Новости вендоров

MitM и DOS атаки на домены с использованием дублирующих сертификатов

HTTPS-сертификаты — одна из основ безопасности в Интернете. Однако с ними все не так гладко, как хотелось бы. Мы уже говорили о том, почему существующая система не всегда обеспечивает безопасность на стороне пользователей. Теперь обсудим, что может пойти не так на стороне владельцев сайтов.

Два действительных сертификата для одного и того же домена

За регистрацию доменов и выдачу HTTPS-сертификатов, как правило, отвечают разные организации. Поэтому срок действия регистрации домена и сертификата совершенно не обязательно совпадает. В итоге возникают ситуации, когда и бывший, и текущий владельцы одновременно имеют по действующему сертификату для одного и того же домена.

Что тут может пойти не так, и насколько часто данная проблема встречается в реальной жизни? На конференции DEF CON 26 исследователи Иэн Фостер и Дилан Эйри представили доклад, посвященный данной проблеме. Из него следует, что а) неприятностей на самом деле даже больше, чем может показаться на первый взгляд, и б) встречается данная проблема на удивление часто.

Наиболее очевидная из неприятностей, которые могут случиться, когда у кого-то еще есть действующий сертификат на принадлежащий вам домен — это атака типа «человек посередине» на пользователей вашего сайта.

Используя базу сертификатов проекта Certificate Transparency, Фостер и Эйри провели анализ и обнаружили, что пересечение сертификатов встречается в 1,5 миллиона случаев — это, на секундочку, почти 0,5% всего Интернета. Причем для четверти из этих пересечений предыдущий сертификат все еще действует — то есть 375 тысяч доменов уязвимы для атаки «человек посередине».

Однако это еще не все. Достаточно распространенной практикой является получение одного сертификата для нескольких доменов. Причем счет легко может идти на десятки и даже сотни. К примеру, Фостер и Эйри смогли обнаружить сертификат, который выдан сразу для 700 доменов — по словам исследователей, среди этих доменов есть по-настоящему популярные.

Некоторые из этих 700 доменов в данный момент свободны — следовательно, любой желающий может зарегистрировать один из них и получить для него https-сертификат. Возникает вопрос: имеет ли новый владелец домена право отозвать предыдущий сертификат, чтобы его сайт не был уязвим для атаки «человек посередине»?

Можно ли отозвать сертификат?

Отозвать сертификат возможно. В регламенте работы центров сертификации предусмотрен отзыв сертификата в случае, «если любая информация в сертификате является или становится неверной или неточной». Причем отзыв должен быть произведен за 24 часа с момента получения уведомления.

Фостер и Эйри проверили, как это происходит на практике. Оказалось, что это сильно отличается для разных центров сертификации. Например, у Let’s encrypt для этого есть автоматизированные инструменты, которые позволяют отозвать сертификат очень быстро — практически в режиме реального времени. В других центрах сертификации потребуется общение с живыми людьми, так что придется подождать. Иногда необходимо проявлять настойчивость и ждать заметно дольше регламентированных 24 часов. В особо запущенных случаях отозвать сертификат может и вовсе не получиться — например, переписка исследователей с Comodo закончилась предложением «забыть про этот сертификат и заказать новый».

Так или иначе, отозвать дублирующий сертификат чаще возможно, чем нет. Это одновременно и хорошая, и плохая новость. С одной стороны, новый владелец домена в большинстве случаев может защититься от атаки «человек посередине», использующей ранее выданный сертификат. С другой стороны, это означает, что кто-то может приобрести свободный домен из числа тех, для которых был выдан «коллективный» сертификат, и отозвать его. И тем самым сильно затруднить посещение соответствующих сайтов.

Насколько распространена данная проблема? Оказывается, еще шире, чем предыдущая: 7 миллионов доменов — более 2% всего Интернета! — делят сертификат с доменами, регистрация которых уже истекла. 41% ранее полученных сертификатов все еще действует. Следовательно, несколько миллионов доменов уязвимы для DoS-атаки, использующей отзыв ранее выданного сертификата.

Вернемся к примеру с тем самым сертификатом на 700 доменов. Чтобы продемонстрировать насущность данной проблемы, исследователи приобрели один из свободных доменов, для которых выдан этот сертификат. Так что теперь теоретически у них есть возможность устроить DoS-атаку на сотни работающих сайтов.

Как защититься?

Итого: 375 тысяч доменов уязвимы к MiTM-атаке и несколько миллионов — к DoS-атаке с использованием двойного сертификата. Возможно, в этом списке есть и ваши домены. Поскольку доклад уже прозвучал на крупнейшей хакерской конференции, можете не сомневаться — прямо сейчас кто-то ищет домены, уязвимые к этим атакам. Как же от этого защититься владельцам сайтов? Фостер и Эйри предлагают следующие меры:

  • Использовать HTTP-заголовок Expect-CT с директивой enforce, чтобы быть уверенным в том, что для вашего домена доверенными являются только те сертификаты, которые записаны в базу Certificate Transparency.
  • Проверять в базе Certificate Transparency домены на наличие для них действующих сертификатов, выданных предыдущим владельцам. Это можно делать с помощью созданного Facebook инструмента Certificate Transparency Monitoring. Чтобы упростить задачу, исследователи предлагают всем желающим пользоваться созданным ими инструментом для поиска доменов, подверженных описанным уязвимостям.

К этому мы можем добавить еще несколько советов:

  • Проведите полную инвентаризацию сайтов, принадлежащих вашей компании, и проверьте, не существует ли для соответствующих доменов ранее выданных сертификатов. Если такие найдутся — постарайтесь связаться с выдавшими их сертификационными центрами и попросите их отозвать эти сертификаты.
  • Не стоит получать один сертификат для множества доменов. Особенно если в вашей компании принято создавать большое количество лендингов и доменов под них, за работоспособностью которых их создатели не очень-то следят. Если регистрация подобного «заброшенного» домена закончится и кто-то посторонний зарегистрирует его на себя, то ему останется лишь отозвать сертификат, чтобы «положить» ваш корпоративный сайт.
  • Следует заранее подумать о ситуации, когда сертификат окажется скомпрометирован — в этом случае придется срочно его отзывать. Как показывает исследование, некоторые центры сертификации реагируют слишком медленно — вероятно, лучше иметь дело с теми, кто обеспечивает большую оперативность.
Категории: Новости вендоров

Специальные предложения для фанатов Xbox в магазинах «М.Видео»

Microsoft - вт, 28/08/2018 - 18:31

В магазинах розничной сети «М.Видео» стартовало несколько акций специально для фанатов игровой системы Xbox One. В рамках действующих предложений вы можете приобрести со скидками консоли Xbox One X и беспроводные геймпады Xbox, получить скидку на подписку Xbox Live Gold или онлайн-кинотеатр, и многое другое! Акции действуют как при совершении онлайн-покупок, так и в розничных магазинах […многоточие]

The post Специальные предложения для фанатов Xbox в магазинах «М.Видео» appeared first on Новости.

