Новости вендоров

Выпущены обновления безопасности Microsoft за март 2019

Microsoft - ср, 13/03/2019 - 12:16

Компания Microsoft выпустила обновления безопасности для следующих продуктов: Windows, Windows Server, Microsoft Edge, Internet Explorer, Office, SharePoint Server, Visual Studio, Team Foundation Server, .NET Core SDK, NuGet, Mono Framework, Chakra Core и Adobe Flash Player. Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже: Информация об уровне критичности, потенциальном ущербе […многоточие]

The post Выпущены обновления безопасности Microsoft за март 2019 appeared first on Новости.

Категории: Новости вендоров

Minecraft станет доступна подписчикам Xbox Game Pass в апреле

Microsoft - ср, 13/03/2019 - 11:17

Легендарная игра Minecraft, полюбившаяся миллионам пользователей по всему миру, с 4 апреля станет доступна подписчикам Xbox Games Pass. Об этом сообщила команда Xbox в рамках нового эпизода шоу Inside Xbox, трансляция которого состоялась минувшей ночью. Minecraft предлагает неограниченные возможности для проявления своих творческих способностей в необъятном трехмерном мире, состоящем из разнообразных кубических блоков. Бескрайние равнины […многоточие]

The post Minecraft станет доступна подписчикам Xbox Game Pass в апреле appeared first on Новости.

Категории: Новости вендоров

Переход на Windows 10 и Office 365

Microsoft - ср, 13/03/2019 - 00:31

14 января 2020 года, спустя 10 лет после появления операционной системы Windows 7, мы прекращаем поддержку этой ОС. Вскоре после этого закончится поддержка Office 2010. Сейчас мы хотим помочь вам рекомендациями по поводу последующих действий и ответить на вопросы, которые могут у вас возникнут в связи с окончанием поддержки.

The post Переход на Windows 10 и Office 365 appeared first on Новости.

Категории: Новости вендоров

Представлено 13 новых игр в рамках программы [email protected]

Microsoft - вт, 12/03/2019 - 23:06

За неделю до открытия конференции GDC 2019 команда Xbox представила новую линейку игр от независимых разработчиков, которые будут доступны на стенде Microsoft в рамках грядущего мероприятия. Игроки со всего мира смогут одними из первых познакомиться с 30 различными проектами для Xbox One и Windows 10, 13 из которых будут впервые представлены в рамках программы [email protected]: […многоточие]

The post Представлено 13 новых игр в рамках программы [email protected] appeared first on Новости.

Категории: Новости вендоров

Microsoft запустила онлайн-курсы по искусственному интеллекту для бизнеса

Microsoft - вт, 12/03/2019 - 11:25

Microsoft запустила бесплатные онлайн-курсы по искусственному интеллекту для бизнеса AI Business School[1]. Они были разработаны специально для топ-менеджеров и руководителей, которые планируют внедрять ИИ в своих компаниях. Структура курса содержит 4 модуля. Первый посвящен стратегии, он нужен для понимания того, какие именно аспекты будут полезны для улучшения бизнес-процессов компании. Второй поможет понять, какие изменения в […многоточие]

The post Microsoft запустила онлайн-курсы по искусственному интеллекту для бизнеса appeared first on Новости.

Категории: Новости вендоров

Microsoft открывает бизнес-школу, чтобы учить стратегии ИИ, культуре и ответственности

Microsoft - пн, 11/03/2019 - 17:07

Автор – Джон Роуч В последние годы некоторые из самых быстрорастущих компаний мира внедряют искусственный интеллект (ИИ) для решения специфических бизнес-задач. Microsoft провела маркетинговое исследование, чтобы понять, как ИИ повлияет на лидерство в бизнесе, и выяснила, что вероятность активного внедрения ИИ в быстрорастущих компаниях более чем в 2 раза выше, чем в компаниях, развивающихся медленнее. […многоточие]

The post Microsoft открывает бизнес-школу, чтобы учить стратегии ИИ, культуре и ответственности appeared first on Новости.

Категории: Новости вендоров

Криптоджекинг на подъеме

Криптоджекинг — это использование чужих компьютеров для майнинга криптовалюты без ведома владельцев этих компьютеров. Говоря по-простому, это вредоносный майнинг: нехорошие люди тем или иным образом незаметно устанавливают на чужие компьютеры программы-майнеры (в идеале — массово) и получают всю прибыль от добычи криптовалюты, не неся при этом никаких расходов — ни на оборудование, ни на электричество.

Если вы еще не слышали о криптоджекинге, то сейчас самое время познакомиться с этим явлением, и вот почему.

Стремительный рост популярности криптоджекинга

Может показаться, что падение курсов криптовалют должно было привести к снижению популярности криптоджекинга — ведь прибыль от майнинга снизилась. Но на самом деле все совсем наоборот. На RSA Conference 2019 аналитики Cisco Umbrella рассказали о том, что связанный с криптомайнингом трафик организаций по всему миру за год резко вырос (примерно в 200 раз!), и это напрямую связано с ростом популярности криптоджекинга.

Скорее всего, дело в том, что за период роста курсов криптовалют многие люди успели привыкнуть к высоким доходам. И после падения рынка, когда майнить с использованием собственного оборудования, честно оплачивая счета за электричество, стало невыгодно, они решили переключиться на альтернативный способ заработка — криптоджекинг.

Кто больше всех страдает от криптоджекинга

Основной урон от криптоджекинга несут малые и средние бизнесы — на первые приходится около трети критомайнингового трафика, на вторые — половина. Крупные организации отвечают лишь за 18% трафика. Можно предположить, что это связано с гораздо более серьезным отношением крупного бизнеса к информационной безопасности и более расслабленным отношением к данному вопросу у средних и небольших организаций.

