Новости вендоров

Office 365 для Mac доступен в Mac App Store

Microsoft - чт, 24/01/2019 - 23:56

Автор – Джаред Спарато, вице-президент, Microsoft 365 Office помогает всем и каждому достигать большего, работая на любом устройстве. И, конечно, Office создан для Mac. Мы стремимся воплотить мощь и простоту Office в практических инструментах, созданных специально для Mac, и продолжаем значительные инвестиции в эту платформу. Сегодня мы с радостью анонсируем доступность Office 365 в обновленном […многоточие]

The post Office 365 для Mac доступен в Mac App Store appeared first on Новости.

Категории: Новости вендоров

Razy, два, три — Биткойн, гори!

Если вы пользуетесь браузером, отличным от того, что по умолчанию предлагает операционная система, то, скорее всего, знаете о расширениях для него или даже пользуетесь парочкой. А если читаете нас постоянно, то в курсе, что некоторые из них опасны, и при их установке следует пользоваться исключительно официальными каталогами. Проблема в том, что вредоносное дополнение может быть установлено без ведома пользователя и даже без каких-либо действий (ну, почти) с его стороны.

Как троян Razy устанавливает вредоносные расширения

Ответственность за это может взять на себя троян Razy, который дооснащает собственными плагинами Google Chrome, Mozilla Firefox и «Яндекс.Браузер» (все для Windows). Если отбросить технические подробности (за ними можно зайти на securelist.ru), зловред отключает проверку устанавливаемых расширений, на всякий случай запрещает браузеру обновляться, а затем приступает к установке вредоносных аддонов: Firefox получает расширение Firefox Protection, а «Яндекс.Браузер» — Yandex Protect.

Если названия и способны ввести в заблуждения, то их внезапное появление может насторожить. И в этом плане сценарий для Google Chrome наиболее опасен: Razy может заражать системное расширение Chrome Media Router, которое не отображается в общем списке модулей браузера, и выявить его без защитного ПО можно лишь по косвенным признакам.

Что происходит после заражения

Все происходящее — классический пример атаки «человек в браузере»: вредоносные расширения начинают менять содержимое сайтов так, как этого желает их создатель. В случае с трояном Razy больше всего неприятностей ждет владельцев криптокошельков: расширение добавляет на страницы криптовалютных бирж баннеры с «выгодными» предложениями о покупке или продаже «крипты», купившись на которые, пользователь лишь пополнит карман мошенников.

Помимо этого, дополнение отслеживает, что пользователь ищет в Google или «Яндекс», и если поисковый запрос связан с криптовалютами, на страницу результатов поиска внедряются ссылки на фишинговые сайты.

Результат работы Razy: первые пять ссылок в поисковой выдаче добавлены вредоносным расширением и ведут на фишинговые ресурсы

Еще один способ «перераспределения» монет заключается в замене всех адресов (или QR-кодов) кошельков, которые присутствуют в открытой странице, на адреса кошельков злоумышленников.

Также пользователя зараженного браузера будут преследовать баннеры (например, во «Вконтакте») с разнообразными «щедрыми» предложениями вида «вложи чуть-чуть сейчас, заработай миллион потом», «заработай, пройдя опрос» и так далее. Вишенка на торте — отображение на страницах «Википедии» поддельного баннера с просьбой поддержать проект.

Как защититься от трояна Razy

Поскольку Razy распространяется под видом полезного софта с помощью партнерских программ и скачивается с различных бесплатных файловых хостингов, рекомендации по защите от этой заразы довольно стандартны:

  • Скачивайте приложения только с сайтов разработчиков и каталогов, которым доверяете.
  • Любая подозрительная активность на компьютере (например, появление незнакомых программ-оптимизаторов) может означать, что вы «приняли участие» в «партнерке», и служит поводом для немедленной проверки компьютера.
  • Не оставляйте без внимания внезапно появившиеся плагины для браузера.
  • Используйте надежный антивирус.
Категории: Новости вендоров

eSIM: как это работает

Как это часто бывает, та или иная технология тихо и незаметно существует много лет, пока ее не начинает применять Apple — тут-то все и начинают о ней говорить. Почти три года назад мы писали о первых умных часах с так называемой eSIM, но широкую известность эта технология приобретает только сейчас: iPhone XR, XS и XS Max поддерживают ее, позволяя добавить к обычной SIM-карте виртуальную. Как это работает и что дает? Давайте разберемся.

Эволюция SIM-карт

В первых мобильных телефонах никаких SIM-карт не было: их просто программировал оператор, и «учетная запись» для идентификации абонента в сети хранилась в памяти аппарата. SIM-карты появились в стандарте GSM в 1991 году, позволив абоненту без проблем использовать телефон в сети любого оператора, а свою учетную запись у оператора (то есть номер) — в любом телефоне, просто переставляя кусочек пластика с микросхемой.

Долгое время — пока к сети подключались только телефоны и модемы — всех все устраивало. С годами сим-карты разве что уменьшались в размере: на смену mini-SIM (той, которую мы запомнили как «обычную») пришла micro-SIM, а затем nano-SIM. Но это уже предел: nano-SIM представляет собой просто микросхему с контактными площадками, без единого миллиметра лишнего пластика.

Теперь же наступило время Интернета вещей — счетчиков, датчиков и разных умных аксессуаров вроде тех же смарт-часов: с их габаритами даже nano-SIM вместе со слотом для ее установки — непозволительная роскошь. Поэтому придумали eSIM — встроенную SIM-карту, которая на первый взгляд кажется возвратом к программируемым телефонам.