Категории: Новости вендоров

9 проблем машинного обучения

Искусственный интеллект врывается в нашу жизнь. В будущем, наверное, все будет классно, но пока возникают кое-какие вопросы, и все чаще эти вопросы затрагивают аспекты морали и этики. Какие сюрпризы преподносит нам машинное обучение уже сейчас? Можно ли обмануть машинное обучение, а если да, то насколько это сложно? И не закончится ли все это Скайнетом и восстанием машин? Давайте разберемся.

Разновидности искусственного интеллекта: Сильный и Слабый ИИ

Для начала стоит определиться с понятиями. Есть две разные вещи: Сильный и Слабый ИИ. Сильный ИИ (true, general, настоящий) — это гипотетическая машина, способная мыслить и осознавать себя, решать не только узкоспециализированные задачи, но еще и учиться чему-то новому.

Слабый ИИ (narrow, поверхностный) — это уже существующие программы для решения вполне определенных задач: распознавания изображений, управления автомобилем, игры в Го и так далее. Чтобы не путаться и никого не вводить в заблуждение, Слабый ИИ обычно называют «машинным обучением» (machine learning).

Про Сильный ИИ еще неизвестно, будет ли он вообще изобретен. Судя по результатам опроса экспертов, ждать еще лет 45. Правда, прогнозы на десятки лет вперед — дело неблагодарное. Это по сути означает «когда-нибудь». Например, рентабельную энергию термоядерного синтеза тоже прогнозируют через 40 лет — и точно такой же прогноз давали и 50 лет назад, когда ее только начали изучать.

Машинное обучение: что может пойти не так?

Если Сильного ИИ ждать еще непонятно сколько, то Слабый ИИ уже с нами и вовсю работает во многих областях народного хозяйства.

И таких областей с каждым годом становится все больше и больше. Машинное обучение позволяет решать практические задачи без явного программирования, а путем обучения по прецедентам. Подробнее вы можете почитать в статье «Простыми словами: как работает машинное обучение«.

Поскольку мы учим машину решать конкретную задачу, то полученная математическая модель — так называется «обученный» алгоритм — не может внезапно захотеть поработить (или спасти) человечество. Так что со Слабым ИИ никакие Скайнеты, по идее, нам не грозят: алгоритм будет прилежно делать то, о чем его попросили, а ничего другого он все равно не умеет. Но все-таки кое-что может пойти не так.

1. Плохие намерения

Начать с того, что сама решаемая задача может быть недостаточно этичной. Например, если мы при помощи машинного обучения учим армию дронов убивать людей, результаты могут быть несколько неожиданными.

Как раз недавно по этому поводу разгорелся небольшой скандал. Компания Google разрабатывает программное обеспечение, используемое для пилотного военного проекта Project Maven по управлению дронами. Предположительно, в будущем это может привести к созданию полностью автономного оружия.

Так вот, минимум 12 сотрудников Google уволились в знак протеста, еще 4000 подписали петицию с просьбой отказаться от контракта с военными. Более 1000 видных ученых в области ИИ, этики и информационных технологий написали открытое письмо с просьбой к Google прекратить работы над проектом и поддержать международный договор по запрету автономного оружия.

2. Предвзятость разработчиков алгоритма

Даже если авторы алгоритма машинного обучения не хотят приносить вред, чаще всего они все-таки хотят извлечь выгоду. Иными словами, далеко не все алгоритмы работают на благо общества, очень многие работают на благо своих создателей. Это часто можно наблюдать в области медицины — важнее не вылечить, а порекомендовать лечение подороже.

На самом деле иногда и само общество не заинтересовано в том, чтобы полученный алгоритм был образцом морали. Например, есть компромисс между скоростью движения транспорта и смертностью на дорогах. Можно запрограммировать беспилотные автомобили так, чтобы они ездили со скоростью не более 20 км/ч. Это позволило бы практически гарантированно свести количество смертей к нулю, но жить в больших городах стало бы затруднительно.

3. Параметры системы могут не включать этику

По умолчанию компьютеры не имеют никакого представления о том, что такое этика. Представьте, что мы просим алгоритм сверстать бюджет страны с целью «максимизировать ВВП / производительность труда / продолжительность жизни» и забыли заложить в модель этические ограничения. Алгоритм может прийти к выводу, что выделять деньги на детские дома / хосписы / защиту окружающей среды совершенно незачем, ведь это не увеличит ВВП — по крайней мере, прямо.

И хорошо, если алгоритму поручили только составление бюджета. Потому что при более широкой постановке задачи может выйти, что самый выгодный способ повысить среднюю производительность труда — это избавиться от всего неработоспособного населения.

Выходит, что этические вопросы должны быть среди целей системы изначально.

4. Этику сложно описать формально

С этикой одна проблема — ее сложно формализовать. Во-первых, этика довольно быстро меняется со временем. Например, по таким вопросам, как права ЛГБТ и межрасовые / межкастовые браки, мнение может существенно измениться за десятилетия.

Во-вторых, этика отнюдь не универсальна: она отличается даже в разных группах населения одной страны, не говоря уже о разных странах. Например, в Китае контроль за перемещением граждан при помощи камер наружного наблюдения и распознавания лиц считается нормой. В других странах отношение к этому вопросу может быть иным и зависеть от обстановки.

Также этика может зависеть от политического климата. Например, борьба с терроризмом заметно изменила во многих странах представление о том, что этично, а что не очень — и произошло это невероятно быстро.

5. Машинное обучение влияет на людей

Представьте систему на базе машинного обучения, которая советует вам, какой фильм посмотреть. На основе ваших оценок другим фильмам и путем сопоставления ваших вкусов со вкусами других пользователей система может довольно надежно порекомендовать фильм, который вам очень понравится.

Но при этом система будет со временем менять ваши вкусы и делать их более узкими. Без системы вы бы время от времени смотрели и плохие фильмы, и фильмы непривычных жанров. А так, что ни фильм — то в точку. В итоге вы перестаете быть «экспертами по фильмам», а становитесь только потребителем того, что дают.

Интересно еще и то, что мы даже не замечаем, как алгоритмы нами манипулируют. Пример с фильмами не очень страшный, но попробуйте подставить в него слова «новости» и «пропаганда»…

6. Ложные корреляции

Ложная корреляция — это когда не зависящие друг от друга вещи ведут себя очень похоже, из-за чего может возникнуть впечатление, что они как-то связаны. Например, потребление маргарина в США явно зависит от количества разводов в штате Мэн, не может же статистика ошибаться, правда?

Конечно, живые люди на основе своего богатого жизненного опыта подозревают, что маргарин и разводы вряд ли связаны напрямую. А вот математической модели об этом знать неоткуда, она просто заучивает и обобщает данные.

Известный пример: программа, которая расставляла больных в очередь по срочности оказания помощи, пришла к выводу, что астматикам с пневмонией помощь нужна меньше, чем людям с пневмонией без астмы. Программа посмотрела на статистику и пришла к выводу, что астматики не умирают, поэтому приоритет им незачем. А на самом деле такие больные не умирали потому, что тут же получали лучшую помощь в медицинских учреждениях в связи с очень большим риском.

7. Петли обратной связи

Хуже ложных корреляций только петли обратной связи. Это когда решения алгоритма влияют на реальность, что, в свою очередь, еще больше убеждает алгоритм в его точке зрения.

