Социальная инженерия. Угрозы и защита Ч2
В этом посте:
- Этапы социальной инженерии
- Аспекты атак с применением социальной инженерии
#социальная_инженерия
В этом посте:
- Этапы социальной инженерии
- Аспекты атак с применением социальной инженерии
#социальная_инженерия
Telegraph
Социальная инженерия. Угрозы и защита. Ч2
4. Этапы социальной инженерии Большинство хакеров следуют этим этапам осуществления атаки, чтобы безопасно и не вызывая подозений приблизиться к своей цели: 1. Сбор информации для социальной инженерии: За последнее десятилетие одни из самых серьезных угроз…
Зачем ИИ осваивает эмоции?
Представьте: вы приходите домой в плохом настроении, кричите на тугую дверь и перегоревшую лампочку — и умная колонка тут же включает расслабляющую музыку, а кофемашина наливает горячий шоколад. Или заходите в магазин, а робот-консультант, собравшийся было предложить помощь с выбором, видит ваше недовольное лицо и идет с подсказками к другому покупателю. Звучит как фантастика?
На деле технологии распознавания эмоций уже внедряют во многие сферы жизни, и в ближайшем будущем наше настроение может оказаться под неусыпным наблюдением гаджетов, бытовой техники, автомобилей и так далее. Давайте разберемся, как работают, чем полезны и чем опасны такие технологии.
Представьте: вы приходите домой в плохом настроении, кричите на тугую дверь и перегоревшую лампочку — и умная колонка тут же включает расслабляющую музыку, а кофемашина наливает горячий шоколад. Или заходите в магазин, а робот-консультант, собравшийся было предложить помощь с выбором, видит ваше недовольное лицо и идет с подсказками к другому покупателю. Звучит как фантастика?
На деле технологии распознавания эмоций уже внедряют во многие сферы жизни, и в ближайшем будущем наше настроение может оказаться под неусыпным наблюдением гаджетов, бытовой техники, автомобилей и так далее. Давайте разберемся, как работают, чем полезны и чем опасны такие технологии.
Telegraph
Зачем ИИ осваивает эмоции?
Как машина понимает чувства Большинство существующих систем распознавания эмоций анализирует выражение лица и голос человека, а также написанные или сказанные им слова. Например, по приподнятым уголкам рта машина определяет, что человек в хорошем настроении…
Троян Faketoken рассылает оскорбления в SMS за чужой счет
В прошлом SMS-вор и шифровальщик, зловред теперь шлет с зараженных устройств сообщения за границу.
Изобретательность вирусописателей не знает предела. Их детища регулярно осваивают новые специальности: шифровальщики становятся еще и майнерами, а банковские воры — вымогателями. Иногда в судьбе зловреда происходит и вовсе драматический поворот. Вот, например, занимательная история про кражу денег, SMS и страшную месть.
В прошлом SMS-вор и шифровальщик, зловред теперь шлет с зараженных устройств сообщения за границу.
Изобретательность вирусописателей не знает предела. Их детища регулярно осваивают новые специальности: шифровальщики становятся еще и майнерами, а банковские воры — вымогателями. Иногда в судьбе зловреда происходит и вовсе драматический поворот. Вот, например, занимательная история про кражу денег, SMS и страшную месть.
Telegraph
Троян Faketoken рассылает оскорбления в SMS за чужой счет
Faketoken: от SMS-вора до полноценного банкера С банковским трояном Faketoken мы знакомы давно — еще в 2014 году он выбился в двадцатку самых распространенных мобильных угроз. Тогда зловред работал в паре с десктопными банкерами: «старший товарищ» взламывал…
Основы безопасности сервисов для хранения конфиденциальной информации
В этой статье мы поговорим о безопасности сервисов со специфическими функциями, как, например, хранение учетных записей и авторизации от имени пользователя. Рассмотрим, как работают эти службы, как поддерживать кибергигиену для защиты от взлома, стоит ли доверять информацию об аккаунтах третье стороне и в конце затронем основные методы взлома подобных приложений.
В этой статье мы поговорим о безопасности сервисов со специфическими функциями, как, например, хранение учетных записей и авторизации от имени пользователя. Рассмотрим, как работают эти службы, как поддерживать кибергигиену для защиты от взлома, стоит ли доверять информацию об аккаунтах третье стороне и в конце затронем основные методы взлома подобных приложений.
