Новости вендоров

Слабое звено в криптоцепочке

Практически каждый разработчик полагается на какие-то сторонние библиотеки. Миллионы программистов делятся своими творениями со всем миром, так что для решения распространенных задач вполне разумно воспользоваться готовыми модулями и сэкономить время. Но внедряя чужой код, вам приходится довериться его разработчику. Компания BitPay, создающая криптокошелек Copay, недавно на себе испытала негативные последствия, связанные с применением сторонних библиотек с открытым исходным кодом.

Copay представляет собой мультиплатформенный криптокошелек для биткойнов и Bitcoin Cash, позволяющий создавать общие кошельки. Copay написан на JavaScript и полагается на множество сторонних библиотек.

Одна из этих библиотек — модуль event-stream. Репозиторий модуля на портале GitHub был долгое время заброшен — разработчик потерял интерес к проекту и уже несколько лет ничего не обновлял. Поэтому когда другой разработчик, новичок на GitHub, попросил у автора права администратора, чтобы оживить репозиторий, тот поделился доступом.

Новый разработчик сразу же взялся за дело. Вначале библиотека event stream начала использовать модуль flatmap-stream, репозиторием которого на GitHub заправлял этот же человек. Потом модуль flatmap-stream был изменен — как позднее выяснилось, разработчик добавил в него вредоносный код. Спустя три дня после обновления в репозиторий была загружена очередная версия flatmap-stream, но уже без вредоносной начинки — вероятно, так злоумышленник попытался замести следы.

В результате библиотека event-stream оказалась скомпрометирована. Она широко использовалась не только BitPay, но и рядом других компаний. Предположительно, скомпрометированная версия прожила всего три дня, но этого оказалось достаточно, чтобы разработчики Copay, не зная о наличии вредоносного кода, включили обновленную версию библиотеки в свой проект. Обновленный криптокошелек разошелся по магазинам приложений и устройствам многих пользователей.

Возможно, разработчики Copay просто не хотели тратить время на отслеживание изменений в сторонних библиотеках. Сейчас обновление библиотек вполне можно доверить автоматизированным инструментам — менеджерам пакетов, таким как npm. Благодаря ему разработчик может обновить все сторонние модули проекта, выполнив всего одну команду.

Но даже если они действительно заглядывали в обновленные библиотеки, вредоносный код было не так просто обнаружить. Потому что эти библиотеки в свою очередь могут зависеть от других библиотек (как в этом случае event-stream зависела от flatmap-stream), а проверка всех таких зависимостей может занять весьма много времени. В данном случае ситуация осложнялась тем, что модуль flatmap-stream был зашифрован.

Как сообщает CCN, модифицированная библиотека flatmap-stream передавала злоумышленнику закрытые ключи (аналог паролей для криптокошельков) из приложений, использовавших одновременно библиотеки event-stream и copay-dash. Такая комбинация наводит на мысль, что это была целенаправленная атака на BitPay, разработчиков Copay и авторов библиотеки copay-dash. Утечка ключей происходила, только если приложение задействовало обе библиотеки, то есть являлось продуктом на основе кода Copay.

Согласно данным ArsTechnica, вредоносный код позволял злоумышленнику получать несанкционированный доступ к кошелькам пользователей и переводить оттуда средства. Брешь обнаружил и обнародовал один из пользователей GitHub. Но к этому моменту по сети уже разошлось несколько версий Copay с вредоносным кодом. Компания BitPay в конечном счете признала факт компрометации и порекомендовала пользователям версий от 5.0.2 до 5.1.0 перейти на версию 5.2.0. Сколько пострадало пользователей и сколько денег они потеряли, пока неизвестно.

Это классическая атака через цепочку поставок — злоумышленник скомпрометировал стороннюю библиотеку, которой пользовались разработчики приложения. Конкретно в этом случае ситуация возникла из-за применения ПО с открытым кодом, развитием которого порой занимается неизвестно кто. В таких условиях невозможно гарантировать, что код будет работать точно так же, как и несколько версий назад. Но и привлечь к ответственности разработчиков открытого ПО нельзя — они предоставляют свой продукт «как есть», не давая никаких гарантий.

Самое интересное, что кошелек Copay тоже является ПО с открытым кодом, которое активно используют разработчики других криптокошельков. Так что вполне вероятно, что проблема еще более серьезна.

Вывод прост: компании, зарабатывающие на ПО, особенно применяемом для переводов больших денежных сумм, перед выпуском новых версий должны проводить тщательную проверку безопасности своих приложений, в том числе анализировать каждую новую версию всех сторонних библиотек, используемых в проекте.

Самое разумное — следить за статусом репозитория, принимать во внимание рейтинги от других разработчиков, проверять, как часто проект обновляется и сколько времени прошло с момента последнего обновления, а также заглядывать в список найденных багов. Любые странности и аномалии — признак того, что требуется более глубокое исследование.

При любых проблемах клиенты будут винить компанию, которая предоставила программу, даже если на самом деле проблема вызвана действиями автора одной из библиотек. Разумеется, мы не выступаем против продуктов с открытым исходным кодом, но рекомендуем быть начеку, доверяясь таким решениям.

Категории: Новости вендоров

Премьерный трейлер дополнения Fortune Island для Forza Horizon 4

Microsoft - пт, 07/12/2018 - 16:55

В рамках прошедшей церемонии The Game Awards 2018 команда Xbox представила премьерный трейлер первого крупного расширения Fortune Island для популярной гоночной игры Forza Horizon 4. Уже 13 декабря гонщики со всего мира смогут проверить свои стальные нервы и водительские навыки в самых отдаленных уголках Британских островов, где постоянно бушует непогода, а заезды проходят по опасным […многоточие]

The post Премьерный трейлер дополнения Fortune Island для Forza Horizon 4 appeared first on Новости.

