Epson обвинили в саботаже чернильных картриджей сторонних компаний.
Представители некоммерческой организации «Фонд электронных рубежей» (Electronic Frontier Foundation, EFF) направили письмо в Офис Генерального прокурора штата Техас с требованием обратить внимание на недобросовестную практику компании Epson, которая выводит из строя чернильные картриджи сторонних производителей с помощью кода, встроенного в обновления прошивки принтеров.
Эксперты EFF назвали действия компании «вводящими в заблуждение, антиконкурентными и опасными» и призвали власти начать расследование по данному вопросу. Представители Epson пока никак не прокомментировали ситуацию.
https://www.eff.org/files/2018/10/10/letter_to_epson_final_2018.10.10.pdf
Представители некоммерческой организации «Фонд электронных рубежей» (Electronic Frontier Foundation, EFF) направили письмо в Офис Генерального прокурора штата Техас с требованием обратить внимание на недобросовестную практику компании Epson, которая выводит из строя чернильные картриджи сторонних производителей с помощью кода, встроенного в обновления прошивки принтеров.
Эксперты EFF назвали действия компании «вводящими в заблуждение, антиконкурентными и опасными» и призвали власти начать расследование по данному вопросу. Представители Epson пока никак не прокомментировали ситуацию.
https://www.eff.org/files/2018/10/10/letter_to_epson_final_2018.10.10.pdf
GPU-Z теперь умеет определять поддельные видеокарты.
https://m.hexus.net/tech/news/software/123200-gpu-z-version-2120-flags-fake-nvidia-gpus/
TechPowerUp обновил утилиту GPU-Z до версии 2.12.0. Главным нововведением стала функция, определяющая поддельные графические карты NVIDIA.
https://m.hexus.net/tech/news/software/123200-gpu-z-version-2120-flags-fake-nvidia-gpus/
TechPowerUp обновил утилиту GPU-Z до версии 2.12.0. Главным нововведением стала функция, определяющая поддельные графические карты NVIDIA.
В России новая профессия цифрового куратора появится до конца года.
Вот вам цифровая экономика...
Профессия цифрового куратора, который будет консультировать граждан по вопросам использования цифровых технологий и сервисов, появится до конца 2018 года.
"Профессия предусматривает два уровня квалификации: 3 и 5. "Это значит, что ее освоить смогут школьники-старшеклассники, а также уже на более высоком уровне - студенты, аспиранты и люди, которые захотят получить эту профессию как вторую. Для людей, которые будут оказываться в ситуации потери работы, должен быть шанс получения новых профессий"
"До конца этого года рассчитываем создать 10 экзаменационных центров, а также завершить проект к 2024 году и выйти на те параметры, которые определены в государственной программе "Цифровая экономика", - отметила Духанина.
По словам депутата, более 50 профессий, в том числе кассир, консультант, копирайтер, риелтор, турагент, могут исчезнуть. Профессиями будущего она назвала должности инфостилиста, тренд-хантера, web-садовника, сити-фермера, science-художника и архитектора виртуальности. Как оно?
https://tass.ru/ekonomika/5682011
Вот вам цифровая экономика...
Профессия цифрового куратора, который будет консультировать граждан по вопросам использования цифровых технологий и сервисов, появится до конца 2018 года.
"Профессия предусматривает два уровня квалификации: 3 и 5. "Это значит, что ее освоить смогут школьники-старшеклассники, а также уже на более высоком уровне - студенты, аспиранты и люди, которые захотят получить эту профессию как вторую. Для людей, которые будут оказываться в ситуации потери работы, должен быть шанс получения новых профессий"
"До конца этого года рассчитываем создать 10 экзаменационных центров, а также завершить проект к 2024 году и выйти на те параметры, которые определены в государственной программе "Цифровая экономика", - отметила Духанина.
По словам депутата, более 50 профессий, в том числе кассир, консультант, копирайтер, риелтор, турагент, могут исчезнуть. Профессиями будущего она назвала должности инфостилиста, тренд-хантера, web-садовника, сити-фермера, science-художника и архитектора виртуальности. Как оно?
https://tass.ru/ekonomika/5682011
Кто такой веб садовник о_О? Похоже мне нужна помощь цифрового куратора...
Qualcomm представила первые в отрасли чипсеты Wi-Fi 802.11ay
В действующей редакции скорость передачи данных составляет до 7 Гбит/с, а в будущем году должно выйти обновление WiGig 802.11ay, которое позволит поддерживать скорости до 20 Гбит/с.
Действующая редакция ограничивает передачу радиусом 10 м. Из-за особенностей распространения сигнала разработка не станет альтернативой существующей технологии Wi-Fi, а ориентирована на тех, кто нуждается в экстремально быстрой беспроводной передаче данных, например, для VR-геймеров или в мультимедиа-устройствах.
