Новости вендоров

Xbox примет участие в выставке gamescom 2019

Microsoft - ср, 17/07/2019 - 18:37

Команда Xbox примет участие в выставке gamescom 2019, которая пройдет с 20 по 24 августа в Кельне. На нашем стенде посетители смогут одними из первых познакомиться с режимом «Орда» в Gears 5 и ролевым проектом Minecraft Dungeons, а также огромной линейкой игр от ведущих разработчиков со всего мира. Кроме того, на выставке можно будет ознакомиться […многоточие]

The post Xbox примет участие в выставке gamescom 2019 appeared first on Новости.

Категории: Новости вендоров

Microsoft инвестирует в развитие партнерской экосистемы

Microsoft - ср, 17/07/2019 - 16:01

В преддверии ежегодной конференции Inspire Microsoft рассказала о новых инвестициях в партнерскую экосистему. В том числе были анонсированы обновления для Teams, Dynamics 365 и Azure.  Москва, 17 июля 2019 года. – Microsoft объявила о новых инвестициях в технологии и программы для поддержки своей партнерской экосистемы. Они призваны оптимизировать взаимодействие партнеров с компанией в эпоху облачных […многоточие]

The post Microsoft инвестирует в развитие партнерской экосистемы appeared first on Новости.

Категории: Новости вендоров

Z от HP помогает творческим людям

Microsoft - ср, 17/07/2019 - 14:18

Истории канадского фотографа-документалиста Джоди Макдональд и нидерландского художника Рика Устенброка, работающих на устройствах HP Z на базе Windows.

The post Z от HP помогает творческим людям appeared first on Новости.

Категории: Новости вендоров

Resident Evil 4 и еще пять игр пополнят каталог Xbox Game Pass

Microsoft - ср, 17/07/2019 - 13:47

Команда Xbox поделилась списком игр, которые присоединятся к постоянно растущему каталогу Xbox Game Pass в ближайшее время. До конца июля все подписчики сервиса получат доступ к следующим проектам: 17 июля Night Call (ПК в составе Xbox Game Pass Ultimate) Вы — обычный водитель парижского такси, работающий в ночную смену. И именно на вас коррумпированная полиция […многоточие]

The post Resident Evil 4 и еще пять игр пополнят каталог Xbox Game Pass appeared first on Новости.

Категории: Новости вендоров

Стартовала грандиозная летняя распродажа Xbox

Microsoft - вт, 16/07/2019 - 15:27

В цифровом магазине Xbox стартовала грандиозная летняя распродажа игр, в рамках которой пользователей ждут сотни различных предложений для консолей Xbox One и Xbox 360 со скидками до 50%. Акция продлится до 29 июля 2019 года. Во время распродажи можно будет приобрести по выгодным ценам игры Xbox Game Studios, в том числе Forza Horizon 4, Ori […многоточие]

The post Стартовала грандиозная летняя распродажа Xbox appeared first on Новости.

Категории: Новости вендоров

Технический тест мультиплеера Gears 5 стартует 19 июля

Microsoft - пн, 15/07/2019 - 22:35

Примите участие в техническом тестировании сетевого режима шутера Gears 5 для Xbox One и Windows 10, которое стартует уже на этой неделе. Игроки смогут испытать свои силы в трех режимах – «Эскалация», «Аркада» и «Царь горы», а также отточить свои навыки в «Тренировочном лагере» и попробовать открыть три уникальных скина для оружия и эксклюзивный баннер, […многоточие]

The post Технический тест мультиплеера Gears 5 стартует 19 июля appeared first on Новости.

Категории: Новости вендоров

Умный дом, а в нем — взлом

Технологии умного дома призваны сделать жизнь проще и удобнее. Однако новые удобства порождают и новые проблемы. Об опасностях, связанных с автоматизацией всего и вся, мы уже не раз писали. Подключая бытовую технику к Интернету, вы оказываетесь зависимы от качества соединения и работы серверов, а уязвимое оборудование преступники могут взломать и подчинить себе.

Как показали недавние исследования, способов захватить умный дом пока достаточно. Лазейкой может стать, например, уязвимость облачного сервера, через который владелец управляет домом удаленно, или даже такое, казалось бы, безобидное устройство, как умный выключатель света.

Fibaro: облачная угроза

Умный дом производства компании Fibaro, как выяснили специалисты «Лаборатории Касперского», позволял любому желающему скачивать и загружать на облачный сервер резервные копии программной начинки контроллера. Это самое главное устройство в доме, которое управляет всеми остальными — термостатами, кофеварками, охранными системами.

В его резервной копии содержится много интересных подробностей о доме и его владельце. Например, местоположение дома и смартфона владельца, электронный адрес, на который зарегистрирован аккаунт хозяина в системе Fibaro, список подключенных устройств и пароли для доступа к ним — все это в открытом виде, без шифрования.

Там же хранился и пароль от панели администратора для удаленного управления домом. Он, в отличие от остальных ключей, защищен — преобразован в хеш. Однако если злоумышленник скачает вообще все резервные копии, хранящиеся в облаке Fibaro, то сможет угадать самые простые и часто встречающиеся пароли типа password1 — хеши для них будут одинаковыми.

Проникнув в панель администратора, взломщик, скорее всего, воспользуется одной из уязвимостей, позволяющих удаленно выполнить код и получить в системе права суперпользователя. Их обладатель ничем не ограничен и может творить в доме все, что его душе угодно. Забавно, что у хозяина дома прав суперпользователя нет — производитель решил, что так безопаснее (и во многом это правда).

Fibaro: вредоносное обновление

Другой сценарий атаки, обнаруженный нашими экспертами, пароля и вовсе не требует. Как мы уже упомянули, резервные копии можно не только скачивать с сервера Fibaro безо всякой авторизации, но и загружать на него. А еще облако позволяет отправить владельцу дома SMS или письмо.

То есть злоумышленнику достаточно создать вредоносную копию бэкапа, загрузить ее на сервер и убедить жертву установить «обновление». Это можно сделать, сымитировав сообщение от Fibaro. Даже если взломщик не угадает нужный формат письма, велик шанс, что ничего не подозревающая жертва все равно скачает зловредный бэкап — письмо приходит с адреса ******@fibaro.com, что внушает доверие. В результат взломщик, как и в первом случае, получит права суперпользователя.