Однако на новом витке эволюции микросхема размерами примерно 5х6 мм (в несколько раз меньше nano-SIM) не только хранит данные о подписке, но и поддерживает их удаленную загрузку. То есть, с одной стороны, не придется вручную вставлять симки в десятки тысяч парковочных датчиков или модулей управления уличным освещением, с другой — можно не заказывать всю партию заново, если потребуется сменить оператора.

eSIM — мобильная связь станет еще мобильнее

Технология eSIM удобна не только для умных гаджетов — это еще и отличный способ удаленной продажи SIM-карт для телефонов. Оператору технология позволяет экономить деньги на изготовлении стартовых пакетов, аренде помещений под розничные магазины, оплате вознаграждения дилерам и так далее, а абоненту — экономить время и усилия на поход в салон связи.

В первую очередь это актуально для путешественников, не желающих тратить деньги в роуминге. Гораздо удобнее купить нужный тариф в интернет-магазине и сразу загрузить его в свой телефон, чем искать и выбирать его в незнакомой стране, особенно если не владеешь языком.

Почему переход на eSIM не будет быстрым

У технологии eSIM есть не только преимущества, но и недостатки — по крайней мере с точки зрения операторов.

Во-первых, она упрощает не только продажу услуг, но и переход клиентов к конкурентам. Сейчас в России этот процесс напоминает своеобразный квест: нужно прийти в офис лично с паспортом и заключить договор или написать заявление на смену оператора с сохранением номера. Во втором случае вам в течение нескольких дней — пока обрабатывается ваше заявление — придется довольствоваться временным номером. Если же вы не можете или не хотите сами идти в салон, придется оформить доверенность на того, кто пойдет за вас, что тоже не очень удобно.

Отдельные операторы предлагают заполнить заявку на подключение онлайн, однако в этом случае вам придется подождать, пока ее обработают и доставят вам симку. Такая же система действует у иностранных поставщиков услуг связи.

С eSIM же достаточно электронного заявления, а дальше все произойдет само собой, а главное — куда быстрее, чем в случае доставки SIM-карты на дом.

Во-вторых, в большинстве западных стран рынки «операторские»: смартфоны продаются в основном с контрактами — и работают с SIM-картой только своего оператора. Теперь же Apple ломает эту систему и изменяет всю «пищевую цепочку», передавая инициативу производителям устройств и побуждая операторов развивать интернет-продажи.

Когда даже в iPhone нет eSIM

Распространение eSIM тормозится не только операторами. В отдельных странах внедрение этой технологии противоречит законодательству. Так, в России закон требует, чтобы в абонентском договоре был указан идентификатор SIM-карты, который есть только у физических «симок».

Кроме того, операторы обязаны устанавливать личность абонента по паспорту, но эта проблема как раз решаема. Например, в каршеринге пользователи успешно регистрируются при помощи селфи с документом. Правда, такие селфи продаются в даркнете, как и другие украденные персональные данные. Но это и не единственный способ подтвердить личность в электронном виде: можно было бы наладить покупку виртуальных симок, скажем, через портал госуслуг. Впрочем, это все теория, а на практике подвижек в отечественном законодательстве в ближайшее время ожидать не стоит.

Жителям материкового Китая тоже пока не удастся попробовать eSIM. Согласно информации на сайте Apple, вместо iPhone со встроенной симкой в этой стране будут продаваться модели с двумя слотами для nano-SIM. Аналогичным образом две съемные симки можно будет использовать на новых устройствах в Гонконге и Макао. Там, правда, eSIM доступна все-таки будет, но только в смартфонах iPhone XS.

Какие операторы поддерживают eSIM?

Сейчас eSIM для iPhone обслуживается мобильными операторами в Австрии, Канаде, Венгрии, Индии, Хорватии, Чехии, Германии и Великобритании. На очереди Испания и США.

Еще можно приобрести «туристические» SIM-карты международных операторов Truphone и Gigsky. Для многих туристические симки — это, по сути, единственный способ попробовать eSIM в ближайшее время: ни МТС, ни «Билайн», ни «Мегафон», ни «Теле2» на момент публикации этого поста eSIM не поддерживали. В тех немногочисленных странах, где со встроенной SIM-картой умеют работать локальные операторы, их услуги доступны только местным жителям (и недоступны на «лоченых», то есть привязанных к конкретному оператору, iPhone).

Как подключиться к мобильной сети через eSIM?

Подключить виртуальную симку несложно. Абоненту нужно отсканировать QR-код, сгенерированный оператором, или ввести вручную следующие параметры: адрес сервера SM-DP+ (Subscription Manager Data Preparation, «подготовка данных менеджера подписок») и код активации. Получить их тоже можно у оператора.

Собственно на сервере SM-DP+ генерируются профили абонентов, а программа LPA (Local Profile Assistant, «локальный ассистент профиля») на устройстве запрашивает профиль и загружает его в eUICC (embedded Universal Integrated Circuit Card, «встроенную универсальную карту с чипом») — ту самую микросхему, в которой в зашифрованном виде этот профиль потом и хранится. Впоследствии eUICC также отвечает за авторизацию в сети.

В eUICC может храниться сразу несколько профилей SIM-карт: объем памяти серийных чипов составляет 512 Кбайт против 64 или 128 Кбайт в современных «симках». Между приобретенными виртуальными «симками» можно переключаться. В новых iPhone это делается в меню «Настройки» -> «Сотовая связь» -> «Тарифные планы».

Как видите, несмотря на английские аббревиатуры, ничего сложного в подключении eSIM нет. Так что владельцам новых iPhone рекомендуем попробовать. А если до вашей страны технология еще не дошла, вы можете приобрести виртуальную симку, когда соберетесь за границу.

Категории: Новости вендоров

Совет №17: как перетаскивать задачи в календаре

Microsoft - пн, 21/01/2019 - 15:22

Электронный список дел помогает экономить время и следить за выполнением важных задач. А всего за пару кликов их можно встроить в календарь, который напомнит о горящих дедлайнах. Для этого даже необязательно выходить из своей почты Outlook – управляйте задачами прямо во вкладке «Входящие». Вы можете перетащить электронное письмо в список задач, а затем в календарь. […многоточие]

The post Совет №17: как перетаскивать задачи в календаре appeared first on Новости.