Любопытно распределение криптомайнингового трафика по индустриям: первое место занимает энергетический сектор (34%), за ним следуют образование (26%) и здравоохранение (7%).

Судя по статистике Cisco Umbrella, главный удар криптожуликов пришелся на Северную Америку: США отвечает за 62% криптомайнингового трафика и еще 2% приходится на Канаду. На втором месте регион EMEA с более скромными 6%. Самой большой неожиданностью для исследователей стало то, что на третьем месте оказалась ЮАР — около 2% связанного с майнингом трафика приходится на эту страну.

Как защититься от криптоджекинга

Не следует недооценивать ущерб от криптоджекинга. Да, деятельность вредоносных майнеров гораздо менее разрушительна, чем криптовымогателей. Но, во-первых, это в любом случае прямые убытки — жертвам приходится оплачивать вычислительные мощности и электричество, и это может вылиться в немалые суммы.

Во-вторых, сам факт, что на компьютерах вашей компании происходит некая нелегальная деятельность, не следует игнорировать. Ведь это означает, что в вашей ИТ-инфраструктуре есть уязвимости. И сегодня их используют для криптоджекинга — а завтра, когда он перестанет быть выгодным, начнут использовать для чего-то другого.

  • Используйте надежные защитные решения. Предпочтительно с технологиями, изначально разработанными для выявления криптоджекинга.
  • На embedded-устройствах (табло, терминалы и так далее) также используйте защитные решения и по возможности включайте режим запрета по умолчанию (Default Deny).
  • Следите за трафиком: частые обращения к доменам популярных криптомайнинговых пулов — явный признак того, что кто-то майнит за ваш счет.
  • В идеале заблокируйте обращения к таким доменам для всех компьютеров в вашей сети — списки доменов можно найти в Сети. Не забывайте обновлять этот список время от времени — новые домены появляются постоянно.
  • Проверяйте платформы облачных вычислений, такие как Amazon EC2, Microsoft Azure и так далее, на аномальный рост использования процессора.
Категории: Новости вендоров

Совет №31: законы нумерации

Microsoft - пн, 11/03/2019 - 12:06

Многие знают, как пронумеровать страницы документа в Word автоматически, но мало кто умеет менять нумерацию виртуозно в зависимости от задачи. Представьте, что вы готовите доклад или отчет. У вас есть титульный лист, оглавление, вам не хочется, чтобы единица появлялась на первой странице, а может быть, вы вообще хотите начать с другого числа. Расскажем, как подчинить […многоточие]

The post Совет №31: законы нумерации appeared first on Новости.

Категории: Новости вендоров

Совет №30: как вставить видео из Интернета и анимировать текст с помощью OneNote

Microsoft - чт, 07/03/2019 - 23:58

Хотите удивить свою вторую половинку и сделать романтический видеоальбом? Отмечаете юбилей родителей и думаете, как разнообразить семейное торжество за просмотром памятных фотографий? Помогаете сделать ребенку доклад к школе? Тогда можно обратиться к интерактивным записным книжкам в OneNote. В них можно добавить видео не только свое, но и взятое из других источников, а также поделиться креативом […многоточие]

The post Совет №30: как вставить видео из Интернета и анимировать текст с помощью OneNote appeared first on Новости.

Категории: Новости вендоров

Just Cause 4 и другие игры пополнят каталог Xbox Game Pass в марте

Microsoft - чт, 07/03/2019 - 13:29

Команда Xbox поделилась списком игр, которые присоединятся к постоянно растущему каталогу Xbox Game Pass в ближайшее время. В марте все подписчики сервиса получат доступ к следующим проектам: Just Cause 4 (Уже доступна) Это птица? Это самолет? Нет, это Рико Родригес, который присоединился вместе с ураганным экшеном Just Cause 4 к Xbox Game Pass уже сегодня, […многоточие]

The post Just Cause 4 и другие игры пополнят каталог Xbox Game Pass в марте appeared first on Новости.

Категории: Новости вендоров

Почтовый автоответчик: как не сболтнуть лишнего

Отправляясь в отпуск или командировку, многие сотрудники настраивают автоматические ответы на входящие письма, чтобы клиенты и коллеги знали, к кому следует обращаться в их отсутствие. Обычно такое сообщение содержит информацию о сроках поездки, контактные данные заместителей, а иногда — сведения о текущих проектах.

Однако автоматические ответы могут стать источником рисков для бизнеса. Если сотрудник не ограничил круг получателей автоответа, робот отвечает всем, чьи письма попали в папку «Входящие». А это могут быть киберпреступники или спамеры, которым удалось обойти фильтры. При этом информации в автоответе может оказаться достаточно для организации целевой атаки.

Большие неприятности из-за одной строчки

В случае со спамерами такое письмо напрямую сообщает злоумышленникам, что адрес электронной почты действителен и принадлежит конкретному человеку — с именем, фамилией и должностью. Часто в подписи содержится еще и номер телефона.

Обычно спамеры рассылают письма по огромной базе данных, которая со временем устаревает и теряет актуальность, а потому используется все реже и реже. Однако поняв, что на другом конце линии есть реальный человек, преступники сразу же внесут его в список проверенных целей и станут писать значительно чаще. А может быть, и звонить. Но это меньшее из зол.