Категории: Новости вендоров

DarkVishnya: атака через подброшенные устройства

С чего обычно начинается расследование киберинцидента? Как правило, с поисков источников заражения. Как правило, найти их не очень сложно — пришло письмо с зловредом или ссылкой, или кто-то взломал сервер. У нормальных ИБ-специалистов есть список всего оборудования — достаточно вычислить, с какой из машин началась вредоносная активность. Но что делать, если все компьютеры чисты, а вредоносная активность идет? Недавно наши эксперты столкнулись именно с такой ситуацией: злоумышленники подключали собственное оборудование к корпоративной сети.

Суть атаки, названной нашими экспертами DarkVishnya, заключается в том, что преступник приносит в офис жертвы свои устройства и подключает их к корпоративной сети. После этого он получает возможность удаленно исследовать ИТ-инфраструктуру компании, перехватывать пароли доступа к разному оборудованию, считывать информацию из общих папок и многое другое. Технические подробности этой атаки можно найти в посте на сайте Securelist.

В случае, с которым столкнулись наши эксперты, целью атаки были банки в Восточной Европе. Однако потенциально этот метод может применяться против любой крупной цели. Чем больше компания, тем легче спрятать вредоносное устройство. Особенно сложно расследовать инцидент в том случае, если у жертвы множество офисов по всему миру.

Что за устройства?

В ходе расследования наши эксперты выявили три типа устройств. Неизвестно, применялись ли они одной группировкой или несколькими, но принцип во всех трех случаях использовался один.

  • Недорогой ноутбук или нетбук. Топовые характеристики злоумышленникам не нужны, поэтому покупается б/у машина на какой-нибудь барахолке. В него втыкается 3G-модем и устанавливается программа дистанционного управления. После этого достаточно спрятать устройство так, чтобы оно не бросалось в глаза, и подключить его к сети и электропитанию.
  • Raspberry Pi — миниатюрный компьютер, который питается через USB. Это недорогое и незаметное устройство легко приобрести или самостоятельно спаять, а спрятать в офисе — гораздо легче, чем ноутбук. Для питания его можно воткнуть хоть в компьютер, где его не сразу обнаружат среди прочих проводов, хоть в USB-порт телевизора.
  • Bash Bunny — устройство, которое позиционируется как инструмент пен-тестера и свободно продается на хакерских форумах. Ему не нужно отдельного подключения к корпоративной сети, оно работает через USB-порт компьютера. С одной стороны, оно выглядит как флешка, а значит, более незаметно, но с другой — технология контроля подключаемых устройств среагирует на него в момент подключения, так что этот вариант атаки менее универсален.
Как подключают?

Даже в компаниях, где к вопросам безопасности относятся серьезно, подключить такое устройство возможно. Несмотря на жесткую пропускную систему, на территорию офисов часто допускаются курьеры, соискатели работы, представители клиентов или партнеров. Выдать себя за кого-то из них может любой.

Дополнительный риск возникает из-за того, что Ethernet-розетки в офисах зачастую устанавливают где попало — в коридорах, переговорных комнатах, в общих холлах. Иногда еще до поста охраны. Если внимательно осмотреть помещение среднестатистического бизнес-центра, нередко можно найти места, куда можно спрятать небольшое устройство, подключив его к сети и электроснабжению.

Что делать?

У этой атаки есть как минимум одно сомнительное место — злоумышленник должен физически присутствовать на территории офиса жертвы. Поэтому начать следует с ограничения доступа к сети из мест, в которые потенциально могут зайти посторонние.

  • Следует отключить неиспользуемые Ethernet-розетки в местах общего доступа.
  • Если такой возможности нет, имеет смысл выделить их в изолированный сегмент сети.
  • В идеале Ethernet-розетки должны быть в зоне видимости камер безопасности (по крайней мере, это здорово поможет в расследовании инцидента).
  • Используйте защитные решения с надежными технологиями контроля подключаемых устройств (например, Kaspersky Endpoint Security для бизнеса).
  • Подумайте над необходимостью применения специализированных решений для регистрации аномалий и подозрительной активности в сети, таких как Kaspersky Anti Targeted Attack Platform.Kaspersky Endpoint Security for business
Категории: Новости вендоров

Microsoft представила обновленное приложение Outlook для iOS

Microsoft - ср, 05/12/2018 - 19:16

Microsoft представила обновление мобильного приложения Outlook для iOS. Компания уделила большое внимание дизайну, который призван упростить пользователям работу с почтой. Помимо новой иконки, анонсированной на прошлой неделе, приложение получило множество важных нововведений, которые сделают работу с ним еще более удобной. Обновленное приложение создано таким образом, чтобы пользователь мог меньше печатать и вводить данные, и в […многоточие]

The post Microsoft представила обновленное приложение Outlook для iOS appeared first on Новости.

Категории: Новости вендоров

Взбесившийся принтер

Однажды тихим вечером вы вдруг слышите звук: это принтер в соседней комнате — он что-то печатает, хотя вроде бы никто его об этом не просил. Вы подходите к принтеру и обнаруживаете, что он почему-то напечатал листовку, призывающую вас подписаться на известного видеоблогера.

Спустя несколько часов принтер вдруг выплевывает рекламу компании, которая обещает рекламировать товары через принтеры, а потом начинает вообще безостановочно печатать всякую ерунду, в основном крайне сомнительного содержания. Что за чертовщина? Ваш принтер взломали — и не только ваш.

Принтер выбирает PewDiePie

Случай с листовкой, предлагавшей подписаться на видеоблогера, — реальный и совсем недавний: на прошлой неделе 50 000 принтеров по всему миру напечатали эту листовку. Среди этих неожиданно взбесившихся агрегатов был, например, и чековый принтер в отделении полиции, которому вроде как совсем не подобает себя так вести.

Случилось это вот как: одному хакеру стало скучно. По его словам, перед этим он играл в Destiny 2 добрых четыре часа кряду, так что его можно понять. После Destiny хакеру остро захотелось что-то взломать, и с этой мыслью он отправился в Shodan — это сервис, который позволяет искать подключенные к Интернету устройства, его еще называют поисковиком по Интернету вещей.