Категории: Новости вендоров

Розыгрыш билетов в WhatsApp и Facebook: вирусный обман

Если вы получили от знакомого в WhatsApp сообщение о том, что Диснейленд разыгрывает бесплатные билеты, — не стоит срочно кликать по ссылке и пытаться их получить. Это обман. Рассказываем, как он работает.

Итак, пользователь получает от кого-то из своих знакомых сообщение, в котором говорится про розыгрыш билетов. Если перейти на сайт, то там можно прочитать что-нибудь про то, что Диснейленду исполнилось 110 лет, и в связи с этим 500 счастливчиков получат билеты в подарок. Дескать, почти 300 уже ушло, но еще 200 с лишним осталось.

При этом страница пестрит комментариями от других пользователей, которые рассыпаются в благодарностях щедрому Диснейленду и размещают фотографии выигранных билетов.

Условие для получения бесплатных билетов очень простое. Во-первых, надо пройти короткий опрос (бывали ли вы раньше в Диснейленде, есть ли вам 18, нравится ли вам Диснейленд и так далее, обычно около 5 простых вопросов). Во-вторых, надо поделиться этим сообщением с друзьями в WhatsApp — и для этого на странице есть специальная кнопка, которая значительно ускоряет процесс.

После этого предлагается смело нажимать на кнопку «Получить билеты». Вот только когда вы на нее нажмете, билетов вам почему-то не дадут. Вместо этого вас, скорее всего, перенаправят на какой-то другой сайт, который перенаправит вас на третий, оттуда на четвертый — и еще несколько раз.

В результате вы окажетесь, скажем, на сайте, который предлагает вам взять микрокредит. Ну или на каком-то другом сайте, на который вас отправит партнерская система по закупке трафика, при помощи которой мошенники и зарабатывают деньги на поддельном лендинге Диснейленда.

Данная схема сейчас встречается очень часто, новые поддельные странички появляются почти каждый день. Для рассылки сообщений используются WhatsApp или Facebook — получается, что пользователи распространяют их сами, когда кликают «поделиться» в надежде получить свой бесплатный билет.

В качестве компаний, от лица которых это делается, может выступать буквально кто угодно. Мы наблюдали распространение подобных сообщений от лица Disneyland, Legoland, Europa park, Air France, Singapore Airlines и большого количества других компаний. Разумеется, сами компании к подобным страницам никакого отношения не имеют — злоумышленники просто используют их имена для того, чтобы заманивать людей на сайт. При этом странички, созданные для разных компаний, выглядят абсолютно идентично, даже лица комментаторов и темы комментариев обычно одни и те же. Различаются только логотипы вверху страницы и еще некоторые мелочи.

Схема монетизации может варьироваться — это не обязательно переправка трафика на сайты, которые захотели его купить у недобросовестной «партнерки». Скажем, вас могут отправить на страницу, где предложат подписаться на какие-то сомнительные рассылки. Или на какой-нибудь зловредный сайт (про такую схему мы уже рассказывали). Или же, например, подпишут на какие-то платные услуги сотовых операторов — злоумышленники имеют процент с такой подписки. Некоторые СМИ сообщают о том, что после нажатия на кнопку «получить билеты» у пользователей пытаются украсть персональные данные, но нам не удалось воспроизвести данный сценарий.

Примерно так же устроена схема с розыгрышем купонов — об этом мы рассказывали в отдельном посте.

Тем не менее, даже если вам не грозит потеря денег, кража персональных данных или чего-то еще в таком духе, переходить по ссылкам из таких сообщений все равно не стоит.

И точно не стоит пересылать их друзьям или размещать у себя на страничке в Facebook: это в любом случае мошенники, и совершенно незачем помогать им зарабатывать деньги. Если получили от кого-то из друзей подобное сообщение по WhatsApp или увидели ссылку на несуществующий розыгрыш билетов в Facebook — напишите разместившему пост или приславшему сообщение, что он вводит людей в заблуждение.

Категории: Новости вендоров

Психология целевого фишинга

Как правило, говоря об уязвимостях, мы подразумеваем разного рода ошибки программирования или недостатки информационных систем, возникшие на этапе их проектирования. Однако есть целый ряд других уязвимостей, существующих непосредственно в голове у человека.

И мы сейчас говорим не о недостаточной осведомленности или халатном отношении к кибербезопасности — как справляться с этими проблемами, более-менее понятно. Просто мозг пользователя иногда срабатывает не так, как хотелось бы экспертам по информационной безопасности, а так, как его вынуждают специалисты по социальной инженерии.

По сути, социальная инженерия — это сплав социологии и психологии. Совокупность приемов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату. Благодаря этому злоумышленники, играя на эмоциях, чувствах, страхах и рефлексах людей, получают доступ к интересующей их информации. И именно на этой «науке», по большому счету, базируется большая часть современных целевых атак.

Среди чувств, к которым обычно взывают мошенники, можно выделить четыре основных:

  • Любопытство
  • Жалость
  • Страх
  • Жадность

Однако их сложно назвать уязвимостями — все-таки это естественные для человека чувства. Это скорее каналы воздействия, через которые манипуляторы пытаются влиять на жертву. В идеале — так, чтобы мозг сработал автоматически, не применяя критическое мышление. Для этого у злоумышленников припасено немало трюков. Разумеется, против каждого человека различные приемы работают с разной эффективностью. Но мы решили рассказать о нескольких самых распространенных и объяснить, как именно их используют.

Подчинение авторитету

Это одно из так называемых когнитивных искажений — систематических отклонений в поведении, восприятии и мышлении. Его суть заключается в склонности людей беспрекословно подчиняться человеку, обладающему опытом или определенной властью, игнорируя свои собственные суждения о целесообразности действия.