Telegraph
Основы безопасности сервисов для хранения конфиденциальной информации
Базовый обзор приложений Сторонние сервисы позволяют автоматизировать активности, выполнение которых вручную было бы слишком утомительным занятием. Например, подобными функциями могут быть авторизация в сервисах или управление множеством учетных записей.…
Привет, я Дима, один из разработчиков @FCK_RKN_bot.
Завтра 20го числа я начну проходить базовый курс по информационной безопасности от Pentestit. В курс входит как теоретическая часть, в ходе которой расскажут о различных направлениях тестирования на проникновение, так и практическая подготовка, где закрепление полученных теоретических знаний пройдет в специально подготовленной интернет-лаборатории.
Курс построен так, что будет понятен даже тем, кто имеет лишь общее представление об информационной безопасности. Занятия продлятся 14 дней и за это время нам расскажут о специальном дистрибутиве Kali Linux 2019 Rolling Edition, научат принципам пентеста и ознакомят с основами социальной инженерии.
Ближайшие две недели я буду рассказывать о своих успехах и делиться впечатлениями о курсе. До встречи на вебинарах по пентесту!
Завтра 20го числа я начну проходить базовый курс по информационной безопасности от Pentestit. В курс входит как теоретическая часть, в ходе которой расскажут о различных направлениях тестирования на проникновение, так и практическая подготовка, где закрепление полученных теоретических знаний пройдет в специально подготовленной интернет-лаборатории.
Курс построен так, что будет понятен даже тем, кто имеет лишь общее представление об информационной безопасности. Занятия продлятся 14 дней и за это время нам расскажут о специальном дистрибутиве Kali Linux 2019 Rolling Edition, научат принципам пентеста и ознакомят с основами социальной инженерии.
Ближайшие две недели я буду рассказывать о своих успехах и делиться впечатлениями о курсе. До встречи на вебинарах по пентесту!
Pentestit | Информационная безопасность
WebSecOps - практическая подготовка в области веб-безопасности
WebSecOps - практическая подготовка в области безопасности веб-приложений
Приложение GitHub для Android, голосовое управление в Firefox, полноценная версия Edge и другие новости ИТ за неделю
• Вышла ранняя версия приложения GitHub для Android. Приложение будет включать только базовую функциональность. Например, разработчики смогут просматривать README-файлы в репозиториях, оставлять комментарии, выполнять поиск.
• Google заявила, что до 2022 года намерена прекратить поддержку сторонних cookies в Chrome. Это необходимо, чтобы достичь компромисса между сохранением конфиденциальности пользователей и желанием рекламных сетей отслеживать их действия.
• Доступен выпуск распределенной системы управления исходными текстами Git 2.25.0. В нём почти стабилизирована возможность частичного клонирования, добавлены новые опции для улучшения читаемости сообщений с патчами и решена проблема с определением переименований на уровне каталогов при записи коммитов.
• Язык C стал «Языком программирования 2019» по версии TIOBE. Популярность C за год увеличилась на 2,44%. Второе место у C#, третье и четвертое места у Python и Swift соответственно.
• Microsoft выпустила полноценную версию браузера Edge на платформе Google Chromium для Windows и macOS. Новый Edge станет дефолтным браузером в Windows 10 вместо классического на базе EdgeHTML.
• Mozilla запустила бета-версию голосового управления в браузере Firefox. Например, пользователь может попросить воспроизвести музыку в Spotify или узнать погоду.
• Microsoft исправила серьёзную уязвимость безопасности в операционной системе Windows 10. По данным исследователей, уязвимость связана с библиотекой crypt32.dll, которая управляет сертификатами безопасности и функциями шифрования сообщений.
• Amazon представила библиотеку AutoGluon, которая позволяет разработчикам создавать приложения на базе искусственного интеллекта. Библиотека автоматизирует настройку гиперпараметров и поиск нейронной архитектуры, которые обычно выполняются вручную.
• Вышла версия 0.3 библиотеки vosk для локального распознавания слитной речи. Для платформы Android подготовлен APK-пакет, а для Linux можно использовать Python-библиотеку. Платформа поддерживает русский язык.