Понаблюдаемс что будет в следующем году.
В действующей редакции скорость передачи данных составляет до 7 Гбит/с, а в будущем году должно выйти обновление WiGig 802.11ay, которое позволит поддерживать скорости до 20 Гбит/с.
Действующая редакция ограничивает передачу радиусом 10 м. Из-за особенностей распространения сигнала разработка не станет альтернативой существующей технологии Wi-Fi, а ориентирована на тех, кто нуждается в экстремально быстрой беспроводной передаче данных, например, для VR-геймеров или в мультимедиа-устройствах.
Понаблюдаемс что будет в следующем году.
Автор LummosityLink Hacking Tool получает 30-месячный тюремный приговор.
Приговор был вынесен в этот понедельник:
https://www.justice.gov/usao-edky/pr/stanford-man-sen..
Житель штата Кентукки на суде признал, что является автором LuminosityLink — коммерческой программы удаленного доступа, которую покупатели использовали для захвата контроля над чужими компьютерами.
Продажи проводились с собственного сайта Граббса — luminosity.link, а также через портал HackForums, где LuminosityLink числился в разделе Hacking Tools and Programs. Разработчик, использующий ник KFC Watermelon, продавал свой софт как легитимную программу, полезную для системных администраторов (sic! есть у кого? 😏). Тем не менее, среди ее достоинств было прежде всего указано, что этот инструмент можно устанавливать удаленно и без предупреждения - то есть без ведома владельца компьютера.
Широкий набор функций LuminosityLink, согласно рекламе, позволяет ему регистрировать нажатия клавиш, вести наблюдение с помощью веб-камеры и микрофона, просматривать и выгружать файлы, похищать учетные данные для доступа к сайтам, добывать криптовалюту, проводить DDoS-атаки и обходить антивирусную защиту.
LuminosityLink был продан более чем 6000 раз, покупатели использовали его для получения несанкционированного доступа к тысячам компьютеров в 78 странах мира.
Помимо его тюремного заключения, Граббсу также было предписано лишиться денег, которые он незаконно заработал, в их числе 114 биткойнов (стоимостью более 725 000 долларов США сегодня).
Приговор был вынесен в этот понедельник:
https://www.justice.gov/usao-edky/pr/stanford-man-sen..
Житель штата Кентукки на суде признал, что является автором LuminosityLink — коммерческой программы удаленного доступа, которую покупатели использовали для захвата контроля над чужими компьютерами.
Продажи проводились с собственного сайта Граббса — luminosity.link, а также через портал HackForums, где LuminosityLink числился в разделе Hacking Tools and Programs. Разработчик, использующий ник KFC Watermelon, продавал свой софт как легитимную программу, полезную для системных администраторов (sic! есть у кого? 😏). Тем не менее, среди ее достоинств было прежде всего указано, что этот инструмент можно устанавливать удаленно и без предупреждения - то есть без ведома владельца компьютера.
Широкий набор функций LuminosityLink, согласно рекламе, позволяет ему регистрировать нажатия клавиш, вести наблюдение с помощью веб-камеры и микрофона, просматривать и выгружать файлы, похищать учетные данные для доступа к сайтам, добывать криптовалюту, проводить DDoS-атаки и обходить антивирусную защиту.
LuminosityLink был продан более чем 6000 раз, покупатели использовали его для получения несанкционированного доступа к тысячам компьютеров в 78 странах мира.
Помимо его тюремного заключения, Граббсу также было предписано лишиться денег, которые он незаконно заработал, в их числе 114 биткойнов (стоимостью более 725 000 долларов США сегодня).
Дайджест IT-новостей за ближайшие 24 часа
● В Госдуме решили обязать поисковики удалять ссылки на пиратские сайты во внесудебном порядке
Подробнее: https://goo.gl/XxLJYm
● Правительство планирует подключить малый бизнес к госсистеме обнаружения кибератак
Подробнее: https://goo.gl/QVG1B4
● Российская прокуратура внедряет искусственный интеллект
Подробнее: https://goo.gl/awaWGu
● Киберполиция выявила злоумышленников, которые продавали персональные данные украинцев через Telegram-канал
Подробнее: https://goo.gl/QCp711
● Россия лишилась 600 млрд рублей из-за кибератак
Подробнее: https://goo.gl/jEZ5zV
● Россиянин получил 5 лет и остался должен 17 млн за использование сбоя в приложении Сбербанка
Подробнее: https://goo.gl/Yq2F2f
● В Чехии арестованы граждане РФ по обвинению в кибератаке на МИД
Подробнее: https://goo.gl/wjY4pJ
● Epson обвинили в саботаже чернильных картриджей сторонних компаний.