Гораздо хуже, если автоответ уйдет людям, приславшим фишинговое письмо. Получив информацию о замещающих сотрудниках, включая их имена, должности, график работы и даже телефоны, преступники могут организовать качественную целевую фишинговую атаку. И не стоит думать, что эта проблема актуальна только для крупных компаний: по сути злоумышленникам в руки попадают все необходимые данные для дальнейших упражнений в социальной инженерии. Почему бы не воспользоваться ей, если предварительного сбора информации не нужно?

Как могут действовать злоумышленники

Представьте, что менеджер Петр уехал в отпуск, оставив подробный автоответ. Например, такой: «Меня не будет в офисе до 27.03. По проекту ООО «Ромашка» работы курирует Татьяна (адрес, телефон). Редизайном приложения для ООО «Вий» занимается Арсений (адрес, телефон)».

В это время Арсению приходит письмо якобы от директора ООО «Вий». Ссылаясь на договоренности с Петром, он просит посмотреть новый эскиз пользовательского интерфейса приложения и спрашивает, удастся ли это реализовать? В такой ситуации Арсений, скорее всего, откроет приложенный к письму файл или перейдет по ссылке, тем самым подвергнув рабочий компьютер угрозе заражения.

Кроме того, преступники могут выведать конфиденциальную информацию прямо в переписке, ссылаясь на уехавшего в отпуск работника и историю сотрудничества. Чем больше они знают о компании, тем выше вероятность, что заместитель отправит им внутренние документы или иным образом выдаст коммерческую тайну.

Что с этим делать?

Чтобы почтовый автоответчик не стал источником проблем, необходимо продумать грамотную политику для сообщений об отсутствии.

  • Определите, кому из сотрудников действительно необходим такой инструмент. Если работник ведет всего пару клиентов, то он может уведомить их об отъезде отдельным письмом или по телефону.
  • Сотрудникам, все задачи которых можно передать одному заместителю, имеет смысл использовать переадресацию. Да, это не всегда удобно, но, с другой стороны, гарантирует, что важные письма не будут пропущены.
  • Порекомендуйте работникам создать два варианта ответа — для внутренних и внешних адресов. В письмо для коллег можно добавить более подробные инструкции, при этом посторонние не узнают лишнего.
  • Если сотрудник переписывается только с коллегами, то автоответ на внешние адреса вообще лучше отключить.
  • В любом случае посоветуйте персоналу указывать в автоматических ответах только ту информацию, которая необходима для рабочего процесса. Не нужно приводить в письме названия конкретных линеек продуктов, имена заказчиков, сведения о том, куда уехал сотрудник, номера телефонов коллег и прочие избыточные детали.
  • На почтовом сервере стоит использовать решение, автоматически выявляющее спам и попытки фишинга, а заодно и проверяющее вложения на предмет наличия в них вредоносного ПО.
Категории: Новости вендоров

Pirate Matryoshka: троян-матрешка в пиратской бухте

Борьба с торрентами идет уже так давно, что любая попытка предупредить о какой-то угрозе с их стороны наталкивается на стену недоверия: опять, дескать, правообладатели придумывают байки. Нет, не байки. Ну ладно, они тоже, но не всегда. Разберем одну такую «не байку» на примере условного Андрея, которому позарез потребовалось скачать что-то с торрент-трекера.

Если Андрей использует торренты чтобы сэкономить, то люди с более низкой социальной ответственностью пользуются ими для заработка на Андрее. Например, с помощью схемы, которую мы недавно выявили на известном трекере ThePirateBay, где злоумышленники создали множество клонов раздач взломанного ПО, заменив в них исходные файлы своими, зловредными.

Как работает Pirate Matryoshka: торрент-зловред с Pirate Bay

Когда Андрей запускает файл, подмененный злоумышленниками, инсталлятор первым делом показывает ему окно авторизации на трекере. Если наш герой принимает это за чистую монету и вводит свои логин и пароль, они отправляются прямиком к авторам вредоноса – и теперь уже аккаунт Андрея будет использоваться для создания фейковых раздач (таким образом, выявить подделку, основываясь только на возрасте учетной записи, невозможно).

С помощью таких окон «авторизации» злоумышленники крадут данные для доступа к аккаунту пользователя и затем используют его для создания фейковых раздач

Но источник дохода злоумышленников вовсе не в угоне учетных записей – их заработок строится на участии в партнерских программах, где деньги выплачиваются за каждый факт установки на компьютер жертвы определенных приложений. Поэтому вместе с нужным софтом на компьютер Андрея установится дополнительное ПО. Много дополнительного ПО.

Несмотря на то, что оно не всегда вредоносное (по нашим подсчетам, настоящие зловреды встречаются в каждом пятом случае), пользователю от этого не легче. Отныне Андрею придется бороться с полчищами приложений-оптимизаторов, кишащих рекламой, тулбарами в браузерах, меняющими домашнюю страницу и добавляющими свои баннеры на каждый сайт, а если «повезет», то и с троянами.

Результат работы установщика партнерских программ

Надо сказать, что если бы Андрей запустил подобный файл, скачанный откуда-то еще, у него был бы шанс: несмотря на нахождение в «серой зоне», авторы инсталляторов партнёрских программ все-таки оставляют пользователю возможность отказаться от установки лишних приложений. Правда, такую опцию нужно еще постараться найти:

Видите «Дополнительные параметры» в углу? Они скрывают вагон и маленькую тележку дополнительного ПО, которое установится на ваш компьютер.

Но в случае с заразой с ThePirateBay, которую мы назвали PirateMatryoshka за некоторые особенности работы, такой фокус не пройдет: перед началом установки зловред запускает автокликеры — модули, которые автоматически проставят галочки в нужных окнах, не давая жертве отказаться от установки софта.