Наши специалисты рассказали об уязвимостях разработчикам Fibaro, и они оперативно их исправили, так что описанные сценарии атаки больше не работают. Будем надеяться, что другие производители умных устройств не пойдут по тем же граблям и учтут эти ошибки при разработке своих систем.

Nest: выключатель для умной камеры

Другое исследование, проведенное американскими исследователями из колледжа Вильгельма и Марии, касается защищенности сразу двух платформ для умного дома: Nest производства компании Nest Labs, принадлежащей Google, и Hue, которую выпускает Philips. Обе платформы оказались уязвимы, причем каждая по-своему.

Разработчики Nest Labs уделили особое внимание защите охранных систем: сторонние приложения и устройства не могут менять настройки камер видеонаблюдения и других компонентов, отвечающих за безопасность дома, и не имеют права включать или выключать их. Точнее, они не могут делать этого напрямую.

Однако в системе предусмотрены параметры, общие для охранных систем и куда менее защищенных устройств. Значения этих параметров записываются в единое хранилище. Доступ к нему имеют все устройства, которым они нужны для работы. И зачастую какой-нибудь выключатель или термостат может не только считывать интересующие его значения, но и изменять их.

С одной стороны, это помогает автоматизировать рутинные операции и упростить их. Например, вам не придется отдавать команды каждому устройству отдельно, когда вы уходите утром на работу. Достаточно приложению того же выключателя при помощи, скажем, геолокации определить, что вы покинули домашнюю зону — дальше оно передаст эту информацию в хранилище и присвоит параметру, отвечающему за присутствие или отсутствие хозяина, значение away — «вне дома».

Это значение прочитает не только сам выключатель (и погасит свет), но и другие устройства. И каждое выполнит запрограммированное действие: кондиционер сбавит обороты, музыкальный центр выключится, а камера наблюдения начнет запись. Однако у медали, как водится, есть и другая сторона: если убедить умный дом, что хозяин вернулся, можно отключить камеры и ослабить защиту жилища.

Разрешение на управление режимами «дома / вне дома» есть у нескольких устройств, совместимых с платформой Nest. Исследователи решили проверить защищенность выключателя Kasa производства компании TP-Link. Помимо уже указанной возможности считывать и изменять параметр «вне дома», на выбор повлияла популярность приложения для дистанционного управления этим устройством — шутка ли, более миллиона установок из Google Play! Эксперты не промахнулись: при ближайшем рассмотрении выяснилось, что программа позволяет злоумышленнику перехватывать соединение с сервером и отправлять на него команды.

Проблема обнаружилась в процедуре авторизации, точнее, в том, как разработчики приложения позаботились о ее безопасности. Чтобы данные об аккаунте владельца не попали в чужие руки, программа и сервер перво-наперво создают зашифрованный канал, по которому будут их передавать. Для этого приложение отправляет запрос на сервер, а тот показывает ему SSL-сертификат — документ, подтверждающий, что серверу можно доверять.

Приложение проверяет подлинность сертификата, и если тот настоящий, по секрету сообщает серверу токен — информацию, по которой он вас опознает. Вот в эту-то проверку и закралась ошибка: приложение Kasa, как выяснилось, доверяло любому сертификату.

Исследователи так описали возможный сценарий взлома:

  1. Преступник выслеживает хозяина приглянувшегося дома и ждет, когда тот подключится к публичному Wi-Fi, например в кафе или метро.
  2. Приложение Kasa пытается соединиться с сервером.
  3. Войдя в ту же сеть, злоумышленник перехватывает соединение и показывает приложению свой SSL-сертификат.
  4. Приложение принимает преступника за сервер и передает ему токен, необходимый для аутентификации.
  5. Преступник, в свою очередь, демонстрирует этот токен настоящему серверу, и тот принимает его за приложение.
  6. Взломщик сообщает выключателю прямо из кафе, что хозяин вернулся.
  7. Параметр, отвечающий за присутствие хозяина, получает значение «дома».
  8. Цель достигнута — камера считывает параметр и прекращает запись, после чего преступник или его сообщники могут незамеченными проникнуть в дом.

Что самое неприятное — по словам исследователей, для такой атаки не требуется особой квалификации. Разработчики Kasa, как и создатели системы Fibaro, проявили сознательность и после обращения исследователей исправили баг.

Nest: проверка для галочки?

Защищать систему Nest от подобных атак, по идее, должна проверка сторонних устройств и приложений, предусмотренная ее создателями. На сайте для разработчиков опубликован обширный список требований к продукту, взаимодействующему с платформой. В числе прочего, согласно этим требованиям, приложение или устройство должно иметь корректно работающую и безопасную систему авторизации, которая не позволяет кому попало представляться вами.

Однако на практике проверку сторонних устройств и приложений можно обойти. Так, разработчики Nest оценивают только те из них, которые имеют более 50 пользователей. А значит, уникальная программа, созданная злоумышленниками для атаки на конкретный умный дом, сможет к нему подключиться, минуя контроль. Продвинутым домушникам останется только убедить жертву скачать именно их приложение и дать ему нужные права.

Кроме того, даже у популярных приложений, не соответствующих требованиям Nest, есть шанс эту проверку пройти. Яркий тому пример — та самая программа Kasa, которая позволяла злоумышленнику подключаться к серверу от ее имени.

Также многие приложения для устройств Nest, как выяснилось, искажают информацию о необходимых для их работы правах доступа. Так, в описании приложения для управления термостатом может быть сказано, что изменение параметра «дома / вне дома» необходимо исключительно для управления самим термостатом. Между тем, на самом деле этот параметр общий для всей системы, и другие устройства также будут реагировать на его изменение. То есть описание вводит пользователя в заблуждение.

Hue: посторонним приложениям вход разрешен

Проблема прав, которые получают сторонние приложения, актуальна и для второй участницы вышеупомянутого исследования, платформы Philips Hue для управления системами освещения. По замыслу ее разработчиков, чтобы подключиться к умному дому, каждая программа запрашивает у владельца разрешение.