Подробнее: https://vk.com/wall-39243732_1396995
● Автор LummosityLink Hacking Tool получает 30-месячный тюремный приговор.
Подробнее: https://vk.com/wall-39243732_1397176
● Qualcomm представила первые в отрасли чипсеты Wi-Fi 802.11ay
Подробнее: https://vk.com/wall-39243732_1397151
● В Госдуме решили обязать поисковики удалять ссылки на пиратские сайты во внесудебном порядке
Подробнее: https://goo.gl/XxLJYm
● Правительство планирует подключить малый бизнес к госсистеме обнаружения кибератак
Подробнее: https://goo.gl/QVG1B4
● Российская прокуратура внедряет искусственный интеллект
Подробнее: https://goo.gl/awaWGu
● Киберполиция выявила злоумышленников, которые продавали персональные данные украинцев через Telegram-канал
Подробнее: https://goo.gl/QCp711
● Россия лишилась 600 млрд рублей из-за кибератак
Подробнее: https://goo.gl/jEZ5zV
● Россиянин получил 5 лет и остался должен 17 млн за использование сбоя в приложении Сбербанка
Подробнее: https://goo.gl/Yq2F2f
● В Чехии арестованы граждане РФ по обвинению в кибератаке на МИД
Подробнее: https://goo.gl/wjY4pJ
● Epson обвинили в саботаже чернильных картриджей сторонних компаний.
Подробнее: https://vk.com/wall-39243732_1396995
● Автор LummosityLink Hacking Tool получает 30-месячный тюремный приговор.
Подробнее: https://vk.com/wall-39243732_1397176
● Qualcomm представила первые в отрасли чипсеты Wi-Fi 802.11ay
Подробнее: https://vk.com/wall-39243732_1397151
«МегаФон», Mail.ru Group и «Яндекс» вместе договорятся, как использовать и хранить большие данные
За пять лет объем объем рынка больших данных в России может увеличиться до 800 млрд рублей.
Еще в прошлом году глава Роскомнадзора Александр Жаров заявил о необходимости создания государственного инструмента для регулирования в сфере больших данных.
...в том числе, чтобы хранить наш шифрованный трафик по закону яровой.
За пять лет объем объем рынка больших данных в России может увеличиться до 800 млрд рублей.
Еще в прошлом году глава Роскомнадзора Александр Жаров заявил о необходимости создания государственного инструмента для регулирования в сфере больших данных.
...в том числе, чтобы хранить наш шифрованный трафик по закону яровой.
Владельцы iPhone, iPad и iPod все чаще становятся жертвами нелегитимного майнинга. В сентябре количество случаев криптоджекинга выросло в пять раз по сравнению с предыдущим месяцем.
«Телефоны нередко остаются вне внимания ИБ-служб, — заключают авторы отчета. — Защита этих устройств становится критически важным элементом корпоративной безопасности».
Эксперты пока не определили причины, по которым злоумышленники концентрируют свои усилия на iOS. Отмечается, что организаторы криптоджекерских кампаний не применяют каких-либо новаторских приемов, используя ошибки самих ИБ-специалистов.
https://www.infosecurity-magazine.com/news/iphone-a-growing-target-of/
«Телефоны нередко остаются вне внимания ИБ-служб, — заключают авторы отчета. — Защита этих устройств становится критически важным элементом корпоративной безопасности».
Эксперты пока не определили причины, по которым злоумышленники концентрируют свои усилия на iOS. Отмечается, что организаторы криптоджекерских кампаний не применяют каких-либо новаторских приемов, используя ошибки самих ИБ-специалистов.
https://www.infosecurity-magazine.com/news/iphone-a-growing-target-of/
Взлом вендингово оборудования и бесплатные шоколадки.
Вендинговое оборудование начинает перенимать технологию NFC, которая обеспечивает передачу данных малого радиуса действия, около 10 сантиметров. В каждом современном телефоне NFC должен быть.
Так вот, есть компания Argenta с вендинговыми автоматами, у компании есть свое приложение виртуального кошелька, чтобы пользователи могли быстро расплачиваться с автоматом через NFC, заранее пополнив свой счет удобным способом.
Краткое кулстори:
Энтузиаст скачивает приложение компании, декомпелирует его, находит запароленную БД приложения, пытается выяснить пароль, находит строчку где на БД устанавливается пароль равный IMEI-телефона, находит в базе таблицу UserWallets и редактирует в ней walletCredit.
Далее запиливается приложение для работы с базой и вперёд пить халявное кофЭ и заедать шоколадками.