На практике это может выглядит как фишинговое письмо, написанное от имени вашего начальника. Разумеется, если в таком письме потребуют станцевать лезгинку на камеру и разослать это видео десяти друзьям, то получатель задумается. Но вот если прямой руководитель просит подчиненного ознакомиться с содержащимися в письме материалами для нового проекта, то скорее всего получатель автоматически откроет вложенный файл.

Дефицит времени

Один из наиболее частых приемов в психологии манипуляций — создание ощущения дефицита времени. Часто для того, чтобы принять взвешенное, рациональное решение, требуется изучить информацию подробнее. А на это нужно время. Именно его и пытаются лишить жертву мошенники.

Как правило, манипуляторы в таких случаях взывают к чувству страха («В ваш аккаунт пытались зайти, если вход был произведен не вами, немедленно перейдите по ссылке…») или к жажде легкой наживы («Скидка доступна только первым десяти кликнувшим, не упусти свой шанс…»). Тогда появляется высокая вероятность поддаться чувствам и принять эмоциональное, а не рациональное решение.

Письма, пестрящие словами «срочно» и «важно», как раз из этой категории. Ключевые моменты в них любят выделять красным цветом для пущего устрашения или для демонстрации фантастического везения, которое вот-вот можно упустить.

Автоматизмы

Автоматизмы в психологии — это действия, реализуемые без непосредственного участия сознания. Автоматизмы бывают первичные (врожденные, никогда не осознававшиеся) и вторичные (прошедшие через сознание и переставшие осознаваться). А еще автоматизмы делятся на моторные, речевые и интеллектуальные.

Злоумышленники пытаются использовать автоматизмы, присылая письма, реакция на которые могла автоматизироваться. Сообщения типа «не получилось доставить сообщение, нажмите для повторной доставки», безумные рассылки с большой кнопкой «отписаться», фальшивые уведомления о новых комментариях в соцсетях. Реакция на письма классифицируется как вторичные моторные и интеллектуальные автоматизмы.

Неожиданное откровение

Это еще один, достаточно часто встречающийся вид манипуляций. Суть его заключается в том, что информация, которая следует после некоего признания, воспринимается гораздо менее критически, чем если бы она была подана независимо.

На практике это может выглядеть, как письмо типа: «У нас случилась утечка паролей, проверьте, нет ли вас в списке потерпевших».

Что с этим делать?
  1. Возьмите за правило тщательно обдумывать письма от начальства. Зачем руководитель просит вас открыть запароленный архив и присылает ключ к нему в том же письме? Почему он просит вас перевести деньги новому партнеру, хотя у него есть доступ к платежному счету? Почему он ставит вам необычную задачу по почте, а не по телефону, как обычно? Если вы заметите какую-нибудь странность, то лучше лишний раз уточнить задание по другому каналу связи, чем слить мошенникам корпоративные данные или деньги.
  2. Не реагируйте сразу на письма, побуждающие к немедленным действиям. Здесь важно сохранять хладнокровие и спокойствие, даже если содержание письма вызвало у вас страх. Обязательно перепроверьте, от кого пришло это письмо, соответствует ли ссылка отображаемому адресу, легитимен ли домен, прежде чем переходить по ней. Если все равно сомневаетесь — лучше обратиться к специалистам.
  3. Если вы заметите за собой склонность к автоматической реакции на какие-то письма, попробуйте выполнить те же действия, только осознанно. Это может привести к «деавтоматизации», нужно лишь активировать свое сознание в нужный момент.
  4. Не забывать о ранее данных нами советах о том, как не попасться на удочку фишеров:
  5. Используйте защитные решения с надежными антифишинговыми технологиями. В таком случае большую часть писем от злоумышленников вы просто не увидите.
Категории: Новости вендоров

Мои учетные данные попали в Collection #1: что делать?

Совсем недавно Трой Хант (Troy Hunt), эксперт в области безопасности, сообщил в своем блоге, что в сети обнаружилась огромная база данных под названием Collection #1. В ней более 700 миллионов уникальных e-mail адресов и более 1,1 миллиарда не менее уникальных наборов логинов и паролей. Рассказываем, как проверить, попали ли в базу ваши данные, и что делать, если беда вас не миновала.

Утечки данных и дыры в системе безопасности — нередкое явление. Но иногда они бывают особенно крупными. Многие киберпреступники собирают слитую в сеть информацию, создавая собственную базу логинов и паролей. Причем некоторые хватаются чуть ли не за каждую утечку, чтобы пополнить свою коллекцию. Так и появляются такие гигантские коллекции, как предмет исследования Троя Ханта — Collection #1.

Эта база не сформирована в результате какого-то одного крупного инцидента, как было в случае с кражей аккаунтов пользователей Yahoo, — старательный коллекционер с 2008 года пополнял ее данными из 2000 разных утечек. Некоторые записи появились в Collection #1 совсем недавно.

Странно, что в базу не вошли логины и пароли таких известных утечек, как случай с LinkedIn в 2012 году и обе бреши Yahoo (мы уже писали и про первую брешь в Yahoo, и про вторую).

Как узнать, есть ли мои данные в Collection #1?

Поискать свои данные в Collection #1 можно на сайте haveibeenpwned.com. Чтобы узнать, в каких базах украденных данных (которые известны авторам сервиса, конечно) встречается ваш e-mail, просто введите его в соответствующее поле.

Если ваш адрес электронной почты попал в Collection #1, сайт сообщит вам об этом. Если нет — вам повезло, и вопрос можно считать закрытым. Но если удача изменила вам, то готовьтесь к приключениям.

Что делать, если мой аккаунт есть в базе данных Collection #1?

