Новости вендоров

Стаффордширский университет предоставил студентам цифрового помощника

Microsoft - вт, 05/02/2019 - 13:32

Стаффордширский университет станет первым университетом Великобритании, в котором появится цифровой помощник для студентов. Приложение для смартфонов под названием Beacon, работающее на облачной платформе Microsoft Azure, будет помогать студентам в повседневной жизни в кампусе: поддерживать в учебе, подбадривать, рекомендовать подходящие группы и сообщества и делать многое другое. В Стаффордширском университете считают, что все 15 тысяч студентов так […многоточие]

The post Стаффордширский университет предоставил студентам цифрового помощника appeared first on Новости.

Категории: Новости вендоров

Россияне на 20% чаще сталкиваются с оскорблениями в Интернете

Microsoft - вт, 05/02/2019 - 11:08

Россия заняла 19-е место по индексу цифровой культуры – показало третье ежегодное исследование Microsoft DCI. Уровень онлайн-рисков практически не изменился по сравнению с прошлым годом и составил 74%, при этом россияне сталкиваются с ними чаще, чем пользователи большинства других стран. Москва, 5 февраля 2019 г. – Microsoft представила результаты ежегодного исследования[1], посвященного культуре общения и […многоточие]

The post Россияне на 20% чаще сталкиваются с оскорблениями в Интернете appeared first on Новости.

Категории: Новости вендоров

Большинство российских подростков не готовы просить помощи при угрозах в Интернете

Microsoft - вт, 05/02/2019 - 11:08

По результатам ежегодного исследования Microsoft, только 42% российских подростков делятся со взрослыми последствиями негативного онлайн-опыта. Москва, 5 февраля 2019 г. – Ко Дню безопасного Интернета Microsoft представила результаты ежегодного исследования, посвященного интернет-рискам. Согласно документу, 74% пользователей в России стали жертвами онлайн-обидчиков в 2018 году. В главные группы риска попали: миллениалы (18-34 года) – 81%, представители […многоточие]

The post Большинство российских подростков не готовы просить помощи при угрозах в Интернете appeared first on Новости.

Категории: Новости вендоров

Совет №21: как сэкономить время на скроллинге

Microsoft - пн, 04/02/2019 - 16:20

У каждого из нас на компьютере и в телефоне масса файлов, папок, ссылок. Найти ту самую, который смотрел неделю назад, не так-то просто, а порой и просто невозможно. На поиск нужной информации можно потрать много времени и нервов. Как не стать жертвой цифрового хаоса? Функция Временная шкала (Timeline) поможет отыскать нужный документ быстро, увидеть, к […многоточие]

The post Совет №21: как сэкономить время на скроллинге appeared first on Новости.

Категории: Новости вендоров

Как удалить Facebook (но сохранить свои данные)

Учитывая, сколько информации Facebook и связанные с этой соцсетью организации получают о своих пользователях, неудивительно, что многие хотят избавиться от такого нездорового внимания. Но если вы уже пустили здесь корни и обзавелись друзьями, с вашим аккаунтом будет связано огромное количество файлов и воспоминаний, которые стоит сберечь.

Как деактивировать свой аккаунт Facebook

Начнем с того, что Facebook не хочет с вами расставаться. Так что если просто игнорировать аккаунт, он никуда не денется. Чтобы оградить себя от соблазна вернуться, лучше деактивировать свою учетную запись — возможность ее восстановления при этом сохранится.

Facebook периодически меняет расположение настроек, но на момент написания статьи аккаунт можно деактивировать в разделе Настройки → Ваша информация на Facebook. Перейдите в раздел Удаление аккаунта и информации, а затем нажмите Деактивировать аккаунт. Следуйте указаниям на экране, чтобы подтвердить свое решение.

После деактивации ваши записи будут скрыты, отметки на фотографиях перестанут быть активны, и вы не сможете пользоваться аккаунтом (однако если поставить соответствующую галочку, все еще можно будет пользоваться Facebook Messenger). Активировать учетную запись обратно очень просто — это произойдет автоматически, если вы войдете в свой аккаунт. Настройки, друзья, сообщения и все остальное будут ждать вас в целости и сохранности.

Решились все же удалить свой аккаунт Facebook? Мы вас прекрасно понимаем. Но если сделать это второпях, можно потерять ценные данные, которых у вас в Facebook, скорее всего, накопилось немало. Так что первым делом нужно забрать все свое с собой, скачав фотографии, сообщения и прочее.

Как удалить свой аккаунт Facebook через веб-интерфейс
  1. Откройте раздел Настройки → Ваша информация на Facebook.
  2. Выберите второй пункт списка: Скачать информацию.
  3. Укажите диапазон дат (по умолчанию выбраны Данные за все время), формат HTML для простоты просмотра и качество медиафайлов — если вы хранили в Facebook фотографии, желательно выбрать Высокое качество вместо Среднего, заданного изначально.
  4. Снимите или установите флажки напротив типов данных, которые нужно скопировать — от публикаций и медиафайлов до данных разных приложений и веб-сайтов, куда вы заходите через Facebook, и «других действий», таких как подмигивания и действия в Marketplace. У каждого раздела есть описание, но даже если вы не понимаете, зачем нужны те или иные данные, не помешает их тоже включить в резервную копию.
  5. Нажмите кнопку Создать файл. Процесс займет какое-то время. Когда архив будет готов к скачиванию, Facebook пришлет уведомление по электронной почте.