Выдать это разрешение можно, нажав физическую кнопку на блоке управления, через который устройства Hue взаимодействуют между собой. Приложение и блок управления должны при этом находиться в одной локальной сети — так, соседи и прохожие не смогут подключиться к вашему дому, подгадав момент и отправив запрос. В целом это отличная идея с точки зрения безопасности. Однако реализовали ее не очень удачно.

Как выяснили исследователи, «нажимать» заветную кнопку может не только пользователь, но и… любая программа, уже подключенная к Hue. Дело в том, что «мозг» системы определяет, сработала ли кнопка, по значению одного из параметров блока управления. Это-то значение и могут менять приложения. Так что одна неблагонадежная программа, допущенная к платформе, способна бесконтрольно выдавать разрешение другим. И даже больше: с помощью того же параметра можно и отключать ранее присоединенные компоненты.

Казалось бы, раз платформа Hue управляет только освещением, этот баг не так опасен, как уязвимость вышеупомянутой платформы Nest. Однако устройства Hue могут подключаться и к Nest, которая, как вы уже знаете, не только имеет доступ и к дверным замкам, и к камерам, но и позволяет сторонним приложениям в некоторых случаях их отключать.

Как защитить умный дом

Получается, что дыры в безопасности можно найти практически в любых устройствах для домашней автоматизации. Насколько это страшно? Мигающий свет и вышедшее из-под контроля отопление — это неудобно, но не слишком опасно, да и особого интереса у злоумышленников этим заниматься нет. Потенциальный взлом умного замка на входной двери или камеры видеонаблюдения выглядит уже более неприятно. Но гораздо реалистичнее, что для этих целей воры используют обычный лом, а не эксплойты.

В любом случае, соблазниться преимуществами прогресса или поостеречься и не связываться с умным домом — решать вам. Но если решите, что умный дом вам необходим, то полезно будет минимизировать риск взлома. Вот как это сделать:

  • Поинтересуйтесь, что пишут о безопасности того или иного продукта, перед его покупкой. Обращайте внимание на то, как производитель реагирует на найденные уязвимости. Если компания ответственно относится к обнаруженным исследователями проблемам и быстро их устраняет — это хороший знак.
  • Остановившись на конкретном устройстве или приложении, не забывайте следить за новостями о его обновлениях и найденных уязвимостях. И своевременно устанавливайте все обновления, которые разработчики выпускают.
  • Защищайте устройства и панели управления длинным уникальным паролем. Тогда злоумышленник не сможет просто подобрать «ключик» к вашему дому.
  • Правильно настройте домашнюю беспроводную сеть.
  • Загружайте программы из официальных источников и не давайте им слишком много разрешений.
  • Подключаясь к публичному Wi-Fi, помните, что посторонние могут перехватить информацию, которую вы и ваши приложения отправляют в сеть — в том числе пароли и токены авторизации. Чтобы избежать этого, используйте защищенное подключение — VPN.
Категории: Новости вендоров

Ежедневная аудитория Microsoft Teams достигла 13 млн пользователей, и мы представляем 4 новые функции для совместной работы

Microsoft - вс, 14/07/2019 - 23:29

Автор – Джаред Спарато, корпоративный вице-президент, Microsoft 365 Два года назад мы запустили Microsoft 365 — интегрированный набор приложений и услуг, помогающих клиентам эффективнее выстроить коммуникации на рабочих местах, оптимизировать бизнес-процессы и защитить критически важную информацию. Сервисы Microsoft 365 строятся вокруг Microsoft Teams, хаба инструментов для совместной работы, который объединяет чат, видеоконференции, звонки и управление файлами […многоточие]

The post Ежедневная аудитория Microsoft Teams достигла 13 млн пользователей, и мы представляем 4 новые функции для совместной работы appeared first on Новости.

Категории: Новости вендоров

Интернет для онлайн-касс

В идеале большинство российских компаний, работающих в розничной торговле, к первому июля этого года уже должны были обзавестись онлайн-кассами. Однако, как выяснилось, этого не случилось. Некоторые тянули до последнего в надежде, что им предоставят очередную отсрочку. Другие просто опомнились в последний момент и сейчас пытаются привести свои практики в соответствие с федеральным законом о применении контрольно-кассовой техники. И это, как водится, стало причиной разного рода проблем.

Пользуясь тем, что далеко не все владельцы маленьких компаний разбираются в тонкостях подключения к Интернету, активизировались не самые чистые на руку коммерсанты. Они пытаются нажиться на предпринимателях, навязывая им ненужные услуги и инструменты, без которых якобы их бизнес не будет соответствовать ФЗ-54. Что интересно, начинали они с «развода» неподключившихся, но сейчас осаждают и тех, кто уже пользуется онлайновыми кассами.


Как это все должно работать?

Большая часть бизнесменов теперь должна передавать в налоговую инспекцию электронные версии чеков через специальных операторов фискальных данных. Организовано это следующим образом: предприниматели заключают договор с операторами фискальных данных, встраивают в кассу зарегистрированный фискальный накопитель, а самой кассе выдают доступ в сеть.

При покупке товара касса формирует чек, записывает его на фискальный накопитель, который не только хранит, но и подписывает чек, удостоверяя его подлинность и уникальность. Затем чек пересылается оператору фискальных данных, который возвращает кассе сигнал о том, что чек принят. Оператор хранит его и передает Федеральной налоговой службе, когда возникает такая необходимость.  Соответственно, старый советский кассовый аппарат больше не подходит — нужна современная касса, способная проделывать все эти операции.

Подробнее требования к контрольно-кассовым аппаратам можно изучить в тексте закона.

На чем пытаются нажиться недобросовестные коммерсанты

Недобросовестные коммерсанты пытаются продать неопытным предпринимателям товары и услуги, без которых они вполне могут обойтись. Чаще всего играют они на непонимании того, как устроено подключение к Интернету и что нужно для того, чтобы он работал.  Сразу оговоримся, речь идет не об обычных провайдерах — как правило, нажиться пытаются мелкие фирмы, покупающие у крупных провайдеров часть мощностей и перепродающие каналы своим клиентам. Вот какие они применяют уловки.

Обязательность проводной связи

Бизнесменов пытаются убедить в необходимости подключить именно «проводной» Интернет для онлайн-касс: он якобы надежнее беспроводного. На самом деле у нас в стране традиционно подключение для бизнеса — не самая дешевая услуга. Особенно в удаленных от столицы регионах, где нормальный Интернет появился сравнительно недавно. Однако сейчас и там есть мобильные операторы, у которых можно подключиться к беспроводному Интернету достаточно недорого, а проводной совершенно не обязателен — закон об этом ничего не говорит.