Например, программа предупреждения преступности в Калифорнии предлагала отправлять больше полицейских в черные кварталы, основываясь на уровне преступности — количестве зафиксированных преступлений. А чем больше полицейских машин в квартале, тем чаще жители сообщают о преступлениях (просто есть кому сообщить), чаще сами полицейские замечают правонарушения, больше составляется протоколов и отчетов, — в итоге формально уровень преступности возрастает. Значит, надо отправить еще больше полицейских, и далее по нарастающей.

8. «Грязные» и «отравленные» исходные данные

Результат обучения алгоритма сильно зависит от исходных данных, на основе которых ведется обучение. Данные могут оказаться плохими, искаженными — это может происходить как случайно, так и по злому умыслу (в последнем случае это обычно называют «отравлением»).

Вот пример неумышленных проблем с исходными данными: если в качестве обучающей выборки для алгоритма по найму сотрудников использовать данные, полученные из компании с расистскими практиками набора персонала, то алгоритм тоже будет с расистским уклоном.

В Microsoft однажды учили чат-бота общаться в Twitter’е, для чего предоставили возможность побеседовать с ним всем желающим. Лавочку пришлось прикрыть менее чем через сутки, потому что набежали добрые интернет-пользователи и быстро обучили бота материться и цитировать «Майн Кампф».

"Tay" went from "humans are super cool" to full nazi in <24 hrs and I'm not at all concerned about the future of AI pic.twitter.com/xuGi1u9S1A

— gerry (@geraldmellor) March 24, 2016

Пример умышленного отравления машинного обучения: в лаборатории по анализу компьютерных вирусов математическая модель ежедневно обрабатывает в среднем около миллиона файлов, как чистых, так и вредоносных. Ландшафт угроз постоянно меняется, поэтому изменения в модели в виде обновлений антивирусных баз доставляются в антивирусные продукты на стороне пользователей.

Злоумышленник может постоянно генерировать вредоносные файлы, очень похожие на какой-то чистый, и отправлять их в лабораторию. Граница между чистыми и вредоносными файлами будет постепенно стираться, модель будет «деградировать». И в итоге модель может признать оригинальный чистый файл зловредом — получится ложное срабатывание.

Поэтому в «Лаборатории Касперского» многоуровневый подход к защите: мы не полагаемся только на машинное обучение, живые люди — антивирусные эксперты — обязательно присматривают за тем, что делает машина.

9. Взлом машинного обучения

Отравление — это воздействие на процесс обучения. Но обмануть можно и уже готовую, исправно работающую математическую модель, если знать, как она устроена. Например, группе исследователей удалось научиться обманывать алгоритм распознавания лиц с помощью специальных очков, вносящих минимальные изменения в картинку и тем самым кардинально меняющих результат.

Надев специально раскрашенные очки, исследователи смогли обманывать алгоритм распознавания лиц и выдавать себя за других людей

Даже там, где, казалось бы, нет ничего сложного, машину легко обмануть неведомым для непосвященного способом.

Первые три знака распознаются как «Ограничение скорости 45», а последний — как знак «STOP»

Причем для того, чтобы математическая модель машинного обучения признала капитуляцию, необязательно вносить существенные изменения — достаточно минимальных, невидимых человеку правок.

Если к панде слева добавить минимальный специальный шум, то получим гиббона с потрясающей уверенностью

Пока человек умнее большинства алгоритмов, он может обманывать их. Представьте себе, что в недалеком будущем машинное обучение будет анализировать рентгеновские снимки чемоданов в аэропорту и искать оружие. Умный террорист сможет положить рядом с пистолетом фигуру особенной формы и тем самым «нейтрализовать» пистолет.

Кто виноват и что делать

В 2016 году Рабочая группа по технологиям больших данных при администрации Обамы выпустила отчет, предупреждающий о том, что в алгоритмы, принимающие автоматизированные решения на программном уровне, может быть заложена дискриминация. Также в отчете содержался призыв создавать алгоритмы, следующие принципу равных возможностей.

Но сказать-то легко, а что же делать? С этим не все так просто.

Во-первых, математические модели машинного обучения тяжело тестировать и подправлять. Если обычные программы мы читаем по шагам и научились их тестировать, то в случае машинного обучения все зависит от размера контрольной выборки, и она не может быть бесконечной.

К примеру, приложение Google Photo распознавало и помечало людей с черным цветом кожи как горилл. И как быть? За три года Google не смогли придумать ничего лучше, чем запретить помечать вообще любые объекты на фотографиях как гориллу, шимпанзе и обезьяну, чтобы не допускать повторения ошибки.

Во-вторых, нам сложно понять и объяснить решения машинного обучения. Например, нейронная сеть как-то расставила внутри себя весовые коэффициенты, чтобы получались правильные ответы. А почему они получаются именно такими и что сделать, чтобы ответ поменялся?

Исследование 2015 года показало, что женщины гораздо реже, чем мужчины, видят рекламу высокооплачиваемых должностей, которую показывает Google AdSense. Сервис доставки в тот же день от Amazon зачастую недоступен в черных кварталах. В обоих случаях представители компаний затруднились объяснить такие решения алгоритмов.

Винить вроде бы некого, остается принимать законы и постулировать «этические законы робототехники». В Германии как раз недавно, в мае 2018 года, сделали первый шаг в этом направлении и выпустили свод этических правил для беспилотных автомобилей. Среди прочего, в нем есть такие пункты:

  • Безопасность людей — наивысший приоритет по сравнению с уроном животным или собственности.
  • В случае неизбежной аварии не должно быть никакой дискриминации, ни по каким факторам недопустимо различать людей.

Но что особенно важно в нашем контексте:

  • Автоматические системы вождения становятся этическим императивом, если системы вызывают меньше аварий, чем водители-люди.

Очевидно, что мы будем все больше и больше полагаться на машинное обучение — просто потому, что оно в целом будет справляться со многими задачами лучше людей. Поэтому важно помнить о недостатках и возможных проблемах, стараться все предусмотреть на этапе разработки систем — и не забывать присматривать за результатом работы алгоритмов на случай, если что-то все же пойдет не так.

Категории: Новости вендоров

Microsoft, ASBIS и «Кодабра» запускают совместную образовательную программу

Microsoft - пн, 27/08/2018 - 17:43

В рамках инициативы для школьников ноутбуки Prestigio можно будет приобрести с предустановленной игрой Minecraft, а также получить в подарок онлайн-курс «Кодабры» по созданию компьютерной игры. Microsoft Россия, IT-холдинг ASBIS (дистрибьютор Prestigio) и школа цифрового творчества «Кодабра» запускают совместную образовательную инициативу, цель которой — мотивировать подрастающее поколение к использованию информационных технологий для развития востребованных навыков. При […многоточие]

The post Microsoft, ASBIS и «Кодабра» запускают совместную образовательную программу appeared first on Новости.

Категории: Новости вендоров

Man-in-the-Disk: новый и опасный способ взломать Android

Android — хорошая операционная система, разработчики которой действительно заботятся о безопасности. Однако версий самой ОС и особенно приложений для нее существует настолько много, что за всем не уследишь. Поэтому достаточно часто обнаруживаются новые способы обхода встроенной защиты. Самый свежий способ взлома Android называется Man-in-the-Disk, о нем и поговорим.