Вот и все: резервная копия ваших данных в Facebook готова и можно приступить к удалению аккаунта. Вернитесь на страницу Ваша информация на Facebook, выберите Безвозвратное удаление аккаунта и нажмите кнопку Удалить аккаунт.

Как удалить свой аккаунт Facebook через мобильное приложение

Даже если вы заходите в Facebook только через приложение для iOS или Android, просто удалить его будет недостаточно. Хотя при удалении приложения появляется предупреждение об удалении данных, речь идет о данных приложения, а не о ваших личных данных Facebook.

Еще раз заметим, что приложения и их настройки могут меняться, но обычно не очень сильно. Вот что нужно сделать в текущей версии приложения:

  1. Коснитесь значка настроек (три горизонтальные полоски) в правом нижнем углу экрана iOS или в правом верхнем углу экрана Android.
  2. Выберите пункт Настройки и конфиденциальность.
  3. Откройте Настройки.
  4. Выберите Скачать информацию и следуйте указаниям на экране, чтобы скачать все нужные данные из вашего аккаунта Facebook.
  5. Вернитесь в главное меню настроек.
  6. Выберите пункт Быстрые настройки конфиденциальности.
  7. Прокрутите вниз до раздела «Ваша информация на Facebook» и выберите Удаление аккаунта и информации.
  8. Выберите Удалить аккаунт, а затем — Продолжить с удалением аккаунта.
  9. Прокрутите вниз и нажмите Удаление аккаунта.

Удалите приложение в Android или iOS стандартным способом: обычно в Android для этих целей используется диспетчер приложений в настройках, а в iOS нужно коснуться значка приложения и удерживать его, пока не появится крестик в верхнем левом углу значка, затем коснуться крестика и подтвердить удаление приложения и связанных с ним данных.

Ну что ж, до встречи в реальном мире… или в других социальных сетях, с которыми вы пока не готовы распрощаться.

Категории: Новости вендоров

Совет №20: как сделать текст доступным для всех

Microsoft - пт, 01/02/2019 - 23:46

Не каждый текст легко читается, особенно если речь идет о длинных материалах, специальных терминах и символах. Прежде чем отправить сообщение электронной почты или предоставить доступ к документу, проверьте его и убедитесь, что любой пользователь может легко читать и менять текст. Для этого выберите вкладку Рецензирование. В почте Outlook эта вкладка отображается на ленте при написании […многоточие]

The post Совет №20: как сделать текст доступным для всех appeared first on Новости.

Категории: Новости вендоров

Пользователи Pikabu поделились своим творчеством в старом добром Paint

Microsoft - чт, 31/01/2019 - 23:56

Как же здорово неожиданно находить свидетельства того, что наши приложения помогают многим добиваться большего. Сегодня пользователь paintlitt опубликовала на ресурсе Pikabu пост о рисунках, которые создает для себя по настроению. В примечании она отметила, что все это сделано в стандартном Paint. Комментаторы не только одобрили работы, но и поделились своими. Конечно же, сегодня существует множество […многоточие]

The post Пользователи Pikabu поделились своим творчеством в старом добром Paint appeared first on Новости.

Категории: Новости вендоров

Охота за учетными данными Office 365

Как минимум с лета прошлого года неизвестные злоумышленники рассылают письма пользователям Office 365 в надежде выманить учетные данные. По словам впервые выявивших эту атаку исследователей, подобные письма могли получить до 10% всех пользователей сервиса.

Уловка PhishPoint

Письма, которые рассылают злоумышленники, выглядят как стандартные приглашения к совместной работе через SharePoint: адресату предлагают открыть документ, хранящийся в OneDrive для бизнеса. Собственно, уловка заключается в том, что по ссылке действительно находится именно то, что написано в письме — документ OneDrive для бизнеса. Вот только его внешний вид является имитацией запроса на доступ к документу. И вот уже в нем имеется фишинговая ссылка. Линк «Access Document» внизу страницы направляет на сторонний сайт, замаскированный под страницу входа в аккаунт Microsoft Office 365.

Корпоративные рабочие пространства вызывают больше доверия, чем другие ресурсы. У пользователей может сложиться впечатление, что посторонние не могут просто так получить доступ к сервисам SharePoint. Поэтому они смело переходят по ссылке на сайт злоумышленников. Если жертва введет на этом сайте рабочий логин и пароль, его учетные данные попадут в распоряжение хозяев файла.

С учетными данными киберпреступники потенциально смогут получить все привилегии жертвы, включая доступ к электронной почте, облачным хранилищам и конфиденциальной информации бизнеса. Прячась за корпоративным аккаунтом, мошенники способны шпионить за вами в пользу ваших конкурентов, распространять вредоносное ПО или использовать имя сотрудника и информацию о проектах для целевого фишинга.

Хитрость состоит в том, что почтовые фильтры проверяют ссылку в письме. А ссылка совершенно чиста — она ведет на документ, находящийся в хранилище с безупречной репутацией. Как только пользователь переходит на этот документ, он фактически выходит из-под юрисдикции почтовых фильтров — дальше за его безопасность могут отвечать только фильтры защитного решения, установленного непосредственно на компьютере.

