Lamphone: новый метод «визуальной прослушки»

Не так давно мы писали о ряде придуманных Мордехаем Гури и его коллегами из Университета Бен-Гуриона методов, с помощью которых можно извлекать информацию из изолированного от Сети устройства. На конференции Black Hat USA 2020 доклад на близкую тему представил другой исследователь из того же Университета Бен-Гуриона: Бен Насси рассказал о методике визуальной прослушки, которую он и его коллеги назвали Lamphone.
О том, как работает Lamphone, поговорим чуть ниже, а начнем с краткого экскурса в историю вопроса.

@BreakingTrends — единственный канал про мировые медиатренды.

Мы ищем эксклюзивными новости из мира IT и маркетинга, переводим иностранные статьи, мониторим новые исследования и инсайды.

У нас есть свои источники во всех ведущих брендах.

Подписывайтесь и будьте в тренде: @breakingtrends

Релиз iOS 14 и Android 11, блокировка сотни приложений в Индии и другие новости ИТ
Собрали интересные новости ИТ и разработки за месяц.

• Разработчик создал сайт с плеером в стиле Winamp с библиотекой Spotify. Чтобы запустить плеер, у пользователя должен быть Premium-аккаунт в Spotify.
• Apple опубликовала iOS 14. Однако разработчики советуют подождать с обновлением, потому что некоторые приложения могут работать со сбоями.
• Индия заблокировала на территории страны 118 приложений. Власти считают, что эти сервисы несут угрозу нацбезопасности.
• Google выпустила Android 11 с единым разделом для чатов, функцией записи экрана и Google Pay по кнопке питания. Сначала появится на некоторых моделях Google Pixel, OnePlus, Xiaomi, Oppo и Realme.
• Apple обновила процесс проверки приложений в App Store. Для приложений, которые уже есть в магазине, компания не будет откладывать обновления из-за мелких нарушений — разработчики смогут внести исправления при следующем обновлении.
• По версии TIOBE, самым быстрорастущим языком программирования в сентябре стал C++. Его доля рынка достигла 7,11%.
• Microsoft открыла исходный код автоматизированного инструмента Project OneFuzz, который используется внутри компании для поиска уязвимостей безопасности в программном обеспечении.
• Google представила сервис для разработки без написания кода Business Application Platform. Новый инструмент совмещает возможности платформы управления API Apigee и конструктора корпоративных приложений AppSheet без кода.
• Huawei использует технологии «Яндекса» для запуска своего голосового помощника в России. Партнёрство позволит Huawei выйти на новый рынок, а «Яндексу» — продвинуть свои технологические решения.
• Microsoft опубликовала результаты испытаний подводного центра обработки данных. Он оказался в 8 раз надёжнее наземных аналогов.
• Платформа для синхронизации сервисов между собой IFTTT ввела платную версию за $9,99 в месяц для сложных апплетов. Новый тариф позволит создавать неограниченное количество апплетов, а бесплатная версия будет ограничена тремя.
• Стартап Glide создаёт мобильные приложения из Google-таблиц — без кода и навыков программирования. Разработчики Glide хотят одновременно упростить разработку мобильных приложений и взаимодействие с электронными таблицами.
• В Китае запретили детский язык программирования Scratch. Причиной стал тот факт, что проекты на Scratch часто содержат неподобающий контент о стране — оскорбления и клевету.
#новости revolut

​​"Поехали" в мир кибербезопасности!
⠀
HackerU — эксперт в области обучения IT и кибербезопасности проводит интенсив-практикум для новичков!
⠀
За 4 дня вы научитесь:
- Устанавливать и настраивать Linux-системы на виртуальные машины
- Настраивать сеть и понимать особенности ее работы
- Осуществлять ряд сетевых атак и выстраивать защиту от них
- Осуществлять ряд атак, связанных с уязвимостью ОС и разрабатывать защиту от них
⠀
Интенсив ведет: Ильдар Садыков, действующий руководитель отдела ИБ Федерального бюро МСЭ Министерство труда и социальной защиты РФ. Управляет 2 000 системами в 85 регионах РФ.
⠀
Сделайте первый шаг в профессию – запишитесь на интенсив: https://is.gd/DPZCaN

Cделка, которая сделает Nvidia монополистом на рынке чипов для смартфонов

Пока весь мир, затаив дыхание, наблюдал, чем закончится эпопея с TikTok, почти незамеченной прошла другая сделка — по масштабам и значению не менее, а может, и более важная. Американская Nvidia за $40 млрд выкупила у японского SoftBank британского разработчика микропроцессоров Arm, который делает чипы для новых Macbook и большинства cмартфонов в мире. Казалось бы, повод для радости, но довольными остались только покупатель и продавец. Основатели Arm назвали сделку катастрофой и падением последней европейской технологической компании, а аналитики грозят рынку монополией и новым конфликтом между США и Китаем.