Итак, ваш e-mail попал в коллекцию украденных данных. К сожалению, haveibeenpwned.com не подскажет, какой именно аккаунт пострадал, ведь вы могли использовать этот почтовый ящик для регистрации на многих сайтах: на форуме криптовалют, в электронной библиотеке, в онлайн-сообществе любителей котиков — да где угодно. У вас есть два варианта действий, и выбор зависит от того, использовали вы один и тот же пароль для нескольких сервисов или нет.

Первый вариант: вы используете один и тот же пароль в нескольких аккаунтах, привязанных к одному почтовому ящику. В этом случае придется попотеть — вам нужно будет сменить пароли везде, где использован этот злосчастный e-mail. Да, на каждом сайте. Не забудьте, что пароли должны быть длинными и уникальными. Понятное дело, если вы привыкли использовали один и тот же пароль на всех сайтах, запомнить кучу новых комбинаций будет трудновато. В этом случае может пригодиться менеджер паролей.

Второй вариант: вы используете уникальные пароли во всех аккаунтах, привязанных к одному почтовому ящику. Спешим вас обрадовать: это сильно упрощает задачу. Конечно, можно поступить как в первом случае — взять и сменить все пароли подряд. Но реальной необходимости в этом нет. Сначала стоит проверить пароли с помощью Pwned Passwords, еще одной полезной функции haveibeenpwned.

Достаточно ввести в поле пароль к одному из ваших аккаунтов, чтобы узнать, хранится ли он в базе данных сервиса — в виде простого текста или хэша. Если haveibeenpwned скажет, что ваш пароль был затронут при утечке данных хотя бы один раз, лучше его сменить. Если нет, то все в порядке и можно приступать к проверке следующего пароля.

Если вы не хотите слепо довериться haveibeenpwned и выдать сайту свои конфиденциальные данные, то вместо пароля вы можете ввести в поисковую строку его хэш SHA-1. Сервис покажет те же результаты. В Интернете есть куча ресурсов, которым можно скормить любую информацию и получить ее хэш SHA-1 (можете не гуглить, вот они). Попробуйте этот способ, если не доверяете haveibeenpwned, — одним поводом для паранойи меньше.

Пара советов о том, как максимально обезопасить себя и не стать жертвой очередной утечки

В последние несколько лет случилась уйма утечек, и нет никаких оснований полагать, что их станет меньше — скорее, наоборот. Аналоги Collection #1 будут периодически появляться в свободном доступе, и кибержулики будут все так же рады заграбастать чужие пароли и логины. Соблюдайте несколько простых предосторожностей, чтобы ваши данные не попали в недобрые руки:

  • Используйте длинные и уникальные пароли для каждого аккаунта. Если какой-то сервис, которым вы пользуетесь, «протечет», вам придется сменить всего один пароль — остальные ваши аккаунты не пострадают.
  • Включайте двухфакторную аутентификацию везде, где только можно. Так хакеры не смогут войти в ваш аккаунт, даже имея на руках ваш логин и пароль.
  • Пользуйтесь защитными решениями, которые могут предупредить вас об утечках. Такая функция есть, например, в Kaspersky Security Cloud.
  • Обзаведитесь менеджером паролей, где можно создавать и хранить надежные и уникальные комбинации, чтобы не запоминать их. В некоторых менеджерах также есть функция быстрой смены пароля. Kaspersky Password Manager, например, эффективно справляется со всеми перечисленными задачами.
Категории: Новости вендоров

Совет №16: как решить уравнение с помощью OneNote

Microsoft - пт, 18/01/2019 - 16:42

Нужно срочно решить математическое уравнение, а голова не хочет включаться после зимних каникул? Помочь ребенку подготовиться к школе и объяснить базовые алгебраические принципы? OneNote на Windows 10 — цифровой помощник, который даст пошаговые инструкции по решению математических задач. Как это работает? Шаг 1. Напишите пером или наберите на клавиатуре уравнение, которое нужно решить. Примечание: OneNote […многоточие]

The post Совет №16: как решить уравнение с помощью OneNote appeared first on Новости.

Категории: Новости вендоров

Microsoft и Kroger представили облачную платформу для магазинов будущего

Microsoft - чт, 17/01/2019 - 18:49

Microsoft и крупнейший американский ретейлер Kroger объявили о запуске новой облачной платформы для создания цифровых магазинов будущего. В основу разработки легли продукты Kroger Technology на базе облака Microsoft Azure. Пилотное тестирование уже проводится в двух магазинах сети, в дальнейшем компании планируют предлагать ее другим ритейлерам по модели ритейл-как-сервис (RaaS). С тем как она работает, можно […многоточие]

The post Microsoft и Kroger представили облачную платформу для магазинов будущего appeared first on Новости.

Категории: Новости вендоров

Новые возможности Microsoft Teams для сотрудников без компьютеров

Microsoft - ср, 16/01/2019 - 19:35

Автор: Эмма Вильямс, корпоративный вице-президент, Modern Workplace Verticals Представляем вам три новых компонента Microsoft Teams, которые помогут сотрудникам без компьютеров работать с максимальной отдачей. Работники без компьютеров — это армия численностью свыше двух миллиардов человек, которые заняты в сфере услуг или выполняют задачи, ориентированные на конкретный результат, в розничной торговле, массовом производстве, гостиничном и туристическом […многоточие]

The post Новые возможности Microsoft Teams для сотрудников без компьютеров appeared first on Новости.

Категории: Новости вендоров

Middle-earth: Shadow of Mordor, We Happy Few и другие игры пополнят каталог Xbox Game Pass до конца января

Microsoft - ср, 16/01/2019 - 19:19

Команда Xbox поделилась списком игр, которые присоединятся к постоянно растущему каталогу Xbox Game Pass в ближайшее время. С 17 по 24 января все подписчики сервиса получат доступ к следующим проектам: We Happy Few (17 января) — «Лучше на Xbox One X» Необычный экшен от первого лица с элементами выживания, события которого разворачиваются в Великобритании шестидесятых […многоточие]

The post Middle-earth: Shadow of Mordor, We Happy Few и другие игры пополнят каталог Xbox Game Pass до конца января appeared first on Новости.