Вывод: проводное подключение к Интернету необязательно, достаточно беспроводного канала связи.

Недостаточная «ширина канала»

В Москве предпринимателю, который уже работает с онлайновой кассой, позвонили «представители провайдера» и начали рассказывать ему, что его канала связи недостаточно для нормальной работы онлайн-кассы. Сейчас он проблем не испытывает, но вот когда у него будет наплыв посетителей, он поймет, что данные идут слишком долго. И у налоговой якобы могут возникнуть претензии.

На самом деле это ерунда. Одна электронная версия чека занимает не больше 4 килобайт памяти. Объем передаваемой информации зависит от количества операций, но крайне маловероятно, что в случае малого бизнеса потребуется широкополосный Интернет. Скорее всего, если доступ в Сеть вам нужен только для онлайновой кассы, то хватит канала с минимальной пропускной способностью. Даже древний мобильник с GPRS-технологией и скоростью 40 кбит/с справится. Древний мобильник найти, наверное, уже сложновато, но самый простейший смартфон или 4G-модем вполне обеспечит надежный Интернет для онлайн-кассы — главное, чтобы связь в помещении работала нормально.

Вывод: даже канал со скоростью доступа в 100 кбит/c (а меньше вы вряд ли найдете) подойдет для работы онлайн-кассы.

Необходимость резервного канала

Эта страшилка основана на том, что в работе любого интернет-провайдера возможны сбои. Якобы если однажды вы не сможете вовремя передать данные, налоговая сможет вас оштрафовать. Поэтому вам необходимо иметь как минимум два канала связи, разумеется, от разных провайдеров.

В реальности проблемы могут возникнуть, если у кассы нет доступа к сети более 30 дней. Это не значит, что вы со спокойной совестью можете передавать фискальные данные раз в месяц — все в некоторой мере зависит от вашего оператора фискальных данных. Но если однажды действительно произойдет сбой на несколько часов, а то и на сутки, то никаких проблем возникнуть не должно. Если же окажется, что доступа в Сеть у вас нет более суток, а провайдер при этом не может внятно объяснить причину и сориентировать по срокам восстановления доступа, то его в любом случае стоит сменить, даже если речь идет об обыкновенном домашнем Интернете.

Вывод: резервный канал интернет для онлайн-кассы заводить не обязательно.

Обязательность профессионального роутера

Многие кассы подключаются к Сети через Wi-Fi, соответственно, вам недостаточно провести Интернет в магазин, нужно еще как-то раздавать его. Некоторые провайдеры предоставляют простенькие роутеры в аренду при подключении. Но иногда к бизнесменам приходят какие-то люди и пытаются продать им профессиональные маршрутизаторы за десятки тысяч рублей — якобы они, в отличие от предоставляемых бесплатно, гораздо безопаснее.

Тут на самом деле есть зерно истины. Роутеры, выпущенные безымянными китайскими фирмами, действительно не самая надежная штука. Но это не значит, что следует покупать роутеры CISCO в магазин с двумя кассами. Ну то есть, если у вас есть лишние деньги, то пожалуйста, это отличные роутеры. Однако на рынке можно найти сравнительно недорогую (за пару тысяч) модель, которая подходит как для дома, так и для маленького офиса. Нужно просто почитать отзывы на форумах — и потом настроить роутер правильно.

Вывод: для обеспечения работы онлайн-кассы подойдет относительно недорогой домашний роутер.

Попытка впарить дорогой смартфон

Похожая история, только вместо роутера бизнесменов пытаются убедить в необходимости купить смартфон, который будет раздавать Интернет по Wi-Fi. Действительно, подключить кассу через мобильный телефон можно. Только вот дорогой смартфон тут совершенно не нужен — раздать Интернет может и самый простой аппарат.

Вывод: для того чтобы обеспечить доступом в Интернет онлайн-кассу, топовый смартфон не нужен.

Как организовать доступ в Интернет для небольшого магазина

Если бы Kaspersky Daily был не блогом компании, а торговал хлебом и возник вопрос обеспечения доступа в Интернет для онлайн-кассы, то мы бы поступили следующим образом:

  1. Изучили бы цены у локальных интернет-провайдеров и сравнили бы с ценами на беспроводное подключение в регионе.
  2. Если бы мы остановились на проводном провайдере, то изучили бы отзывы в сети об их надежности. В случае беспроводного — еще и о покрытии.
  3. Протестировали бы работу беспроводного Интернета в помещении нашего магазина (в полуподвальных помещениях или в домах со стенами из железобетона иногда возникают проблемы).
  4. Приобрели бы WiFi-роутер, предварительно почитав, что пишут о его безопасности.
    • Если бы наш выбор остановился на беспроводном Интернете, то приобрели бы роутер с поддержкой 3G или 4G, а лучше с USB-портом, к которому можно подключить внешний 3G- или 4G/LTE-модем.
  5. Поставили бы последнюю прошивку на роутер (чтобы минимизировать количество уязвимостей).
  6. Сменили бы пароль по умолчанию и подключили бы кассу к роутеру.

А если бы подключить кассу нужно было срочно — организовали бы точку доступа к сети через мобильный телефон (настройка «Точка доступа и модем» в системе Android или «Режим модема» в iOS).

Категории: Новости вендоров

Построение доверия вместе с Disclose.io

Почему вы купили именно этот антивирус, а не какой-то другой? Потому что этот дешевле Разумеется, потому что вы больше ему доверяете. А почему исследователи безопасности больше времени тратят на анализ именно этого приложения, а не каких-то других? Потому что они больше доверяют компании, разработавшей это приложение. Дело в том, что далеко не все компании рады новостям об уязвимостях, найденных в их продуктах, — некоторые даже угрожают исследователям судебным преследованием.

Вообще, доверие очень важно при выборе продукта или компании. Одной ошибки бывает достаточно, чтобы разрушить доверие, а вот построить его куда сложнее. Это как башня, сложенная из тысяч кирпичей: если вытащить всего один кирпич, вся башня может рухнуть, но чтобы построить ее, требуется аккуратно класть кирпичи один к другому много-много раз. Это трудно и занимает много времени, но делать это необходимо.

