Новости вендоров

Советы по Windows 10: пять способов облегчить работу в Windows 10

Microsoft - вт, 24/04/2018 - 19:32

Сегодня мы расскажем, как удобнее работать в Windows 10. Вы узнаете, как изменить яркость ночного света, как использовать конвертер валют в путешествиях и еще кое-что полезное! … Read more »

The post Советы по Windows 10: пять способов облегчить работу в Windows 10 appeared first on Новости.

Категории: Новости вендоров

SSL-сертификаты бывают разные

Чем отличается защищенное соединение от незащищенного – знает довольно большое количество людей. А вот дальше довольно часто начинается темный лес: откуда берется сертификат, чем один сертификат отличается от другого, в чем разница между SSL и TLS и кто это вообще такие, какое отношение сертификат имеет к безопасности и так далее.

В рамках этого поста мы попробуем ответить хотя бы на часть этих и подобных вопросов, а начнем все-таки издалека – с того, что значат HTTP и HTTPS в адресной строке.

Что такое HTTP и HTTPS и чем они отличаются

Когда кто-нибудь из нас заходит на какой-нибудь сайт в Интернете, просто читает его или вводит на нем какие-то данные, происходит обмен информацией между нашим компьютером и сервером, на котором размещен сайт. Происходит он в соответствии с протоколом передачи данных — набором соглашений, определяющих порядок обмена информацией между разными программами.

Протокол, который используется для передачи данных в сети и получения информации с сайтов, называется HTTP (англ. HyperText Transfer Protocol — протокол передачи гипертекста). У него существует расширение, которое называется HTTPS (англ. HyperText Transfer Protocol Secure — безопасный протокол передачи гипертекста). Его суть — в том, что расширение позволяет передавать информацию между клиентом и сервером в зашифрованном виде. То есть информация, которой обмениваются клиент и сервер, доступна только этому клиенту и этому серверу, а не третьим лицам (например, провайдеру или администратору Wi-Fi-сети).

Шифрование данных, которые передаются от клиента к серверу, происходит, в свою очередь, в соответствии со своим, криптографическим протоколом. Сначала для этого использовался протокол под названием SSL (англ. Secure Sockets). У него было несколько версий, но все они в какой-то момент подвергались критике из-за наличия проблем с безопасностью. В итоге была выпущена та версия, которая используется сейчас — ее переименовали в TLS (англ. Transport Layer Security). Однако название SSL прижилось лучше, и новую версию протокола до сих пор часто называют так.

Для того чтобы использовать шифрование, у сайта должен быть специальный сертификат, или, как он еще называется, цифровая подпись, который подтверждает, что механизм шифрования действительно надежен и соответствует протоколу. Индикаторами того, что у сайта такой сертификат есть, являются, помимо буквы «S» в HTTPS, зеленый замочек и надпись «Защищено» или название компании в адресной строке браузера.

Как сайту получить SSL-сертификат

Существует два способа. Способ первый — веб-мастер может издать и подписать сертификат самостоятельно, сгенерировав криптографические ключи. Такой сертификат будет называться самоподписанным (англ. Self-Signed). В этом случае соединение с сайтом также будет зашифровано, но при попытке зайти на сайт с таким сертификатом пользователю будет показано предупреждение, что сертификат — недоверенный (неподтвержденный центром или устаревший). Обычно в окне браузер показывает перечеркнутый замочек и выделенные красным буквы HTTPS, или выделяет красным и перечеркивает буквы HTTPS в поисковой строке — зависит от браузера.

Второй способ (и единственный правильный) — приобрести сертификат, подписанный каким-либо из доверенных центров сертификации (Certificate authority). Сертификационные центры изучают документы владельца сайта и его право на владение доменом — ведь, по идее, наличие сертификата должно также гарантировать пользователю, что ресурс, с которым он обменивается информацией, принадлежит реальной легитимной компании, зарегистрированной в определенном регионе.

Сертификационных центров существует довольно много, но авторитетные среди них можно пересчитать по пальцам. От репутации центра зависит то, насколько ему будут доверять компании-разработчики браузеров и как они будут отображать сайт с таким сертификатом. От вида сертификата, срока его действия и репутации центра и зависит цена на сертификат.

Какими бывают SSL-сертификаты

Сертификаты, подписанные центрами, делятся на несколько видов — в зависимости от уровня надежности, того, кто и как их может получить и, соответственно, цены.

Первый называется DV (англ. Domain Validation — проверка домена). Для его получения физическому или юридическому лицу нужно доказать, что они имеют некий контроль над доменом, для которого приобретается сертификат. Проще говоря, что они либо владеют доменом, либо администрируют сайт на нем. Этот сертификат позволяет установить защищенное соединение, но в нем нет данных об организации, которой он выдан, а для его оформления не требуется никаких документов. Процесс получения такого сертификата обычно занимает несколько минут.

Сертификаты более высокого уровня — OV (англ. Organization Validation — проверка организации). Такие сертификаты выдаются только юридическим лицам, и от них требуются документы, подтверждающие существование организации, — так подтверждается не только безопасность соединения с доменом, но и то, что домен принадлежит организации, указанной в электронном сертификате. Оформление может занимать несколько дней, пока проверяются все документы. Наличие DV или OV-сертификата у сайта в браузере отображается серым или зеленым замочком, словом Secure и буквами HTTPS в адресной строке.

И еще есть EV (англ. Extended Validation — расширенная проверка) — сертификаты самого высокого уровня. Такой сертификат также могут получить только юридические лица, предоставившие все необходимые документы, а отличительной особенностью является то, что название и локация организации отображаются зеленой надписью в адресной строке после зеленого замочка. Такие сертификаты пользуются наибольшим доверием у браузеров, но они и дороже всего. В основном их приобретают крупные компании. Даже банки часто приобретают их в основном не для основного сайта, а отдельно для домена своего сервиса онлайн-платежей.

Информацию о сертификате (кем выдан, когда и сколько действует) можно посмотреть, кликнув на название организации или надпись Secure — правда, это можно сделать не во всех браузерах.