Хакер решил, что взламывать он будет принтеры и распечатает на них что-нибудь забавное, чем немедленно и занялся. По утверждению хакера (который, кстати, рассказал всю историю сам в Твиттере — там его зовут @HackerGiraffe), он быстренько изучил используемые для печати протоколы и соответствующие им порты, а потом поискал эти порты на Shodan. Там он обнаружил более 800 000 устройств, доступных из Интернета, у которых эти порты открыты. Из них он выбрал первые 50 000.

Напечатать на них хакер решил шуточную листовку в поддержку известного видеоблогера PewDiePie, YouTube-канал которого сейчас соревнуется за звание самого популярного в мире с другим каналом, T-Series. Листовка призывала подписываться на PewDiePie и отписываться от T-Series.

На страницах Интернета хакер нашел программу для взлома принтеров, написал простенький скрипт, который запускал утилиту для взлома и отправлял на принтеры команду печатать листовку, — и оставил скрипт выполняться. Так на 50 000 принтеров по всему миру была отправлена вот такая листовка:

@pewdiepie this just came through the ticket printer for the police station next door #savepewdiepie pic.twitter.com/7cGX3VmUIt

— Danny Boitano (@TFGHighlights) November 27, 2018

Партизанский принтерный маркетинг

Естественно, такую новость не могли упустить СМИ — и в результате о возможности печатать что угодно на десятках тысяч принтеров по всему свету узнали миллионы людей по всему миру.

Среди них нашлись предприимчивые: например, буквально за пару дней на просторах Интернета появилось некое агентство, которое предлагает компаниям печатать рекламу на чужих принтерах — видимо, тем же самым образом, каким это делал @HackerGiraffe, заботливо поделившийся всей методикой в Twitter.

Информация о существовании агентства распространялась для пущей наглядности через все те же самые принтеры. При этом в своих рекламных проспектах, выползающих из лотков для печати, агентство хвалится, что может добраться до абсолютно любого принтера, что, скорее всего, неправда. По крайней мере, тем способом, который предложил @HackerGiraffe, дотянуться можно только до сетевых принтеров.

Краткий экскурс в историю печатных атак

На самом деле атаки на принтеры — не новость, и в какой-то мере даже удивительно, что массово эту идею подхватили только сейчас. Например, во времена активного использования факсов популярностью у всяких сомнительных личностей пользовался факс-спам — рассылка рекламы и не только рекламы по факсу. В 1991 году в США был принят закон, который запрещал такую рассылку, да и факсы в большинстве стран стали встречаться все реже (кстати, вы не проверите, но в Японии факсы до сих пор еще как живы!), так что со временем факс-спам пошел на убыль.

Принтерам тоже уже доставалось. В 2008 году исследователь Аарон Уивер (Aaron Weaver) опубликовал статью, в которой описал возможность создания веб-сайта, при посещении которого на принтер пользователя будет отправляться запрос на печать определенной страницы.

Были и случаи массовых атак на принтеры — например, в 2016 году хакер взломал сетевые принтеры более чем в десяти колледжах в США и распечатал на них расистские листовки.

Как не дать принтеру взбеситься

Скорее всего, большинству пользователей совершенно не нужно, чтобы их принтер был доступен из Интернета. Ну а поскольку взломать описанным выше способом можно только сетевые принтеры, то лучше просто отключить свой принтер от Интернета, при этом он останется доступным через локальную сеть.

  • Если в настройках принтера есть какие-либо пункты про печать через Интернет, отключите эти возможности.
  • У сетевых принтеров часто есть логин и пароль для доступа. Обязательно поменяйте их — ни в коем случае не оставляйте те, что установлены по умолчанию.
  • На вашем роутере, скорее всего, есть файрвол. В нем стоит закрыть порты 9100, 515, а также с 721-го по 731-й. О том, как это сделать, читайте в руководстве пользователя к вашему роутеру.
  • Старайтесь выключать принтер, когда вы его не используете.
Категории: Новости вендоров

Tele2 ускорила подключение бизнес-клиентов в 2 раза вместе с Microsoft

Microsoft - ср, 05/12/2018 - 11:39

Tele2, альтернативный оператор мобильной связи, внедрил Microsoft Dynamics CRM для управления взаимоотношениями с корпоративными клиентами. Решение позволило оптимизировать и автоматизировать бизнес-процессы компании. В результате время подключения новых клиентов сократилось более чем в два раза. В условиях стремительного роста бизнеса Tele2 нуждалась в универсальном инструменте для управления и прогнозирования корпоративных продаж. Решение должно было быстро синхронизироваться […многоточие]

The post Tele2 ускорила подключение бизнес-клиентов в 2 раза вместе с Microsoft appeared first on Новости.

Категории: Новости вендоров

«Живые» подписи и субтитры в PowerPoint для создания более инклюзивных презентаций

Microsoft - вт, 04/12/2018 - 23:21

Интерактивные презентации могут давать пищу для размышлений, вдохновлять и мотивировать зрителей. Хорошая презентация может заставить нас и взглянуть на что-то с совершенно другой точки зрения, и сплотить группу для работы над общим проектом или идеей. Но не все люди воспринимают презентации одинаково. Кто-то не понимает, потому что говорит на другом языке. Кто-то не слышит из-за […многоточие]

The post «Живые» подписи и субтитры в PowerPoint для создания более инклюзивных презентаций appeared first on Новости.

Категории: Новости вендоров

ИИ научился таргетировать медиарекламу

Microsoft - вт, 04/12/2018 - 15:59

Новый модуль Sarafan.AI In–image позволит компаниям повысить процент просмотра рекламных сообщений благодаря размещению их в релевантных публикациях. Компания Sarafan Technology Inc. представила новый формат онлайн-рекламы – технологии In-image Native Ad, которые способны встраиваться в релевантные изображения на сайтах. Искусственный интеллект Sarafan.AI, работающий на базе облака Microsoft Azure, анализирует и подбирает наиболее подходящие по содержанию публикации […многоточие]

The post ИИ научился таргетировать медиарекламу appeared first on Новости.