• Исследователи МIT разработали ML-инструмент Ithemal для определения того, насколько быстро код будет выполняться на разных чипах. Благодаря этому инструменту разработчики смогут создавать приложения под процессоры с определёнными архитектурами.
• Google раскрыла планы реализации в Chrome средств для блокировки назойливых уведомлений, похожие на те, что были недавно предложены пользователям в Firefox 72. Компания согласилась, что большая часть уведомлений, связанных с подтверждением полномочий, выводятся сайтами в назойливом виде.
• Mozilla уволила около 70 сотрудников, чтобы продолжить «инвестировать в инновации». В письмах сотрудникам временный гендиректор Митчелл Бейкер объяснила, что Mozilla не получила от новых продуктов ожидаемого уровня выручки.
#новости revolt
• Вышла ранняя версия приложения GitHub для Android. Приложение будет включать только базовую функциональность. Например, разработчики смогут просматривать README-файлы в репозиториях, оставлять комментарии, выполнять поиск.
• Google заявила, что до 2022 года намерена прекратить поддержку сторонних cookies в Chrome. Это необходимо, чтобы достичь компромисса между сохранением конфиденциальности пользователей и желанием рекламных сетей отслеживать их действия.
• Доступен выпуск распределенной системы управления исходными текстами Git 2.25.0. В нём почти стабилизирована возможность частичного клонирования, добавлены новые опции для улучшения читаемости сообщений с патчами и решена проблема с определением переименований на уровне каталогов при записи коммитов.
• Язык C стал «Языком программирования 2019» по версии TIOBE. Популярность C за год увеличилась на 2,44%. Второе место у C#, третье и четвертое места у Python и Swift соответственно.
• Microsoft выпустила полноценную версию браузера Edge на платформе Google Chromium для Windows и macOS. Новый Edge станет дефолтным браузером в Windows 10 вместо классического на базе EdgeHTML.
• Mozilla запустила бета-версию голосового управления в браузере Firefox. Например, пользователь может попросить воспроизвести музыку в Spotify или узнать погоду.
• Microsoft исправила серьёзную уязвимость безопасности в операционной системе Windows 10. По данным исследователей, уязвимость связана с библиотекой crypt32.dll, которая управляет сертификатами безопасности и функциями шифрования сообщений.
• Amazon представила библиотеку AutoGluon, которая позволяет разработчикам создавать приложения на базе искусственного интеллекта. Библиотека автоматизирует настройку гиперпараметров и поиск нейронной архитектуры, которые обычно выполняются вручную.
• Вышла версия 0.3 библиотеки vosk для локального распознавания слитной речи. Для платформы Android подготовлен APK-пакет, а для Linux можно использовать Python-библиотеку. Платформа поддерживает русский язык.
• Исследователи МIT разработали ML-инструмент Ithemal для определения того, насколько быстро код будет выполняться на разных чипах. Благодаря этому инструменту разработчики смогут создавать приложения под процессоры с определёнными архитектурами.
• Google раскрыла планы реализации в Chrome средств для блокировки назойливых уведомлений, похожие на те, что были недавно предложены пользователям в Firefox 72. Компания согласилась, что большая часть уведомлений, связанных с подтверждением полномочий, выводятся сайтами в назойливом виде.
• Mozilla уволила около 70 сотрудников, чтобы продолжить «инвестировать в инновации». В письмах сотрудникам временный гендиректор Митчелл Бейкер объяснила, что Mozilla не получила от новых продуктов ожидаемого уровня выручки.
#новости revolt
👍2
Дуров назвал iCloud «инструментом для слежки»
Павел Дуров считает, что iCloud стал «инструмент для слежки». Такое мнение он выразил после того, как источники Reuters сообщили об отказе Apple от планов дать пользователям возможность зашифровать свои данные в облачном сервисе.
«iCloud теперь официально инструмент для слежки. Приложения, которые используют его для хранения ваших личных сообщений (например, WhatsApp), тоже часть этой проблемы», — написал Дуров в своем Telegram-канале.
Дуров посоветовал удалить WhatsApp со смартфонов
Павел Дуров считает, что iCloud стал «инструмент для слежки». Такое мнение он выразил после того, как источники Reuters сообщили об отказе Apple от планов дать пользователям возможность зашифровать свои данные в облачном сервисе.