Заключение

Если вы качаете что-либо с торрентов, будьте готовы встретить там зловредов. Особенно это касается программного обеспечения, где от исполняемых файлов точно никуда не деться.

Впрочем, было бы наивно полагать, что, не связываясь с торрентами и не используя взломанный софт, вы наверняка избежите Андреевой участи. «Партнерский инсталлятор» можно встретить где угодно – и надо либо бояться всех исполняемых файлов, скачанных из Интернета, как огня, либо иметь наготове надежный антивирус. Например, Kaspersky Internet Security умеет обнаруживать все части Pirate Matryoshka и нейтрализовывать их.

Категории: Новости вендоров

Самое важное с Mobile World Congress 2019

Что случается в Вегасе, остается в Вегасе, а вот то, что происходит на Mobile World Congress в Барселоне, редко остается в пределах Mobile World Congress. Наоборот, сложно вообразить человека, на жизнь которого ни малейшего влияния не оказывали бы новые концепции и технологии, которые анонсируют на одном из крупнейших мероприятий в области телекоммуникаций и пользовательской электроники. Поэтому, даже если смартфоны и прочее оборудование для связи вам не слишком интересны, к происходящему на MWC все равно стоит присмотреться. Давайте кратко поговорим о главных трендах, обсуждавшихся на конференции в этом году.

Наконец-то 5G

Первое и самое главное: 5G наконец-то превращается из концепции в реальность. В последние годы нам часто обещали приход 5G, однако, похоже, именно в 2019 году по всему миру начнут массово разворачивать сети нового поколения.

На MWC19 оба ведущих изготовителя чипов для мобильных устройств, Qualcomm и Intel, полностью посвятили свои стенды стандарту пятого поколения. Все основные производители смартфонов также продемонстрировали модели с поддержкой 5G. В общем, есть немаленький шанс, что ваш следующий смартфон будет поддерживать 5G и что вы будете пользоваться им в настоящей 5G-сети.

Как мы уже обсуждали в этой статье, основное преимущество 5G — вовсе не скорость передачи данных. Она, конечно, увеличится, но сети 5G разрабатывают в первую очередь ради роста пропускной способности. Устройств, которые постоянно подключены к Интернету, уже насчитываются миллиарды, и эта цифра будет быстро возрастать — ведь «умные» технологии сегодня популярны как никогда. Это, собственно, приводит нас к разговору об Интернете вещей, уязвимость которого на MWC19 продемонстрировали в очередной раз.

Ультразвуковые сканеры отпечатков пальцев

Qualcomm представила ультразвуковые сканеры отпечатков пальцев еще четыре года назад — на Mobile World Congress 2015. Тогда эта технология находилась на стадии прототипа, но в этом году она наконец-то была встроена в реальные продукты — ультразвуковыми датчиками были оборудованы многие смартфоны, показанные на MWC19. Справедливости ради стоит сказать, что некоторые из них были представлены и даже начали продаваться еще за несколько месяцев до выставки, но в 2019 году их, похоже, станет гораздо больше.

По сравнению с обычными емкостными датчиками ультразвуковые имеют несколько преимуществ. Во-первых, они бесконтактные, поэтому их можно спрятать под дисплеем смартфона. Когда пользователю нужно будет приложить палец, смартфон покажет, куда именно.

Во-вторых, ультразвуковые сенсоры надежнее. Они считывают трехмерную структуру объектов, а потому могут отличить копию отпечатка от настоящего пальца. Более того, они работают так быстро, что считывают отпечатки в реальном времени. Благодаря этому они не перепутают живой палец с мертвым или распечатанным на 3D-принтере – с помощью того же датчика можно следить за сердечным ритмом. Если вас тоже мучили шутками вроде «А что если кто-то отрежет твой палец, чтобы разблокировать телефон?» — теперь вы знаете, как ответить.

Искусственный интеллект

Тему ИИ сейчас обсуждают везде, и Mobile World Congress не стал исключением. Почти в каждом выступлении и на каждом стенде можно было услышать что-то об искусственном интеллекте. В том числе даже на стенде Oral-B, где представили новую зубную щетку Genius X, также использующую эту технологию.

Если вынести за скобки нездоровый ажиотаж, это означает, что многие компании по всему миру следуют примеру Amazon, Google и других сверхгигантов, работающих с данными. Эти компании всеми силами стремятся извлечь как можно большую выгоду из огромных объемов информации, которые они ежедневно собирают. Для этого они планируют использовать искусственный интеллект — то есть, на самом деле, машинное обучение, которое обычно и имеют в виду люди, говоря об искусственном интеллекте.

Так уж вышло, что по ряду причин машинное обучение особенно полезно при борьбе с вредоносными программами. «Лаборатория Касперского» начала применять эту технологию одной из первых и постепенно накопила обширный опыт в этой сфере. Поэтому мы хорошо знаем, что у искусственного интеллекта, как и у любой другой технологии, есть и достоинства, и недостатки.

Однако ИИ отличает от многих других технологий то, что связанные с ним проблемы могут быть неявными и сложными для понимания. Более того, результаты работы систем на базе ИИ бывают непонятны не только пользователям таких систем, но и самим разработчикам. Поэтому важно помнить о недостатках ИИ и весьма осторожно применять опирающиеся на него технологии. Ошибки здесь могут дорого обойтись и отдельным людям, и обществу в целом.