Коалиция против App Store, отчёт по Java от JetBrains, релиз GitHub CLI и другие новости ИТ за неделю

• Компании Epic Games, Spotify, Deezer и несколько других объединили свои усилия в борьбе с политикой App Store и создали Coalition for App Fairness. Они требуют от Apple отменить комиссию в App Store и позволить пользователям iOS загружать приложения из других источников.
• В начале сентября компания Microsoft случайно оставила в открытом доступе 6,5 Тб данных поисковика Bing. Компания быстро исправила ошибку конфигурации.
• Команда Vue.js выпустила Vue.js 3.0 “One Piece”. По словам разработчиков, в новой версии улучшена производительность, уменьшен размер пакетов, проработана лучшая интеграция с TypeScript.
• JetBrains опубликовала отчёт о состоянии языка Java в 2020 году. По данным компании, в качестве основного языка Java используют 5,2 млн профессиональных разработчиков.
• Intel получила лицензию на продолжение поставок своей продукции для Huawei Technologies. Ранее сотрудничество было прекращено из-за ограничений Министерства торговли США, которое подозревало правительство Китая в шпионаже.
• Президент США Дональд Трамп одобрил сделку между китайским сервисом для просмотра видеороликов TikTok и американским разработчиком Oracle.
• Владельцы iPhone и iPad обнаружили, что после перезагрузки iOS 14 без спроса делает Mail и Safari приложениями по умолчанию. Apple знает о проблеме и обещала пофиксить баг в будущем программном обновлении.
• Microsoft объявила о намерении в октябре начать тестировать браузер Edge для платформы Linux. Сборки будут распространяться через Microsoft Edge Insiders или в форме штатных пакетов для популярных дистрибутивов Linux.
• GitHub опубликовал первый релиз многоплатформенного инструментария GitHub CLI. Он позволяет управлять своими проектами из командной строки.
#новости revolut

​​Интенсив-практикум «Penetration Testing»🔥

Получите опыт проведения анализа и тестирование защищенности программ, операционных систем и веб-приложений.

За 4 дня вы научитесь:
- Сканировать локальные сети, узлы в сети Интернет и анализ полученного результата.
- Обнаруживать ряд уязвимостей в веб-приложениях, программах, операционных системах и почтовых серверах.
- Подбирать эксплойты к программному обеспечению с целью тестирования безопасности.
- Эксплуатировать уязвимости через программы для тестирования.

После интенсива вы поймете перспективы развития в профессии и сможете продолжить обучение на основной программе с топовыми преподавателями-практиками.

Интенсив ведет: Егор Богомолов, 200+ успешных проектов в таких компаниях как "Информзащита", "Бизон" и "Валарм".

Читайте подробности и оставляйте заявку на сайте:

https://is.gd/zZqvRK

Будущее интернета: децентрализация и новый цифровой завет. Часть 4

У децентрализации сети в последние годы появляется всё больше адептов — от организаций до простых пользователей. Сегодня поговорим о браузерах, поисковых и почтовых сервисах, а также о социальных сетях.
#future

​​Управление уязвимостями. Кто кого?

Задумывались ли вы, насколько эффективно выявляете и устраняете уязвимости? Positive Technologies решили выяснить, как ИБ-специалисты оценивают качество управления уязвимостями в своих компаниях. Приглашаем принять участие в опросе. Результаты будут опубликованы в виде аналитической статьи на сайте Positive Technologies. Опрос анонимный. https://ru.research.net/r/JBQXV7D

Как Apple защищает приватность пользователей в новой версии iOS

Впервые за долгое время свежая версия iOS вышла «сама по себе», независимо от нового поколения iPhone. В этом году релиз застал многих разработчиков врасплох: они не ожидали столь скорого выхода Gold Master и последовавшего за ним буквально на следующий день официального релиза. В этой статье мы поговорим о том, что было сделано программистами Apple для защиты частной жизни пользователей, а также о том, что было анонсировано в ранних бетах, но в окончательную сборку не вошло.

Отложенный фишинг и как с ним бороться

Фишинг — один из основных инструментов атаки на корпоративные сети. Неудивительно, что фильтры против него и детекторы вредоносных адресов стоят везде: у провайдеров электронной почты, на почтовых шлюзах, даже в браузерах. Поэтому злоумышленники постоянно придумывают и совершенствуют методы обхода. Один из них — отложенный фишинг.