Категории: Новости вендоров

Почему нельзя использовать один и тот же пароль для нескольких сервисов

Использовать один пароль на все случаи жизни очень удобно, но крайне небезопасно. Рассказываем на примере молодого дизайнера Васи.

Вася — обычный парень. У него есть электронная почта, учетные записи в Facebook и Instagram, также Вася регистрировался на форуме своей любимой игры, в Amazon, на eBay, в десятке интернет-магазинов, в Steam и Battle.net. И все эти учетные записи привязаны к электронной почте.

Однажды база данных клиентов одного из интернет-магазинов, которым пользовался Вася, утекает в Сеть — оказывается, что магазин хранил ее на сервере в открытом доступе. Данные кредитных карт при этом не пострадали — в базе были только электронные адреса, имена и пароли, которые магазин даже не шифровал. Казалось бы, беспокоиться особо не из-за чего — такие утечки случаются, это всего лишь небольшой интернет-магазин.

Но злоумышленник, наложивший руки на базу, решает попытать счастья: вдруг найдется кто-нибудь, у кого пароль для входа в магазин и для входа в почту совпадает? И ему везет: Вася использует один и тот же пароль везде.

Так злоумышленник получает доступ к Васиной электронной почте. В ней он находит не только фотки, которые тот отправлял Машеньке, но и письма от Amazon, eBay и других аккаунтов, — так он понимает, какими сервисами Вася пользуется. Злоумышленник пробует зайти в аккаунт Amazon с тем же паролем — и у него получается! Пароль ведь тот же самый, что и у почты, и у интернет-магазина, чья база утекла.

К аккаунту в «Амазоне» привязана кредитка — злоумышленник на радостях заказывает себе через Васин аккаунт пару десятых айфонов. В «Фейсбуке» от лица Васи мошенник просит у его друзей денег: ребята, срочно надо, зарплату завтра дадут — и все верну. Многие друзья оказываются отзывчивыми и переводят деньги — на карту мошенника, конечно же.

Злоумышленник потирает руки и меняет пароли от всех учетных записей, до которых может добраться, — а добраться получается почти везде. Ведь у Васи везде один и тот же пароль.

Кто-то из друзей сомневается, действительно ли это Вася просит в долг, решает проверить, не взломали ли Васю, — и звонит ему на телефон. Вася берет трубку, ужасается происходящему и срочно бежит к компьютеру менять пароль от «Фейсбука». Но пароль уже поменял до него злоумышленник, и попасть в Facebook не получается. Вася пытается восстановить пароль и просит Facebook послать ему ссылку для сброса пароля на почту — но выясняет, что попасть в свою почту он тоже не может. По той же причине.

Вася понимает: его взломали. Вася звонит в банки, блокирует кредитные карты, судорожно пытается поменять пароли хотя бы в каких-то сервисах, до которых еще не успел добраться злоумышленник, и звонит всем друзьям, объясняя, что это не он просит у них деньги. Извиняется перед теми, кто уже перевел мошеннику, — и клянется все компенсировать.

И обещает себе больше никогда, ни за что на свете не использовать один и тот же пароль для разных сервисов. А также включать двухфакторную аутентификацию везде, где можно.

Категории: Новости вендоров

Как вещи сходят с ума из-за интернет-зависимости

Представьте: вы торопитесь домой после утомительного рабочего дня. Открываете приложение на смартфоне, касаетесь кнопки на экране — и тут же в десятке километрах от вас оживает ваша квартира. Загораются умные лампочки, умный термостат начинает нагревать помещение, умный чайник кипятит воду для вечернего чаепития. Удобная штука умный дом!

Но у каждой медали две стороны, и на оборотной стороне этой — зависимость умных домов от работоспособности многих других вещей. Выйти из строя может любой компонент системы, и чем больше в ней сторонних продуктов, тем меньше стоит рассчитывать на ее надежность.

В холодном плену

На прошлой неделе Twitter захлестнула волна жалоб: пользователи термостатов Netatmo писали, что внезапно потеряли возможность контролировать температуру в своих домах. Оказалось, что несколько серверов Netatmo упали, а оставшиеся не смогли справиться с нагрузкой и обработать запросы всех пользователей.

На этот случай в термостатах Netatmo предусмотрен режим ручного управления, который позволяет изменить температуру вручную, без приложения. Но, по всей видимости, у некоторых пользователей этот режим просто не работал, поэтому они вынуждены были дрожать от холода, любуясь на гениальное, но полностью бесполезное достижение техники.

Зависимость от сторонних поставщиков дополнительно повышает вероятность сбоев, и проблема ненадежности встает еще острее. Например, некоторые гаджеты для продвинутых домов управляются через весьма занятный сервис под названием IFTTT (If This Then That, что можно примерно перевести как «Если произойдет это, сделать то»), размещенный на платформе Amazon Web Services. В прошлом году серверы IFTTT остановились из-за сбоя в работе инфраструктуры Amazon, и пока они не ожили, пользователи потеряли контроль над своими умными домами.

Срок годности вашего умного дома подошел к концу

Проблемы могут быть связаны не только с перебоями в работе ЦОД. Когда-то давно (до 2014 года, если быть точным) существовала небольшая компания Revolv, которая производила «смарт-хабы». Это умные коробочки, которые служат центром умных домов и позволяют управлять компонентами их системы через мобильное приложение. Хабы и приложение общались друг с другом через сервер.

Как вы знаете, компании продаются и покупаются, что и произошло с Revolv — ее приобрел более крупный поставщик решений для умного дома, компания Nest. Которую, в свою очередь, за несколько месяцев до сделки поглотила компания Google.

Сразу после приобретения конкурента Nest прекратила продажи смарт-хабов Revolv. Уже проданные устройства некоторое время продолжали работать, но в 2016 году в Nest решили полностью избавиться от наследия Revolv и отключили серверы, на которых держалась инфраструктура поглощенной компании.