«Тихая гавань» для исследователей

Мы в «Лаборатории Касперского» хотим, чтобы вы, наши нынешние и будущие клиенты, доверяли нам, поэтому мы по кирпичику строим эту башню и следим за тем, чтобы она не рассыпалась. В прошлом году мы запустили Глобальную инициативу по информационной открытости (Global Transparency Initiative) и надеемся, что это достаточно наглядно демонстрирует, насколько прозрачен наш бизнес.

Также мы увеличили премии за уязвимости, найденные в рамках нашей программы bug bounty. Теперь же мы рады сообщить, что мы присоединились к проекту Disclose.io компании Bugcrowd и тем самым гарантируем, что не будем предпринимать юридических действий в отношении тех, кто будет исследовать наши продукты и находить в них уязвимости.

Bugcrowd запустила проект Disclose.io в сотрудничестве с известным исследователем безопасности Амит Элазари (Amit Elazari) в августе 2018 года. Цель проекта — создание прозрачной правовой базы для защиты организаций и исследователей, которые ищут уязвимости, получают вознаграждение за найденные и ответственно обнародуют их.

По сути, Disclose.io формулирует набор соглашений, заключаемых между исследователями и компаниями. Все компании, присоединившиеся к Disclose.io, равно как и исследователи уязвимостей, берут на себя обязательство исполнять их.

Сами эти соглашения очень просты, наглядны и понятны — в них нет сотен подразделов и примечаний мелким шрифтом, что обычно столь характерно для юридических договоров. С основными положениями можно ознакомиться на GitHub, что дополнительно подчеркивает их прозрачность: документы на GitHub нельзя изменить так, чтобы это не стало известно всему сообществу.

Эти соглашения предлагают компаниям не преследовать исследователей уязвимостей за их деятельность, а напротив, сотрудничать с ними, чтобы лучше понимать природу уязвимостей в своих продуктах и эффективнее устранять их, а также признавать вклад исследователей в обеспечение безопасности своих продуктов. От исследователей же, в свою очередь, требуется ответственно обращаться с информацией о найденных уязвимостях: не разглашать ее, пока уязвимость не будет устранена, не использовать полученные данные незаконным образом, не заниматься вымогательством денег у разработчиков и так далее.

Основная идея проекта Disclose.io выглядит так: «Уважаемые исследователи и компании, относитесь друг к другу честно и доброжелательно — вы все от этого только выиграете». Мы совершенно согласны с этим, и потому поддерживаем инициативу Disclose.io и готовы предоставить «тихую гавань» для исследователей, желающих искать уязвимости в наших продуктах.

Разумеется, от этого выиграют и наши клиенты. Чем тщательнее продукт или услуга будут изучены сообществом специалистов по поиску уязвимостей, тем более безопасными они станут в конечном итоге. В случае же защитных решений максимально возможная безопасность — совершенно необходимое требование.

Категории: Новости вендоров

FinSpy: коммерческая программа-шпион

Что получается, когда за разработку шпионского софта берутся не подпольные малварщики, а серьезная IT-компания? Результатом может быть такая неприятная штука, как FinSpy (также этот шпион известен как FinFisher), которую уже довольно давно разрабатывает и совершенно легально продает немецкая компания Gamma Group. За последний год мы обнаружили десятки мобильных устройств, зараженных этой программой-шпионом.

Что умеет FinSpy

У шпионской программы есть версия и для компьютеров (причем не только с Windows, но также с macOS и Linux). Но, пожалуй, наибольшую опасность представляют «импланты» для мобильных устройств: FinSpy может быть установлена как на iOS, так и на Android, при этом для каждой платформы доступен одинаковый набор функций — приложение предоставляет атакующему практически полный контроль над зараженным устройством.

Конфигурация зловреда может быть настроена индивидуально для каждой жертвы, и таким образом организатор атаки может получить подробнейшую информацию о пользователе, его список контактов, историю звонков, геолокацию, текстовые сообщения, мероприятия из календаря и так далее.

Но это еще не все. FinSpy умеет записывать голосовые и VoIP-звонки, перехватывать сообщения из мессенджеров. Шпион умеет «прослушивать» множество мессенджеров — WhatsApp, WeChat, Viber, Skype, Line, Telegram, а также Signal и Threema. Помимо сообщений FinSpy извлекает из мессенджеров переданные и полученные жертвой файлы, а также данные о группах, контактах и так далее. Больше подробностей о FinSpy можно узнать на Securelist.

Кому стоит опасаться FinSpy

Заразиться FinSpy можно точно так же, как и множеством других зловредов: чаще всего — тапнув по ссылке из вредоносного письма или SMS.

Традиционно в зоне риска находятся владельцы Android-устройств, а если оно еще и «рутованное», это сильно облегчит зловреду задачу. При этом если у пользователя нет рут-прав, но в смартфоне установлена одна из популярных программ для их получения (так бывает, когда для установки какого-либо приложения требуется временно получить права суперпользователя), FinSpy может воспользоваться ей для их получения. Впрочем, шпион может получить «рут» и без посторонней помощи, с помощью эксплойта DirtyCow.

Пользователям продукции Apple легче: для работы шпиона под iOS требуется, чтобы система была взломана — «джейлбрейкнута». Если владелец iPhone (или iPad) по тем или иным причинам уже сделал это сам, то заразить устройство можно точно так же, как и Android-гаджет. В противном случае атакующему потребуется заполучить физический доступ к устройству, «джейлбрейкнуть» его и уже потом установить на него FinSpy.