Что может быть не так с сертификатами

Один из принципов, по которым основные разработчики браузеров, такие как Google и Mozilla, выстраивают свою политику — безопасность Интернета и пользовательских данных в нем. В этой связи осенью 2017 года Google анонсировала, что отныне будет маркировать все страницы, использующие HTTP-соединение, как «незащищенные», и, по сути, блокировать пользователям доступ к ним.

Фактически, это условие вынудило все сайты на HTTP в ускоренном темпе приобретать доверенные сертификаты. Соответственно, спрос на услуги сертификационных центров вырос в разы, а время на проверку документов последним, естественно, хотелось бы сократить, чтобы выдать как можно больше этих самых сертификатов. Поэтому многие из центров стали проводить проверку гораздо менее тщательно.

Результатом этого становится то, что надежные сертификаты получают далеко не самые надежные сайты. Так, Google провела расследование, по результатам которого выяснилось, что один из самых крупных и авторитетных центров выдал более 30 тыс. сертификатов, не осуществив при этом должной проверки. Последствия для центра не радужные: Google заявила, что перестанет считать доверенными все сертификаты, выданные центром, пока тот полностью не переделает всю систему проверки и не установит новые стандарты. Mozilla также планирует ужесточить верификацию сертификатов в своих браузерах и тем самым повлиять на требования к их выдаче.

Тем не менее пока полностью уверенным в надежности сертификата и получившей его организации быть нельзя. Даже если это EV-сертификат, внешне соответствующий всем требованиям безопасности, не стоит доверять тому, что написано зеленым шрифтом, безоговорочно.

С EV-сертификатами все даже особенно плохо: злоумышленник может зарегистрировать компанию с названием, подозрительно похожим на название какой-нибудь известной компании и получить для своего сайта EV-сертификат. В этом случае зелеными буквами в адресной строке будет написано как раз-таки название компании (очень похожее на название другой известной компании), что позволит злоумышленнику повысить доверие пользователя к фишинговому сайту. Поэтому никогда не забывайте об осторожности и соблюдении правил при использовании любой веб-страницы.

Категории: Новости вендоров

Microsoft Build 2018: информация и трансляция

Microsoft - вт, 24/04/2018 - 10:31

Build 2018 – главное мероприятие года от Microsoft для ИТ-специалистов. Присоединяйтесь к лучшим инновационным умам, вдохновляйтесь новыми идеями, одними из первых загляните в будущее ИИ, облачных технологий и смешанной реальности! С 7 по 9 мая мы будем освещать новости конференции Microsoft Build 2018. Не пропустите трансляцию на русском языке … Read more »

The post Microsoft Build 2018: информация и трансляция appeared first on Новости.

Категории: Новости вендоров

Тренды технологий через призму конференций Build

Microsoft - пн, 23/04/2018 - 18:38

Раз в год Microsoft проводит центральную и самую большую свою конференцию для разработчиков. Когда-то давно она называлась PDC (Professional Developers Conference), сегодня она называется просто Build. В этом году нас ждет уже восьмой Build, в преддверии которого мы решили оглянуться назад и посмотреть, как постепенно развиваются различные технологические тренды. … Read more »

The post Тренды технологий через призму конференций Build appeared first on Новости.

Категории: Новости вендоров

Две новости о Xbox на E3 2018, которые вы должны знать

Microsoft - вс, 22/04/2018 - 17:46

Опубликована новая информация о выставке Electronic Entertainment Expo (E3) 2018! Сообщаем две новости, которые вы должны знать. Когда состоятся трансляция ежегодного брифинга Xbox E3 2018 и прямая трансляция Inside Xbox: Live @ E3? Мы уже знаем, а еще скоро опубликуем подробное расписание, так что следите за новостями. … Read more »

The post Две новости о Xbox на E3 2018, которые вы должны знать appeared first on Новости.

Категории: Новости вендоров

Открытое письмо руководству Twitter.

«Когда вырываешь человеку язык, ты не доказываешь, что он лгун. Ты говоришь миру, что боишься его слов»

Тирион Ланнистер, «Игра престолов»

Дорогой Джек Дорси, уважаемые менеджеры Twitter! Я знаю, что в последнее время вы очень озабочены «здоровьем» соцмедийных платформ, а также тем, как они могут злонамеренно использоваться для дезинформации, создания социальной напряженности, и так далее. Как давний сторонник безопасного и дружелюбного Интернета, я разделяю эту озабоченность. Мне, правда, казалось, что моя компания находится на периферии этого «соцмедийного шторма», но я ошибался.

Под маской борьбы с насилием и ненавистью мы получаем политическую цензуру. Этого бы очень не хотелось.

В конце января Twitter неожиданно уведомил нас о запрете на рекламу с наших официальных аккаунтов, где мы анонсируем посты с наших блогов по кибербезопасности (в том числе Securelist и Kaspersky Daily) и рассказываем пользователям о новых киберугрозах и методах борьбы с ними. В кратком письме от безымянного сотрудника Twitter сообщалось, что наша компания «работает по бизнес-модели, которая не соответствует стандартам приемлемой рекламы».

Я несколько раз вчитывался в эту формулировку и, честно говоря, так и не понял, каким боком она относится к нам. Одно могу сказать точно: никаких писаных и неписаных правил мы не нарушали, а бизнес-модель у нас самая обычная для IT-индустрии. Мы пользователям — защиту, а они нам за это — деньги. Какие конкретно правила, стандарты и бизнес-практики были нарушены, в письме не указано. Этот запрет, на мой взгляд, противоречит декларируемому Twitter принципу freedom of expression.

Но может это мы что-то не понимаем? Поскольку мы в «Лаборатории» люди не только законопослушные, но и охочие докопаться до истины, мы послали официальное обращение.

Прошло больше двух месяцев — из Twitter прислали только отписку с тем же текстом. Посему я воспользуюсь другим декларируемым выше принципом speaking truth to power, чтобы поделиться подробностями дела со всеми пользователями и публично попросить у вас, уважаемые топ-менеджеры Twitter, более чётких и детальных разъяснений, причём в разумные сроки.