«Песочницы» — основа безопасности Android

Один из главных принципов Android состоит в том, что все приложения должны быть изолированы друг от друга. Для этого используются так называемые «песочницы«: каждое приложение и его файлы существуют в отдельной «песочнице», в которую другие приложения не имеют доступа.

Идея в том, что, даже если на устройство под управлением Android проникнет вредоносное приложение, оно не сможет украсть данные, которые хранят другие, хорошие программы (например, логин и пароль вашего банковского приложения или переписку в мессенджере). Несложно догадаться, что хакеры постоянно пытаются найти новые способы обхода данного механизма — это называется «побег из песочницы«. И время от времени им это удается.

К примеру, на конференции DEF CON 26 исследователь Слава Маккавеев представил доклад о том, как приложение, не имеющее никаких особенно опасных или подозрительных прав, может совершить побег из песочницы. По аналогии с известным типом атак «человек посередине» (Man-in-the-Middle) он назвал эту методику Man-in-the-Disk.

Как работает атака Man-in-the-Disk

Вот в чем состоит идея. Помимо тех областей внутри «песочниц», в которых отдельно хранятся файлы приложений, в Android также существует общее, внешнее хранилище (оно так и называется, External Storage). Для доступа к этому хранилищу приложение должно попросить у пользователя разрешения — «Чтение из памяти или карты памяти» (READ_EXTERNAL_STORAGE) и «Запись в память или на карту памяти» (WRITE_EXTERNAL_STORAGE). Но эти права обычно не считаются чем-то опасным, да и запрашивают их едва ли не все приложения — так что ничего подозрительного в таком запросе нет.

Приложения используют внешнее хранилище для многих полезных вещей — например, для обмена файлами друг с другом или для передачи файлов между смартфоном и компьютером. Но помимо этого, внешнее хранилище часто используется для временного хранения данных, загруженных приложением из Интернета: сначала эти данные записываются в общедоступную часть диска и только потом переносятся в изолированную область, в которую имеет доступ только это приложение.

Например, приложение может временно хранить там какие-то дополнительные модули, которые оно устанавливает для расширения функциональности, дополнительный контент — скажем, словари — или обновления этого приложения. Проблема в том, что любое приложение с правом чтения из внешнего хранилища и записи в него может получить доступ к этим файлам — и изменить их, добавив к ним что-то вредоносное.

То есть может получиться так, что вы поставите на свой смартфон какое-то на первый взгляд безобидное приложение — например, игру. При этом оно способно заразить ваш смартфон чем-то по-настоящему неприятным.

На самом деле создатели Android понимают, что использование внешнего хранилища может представлять опасность, и по этому поводу на сайте операционной системы есть даже несколько полезных советов для разработчиков.

Проблема в том, что не все разработчики приложений им следуют — включая сотрудников самой Google и некоторых производителей смартфонов. Среди представленных Славой Маккавеевым примеров есть эксплуатация данной уязвимости в «Google Переводчике» и «Яндекс Переводчике», голосовом вводе Google и «Синтезаторе речи Google», а также в системных приложениях LG и браузере Xiaomi.

Кстати, буквально только что исследователи из Google обнаружили, что с помощью Man-in-the-Disk можно атаковать Android-версию популярной игры Fortnite. Чтобы загрузить игру, пользователю нужно сначала установить специальное приложение-помощник, которое и загружает файлы игры. Оказалось, что, используя Man-in-the-Disk, взломщик может обмануть этого помощника и заставить его установить зловред вместо игры. Разработчик Fortnite — компания Epic Games — знает о данной уязвимости и уже выпустила обновленную версию установщика. Так что если вы собираетесь установить Fortnite, используйте версию 2.1.0. Если вы уже установили игру, то мы рекомендуем удалить ее и установить заново, используя исправленную версию установщика.

Как защитить Android от атаки Man-in-the-Disk

Перечисленный список — это, конечно же, не все программы, в которых встречается данная проблема: скорее всего, уязвимых программ гораздо, гораздо больше. Исследователь просто выбрал несколько по-настоящему популярных, чтобы продемонстрировать, насколько все плохо.

Как же защититься? У нас есть несколько несложных советов:

  • Устанавливайте приложения только из официальных магазинов, таких как Google Play. В них тоже иногда пробираются зловреды, но по крайней мере там они встречаются гораздо реже, к тому же их регулярно удаляют.
  • Отключите в настройках смартфона или планшета возможность установки приложений из сторонних источников (эти источники — самые опасные). Чтобы это сделать, снимите галочку напротив пункта Настройки -> Безопасность -> Неизвестные источники.
  • Выбирайте приложения от проверенных разработчиков. Смотрите на рейтинг приложения, читайте отзывы о нем. Если что-то выглядит подозрительно — лучше такое приложение не устанавливать.
  • Не устанавливайте лишние приложения. Чем меньше приложений у вас в смартфоне — тем меньше риск.
  • Не забывайте удалять приложения, если они вам больше не нужны.
  • Используйте надежный мобильный антивирус, который вовремя предупредит о том, что в ваше устройство пытается пробраться вредоносное приложение.
Категории: Новости вендоров

Сохраните свою переписку в WhatsApp без «граблей»

Через пару месяцев, а точнее 12 ноября, WhatsApp и Google собираются удалить старые резервные копии переписки пользователей Android-версии мессенджера, хранящиеся в Google Drive. Это не касается истории переписки и резервных копий в памяти телефона — с ними ничего не произойдет. Пользователи WhatsApp для iOS могут не беспокоиться: их бэкапы сохраняются в iCloud и для них ничего не меняется.

WhatsApp для Android бесплатно сделает резервную копию вашей переписки в Google Drive, но старые копии переписки могут пострадать. Отвечаем на главные вопросы про безопасность и конфиденциальность переписок WhatsApp.

1. Что хранится в Google?

WhatsApp для Android умеет регулярно копировать свои данные в Google Drive. В зависимости от настроек, это может быть только текстовая переписка либо также фото и видео. Это не новая функция, резервное копирование работает по этой схеме уже несколько лет. Загляните в Меню -> Настройки -> Чаты -> Резервное копирование, чтобы проверить, настроено ли у вас копирование в Google Drive.

2. Что изменится 12 ноября?

Любые файлы занимают место в Google Drive, уменьшая вашу квоту свободного места. Но Facebook (владелец WhatsApp) и Google договорились, что резервные копии WhatsApp теперь не будут считаться. Вы сможете хранить в Google Drive больше данных.

3. А что будет удалено?

Если вы давно не делали резервных копий в Google Drive и автоматическое ежедневное копирование в WhatsApp отключено, старые (старше года) копии будут автоматически удалены. Чтобы этого избежать, нужно до 12 ноября хотя бы раз сделать резервную копию данных в WhatsApp вручную.

4. Что будет, если у меня не будет резервной копии переписки в WhatsApp?

При установке на новый телефон вы сможете по-прежнему переписываться с друзьями, сохранится ваше членство в чатах, но история переписки не будет видна.