​​Ты уже освоил базовые навыки программирования и планируешь дальше развиваться в IT? Попробуй освоить DevOps, познакомься с понятиями Docker, CI и Kubernetes за три дня на бесплатном онлайн-интенсиве: 🔜 https://clc.am/Yu6GWQ

Ты научишься:
➕ разбираться в DevOps-инженерии;
➕ собирать контейнер с приложением;
➕ запускать его при помощи Docker-compose;
➕ настраивать непрерывную интеграцию (CI);
➕ работать с сервисом Kubernetes.

🎁 Участники интенсива получат в подарок электронную книгу Кей Петерсон и Дэвида Колба «Век живи — век учись» от издательства «МИФ», а трое лучших — сертификаты на 30 000 рублей для обучения в онлайн-университете Skillbox!

Будущее интернета: децентрализация и новый цифровой завет. Часть 5.

У децентрализации сети в последние годы появляется всё больше адептов — от организаций до простых пользователей. Сегодня поговорим о публикации контента, хранении и передачи данных и криптовалютах
#future

​​Цифровая трансформация бизнеса уже давно не привилегия гигантов — она стала осознанной необходимостью даже для микрокомпаний. Сегодня особенно остро встают вопросы работы с интеллектуальной собственностью и LegalTech.

Как рассчитать размер убытков и компенсации в случае нарушения интеллектуальных прав? Почему право на обращение в Палату по патентным спорам может обернуться злоупотреблениями? В каком режиме предпочтительно охранять промышленный дизайн?

Эти и другие актуальные вопросы обсудят ведущие эксперты по IP и LegalTech на полях конференции Distant & Digital.
Программа масштабного онлайн-события включит более 50 событий различной тематики: разбор судебной и административной практики, дискуссии о проблемах технологических и творческих отраслей, анализ кейсов по управлению нематериальными активами в стартапах и корпорациях и т. д. Ожидается, что в конференции примет участие более 200 экспертов и свыше 3000 слушателей.

Организаторами конференции выступят Ассоциация IPChain, Федерация интеллектуальной собственности (ФИС), Всемирная организация интеллектуальной собственности (WIPO) и международный коммуникационный бренд IPQuorum. Соорганизатор и партнер модуля — Фонд «Сколково».
Специальный партнер конференции — Deloitte Legal. Партнеры конференции: Европейская Юридическая Служба (партнер круглого стола), юридическая компания «Зуйков и партнеры», компания «Гарант» (партнер мастер-класса), Squire Patton Boggs (партнер сессии) образовательный центр Digital IP (образовательный партнер), компания LexisNexis (партнер вечернего мероприятия).

Узнавайте больше о Distant & Digital и регистрируйтесь на сайте: https://clck.ru/RBjyw

​​В Яндекс две интересные вакансии: в московский офис разыскиваются стажёры по направлению информационной безопасности

— Стажёр-инженер по ИБ в Яндекс.Облако

Вам предстоит на практике познакомиться с процессами DevSecOps, разрабатывать и улучшать инструменты security-мониторинга,
выполнять whitebox-аудиты безопасности компонентов Облака, находить уязвимости и предлагать решения по их исправлению. Нужно уметь эксплуатировать уязвимости, разбираться в безопасности Linux и писать хотя бы на одном из языков программирования (Go, Python, Java, C/C++).

— Стажёр в группу безопасности сервисов

Группа безопасности сервисов помогает командам Яндекс.Такси, Маркета, Карт, Облака и Экспериментов создавать сервисы без ошибок и уязвимостей. Вы сможете помочь им стать лучше, участвуя в процессах SDL и создавая новые инструменты. Нужно программировать на Go или Python, разбираться в алгоритмах, отличать CSS от XSS, CSRF от SSRF, YAML от SAML.

Узнать больше о вакансиях и посмотреть тестовое задание можно здесь: https://clck.ru/R4dSZ

Самые важные события в мире информационной безопасности за сентябрь.

Часть первая:
• Тайный баг в Bitcoin Core
• Исходники Cerberus
• Смерть от шифровальщика
• Приговор Никулину
• Операция Disruptor

Самые важные события в мире информационной безопасности за сентябрь.

Часть вторая:
• Уязвимость года
• Взломы бирж
• Утечка Windows XP
• Вымогательские атаки месяца
• Bluetooth: BLESA

​​В выпуске Chrome 86 улучшены функции защиты паролей

Компания Google выпустила стабильную версию своего браузера Chrome 86. Новый выпуск включает в себя многочисленные улучшения, связанные с безопасностью паролей.

В феврале 2019 года Google представила сервис под названием Password Checkup, призванный предупредить пользователей при использовании комбинаций логинов и паролей, ранее применявшихся на взломанных сайтах. Как сообщили представители техногиганта, с выпуском Chrome 86 данная функция (известная как Safety Check с мая 2020 года) теперь доступна в мобильных версиях Chrome для Android и iOS.