«iCloud теперь официально инструмент для слежки. Приложения, которые используют его для хранения ваших личных сообщений (например, WhatsApp), тоже часть этой проблемы», — написал Дуров в своем Telegram-канале.
Дуров посоветовал удалить WhatsApp со смартфонов
Ты, я и Facebook: не посвящайте приложения в личные тайны
Для смартфонов полно программ, которые так или иначе связаны с нашим здоровьем. Специальные приложения напоминают, когда пора принимать лекарства, позволяют отслеживать качество сна, подсчитывают шаги, калории и не только. Часто такие программы требуют делиться с ними очень личными данными — информацией о вашем самочувствии, настроении, диагнозах и так далее. В большинстве случаев эта информация действительно нужна им для работы. Но, увы, далеко не все они обращаются с ней аккуратно.
На 36-й конференции Chaos Communication Congress (36C3) представители правозащитной организации Privacy International поделились результатами исследования очень интимных приложений — для отслеживания менструального цикла. Эти приложения помогают женщинам прогнозировать месячные, следить за репродуктивным здоровьем, планировать беременность. Как выяснилось, некоторые из них злоупотребляли доверием пользователей и передавали их интимную информацию… в Facebook! И не только.
Для смартфонов полно программ, которые так или иначе связаны с нашим здоровьем. Специальные приложения напоминают, когда пора принимать лекарства, позволяют отслеживать качество сна, подсчитывают шаги, калории и не только. Часто такие программы требуют делиться с ними очень личными данными — информацией о вашем самочувствии, настроении, диагнозах и так далее. В большинстве случаев эта информация действительно нужна им для работы. Но, увы, далеко не все они обращаются с ней аккуратно.
На 36-й конференции Chaos Communication Congress (36C3) представители правозащитной организации Privacy International поделились результатами исследования очень интимных приложений — для отслеживания менструального цикла. Эти приложения помогают женщинам прогнозировать месячные, следить за репродуктивным здоровьем, планировать беременность. Как выяснилось, некоторые из них злоупотребляли доверием пользователей и передавали их интимную информацию… в Facebook! И не только.
Telegraph
Представители Privacy International рассказали, какие данные сливают своим партнерам приложения для отслеживания месячных.
Что именно приложения отправляли в Facebook В рамках доклада исследователи подробно разобрали две программы — Maya и MIA (5 миллионов и 1 миллион скачиваний в Google Play соответственно). В сущности, исследование было очень простым: ребята из Privacy International…
Социальная инженерия. Угрозы и защита Ч3, последняя.
В этом посте:
- Методы социальной инженерии
- Защита от социальной инженерии
- Заключение
#социальная_инженерия
В этом посте:
- Методы социальной инженерии
- Защита от социальной инженерии
- Заключение
#социальная_инженерия
Telegraph
Социальная инженерия. Угрозы и защита. Ч3
6 Методы социальной инженерии Существует несколько методов атак с использованием социальной инженерии, в частности: 1) Искушение иметь что-то редкое: у людей зачастую есть желание владеть чем-то особенным, редким. Желание владеть возрастает, когда мы чувствуем…
ФАС разработала правила предустановки российского софта на гаджеты
В соответствии с планом ФАС с 1 июля 2020 года предустановка российского софта станет обязательна для смартфонов, с 2021 года — для планшетов, с 2022 года — для компьютеров, с 2023 года — для Smart TV и ТВ-приставок.
Для каждого вида техники составят свой перечень обязательных к установке типов софта, а также требования к разработчику. Предполагается, что для смартфонов обязательно будет предустанавливать поисковик, антивирус, навигатор или карты, мессенджер и социальные сети, госуслуги и платежную систему МИР.
ФАС не будет определять конкретные приложения, которые должны быть установлены, так как это нарушает закон о конкуренции. Производитель будет сам выбирать, какое приложение из соответствующих требованиям установить.
Дождь
#новости
В соответствии с планом ФАС с 1 июля 2020 года предустановка российского софта станет обязательна для смартфонов, с 2021 года — для планшетов, с 2022 года — для компьютеров, с 2023 года — для Smart TV и ТВ-приставок.