Как защитить бизнес и сотрудников

Вот несколько советов, как повысить бдительность работников и безопасность компании от этой и аналогичных атак:

  • Во-первых, расскажите сотрудникам, работающим c Office 365, о существовании такой схемы. Крайне редко ссылки на документы присылают внезапно, с бухты-барахты. Обычно этому предшествует какое-то обсуждение или хотя бы описание. Поэтому прежде чем открывать внезапно присланный без комментариев документ, имеет смысл уточнить у людей, от которых, как вы считаете, пришло письмо.
  • Письма от неизвестных адресатов в принципе следует рассматривать критически и при малейших сомнениях — игнорировать.
  • Самое главное — нужно помнить, что для противостояния фишинговой схеме такого типа на рабочих станциях сотрудников должно стоять endpoint-решение.
Категории: Новости вендоров

Бесплатные выходные с Gears of War 4 для подписчиков Xbox Live Gold

Microsoft - чт, 31/01/2019 - 15:39

Только на этих выходных все подписчики с Золотым статусом Xbox Live Gold смогут бесплатно ознакомиться с четвертой частью легендарной серии Gears of War в рамках программы Free Play Days. Акция стартует 31 января в 23:01 и закончится 4 февраля в 10:59 по московскому времени. Идеальный момент, чтобы подготовиться к непростому приключению Кейт Диаз по спасению […многоточие]

The post Бесплатные выходные с Gears of War 4 для подписчиков Xbox Live Gold appeared first on Новости.

Категории: Новости вендоров

Бесплатные игры для подписчиков Xbox Live Gold в феврале

Microsoft - ср, 30/01/2019 - 17:14

Объявлен список игр, которые будут доступны для подписчиков с Золотым статусом Xbox Live Gold в феврале 2019 года. На Xbox One пользователи получат ретро-платформер Bloodstained: Curse of the Moon и смогут посоревноваться с друзьями в Super Boberman R. На Xbox 360 и Xbox One благодаря обратной совместимости вам предстоит поохотиться на бывших товарищей в Assassin’s […многоточие]

The post Бесплатные игры для подписчиков Xbox Live Gold в феврале appeared first on Новости.

Категории: Новости вендоров

«Балтика» сократила время принятия решений на 30% благодаря облаку Microsoft Azure

Microsoft - ср, 30/01/2019 - 11:28

Пивоваренная компания «Балтика», часть Carlsberg Group, завершила уникальный проект по переходу на инновационную систему мобильного электронного документооборота. Внедрение системы уже сократило время принятия решений в компании на 30%. В дальнейшем решение может быть масштабировано и на другие компании Carlsberg Group в регионе Восточная Европа. Решение было разработано компанией «Монолит-Инфо» и является первым в своём роде […многоточие]

The post «Балтика» сократила время принятия решений на 30% благодаря облаку Microsoft Azure appeared first on Новости.

Категории: Новости вендоров

Как взломать аппаратный криптокошелек

Аппаратные криптокошельки считаются самыми безопасными. Но, как мы знаем, абсолютной защиты просто не бывает — и такие кошельки тоже можно взломать. На 35-м Chaos Communication Congress исследователи безопасности Томас Рот (Thomas Roth), Джош Датко (Josh Datko) и Дмитрий Недоспасов продемонстрировали несколько способов, как это сделать. Но прежде чем окунуться в тонкости взлома, давайте немного освежим в памяти, что же такое этот аппаратный кошелек и как он работает.

Что такое криптокошелек?

Сначала разберемся, что представляет собой обычный криптокошелек. Грубо говоря, это счет для хранения криптовалюты. Он состоит из пары криптографических ключей — открытого и закрытого. Очень грубо это похоже на связку логина и пароля: открытый ключ выступает в качестве адреса кошелька, а закрытый нужен для доступа к койнам, то есть для подписи исходящих транзакций.

Теперь давайте разберемся, как в криптосистемах генерируются пары ключей, когда одному человеку принадлежит множество кошельков. Согласитесь, хранить несколько сгенерированных пар ключей по отдельности не очень удобно. Поэтому на самом деле системы криптовалют генерируют одно большое число — криптографическое зерно (seed), на основе которого неким предсказуемым образом можно получить нужное число пар открытых и закрытых ключей для нескольких кошельков.

Именно это число — криптографическое зерно — в действительности хранит у себя пользователь системы криптовалюты.

В отличие от традиционных финансовых систем, криптовалюты обычно не подконтрольны никаким централизованным органам, в них нет механизмов регистрации, возврата платежей и восстановления доступа к счету. Тот, у кого есть криптографическое зерно и производные ключи, и является владельцем криптокошельков, с которыми связаны эти ключи. Если зерно будет потеряно или украдено, жаловаться владельцу будет некуда, и ему придется распрощаться с койнами в своих кошельках.

Кстати, хотя формально кошельком считается связка открытого и закрытого ключей, в большинстве случаев любые средства хранения этих ключей также называются кошельками. Таким образом, аппаратный кошелек — это устройство, хранящее криптокошельки.

Зачем вообще нужны аппаратные криптокошельки?

Учитывая важность криптографического зерна, стоит позаботиться о том, чтобы оно было как можно лучше защищено. Есть множество способов хранения зерен, у каждого из которых свои преимущества и недостатки. Удобнее всего хранить зерна на компьютере или смартфоне, а еще удобнее — на специализированном сайте в Интернете. Однако у таких способов хранения есть масса проблем. Вредоносные программы, ворующие криптокошельки, — совсем не редкость. А веб-кошельки могут не только стать жертвой взлома, но и обанкротиться, утащив за собой на дно тонны койнов.

