13118
Вылавливаем сачком самые трендовые события в кибербезопасности и IT из матрицы жизни. Бот для связи и ваших новостей, господа и дамы: @Sachok_feedbackBot Регистрация в РКН есть.
«Умные» лампочки не хранят секреты
Исследователи безопасности заявили, что «умные» лампочки могут раскрыть пароль от локальной сети Wi-Fi.
Специалисты из Лондонского университета выявили 4 уязвимости в умной лампочке TP-Link Tapi L530E и приложении для управления ими TP Link Tapo.
Сейчас в мире насчитываются миллиарды «умных» лампочек. Многие из них передают данные небезопасным способом и не имеют должной защиты аутентификации. Указанная выше модель — самая продаваемая в мире. Прямые показатели — продажи на маркетплейсах по типу Amazon, а косвенные — количество скачивания приложения для управления ими. В частности, в Google Play Store TP Link Tapo установили более 10 млн раз.
Один из самых опасных сценариев использования уязвимости в IoT-устройстве — это когда злоумышленник может выдать себя за умное устройство и узнать данные учетной записи пользователя Tapo.
Получив доступ к приложению, хакер может узнать SSID и пароль от вашего Wi-Fi.
Самая опасная уязвимость, набравшая 8,8 баллов по шкале критичности связана с некорректной аутентификацией. Благодаря ее эксплуатации преступник может выдавать себя за пользователя на этапе обмена ключами.
В общем, «умный» дом — это ахуенно, но сколько проблем весь этот прогресс для нас, продвинутых людей, несет, только богу Касперскому известно.
Все-таки идея с тем, чтобы вернуться к письму на бересте не так уж и плоха.
@cybersachok
Куда уходит AnonFiles?
Админы популярного сервиса для анонимного обмена файлами AnonFiles ищут покупателей домена. Сервис прекращает работу, а все файлы скорее всего бесследно исчезнут. В частности для тех, кто не позаботился о бэкапах.
AnonFiles известен в среде специалистов по кибербезопасности и злоумышленников, использовавших платформу для своих целей.
Например, 8Base использовали сервис, чтобы распространять украденные данные, также многие киберпреступники распространяли на платформе вредоносное ПО.
@cybersachok
Американцы решили добавить в свой киберполигон дополненную реальность, чтобы во время кибератаки погружаться в сценарий и лучше чувствовать происходящие процессы.
У Positive Technologies тоже очень мощный киберполигон. Надеемся, на следующий Standoff организаторы придумают новые фишки с VR и AR.
@cybersachok
«Яндекс» сделал прогиб?
Сколько раз за последние несколько лет мы слышали от наших законодателей и чиновников о том, что Google, Apple и компания рептилоида Маска Цукерберга должны хранить данные российских пользователей в России? Считать, честно говоря, лень.
Выполнили ли требования по локализации данных техногиганты? Вопрос риторический.
Посмотрите на судебные заключения и назначенные штрафы в отношении зарубежных IT-компаний, чтобы узнать ответ на этот вопрос.
«Ноу, ноу, ноу стьюпед рашнс», — показывая фигу нашим регуляторам отвечали Американские компании, конечно же, никогда не сливавшие поисковые запросы и даннные геолокации пользователей ФБР.
В «Яндекс» решили не следовать примеру Big Tech и согласились перенести сервера yandex.kz в Казахстан.
Компромисс? Может быть.
Выводы сделаем, когда дождемся реакции казахстанских пользователей в социальных сетях.
@cybersachok
Взломай, но молчи
TechCrunch разразился статьей о том, как компания-разработчик ПО для взлома смартфонов Cellebrite пытается договориться со своими основными клиентами — силовиками разных стран — о сохранении в тайне факта использования ее продуктов.
Не так давно в сеть утекло обучающее видео от сотрудника Cellebrite, в котором клиентов призывают скрывать информацию о способе получения данных с помощью специального ПО.
Закономерно на фоне этой новости начали возмущаться юристы, посчитавшие, что такие правила игры усложнят процесс проверки доказательств в отношении их подзащитных, особенно в авторитарных странах.
@cybersachok
Почему-то вдруг внезапно российский смартфон, анонсированный вчера, оказался очень похожим на Note 12
Читать полностью…
Нейросеть сгенерировала Джона Леннона, который сочинил песню в стиле The Beatles и спел ее. На бэк-вокале был нейросетевой Пол Маккартни.