Как защититься от программы-шпиона FinSpy

Чтобы не стать жертвой FinSpy и подобных шпионских программ, нужно следовать стандартным рекомендациям:

  • Не переходите по подозрительным ссылкам из писем, сообщений в мессенджерах и SMS.
  • Не стоит получать рут-права в Android (или делать джейлбрейк в iOS) на устройствах, имеющих доступ к критически важным данным.
  • Используйте надежное защитное решение, умеющее выявлять данный тип угроз. Владельцам айфонов следует иметь в виду, что для iOS такой защиты не бывает (и вот почему).
Категории: Новости вендоров

Выпущены обновления безопасности Microsoft за июль 2019

Microsoft - ср, 10/07/2019 - 12:44

Компания Microsoft выпустила обновления безопасности за июль. Общий взгляд Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже: Обратите внимание На следующие уязвимости и обновления безопасности следует обратить особое внимание: Windows/Windows Server CVE-2019-0785 – Windows DHCP Server Remote Code Execution Vulnerability (Base CVSS Score 9.8) CVE-2019-1129 – Windows Elevation of […многоточие]

The post Выпущены обновления безопасности Microsoft за июль 2019 appeared first on Новости.

Категории: Новости вендоров

Утечка ценой в 183 миллиона фунтов

Британское Управление комиссара по информации (Information Commissioner’s Office, ICO) сообщило, что собирается оштрафовать компанию British Airways за прошлогоднюю утечку данных на 183 миллиона фунтов стерлингов. Это в несколько сотен раз больше, чем британцы взыскали с Facebook за скандал с Cambridge Analytica. Рассказываем, чем провинился перевозчик, откуда взялась такая разница в штрафах и почему стоит заранее думать о защите данных.

Утечка British Airways — что произошло?

Осенью прошлого года «Британские авиалинии» сообщили, что с 21 августа по 5 сентября мошенники имели доступ к данным пользователей, покупавших или менявших билеты через сайт или приложение компании. Злоумышленники украли информацию около 500 тысяч клиентов перевозчика. Утекло все, что жертвы вводили в формы на затронутых ресурсах: логины и пароли, имена и адреса пассажиров, данные карт, в том числе CVC-коды, и так далее.

Как выяснилось в ходе расследования, перевозчика атаковала группировка Magecart. Эти киберпреступники известны тем, что взламывают сайты интернет-магазинов и внедряют в них вредоносный скрипт, нацеленный на кражу финансовых данных. Атака на British Airways не была исключением: злоумышленники заразили сайт компании. Пользователи приложения пострадали из-за того, что оно по сути являлось оболочкой и подгружало часть функциональности с сайта компании в реальном времени.

Штраф за нарушение GDPR

Хотя «Британские авиалинии» вовремя сообщили об инциденте и помогали его расследовать, компании все равно придется платить штраф. Согласно регламенту GDPR, бизнес, обрабатывающий данные европейцев, обязан сделать все возможное, чтобы обеспечить их сохранность. Сайт British Airways, как выяснилось в ходе расследования, был защищен не лучшим образом. перевозчик, конечно, повысил безопасность своих ресурсов, однако от ответственности за прежнюю небрежность это его не избавляет.

Компанию Facebook, допустившую утечку данных около 87 миллионов пользователей, британцы в свое время оштрафовали всего на 500 тысяч фунтов. Дело в том, что согласно требованиям актуального на то время Акта о защите данных 1998 года это был максимальный размер штрафа, а регламент GDPR на момент утечки еще не был принят.

Безопасность выгоднее

Сумма штрафа, названная ICO, пока не окончательная: ведомство еще рассмотрит заявления других европейских органов, занимающихся вопросами защиты данных, и самой British Airways. И тем не менее она показательна: вовремя принятые меры защиты обойдутся вам во много раз дешевле. Если вы обрабатываете личную информацию европейских пользователей, особенно такую, как банковские данные, рекомендуем вам не откладывать безопасность в долгий ящик.

Когда речь идет об электронной коммерции или удаленном банковском обслуживании, особое внимание следует уделять именно защите веб-сайта от скриптов онлайн-скимминга. В составе нашей платформы Kaspersky Fraud Prevention есть решение Automated Fraud Analytics, которое позволяет анализировать события, происходящие на странице непосредственно во время пользовательской сессии, и выявлять различные онлайн-угрозы, в том числе и веб-инжекты. Подробнее узнать о решении можно в соответствующем разделе нашего корпоративного сайта.

Категории: Новости вендоров

Microsoft поможет трансформации системы здравоохранения

Microsoft - вт, 09/07/2019 - 14:13

Microsoft и национальная американская организация здравоохранения будут совместно разрабатывать новые решения, которые помогут лучше справляться с заболеваниями и сократят стоимость медицинских услуг. Microsoft и национальная американская организация здравоохранения Providence St. Joseph Health объявили о создании альянса. Его цель –улучшение качества медицинских услуг, снижение их стоимости и трансформация всей системы здравоохранения. Организации совместно создадут портфолио интегрированных […многоточие]

The post Microsoft поможет трансформации системы здравоохранения appeared first on Новости.

Категории: Новости вендоров

Удаленный доступ… для мошенника

Один из самых простых способов получить доступ к вашему компьютеру, как ни парадоксально, — очень убедительно попросить. Злоумышленники прикрываются самыми разными поводами — от решения технических проблем до расследования (что иронично) кибермошенничества. Рассказываем, какими ухищрениями они пользуются и почему ни в коем случае не стоит им доверять.

Фальшивая техподдержка

Вам поступает звонок, незнакомец обращается к вам по имени и представляется агентом поддержки крупной компании. Оказывается, на вашем компьютере обнаружили серьезные проблемы, и их нужно устранить прямо сейчас. Для этого вы должны установить специальную утилиту и предоставить собеседнику удаленный доступ к системе. Что может пойти не так?

В лучшем случае такая «техподдержка» просто создаст видимость деятельности и выставит вам счет на кругленькую сумму, как это делали находчивые жулики из Индии. Получив удаленный доступ, они устанавливали на компьютер жертвы какую-нибудь бесполезную программу, а затем требовали оплатить «устранение неполадок».

А вот клиентам британского провайдера BT совсем не повезло: злоумышленники похищали финансовые данные жертв и пытались вывести деньги с их счетов. Любопытно, что во многих случаях мошенники звонили пользователям, которые действительно столкнулись с проблемами со связью и обратились к провайдеру за помощью. Иногда «агенты поддержки» для большей убедительности упоминали в разговоре имена, адреса, номера телефонов и другие данные жертв.

Нередко злоумышленники не звонят сами, но пытаются вынудить позвонить им. Например, убедив вас, что необходимо продлить подписку на какую-нибудь программу, а затем связаться с поддержкой, чтобы она помогла вам установить новую версию. Не говоря уже о том, что в Сети полно фейковых сайтов, на которые вы можете по ошибке попасть в поисках решения той или иной реальной проблемы.