Если произошла ошибка, то это надо открыто признать. Это развеет опасения о возможном введении политической цензуры.

Я понимаю, что вы заняты, реагируя на общественное и политическое давление. В ответ на это давление соцсетям, и Twitter в частности, придется как-то адаптировать свои правила и политики. Но, уважаемые топ-менеджеры Twitter, я считаю крайне важным, чтобы все изменения правил, которые соцсети вводят в ответ на злодейские манипуляции ботов и троллей, были чётко описаны и применялись прозрачным образом. Нужно, чтобы из правил Twitter были убраны пункты, позволяющие ограничивать доступ этичного и легального бизнеса к платформе без всякого объяснения или без чётко описанных причин. Иначе под маской борьбы с насилием и ненавистью мы получим политическую цензуру. Этого бы очень не хотелось. Ведь всего несколько лет назад Twitter говорил, что относится к «свободолюбивому крылу партии свободы». Однако согласитесь, абсурдно начинать письмо об ограничении выражать мнение словами «мы верим в свободу выражения».

Я знаю, что Twitter основательно работает в нужном направлении. Мне очень симпатична  идея Центра прозрачности и вы догадываетесь почему. Это вообще примета времени и необходимое условие в смутные времена — оставаться прозрачным. А прозрачнее нас в индустрии кибербезопасности сейчас найти трудно. В сфере твиттер-рекламы нам тоже скрывать нечего — мы сами расскажем, сколько и на что тратили там деньги. Вот обзор нашей рекламы в этой соцсети за 2017 год:

Твиты с наибольшим охватом

Как видите, на рекламу в Twitter у нас уходит не так уж много по глобальным меркам. Но самое главное — посмотрите на твиты, которые мы продвигали. Посты про эпидемии шифровальщиков и рекомендации как защититься от них. Материалы для учителей, чтобы обучать детей правилам цифровой безопасности. Калькулятор типичных затрат на кибербезопаность по индустриям. Есть, конечно, и чисто маркетинговые поводы — но и в этом случае продаем-то мы защиту от киберугроз, никакой политикой и нарушениями рекламных практик Twitter там не пахнет.

Исходя из сказанного выше, я прошу Twitter детально обосновать решение об отключении нас от рекламных возможностей и сообщить, что должны делать другие компании в сфере глобальной кибербезопасности, чтобы избежать подобной участи. Если речь идёт о решении, принятом по ошибке  открыто это признать. Я считаю, что это единственный цивилизованный способ развеять опасения о возможном введении политической цензуры в соцсети.

Также Twitter играет на руку киберпреступникам, когда мешает нам доносить до пользователей потенциально  важную информацию о защите от вымогателей (простой пример – наш самый популярный «платный» твит прошлого года был про Wannacry).

Читатели могут спросить, почему мы хотим выяснить этот вопрос публично?

Если нам теперь кроме безопасности нужно защищать ещё и свободу, бороться против цензуры — почтём за честь.

Во-первых, прецедент. За Twitter могут последовать другие платформы, а за нами — любая другая политически неугодная компания, против которых были выдвинуты необоснованные, ложные обвинения в некоторых американских СМИ. Это чертовски неправильно. Это откровенная цензура. Бизнес не должен обслуживать политические интересы. Вы стреляете себе в ногу, когда в угоду политикам идёте наперекор интересам своего дела (а как ещё назвать отказ от денег клиента, ведущего этичный бизнес?).

Во-вторых, принцип. Когда мы видим несправедливость — мы с ней боремся. И нам не привыкать к роли Давида против Голиафа. Мы боремся с вездесущими патентными троллями. Мы боремся с проявлениями монополизма. Мы боремся с ложью в СМИ. Трудности и неравенство сил нас не пугают.

Если кроме безопасности нам придётся защищать и свободу, бороться против цензуры — почтём за честь.

Кстати, если вы думаете, что мы занялись этим, просто чтобы вернуть себе рекламные возможности — ошибаетесь. Существует много других способов донести информацию до заинтересованных людей.

И вот что я подумал.

Вне зависимости от развития ситуации в этом году мы отказываемся от рекламы в Twitter. А весь уже запланированный на это рекламный бюджет жертвуем в Electronic Frontier Foundation (EFF). Они систематически борются за свободу слова в сети и изучают проблемы цензуры в соцсетях.

P.S.: самый страшный вирус — это ложь. А единственное противоядие от неё — сохранять критическое мышление. Здравый смысл не умер, господа. Он просто ушёл на обед.

Евгений @e_kaspersky_ru написал открытое письмо CEO Twitter @jack Дорси с просьбой развеять опасения о введении политической цензуры в соцсети

Tweet
Категории: Новости вендоров

Новые возможности Windows Defender ATP: защита конечных устройств будет еще эффективнее и надежнее

Microsoft - пт, 20/04/2018 - 14:48

В следующем обновлении Windows 10 мы в очередной раз расширим возможности Windows Defender ATP, чтобы организации могли укрепить свою защиту и справляться с инцидентами безопасности быстрее и эффективнее. Рассмотрим эти новые возможности подробнее. Рассказывает Моти Гинди, Windows Cyber Defense. … Read more »

The post Новые возможности Windows Defender ATP: защита конечных устройств будет еще эффективнее и надежнее appeared first on Новости.

Категории: Новости вендоров

Хайп вокруг «BFF» в Facebook: правда или миф?

Тема безопасности личных данных как никогда популярна среди пользователей Facebook: скандал со сливом личной информации консалтинговой компании Cambrige Analytica все еще на слуху. И пока кто-то удаляет аккаунты, на этой волне набирает популярность другой прием, по слухам, позволяющий легко узнать, защищен ваш аккаунт или нет: якобы достаточно написать на стене или в комментарии слово «BFF». Разбираемся, в чем суть и правда ли это работает.

Лучшие друзья с Марком навсегда?