Для каждого вида техники составят свой перечень обязательных к установке типов софта, а также требования к разработчику. Предполагается, что для смартфонов обязательно будет предустанавливать поисковик, антивирус, навигатор или карты, мессенджер и социальные сети, госуслуги и платежную систему МИР.
ФАС не будет определять конкретные приложения, которые должны быть установлены, так как это нарушает закон о конкуренции. Производитель будет сам выбирать, какое приложение из соответствующих требованиям установить.
Дождь
#новости
Как вы относитесь к идеи предустановки российского ПО на устройства?
Anonymous Poll
78%
Негативно
6%
Позитивно
16%
Мне все равно
Взломать админа
Проверка осведомленности персонала об ИБ-угрозах является одним из самых востребованных кейсов. Проводится она, как правило, методами социальной инженерии.
Цель: проверка соблюдения сотрудниками политик ИБ.
Методы: социальная инженерия.
Локальная цель: получение информации, которая позволит реализовать атаку «повышение привилегий».
Расскажем, как выйти на системного администратора и добиться у него информации по структуре учетной записи, структуре пароля, в идеале — получить сам пароль.
#социальная_инженерия
Проверка осведомленности персонала об ИБ-угрозах является одним из самых востребованных кейсов. Проводится она, как правило, методами социальной инженерии.
Цель: проверка соблюдения сотрудниками политик ИБ.
Методы: социальная инженерия.
Локальная цель: получение информации, которая позволит реализовать атаку «повышение привилегий».
Расскажем, как выйти на системного администратора и добиться у него информации по структуре учетной записи, структуре пароля, в идеале — получить сам пароль.
#социальная_инженерия
Telegraph
Взломать админа
Планирование Главное в социалке — поставить четкую цель. Без целеполагания, действуя хаотично, вы мало чего добьетесь, только превратите социалку в балаган, а себя в клоунов. Ставим цель: выйти на системного администратора и добиться у него информации по…
Экологичность в IT: как и зачем
Слово «цифровой» обычно ассоциируется с чем-то нематериальным, эфемерным. Однако цифровые сервисы работают на физических серверах, которым требуется питание, а большая часть электроэнергии до сих пор вырабатывается за счет сжигания ископаемого топлива.
Это означает, что цифровые службы оказывают вполне реальное воздействие на количество выбросов углекислого газа и климатические изменения. Это воздействие и способы его минимизации стали темой доклада Криса Адамса из фонда Green Web Foundation на конгрессе 36c3.
Слово «цифровой» обычно ассоциируется с чем-то нематериальным, эфемерным. Однако цифровые сервисы работают на физических серверах, которым требуется питание, а большая часть электроэнергии до сих пор вырабатывается за счет сжигания ископаемого топлива.
Это означает, что цифровые службы оказывают вполне реальное воздействие на количество выбросов углекислого газа и климатические изменения. Это воздействие и способы его минимизации стали темой доклада Криса Адамса из фонда Green Web Foundation на конгрессе 36c3.
Telegraph
Экологичность в IT: как и зачем
Четыре шага, которые помогут сократить углеродный след IT-инфраструктуры вашей компании — а заодно сэкономить. Крупные IT-компании уже измеряют свой углеродный след — не пора ли и вам? Сначала немного цифр. К примеру, компания Amazon недавно начала публиковать…
Мрачные прогнозы Давоса о технологиях
На этой неделе в Давосе прошел 50-й юбилейный Всемирный экономический форум, на котором традиционно много говорили о технологиях. Но, несмотря на слоган tech for good, повестка вышла невеселой. Главным лейтмотивом стали гонка вооружений в технологиях, распад интернета на куски и риски, которые несут новые разработки. The Bell рассказывает о самых важных темах техно-Давоса.
- Опасности искусственного интеллекта
- США против китайских техногигантов
- Холодная технологическая война
- Персональные данные и здоровье
И другие новости
На этой неделе в Давосе прошел 50-й юбилейный Всемирный экономический форум, на котором традиционно много говорили о технологиях. Но, несмотря на слоган tech for good, повестка вышла невеселой. Главным лейтмотивом стали гонка вооружений в технологиях, распад интернета на куски и риски, которые несут новые разработки. The Bell рассказывает о самых важных темах техно-Давоса.