Таким образом, в мае 2016 года смарт-хабы Revolv стали абсолютно бесполезными. Они просто-напросто ничего больше не делали. Ничегошеньки. Приложение тоже перестало работать. В 2014 году хабы Revolv продавались по $300 за штуку — отличная цена за устройство, которое через пару лет превратится в никчемную пластиковую коробку.

Ваша лампочка несовместима с GDPR

Когда вступил в силу Общий регламент по защите данных ЕС (он же GDPR — документ, определяющий порядок обработки данных), в Интернете многое изменилось. Помимо всего прочего, некоторые американские сайты перестали открываться с европейских IP-адресов, поскольку их владельцы, опасаясь штрафов за неправильную обработку данных европейцев, решили просто с ними не связываться.

Регламент GDPR повлиял и на вполне реальные объекты, ведь сейчас виртуальная среда очень тесно связана с физической. Например, в Европе умные лампочки Xiaomi Yeelight с управлением через приложение полностью утратили свои умные функции после GDPR-совместимого обновления. Они превратились в обычные лампочки, которые загораются только по нажатию выключателя. Конечно, это лучше, чем полная неработоспособность, но, скорее всего, у покупателей были несколько другие ожидания.

Hi!

Just letting you know you can't use your lights anymore because we're slathering your data around and GDPR is here.

good luck! bye! pic.twitter.com/3ZI2WkqPAI

— Internet of Shit (@internetofshit) May 24, 2018

Робопылесос-шпион

Все злоключения, о которых мы написали выше, никак не связаны с действиями пользователей: термостаты Netatmo, хабы Revolv и лампочки Yeelight работали бы отлично и дальше, если бы не происходило всякое на стороне серверов. А что на этих серверах происходит на самом деле — это вообще отдельная история.

Разработчики гаджетов для умных домов собирают и обрабатывают данные, которые получают от своих приложений и устройств. Им это нужно, во-первых, для того, чтобы поддерживать функциональность умных устройств, а во-вторых, чтобы разрабатывать новые возможности. Ну и, конечно, чтобы получше вас узнать. Ах да, еще некоторые разработчики приторговывают собранной информацией.

То, что наши данные стали разменной монетой корпораций, ни для кого не новость (если, конечно, вы не провели последний десяток лет в глуши тайги). Но не все хорошо понимают, какую информацию о нас собирают поставщики умных устройств и как именно они это делают. То есть мы, например, знаем, что Google и Facebook что-то там собирают, когда мы ходим по Интернету или сидим в соцсетях. Но понимают ли все пользователи Nest, что сама Nest уже в кармане Google, и что теперь Google владеет, к примеру, информацией о том, какая температура установлена в их доме?

А в курсе ли владельцы роботов-пылесосов iRobot, что iRobot и Google недавно заключили соглашение, где, в числе прочего, говорится, что Google сможет заглянуть в карты помещений, составленные роботами-пылесосами? По сути, компания пополнила и без того огромную копилку ваших личных данных планировкой дома.

Не только Google и Facebook одержимы данными о своих пользователях — компания Xiaomi тоже фиксирует планы помещений с помощью своих роботов-пылесосов Xiaomi Mi Robot и автоматически загружает их себе на сервер. Любопытный факт: роботы-пылесосы Xiaomi управляются через приложение, которое работает только при подключении к серверу (и для большинства пользователей это сервер, который находится в Китае).

Завершающий удар

Перевешивают ли все эти проблемы удобство удаленного управления бытовыми приборами — каждый решает сам. Но мы перечислили далеко не все неприятности — было еще несколько серьезных инцидентов с умными домами. В октябре этого года что-то случилось с приложением, управляющим умной охранной сигнализацией Yale, — это привело к чудовищной неразберихе в домах с этой системой. Людям пришлось оставаться дома, потому что они не могли выключить воющую сирену. Инженеры Yale устраняли эту проблему более суток.

Ранее схожие неполадки возникли с умными замками производства Lockstate: при очередном обновлении прошивки возникли проблемы, и все умные замки полностью вышли из строя — превратились в «кирпичи».

Кто вообще пользуется умными замками? Оказывается, они очень популярны среди тех, кто сдает квартиры и дома через AirBNB. От сбоя пострадало более 200 гостей, которые просто не смогли войти в арендованные квартиры. Самое неприятное, что проблему невозможно было оперативно устранить, разослав обновленную прошивку удаленно — владельцам пришлось демонтировать замки и отправлять их производителю на ремонт или дожидаться, когда до них доберется инженер и заменит их. И в том, и в другом случае ждать приходилось по 2–3 недели.

Мы называем устройства, подключенные к сети, Интернетом вещей. Но на самом деле стоило бы называть их Вещами Интернета. Ведь они полностью зависят от сети, и если происходит какой-то сбой — отказ сервера, баги в приложении или прошивке, проблемы с подключением или какие-то другие напасти, — они моментально сходят с ума. В лучшем случае гаджеты становятся лишь частично работоспособными, ну а в худшем — превращаются в полностью бесполезные «кирпичи».

Категории: Новости вендоров

Представляем «живые» подписи и субтитры в Skype

Microsoft - пн, 03/12/2018 - 18:13

Сегодня команда Skype вместе со всеми отмечает Международный день людей с инвалидностью и представляет возможность проведения звонков с «живыми» подписями и субтитрами. Новая функция работает в последней версии Skype как при звонках одному другу, коллеге или просто на телефонный номер, так и при групповой связи с целой рабочей группой или множеством друзей. «Живые» подписи и […многоточие]

The post Представляем «живые» подписи и субтитры в Skype appeared first on Новости.

Категории: Новости вендоров

Расширение возможностей в Международный день людей с инвалидностью

Microsoft - пн, 03/12/2018 - 17:06

Автор – Дженни Лэй-Фларри Сегодня, 3 декабря, мы отмечаем Международный день людей с инвалидностью, установленный Генеральной Ассамблеей ООН. В этом году задана важная тема: «Помощь людям с инвалидностью, обеспечение инклюзивности и равенства». Она служит напоминанием о том, чего нам предстоит достичь: помочь людям с инвалидностью приобрести навыки работы в цифровом мире, разработать технологии, помогающие им в […многоточие]

The post Расширение возможностей в Международный день людей с инвалидностью appeared first on Новости.