Категории: Новости вендоров

После нас хоть потоп: киберместь бывших сотрудников

Расставание с сотрудниками — обычное явление в жизни бизнеса. Однако в некоторых случаях оно может оказаться болезненным. Помимо испорченных нервов менеджеров недовольство бывших сотрудников несет для организации репутационные и финансовые риски — вам могут попытаться отомстить.

Рассказываем, к чему может привести обида бывшего сотрудника и как защитить себя от кибермести.

Пароль за 200 тыс. долларов

Руководство онлайн-школы American College of Education («Американский образовательный колледж») не смогло найти общий язык с системным администратором Триано Уильямсом (Triano Williams), работавшим на компанию удаленно.

В 2016 году сотрудник обратился к начальству с жалобой на расовую дискриминацию в организации. Через некоторое время ему предложили переехать в Индианаполис, чтобы работать в офисе. Уильямс отказался, поскольку удаленная работа была для него одним из ключевых условий. В результате его уволили. Несмотря на то что он получил выходное пособие, IT-специалист затаил обиду: он решил, что вся история с переездом была затеяна из-за его обращения. Чтобы отомстить школе, он сменил пароль от ее Google-аккаунта, лишив бывших коллег доступа к электронной почте и учебным материалам более 2 тыс. студентов.

Уильямс утверждал, что пароль сохранился автоматически на служебном ноутбуке, который он вернул вскоре после увольнения. Однако, по словам представителей колледжа, бывший администратор предварительно очистил жесткий диск устройства.

Руководство American College of Education обратилось в Google с просьбой восстановить доступ к аккаунту, но оказалось, что профиль зарегистрирован на личный, а не корпоративный электронный адрес уволенного администратора. Адвокат бывшего сотрудника намекал, что его клиент постарается вспомнить утерянный секретный ключ, если получит от компании 200 тыс. долларов и положительные рекомендации.

Показательная атака на клиента

Ричард Нил (Richard Neale), один из создателей и бывший IT-директор компании Esselar, занимающейся информационной безопасностью, ушел из нее в результате конфликта и почти полгода вынашивал план мести.

Чтобы дискредитировать бывших коллег, он дождался дня, когда представители Esselar проводили демонстрацию своих услуг для заказчика — страховой компании Aviva. Пока все были увлечены презентацией, Нил взломал около 900 мобильных телефонов сотрудников Aviva и удалил с устройств всю информацию.

После инцидента Aviva разорвала отношения с Esselar и потребовала компенсацию в размере 70 тыс. фунтов стерлингов. Общие репутационные потери и потенциальные убытки бывшие партнеры Нила оценили в 500 тыс. фунтов стерлингов. По словам представителей организации, его действия нанесли такой ущерб, что в Esselar задумывались о ребрендинге.

Уничтожение данных

Опасным кибермстителем может стать и сотрудник, только заподозривший, что вы собираетесь его уволить. Помощница директора архитектурного бюро Мэри Лупе Кули (Marie Lupe Cooley) увидела в газете объявление о поиске работника на свою позицию, где в качестве контактной информации был указан телефон ее начальника.

Заподозрив, что ее собираются уволить, Кули удалила архив с проектами компании за последние семь лет. Организация оценила ущерб от ее действий в 2,5 млн долларов. При том что нового сотрудника, как выяснилось, искали в компанию, принадлежащую супруге пострадавшего директора.

Как не стать жертвой кибермести

Чтобы бывшие сотрудники не могли навредить вашей IT-инфраструктуре, следите за их IT-правами с первого рабочего дня. Вот несколько правил для тех, кто хочет обезопасить свою компанию.

  • Ведите реестр прав сотрудников в IT-среде, а также аккаунтов и ресурсов, к которым у них есть доступ. Дополнительные права выдавайте, только если вы уверены, что работнику они действительно необходимы. И незамедлительно вносите информацию о них в реестр.
  • Время от времени проверяйте, анализируйте и пересматривайте списки прав. Не забывайте отзывать неактуальные разрешения.
  • Регистрируйте корпоративные ресурсы только на корпоративные адреса. Какими бы выгодными ни были условия оформления аккаунта на физическое лицо и каким бы надежным ни казался работник, помните: ваши с ним отношения — это лишь эпизод деловой жизни и он рано или поздно закончится. Доменные имена, аккаунты в соцсетях, панель управления сайтами — это активы организации, и раздавать их персоналу недальновидно.
  • Все права доступа и аккаунты бывшего работника блокируйте как можно раньше, в идеале — как только вы объявите ему об увольнении.
  • Не обсуждайте возможные сокращения и реорганизации штата в общедоступных местах, а размещая объявление о поиске нового работника на редкую должность, помните, что его могут увидеть не только соискатели.
  • Старайтесь всегда поддерживать хорошие человеческие отношения с сотрудниками и доброжелательную атмосферу в компании. Зачастую людьми, совершающими громкие кибератаки на бывшего работодателя, движет не жадность, а задетые чувства.
Категории: Новости вендоров

Трекер эффективности MyAnalytics теперь доступен большему числу клиентов

Microsoft - вт, 15/01/2019 - 19:22

MyAnalytics — это ваш обозреватель эффективности, и теперь он доступен всем пользователям наборов Office 365 и Microsoft 365 класса «Корпоративный» и «Бизнес» с Exchange Online. Раньше доступ к службе MyAnalytics могли получить только обладатели плана подписки «корпоративный E5». Клиентам с планами E1 и E3 она предоставлялась в качестве надстройки. MyAnalytics использует персональную панель мониторинга, надстройку […многоточие]

The post Трекер эффективности MyAnalytics теперь доступен большему числу клиентов appeared first on Новости.