- Опасности искусственного интеллекта
- США против китайских техногигантов
- Холодная технологическая война
- Персональные данные и здоровье
И другие новости
Telegraph
Мрачные прогнозы Давоса о технологиях
Опасности искусственного интеллекта Одна из главных дискуссий форума началась за день до его старта: в понедельник в Financial Times вышла колонка CEO Google Сундара Пичаис говорящим заголовком: «Почему Google считает, что нам нужно регулировать ИИ». Вот…
Forwarded from hidemyname: безопасный интернет
Рассказываем на Хабре как прямо сейчас Китай цензурирует информацию об эпидемии короновируса: https://habr.com/ru/post/485950/
Хабр
Эпидемия и цензура: власти Китая пытаются сдерживать распространение информации о коронавирусе?
В Китае действует весьма эффективная система цензуры и контроля граждан, которая охватывает все сферы жизни граждан, включая интернет. До настоящего момента эта система справлялась с негативным...
Дядя Сэм раздает деньги за утечку ваших данных
В новости регулярно попадают всевозможные утечки данных, а в последнее время также и крупные штрафы, которые платят компании, эти утеки допустившие, — вплоть до нескольких миллиардов долларов. Но раз компании платят за утечки, не положена ли хотя бы часть этих денег пользователям, чьи данные утекли?
В новости регулярно попадают всевозможные утечки данных, а в последнее время также и крупные штрафы, которые платят компании, эти утеки допустившие, — вплоть до нескольких миллиардов долларов. Но раз компании платят за утечки, не положена ли хотя бы часть этих денег пользователям, чьи данные утекли?
Telegraph
Дядя Сэм раздает деньги за утечку ваших данных (на самом деле нет)
Сюрприз от Американской торговой комиссии Недавно нам на глаза попался любопытный сайт, якобы принадлежащий некоему Фонду защиты персональных данных (Personal Data Protection Fund). На главной странице говорится, что фонд создан Американской торговой комиссией…
Привет! Это Дима, я продолжаю рассказ о курсе информационной безопасности Pentestit.
Уже прошло больше половины курса, и я могу немного рассказать о том как он устроен.
Как я уже говорил, курс состоит из теоретической и практической частей. Теория – текстовые материалы и видеозаписи с детальным описанием темы. В видео нас знакомят с различными инструментами, демонстрируют пути поиска уявзвимостей и учат выполнять практические задания.
Из чего же состоит практика? Это самое интересное. Прохождение практической части происходит в интернет-лаборатории. У каждого задания есть цель – найти флаг. Флаг это секретный код, спрятанный где-то в глубине сайтов, операционных систем и баз данных. Чтобы их находить, мне приходится искать лазейки, пытаться придумать пути взлома. Это придает азарт прохождению заданий, ты бьешься до последнего, чтобы найти уязвимость и достать флаг.
Кстати, все практические задания тесно связаны с теорией и ситуация, когда знаний для проникновения не хватает, просто не возникает. Если что-то не получается, нужно лишь попробовать взглянуть под другим углом. Если самому разобраться все же не удалось, можно обратиться к куратору, который даст совет, и объяснит непонятное.
Прямо сейчас я прохожу задание где мне нужно, используя допущенные разработчиком сайта ошибки, получить доступ к файлам сайта и найти среди них флаг. Уже завтра я на этом примере расскажу как решаются задания лаборатории и покажу вам, как я искал флаг!
#pentest
Уже прошло больше половины курса, и я могу немного рассказать о том как он устроен.
Как я уже говорил, курс состоит из теоретической и практической частей. Теория – текстовые материалы и видеозаписи с детальным описанием темы. В видео нас знакомят с различными инструментами, демонстрируют пути поиска уявзвимостей и учат выполнять практические задания.
Из чего же состоит практика? Это самое интересное. Прохождение практической части происходит в интернет-лаборатории. У каждого задания есть цель – найти флаг. Флаг это секретный код, спрятанный где-то в глубине сайтов, операционных систем и баз данных. Чтобы их находить, мне приходится искать лазейки, пытаться придумать пути взлома. Это придает азарт прохождению заданий, ты бьешься до последнего, чтобы найти уязвимость и достать флаг.