5. Какие еще подводные камни?

Камень, который был и останется. В WhatsApp переписка хранится в зашифрованном виде и не может быть прочитана никем, кроме собеседников. А вот копии на серверах Google лишены этой защиты — в них все хранится в открытом виде. Поэтому резервная копия такого вида гипотетически угрожает вашей конфиденциальности.

6. Я хочу иметь резервную копию переписки, но не в Google! Что делать?

WhatsApp умеет делать резервную копию на карточке памяти. С помощью этой копии всю переписку можно перенести на новый телефон или восстановить после переустановки WhatsApp. Но эта копия ничем вам не поможет, если вы потеряете телефон. Поэтому копию с карточки памяти (\sdcard\WhatsApp\) придется вручную копировать на компьютер или в зашифрованный облачный сервис.

7. А способа попроще нет?

В Google Play есть десятки программ для копирования данных WhatsApp. К сожалению, среди них нет разработок от лидеров мобильного рынка, и многие приложения требуют root-доступа. Установка таких приложений может быть небезопасна — под этим соусом очень легко запустить на свой смартфон неприятного трояна. Мы рекомендуем загружать только программы с большим числом загрузок и высоким рейтингом, а также позаботиться о защите смартфона от вредоносных приложений.

Категории: Новости вендоров

Подозрительно счастливый чек

В спам-трафике Рунета часто встречаются мошеннические рассылки, в которых главной приманкой служит неожиданное денежное поступление в адрес получателя — внезапные переводы, таинственные начисления, неожиданные выигрыши и так далее.

Как правило, итогом для пользователя становится кража его персональной информации, а также оплата некой небольшой суммы, требующейся для получения мнимого выигрыша. Меняются лишь придуманные истории, в которые пользователи продолжают верить. Свежий пример — «общественная акция для покупателей» под названием «Счастливый чек». Давайте посмотрим, как это обычно происходит.

Шаг 1: обойти спам-фильтр

Очень популярным и давно практикуемым методом обхода спам-фильтров является зашумление. Суть этого метода заключается в том, что спамеры разными способами «зашумляют» текст сообщения — добавляют в письма незаметные последовательности символов, вставляют различные текстовые фрагменты и ссылки на официальные ресурсы и так далее — чтобы скрыть от защитного решения сомнительное содержание письма.

Например, в нашем случае используется зашумление контента письма цитатой из романа Льва Толстого «Война и Мир», ссылки и текст с легальных ресурсов и новостные события. Размер того сообщения, которое написано самими спамерами — первые три строчки тела письма — гораздо меньше добавленного шума. Спамеры рассчитывают на то, что так они смогут обхитрить спам-фильтры, и адресаты увидят это письмо.

Шаг 2: заинтересовать получателя

Далее мошенникам необходимо заинтересовать потенциальную жертву и заставить ее перейти по ссылке. Для этого используется сообщение о поступлении платежа. Для придания большей правдоподобности указывается не круглая сумма, а также точные дата и время. Однако из письма совершенно непонятно, от кого перевод; адрес отправителя, заголовок и текст письма мало похожи на легитимные. Многих это может насторожить, но какая-то часть получателей заинтересуется и кликнет по ссылке.

Шаг 3: предложение, от которого нельзя отказаться

Итак, счастливый пользователь переходит по ссылке и попадает на страничку с акцией «Счастливый чек» — кстати, в самом письме о ней нет ни слова.

После клика по кнопке «Узнать сумму выигрыша» последует определение размера призового фонда и выигранной по чеку суммы. Происходит это не сразу, а в несколько этапов, которые чередуются с периодами ожидания — мошеннический сайт всеми силами старается сделать вид, что за ним есть какая-то система, которой надо собрать данные и как-то их обработать. Процесс выглядит очень даже правдоподобно.

Конечно, вам достается самый крупный выигрыш, в мошеннических разводах не бывает по-другому.

После клика по кнопке «Оформить выигрыш» сайт предлагает ввести персональные данные и оформить специальный лицевой счет в банке. Ссылаясь на правила несуществующей Международной Конвенции Проведения Мероприятий и Акций — да-да, именно вот так, с заглавными буквами, да еще и с аббревиатурой в скобках для пущей внушительности, — мошенники пытаются убедить пользователей в том, что все официально.

Шаг 4: заставить оплатить услуги

После того как личные данные введены, сайт показывает следующую страницу: на ней оказывается, что за услугу оформления лицевого счета на год необходимо заплатить.

На этом этапе мошенники уже выиграли. Даже если пользователь решит закрыть сайт, он уже отдал информацию о себе, которая поможет мошенникам пополнить базу для создания в будущем более правдоподобных и внушающих доверие спам-рассылок.

Некоторых пользователей не остановит даже необходимость оплаты. Во-первых, оптимистичные комментарии (разумеется, фальшивые) в нижней части страницы изо всех сил стараются убедить посетителя, что все закончится хорошо.

Во-вторых, многим будет психологически сложно признать, что трата времени на знакомство с сайтом и заполнение формы с личными данными была ошибкой, поэтому они все же решат пойти до конца и перейдут на следующий этап — ведь кажется, что приз уже так близко. Тем более что сумма невелика — особенно по сравнению с размером самого выигрыша.

Кульминацией является непосредственно оплата услуги оформления счета. Отметим, что на этом этапе мошенники также собирают дополнительную персональную информацию, например номер телефона. Они стараются не вызвать подозрений и запрашивают именно ту персональную информацию, которая необходима для тех или иных операций на официальных ресурсах. Например, для регистрации достаточно только ФИО и адреса электронной почты, а для денежных операций необходим номер телефона.

Как не пострадать от мошеннических схем в Интернете
  1. Не верьте в неожиданно свалившиеся на вас деньги. Если кто-то внезапно обещает заплатить вам ни за что — скорее всего, на самом деле платить ни за что придется вам.
  2. Всегда проверяйте, существуют ли акция, организация, юридические документы, на которые ссылаются в письмах или на страничках.
  3. Используйте надежную, желательно многослойную защиту: даже если мошенникам удастся обмануть спам-фильтр, при попытке перейти по опасной ссылке вы увидите предупреждение, что сайт на самом деле мошеннический.
Категории: Новости вендоров

Хранитель врат вашей сети

В том, чтобы начинать защиту бизнеса с рабочих мест, есть своя логика: почти все семейства вредоносных программ атакуют персональные компьютеры и используют уязвимости программ на рабочих местах. Однако, выражаясь образно, можно сказать, что даже при самой эффективной охране правопорядка нельзя отменить пограничный контроль. Поэтому мы рекомендуем вам защищать рабочие места, блокируя потенциальные угрозы на уровне интернет-шлюза, задолго до того, как они подберутся слишком близко.

На это есть несколько причин, и одна из основных состоит в том, что защита интернет-шлюза позволяет исключить вмешательство человеческого фактора. Методы современных киберпреступников чаще всего основаны на социальной инженерии. Они используют различные хитрости, чтобы убедить пользователей перейти по подозрительной ссылке, загрузить вредоносный файл или даже отключить систему защиты. Таким образом, чем меньше вредоносных программ доберется до рабочих станций ваших сотрудников, тем целее будет ваша сеть.