Прибавьте к этому массу других напастей, включая фишинг, подмену платежных реквизитов, утрату кошельков из-за аппаратных сбоев и многое другое. Для решения всех этих проблем и были придуманы аппаратные криптокошельки — отдельные устройства, на которых криптографические зерна хранятся надежно и безопасно.

Как работают аппаратные криптокошельки?

Основной принцип работы аппаратного криптокошелька заключается в том, что криптографическое зерно никогда не должно покидать устройство. Все криптографические операции производятся прямо внутри устройства, а не на компьютере, к которому он подключен, — наружу отправляются уже подписанные транзакции. Таким образом, даже если ваш компьютер будет скомпрометирован, злоумышленники не доберутся до ваших ключей.

Также не помешают дополнительные меры проверки доступа, например возможность запереть устройство PIN-кодом. И конечно, очень удобно, если можно проверить транзакцию прямо на устройстве, а затем подтвердить ее или отклонить.

Все эти требования привели разработчиков к оптимальному дизайну: обычно аппаратный криптокошелек выглядит как небольшой USB-брелок с дисплеем и несколькими кнопками для ввода PIN-кода и подтверждения транзакций.

Однако внутри они устроены по-разному. Два ведущих производителя аппаратных кошельков — Trezor и Ledger — используют два разных подхода к проектированию «железной» части брелоков.

Подход Ledger: хранение криптографического зерна в чипе Secure Element

Устройства Ledger, а именно модели Ledger Nano S и Ledger Blue, оснащены двумя главными чипами. Один из них — Secure Element, специальный микроконтроллер для хранения конфиденциальных криптографических данных. Такие чипы применяются в SIM-картах, банковских картах и смартфонах с поддержкой Samsung Pay и Apple Pay.

Второй чип представляет собой микроконтроллер общего назначения, решающий периферийные задачи: управление USB-подключением, дисплеем, кнопками и так далее. Он выступает в роли посредника между чипом Secure Element и внешним миром, в том числе самим пользователем. Например, каждое подтверждение транзакции пользователем проходит через микроконтроллер общего назначения, а не через чип Secure Element.

Но даже хранение криптографических зерен в защищенном чипе не сделало устройство Ledger полностью неуязвимым. Взломать чип Secure Element и украсть криптографическое зерно крайне сложно, но микроконтроллер общего назначения — другое дело. Если его скомпрометировать, можно сделать так, что кошелек будет подтверждать транзакции злоумышленников.

Исследователи изучили прошивку Ledger Nano S и выяснили, что кошелек можно перепрошить скомпрометированной версией, записав определенное значение в нужный адрес памяти. Разработчики Ledger защитили этот адрес от записи, внеся в черный список. Однако оказалось, что микроконтроллер допускает изменение адресации памяти — то есть заветной ячейке памяти можно назначить другой адрес, который в черный список не входит. Исследователи воспользовались этой аппаратной особенностью и загрузили в Nano S модифицированную прошивку. В демонстрационных целях эта модификация содержала игру «Змейка» — но вместо нее мог бы быть, например, вредоносный модуль, подменяющий адрес кошелька во всех исходящих транзакциях.

Другой способ компрометации аппаратного кошелька основан на аппаратных имплантах. Джош Датко смог подключить к Ledger Nano S недорогой имплант, который нажимает кнопку подтверждения при получении вредоносной команды по радио. Судя по всему, таким способом можно скомпрометировать любой аппаратный кошелек — исследователь выбрал в качестве жертвы своего эксперимента Ledger Nano S просто потому, что это самый компактный из криптокошельков, поэтому встроить имплант в него было сложнее всего.

Другое устройство того же производителя, Ledger Blue, оказалось уязвимым к атакам по сторонним каналам. Ledger Blue — это аппаратный кошелек с большим тачскрином и емкой батареей. Выяснилось, что из-за неудачного дизайна печатной платы она излучает вполне различимые радиосигналы, когда пользователь вводит PIN-код. Исследователи записали эти сигналы и натравили на них алгоритм машинного обучения, который научился распознавать их с точностью 90%.

Подход Trezor: хранение криптографического зерна во флеш-памяти микроконтроллера общего назначения

Кошельки Trezor устроены немного иначе. В них нет чипов Secure Element, и всеми процессами в устройстве управляет один-единственный чип — микроконтроллер общего назначения на базе архитектуры ARM. Этот чип отвечает как за хранение и обработку криптографических данных, так и за управление USB-подключением, дисплеем, кнопками и всем остальным.

Теоретически такая конструкция должна упростить взлом прошивки устройства для доступа к криптографическому зерну, спрятанному во флеш-памяти микроконтроллера. Но, как убедились эксперты, инженеры Trezor хорошо поработали над безопасностью прошивки, поэтому им пришлось направить свои усилия на взлом аппаратной части — и они в этом преуспели.

Исследователи использовали методику под названием voltage glitching — она заключается в том, что на микроконтроллер подается пониженное напряжение, чтобы спровоцировать сбои в его работе. С помощью этого метода они переключили состояние чипа Trezor One с «доступ отсутствует» на «частичный доступ». После этого они смогли считывать оперативную память чипа, но содержимое флеш-накопителя оставалось недоступным для чтения.