Кстати, все практические задания тесно связаны с теорией и ситуация, когда знаний для проникновения не хватает, просто не возникает. Если что-то не получается, нужно лишь попробовать взглянуть под другим углом. Если самому разобраться все же не удалось, можно обратиться к куратору, который даст совет, и объяснит непонятное.
Прямо сейчас я прохожу задание где мне нужно, используя допущенные разработчиком сайта ошибки, получить доступ к файлам сайта и найти среди них флаг. Уже завтра я на этом примере расскажу как решаются задания лаборатории и покажу вам, как я искал флаг!
#pentest
31 января 2020 года Роскомнадзор возбудил административное производство в отношении компаний Facebook, Inc и Twitter, Inc,. Указанные компании не предоставили в установленный срок сведений о выполнении требований о локализации баз данных российских пользователей соответствующих социальных сетей на серверах, расположенных на территории Российской федерации, что предусмотрено ч.5 ст.18 Закона «О персональных данных» №152-ФЗ. Административное производство было возбуждено по признакам совершения административного правонарушения в соответствии с ч. 8 ст.13.11. КоАП Российской Федерации, предусматривающей административный штраф в размере от 1 млн до 6 млн рублей.
Соответствующий протокол был составлен в присутствии представителя компании Twitter. Представитель компании Facebook на подписание Протокола не явился. В соответствии с законодательством копия Протокола будет направлена в адрес компании в течение трех дней.
Роскомнадзор направит Протокол в суд в течение трех рабочих дней.
https://rkn.gov.ru/news/rsoc/news71720.htm
Соответствующий протокол был составлен в присутствии представителя компании Twitter. Представитель компании Facebook на подписание Протокола не явился. В соответствии с законодательством копия Протокола будет направлена в адрес компании в течение трех дней.
Роскомнадзор направит Протокол в суд в течение трех рабочих дней.
https://rkn.gov.ru/news/rsoc/news71720.htm
Forwarded from ЗаТелеком 🌐
Ладно. Если серьезно, то мой прогноз по ситуации такой:
ФБ и Твиттер не будут ставить никаких серверов "с персональными данными" в России. Причины:
1. Само требование — абсурдно. Как разделять ПД россиян и не-россиян в ФБ и тем более Твиттере? Никто не знает. Тем более РКН и прочие чудики, которые напринимали идиотских законов.
2. Соответственно, стоимость таких манипуляций, персонал, разработка и еще тысяча причин — невозможно посчитать и тем более реализовать. А указанные компании умеют считать бабло. А тут получается "сделай то, незнамо что" и за свой счет, для непонятных причин и при полной их бизнес-бесполезности.
3. ... и даже вредности. Ибо, физическое нахождение инфраструктуры внутри страны с правительством-идиотами чревато с точки зрения безопасности данных. Ну, они ж реально дебилы — ну как начнут с отверткой в сервера лазить, жоские диски доставать.
4. Соглашательство на выполнение абсурдных и небезопасных требований означает, что весь другой мир не поймет. Типа, если ФБ будет комплаить законы РФ по тотальной слежке имени "яровой", станут ОРИ и вот это всё — это будет означать, что ФБ&Тви занимаются сливом данных пользователей. А в глазах западного мира это означает, что "контора работает на KGB". Это ж мы знаем, что это все профанация — а незамысловатый американский акционер продаст акции. Что приведет к снижению капитализации, а это уже реально серьезно.
5. Хватит ли яиц у Жарова заблокировать ФБ&Тви — не знаю. Скорее всего, нет. Результат такой блокировки может непредсказуемым. Причем, в голову прилетит с разных сторон. Ну, например, ФБ это ж еще и Инстаграмм. А там много всяких персон интересных. Медведев, например, может быть недоволен, а он у нас же ЗАМЕСТИТЕЛЬ СОВЕТА БЕЗОПАСНОСТИ! Или тыщщи людей выйдут на улицу с плакатами "вы чо там совсем ебанулись?". Но самое неприятное — может быть ответочка со стороны Запада в виде витка санкций, например. Или рашу-тудей закроют. А как "влиять на результаты выборов", если из России нельзя будет в ФБ?
В общем, ставлю литр односолодового против балтики-7, что яиц заблокировать ФБ&Тви и нашего истеблишента не хватит.
Наиболее вероятный исход, таким образом: ФБ&Тви назначат штраф по миллиону, они их выплатят и об истории опять забудут на пару лет.