Категории: Новости вендоров

2019 год — самое время перейти на современную операционную систему

Microsoft - вт, 15/01/2019 - 18:26

Автор – Брэд Андерсон, вице-президент, Microsoft 365 Встречая 2019 год, все мы ставили перед собой личные цели, но у большинства из нас есть и профессиональные задачи на этот год. Если вы работаете в сфере ИТ, сейчас пора подумать о том, как вы организуете для своего бизнеса современные рабочие места, расширяющие ваши возможности в облачном мире. […многоточие]

The post 2019 год — самое время перейти на современную операционную систему appeared first on Новости.

Категории: Новости вендоров

Новые предложения с расширенными функциями по обеспечению безопасности и соответствия требованиям для Microsoft 365

Microsoft - пн, 14/01/2019 - 19:08

Автор: Рон Маркезич, корпоративный вице-президент, Microsoft 365 Создавая Microsoft 365 — решение, объединившее в себе Office 365, Windows 10 и Enterprise Mobility + Security (EMS), мы преследовали две цели: 1) предоставить клиентам удобные инструменты для увлеченной, творческой работы и взаимодействия; 2) обеспечить наиболее безопасную и легкую в управлении платформу для современной рабочей среды. Результат превзошел […многоточие]

The post Новые предложения с расширенными функциями по обеспечению безопасности и соответствия требованиям для Microsoft 365 appeared first on Новости.

Категории: Новости вендоров

Маленькая секс-игрушка с большими проблемами

Вернер Шобер (Werner Schober) работает в компании Sec Consult и параллельно учится в Австрийском Университете прикладных наук. И однажды — на пятом курсе — перед ним встал сложный вопрос, который наверняка многим знаком: какую же тему для диплома выбрать?

Вернер начал с того, что составил облако тегов со словами из тех тем, которые выбрали его однокурсники. И там, конечно же, оказались все стандартные ключевые слова современного ИТ — биткойн, GDPR, облака и так далее. Но почему-то там не было Интернета вещей — тоже крайне популярной нынче темы. Ей-то Вернер и решил заняться, тем более что благодаря работе в Sec Consult у него был немаленький опыт пентестов (по сути, взлома устройств или сетей), который вполне можно было применить в данной области.

Однако Интернет вещей — понятие очень широкое. Туда входит буквально все — от умных светофоров и модуляторов сердечного ритма до умных чайников. Надо было как-то сузить тему, выбрать что-то более конкретное. Но по той части Интернета вещей, которая относится к более-менее критической инфраструктуре, вроде тех же светофоров или модуляторов, и без Вернера Шобера достаточно исследователей и их публикаций. А про умный дом с чайниками и лампочками, с которыми знакомо множество людей, тоже написано изрядно, да и совсем уж критических уязвимостей там нет. Ну, устроил кто-то DDOS на вашу газонокосилку — ладно, покосите разок вручную.

Поэтому Вернер решил выбрать такую подкатегорию Интернета вещей, про которую и исследований не так уж много (хотя они тоже есть — хакеры любят это ломать), и уровень проблемности уязвимостей в ней весьма высокий, — его диплом посвящен «умным» секс-игрушкам.

Вернер протестировал три устройства — два китайских и одно немецкое. В каком нашлось больше уязвимостей? Забежим чуть вперед: в немецком. И еще каких! Они оказались настолько критическими и их было так много, что Вернер забросил китайские устройства и весь диплом посвятил немецкому. О нем же он и рассказывал в своем докладе на 35-м Chaos Communication Congress (35C3).

Немецкое устройство называется Vibratissimo Panty Buster. Оно подключается к смартфону на Android или iOS при помощи Bluetooth и управляется через специальное приложение — либо локально, либо удаленно, с другого смартфона. Впрочем, возможности приложения куда шире — по сути, это полноценная соцсеть с чатами, групповыми чатами (интересно, зачем они здесь?), галереями фотографий, списками друзей (тоже интересная функция для секс-игрушки) и так далее.

Программная часть: как познакомиться со всеми пользователями секс-игрушек

Начнем с программных уязвимостей. В корневом каталоге сайта Vibratissimo обнаружился файл .DS_Store — по сути, это список всех папок и файлов в этом каталоге с дополнительными параметрами, который операционная система macOS создает, чтобы корректно отображать иконки файлов и то, как они разложены. Вернеру удалось расшифровать этот файл — и так он узнал названия всех папок и файлов, лежащих в корневом каталоге.

Интерес там представляет папка Config, в которой обнаружился одноименный файл, содержащий логин и пароль для доступа к базе данных, записанные без какого-либо шифрования. Вернер смог найти интерфейс для подключения к ней, ввел логин и пароль — и получил доступ к данным всех пользователей устройств Vibratissimo. В том числе к их логинам и паролям (которые опять-таки хранились без шифрования), а также чатам, изображениям и видео. Догадываетесь, какие чаты и изображения могут быть в соцсети, посвященной секс-игрушке? Довольно приватные.

Или вот еще проблема: при создании галереи в приложении ей присваивается некоторый ID. Когда вы хотите просмотреть галерею, приложение отправляет запрос, в который в том числе включен этот ID. Для тестовых целей Вернер создал галерею с двумя фотографиями котиков, узнал, какой у нее ID, а потом подумал: а что если изменить в запросе этот ID, скажем, вычтя из него единичку? В результате он получил доступ к чьей-то галерее, в которой были совсем не котики.