Откройте доступ, это полиция

Некоторые злоумышленники заходят еще дальше и представляются сотрудниками полиции, которым нужна помощь в поимке киберпреступников. Они утверждают, что с вашего компьютера рассылались мошеннические сообщения. Вам предлагают предоставить «правоохранителям» доступ к устройству и банковскому счету — это якобы нужно, чтобы заманить злоумышленников в ловушку. Если вы усомнитесь в действиях «полицейских», то вам начнут угрожать последствиями за срыв расследования.

Если же вы поддадитесь давлению и пустите мошенников на свой компьютер, с вашего счета выведут солидную сумму денег. При этом злоумышленники до последнего будут играть свою роль: вас будут убеждать, что перевод необходим для поимки «преступников».

Мы из торговой комиссии (на самом деле нет)

Мошенники действуют не только угрозами — некоторые заманивают жертву в ловушку, обещая ей легкие деньги. В прошлом году злоумышленники представлялись сотрудниками Федеральной торговой комиссии США и обещали жертвам возврат средств, потраченных… на ложную техподдержку Advanced Tech Support. Для этого нужно было — уже догадались? Правильно, «всего лишь» предоставить им удаленный доступ к компьютеру.

Тут стоит отметить, что программа по возмещению украденных средств реально существовала, однако настоящие сотрудники торговой комиссии никому не звонили и доступ к устройствам не требовали. Вместо этого они разослали инструкции о том, как получить компенсацию на электронные адреса пользователей.

В торговой комиссии не раскрыли, что именно делали мошенники, получив доступ к компьютеру жертвы. В сообщении на сайте сотрудники ведомства ограничились общим замечанием о том, что могут сделать мошенники: склонить пользователя к бессмысленным покупкам, украсть личные данные или установить на устройство зловреда. Не очень радостная перспектива, не так ли?

Кому можно предоставлять удаленный доступ?

По большому счету — никому. В большинстве случаев сотрудники техподдержки могут решить проблему по телефону или в переписке. Полицейские не будут «обыскивать» ваш компьютер удаленно — если вас заподозрят в причастности к какой-то активности, интересующей правоохранительные органы, то навестят лично и с ордером.

Если вы сами сделали запрос в техподдержку компании, которой на 100% доверяете, у вас действительно есть проблема, которую вы не можете решить самостоятельно, и помощь через удаленный доступ — единственный вариант, то можно сделать исключение и его дать.

Однако если вам ни с того ни с сего кто-то звонит и убеждает предоставить удаленный доступ к вашему компьютеру, то, скорее всего, ничем хорошим это не закончится. Поэтому:

  • Не слушайте мошенников, не верьте в угрозы и смело отвечайте «нет».
  • Если вам говорят, что заметили подозрительную активность с вашего компьютера, проверьте его с помощью надежного антивируса: он найдет и обезвредит вредоносные программы, если они на устройстве есть.
  • Запишите номера, с которых вам звонили. Погуглите их — возможно, в Сети уже есть информация о преступниках. Если же нет, вы можете сами добавить их телефоны в базу мошеннических и спамерских номеров. Например, при помощи бесплатного приложения Kaspersky Who Calls. Этим вы поможете другим пользователям вовремя узнать об обмане и не попасться на удочку злоумышленников.
Категории: Новости вендоров

За кулисами «Лучше на Xbox One X»: A Plague Tale: Innocence

Microsoft - пн, 08/07/2019 - 05:35

Как создаются игры для самой мощной консоли в мире Xbox One X? Как разработчики пользуются открывшимися перед ними возможностями? На эти и многие другие вопросы у команды Xbox есть ответы, которые она вместе с разработчиками популярных игр будет постепенно публиковать в новой рубрике «За кулисами «Лучше на Xbox One X». Окунитесь вместе с нами в непростой […многоточие]

The post За кулисами «Лучше на Xbox One X»: A Plague Tale: Innocence appeared first on Новости.

Категории: Новости вендоров

Акция по возврату Xbox One S по подписке Forward продлена до 10 июля

Microsoft - пт, 05/07/2019 - 16:49

Также снижена цена на Xbox One Х по подписке До 10 июля пользователи, успевшие оформить консоль Xbox One S по подписке Forward, получат возможность бесплатно ее вернуть в любой момент в течение двух лет. Консоль Xbox One X по подписке Forward сейчас доступна по специальной цене 2190 рублей в месяц, бесплатный возврат возможен после года […многоточие]

The post Акция по возврату Xbox One S по подписке Forward продлена до 10 июля appeared first on Новости.

Категории: Новости вендоров

Улучшение обслуживания и качества Windows 10: что дальше?

Microsoft - пт, 05/07/2019 - 12:59

Сегодня, продолжая выполнять наши обязательства по обеспечению прозрачности, мы расскажем, как планируем оптимизировать развертывание следующего обновления компонентов. Эта оптимизация относится к устройствам c Windows 10 May 2019 Update. Для устройств c более ранними версиями Windows 10 процесс развертывания остается без изменений.

The post Улучшение обслуживания и качества Windows 10: что дальше? appeared first on Новости.

Категории: Новости вендоров

Как обновить приложения на смартфоне?

Мы постоянно напоминаем, что ради безопасности нужно время от времени обновлять приложения. Иначе злоумышленники смогут, например, шпионить за вами через звонок в WhatsApp или захватить ваш Xiaomi, воспользовавшись багом во встроенном антивирусе. Но знаете ли вы, где и как искать обновления? Давайте разберемся.

Где прячутся обновления приложений в iOS и Android?

Допустим, вы решили обновить тот же WhatsApp. Что вы предпримете? Зайдете в настройки самого мессенджера? Это логично, но, увы, бесполезно — там ничего ни про какие обновления не будет. Откроете настройки смартфона и проштудируете раздел про управление программами? К сожалению, и это не поможет.

Дело в том, что обновление всех приложений централизовано, и отвечает за него официальный магазин — App Store в iOS и Google Play в Android. Вот его-то настройки нам и нужны.

Как настроить автоматическое обновление в iOS?

