфайловое вредоносное ПО в журнале событий Windows
☁️ Взломан крупнейший облачный хостинг провайдер Heroku
🔐 Apple, Google и Microsoft отказываются от паролей
🦊 Релиз Firefox 100
🇮🇳 Индия начнет разработку и производство чипов на RISC-V к 2023 году
🪲 Хакеры научились хранить бесфайловое вредоносное ПО в журнале событий Windows
☁️ Взломан крупнейший облачный хостинг провайдер Heroku
🔐 Apple, Google и Microsoft отказываются от паролей
🦊 Релиз Firefox 100
👍3🔥2
Ассистент Google самостоятельно поменяет украденные пароли
В Chrome для смартфонов на Android появилась функция, которая будет автоматически менять украденные пароли на новые. Если злоумышленники взломали учетные данные пользователя, то об этом появляется предупреждение в разделе «Пароли». Теперь Google Assistant не просто проинформирует пользователя об утечке, но и предложит «изменить пароль автоматически».
Google Assistant перенаправит пользователя на страницу смены пароля и сформирует собственную комбинацию. Пользователь может подтвердить сгенерированный пароль либо изменить его на свой.
В Chrome для смартфонов на Android появилась функция, которая будет автоматически менять украденные пароли на новые. Если злоумышленники взломали учетные данные пользователя, то об этом появляется предупреждение в разделе «Пароли». Теперь Google Assistant не просто проинформирует пользователя об утечке, но и предложит «изменить пароль автоматически».
Google Assistant перенаправит пользователя на страницу смены пароля и сформирует собственную комбинацию. Пользователь может подтвердить сгенерированный пароль либо изменить его на свой.
👎13👍8
Обнаружено сочетание слов, которое «ломало» Google Документы
Веб-разработчик Пэт Нидхэм случайно обратил внимание, что текст «And. And. And. And. And.» вызывал сбой в работе текстового редактора Google Документы — достаточно было ввести этот текст и обновить страницу. Ошибка была чувствительна к регистру: написание вроде «and. and. And. and. And.» сбоя не вызывала.
Ошибку выдавал POST-запрос на адрес, начинающийся с «https://docs.google.com/document/u/1/jserror» и содержащий текст «Caused by: TypeError: Cannot read properties of null (reading "C")».
Выяснилось, что ошибку вызывало разделённое точками пятикратное повторение и других английских слов, преимущественно служебных частей речи: «also, therefore, anyway, but, who, why, besides, however, although, moreover, firstly, secondly, thirdly, fourthly». Примечательно, что, начиная с «fifthly» («в-пятых») ошибка исчезала.
Специалисты считают, что ошибка связана с системой проверки правописания, которая проявлялась только тогда, когда была проставлена опция «Предлагать грамматические исправления». По одной из предложенных гипотез, ошибка была связана с некорректной обработкой регулярных выражений. Вскоре после этого компания исправила ошибку.
Веб-разработчик Пэт Нидхэм случайно обратил внимание, что текст «And. And. And. And. And.» вызывал сбой в работе текстового редактора Google Документы — достаточно было ввести этот текст и обновить страницу. Ошибка была чувствительна к регистру: написание вроде «and. and. And. and. And.» сбоя не вызывала.
Ошибку выдавал POST-запрос на адрес, начинающийся с «https://docs.google.com/document/u/1/jserror» и содержащий текст «Caused by: TypeError: Cannot read properties of null (reading "C")».
Выяснилось, что ошибку вызывало разделённое точками пятикратное повторение и других английских слов, преимущественно служебных частей речи: «also, therefore, anyway, but, who, why, besides, however, although, moreover, firstly, secondly, thirdly, fourthly». Примечательно, что, начиная с «fifthly» («в-пятых») ошибка исчезала.
Специалисты считают, что ошибка связана с системой проверки правописания, которая проявлялась только тогда, когда была проставлена опция «Предлагать грамматические исправления». По одной из предложенных гипотез, ошибка была связана с некорректной обработкой регулярных выражений. Вскоре после этого компания исправила ошибку.
👍4
Энтузиаст собрал ретро-компьютер с круглым экраном
Устройство построено на базе материнской платы модульного ноутбука Framework. Энтузиаст установил на ПК Ubuntu 22.04, но заявил, что другие ОС также будут работать. Корпус полностью напечатан на 3D-принтере. Проект доступен на GitHub.