Наиболее логичный способ обеспечить защиту сети от вредоносных файлов и опасных веб-сайтов — внедрить решение, охраняющее «ворота», через которые данные поступают в вашу инфраструктуру. Это защита на уровне интернет-шлюза, использующая прокси-сервер как точку интеграции.

Как вы, наверное, догадываетесь, у нас есть решение, работающее именно таким способом. Это Kaspersky Security для интернет-шлюзов с базовым приложением Kaspersky Web Traffic Security. Наряду со значительным снижением рисков возникновения ошибок, вызванных человеческим фактором, наша разработка:

  • Блокирует 95% современных вредоносных программ благодаря комбинации алгоритмов на основе машинного обучения и эмуляции в изолированной среде.
  • Использует глобальные данные об угрозах из Kaspersky Security Network, что позволяет реагировать на новейшие вредоносные программы сразу после их обнаружения где-либо у наших клиентов.
  • Позволяет вам контролировать корпоративный веб-трафик, зашифрованный при помощи SSL.
  • Блокирует вредоносные и фишинговые веб-сайты.
  • Позволяет снизить риски заражения и утечки данных при помощи фильтрации контента.
  • Ограничивает доступ к отдельным категориям веб-ресурсов с помощью сценариев веб-контроля.

Даже если на вашем шлюзе уже установлена аналогичная защита, сейчас самое время попробовать наше решение как дополнительный уровень обеспечения безопасности, чтобы повысить частоту обнаружения угроз без увеличения ложных срабатываний. Новое приложение Kaspersky Web Traffic Security сейчас проходит последнюю предрелизную стадию разработки, и вам предоставляется уникальная возможность принять участие в его открытом бета-тестировании.

Категории: Новости вендоров

Взлом криптобиржи с северокорейским акцентом

Серьезные киберпреступники зачастую используют настолько изощренные методы нападения, что даже специалистам по безопасности приходится потрудиться, чтобы вывести их на чистую воду. Недавно наши эксперты обнаружили новую кампанию северокорейской группировки Lazarus, известной своими атаками на Sony Pictures и многочисленные финансовые учреждения, например кражей $81 миллиона у Центробанка Республики Бангладеш.

В этот раз злоумышленники, в духе времени, решили поживиться криптовалютой. Чтобы добраться до кошельков жертв, они запустили зловред в корпоративные сети криптовалютных бирж. Преступники использовали человеческий фактор, причем со знанием дела.

Трейдинговая программа с вредоносным обновлением

Проникновение в сеть началось с электронной почты. По меньшей мере один из сотрудников биржи получил письмо с предложением установить приложение для трейдинга Celas Trade Pro производства компании Celas Limited. Учитывая сферу деятельности организации, такая программа вполне могла понадобиться ее команде.

Ссылка из письма вела на официальный сайт разработчика, который выглядел достаточно убедительно — в том числе обладал действующим SSL-сертификатом, выданным одним из крупнейших сертифицикационных центров — Comodo CA.

Продукт Celas Trade Pro можно было скачать в одной из двух версий — для Windows и для Mac. Также производитель анонсировал скорый выход приложения для Linux.

У трейдинговой программы был также действующий цифровой сертификат, что лишний раз подтверждало ее легитимность. Кроме того, в ее коде не было вредоносных компонентов.

После того как сотрудник криптовалютной биржи успешно установил Celas Trade Pro на свой компьютер, приложение тут же захотело обновиться. Для этого оно обратилось к серверу, принадлежащему компании-разработчику, что также не выглядело подозрительно. Между тем вместо обновления на устройство загрузился бэкдор.

Fallchill — очень опасный зловред

Бэкдор — это «черный ход», с помощью которого преступники проникают в чужую систему. Чаще всего для атаки на биржи использовался зловред Fallchill — именно по нему, среди прочего, удалось опознать организаторов: группировка Lazarus прибегала к помощи этого бэкдора уже не раз. Он позволяет злоумышленникам практически полностью контролировать зараженное устройство. Вот только некоторые из способностей такого ПО:

  • Поиск и чтение файлов, а также их загрузка на командный сервер (тот самый сервер, с которого трейдинговое приложение скачивало обновление).
  • Запись информации в конкретный файл (например, в исполняемый файл той или иной программы или в платежное распоряжение).
  • Уничтожение файлов.
  • Загрузка и запуск дополнительных инструментов.
Взглянем поближе на зараженную программу и ее разработчиков…

Как мы уже говорили, практически на всех этапах атаки, до самой установки бэкдора, как сама трейдинговая программа, так и компания-создатель выглядели вполне добропорядочно. Однако при более глубоком анализе обнаружились подозрительные нюансы.

Так, загрузчик обновлений передавал на сервер замаскированный под GIF-изображение файл с информацией о компьютере и в том же виде получал инструкции — а обмен картинками совсем не типичен для обновления серьезного ПО.

Что касается сайта, сертификат домена при ближайшем рассмотрении оказался низкого уровня и подтверждал только факт его принадлежности компании Celas Limited. О существовании этой организации и личности ее владельца в нем ничего не говорилось (получение более продвинутых сертификатов предполагает подобные проверки). При этом, проверив указанный при регистрации домена адрес по Google Maps, аналитики выяснили, что по этому адресу находится одноэтажное строение, которое занимает раменная.

Вряд ли владельцы ресторанчика на досуге занимаются программированием, так что логично предположить, что адрес фейковый. Тем более что по другому адресу, указанному при получении цифрового сертификата приложения Celas Trading Pro, как оказалось, и вовсе находится чистое поле.

Кроме того, домен компания, судя по всему, оплачивала биткойнами — а обычно сделки в криптовалюте проводят, когда хотят сохранить анонимность.

Впрочем, сказать наверняка, является ли эта компания специально созданным фейком или она сама пала жертвой киберпреступников, нельзя, тем более что раньше северокорейские взломщики уже компрометировали ни в чем не повинные организации ради атаки на их партнеров или заказчиков.

Больше подробностей об этой кампании APT Lazarus можно прочитать в полном отчете наших экспертов на Securelist.

Чему нас учит Lazarus?

Как видно из этой истории, когда речь заходит о крупных деньгах, распознать источник угрозы может оказаться очень непросто. Тем более на криптовалютном рынке, который последнее время стабильно привлекает мошенников всех сортов: от разработчиков всевозможных майнеров до серьезных преступных группировок, действующих по всему миру.

Отдельного внимания заслуживает тот факт, что эта кампания рассчитана не только на пользователей Windows, но и на владельцев компьютеров с macOS. Это очередное напоминание о том, что само по себе использование macOS вовсе не гарантирует полную безопасность, — заботиться о защите пользователям Apple тоже необходимо.

Категории: Новости вендоров

Анонсы Xbox на gamescom: Forza Horizon 4, PUBG, State of Decay 2 и многое другое

Microsoft - чт, 23/08/2018 - 13:09

Мы любим gamescom, потому что здесь мы напрямую общаемся с фанатами. Европейская аудитория всегда была важна для нас, и мы продолжаем сотрудничать с талантливыми разработчиками и студиями в Европе, такими как Playground Games, Ninja Theory, Rare и Mojang. Здесь, в Кельне, наши поклонники смогли насладиться одним из самых разнообразных наборов игр за последние годы: в […многоточие]

The post Анонсы Xbox на gamescom: Forza Horizon 4, PUBG, State of Decay 2 и многое другое appeared first on Новости.