Категории: Новости вендоров

На Xbox One стартовало бета-тестирование Red Dead Online

Microsoft - пн, 03/12/2018 - 15:43

Седлайте своих бравых скакунов и надевайте ковбойские шляпы! Бета-версия Red Dead Online уже доступна всем владельцам Red Dead Redemption 2 на Xbox One. Объединяйтесь с друзьями в отряды, разбивайте лагеря, выполняйте разнообразные сюжетные задания, исследуйте окрестности и города в компании или в одиночку и многое другое вместе с абсолютно новым многопользовательским режимом, вобравшим в себя […многоточие]

The post На Xbox One стартовало бета-тестирование Red Dead Online appeared first on Новости.

Категории: Новости вендоров

Совет №5: как включить панель смайликов на разных языках в Windows 10

Microsoft - пн, 03/12/2018 - 10:09

Если вы привыкли выражать себя не только с помощью слов, но активно пользуетесь эмотиконами, то вас точно порадует обновленная функция в ОС Windows 10. Обновленное меню эмоджи позволяет выбрать и использовать сразу несколько смайликов. Как это сделать? Нажмите на кнопку со значком Windows + кнопку с точкой на английском языке (буква «ю» в русской раскладке) […многоточие]

The post Совет №5: как включить панель смайликов на разных языках в Windows 10 appeared first on Новости.

Категории: Новости вендоров

Три новые игры пополнят каталог Xbox Game Pass

Microsoft - пт, 30/11/2018 - 15:48

Еще три отличных игры в ближайшее время присоединятся к постоянно растущему каталогу Xbox Game Pass. 29 ноября все подписчики сервиса получили доступ к необычному платформеру The Gardens Between, 4 декабря им удастся ознакомиться с тактической стратегией Mutant Year Zero, а уже 6 декабря сразиться плечом к плечу в кооперативном экшене Strange Brigade. The Gardens Between […многоточие]

The post Три новые игры пополнят каталог Xbox Game Pass appeared first on Новости.

Категории: Новости вендоров

Совет №4: превратите любой текст в аудиокнигу вместе с Word

Microsoft - пт, 30/11/2018 - 00:05

Специальные возможности программы Word в пакете Office 365 помогут научиться читать правильно и быстро, а также позволяют озвучить любой текст. Программа разбивает слова по слогам, подбирает темп и тип голоса по вашему желанию. Из этого материала вы узнаете, как настроить функцию Средства обучения в Word Online, а также версиях для Windows, macOS, iPad. Инструкция проста: […многоточие]

The post Совет №4: превратите любой текст в аудиокнигу вместе с Word appeared first on Новости.

Категории: Новости вендоров

Оцените новые иконки Microsoft Office

Microsoft - чт, 29/11/2018 - 23:55

Компания Microsoft продемонстрировала полностью переработанные логотипы приложений Office 365. Это мгновенно узнаваемые иконки в упрощенном стиле с рельефными элементами и светлыми оттенками. Команда Microsoft Design рассказала об обновлении в публикации на сайте Medium. При создании каждой иконки буквы и символы разъединялись, но при этом сохранялась узнаваемость и фокус на упрощение. Новые иконки созданы для Word, […многоточие]

The post Оцените новые иконки Microsoft Office appeared first on Новости.

Категории: Новости вендоров

Выбор подходящего сервиса информирования об угрозах

Еще совсем недавно выбор сервисов информирования об угрозах был, прямо скажем, невелик. Сейчас все изменилось. В ответ на возрастающую сложность ландшафта угроз, появилось множество поставщиков сервисов, каждый из которых предлагает свои экспертные знания. В условиях разросшегося высококонкурентного рынка крайне сложно подобрать правильное решение с учетом потребностей конкретной организации. Компания Forrester пытается облегчить этот выбор, проводя исследования внешних сервисов информирования об угрозах. Вот отчет о последнем таком исследовании — The Forrester New Wave™: External Threat Intelligence Services, Q3 2018.

По данным Forrester, корпорации со штатом более 1000 сотрудников в среднем подписаны на 4,2 коммерческих информационных канала об угрозах. В своем последнем отчете они попытались предоставить потребителям актуальную информацию для выбора подходящего поставщика на рынке аналитики угроз.

Специалисты Forrester детально проанализировали услуги 15 крупнейших поставщиков сервисов информирования об угрозах. На основе их отчета специалисты по безопасности смогут принять взвешенное решение, не тратя несколько месяцев на самостоятельное изучение предложений.

Четкая и понятная методология (подробнее о ней можно прочитать в документе Forrester Wave methodology guide) упрощает для читателей выбор поставщиков в зависимости от релевантных для каждой компании критериев. Согласно отчету, исследователи характеризуют «Лабораторию Касперского» как «Сильного Игрока», предлагающего шесть услуг, которые выгодно отличают наши сервисы от конкурирующих.

Специалисты Forrester назвали способности «Лаборатории Касперского» по сбору и анализу информации «исключительными». Особенно они отметили эффективность глобального центра исследования и анализа угроз (GReAT), нашей команды экспертов, публикующей исследования более чем на 18 языках. Аналитики признают необходимость наблюдения полной картины ландшафта угроз, без привязки исключительно к западным источникам. И называют «Лабораторию Касперского» лучшим поставщиком информации об угрозах, не ограничивающимся исключительно западными данными. Ну и наконец, они отмечают что наши клиенты особенно впечатлены нашей способностью выявлять и отслеживать угрозы по всему миру.