Если верить наводнившим разные группы и страницы постам, на Facebook обнаружился секретный прием проверки безопасности аккаунта, который якобы изобрел лично основатель соцсети Марк Цукерберг. Заключается он в следующем: нужно написать в комментарии или у себя на стене слово BFF. После публикации записи надо на нее посмотреть: если слово поменяет цвет на зеленый – значит, ваша страница защищена и все хорошо. Если же нет — вы в опасности, возможно, ваши данные утекли и все пропало.

Вот пример одного из наводнивших Facebook постов про BFF

Это все про развлечения


Вынуждены охладить пыл тех, кто бросился проверять свою безопасность таким образом или пугаться, если буквы не покрасились в зеленый: к приватности и безопасности эта штука никакого отношения не имеет. Буквы BFF окрашиваются в зеленый исключительно благодаря развлекательной функции под названием Text Delight.

Text Delight – это специальная текстовая анимация Facebook, которая окрашивает в разные цвета определенные слова и фразы, которые часто используются для выражения радостных эмоций и пожеланий. Если после публикации в записи или комментарии по такому слову кликнуть, то на экране появится тематическая анимация. В случае со словом «BFF» это две руки, дающие друг другу «пять». Ведь BFF – это не секретное слово, а всего лишь часто используемая в английском аббревиатура фразы best friends forever – «лучшие друзья навсегда».

Есть еще другие слова и фразы на разных языках, которые окрашиваются в разные цвета и вызывают разную анимацию. Например, если запостить «Поздравляю!», то буквы в этом слове покрасятся в персиковый, а при нажатии на него по экрану полетят шарики и конфетти.

К слову, Facebook добавил эту функцию еще в 2017 году. Если же по каким-то причинам вы написали BFF в комментарии, а слово зеленым не стало – переживать о безопасности точно не надо. Либо у вас просто устаревшая версия Facebook, которая эту функцию не поддерживает, либо вы когда-то отключили Text Delight. Кстати, похоже, что именно с BFF история закончилась уже совсем – на днях слово напрочь отказывалось краситься, хотя то же самое «поздравляю» исправно меняло цвет. При этом парой дней раньше анимация Text Delight работала и для BFF.

А как же быть с защитой данных?

Что до конфиденциальности – если о ней не позаботитесь вы сами, то никто не позаботится. Поэтому следует помнить несколько простых вещей:

  • Заводя аккаунты в соцсетях, следите за тем, какую информацию вы оставляете открытой. Далеко не все сведения о вас нужно знать даже вашим друзьям.
  • Обновить версию Facebook (а также браузера, если вы пользуетесь веб-версией) все же стоит – устаревшие приложения могут содержать уязвимости, которые действительно подвергают ваш аккаунт риску.
  • Когда устанавливаете приложения, внимательно прочтите, каких разрешений они требуют, и давайте им доступ только к тем данным, без которых они не могут работать. В том числе, следите, что устанавливаете официальное приложение Facebook.
  • Наконец, не давайте каким-либо посторонним приложениям доступ к своему аккаунту в соцсети, даже если это кажется удобным.

Итого: Правда или миф, что, написал в комментарии «BFF» можно проверить защищенность аккаунта?

Миф. «BFF» — это всего лишь одна из фраз, для которых работает анимация Text Delight. А авторы сообщения о «проверке безопасности» просто срывают хайп на актуальной теме.

Категории: Новости вендоров

Умные машины: комфорт стоит денег… или безопасности

Дешево хорошо не бывает, а скупой платит дважды — все мы знакомы с этими житейскими мудростями. Но когда потратил пару-тройку десятков тысяч долларов на умный автомобиль, а производитель предлагает раскошелиться на дополнительные опции или выставляет немаленький ценник за сервис, соблазн сэкономить может заглушить здравый смысл. И вот смекалистый автовладелец уже лезет в Интернет в поисках неофициальных решений для «прокачки» своего авто – даже не подозревая, что подвергает себя опасности.

Как разблокировать дополнительные функции в своем автомобиле

Современные умные автомобили могут многое: выходить в Интернет, загружать оттуда карты местности и прочую полезную информацию, обмениваться данными с сервисным центром и удаленно проходить профилактику. Их можно завести, не вставая с кресла в своей комнате, установить к своему приходу приятную температуру в салоне…

Если лишь одна проблема: все это – довольно недешевое удовольствие. В самых дорогих моделях известных производителей приятные функции доступны по умолчанию. А вот если вы приобрели модель побюджетнее, многие подобные навороты в них заблокированы (защищены специальной цифровой подписью), и их включение надо оплачивать отдельно.

Но случилось вот что: хакеры нашли в машинах уязвимости, которые позволяют получить доступ к цифровым сертификатам, защищающим эти функции (чаще всего это уязвимости в интерфейсе USB). И стали продавать собственные устройства, с помощью которых можно заменить защитный сертификат другим и получить доступ к разным желанным функциям. Так на просторах интернета появилось великое множество «альтернативных предложений» для умных машин.

Наши эксперты изучили множество форумов и торговых площадок, где можно купить самые разные приспособления и программы такого рода, и рассказали о своих находках на конференции RSA 2018 в Сан-Франциско. Например, они обнаружили специальные модули, которые обнуляют пробег или перезагружают подушки безопасности после аварии, позволяя сэкономить на техобслуживании. Или средства диагностики и разблокировки платных функций, пиратские навигационные пакеты, прочие нелицензионные аксессуары… И все это – в десятки раз дешевле, чем предлагают официальные производители! Зачем переплачивать, если можно выбрать приятное решение из всего этого изобилия?

Эти приспособления позволяют обнулить пробег на машинах Renault, BMW, Mercedes, Ford, Fiat.

В ассортименте этого магазина — самые разнообразные средства диагностики и перепрограммирования автомобиля.

Троянская прошивка

Как это всегда бывает с аттракционами неслыханной щедрости, платить, вероятно, все равно придется — но немного не так, как себе изначально представляет автолюбитель. Проблема в том, что после подключения такое устройство получает доступ ко всей системе автомобиля – и к конфиденциальным данным владельца, и к функциям управления. Совсем как с неофициальными Android-приложениями: поставил на умное авто левую прошивку, а у него появились новые возможности. Часть из них полезна вам, а часть – совсем другим людям.