Категории: Новости вендоров

Ищем и латаем дыры в защите корпоративных систем

Когда компания хочет узнать, насколько уязвима ее инфраструктура, она заказывает анализ защищенности от киберугроз. Наши коллеги из отдела сервисов безопасности ежегодно проверяют десятки компаний и иногда встречаются с довольно любопытными случаями. Разумеется, мы не имеем права раскрывать подробности о клиентах, однако соглашение о конфиденциальности не запрещает рассказывать о наиболее распространенных ошибках. Мы надеемся, что чужой опыт поможет вам сделать свою инфраструктуру более киберустойчивой.

Типичные ошибки

Исследуя способы нарушения периметра безопасности, наши коллеги собрали коллекцию типичных ошибок, из-за которых инфраструктура становится беззащитной в киберсреде. Вот они:

  • Неадекватная сетевая фильтрация
  • Публичный доступ к интерфейсам управления
  • Слабые пароли учетных записей
  • Уязвимости в веб-приложениях

На последний пункт стоит обратить особое внимание: в 73% тестов, проведенных нашими специалистами, именно уязвимости веб-приложений использовались для получения несанкционированного доступа к узлам внутри сетевого периметра. Вторая наиболее распространенная ошибка — свободный доступ к интерфейсам управления во всей сети. Иногда для получения доступа удается использовать логин и пароль, полученные с использованием других уязвимостей. В других случаях получается войти при помощи стандартных учетных данных, не измененных со времени изначальной установки. Также эффективны атаки перебором паролей и поиск учетных данных на других скомпрометированных узлах.

Еще одна распространенная проблема — недостаточно защищенный доступ к удаленно управляемым веб-интерфейсам (вроде контрольной панели администратора веб-приложения или системы CMS). Через них можно не только контролировать приложение, но и добраться до самой операционной системы.

Рекомендации

Чтобы оградить инфраструктуру от кибернападений, эксперты рекомендуют следующее.

  • Задайте сильные пароли для административных учетных записей.
  • Используйте разные аккаунты для разных систем.
  • Своевременно обновляйте ПО до последних версий.
  • Ограничьте сетевой доступ ко всем контрольным интерфейсам, включая веб-интерфейсы.
  • Разрешите доступ только с ограниченного числа IP-адресов.
  • Если вы абсолютно уверены, что вам необходим удаленный доступ, используйте VPN.
  • Тщательно продумайте правила сетевой фильтрации, создания паролей и своевременного закрытия уязвимостей в веб-приложениях.
  • Регулярно проводите анализ защищенности всех веб-приложений в открытом доступе.
  • Наладьте автоматизированный процесс мониторинга уязвимостей и распространения исправлений.
  • Проверяйте приложения после каждого изменения кода или перенастройки веб-сервера.
  • Своевременно обновляйте все сторонние компоненты и библиотеки.
  • Регулярно проверяйте, не используются ли в ваших системах учетные данные по умолчанию. Не забывайте о веб-приложениях, системах управления контентом и сетевых устройствах.

Больше технических подробностей, примеры тестирования на проникновение и статистические данные можно найти в нашем отчете «Анализ защищенности корпоративных информационных систем в 2017 году«, опубликованном на сайте Securelist.

Подробнее об анализе защищенности читайте на странице сервисов кибербезопасности.

Категории: Новости вендоров

Насколько опасен Интернет? Эксперты оценили: на 42%

Заходя на веб-сайт, вы каждый раз подвергаете свой компьютер целому ряду неочевидных опасностей. Помимо собственного контента, который загружает любой сайт, есть еще куча всего, что сайты подгружает из сторонних источников и показывают своим посетителям. Баннеры рекламных сетей, изображения и потоковое видео, встраиваемые карточки постов в соцсетях и многое, многое другое — при загрузке всего лишь одной страницы на ваш компьютер на самом деле попадает целая коллекция видимого и невидимого кода из самых разнообразных источников.

Вы спросите: но ведь это касается только сомнительных или просто малоизвестных сайтов? К сожалению, нет. Недавнее исследование наиболее посещаемых сайтов по всему миру, проведенное компанией Menlo Security, показало, что почти половина из них использует уязвимое ПО, загружает слишком много активного контента и злоупотребляет исполняемым кодом, — иными словами, ставит посетителей в крайне опасное положение. По итогам анализа эксперты признали «рискованными» 42% сайтов из списка самых посещаемых сайтов Alexa Top 100 000.

Сайт сайту друг, товарищ и брат

Все исследованные сайты используют разнообразный сторонний контент, причем в среднем — из 25 источников. Это значит, что когда вы заходите на сайт, которому доверяете, вы на самом деле имеете дело не только с ним, но и с десятками других сайтов — о большинстве из которых вы даже никогда не слышали.

Отображение на сайте сторонних материалов само по себе рискованно, но ситуация стала еще хуже, когда киберпреступники догадались взламывать популярные источники контента и использовать их в качестве рассадников заразы. Даже если ваш любимый новостной сайт тщательно заботится о безопасности своих посетителей, кто может поручиться за все остальные сайты, которые поставляют ему дополнительный контент?

Уязвимое веб-серверное ПО

Впрочем, как отмечают авторы отчета, многим популярным сайтам не стоит беспокоиться о возможных проблемах из-за сторонних источников контента: в них хватает собственных уязвимостей. В первую очередь это связано с использованием устаревшего серверного ПО, которое порой не обновляется годами или даже десятилетиями. Такие сайты чрезвычайно уязвимы для вредоносного ПО и утечек данных, а значит, их пользователи сильно рискуют.

Прошлогодняя эпидемия WannaCry показала всему миру, насколько важно вовремя обновлять программное обеспечение. К сожалению, не похоже, чтобы этот урок хорошо усвоили.

Защитите себя сами

В общем, вывод такой: нельзя доверять сайту только потому, что он популярен, красиво сделан или имеет хорошую репутацию. Однако заставить владельцев и администраторов сайтов заботиться о своих посетителях невозможно, поэтому не теряйте бдительности сами: отключите в веб-браузере Flash и, может быть, даже JavaScript, если вы особенно осторожны (правда, некоторые веб-сайты без JavaScript не работают). А еще лучше — установите надежное защитное решение и настройте его автоматическое обновление. Kaspersky Internet Security проверяет все веб-сайты, на которые вы заходите, и сканирует все файлы, которые вы скачиваете. Эффективные методы обнаружения угроз и защиты от них способны противостоять любым опасностям, которые могут навлечь на вас ненадежный веб-сайт и источники его контента.

Категории: Новости вендоров

Как угоняют аккаунты в Instagram

Instagram – не только вторая по популярности соцсеть в мире, но и способ заработка для многочисленных фотоблогеров, моделей и прочих известных личностей. Выдающиеся аккаунты с многими тысячами подписчиков интересуют не только любителей посмотреть на что-то красивое, но и злоумышленников – если такой аккаунт украсть, то с ним можно натворить немало недобрых дел. Но как именно угоняют аккаунты в...