Кроме того, сама функция Safety Check также получила обновления. Начиная с Chrome 86, Safety Check поддерживает стандарт «.well-known / change-password» — стандарт W3C, позволяющий web-сайтам указывать URL-адрес, по которому пользователи могут перейти для изменения своих паролей. Таким образом, пользователи Chrome 86 могут нажать кнопку на экране настроек пароля Chrome и сразу перейти на необходимую страницу для смены пароля, а не искать ее по сложной структуре сайта.

Google также расширяет функцию touch-to-fill на iOS. Первоначально запущенная на Android в июле, функция обнаруживает сайт, на который пользователь переходит, а затем предлагает автозаполнение паролей, если учетные данные были ранее записаны.

Функция была создана для того, чтобы пользователи не могли автоматически вводить пароли на фишинговых сайтах, но она также позволяет вводить пароли в формы авторизации одним касанием пальца, без необходимости пролистывать десятки или сотни записей. Начиная с Chrome 86, новая функция также присутствует в iOS, где в качестве дополнительной функции безопасности пользователям также будет предложено пройти аутентификацию с помощью биометрических данных перед автоматическим заполнением паролей. Это включает использование Face ID, Touch ID или кода доступа телефона в крайнем случае.
#новости

​​Cisco и Инфосэл предлагают участникам IT рынка и собственникам бизнеса воспользоваться триальной версией платфоры Cisco Webex и в течение 30 дней
без какой-либо оплаты и убедиться в ее несомненных преимуществах:
- Полностью безопасное виртуальное рабочее пространство для бизнеса любого формата и размера;
- Простая и быстрая настройка;
Cisco Webex отлично интегрируется с уже существующими IT-решениями: вы продолжаете использовать то, что у вас уже есть, по мере роста организации;
- Cisco Webex дарит полную масштабируемость. Это лучшие в отрасли возможности для встреч и звонков;
- Свободный и безопасный обмен файлами и сообщениями. Подключения в любое время, в любом месте и с любого устройства;

Получить пробную версию Cisco Webex с полным функционалом на 30 дней и узнать о платформе подробнее можно по ссылке:
https://webex.infocell.ru/?utm_source=telegram&utm_medium=cpm&utm_campaign=09_20

Как остановить хакеров: боремся с устаревшим ПО и небезопасными протоколами.

Согласно исследованию ptsecurity, 47% уязвимостей, выявленных на сетевом периметре компаний, могут быть устранены установкой актуальных версий ПО. В этой статье мы расскажем о том, насколько опасно отсутствие обновлений, к каким последствиям оно приводит и как можно помешать злоумышленникам атаковать вашу инфраструктуру.

Запуск Nvidia Maxine, релиз Google Tone Transfer, удаление заражённых приложений из Google Play и другие новости ИТ

• Русскоязычный разработчик создал deepfake-технологию для виртуальных примерочных: она меняет не только лицо, но и фигуру. Это позволит клиентам интернет-магазинов «примерять» одежду на своей фигуре, а не на модельной, рассчитывает разработчик.
• «Одноклассники» предложили разработчикам создать алгоритм для поиска «токсичных» комментариев. Лучшее решение будут использовать в работе соцсети и передадут некоммерческим организациям и СМИ.
• Microsoft начала проверку утечки исходного кода Windows XP, которая произошла 25 сентября. Неизвестные опубликовали ссылку на файл с почти 43 ГБ архива с исходным кодом Windows XP и Server 2003, который можно скачать через Torrent.
• Nvidia показала нейросеть Maxine для «исправления» лица человека в видеозвонке. Она будет обрабатывать звонки в облаке с помощью графических процессоров Nvidia.
• Google прекратила поддерживать свою VR-платформу Daydream. Сам проект закрыт с 2019 года: тогда компания обещала поддерживать сервис для существующих пользователей, а спустя год окончательно отказалась от него.
• Google обязала Netflix, Spotify и других перейти на платёжную систему компании и платить 30% комиссии, как у Apple. Разработчики должны сменить платёжную систему до 30 сентября 2021 года.
• Mail.ru Group запланировала запуск сервиса облачного гейминга My.Games Cloud. Компания может начать тестировать сервис в 2020 году.
• Google выпустила сервис Tone Transfer, который превращает напетую мелодию в качественный музыкальный трек.
• Google удалила 17 приложений для Android, зараженных Joker. Эта программа-шпион получала доступ к SMS-сообщениям, спискам контактов на телефоне и информации об устройстве.
• Amazon анонсировала технологию распознавания людей по ладони Amazon One. Изначально она будет внедряться в физические магазины ритейлера для оплаты покупок.
• В октябрьском выпуске рейтинга языков программирование TIOBE Python вплотную приблизился ко второму месту и готов потеснить Java, достигнув рекордной для себя доли в 11,28%.
#новости revolut