Удобнее всего заставить приложения обновляться автоматически, чтобы больше не беспокоиться об их актуальности. В iOS эту опцию можно включить в настройках, в разделе, посвященном App Store:

  • Откройте Настройки.
  • Нажмите на значок Apple ID вверху меню.
  • Выберите пункт iTunes Store и App Store.
  • Найдите раздел Автоматические загрузки.
  • Включите Обновления. Ниже можно настроить, будут ли обновления загружаться с использованием мобильного Интернета — если вы экономите трафик, отключите параметр Сотовые данные.

[how-to-update-ios-andriod-apps-screen-1]
[Alt/caption: Как включить автоматическое обновление приложений в iOS]

Как настроить автоматическое обновление в Android?

В отличие от iOS, в Android все настройки находятся внутри приложения Play Маркет. Чтобы включить автообновление:

  • Откройте Play Маркет.
  • Нажмите на три полоски в левом верхнем углу экрана.
  • Выберите Настройки.
  • Найдите пункт Автообновление приложений.
  • Выберите, хотите вы получать обновления через Любую сеть (то есть в том числе через сотовое соединение) или Только через Wi-Fi.
  • Нажмите Готово.
Как вручную обновить приложения в iOS и Android

Что делать, если автоматическое обновление вас не устраивает? Скажем, у вас не самое новое устройство, и есть риск, что очередная версия приложения окажется с ним несовместима. Или, например, вам важно заранее узнать, что именно изменилось в новой версии.

В таком случае вам придется время от времени проверять наличие обновлений и устанавливать их вручную. Так вы сможете сами все контролировать. Тот же App Store, например, даже указывает возле каждого обновления, будет ли оно работать именно на вашем гаджете.

Чтобы вручную обновить приложения в iOS:
  • Откройте App Store.
  • Нажмите иконку обновлений в правом нижнем углу экрана.
  • Выберите Обновить напротив нужных программ.
  • Чтобы скачать все обновления сразу, нажмите Обновить все в правой верхней части экрана.
Чтобы вручную обновлять приложения в Android:
  • Откройте Play Маркет.
  • Нажмите на три полоски в левом верхнем углу экрана.
  • Выберите Мои приложения и игры.
  • На вкладке Обновления выберите Обновить напротив всех программ, которые вы хотите обновить.
  • Чтобы скачать все обновления сразу, нажмите Обновить все.
Обновляйтесь на здоровье!

Как видите, управлять обновлениями достаточно просто, если знать, где их искать. Теперь шпионские баги в WhatsApp или в чем бы то ни было вас не испугают.

Категории: Новости вендоров

Удаленная техподдержка — еще один риск для бизнеса

В крупных компаниях все заботы по установке и настройке ПО для сотрудников нередко берет на себя IT-служба. Однако для маленькой команды даже один штатный специалист может оказаться непозволительной роскошью. Такие компании, как правило, пользуются услугами приходящих сисадминов, которые время от времени меняются и не всегда доступны. Так что в некоторых случаях настраивать рабочие программы сотрудникам приходится самостоятельно.

При этом далеко не каждый способен разобраться в настройках, даже когда к программе прилагается инструкция. Если что-то пойдет не так, админ недоступен или его в принципе нет, а коллеги с такой проблемой не сталкивались, сотрудник может обратиться к какому-нибудь знакомому или мастеру Васе, который «когда-то переустанавливал Windows тете Маше».

В некоторых фирмах без собственного специалиста это даже считается нормальной практикой — сотрудник пользуется услугами сторонних эникейщиков за свой счет, а компания потом компенсирует ему затраты. Так или иначе, мастер нередко просит для удобства предоставить ему удаленный доступ, а сотрудник без задней мысли соглашается.

Реальные угрозы удаленного доступа

Начнем с того, что вы не имеете ни малейшего представления, какова квалификация этого специалиста, насколько серьезно он относится к безопасности хотя бы своего компьютера и насколько он честен. Поэтому, разрешая сотрудникам обращаться к кому попало и тем более — давать управлять своими компьютерами, вы подвергнете риску всю корпоративную сеть.

Удаленный сисадмин может случайно увидеть деловую переписку, проекты договоров и другие конфиденциальные документы. Его собственная машина может быть заражена. Неизвестно, как он хранит учетные данные от ваших компьютеров и кто имеет к ним доступ. А если он окажется нечист на руку — то может и скопировать важную информацию, и загрузить в систему зловреда намеренно.

Кроме того, в поисках решения проблемы ваш сотрудник может попасть на фальшивый сайт техподдержки продукта. Их активно продвигают в соцсетях и на тематических форумах.

В результате ваша компания может понести серьезные финансовые и репутационные потери. Сама по себе кража или порча данных, скорее всего, влетит вам в копеечку. Не стоит сбрасывать со счетов и законы, защищающие персональную информацию.

К тому же мало кто закрывает удаленный доступ, когда проблема решена. А если к компьютеру можно подключиться, к нему, с некоторой вероятностью, будут пытаться подключиться — уже без ведома вашего сотрудника. Мы сталкивались со случаями, когда такие «мастера» подключались к своим бывшим клиентам и намеренно ломали что-нибудь. Ведь велика вероятность, что, столкнувшись с проблемой, те снова позовут их на помощь.

Не давайте удаленный доступ кому попало

В условиях ограниченных ресурсов полностью отказаться от удаленного администрирования, возможно, и не выйдет. Однако вы можете снизить риск киберинцидента, позаботившись о том, чтобы доступ к компьютерам получали только доверенные люди.

  • Выбирая поставщика IT-услуг, убедитесь в его надежности. Лучше обращаться не к случайным одиночкам, а к MSP-провайдерам. Провайдеров, которым мы доверяем, можно найти при помощи специального инструмента.
  • Объясните сотрудникам, что нельзя предоставлять удаленный доступ к рабочему компьютеру кому попало.
  • Научите работников закрывать удаленный доступ после того, как они решили свою проблему. В современных системах это несложно, зато таким образом они не позволят посторонним хозяйничать на своих компьютероах.
  • Используйте надежное защитное решение, позволяющее удаленно и безопасно управлять приложениями, блокировать вредоносные ресурсы, в том числе сайты ложной техподдержки, и вовремя обнаруживать прочие онлайн-угрозы.
Категории: Новости вендоров

Страницы