Угрозы становятся все сложнее и разрушительнее, поэтому организациям обязательно следует вооружаться широким арсеналом средств для отражения надвигающихся атак. Выбрать подходящего поставщика информации об угрозах в 2018 году не такая уж и сложная задача, когда в широком доступе представлены такие ресурсы, как отчет Forrester. Абсолютное кибероружие пока еще не изобрели, но, когда речь идет об уязвимостях нулевого дня и APT-атаках, спасением зачастую является качественный сервис, поставляющий данные об угрозах.

Скачать полный отчет с иллюстрациями можно здесь.

Подробнее об услугах «Лаборатории Касперского» можно узнать на сайте Kaspersky Threat Intelligence.

Категории: Новости вендоров

Sea of Thieves получила четвертое бесплатное обновление Shrouded Spoils

Microsoft - чт, 29/11/2018 - 16:58

Команда Xbox и студия Rare с радостью сообщают о премьере четвертого большого обновления Shrouded Spoils для многопользовательской игры Sea of Thieves. Оно добавит в игру не только новый контент, но и разнообразные улучшения в интерфейс и другие возможности, которые так просили поклонники игры: Густой туман, способный как внезапно появиться на горизонте, так и быстро исчезнуть […многоточие]

The post Sea of Thieves получила четвертое бесплатное обновление Shrouded Spoils appeared first on Новости.

Категории: Новости вендоров

Опасные связи: как родственники и друзья выдают ваши тайны

Из-за современных технологий секреты людей все чаще становятся достоянием общественности — и примеров тому множество: от массовых утечек персональных данных до появления в сети приватных (и даже очень приватных) фотографий и частной переписки.

В рамках этого поста мы не будем учитывать бесчисленные досье на каждого гражданина, хранящиеся в базах данных государственных и коммерческих структур — беззаботно предположим, что эти данные надежно защищены от посягательств (хотя на самом деле это не так). Также отбросим утерю флешек, атаки хакеров и другие подобные инциденты, которые, конечно, тоже регулярно случаются. Рассмотрим пока только ситуацию, когда пользователь сам выкладывает данные в Сеть. Казалось бы, не хочешь — не публикуй. Но проблема здесь в том, что разместить в Интернете деликатную информацию о человеке может не только он сам, но и кто-то другой — например, его друзья или родственники, в том числе без его согласия.

Публичные гены

Причем деликатная информация может быть такая, что нарочно не придумаешь. Например, в Сети без вашего ведома может оказаться ваша ДНК. В последнее время набирают популярность «генетические» онлайн-сервисы, такие как 23andMe, Ancestry, GEDmatch и MyHeritage (кстати, MyHeritage не так давно протек, но это тема для отдельного поста). Пользователи сервисов добровольно передают им образец биоматериала (мазок с внутренней стороны щеки или слюну), на основе которого в лаборатории формируют их генетический профиль. С его помощью можно, например, выяснить собственную родословную или определить генетическую предрасположенность к тем или иным заболеваниям.

Ни о какой конфиденциальности при этом речи не идет: генеалогические сервисы дают всем желающим возможность сличить свой профиль с ранее загруженными (иначе семья никак не отыщется). Впрочем, и сам пользователь обычно раскрывает информацию о себе по доброй воле — по той же самой причине: чтобы другие пользователи, оказавшиеся его родственниками, смогли бы его найти. Занятная деталь состоит в том, что клиенты подобных сервисов заодно публикуют и генеалогическую информацию своих родственников, наследующих общие с ними гены. Родственники же, вполне возможно, вообще не хотят, чтобы их кто-то искал, и особенно — по ДНК.

Польза от генеалогических сервисов несомненна — взять хотя бы счастливое воссоединение семей. Однако не стоит забывать, что воспользоваться открытой генетической базой можно и с не очень мирными целями.

Все люди — братья

На первый взгляд может показаться, что проблема размещения в открытом доступе генетической информации надумана и никаких практических последствий не имеет. Однако на деле с помощью генеалогических сервисов и частички биоматериала (кусочка кожи, ногтя, волос, крови, слюны и так далее) можно при определенных обстоятельствах установить личность человека — для поиска не понадобится даже его фотография.

Реальность угрозы раскрыта в исследовании, опубликованном в октябре в журнале Science. Один из авторов работы, Янив Эрлих (Yaniv Erlich), не понаслышке знает тонкости этой отрасли, так как является сотрудником компании MyHeritage, предоставляющей услуги по анализу ДНК и созданию генеалогического древа.

По данным исследователей, к настоящему времени около 15 миллионов человек провели генетический тест и сформировали свой профиль в электронном виде (при этом, по другим данным, у одного только MyHeritage более 92 миллионов пользователей). На примере США исследователи предсказали, что уже в ближайшем будущем открытые генетические данные позволят по ДНК установить личность любого американца, имеющего европейских предков (доля таковых среди протестировавшихся в настоящее время особенно велика). При этом нет разницы, проходил искомый субъект тест сам или это сделали его любопытные родственники.

Чтобы показать, насколько легко установить личность человека по ДНК, Эрлих с коллегами взяли находящийся в открытом доступе генетический профиль участницы научного проекта, посвященного изучению генома, «пробили» его по базе сервиса GEDmatch и в течение дня установили фамилию и имя владелицы ДНК, пишет Nature.

Эффективность метода уже оценили правоохранители, сумевшие раскрыть благодаря генеалогическим онлайн-сервисам несколько безнадежных дел.

Как цепочка ДНК привела к преступнику

Этой весной, спустя 44 года безуспешных поисков, в Калифорнии был арестован 72-летний подозреваемый в серии убийств, изнасилований и грабежей. Вычислить его удалось именно благодаря доступной в Интернете генеалогической информации.

На основе найденного на месте одного из преступлений биоматериала в лаборатории сформировали генетический профиль, удовлетворяющий требованиям публичных генеалогических сервисов. Затем детективы, как обычные пользователи, проверили полученный файл через сервис GEDmatch и составили список вероятных родственников преступника.