Жду, когда кто-то «воскресит» с помощью искусственного интеллекта Цоя, Талькова или Михаила Круга.
Следующая стадия — ИИ-политики, которые управляют страной. Первым будет Сталин!
Я в чате коллег утром после празднования победы в тендере
Читать полностью…
Microsoft поднасрал
Лицензии на продукты компании в России будут действовать до конца сентября без возможности продления.
70-90% корпоративных клиентов в РФ продолжают использовать ее продукты .
https://www.forbes.ru/tekhnologii/494299-zakolocennye-okna-kakie-problemy-vyzovet-otkaz-microsoft-prodlevat-licenzii
Сколько миллионов нужно роскомнадзору на киберзащиту?
На днях стало известно, что подведомственный Роскомнадзору ФНУП «Главный радиочастотный центр» потратит на защиту инфраструктуры от кибератак 161 млн.
Победителем тендера стала компания BIZone. Она же была и единственным участником тендера.
@cybersachok
Прощай, Китай. Привет, Китай!
Не только в США и странах ЕС растет уровень паранойи по поводу китайской микроэлектроники и ПО.
Индия ввела запрет на использование китайского железа при разработке вооружений, мотивировав решение опасениями по поводу закладок и слежки со стороны большого соседа.
У нас в стране сейчас наоборот вынужденный переход на китайское железо и ПО.
Других вариантов просто нет.
Американское нам уже не поступает как раньше, а своего у нас пока нет.
Закрываться за шторами технологической изоляции, опасаясь слежки от зарубежных «партнеров» глупо, так как другая крайность — технологическая отсталость в эпоху кибервойн, блокчейна, квантовых компьютеров и ИИ, еще хуже, чем слежка.
Вот и остается один вариант — «дружить» ради железа.
@cybersachok
Появились сообщения о
массовой блокировке VPN-протоколов OpenVPN и WireGuard.
Комментариев пока нет.
ЛДПР борется с утечками данных?
Депутат Госдумы Борис Чернышев предложил главе минцифры Максуту Шадаеву внедрить знак «ненадежного оператора» для компаний, допустивших утечку персональных данных клиентов.
Такое внедрение, по мнению депутата, поможет гражданам при выборе компании.
@cybersachok
Вчера в районе Большой Никитской неожиданно для себя встретил своего старого знакомого из Газпром медиа холдинга.
После второго коктейля на сакэ в Кодзи приятель, кажется, решил, что я его психотерапевт и начал изливать душу, в частности, говорил про его личное недовольство законом об оборотных штрафах за утечки данных.
По его словам, у ГПМ сейчас много сервисов-аналогов зарубежных социальных сетей: например, Yappy(тикток) на который делают ставку топы компании, богоспасаемый Rutub и тд.
И если начнутся атаки на них с последствиями в виде утечек пользовательских данных, то ГПМ «задолбается» платить.
Негатива по поводу оборотных штрафов я услышал столько, будто меня накормили дерьмом.
Сошлись на том, что хотелось бы вернуться в 2015-й год, потому что такого Ада в законодательстве тогда не было.
Увы, прошлое старикам никто не вернет. После полуночи захотелось окунуться в кринж, поэтому поехали трясти костями в Двойную жизнь Вероники. Недавно осознал, что музыка, которая там играет — это мое гилти-плеже, вытаскивающее из меланхоличных дум о будущем кибербеза в России.
Твой начальник, когда компанию атаковал вирус-шифровальщик, а бэкапы никто не сделал
Читать полностью…
Родительским чатам WhatsApp конец.
Родительские комитеты по всей России призывают переходить на VK мессенджер, чтобы собирать деньги на «ремонт», спрашивать домашнее задание и ругаться с другими родителями в отечественных сервисах.
Импортозамещение, которого не хватало.
@cybersachok
Американский ИБ-регулятор CISA опубликовал дорожную карту на 2023-2025 год.
В своей стратегии CISA выделила 4 направления, для каждого из которых прописала определенные цели — всего 19.
1. Улучшение взаимодействия с партнерами агентства.
2. План по оптимизации функций агентства, чтобы быть более актуальными и лучше выполнять свои задачи.
3. Снижение рисков и обеспечение устойчивости критической инфраструктуры.