Однако исследователи выяснили, что после начала обновления прошивки чип помещает криптографическое зерно в оперативную память, чтобы оно сохранилось во время перезаписи флеш-памяти. Все, что им оставалось, это начать процесс обновления прошивки и извлечь содержимое всей памяти. После этого найти криптографическое зерно оказалось несложно — оно хранилось в оперативной памяти в виде незашифрованной мнемонической фразы (то есть набора обычных слов вместо случайного числа), которую легко обнаружить.

Дамп памяти содержит криптографическое зерно в виде мнемонической фразы, а также PIN-код (в данном случае 1234), записанные открытым текстом

Заключение

Нужно понимать, что большинство описанных методик взлома, которые нашли Томас Рот, Джош Датко и Дмитрий Недоспасов, сложны и подразумевают физический доступ к устройству. Так что не спешите выбрасывать свой кошелек Ledger или Trezor. Если злоумышленникам не удастся наложить на него руки, ваши биткойны никак не пострадают (разве что обесценятся).

С другой стороны, стоить помнить о существовании атак через цепочку поставок. Аппаратные кошельки сравнительно несложно модифицировать и скомпрометировать партию перед продажей. Разумеется, это можно сделать и с обычными ноутбуками или смартфонами. Но в этом случае киберпреступники не могут гарантировать, что будущий хозяин ноутбука станет хранить на нем криптовалюту. А вот насчет аппаратного кошелька можно быть уверенным — рано или поздно он будет использован для хранения криптовалюты.

Производители аппаратных кошельков ищут пути решения этой проблемы — например, наносят защитные стикеры на упаковку устройств и создают страницы на своих сайтах, где пользователи могут проверить безопасность своих кошельков. Но подобные меры не очень-то работают и могут сбивать владельцев кошельков с толку.

Впрочем, в отличие от некоторых других аппаратных кошельков, устройства Ledger и Trezor действительно проектируются с акцентом на безопасности. Просто не заблуждайтесь, думая, что их никак нельзя взломать. Лучше предпринять дополнительные меры по защите своего криптосостояния:

  • Покупайте аппаратные криптокошельки только у зарекомендовавших себя поставщиков.
  • При покупке внимательно проверьте упаковку и устройство на наличие следов вмешательства.
  • Для полной уверенности стоит вскрыть устройство и убедиться в том, что на плате нет никаких посторонних элементов.
  • Храните свой криптокошелек в надежном месте и проследите, чтобы он не оказался в руках людей, которым вы не доверяете.
  • Используйте на своем компьютере для работы с криптовалютой надежное защитное решение — многие описанные методы взлома полагаются на установку вредоносных программ именно на компьютер, к которому подключен аппаратный кошелек.

Дополнительные рекомендации в отношении кошельков Trezor:

  • Trezor является открытой платформой — как программной, так и аппаратной. Если умеете держать в руках паяльник, можете создать собственный аппаратный кошелек на основе продающихся в магазине компонентов. Так вы будете полностью уверены, что никто не модифицировал аппаратную часть вашего кошелька.
  • Устройства Trezor предлагают дополнительную защиту на основе парольной фразы, исключающей извлечение криптозерна (в этом режиме защиты хранящееся зерно не будет полным без парольной фразы). Подумайте о том, чтобы использовать этот режим.

Полную версию выступления исследователей вы можете посмотреть по приведенной ниже ссылке. Это весьма интересное и познавательное видео для владельцев аппаратных кошельков.

Категории: Новости вендоров

Смарт-контракты платформы Waves доступны в облаке Microsoft Azure

Microsoft - вт, 29/01/2019 - 14:46

Интеграция с облачной платформой Microsoft Azure и специальное расширение для Visual Studio Code упростят разработчикам процесс создания и работы со смарт-контрактами. Глобальная блокчейн-платформа с открытым кодом Waves выпустила обновление, которое включает два вида собственных смарт-контрактов: смарт-аккаунты и смарт-активы. Waves размещена в облаке Microsoft Azure и новая функциональность уже доступна разработчикам на площадке Azure Marketplace. Два […многоточие]

The post Смарт-контракты платформы Waves доступны в облаке Microsoft Azure appeared first on Новости.

Категории: Новости вендоров

Resident Evil 2 доступна на Xbox One

Microsoft - пн, 28/01/2019 - 23:58

В 1998 году смертельный вирус поразил жителей Раккун-Сити, навсегда изменив ход истории. Спустя 20 лет после мировой премьеры Resident Evil 2 возвращается в виде полноценного ремейка для Xbox One и Xbox One X. Современная версия знаменитого хита предложит свежий взгляд на классический триллер, а захватывающая история вновь познакомит с Леоном С. Кеннеди, молодым полицейским, которому […многоточие]

The post Resident Evil 2 доступна на Xbox One appeared first on Новости.

Категории: Новости вендоров

Бесшумный звук: голосовые помощники слышат то, чего не слышим мы

Все идет к тому, что наше общение с техникой вскоре станет почти исключительно устным. Просить о чем-то вслух и слышать ответ естественно для человека: посмотрите, как непринужденно управляются с голосовыми помощниками дети.