ФБ и Твиттер не будут ставить никаких серверов "с персональными данными" в России. Причины:
1. Само требование — абсурдно. Как разделять ПД россиян и не-россиян в ФБ и тем более Твиттере? Никто не знает. Тем более РКН и прочие чудики, которые напринимали идиотских законов.
2. Соответственно, стоимость таких манипуляций, персонал, разработка и еще тысяча причин — невозможно посчитать и тем более реализовать. А указанные компании умеют считать бабло. А тут получается "сделай то, незнамо что" и за свой счет, для непонятных причин и при полной их бизнес-бесполезности.
3. ... и даже вредности. Ибо, физическое нахождение инфраструктуры внутри страны с правительством-идиотами чревато с точки зрения безопасности данных. Ну, они ж реально дебилы — ну как начнут с отверткой в сервера лазить, жоские диски доставать.
4. Соглашательство на выполнение абсурдных и небезопасных требований означает, что весь другой мир не поймет. Типа, если ФБ будет комплаить законы РФ по тотальной слежке имени "яровой", станут ОРИ и вот это всё — это будет означать, что ФБ&Тви занимаются сливом данных пользователей. А в глазах западного мира это означает, что "контора работает на KGB". Это ж мы знаем, что это все профанация — а незамысловатый американский акционер продаст акции. Что приведет к снижению капитализации, а это уже реально серьезно.
5. Хватит ли яиц у Жарова заблокировать ФБ&Тви — не знаю. Скорее всего, нет. Результат такой блокировки может непредсказуемым. Причем, в голову прилетит с разных сторон. Ну, например, ФБ это ж еще и Инстаграмм. А там много всяких персон интересных. Медведев, например, может быть недоволен, а он у нас же ЗАМЕСТИТЕЛЬ СОВЕТА БЕЗОПАСНОСТИ! Или тыщщи людей выйдут на улицу с плакатами "вы чо там совсем ебанулись?". Но самое неприятное — может быть ответочка со стороны Запада в виде витка санкций, например. Или рашу-тудей закроют. А как "влиять на результаты выборов", если из России нельзя будет в ФБ?
В общем, ставлю литр односолодового против балтики-7, что яиц заблокировать ФБ&Тви и нашего истеблишента не хватит.
Наиболее вероятный исход, таким образом: ФБ&Тви назначат штраф по миллиону, они их выплатят и об истории опять забудут на пару лет.
Необычные уязвимости обычных датчиков
То, что теперь у каждого цифрового устройства есть куча «органов чувств», помогающих ему взаимодействовать с физическим миром, — это, с одной стороны, удобно. Но с другой — создает новые, порой весьма неожиданные угрозы. Дело в том, что эти «органы чувств» хоть и близки к человеческим функционально, но по конструкции и возможностям сильно от них отличаются. И об этом не всегда задумываются при разработке электроники.
Взять, к примеру, ультразвуковые команды: человек их не слышит, а голосовые помощники — не только слышат, но и исполняют. Впрочем, взлом ассистента с помощью звука, хоть и неуловимого для человеческого уха, — это хотя бы как-то можно понять и предугадать. А вот как насчет… света?
То, что теперь у каждого цифрового устройства есть куча «органов чувств», помогающих ему взаимодействовать с физическим миром, — это, с одной стороны, удобно. Но с другой — создает новые, порой весьма неожиданные угрозы. Дело в том, что эти «органы чувств» хоть и близки к человеческим функционально, но по конструкции и возможностям сильно от них отличаются. И об этом не всегда задумываются при разработке электроники.
Взять, к примеру, ультразвуковые команды: человек их не слышит, а голосовые помощники — не только слышат, но и исполняют. Впрочем, взлом ассистента с помощью звука, хоть и неуловимого для человеческого уха, — это хотя бы как-то можно понять и предугадать. А вот как насчет… света?
Telegraph
Голосовых помощников можно обмануть с помощью лазера, а датчик движения — с помощью музыки
Как услышать свет: MEMS-микрофоны и их причуды Оказывается, если преобразовать голосовую команду в мерцание лазера и направить луч на микрофон, то ассистент благополучно распознает и выполнит запрос. Это выяснили исследователи из Университета электрокоммуникаций…