4. Сделать национальное киберпространство устойчивым перед угрозами.
Лучше конечно заглянуть в стратегию самостоятельно, чтобы понять в каких условиях будет существовать Американский рынок ИБ и в целом киберпространство страны.
@cybersachok
Есть тут адепты BMW и Audi? Знаю, что есть.
Новость для вас: BMW и Audi ограничат доступ к своему ПО в России. Для владельцев автомобилей это означает отсутствие возможности просмотра истории техобслуживания и обновления элементов.
Теперь не узнать данные последнего ремонта, не посмотреть пробег авто по ключу, а также не включить удаленно зажигание, прогрев машины и не отследить уровень топлива.
Для Audi теперь отсутствует возможность установить детали, где требуется программирование.
@cybersachok
Про Луну и «Луна-25».
Ворвусь в воскресную ленту с темой, далекой от кибербезопасности, но важной.
Критиковать неудачное прилунение космического аппарата «Луна-25» не хочется.
Я по-прежнему считаю, что возобновление лунной миссии — это правильное начинание. Хотя конечный желаемый результат не достигнут, шаг вперед после долгого перерыва мы сделали.
С улыбкой на лице читаю сейчас американские масс-медиа, которые единым хором кричат, что неудавшаяся лунная миссия — прямое следствие западных санкций и отсутствия западных технологий(нужно же убедить своих граждан, что санкции на Россию подействовали самым разрушительным образом).
Верю в одно — все впереди: и Луна, и Марс и своя глобальная спутниковая система для высокоскоростного интернета по всей России.
МВД хочет получать доступ к перепискам россиян без разрешения суда.
Ведомство внесло на обсуждение законопроект, который приравняет любую информацию, передаваемую через интернет, к необходимой для следственных действий. Такая норма позволит силовикам получать доступ к данным россиян без предписания суда. Речь идет о технической информации о подключениях и о любом общении в сети, в том числе, частных переписках.
Сейчас доступ к сообщениям, защищенным конституционной тайной переписки, полиции может санкционировать только суд.
Не ждали? А деньги уже выделены.
10 августа подписано правительственное распоряжение о выделении более 3,3 млрд на создание отраслевого центра информационной безопасности.
Пишут, что такие деньги выделяют, чтобы было создано как минимум 7 отечественных IT-продуктов с интегрированными механизмами обеспечения ИБ.
@cybersachok
Основатель «Яндекса» Аркадий Волож выступил против специальной военной операции РФ на Украине.
Что хочется сказать, за позицию мы человека уважать не перестаем, а вот за такое лицемерие — да.
Украинские хакеры, когда взломали сайт провинциального секс-шопа
Читать полностью…
Я: презентую начальнику новый ИБ-продукт взамен ушедшим с российского рынка аналогам
Читать полностью…
⚡️ Сегодня утром злоумышленники получили доступ к публикации материалов на сайте МосгорБТИ. При этом никакой утечки данных допущено не было
Информация о том, что взломщики сайта МосгорБТИ получили какие-либо данные о правах собственности москвичей не соответствует действительности.
Злоумышленники получили доступ только к публикации материалов на сайте.
Информация об объектах недвижимости и собственниках хранится в отдельной базе данных, надежно защищенной. Сайт является только каналом для заказа документов и напрямую не связан с информационными системами учреждения. В настоящий момент технические специалисты разбираются с инцидентом.
Могила сооснователя "Яндекса", программиста Ильи Сегаловича на Троекуровском кладбище Москвы.
На могиле Сегаловича вместо стандартного памятника с фото стоит скульптура в виде кованого дерева, проросшего в бетонном основании. На ветвях дерева сидят птицы, а в центре кроны установлен прозрачный шар с еще одной металлической сферой внутри, символизирующий возрождение.
Автор мемориала - скульптор Василий Селиванов.
Самая приятная утечка данных?
Хакеры из NLB снова хвастаются взломами российских сервисов и компаний. На этот раз под раздачу попал «ЛитРес» — крупневший в России и СНГ магазин электронных и аудиокниг.
Увы, данные о книгах с привязкой к личности, в открытый доступ не попали, поэтому узнать любимые книги начальника или девушки не получится.
Зато в файле с 3 млн записей есть id пользователя, фамилия и имя, хэш пароля и электронная почта.
@cybersachok