Впрочем, с новыми технологиями — и голосовое управление здесь не исключение — появляются и новые угрозы. Исследователи вопросов кибербезопасности без устали ищут их, чтобы производители устройств успели обезопасить свои детища до того, как потенциальные угрозы превратятся во вполне реальные атаки. Сегодня мы расскажем о паре находок, которым пока едва ли удастся найти практическое применение, но защиту от которых стоит продумывать уже сейчас.

Умные устройства слушают и слушаются

В мире сейчас используется более миллиарда устройств с голосовым управлением, говорится в отчете профильного сайта voicebot.ai. Большинство из них — смартфоны, но и другие устройства, понимающие речь, набирают популярность. У каждого пятого американца, например, уже есть дома умная колонка, отзывающаяся на устную речь.

С помощью голосовых команд можно управлять воспроизведением музыки, заказывать товары в Интернете, давать указания автомобильному навигатору, узнавать погоду и новости, ставить будильник и так далее. Производители поймали тренд и встраивают поддержку голосового управления в самые разные устройства. Компания Amazon, к примеру, выпустила микроволновку, работающую в паре с умной колонкой Echo. Ей достаточно сказать: «Подогрей чашку кофе», и микроволновка, рассчитав требуемое время, запустит разогрев. Правда, подойти к печи вам все равно придется — чтобы поставить в нее саму чашку. Так что можно заодно и кнопку нажать.

А еще системы умного дома позволяют вслух управлять освещением комнат и кондиционированием воздуха, открывать и закрывать замки на входных дверях. В общем, голосовые помощники уже умеют многое, и не хотелось бы, чтобы их умениями воспользовались посторонние, особенно во вред вам.

Своеобразную массовую атаку на умные колонки Amazon Echo в 2017 году провели персонажи знаменитого мультсериала «Южный парк». Жертвой их хулиганской выходки стала голосовая помощница Alexa, «живущая» в колонках Echo. Герои мультфильма просили ее добавить в список покупок несуразные, мягко говоря, товары и установить будильник на семь часов утра. Несмотря на особенности произношения нарисованных героев, колонки зрителей, смотревших этот эпизод «Южного парка», добросовестно выполняли команды из телевизора.

Ультразвук: машины слышат, человек — нет

Мы уже писали о некоторых опасностях, которые таят в себе гаджеты с голосовым управлением. Сегодня же мы остановимся на «тихих» атаках, заставляющих такие устройства подчиняться голосам, которые вы даже не услышите.

Один из способов осуществить такую атаку — использовать ультразвук, то есть очень высокий звук, недоступный человеческому уху. В опубликованной в 2017 году статье исследователи из Чжэцзянского университета представили метод скрытого управления голосовыми помощниками под названием Dolphin attack («Атака дельфина» — такое имя ученые дали своей разработке, поскольку дельфины умеют издавать ультразвук). Исследователи преобразовывали голосовые команды в ультразвуковые волны; полученные высокие частоты человек уже не может различить, но микрофоны современных устройств их улавливают.

Изюминка метода в том, что при преобразовании звука в электрический импульс в принимающем устройстве (например, смартфоне) восстанавливается исходный сигнал, содержащий голосовую команду. Механизм здесь тот же, что и при искажении голоса во время его записи — то есть это не специально разработанная функция устройства, а особенность самого процесса преобразования.

В результате атакуемый гаджет слышит и исполняет голосовую команду, что открывает широкие возможности для злоупотреблений. Исследователям удалось успешно воспроизвести атаку на основных голосовых помощниках крупных производителей, в том числе Amazon Alexa, Apple Siri, Google Now, Samsung S Voice и Microsoft Cortana.

Хор динамиков

Одно из слабых мест «Атаки дельфина» (с точки зрения злоумышленника) заключается в малом радиусе ее действия — звук должен раздаваться в метре от атакуемого устройства или ближе. Увеличить дистанцию удалось исследователям из Иллинойсского университета в Урбане-Шампейне. Они поделили преобразованную в ультразвук команду на несколько диапазонов частот, которые проигрывали разные динамики — всего в эксперименте их было больше 60 штук. Скрытые голосовые команды в исполнении этого «хора» устройства разбирали с расстояния до семи метров, несмотря на фоновые шумы. В таких условиях «атака дельфина» имеет много больше шансов на успех.

В этом звуке что-то есть, не голосовая команда ли это?

Другой принцип использовали специалисты Калифорнийского университета в Беркли. Им удалось незаметно «встроить» голосовые команды в другие аудиофрагменты и «обмануть» систему распознавания речи Mozilla Deep Speech. Модифицированная запись для человеческого уха почти не отличается от исходной, но программа слышит в ней именно спрятанную команду!

Прослушать записи можно на сайте исследователей. В первом примере во фразу «Без данных эта статья бесполезна» (Without the dataset the article is useless) «спрятали» команду перейти на сайт «злоумышленников»: «Окей, Гугл. Открой evil.com» (Okay Google, browse to evil.com). Во втором — в отрывок сюиты для виолончели Баха ученые добавили фразу «Речь может быть встроена в музыку» («Speech can be embedded in music»).

Защита от неслышных атак

Производители уже обдумывают меры защиты устройств с голосовым управлением. Например, от ультразвуковых атак может помочь выявление в принимаемом сигнале следов обработки с целью изменения его частоты. Неплохо было бы и научить все умные устройства узнавать хозяина по голосу — правда, компания Google, уже опробовавшая эти меры на деле на своем ассистенте, честно предупреждает, что эту защиту можно обойти с помощью записи голоса, а при должном владении актерским мастерством тембр и манеру речи человека можно подделать.