Категории: Новости вендоров

Автобудущее сегодня

Оригинал поста на блоге Евгения Касперского

Поскольку совсем недавно я потрогал авто-спортивную тему предстоящего сезона Формулы-1, то снова захотелось поговорить об авто и о будущем. Об авто-будущем, которое не далёкий для многих автоспорт, а о том самом о чень близком будущем, которое коснётся каждого и откроет новую страницу в ~350-летней истории автомобиля. Да, да, и вашего автомобиля тоже (или же ваших автомобилей, если их несколько).

Читая недавние знаковые заголовки у меня слетает шляпа (почти (с) из Чехова) -> «Калифорния легализует тестирование беспилотных автомобилей», «Беспилотные самосвалы Вольво обслуживают рудник» (кстати, интересная сервисная бизнес-модель!), «Беспилотный КАМАЗ идёт в серию!» «Cognitive Technologies превысила 99% в точности распознавания кадра». Google, Яндекс, Baidu и неизвестно большое количество других компаний из разных сфер и стран разрабатывают свои беспилотные проекты. Конечно, заголовки иногда получаются не очень, но эти исключения лишь доказывают тенденцию.

Да только что сам лично совершенно недавно на заводе Barilla (кстати наш клиент) видел как автоматическая линия выдаёт тонны макароно-спагетти, как роботы раскладывают это по коробкам и пакуют в пачки, а потом авто-электро-кары отвозят их к грузовикам… которые пока ещё не автоматические. Но очень скоро будут. Кто-то сомневается?

А совсем недавно, всего-то в начале этого тысячелетия, в своих выступлениях я отвлечённо шутил «кто купит автомобиль, который ездит ровно с положенной скоростью?». (здесь я немного лукавлю… я говорил не об автономном авто, а об управляемом :)

Теперь совсем чуть-чуть авто-техно-политкорректного текста, без которого мои рассуждения могут быть безжаластно порезаны интернет-цензурой… ой, о чём я?

</нужный блок on>
Так вот: такой автомобиль уже почти здесь и сейчас. Завтра – везде. И скажу без тени сарказма – это офигительно. Потому что система, работающая чётко по правилам, не испытывает деградации производительности. Посему не только с положенной скоростью, но быстро, безопасно, комфортно, автоматически. Сначала выделенные магистрали только для автомобилей в беспилотном режиме, дальше – целые города и страны, совсем дальше… ну вы догадываетесь :) Чувствуете перспективы рынка апгрейда старых машин?
</нужный блок off>

А теперь моя мысль и пальцы на клавиатуре пойдут выдавать самое интересное, ради чего и создаются эти многобукв. Поехали ->

На самом деле со светлым беспилотным будущим всё понятно. Я же хотел заглянуть за горизонт и немного под капот. Автоматические, простите за тавтологию, автомобили (true автомобили) – это только один из аспектов грядущей индустриальной революции. Изменения коснутся самой парадигмы личного транспорта, подходов к владению и пользованию им, всех сопутствующих стандартов, дорожных правил, и, конечно, кибербезопасности.

Умнобили (о, мемасик родился! :) создадут самую большую в мире индустриальную сеть в мире (V2X – Vehicle to Everything), через которую они смогут «общаться» по самым разным поводам движения. Едет скорая, транслирует сигнал – машины заблаговременно сворачивают на обочину, так что «мигалка» летит спасать людей на максимальной скорости. Поиск парковочного места (как и сама парковка) становится рутиной автоматики.  Ухаб на дороге – машины предупреждают друг друга о необходимости притормозить. Пробка – рассыпаются по альтернативным траекториям.

Развитие беспилотных технологий и каршеринга (CaaS — Car as a Service) через несколько десятилетий имеет шансы перевернуть автомир – личный автомобиль станет для одних технологическим атавизмом, а для других статусным предметом роскоши. По заказу с умнофона к дому в указанное время подкатывает авто указанного класса с персональными настройками (музыка, температура, положение кресел, параметры оплаты и т.д.), принимает пассажира и по оптимальному пути само везёт его в указанном направлении. Машина превратится в периферийное устройство для умнофона!

На самом деле фантазировать на эту тему можно долго. Если кто захочет поделиться другими идеями — давайте в комментарии.

Я же переведу обсуждение в другую плоскость, вы догадались какую – кибербезопасность.

Уверен, что во время чтения этого поста у редкого человека не возникало возмущения вроде «да это же несекюрно!», «их завтра же взломают!» и даже «я никогда не сяду в такую машину». И будете правы, правы, правы. Посмотрите, например, на рынок IoT-устройств: в погоне за функциональностью производители игнорируют безопасность. Но в мире IoT это может привести к потере данных, нарушении прайваси, в худшем случае «окирпичиванию» устройства, а вот в автомире на кону жизни реальных людей, в том числе тех, кто не имеет к автомобилю никакого отношения (например, пешеходы). И очень хорошо, что автопроизводители это понимают – это отчасти объясняет почему наши машины до сих пор не превратились в умнобили. Автопроизводители делают офигенные тачки, но кибербезопасность – не их профиль. Большинство ограничивается «песочничами», для изоляции электронных блоков наподобие архитектуры iOS. А чтобы получалось и офигенно и безопасно никак не обойтись без специализации и разделения труда.

Впрочем, не всё так однозначно. Мне попадался на глаза случай, когда секюрити-разработчик предложил автопроизводителю свои услуги, на что тот ответил, что, мол, у нас и так всё хорошо, после чего разработчик продемонстрировал несколько простых сценариев тотального взлома компьютерной системы (!) автомобиля в движении (!!) из соседнего автомобиля (!!!). Производитель крепко задумался. И это на самом деле так – современный автомобиль представляет собой очень доступную цель для хакеров:

Так или иначе, без сотрудничества ничего хорошего не получится. Приятно, что многие это не только понимают, но идут дальше теоретизирования, разрабатывая реальные решения. Пример: наш совместный проект с AVL по созданию модуля защищённой связи (Secure Communication Unit, SCU), который обеспечивает защиту коммуникаций между компонентами автомобиля и его инфраструктурой.