Вывод:
Не нанимать джуниоров на серьезную работу, которые как минимум не слышали про обфускацию.
Энтузиаст сообщал компании про эту дырку и давал рекомендации, но прошло много времени и ему так никто и не ответил, поэтому он запилил видео:
Вендинговое оборудование начинает перенимать технологию NFC, которая обеспечивает передачу данных малого радиуса действия, около 10 сантиметров. В каждом современном телефоне NFC должен быть.
Так вот, есть компания Argenta с вендинговыми автоматами, у компании есть свое приложение виртуального кошелька, чтобы пользователи могли быстро расплачиваться с автоматом через NFC, заранее пополнив свой счет удобным способом.
Краткое кулстори:
Энтузиаст скачивает приложение компании, декомпелирует его, находит запароленную БД приложения, пытается выяснить пароль, находит строчку где на БД устанавливается пароль равный IMEI-телефона, находит в базе таблицу UserWallets и редактирует в ней walletCredit.
Далее запиливается приложение для работы с базой и вперёд пить халявное кофЭ и заедать шоколадками.
Вывод:
Не нанимать джуниоров на серьезную работу, которые как минимум не слышали про обфускацию.
Энтузиаст сообщал компании про эту дырку и давал рекомендации, но прошло много времени и ему так никто и не ответил, поэтому он запилил видео:
YouTube
How I hacked modern Vending Machines - Part I (Video #2)
"Hitting and kicking" the bundled App of their widest European distribution company.
Read the full story here: https://medium.com/@matteo.pisani.91/how-i-hacked-modern-vending-machines-43f4ae8decec
Read the full story here: https://medium.com/@matteo.pisani.91/how-i-hacked-modern-vending-machines-43f4ae8decec
Уязвимости в маршрутизаторах D-Link.
● Уязвимость CVE-2018-10822.
Позволяет удаленным злоумышленникам читать произвольные файлы с помощью HTTP-запроса с символами /.. или // после «GET/uir» в запросе HTTP.
● Уязвимость CVE-2018-10824.
Административный пароль хранится в открытом виде в файлах маршрутизатора. Злоумышленник, заюзавший предыдущую уязвимость (CVE-2018-10822), может получить полный доступ к этим файлам и далее к маршрутизатору.
● Уязвимость CVE-2018-10823.
Аутентифицированный злоумышленник может выполнить произвольный код. Баг позволяет внедрить в параметр Sip страницы chkisg.htm команды оболочки и получить полный контроль над устройством.
Список устройст в уязвимостью:
DWR-116 с прошивкой младше 1.06
DIR-140L с прошивкой младше 1.02
DIR-640L с прошивкой младше 1.02
DWR-512 с прошивкой младше 2.02
DWR-712 с прошивкой младше 2.02
DWR-912 с прошивкой младше 2.02
DWR-921 с прошивкой младше 2.02
DWR-111 с прошивкой младше 1.01.
Бреши были найдены пол года назад, но проблема до сих пор не решена. Вероятно список может быть больше.
https://www.youtube.com/watch?v=s2xrQlfd7BY
https://seclists.org/fulldisclosure/2018/Oct/36
● Уязвимость CVE-2018-10822.
Позволяет удаленным злоумышленникам читать произвольные файлы с помощью HTTP-запроса с символами /.. или // после «GET/uir» в запросе HTTP.
● Уязвимость CVE-2018-10824.
Административный пароль хранится в открытом виде в файлах маршрутизатора. Злоумышленник, заюзавший предыдущую уязвимость (CVE-2018-10822), может получить полный доступ к этим файлам и далее к маршрутизатору.
● Уязвимость CVE-2018-10823.
Аутентифицированный злоумышленник может выполнить произвольный код. Баг позволяет внедрить в параметр Sip страницы chkisg.htm команды оболочки и получить полный контроль над устройством.
Список устройст в уязвимостью:
DWR-116 с прошивкой младше 1.06
DIR-140L с прошивкой младше 1.02
DIR-640L с прошивкой младше 1.02
DWR-512 с прошивкой младше 2.02
DWR-712 с прошивкой младше 2.02
DWR-912 с прошивкой младше 2.02
DWR-921 с прошивкой младше 2.02
DWR-111 с прошивкой младше 1.01.
Бреши были найдены пол года назад, но проблема до сих пор не решена. Вероятно список может быть больше.
https://www.youtube.com/watch?v=s2xrQlfd7BY
https://seclists.org/fulldisclosure/2018/Oct/36
YouTube
D-Link routers - full takeover
A showcase of an attack on D-Link router using CVE-2018-10822 CVE-2018-10823 CVE-2018-10824.