Впрочем, у исследователей и производителей еще есть время на поиск решений: как мы уже говорили, пока управлять голосовыми помощниками втихую можно только в лабораторных условиях: подойти к чужой умной колонке с ультразвуковым динамиком (а тем более сразу с 60 динамиками) сложно, а встраивание команд в другие аудиозаписи требует времени и усилий, которые едва ли окупятся.

Категории: Новости вендоров

Совет №19: попробуйте умную клавиатуру SwiftKey

Microsoft - пн, 28/01/2019 - 01:52

Клавиатура Swiftkey, доступная как на Android, так и на iOS, анализирует ваш стиль письма, включая наиболее часто используемые фразы, слова, смайлы, делает подсказки, исправляет ошибки и опечатки. Недавно клавиатура получила обновление. С 2018 года SwiftKey поддерживает сенсорную клавиатуру на Windows и ускоряет набор текста на английском, французском, немецком, итальянском, испанском, португальском и русском языках. Клавиатура […многоточие]

The post Совет №19: попробуйте умную клавиатуру SwiftKey appeared first on Новости.

Категории: Новости вендоров

Профессиональное выгорание в центре мониторинга ИБ

Синдром профессионального выгорания — проблема не новая. Люди устают, пресыщаются однообразием задач, думают о чем-то своем. Как результат — становятся менее собранными, внимательными. Для любой сферы деятельности это крайне неприятно и влечет за собой падение производительности. Но в кибербезопасности — и вовсе чревато катастрофой. Особенно когда речь идет о сотрудниках центров мониторинга информационной безопасности (SOC).

Есть два варианта организации центра мониторинга информационной безопасности: можно создать его у себя или подключить профессионалов из стороннего центра. У нас есть достаточно уникальный опыт в этой сфере: у нас есть и собственный SOC, и центр, предоставляющий услуги клиентам. Более того, наши специалисты оказывают услуги также сторонним SOC и видят, как организована работа там. Поэтому у нас есть свои рецепты того, как можно сберечь профессионализм сотрудников. Так что мы решили поделиться своим опытом и соображениями по вопросу выгорания.

Начнем с неприятного: сама по себе работа «угрозного аналитика» в SOC — прямая дорога к профессиональному выгоранию. При этом чем лучше в компании дело обстоит с безопасностью, тем короче эта дорога. По сути, специалист день за днем ищет аномалии в поступающих данных. Если эти аномалии обнаруживаются, то вот тут не заскучаешь — нужно расследовать инцидент, собирать дополнительные данные, оценивать риски и ущерб. Но, прямо скажем, в компании, где стоят современные решения, защищающие серверы, рабочие станции и информационную инфраструктуру, в целом киберинциденты случаются не так часто.

Так что эксперт сидит и смотрит в потоки данных. Очень похоже на поиски черной кошки в темной комнате. Правда, в нашем случае мы исходим из гипотезы, что она всегда есть, но на практике от этого не легче. Тут сразу нужно отметить, что наш центр мониторинга кибербезопасности для специалиста предпочтительнее, чем внутренний центр какой-нибудь компании. Именно за счет того, что у нас много клиентов. У кого-то что-то да произойдет, и это разбавит повседневную рутину.

Что произойдет с «выгорающим» сотрудником? Он станет вялым, на работе будет часто отвлекаться, и в целом у него будет расти недовольство собой и окружающими. Если при этом он человек ответственный (а в SOC другие попадают редко), то его начнет тяготить осознание того, что он подводит коллег. Поняв, что происходит что-то не то, он полезет в Интернет читать, что рекомендуют психологи разной степени доморощенности. А их советы достаточно шаблонны: «Признайте, что вы занимаетесь не своим делом, вспомните, что вам нравилось в детстве, смените сферу деятельности, не бойтесь перемен». Я не знаю, может быть, человеку эти советы действительно помогут. А центру мониторинга явно пойдут во вред.

Методы решения проблемы

С точки зрения компании, основное следствие выгорания сотрудников — падение эффективности работы всей команды. Методов решения этой проблемы много. Не все из них гуманны и не все из них применимы на практике.

Вы не справляетесь, до свидания

Некоторые компании считают, что выгорание — это личная проблема каждого человека. Они же обеспечивают своих сотрудников отпусками и медстраховками, все по закону. Пусть отдыхают и возвращаются к работе. Эффективность упала? Очень жаль, вы нам больше не подходите.

Может быть, в каких-то сферах деятельности такой подход и оправдан, не берусь судить. Но в центре мониторинга кибербезопасности он неприменим. Хорошего аналитика SOC еще надо найти (а это ох как непросто), обучить, а потом пройдет еще немало времени, прежде чем эффективность работы новичка сравняется с давно работающими сотрудниками. Иногда мы берем человека без опыта такой работы, но с достаточной интуицией и хваткой, чтобы воспитать из него классного эксперта. И отказываться от него из-за того, что он «выгорает», мы не будем, особенно после того, как мы потратили столько сил, времени и ресурсов на его воспитание.

Переход на другую должность

ИБ — это ведь далеко не только SOC. Даже в компании, которая не работает в сфере информационной безопасности, есть позиции, на которых пригодятся опытные аналитики. Отделы оперативного реагирования, например. Так что, по сути, предложение перехода на другую должность — метод верный. И человека для компании сберегает, и мозг человеку.