Если говорить простыми словами, то этот модуль, работающий под управлением безопасной ОС, защитит автомобиль от хакеров и вредоносных программ. В нём нашли отражение несколько интересных патентуемых изобретений (заявки в РФ: 2018111476, 2018111478, 2018104435, в США: US16/120,762, US16/058,469, US16/005,158, в Европе: EP18194672.4, EP18199533.3, EP18182892.2), которые описывают специальный шлюз для встраивания в компьютерную систему автомобиля. Шлюз анализирует данные о работе электронных блоков и сетевую активность и выявляет отклонения, которые могут свидетельствовать о кибератаке, несанкционированном вмешательстве или технических неисправностях. Для анализа используется база данных правил, описывающих различные сценарии атак, плюс технологии машинного обучения. Да, вы правильно поняли – в общих чертах это умный программно-аппаратный фильтр, заточенный под автомобильную реальность.

Правила фильтрации разрабатываются совместно с автопроизводителем и в случае их срабатывания шлюз может блокировать опасные действия и присылать уведомления владельцу. Таким образом, например, известный взлом Миллера-Валасека в защищённой машине просто не сработал бы и Fiat Chrysler не пришлось бы отзывать 1,4млн. машин. Не могу знать сколько стоил этот отзыв и какой репутационный ущерб компании он нанёс. Однако не сомневаюсь, что если кибератака пройдёт мимо защиты (ничего абсолютного не бывает), то автопроизводитель сможет в течение дней (а то и часов) оперативно закрыть уязвимость через SCU, не дожидаясь разработки новой прошивки авто. И что особенно важно – немедленно растиражировать решение на все уязвимые машины от Рио-де-Жанейро до Рязани.

Параллельно шлюз записывает телеметрию электронных блоков и анализирует её алгоритмами машинного обучения в облаке, чтобы выявлять неизвестные кибератаки. С другой стороны, этот бортовой журнал можно использовать как регистратор событий широкого применения. Например, покупатели подержанных машин смогут видеть достоверную «историю болезни» авто, в случае происшествий у водителей будут доказательства как всё было на самом деле, можно контролировать установку запчастей и ремонтные работы в сервисах. Да и вообще, согласитесь, всегда полезно знать, что происходит под капотом у автомобиля.

Внимательный читатель логично усомнится, мол, выдерут ваш блок и перепрограммируют. Скручивают же пробег у машин… А вот и нет :) Мы же безопасники! Скрутить, переписать и что-либо каким-либо другим способом изменить в такой архитектуре невозможно. Доказано математически.

Данные подписываются по технологии, в чем-то схожей к блокчейном: каждый новый блок данных заворачивается криптографическим ключом с динамическими мета-вставками (дата, время и другие переменные) и наследными характеристиками от подписи и ключа предыдущего блока. В простейшей схеме, восстановить цепочку ключей можно только зная самый первый ключ, который генерируется доверенным «чёрным ящиком» и устанавливается автопроизводителем. Иными словами, это позволяет получить гарантии аутентичности данных, которые могут использоваться, например, для обеспечения гарантии производителя, экологического контроля, контроля сна и отдыха для профессиональных водителей, расчёта страховых премий на основе информации о характере вождения. И даже как доказательство в суде.

В действительности, автомобильная кибербезопасность – далеко не единственный вектор диверсификации нашего бизнеса. Ни у одного конкурента нет такого спектра решений, идущих за рамки традиционного антивируса. Защита критических инфраструктур, встраиваемых систем и IoT, аналитические сервисы, безопасная операционная система… причём не косметическая адаптация обычного антивируса (как у… не будем показывать вокруг пальцем), а специализированные технологии, созданные с учётом сферы применения. Немудрено, что это направление растёт больше всего: по итогам 2018г. non-endpoint продажи выросли на 55%. Я не сомневаюсь, что будущее за созданием масштабируемой многомерной экосистемы («ЕК-системы» :) технологий безопасности для построения действительно кибербезопасного мира. Экосистемы, которая позволит наконец перейти от парадигмы «cybersecurity» к «cyberimmunity», то бишь лечить причину, а не следствие.

P.S. На днях, по дороге из Фрибурга во Франкфурт, проезжая по трассе A5, обратил внимание на странные провода над правой полосой автобана. И вот что подумалось:

Вспоминаете концепцию грузового троллейбуса? Так вот — немецкое правительство, оказывается, реально строит инфраструктуру для таких «троллейтраков». И что-то мне подсказывает, что их сразу запустят в беспилотном режиме. Спорим? :)

Категории: Новости вендоров

Россия опередила США и Европу по активному внедрению искусственного интеллекта

Microsoft - вт, 05/03/2019 - 11:04

30% российских компаний активно внедряют искусственный интеллект. Это самый высокий показатель среди всех стран-участниц опроса: в среднем по миру он равен 22,3%, — показало исследование Microsoft [1]. Москва, 5 марта 2019 года. — Российские руководители используют возможности искусственного интеллекта (ИИ) для бизнеса активнее, чем их иностранные коллеги, — к такому выводу пришли эксперты Microsoft, представившие […многоточие]

The post Россия опередила США и Европу по активному внедрению искусственного интеллекта appeared first on Новости.