Source

Категории: Новости вендоров

Созданный в Microsoft робот подаст напитки из холодильника

Microsoft - пн, 20/08/2018 - 13:05

На мероприятии Faculty Summit 2018 члены исследовательского подразделения Microsoft Research представили робота, способного обращаться с предметами и ориентироваться в окружающей среде, подобно человеку. Предполагается, что главной его миссией станет помощь секретарям. В качестве демонстрации своих возможностей робот открывает дверцу холодильника и достает оттуда прохладительные напитки. Посмотреть, как он это делает, можно на видео (включить перевод […многоточие]

The post Созданный в Microsoft робот подаст напитки из холодильника appeared first on Новости.

Категории: Новости вендоров

Детская больница Alder Hey планирует использовать голограммы в операционных

Microsoft - сб, 18/08/2018 - 02:18

Одна из старейших детских больниц Великобритании планирует использовать технологии Microsoft, помогающие докторам взаимодействовать и совершенствовать хирургические процедуры. Больница Alder Hey, принимающая более 270 000 детей и их семей в год, хочет оснастить залы для совещаний широкоэкранными дисплеями Surface Hub, а операционные комнаты — гарнитурами смешанной реальности HoloLens. Хирурги хотят использовать гарнитуры HoloLens, позволяющие легко создавать […многоточие]

The post Детская больница Alder Hey планирует использовать голограммы в операционных appeared first on Новости.

Категории: Новости вендоров

94% руководителей уверены в пользе искусственного интеллекта для бизнеса

Microsoft - чт, 16/08/2018 - 15:18

Согласно результатам глобального исследования Microsoft, недоверие компаний к искусственному интеллекту (ИИ) уходит в прошлое. Практически все опрошенные руководители уже сегодня считают его важным для решения стратегических задач их организаций. В подтверждение этому 27% уже внедрили ИИ в ключевые бизнес-процессы и сервисы, а еще 46% готовят пилотные проекты на его основе. Microsoft представила результаты глобального исследования […многоточие]

The post 94% руководителей уверены в пользе искусственного интеллекта для бизнеса appeared first on Новости.

Категории: Новости вендоров

Онлайн-аккаунты можно угнать через вашу голосовую почту

Кто в наше время пользуется голосовой почтой? Первый ответ, который наверняка всем приходит в голову, — «да никто». Но этот ответ одновременно и правильный, и неправильный: с одной стороны, по делу голосовой почтой действительно давно уже никто не пользуется. С другой стороны, у многих абонентов сотовой связи есть голосовая почта — и она продолжает исправно работать, даже если в нее уже несколько лет не заходили.

Наконец с третьей стороны, не факт, что вашей голосовой почтой не пользуется кто-нибудь другой. В докладе «Компрометация онлайн-аккаунтов через взлом голосовой почты» на DEF CON 26 исследователь Мартин Виго (Martin Vigo) продемонстрировал, что голосовая почта может заинтересовать тех, кто хочет взломать ваши онлайн-аккаунты.

Взломать голосовую почту сравнительно просто

Дело в том, что большинство операторов позволяет входить в голосовой почтовый ящик не только с вашего телефона, но и с чужого — у всех операторов есть специальный номер доступа к голосовой почте, на который может позвонить кто угодно. При этом потребуется ввести номер вашего телефона и ПИН-код. Вот только эти ПИН-коды не очень-то безопасны. Значительная часть абонентов использует коды, установленные оператором по умолчанию, — обычно это или последние цифры телефонного номера, или что-то совсем простое вроде 1111 или 1234.

Более того, даже если абонент удосужился поменять ПИН-код, с большой вероятностью его можно угадать: как показывает исследование, придумывая цифровые коды, люди оказываются еще менее изобретательны, чем придумывая пароли.

Во-первых, скорее всего, ПИН состоит из четырех цифр, даже если есть техническая возможность сделать его длиннее. Во-вторых, очень многие используют простейшие комбинации из четырех одинаковых цифр или «удобные» комбинации вроде 1234, 9876, 2580 (средний вертикальный ряд на телефонной клавиатуре) и тому подобного. Также весьма популярны ПИН-коды, начинающиеся на 19хх. Знание этих особенностей позволяет значительно ускорить взлом голосового почтового ящика.

Не обязательно вручную перебирать все комбинации — это можно сделать с помощью скрипта, который звонит на общий номер голосовой почты и в тональном режиме вводит разные комбинации. Все вышесказанное делает взлом голосовой почты делом не только реальным, но и не слишком ресурсоемким. «Ну и что? — скажете вы, — все равно в моей голосовой почте нет ничего ценного». Но на самом деле кое-что ценное там очень даже может быть.

Как взломать PayPal и WhatsApp через голосовую почту

Дело в том, что при сбросе пароля многие крупнейшие онлайн-сервисы в качестве одной из опций предлагают позвонить вам на указанный в профиле телефонный номер и продиктовать код подтверждения операции.

Задача атакующего сводится к тому, чтобы подобрать ПИН-код от голосовой почты и дождаться того момента, когда телефон жертвы окажется выключен или вне зоны действия (например, в режиме полета). После этого остается инициировать сброс пароля в онлайн-сервисе и указать в качестве варианта подтверждения звонок, который будет переведен на голосовую почту.

В качестве демонстрации Мартин Виго показал, как с помощью данной техники можно угнать учетную запись в WhatsApp.

На некоторых онлайн-ресурсах процесс подтверждения устроен немного иначе: сервис перезванивает на привязанный к аккаунту номер телефона и для подтверждения просит ввести цифры, отображенные на странице сброса пароля. Это можно обойти с помощью нехитрого трюка — достаточно записать соответствующие этим цифрам тоновые сигналы в качестве приветственного сообщения голосовой почты.

Один из онлайн-сервисов с такой системой подтверждения — PayPal. Мартину Виго удалось взломать и его:

Это просто пара примеров — на самом деле сервисов, которые используют голосовой звонок на привязанный номер телефона для подтверждения сброса пароля или для передачи одноразового кода двухфакторной аутентификации, гораздо больше.

Как защититься от взлома с использованием голосовой почты?
  • Подумайте о том, чтобы вовсе отключить голосовую почту — практической пользы от нее все равно немного.
  • Если голосовая почта вам все же нужна, по крайней мере используйте надежный ПИН-код. Во-первых, его длина должна быть больше четыре цифр. Чем длиннее — тем лучше. Во-вторых, комбинация должна быть неочевидной (в идеале — случайной).
  • Не давайте кому попало телефонный номер, к которому привязаны ваши учетные записи в онлайн-сервисах. Чем сложнее сопоставить вашу «электронную личность» с телефонным номером — тем лучше.
  • Старайтесь не привязывать номер телефона к онлайн-сервису, если это не является обязательным условием или не требуется для двухфакторной аутентификации.
  • Обязательно используйте двухфакторную аутентификацию — в идеале приложение вроде Google Authenticator или отдельное устройство вроде Yubikey.
Категории: Новости вендоров

Страницы