Хозяева продвинутых авто – это желанная цель для киберпреступников: ведь если человек выложил круглую сумму за такую машину, значит, деньги у него есть, и доступ к его автомобилю очень даже можно использовать в своих целях. Мы уже рассказывали про «даркнет»-объявления о покупке и продаже учетных записей взломанных авто — с этими данными доступ к машине можно получить из любой точки мира.

Злоумышленник, создавший «полезную» программу-разблокировщик, которую автовладелец залил на свою машину в надежде разблокировать какие-нибудь функции, получает практически неограниченные возможности – все зависит от того, какой код будет залит в прошивку. Он может следить за передвижениями зараженной машины и подслушивать разговоры в салоне или получить доступ к смартфону, который вы подключаете к автомагнитоле. Или, скажем, разблокировать двери и отключать сигнализацию — не только по вашей команде, но и по запросу своего автора. Ну или заслать в автомобиль вымогателя — они не позволяют машине сдвинуться с места, пока владелец не перечислит выкуп на криптокошелек. Совсем не похоже на прекрасные функции, добавляющие в жизнь комфорта…

Техника безопасности

К сожалению, в вопросе того, чтобы уберечь свой автомобиль от киберпреступников, вы можете рассчитывать только на себя. Хотя впервые умный Jeep взломали еще в 2015 году, а о проблемах со сторонними приложениями для подключенных авто наши эксперты рассказывали в 2016-м, производители по-прежнему уделяют слишком мало внимания закрытию уязвимостей, и многие угрозы не теряют актуальности и сейчас. Пока ситуация не изменилась, автовладельцам стоит помнить, какие меры безопасности они могут принять самостоятельно, чтобы уменьшить риски.

  • Пользуйтесь только официальными приложениями и аксессуарами. Вспомните поговорки, с которых начинается наш пост, и не пытайтесь схитрить.
  • Своевременно обновляйте прошивку автомобиля на сервисе. Если для вашей модели вышла новая прошивка – то это не просто так: скорее всего, она исправляет какие-то проблемы.
  • Проверяйте мобильные приложения для контроля автомобиля нашим антивирусом. Так вы не пустите на смартфон непрошенного гостя, который украдет ваши регистрационные данные для перепродажи на черном рынке.
Категории: Новости вендоров

Microsoft представила новые инструменты для защиты облачных решений и устройств от киберугроз

Microsoft - ср, 18/04/2018 - 16:49

Корпорация Microsoft объявила о новых интеллектуальных инструментах, призванных облегчить защиту данных и корпоративных сетей от наиболее опасных современных угроз, а также помочь в борьбе с новыми видами вредоносного ПО, нацеленного на устройства IoT (Internet of Things). Целью Microsoft является развитие экосистемы кибербезопасности для обеспечения комплексной защиты: от облака до конечного … Read more »

The post Microsoft представила новые инструменты для защиты облачных решений и устройств от киберугроз appeared first on Новости.

Категории: Новости вендоров

Программирование стало четвертым по популярности навыком, который ищут работодатели

Microsoft - ср, 18/04/2018 - 14:59

Компания Microsoft совместно с HeadHunter провела исследование российского рынка труда, которое показало, что количество вакансий, где требуется навык программирования, стремительно растет, причем даже в сферах, не связанных с ИТ. Вместе с тем, для технических специалистов растет важность soft skills (социальных навыков). Таким образом, в будущем, самыми успешными кандидатами станут те, … Read more »

The post Программирование стало четвертым по популярности навыком, который ищут работодатели appeared first on Новости.

Категории: Новости вендоров

Дырявая реклама

Мы неоднократно рассказывали, что программы неизвестного происхождения таят в себе опасность. Но приложениям от надежных разработчиков мы привыкли доверять. Положительные рейтинги, миллионы загрузок, известные компании и распространение через официальные магазины вроде Google Play — залог безопасности. Но, к сожалению, не ее гарантия.

Сегодня речь пойдет не о троянах, а о вполне добропорядочных приложениях, из-за которых, тем не менее, ваши данные все равно могут уплыть в Сеть. Наши эксперты изучили в общей сложности 13 млн APK (установочных пакетов приложений для Android) и выяснили, что около четверти из них передают через Интернет незашифрованные данные. Причем среди этих приложений некоторые насчитывают сотни миллионов скачиваний, а иногда — более полумиллиарда! Представляете себе масштаб проблемы?

В некоторых случаях информация сливается в Сеть из-за ошибок, допущенных разработчиками, однако чаще всего в рамках своих основных функций приложения если и отправляют данные пользователя на сервер, то используют для этого защищенный протокол HTTPS, который не позволяет кому попало их перехватывать. А причиной проблем становятся сторонние сервисы, которые разработчики подключают, не разбираясь. Например, аналитика или реклама: они тоже передают информацию через Интернет, но используют для этого незащищенный протокол HTTP.

Какая информация может пострадать?

Основная масса утекающих сведений касалась модели устройства и его технических характеристик, данных о сети или провайдере и имени пакета приложения (то есть названия, по которому его опознает система), а многие сервисы сливали в Интернет еще и координаты смартфона или планшета.

В отдельных случаях через протокол HTTP пересылались сведения об использовании той программы, в которую был встроен сторонний сервис, то есть, о лайках, постах, посещенных страничках и так далее, а также информация о владельце гаджета – имя, номер телефона, дата рождения. Нередко незащищенными оказывались и уникальные ключи, которые каждый раз создаются при авторизации. По счастью, большинство сервисов не передают в открытом виде логины и пароли, хотя нашлись такие, которые делали и это.

Каждое четвертое мобильное приложение передает часть данных по незащищенному каналу

Tweet

В чем опасность?

Через протокол HTTP информация передается как обычный текст, поэтому ее может прочитать практически кто угодно. Доступ к незащищенным данным есть, например, у провайдера. Кроме того, на пути от вашего приложения к серверу сторонней службы найдется еще несколько «перевалочных пунктов» — устройств, которые принимают и какое-то время хранят сведения.