Категории: Новости вендоров

Совет №29: как защитить ребенка в семейной группе

Microsoft - пн, 04/03/2019 - 08:01

У вашего ребенка появился новый лэптоп? Он предвкушает радость от знакомства с устройством, хочет узнать, как оно работает, какие возможности дает, как поможет в обучении. Вероятно, вы также озабочены, потому что онлайн-мир полон опасностей: спам, фишинг и нерелевантная реклама. Есть способы защитить себя и свою семью во время использования новых девайсов. Первое, что можно сделать […многоточие]

The post Совет №29: как защитить ребенка в семейной группе appeared first on Новости.

Категории: Новости вендоров

Подделки Apex Legends: королевская битва с трояном

Последние пару лет сердца геймеров завоевывает жанр «королевская битва», он же battle royale. В начале февраля к уже ставшим классикой Fortnite и PUBG с оглушительным успехом — 25 миллионов скачиваний за первую неделю — присоединилась новинка от Electronic Arts под названием Apex Legends. И теперь фанаты с нетерпением ждут, когда же Apex Legends выйдет на мобильных устройствах. EA на это однозначно пока не отвечает и тянет время. Киберпреступники, напротив, не ждут, а активно паразитируют на хайпе.

Скачать Apex Legends для Android бесплатно, без СМС и регистрации

Мы уже рассказывали об опасностях, поджидающих поклонников Fortnite для Android просто потому, что Epic Games решила не публиковать мобильную версию игры в Google Play. Ну а издатели Apex Legends, Electronic Arts, пока вообще не говорят о выходе приложения для Android. Но нетерпеливые фанаты ищут его — а спрос, как известно, рождает предложение.

Если вы введете в поисковике «скачать apex legends android» или «apex legends mobile скачать», то на первой же странице увидите ссылки на сайты, предлагающие скачать якобы установщик игры в формате APK — так выглядят все Android-приложения. Чаще всего файл будет называться вполне убедительно: ApexLegends.apk или apex.legendsmob.apk.

Страница загрузки фейковой APK Apex Legends

Находятся и ролики на YouTube с инструкциями по загрузке и установке игры, которой — как вы помните — еще не существует. В описании к видео, естественно, есть ссылка на «нужный» ресурс.

Чего в поисковой выдаче по этим запросам нет, так это официального сайта разработчика. Все ссылки ведут исключительно на сторонние ресурсы — и одно это уже должно навести на подозрения.

Apex Legends превращается… в мерзкий троян

Если вы все-таки поддадитесь искушению и попытаетесь установить игру по ссылке из поисковика или с YouTube, вместо «королевской битвы» с друзьями вам придется сражаться с надоедливой рекламой. Потому как скачаете вы вовсе даже не игру, а, скорее всего, рекламный троян FakeFort.

Это тот же самый троян, который злоумышленники использовали, подсовывая его пользователям под видом Fortnite для Android. Такие зловреды под более или менее благовидными предлогами — например, «для верификации устройства» — предлагают скачать целый набор приложений, совсем ненужных и нередко опасных. Еще они могут потребовать, чтобы вы прошли «очень важный опрос», а заодно просмотрели пару десятков рекламных баннеров и роликов. А в итоге, конечно, выяснится, что «мобильная версия Apex Legends» так и не запускается. В данном случае для убедительности вам даже покажут вступительный ролик из игры, а уже потом начнут требовать установить лишние приложения и пройти опросы.

Не доверяйте Интернету

Наш первый и главный совет геймерам: прежде чем искать, где скачать игру в Интернете, убедитесь, что она вообще существует. Даже на первой странице выдачи Google есть ссылки не только на фейковые установщики, но и на несколько свежих статей о том, что мобильная версия Apex Legends еще не вышла.

Если приложение пока только анонсировано — узнайте дату релиза и дождитесь ее. Но даже после выпуска игры для Android соблюдайте минимальные правила безопасности:

  • Скачивайте приложения только из проверенных источников. В первую очередь это Google Play. Если разработчики по каким-то причинам решат не публиковать там игру, как это случилось с Fortnite, — подойдет их официальный сайт. Вероятность подцепить зловред в официальных источниках значительно ниже, чем где-либо еще.
  • Используйте хорошее защитное решение. Например, с помощью бесплатной версии Kaspersky Internet Security для Android вы всегда сможете проверить скачанные приложения и выловить «незваных гостей». А платная версия сама автоматически проанализирует приложение еще при загрузке и предупредит об опасности.
Категории: Новости вендоров

Новое решение Microsoft сокращает время обнаружения киберугроз с нескольких часов до нескольких секунд

Microsoft - пт, 01/03/2019 - 11:34

Сервис Microsoft Azure Sentinel позволит автоматизировать рутинные задачи специалистов по информационной безопасности, а с помощью сервиса Microsoft Threat Experts бизнес сможет напрямую обращаться к экспертам Microsoft по вопросам ИБ.  Москва, 1 марта 2019 г. — Microsoft представила два новых решения для обеспечения информационной безопасности бизнеса. Решение Microsoft Azure Sentinel создано для оперативного обнаружения и предотвращения […многоточие]

The post Новое решение Microsoft сокращает время обнаружения киберугроз с нескольких часов до нескольких секунд appeared first on Новости.

Категории: Новости вендоров

Совет №28: как перевести текст на иностранный язык в Word

Microsoft - пт, 01/03/2019 - 01:04

Представьте, что вы работаете с текстовым документом, вам нужно перевести пару фраз на иностранный язык или наоборот, с другого языка на родной. Необязательно для этого обращаться к бумажным или онлайн-словарям. В Word есть функция перевода части или целого документа. Многие не подозревают о таких возможностях программы, но это позволяет сохранять свои файлы в нужном формате, […многоточие]

The post Совет №28: как перевести текст на иностранный язык в Word appeared first on Новости.