Всего их нашлось более десятка, все — довольно дальние родственники (не ближе троюродных). Другими словами, у этих людей были с преступником общие предки в начале XIX века. По описанию The Washington Post, в ходе расследования пять специалистов по генеалогии, вооружившись архивами переписи населения, газетными некрологами и другими данными, стали шаг за шагом продвигаться от этих предков «вперед во времени», заполняя пустые места в ветвистом генеалогическом древе.

В итоге образовался огромный круг ныне живущих дальних родственников преступника. Отбросив тех из них, кто не подходил по полу, возрасту и другим критериям, следователи в конце концов вышли на подозреваемого. Детективы установили за ним слежку, добыли предмет с сохранившимся образцом ДНК и сравнили его с материалом, найденным на месте преступления много лет назад. ДНК в образцах оказалась одинаковой — и 72-летнего Джозефа Джеймса ДиАнджело арестовали.

Этот случай показал главное преимущество генеалогических онлайн-сервисов общего пользования перед базами данных о ДНК правоохранительных органов с точки зрения следователей: в их собственных базах хранятся только сведения о преступниках, в то время как базы онлайн-сервисов наполняют сами пользователи, косвенно «затягивая» туда и родственников.

А теперь представим, что человека искали не правоохранители, а преступники — например, им понадобилось найти случайного свидетеля или заинтересовавшую их жертву. Сервисы ведь публичные, воспользоваться ими может каждый. Страшновато получается.

Отметка как улика

И все же поиск по ДНК с использованием публичных сервисов — это пока экзотика. Добрые друзья и родные могут случайно помочь найти вас преступникам, правоохранительным органам и вообще кому угодно, не только создавая генетические профили. Мы говорим про повсеместно распространенную практику отмечать человека на фотографиях, видео или просто в постах в соцсетях.

Даже если никто не искал вас с недобрым умыслом, из-за этих отметок может возникнуть неловкая ситуация. Скажем, солидный профессор не станет публиковать снимки с веселой вечеринки, а беззаботный лаборант не только загрузит их, но и отметит на них профессора. После этого фотография автоматически всплывет на странице последнего, подрывая его авторитет в глазах студентов.

Подобный неосторожный пост для отмеченного в нем человека вполне может стать причиной увольнения с работы, отчисления из учебного заведения и других проблем. К слову, любая информация в соцсетях легко может также стать недостающим звеном в упомянутом поиске с помощью открытых данных генеалогических сервисов.

Где и как можно вас отметить — и как это настроить

Социальные сети позволяют своим пользователям в разной степени контролировать упоминания о себе. Так, Facebook и «ВКонтакте» дают возможность удалять отметки с опубликованных другими людьми фотографий и ограничивать круг тех, кто может просматривать материалы с отметками или отмечать вас. Например, пользователь Facebook может при публикации запретить показывать их друзьям отмеченного, а для «Вконтакте» в настройках приватности указать круг тех, кто сможет просмотреть фото с ним.

Любопытно, что Facebook не только побуждает пользователей отмечать друзей чаще, формируя подсказки при помощи технологии распознавания лиц (эту функцию можно отключить в настройках аккаунта), но и помогает контролировать свою конфиденциальность: соцсеть присылает уведомление, если та же технология опознает вас на чужом снимке.

В Instagram, цитируем, все люди, кроме заблокированных вами, могут отмечать вас на своих фото и видео. Зато в этой соцсети можно выбрать, будут ли фотографии, на которых вы отмечены, появляться в вашем профиле автоматически — или только после вашего одобрения. Также можно выбрать, кто будет видеть эти посты в вашем профиле.

Несмотря на все эти функции, частично позволяющие контролировать, где и как вы «засветились», потенциальные угрозы по-прежнему велики. Даже если вы запретите отмечать себя на снимках, ваше имя (в том числе со ссылкой на страницу) по-прежнему могут упомянуть в описании или в комментариях к фото. В итоге фотография все равно будет связана с вами, и уследить за подобными утечками практически невозможно.

Друзья как на подбор

Впрочем, технологии могут сдать посторонним подробности вашей жизни, которые вы предпочли бы держать в тайне, и совсем без участия друзей и родственников. Например, из-за особенностей механизма рекомендаций. «ВКонтакте» предлагает подружиться с людьми, с которыми у пользователя есть общие друзья в соцсети. А вот алгоритм Facebook ищет кандидатов гораздо активнее. Эта соцсеть может порекомендовать вам обратить внимание на тех, кто состоит с вами в одной группе или относится к одному сообществу (школе, университету, организации). Кроме того, для подбора друзей используется контактная информация пользователей, загруженная в Facebook с мобильных устройств. Однако всех критериев, по которым алгоритм подбирает потенциальных друзей, Facebook не раскрывает, и иногда остается только гадать, откуда соцсеть знает о ваших социальных связях.

Как это связано с приватностью? Вот пример. Известен случай, когда система рекомендовала стать друзьями незнакомым между собой пациентам одного психиатра — и один из них даже догадался, откуда дует ветер. А ведь данные, которые касаются здоровья, особенно психического, — одни из самых чувствительных. Хранить их в социальной сети добровольно решились бы далеко не все.

Подобные случаи были упомянуты в обращении комиссии Сената США к руководству Facebook по итогам сенатских слушаний в апреле 2018 года, посвященных приватности пользователей Facebook. Представители соцсети в своем ответе случаи с пациентами не прокомментировали, перечислив лишь упомянутые выше источники сведений для алгоритма подбора друзей.

Что будет дальше?

Уже сейчас в Сети хранится гораздо больше социальной и даже биологической информации о нас, чем мы думаем. И не всегда мы можем ее контролировать — хотя бы потому, что зачастую просто о ней не знаем. Весьма вероятно, что вскоре, с дальнейшим развитием технологий, сами понятия о личном и секретном уйдут в прошлое — наши жизни в реальности и в Сети все сильнее переплетаются, а в Интернете любое тайное рано или поздно становится явным.

Впрочем, последнее время проблемой приватности озаботились на уровне государств и даже содружеств стран, так что, возможно, человечество все же найдет способ отгородиться от нежеланных глаз в Сети.

Категории: Новости вендоров

Страницы