Любое сетевое оборудование, включая ваш домашний роутер, может оказаться уязвимым, и если злоумышленник его взломает, он получит доступ и к вашей информации. Провайдер, как вы помните, может ее просматривать, даже ничего не взламывая. А подробных сведений о гаджете – номеров IMEI и IMSI – уже достаточно, чтобы отслеживать ваши действия. Более полная информация вообще делает вас «открытой книгой» для посторонних — от рекламодателей до желающих выдать себя за вашего приятеля и предложить скачать вредоносный файл.

Впрочем, утечка сведений об устройстве и его пользователе — это еще полбеды, ведь незашифрованную информацию можно еще и подменить. В ответ на HTTP-запрос сервер возвращает приложению, скажем, рекламный ролик, вместо которого злоумышленник вполне может подсунуть вам свой, не такой безобидный. А можно, например, в убедительной рекламе какого-нибудь приложения подменить только ссылку — и вот уже вместо симпатичной игрушки или агрегатора скидок пользователь рискует скачать на свой смартфон что-то уж совсем зловредное.

Что делать?

Вообще, заниматься такими проблемами следует разработчикам приложений. Однако, к сожалению, полностью довериться им мы не можем. Поэтому есть пара простых советов, которые помогут вам лучше защитить себя и свои данные.

  • Никогда не будет лишним проверить, каких разрешений требует приложение, даже если у него миллионы скачиваний. Если, скажем, очередной мессенджер хочет знать, где вы находитесь, смело говорите ему, что он обойдется. Подробнее о том, какие бывают разрешения под Android, вы можете почитать вот в этом посте.
  • Если средства позволяют, покупайте платные версии приложений. Они не показывают рекламу, а значит, и риск утечки данных меньше. Впрочем, они все еще могут использовать сторонние аналитические модули, которые зачастую ведут себя не лучше.
  • Используйте VPN — это защищенное соединение обезопасит ваши данные, если разработчики с этой задачей не справились. Например, для таких целей подходит Kaspersky Secure Connection.
Категории: Новости вендоров

Старое и новое: технология HoloLens воссоздает древние мифы

Microsoft - вт, 17/04/2018 - 16:21

Многие люди по всему миру считают цифровую трансформацию угрозой для традиционного образа жизни. Но в Австралии и Новой Зеландии некоторые представители коренного населения не боятся использовать передовые технологии, видя в них инструменты, помогающие защитить и сохранить древнее наследие и культурные традиции для будущих поколений.

The post Старое и новое: технология HoloLens воссоздает древние мифы appeared first on Новости.

Категории: Новости вендоров

Как объяснить VPN, когда ему нужно включаться

Те, кто устанавливал на телефон или планшет наш VPN-сервис Kaspersky Secure Connection, наверняка обращали внимание на то, что при открытии некоторых приложений он автоматически предлагает защищать подключение. Но по умолчанию эта функция срабатывает не для всех приложений, к тому же для некоторых вы могли ее отключить во всплывающем окне. В этом посте мы расскажем, как настроить Kaspersky Secure Connection на Android так, чтобы он автоматически включался при запуске тех приложений, для которых он вам нужен.

Для начала, откройте Kaspersky Secure Connection (у вас на устройстве он может называться Kaspersky VPN) и нажмите на значок шестеренки в правом верхнем углу экрана.

Если вы хотите настроить автоматическое включение Secure Connection для какого-то приложения (например, мобильного банка), нажмите «Приложения» и в появившемся списке выберите нужное (обращаем ваше внимание, что в версии для iOS такой функции нет).

В пункте «При запуске приложения» выберите «Включать безопасное соединение» и нажмите «Применить».

Теперь в меню появился пункт «Виртуальный сервер». Если вы по каким-то причинам хотите, чтобы VPN-туннель открывался не через автоматически выбранный (ближайший к вам) сервер, а через сервер в другой стране, то нажмите на этот пункт и выберите страну. Возможность сделать это есть только в расширенной версии Kaspersky Secure Connection.

Готово. Теперь, когда вы открываете выбранное приложение, Kaspersky Secure Connection будет включаться автоматически и создавать VPN-туннель до указанного вами сервера. О своей работе оно уведомит небольшими всплывающими окнами внизу экрана. Сначала в окне будет написано «Включаю защиту», а потом, когда VPN-соединение будет установлено, появится надпись «Интернет-соединение защищено».

Если вы переключитесь на другое приложение, а это оставите работать в фоне, то VPN-соединение останется включенным. Если же вы закроете выбранное приложение, VPN-туннель отключится вместе с ним.

Эта функция Secure Connection очень удобна при работе с банковскими приложениями или мессенджерами – она позволит автоматически защитить соединение и оградить вашу конфиденциальную информацию от посторонних глаз. Чтобы понять, для чего еще может пригодиться VPN, советуем почитать вот этот пост.

Категории: Новости вендоров

Microsoft представила регулярный отчет по угрозам информационной безопасности

Microsoft - пн, 16/04/2018 - 15:45

Microsoft представила 23-й отчет Security Intelligence Report, в котором проанализировала информационную среду на предмет распространенности и видов киберугроз. Согласно данным с февраля 2017 по январь 2018 года, от 25% до 30% устройств в России сталкивались с киберугрозами ежемесячно[1].  Корпорация Microsoft опубликовала отчет об угрозах информационной безопасности Security Intelligence Report за … Read more »

The post Microsoft представила регулярный отчет по угрозам информационной безопасности appeared first on Новости.

Категории: Новости вендоров

Российские студенты поборются за $100 000 на международном финале Imagine Cup 2018

Microsoft - сб, 14/04/2018 - 23:35

В рамках российского финала Imagine Cup 2018 в Москве 16 лучших студенческих команд со всей России представили свои проекты на основе технологий смешанной реальности, искусственного интеллекта и Big Data. Лучшим стал проект «Хемометрика» команды Coffee Break – экспериментальная установка, которая позволяет с помощью машинного обучения определять кислотность, крепость и плотность кофе и других … Read more »

The post Российские студенты поборются за $100 000 на международном финале Imagine Cup 2018 appeared first on Новости.