Категории: Новости вендоров

Культура кибербезопасности вместо нудных лекций

Когда в каком-нибудь блог-посте заходит речь о практических советах для бизнеса, мы почти гарантированно пишем: «Необходимо повышать осведомленность сотрудников о киберугрозах». И это, несомненно, правильно. Вот только разные люди понимают под этим выражением разные вещи. Хотелось бы как-то объяснить, что под этим подразумеваем мы.

«Повышение осведомленности» — это ни в коем случае не нудные лекции о том, как страшно жить в кибермире. Мы тщательно изучали разные подходы и можем авторитетно сказать: этот — не работает. В первую очередь нужно привить культуру кибербезопасности.

Как мы себе это представляем

Во-первых, тренинг будет работать, только если он:

  • не абстрактный, а жизненный, привязанный к конкретным рабочим ситуациям;
  • не мешает выполнению основных задач;
  • использует наглядные примеры из реальной жизни;
  • дает советы, которые реально исполнимы.
Применимость

На самом деле последний пункт крайне важен. Мы можем дать совет: каждый ваш пароль всегда должен быть сгенерирован из набора случайных символов, иметь длину не менее 18 знаков, да еще и менять его нужно каждую неделю. И, разумеется, никогда не записывайте его на бумажке. В теории это прекрасный совет. Применим он на практике? Нет. Будет кто-нибудь ему следовать? Да никогда. Как записывали «Passworddd123» на бумажке, так и будут. Только бумажку будут прятать чуть дальше — на случай санкций от начальства.

Поэтому среди советов, которые даем мы, есть такой: придумайте несколько сложных «корней», отсутствующих в словаре (например, meow!72!meow); каждый раз создавая новый пароль, приписывайте к нему ключевое слово (например, oxygen), а на бумажке пишите кот-акваланг (то есть что-то, что лично для вас ассоциируется с корнем и ключевым словом).

С точки зрения классической кибербезопасности этот совет далеко не идеален. Любой опытный безопасник возмутится — как же можно записывать хоть какую-то часть пароля?! Но вся штука в том, что этот совет вполне себе применим на практике. И пусть уж лучше люди будут следовать хорошему совету, чем игнорировать идеальный.

Совместимость

Совместимость с повседневной работой — это тоже достаточно важная тема. Когда у кого-то из начальства возникает идея «повысить уровень осведомленности» (а, скажем прямо, в 95% случаев такая идея возникает не на пустом месте, а после инцидента), они назначают ответственного и ждут, что все сотрудники отложат свои дела и пойдут учиться.

На практике это выливается в какие-нибудь большие лекции на целый день типа «расскажем всем обо всем» или в «неделю кибербезопасности». В результате часть сотрудников воспримет это как законный повод поменьше работать, другая часть будет нервничать из-за горящих сроков, а третья просто ничего не запомнит из-за обилия информации за короткое время.

Да, можно будет поставить галочку: «Сотрудники тренинг прошли». Но какой с этого всего будет реальный выхлоп? Может быть, это встряхнет кого-то из сотрудников. Может быть, пару недель после этого они внимательно будут читать каждое письмо и бояться фишинга. А что останется у них в голове?

Поэтому мы стараемся (в частности, при помощи нашей платформы Automated Security Awareness Platform) не перегружать людей информацией. Пара мини-активностей в неделю как раз и позволит не швырнуть в человека неперерабатываемый объем информации, а аккуратно вплести ее в рабочий график, заложив фундамент для культуры кибербезопасности. Мини-уроки, мини-тесты, мини-симуляции атак. Причем благодаря платформе такое обучение даже не требует особых усилий по управлению. Подробнее — вот тут.

Жизненность и наглядность

По этому вопросу наша позиция такова: мы работаем с людьми, а не с аккаунтами. Обучение должно быть интересным, иначе в голове ничего не останется. И обучение должно быть релевантным. Мы используем систему уровней, каждый из которых рекомендован для групп сотрудников с разной зоной ответственности.

Зачем мы будем учить противостоять киберугрозам для платежных систем сотрудника, у которого никогда не будет доступа к этим системам? Ему достаточно базовых знаний. А вот бухгалтер имеет дело и с финансовыми инструментами, и с письмами извне, так что ему имеет смысл изучить вопросы безопасности поглубже. Причем первым делом мы наглядно показываем, зачем что-то нужно знать, а уже потом даем практические советы.

Еще один способ сделать так, чтобы сотрудники не просто «узнали об угрозах», а получили практические навыки, — организовать интерактивную симуляцию. Зачастую это единственный способ работы с топ-менеджментом, который не так просто заставить проходить обычные тренинги.

Наши симуляции Kaspersky Interactive Protection Simulation воспринимаются людьми не как «занятие», а скорее как вариант тимбилдинга. Когда директор вместе с безопасником пытается найти оптимальное решение для того, чтобы модель компании не развалилась за пять ходов, он начинает понимать, зачем нужны те или иные меры, на что имеет смысл тратить бюджет и как доходность компании напрямую зависит от кибербезопасности. На самом деле это достаточно уникальный опыт.

О преимуществах построения культуры кибербезопасности перед устаревшими методами обучения думаем не только мы. Сходные идеи высказываются и в исследованиях аналитических компаний. Вот, например, отчет Forrester.

Категории: Новости вендоров

Страницы