Но мы сейчас говорим с точки зрения эффективности SOC. Не столь важно, куда ушел сотрудник — в соседний отдел или прочь из компании. В центре мониторинга все равно минус 1 сотрудник. У нас, правда, своя специфика — у нас и без всякого выгорания периодически переманивают сотрудников в другие отделы. Именно за счет того, что он набрался практического опыта, знает, как происходит атака, понимает, как ей противодействовать.

Автоматизация рутинных операций

Постоянное совершенствование инструментов обнаружения и расследования инцидентов неизбежно приводит к трансформации задач последнего, и вчерашний аналитик первой линии SOC превращается уже в контролера качества работы автоаналитика, который, кстати, не устает, не выгорает и всегда любит свою работу. Эти новые контрольные функции аналитика поначалу уже не являются рутиной и поднимают аналитика SOC на новый уровень развития, заставляя его выходить из зоны комфорта, что неизбежно стимулирует новый интерес к конкретным решаемым задачам и своей работе вообще. Последнее время много сказано про машинное обучение, поэтому написать что-либо удивительное здесь сложно. Отмечу лишь, что ML-помощники неплохо решают некоторые узкие задачи с понятными критериями качества, что, конечно же, не приводит к необходимости отказаться полностью от сотрудников первой линии, но позволяет обслуживать новые объемы более эффективно, а человеку — отвести функцию обучения, контроля и развития этих роботов. Если для кого-то машинное обучение — это хайп, то для нас это уже неотъемлемая часть повседневной работы.

Ротация внутри SOC

Но нельзя всех людей заменить роботами, поэтому наш метод — это организация ротации внутри SOC. Ведь и кроме анализа потоков данных с конечных точек там есть еще чем заняться. Во-первых, систематизацией накопленных данных об угрозах. По сути, практические знания, полученные аналитиком из инцидентов, могут и должны быть использованы для предотвращения их повтора. А отсюда вытекает и еще одна задача — совершенствование инструментов SOC. У нас, например, внутри SOC есть группа исследований, есть люди, которые занимаются поддержкой инфраструктуры, есть специалисты, которые занимаются разработкой. Казалось бы, не совсем взаимозаменяемые должности, однако вся разработка у нас направлена на автоматизацию операционной деятельности, поэтому практический опыт аналитика здесь крайне необходим. Так что, периодически меняя задачи сотрудников, мы сводим проблему выгорания к минимуму, одновременно совершенствуя методы SOC и помогая коллегам. Руководству же это позволяет понять, какое направление сотруднику действительно интересно, а интерес — залог его высокой эффективности, а следовательно, эффективности всей команды.

Разумеется, это метод не универсальный. Если в вашем SOC работают всего 2-3 сотрудника, то ротацию там организовать сложно. Это, кстати, еще один повод задуматься о том, что анализом данных мониторинга могут заниматься и сторонние специалисты. Однако мы бы все-таки рекомендовали подумать над тем, как сделать их задачи более разнообразными. Может оказаться и так, что они смогут решать какие-то другие ваши проблемы, одновременно «лечась» от выгорания.

Короче говоря, если уж вы решили воспитывать своих аналитиков для центра мониторинга кибербезопасности, то мы бы советовали беречь их. Как принято говорить в соцсетях, их сложно найти, легко потерять и невозможно забыть.

Категории: Новости вендоров

Главные анонсы Microsoft с конференции BETT

Microsoft - пт, 25/01/2019 - 12:53

Сегодня, в День студента, мы хотим поделиться рядом новых решений Microsoft, которые помогут преобразить учебный процесс и персонализировать обучение школьников и студентов. Они были анонсированы на крупнейшей образовательной выставке BETT, проходящей в эти дни в Лондоне, в ней принимают участие около 900 компаний и более 30 000 посетителей из мирового образовательного сообщества. Ключевые новости: Microsoft […многоточие]

The post Главные анонсы Microsoft с конференции BETT appeared first on Новости.

Категории: Новости вендоров

ИИ Microsoft оценил любовь к знаменитому британскому лакомству

Microsoft - пт, 25/01/2019 - 12:03

Microsoft совместно с цифровым агентством AnalogFolk разработали браузерное приложение TasteFace, которое с помощью технологий искусственного интеллекта оценивает любовь потребителей к легендарной британской пасте Marmite. Все что для этого нужно — загрузить видео с тем, как вы ее пробуете, и приложение определит в процентах, насколько она вам нравится или не нравится, проанализировав мимику лица. С тем, […многоточие]

The post ИИ Microsoft оценил любовь к знаменитому британскому лакомству appeared first on Новости.

Категории: Новости вендоров

Совет №18: как оживить текст с помощью значков

Microsoft - пт, 25/01/2019 - 00:02

Microsoft Office позволяет вставлять значки и SVG-файлы в документы, тексты в электронной почте и презентации. Функция вставки значков поможет разнообразить текст, сделать его эмоциональнее, подчеркнуть отдельные пункты. Также можно изменить цвет, размер и угол поворота символов без потери качества изображения. Расскажем, как это сделать: Во вкладке Вставка нажмите на кнопку Значки Выберите нужную категорию значка […многоточие]

The post Совет №18: как оживить текст с помощью значков appeared first on Новости.

Категории: Новости вендоров

Страницы