Категории: Новости вендоров

Фильмы в 4K от ivi теперь доступны на Xbox One

Microsoft - пт, 13/04/2018 - 19:40

Новая версия приложения ivi на Xbox One позволяет наслаждаться фильмами и сериалами в формате 4К. Сейчас в приложении доступно несколько десятков новинок, включая такие бестселлеры, как «Приключения Паддингтона 2» и «Салют-7». Кроме того, каталог фильмов в высоком качестве постоянно пополняется. «Больше половины просмотров ivi приходится на телевизионные экраны, поэтому разработка … Read more »

The post Фильмы в 4K от ivi теперь доступны на Xbox One appeared first on Новости.

Категории: Новости вендоров

Усилители сторонних решений

В ходе «цифровой трансформации» все формы бизнеса постепенно начинают так или иначе использовать Интернет. И это, несомненно, хорошо, так как рождает кучу новых возможностей. И одновременно плохо, потому что ими пользуется не только бизнес. Злоумышленники ждут нововведений с неменьшим нетерпением.

Дело в том, что эволюция цифровых продуктов и услуг развивается по достаточно стандартному пути:

  1. Талантливые люди создают инновационную идею.
  2. На основе этой инновации создается удобный для пользователя продукт.
  3. Злоумышленники находят способ использовать продукт во зло.
  4. Авторы вынуждены дорабатывать свой продукт, снабжая его более надежной защитой.

За примерами далеко ходить не надо. Первые мобильные приложения для онлайн-банкинга представляли собой просто оболочку для браузера. Современные же, по сути, являются узкоспециализированными защитными решениями, главная цель которых — не допустить утечки информации. Разумеется, эволюционировали они не от хорошей жизни. Сейчас по тому же пути идут и другие. Социальные приложения, аналитические инструменты и даже игры становятся «немножко антивирусами».

В идеале, третий пункт «эволюционного списка» следовало бы исключить, а второй слить с четвертым. Но это получается не у всех — просто потому, что далеко не у каждого разработчика в штате есть специалист по защите информации. Да и вообще, самостоятельно придумывать непрофильные технологии — занятие сомнительное. Во-первых, это расход ресурсов. Во-вторых, изобретение велосипеда.

К счастью, изобретать велосипед не обязательно. Есть компания, которая уже более 20 лет разрабатывает не только самостоятельные защитные решения, но и технологии, которые могут защитить ваши продукты и ваших клиентов от современных киберугроз. Как вы, вероятно, догадались, эта компания — «Лаборатория Касперского».

Своим технологическим партнерам мы предоставляем наборы средств разработки (software development kit) и потоки данных о новых киберугрозах. Наши технологии могут быть встроены как в программные, так и в аппаратные решения. Вот основные разработки, доступные для адаптации:

  • Kaspersky Anti-Virus SDK — набор инструментов для интеграции нашего основного антивирусного движка;
  • Kaspersky Anti-Spam SDK — новейшие средства защиты от спама и почтового фишинга;
  • Kaspersky Whitelisting — репутационные данные, позволяющие разделить приложения на доверенные и недоверенные;
  • Kaspersky Mobile Security SDK — набор инструментов для защиты приложений в операционных системах iOS и Android;
  • Kaspersky Web Filter — движок и облачный сервис, способный защитить пользователей от фишинговых и вредоносных сайтов, а также ограничить доступ к неуместному контенту;
  • Kaspersky Malicious, Phishing Feeds — потоки данных о подтвержденных вредоносных и фишинговых сайтах, масках и адресах, поступающие в режиме реального времени от наших внутренних систем;
  • Kaspersky Anti-Virus for UEFI — это продукт, целью которого является обеспечение безопасной загрузки ОС. Продукт работает на EFI-уровне и позволяет эффективно бороться с руткитами и буткитами;
  • Kaspersky Anti-Botnet Feeds — потоки данных о командных адресах ботнетов и связанных с ними угрозах. Трафик обмена данными с известным командным центром (C&C) ботнета — свидетельство активного заражения. Его обнаружение — индикатор инцидента, который должен быть расследован.

Нашим технологиям доверяют сотни партнеров по всему миру. Связаться со специалистами «Лаборатории Касперского» и стать одним из технологических партнеров компании вы можете на нашем сайте.

Категории: Новости вендоров

Как правильно выбрать криптокошелек

Согласно опросу, проведенному среди более чем тысячи взрослых американцев, больше 56% знают, что такое криптовалюта. При этом более 78% понятия не имеют, где ее купить, а тех, кто понимает, как ее безопасно хранить, и того меньше. Так что мы решили разобрать этот вопрос.

Что такое криптокошелек?

Криптовалюту хранят в криптокошельках. По сути, криптокошелек представляет собой программу, которая содержит ваши публичные и приватные криптографические ключи. Ключи позволяют вам работать с блокчейном от своего имени и выполнять транзакции с криптовалютой.

Публичный ключ — это что-то вроде адреса вашего кошелька, а приватный ключ «отпирает» хранилище криптовалюты. Если кто-то захочет отправить вам деньги, он должен переназначить их со своего адреса на ваш (то есть ему нужно знать ваш публичный ключ), воспользовавшись своим приватным ключом. Вы же, чтобы получить и потратить присланные деньги, должны ввести приватный ключ, который соответствует вашему публичному ключу.

Важно понимать, что валюта в криптокошельке — это не то же самое, что обычные деньги в кармане. Ваш кошелек — это, по сути, просто два ключа, никаких денег он не содержит. Сами цифровые деньги находятся в блокчейне и никогда его не покидают. Когда их переводят из кошелька в кошелек, происходит единственное действие: к блокчейну добавляется лишь очередной блок с описанием этой транзакции. Чтобы разобраться в том, как работает криптовалюта, советуем прочитать этот пост.

Но давайте вернемся к кошелькам. Они бывают нескольких типов, и у каждого есть свои преимущества и недостатки.