Также в приложении можно создать ссылку для удаленного включения устройства, которой владелица гаджета может с кем-то поделиться. Причем когда кто-то использует эту ссылку, никакого подтверждения не требуется — устройство включается сразу же. В ссылке тоже содержится ID. Угадайте, что будет, если вычесть из этого ID единичку? Правильно, вы совершенно без подтверждения включите чье-то чужое устройство, ведь никаких проверок при использовании ссылки не предусмотрено.

Ну а при аутентификации, когда вы входите в приложение на своем телефоне, оно отправляло на сервер запрос, в котором имя пользователя и пароль отправлялись в текстовом виде, без шифрования. В публичной сети перехватить их может любой. Это совсем уж сомнительная практика для наших дней. Нашлись и еще программные уязвимости, но они были не столь значительными. Зато значительных хватало на остальных уровнях — транспортном (то, как устройство обменивается данными) и аппаратном (собственно в «железе» самой секс-игрушки).

Интерфейсная часть: как «порадовать» незнакомку в метро

Как уже упоминалось, Vibratissimo Panty Buster подключается к смартфону при помощи Bluetooth. В данном случае это энергоэффективная версия Bluetooth LE, и она подразумевает наличие одного из пяти методов «спаривания» устройств, то есть обмена ключами между ними для установки соединения. Код для подключения может быть написан на самом устройстве, или, скажем, подключаемое устройство покажет вам его на своем дисплее — и его потребуется ввести на смартфоне. Или же этот код заранее известен (скажем, это 0 или 1234). Также устройства могут обмениваться кодом при помощи интерфейса NFC, ну или никакого обмена может вообще не происходить.

NFC и дисплея у Panty Buster нет, так что эти варианты отпадают. Остается еще два ну хоть сколько-то безопасных варианта, но создатели устройства, видимо, решили максимально упростить подключение и выбрали самый простой и самый небезопасный — никак ключами не обмениваться. Это значит, что если записать команду активации устройства и постоянно отправлять ее, то все оказавшиеся рядом Panty Buster дружно завибрируют. То есть кто-то может просто ходить, скажем, по метро с активированным приложением и «радовать» случайных встречных, кому «посчастливилось» иметь устройство при себе.

Вернер написал простую программу, которая ищет поблизости включенные Bluetooth LE-устройства, опрашивает их, являются ли они секс-игрушками, и если да, то включает их на стопроцентную мощность. Кстати, формально по австрийским законам это не считается изнасилованием. Впрочем, в местном уголовном кодексе все же нашелся параграф и на такие действия тоже, да и в других странах наверняка найдется.

Аппаратная часть: как узнать, что внутри у вибратора

Во-первых, производитель просто не предусмотрел возможность обновления прошивки. Ну, то есть сам производитель может это сделать, а вот пользователь — нет. Узнав об исследованиях Вернера, производитель предложил: а пусть пользователи вернут свои устройства, им обновят прошивку и вышлют обратно. Но вряд ли кто-то будет отправлять свои уже использованные секс-игрушки.

Во-вторых, если вскрыть устройство, то в нем можно найти интерфейсы, которые производитель использовал для отладки — и забыл закрыть. С помощью этих интерфейсов можно выкачать из устройства прошивку и хорошенько ее изучить.

Вместо заключения

Различных проблем в получасовом рассказе Вернера было упомянуто множество, а вот способов их решения он особо не предлагал — просто потому, что их нет. То есть Вернер, конечно, достучался до производителя, и вместе они исправили большую часть проблем — но в приложении и новых устройствах. А вот проблемы на аппаратном уровне в тех устройствах, которые уже проданы, никуда не делись, и ничего поделать с ними нельзя.

Так что вывод здесь один — и мы повторяем его едва ли не в каждом посте про «умные» вещи: прежде чем покупать «умную» вещь, почитайте про нее в Интернете. А главное, десять раз подумайте, действительно ли вам нужны ее умные функции. Может, можно обойтись обычной вещью, которая не подключается к Интернету и не управляется через приложение? Она наверняка окажется безопаснее — и дешевле.

Категории: Новости вендоров

Итоги 2018 года от Xbox

Microsoft - пн, 14/01/2019 - 15:08

2018 год выдался особенно удачным для мира интерактивных развлечений и всех поклонников Xbox. Команде Microsoft уже не терпится поделиться с вами информацией о том, что стоит ждать в 2019 году, но для начала давайте еще раз вспомним ключевые события ушедшего года. Xbox Game Pass — лучший способ познакомиться с новыми играми На сегодняшний день над […многоточие]

The post Итоги 2018 года от Xbox appeared first on Новости.

Категории: Новости вендоров

Совет №15: запомните 10 жестов для тачпада, которые облегчат жизнь

Microsoft - пн, 14/01/2019 - 08:13

Кроме сочетаний горячих кнопок, которые помогают ускорить работу с Windows 10, в системе есть жесты для тачпада. Если мышки нет под рукой, то эти жесты – все, что нужно для комфортного пользования устройством. Итак, запоминайте – 10 жестов на Windows 10: Чтобы выбрать элемент: коснитесь сенсорной панели. Чтобы прокрутить текст или страницу: поместите два пальца на сенсорную […многоточие]

The post Совет №15: запомните 10 жестов для тачпада, которые облегчат жизнь appeared first on Новости.

Категории: Новости вендоров

Совет №14: как повысить скорость работы с виртуальным рабочим столом

Microsoft - пт, 11/01/2019 - 15:40

Если вы привыкли пользоваться большим количеством программ, вкладок, приложений, да еще никак не можете оторваться от любимой браузерной игры, пока шеф отвернулся, то виртуальный рабочий стол на Windows 10 поможет структурировать и оптимизировать вашу работу. Представьте, что у вас небольшой монитор, при этом приходится постоянно иметь дело с несколькими смежными окнами — это не очень […многоточие]

The post Совет №14: как повысить скорость работы с виртуальным рабочим столом appeared first on Новости.

Категории: Новости вендоров

Страницы