Устройство построено на базе материнской платы модульного ноутбука Framework. Энтузиаст установил на ПК Ubuntu 22.04, но заявил, что другие ОС также будут работать. Корпус полностью напечатан на 3D-принтере. Проект доступен на GitHub.
👍11👎2
Apple прекращает выпуск iPod
Apple прекращает производство музыкальных плееров iPod, которые выпускала более 20 лет. "Сегодня возможность вывести свою музыкальную библиотеку в мир интегрирована во всю линейку продуктов Apple наряду с доступом к более чем 90 миллионам песен и более 30 тысячам списков воспроизведения, доступных через Apple Music"
Apple прекращает производство музыкальных плееров iPod, которые выпускала более 20 лет. "Сегодня возможность вывести свою музыкальную библиотеку в мир интегрирована во всю линейку продуктов Apple наряду с доступом к более чем 90 миллионам песен и более 30 тысячам списков воспроизведения, доступных через Apple Music"
👍8🤮1
9 критических проблем затронули процессоры Intel Xeon, Pentium Silver, Rocket Lake Xeon, Core и Core X Series. Наиболее опасными являются 4 уязвимости повышения привилегий через локальный доступ CVE-2021-0154, CVE-2021-0153, CVE-2021-33123 и CVE-2021-0190 с оценкой CVSS 8,2.
Компания порекомендовала обновить подсистему Intel Converged Security and Management Engine (CSME) до последней версии, отключить функцию отладки процессора во время работы Intel Boot Guard и отключить бит BSP (Bootstrap Processor) INIT (DBI).
Компания порекомендовала обновить подсистему Intel Converged Security and Management Engine (CSME) до последней версии, отключить функцию отладки процессора во время работы Intel Boot Guard и отключить бит BSP (Bootstrap Processor) INIT (DBI).
👍5👏1
Google Chrome для Android не обновляется у пользователей из России
Российские пользователи Android-устройств столкнулись с невозможностью обновления браузера Chrome через Play Маркет. При попытке обновить Google Chrome система демонстрирует сообщение «Не удалось установить приложение» и блокирует скачивание новой версии веб-обозревателя. Такая же ошибка происходит при попытке обновить компонент Android System WebView.
Проблема носит массовый характер и не зависит от версии операционной системы Android, а также модели используемого устройства. В Google пока не давали никаких комментариев по данному поводу.
Российские пользователи Android-устройств столкнулись с невозможностью обновления браузера Chrome через Play Маркет. При попытке обновить Google Chrome система демонстрирует сообщение «Не удалось установить приложение» и блокирует скачивание новой версии веб-обозревателя. Такая же ошибка происходит при попытке обновить компонент Android System WebView.
Проблема носит массовый характер и не зависит от версии операционной системы Android, а также модели используемого устройства. В Google пока не давали никаких комментариев по данному поводу.
Основной целью этого нововведения является обеспечение безопасности платежной информации во время покупок в интернете. Функция позволит скрыть номер кредитной или дебетовой карты при совершении покупок в интернете.
Таким образом, для пользователей исчезнет необходимость вручную вводить данные карт (такие как CVV и номер) при оформлении заказа, а картами и транзакциями можно будет управлять через pay. google. com.
Ожидается, что нововведение сначала появится в США (этим летом) и будет поддерживать карты Visa, American Express, Mastercard и Capital One.
Таким образом, для пользователей исчезнет необходимость вручную вводить данные карт (такие как CVV и номер) при оформлении заказа, а картами и транзакциями можно будет управлять через pay. google. com.
Ожидается, что нововведение сначала появится в США (этим летом) и будет поддерживать карты Visa, American Express, Mastercard и Capital One.
👍8
Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить код без аутентификации
В устройствах Zyxel серий ATP, VPN и USG FLEX, предназначенных для организации работы межсетевых экранов, IDS и VPN на предприятиях, выявлена критическая уязвимость (CVE-2022-30525), позволяющая внешнему атакующему без аутентификации выполнить код на устройстве с правами пользователя nobody.
Для совершения атаки злоумышленник должен иметь возможность отправки на устройство запросов по протоколу HTTP/HTTPS. Компания Zyxel устранила уязвимость в обновлении прошивки ZLD 5.30. По данным сервиса Shodan в настоящее время в глобальной сети зафиксировано 16213 потенциально уязвимых устройств, принимающих запросы по HTTP/HTTPS.