Типы криптокошельков

1. Бумажные кошельки

Поскольку ваш аккаунт для криптовалюты — это, грубо говоря, ваши закрытый и открытый ключи, самый простой способ их сохранить — записать на листке бумаги. Это и будет бумажный кошелек. Некоторые люди действительно пользуются такими кошельками.

Но в бумажном кошельке криптовалюту можно только хранить. Чтобы что-то оплатить, придется создать кошелек другого типа и перевести средства с бумажного кошелька в новый. Вводить длинные ключи вручную — дело непростое, легко допустить ошибку, поэтому их стали записывать в виде QR-кода. Чтобы генерировать ключи и сохранять их как QR-коды, используют специальные программы.

Плюсы: безопасность (если листок кто-нибудь не украдет, а надпись по тем или иным причинам не станет нечитаемой).

Минусы: неудобство, ограниченные возможности.

2. Горячие кошельки

Самые простые в использовании электронные кошельки – горячие. Их обслуживают различные онлайн-сервисы, а горячими они называются потому, что вы можете пользоваться деньгами где угодно и с любого устройства — нужно только подключение к Интернету. Чтобы завести горячий кошелек, достаточно просто зарегистрироваться на сайте сервиса или установить специальную программу — и вы сможете через интерфейс управлять своими цифровыми сбережениями.

Горячие кошельки очень удобны, но при их использовании вы доверяете все деньги на своем аккаунте онлайн-сервису. Например, криптовалютные биржи предлагают клиентам горячие кошельки для каждой криптовалюты, которой они торгуют, но недавний опыт показывает, что хранить много денег в таких кошельках не очень разумно: обменники для хакеров – как красная тряпка для быка. Некоторые специализированные сервисы горячих кошельков не занимаются торговлей криптовалютами и уделяют больше внимания безопасности, но все равно работа с ними основана исключительно на доверии.

Одни сервисы горячих кошельков разрешают вам видеть свои ключи и хранить их где-то еще, другие — нет. Во втором случае, если что-то случится с сервисом, скорее всего, вам придется попрощаться со своими кровными. А в первом — вы всегда сможете перейти на другой кошелек. Горячие кошельки хороши для хранения небольших сумм, которые вы планируете потратить.

Плюсы: удобство, доступность.

Минусы: меньшая безопасность, зависимость от третьей стороны.

3. Теплые кошельки: толстые или легкие

В отличие от горячих кошельков, работающих в облаке, так называемые теплые кошельки (они же программные или мобильные) находятся на вашем устройстве, но подключены к Интернету. Программный или мобильный кошелек — это установленная на компьютере, смартфоне или любом другом устройстве утилита, которая хранит публичные и приватные ключи и обрабатывает транзакции. Такие локальные кошельки в целом неплохо подходят как для хранения криптовалюты, так и для оплаты товаров и услуг.

Здесь, как и с горячими кошельками, есть два варианта на выбор — тонкие или толстые (их еще называют «кошельками с полным узлом»). Толстые кошельки хранят весь блокчейн в памяти устройства, а легкие кошельки используют для этого сторонние ресурсы. На практике это значит, что толстый кошелек не «влезет» на смартфон. Например, блокчейн Bitcoin сейчас занимает около 200 Гбайт, что слегка превышает возможности смартфонов. Изначально криптовалюту хранили как раз в толстых локальных кошельках, но сейчас они уступили позиции тонким и горячим кошелькам. С другой стороны, толстые кошельки не зависят от третьих сторон и потому в целом безопаснее тонких или горячих.

Плюсы: безопаснее горячих кошельков.

Минусы: все равно недостаточно защищены и привязаны к определенному устройству.

4. Холодные кошельки

Раз есть горячий кошелек, наверняка есть и холодный? Все верно, холодные кошельки тоже существуют. Это отдельные физические устройства — обычно холодный кошелек представляет собой флеш-накопитель, который подключается к компьютеру или смартфону.

В общем-то, даже самую обычную USB-флешку можно использовать как холодный кошелек, но лучше доверить свои криптоключи и транзакции специализированным устройствам с чипом Secure Element. Такие кошельки безопаснее программных, ведь ключи хранятся в устройствах, не подключенных к Интернету. Холодные кошельки отлично подходят для безопасного хранения и использования криптовалюты. Увы, специализированные аппаратные кошельки никто не раздает даром. Ну и дома у вас станет одним электронным устройством больше — остается утешаться тем, что его хотя бы не нужно заряжать.

Плюсы: самый безопасный вид криптокошелька.

Минусы: цена, еще одно устройство.

Холодные кошельки с профессиональной защитой

Специалисты «Лаборатории Касперского» уже больше 20 лет наблюдают за развитием киберугроз, и наш опыт подсказывает — если какой-то сегмент рынка привлекает все больше и больше людей, киберпреступники не заставляют себя долго ждать. Поэтому мы задумались над созданием собственного аппаратного криптокошелька, защищенного от угроз.

Сейчас мы разрабатываем сразу две разновидности холодных кошельков на основе самых современных чипов Secure Element. И тот и другой аутентифицируют транзакции через технологию NFC на мобильных телефонах, но в одной модели есть экран, на котором пользователь может проверить транзакцию по хешам, а в другой модели дисплея нет. Также мы предлагаем создать защищенную копию такого кошелька, чтобы вы не лишились денег, даже если потеряете или повредите устройство. Здесь вы можете почитать про проекты подробнее и проголосовать за понравившийся вариант.

Категории: Новости вендоров

Открыт предзаказ на игру State of Decay 2

Microsoft - чт, 12/04/2018 - 14:30

Команда Xbox сообщает об открытии предварительного заказа на стандартное издание игры State of Decay 2. Пользователи могут оформить его в розничных сетях, специализирующихся на продаже потребительской электроники и видеоигр по рекомендованной розничной цене 1999 рублей. Все пользователи, которые оформят предзаказ, получат дополнительный контент, эксклюзивный для каждой сети: «М.Видео» – набор … Read more »

The post Открыт предзаказ на игру State of Decay 2 appeared first on Новости.

Категории: Новости вендоров

Страницы