В устройствах Zyxel серий ATP, VPN и USG FLEX, предназначенных для организации работы межсетевых экранов, IDS и VPN на предприятиях, выявлена критическая уязвимость (CVE-2022-30525), позволяющая внешнему атакующему без аутентификации выполнить код на устройстве с правами пользователя nobody.
Для совершения атаки злоумышленник должен иметь возможность отправки на устройство запросов по протоколу HTTP/HTTPS. Компания Zyxel устранила уязвимость в обновлении прошивки ZLD 5.30. По данным сервиса Shodan в настоящее время в глобальной сети зафиксировано 16213 потенциально уязвимых устройств, принимающих запросы по HTTP/HTTPS.
👍2🤔2
Уязвимость в Python позволяет вызвать системные команды из изолированных скриптов
Опубликован метод обхода систем изолированного выполнения кода на языке Python, основанный на использовании давно известной ошибки, появившейся в Python 2.7, выявленной в 2012 году и до сих пор не исправленной в Python 3. Ошибка позволяет при помощи специально скомпонованного кода на языке Python инициировать обращение к уже освобождённой памяти (Use-After-Free) в СPython. Изначально предполагалось, что ошибка не представляет угрозы безопасности и лишь в очень редких случаях, как правило искусственно созданных, может привести к аварийному завершения скрипта.
Исследователи подготовили рабочий эксплоит, дающий возможность вызвать любую системную команду, не имея прямого доступа к методам вида os.system. Эксплоит реализован на чистом языке Python и работает без импорта внешних библиотек и без установки обработчика "code.__new__". Из hook-ов используется только "builtin.__id__", который обычно не запрещён. С практической стороны предложенный код может применяться для обхода механизмов изоляции в различных сервисах и окружениях (например, в обучающих средах, online-оболочках, встроенных обработчиках и т.п.), допускающих выполнение кода на языке Python, но ограничивающих доступные вызовы и не позволяющих обращаться к таким методам, как os.system.
Предложенный код представляет собой аналог вызова os.system, работающий через эксплуатацию уязвимости в CPython. Эксплоит работает со всеми версиями Python 3 на системах с архитектурой x86-64 и демонстрирует стабильную работу в Ubuntu 22.04, даже при включении режимов защиты PIE, RELRO и CET. Работа сводится к получению из кода на языке Python сведений об адресе одной из функций в исполняемом коде CPython. На основании этого адреса вычисляется базовый адрес CPython в памяти и адрес функции system() в загруженном в память экземпляре libc. В завершении инициируется прямой переход по определённому адресу system c подстановкой указателя первого аргумента на строку "/bin/sh".
Опубликован метод обхода систем изолированного выполнения кода на языке Python, основанный на использовании давно известной ошибки, появившейся в Python 2.7, выявленной в 2012 году и до сих пор не исправленной в Python 3. Ошибка позволяет при помощи специально скомпонованного кода на языке Python инициировать обращение к уже освобождённой памяти (Use-After-Free) в СPython. Изначально предполагалось, что ошибка не представляет угрозы безопасности и лишь в очень редких случаях, как правило искусственно созданных, может привести к аварийному завершения скрипта.
Исследователи подготовили рабочий эксплоит, дающий возможность вызвать любую системную команду, не имея прямого доступа к методам вида os.system. Эксплоит реализован на чистом языке Python и работает без импорта внешних библиотек и без установки обработчика "code.__new__". Из hook-ов используется только "builtin.__id__", который обычно не запрещён. С практической стороны предложенный код может применяться для обхода механизмов изоляции в различных сервисах и окружениях (например, в обучающих средах, online-оболочках, встроенных обработчиках и т.п.), допускающих выполнение кода на языке Python, но ограничивающих доступные вызовы и не позволяющих обращаться к таким методам, как os.system.
Предложенный код представляет собой аналог вызова os.system, работающий через эксплуатацию уязвимости в CPython. Эксплоит работает со всеми версиями Python 3 на системах с архитектурой x86-64 и демонстрирует стабильную работу в Ubuntu 22.04, даже при включении режимов защиты PIE, RELRO и CET. Работа сводится к получению из кода на языке Python сведений об адресе одной из функций в исполняемом коде CPython. На основании этого адреса вычисляется базовый адрес CPython в памяти и адрес функции system() в загруженном в память экземпляре libc. В завершении инициируется прямой переход по определённому адресу system c подстановкой указателя первого аргумента на строку "/bin/sh".
👍6
Apple выпустила патчи против уязвимостей нулевого дня в Mac и Apple Watch
Apple выпустила срочные обновления безопасности для устранения уязвимости нулевого дня, которую злоумышленники могут использовать в атаках на компьютеры Mac и устройства Apple Watch.
Уязвимость представляет собой проблему с записью за пределами памяти (CVE-2022-22675) в AppleAVD (расширение ядра для декодирования аудио и видео), которая позволяет приложениям выполнять произвольный код с привилегиями ядра.
Об ошибке сообщили анонимные исследователи, и она была исправлена Apple в macOS Big Sur 11.6., watchOS 8.6 и tvOS 15.5 с улучшенной проверкой границ.
В список затронутых устройств входят Apple Watch Series 3 или более поздней версии, компьютеры Mac с macOS Big Sur, Apple TV 4K, Apple TV 4K (2-го поколения) и Apple TV HD.
Apple выпустила срочные обновления безопасности для устранения уязвимости нулевого дня, которую злоумышленники могут использовать в атаках на компьютеры Mac и устройства Apple Watch.
Уязвимость представляет собой проблему с записью за пределами памяти (CVE-2022-22675) в AppleAVD (расширение ядра для декодирования аудио и видео), которая позволяет приложениям выполнять произвольный код с привилегиями ядра.
Об ошибке сообщили анонимные исследователи, и она была исправлена Apple в macOS Big Sur 11.6., watchOS 8.6 и tvOS 15.5 с улучшенной проверкой границ.
В список затронутых устройств входят Apple Watch Series 3 или более поздней версии, компьютеры Mac с macOS Big Sur, Apple TV 4K, Apple TV 4K (2-го поколения) и Apple TV HD.
Forwarded from Workspace — LIVE
Налоговые льготы для IT
С 2021 года IT-компании в РФ получают различные льготы. А в этом году их стало еще больше!
Например, налог на прибыль снизился с 20% до 3%. По страховым взносам выплаты снизили с 30% до 7,6%. А НДС вообще платить не нужно!
Однако все не так просто. Рынок IT широкий, с натяжкой любое диджитал -агентство может причислить себя к айтишникам. Поэтому, помимо льгот, существует также список ограничений — кому эти льготы положены.
Все нюансы мы разобрали для вас в свежем материале — читайте, вдруг получится сэкономить?
С 2021 года IT-компании в РФ получают различные льготы. А в этом году их стало еще больше!
Например, налог на прибыль снизился с 20% до 3%. По страховым взносам выплаты снизили с 30% до 7,6%. А НДС вообще платить не нужно!
Однако все не так просто. Рынок IT широкий, с натяжкой любое диджитал -агентство может причислить себя к айтишникам. Поэтому, помимо льгот, существует также список ограничений — кому эти льготы положены.
Все нюансы мы разобрали для вас в свежем материале — читайте, вдруг получится сэкономить?
👍3👎1🤔1
4G-связь будет доминировать на рынке Интернета вещей до 2028 года
В настоящее время наблюдается стремительное развитие рынка 5G-устройств. Однако, полагают эксперты, в сегменте IoT до 2028 года будет доминировать технология 4G. Лишь только после этого поставки устройств Интернета вещей с поддержкой 5G обгонят по отгрузкам 4G-решения. Причём переход от 4G к 5G будет более быстрым по сравнению с миграцией отрасли с 2G/3G к LPWA/4G.
К 2030 году поставки сотовых модулей для оборудования IoT преодолеют отметку в 1,2 млрд. Показатель CAGR (среднегодовой темп роста в сложных процентах) до этого периода составит 12 %. При этом отгрузки изделий 5G для соответствующего сегмента будут расти в среднем на 60 %.
В настоящее время наблюдается стремительное развитие рынка 5G-устройств. Однако, полагают эксперты, в сегменте IoT до 2028 года будет доминировать технология 4G. Лишь только после этого поставки устройств Интернета вещей с поддержкой 5G обгонят по отгрузкам 4G-решения. Причём переход от 4G к 5G будет более быстрым по сравнению с миграцией отрасли с 2G/3G к LPWA/4G.
К 2030 году поставки сотовых модулей для оборудования IoT преодолеют отметку в 1,2 млрд. Показатель CAGR (среднегодовой темп роста в сложных процентах) до этого периода составит 12 %. При этом отгрузки изделий 5G для соответствующего сегмента будут расти в среднем на 60 %.
👍2