31
✅Первый независимый в мире 📚 Самое интересное со SKYNETZONE ⚜️ Официальный форум канала: Skynetzone.pw
Найден чит-код для мозга: просто играйте в видеоигры
— Согласно недавно проведенным исследованиям, мозг геймеров показывает повышенную активность в ключевых областях.
— По словам исследователей, использовавших функциональную магнитно-резонансную томографию, видеоигры могут стать полезным инструментом для обучения принятию решений.
— Испытуемых помещали в томограф с зеркалом, показывающий сигнал, за которым сразу же показ движущихся точек. Участников опыта просили нажать на кнопку в правой или левой руке, чтобы указать направление движения точек, или не нажимать ничего, если движения не было.
https://www.securitylab.ru/news/532853.php
В поисках надежного корпоративного файрвола следующего поколения в условиях импортозамещения?
Регистрируйтесь на вебинар «Импортозамещение сетевой безопасности: Континент 4 на защите периметра», который пройдёт 🗓 26 июля в 12:00.
Мы продолжаем серию вебинаров по импортозамещению и рассмотрим работу межсетевого экрана Континент 4 на реальных примерах.
На этом вебинаре продемонстрируем:
🔹 как на Континент 4 работает контроль приложений и веб-фильтрация.
🔹 как Континент 4 может идентифицировать пользователей и разграничивать им доступ.
🔹 как при помощи Континент 4 создать VPN между филиалами.
🔹 как при помощи ЦУС легко настроить сбор и анализ логов для отчетности.
🔹 как централизованно управлять устройствами через ЦУС.
⏩ Регистрация на вебинар
Google надеется на честность разработчиков
— Корпорация предоставляет разработчикам право самостоятельно указывать, какие данные пользователя собирает приложение.
— Google больше не будет отображать список разрешений, который автоматически собирается из каждого приложения. Корпорация доверяет разработчикам предоставлять правдивую информацию о данных, которые собирают их приложения .
— С запуском раздела «Защита данных» в Google Play, который через неделю станет обязательным для всех приложений, список разрешений для приложений исчезнет из Google Play
https://www.securitylab.ru/news/532830.php
Английская ювелирка Graff, о которой мы писали в прошлом году таки раскошелилась и заплатила Conti, дабы не поднимать панику среди высокопоставленных клиентов в числе которых и Дональд Трамп, и Дэвид Бекхэм, и Том Хэнкс и еще много кто.
Светские ювелиры оценили влияние на конфиденциальность клиентов значительно больше, чем стоимость купленных драгоценностей, так как некоторые покупки могли продемонстрировать общественности некоторые неловкие и любовные отношения между очень важными людьми.
В итоге Graff по-тихой заплатили выкуп в размере 6 миллионов фунтов стерлингов, что около 7,5 миллиона долларов США, дабы избежать утечки данных своих клиентов, но снова влетели в ленту новостей из-за скандала со своей страховой Travelers, которая отказалась покрыть выплату хакерам.
Разборки перетекли в правовое поле, так как ювелиры подали в суд на страховую компанию за отказ покрыть этот платеж.
В общем пока власть имущие разбираются кто, кому и чего должен, хакеры Conti, вероятно, смакуют Cristal, наблюдая со стороны.
Hacker starter pack: теперь вы можете взломать систему на ходу
— Давиде Маркетти из компании Bag Builds упаковал Raspberry Pi и несколько дополнительных аксессуаров внутри рюкзака .
— По словам разработчика, со своей серией рюкзаков на основе Pi он готов ко всем видам «активности на открытом воздухе».
— Raspberry Pi Backpack включает в себя множество инструментов, начиная от звуковой системы и заканчивая устройством HackRF.
https://www.securitylab.ru/news/532836.php
Срываем маски: новая кэш-атака по сторонним каналам позволяет деанонимизировать пользователей
— По словам ученых, новая атака позволяет обойти защитные меры, обеспечивающие анонимность и идентифицировать посетителей сайта, который частично или полностью находится под контролем злоумышленника.
— Атака может быть использована против настольных и мобильных систем с различными процессорами и браузерами.
— Стоит отметить, что деанонимизировать жертву можно только в том случае, если она входила в другие учетные записи до того, как попала на вредоносный сайт.
https://www.securitylab.ru/news/532825.php
Обнаружены уязвимости в хранилище отпечатков пальцев и криптокошельках
— Исследователи разработали новую технологию фаззинга, которая позволила обнаружить многие ранее неизвестные проблемы безопасности.
— Были затронуты все протестированные экспертами драйверы отпечатков пальцев, а также кошельки для хранения криптовалюты.
— Злоумышленники могут использовать данные уязвимости для считывания биометрических данных или кражи всего остатка хранимой криптовалюты.
https://www.securitylab.ru/news/532823.php?r=1
hacker_place/pFR7sRgNy-C">Оружие хакера. Powershell Empire + BadUSB
Читать полностью…
Падение стоимости криптовалюты вызвало кризис в дарквебе
— Согласно исследованию ИБ-компании Cybersixgill , киберпреступники стремятся защитить свои украденные средства, переводя их с криптовалют на фиатные валюты, что приводит к банкротству многих подпольных бирж.
— Поскольку цены на криптовалюты упали, киберпреступники меняют их на фиат в обменных пунктах дарквеба. У площадок быстро закончились долларовые резервы (или их операторы также опасались убытков от покупки большего количества криптовалюты), и они прекратили свою деятельность
— Заменить обанкротившиеся биржи будет сложно, особенно с учетом того, что цены на криптовалюту продолжают снижаться.
https://www.securitylab.ru/news/532798.php
Умные термостаты грабят жителей США
— Согласно документу из Корнельского университета, смарт-термостаты тайно облагают электроэнергию налогом.
— Если не поменять настройки по умолчанию, в сотнях тысяч домов США могут быть внезапные скачки в потреблении электроэнергии прямо перед тем, как жители проснутся.
— Термостаты, обычно настроенные на переключение в дневной режим около 6 утра, «могут вызвать синхронизацию нагрузки (load synchronization) во время восстановления после ночных сбоев датчиков и увеличить ежедневную пиковую потребность в электроэнергии», — говорится в документе.
https://www.securitylab.ru/news/532786.php
В России в продаже появились нелегальные лицензии Cisco
— Отечественные компании и госорганы продолжают покупать лицензии американской корпорации Cisco, несмотря на ее уход с российского рынка.
— Помимо продажи пиратских лицензий, известны случаи, когда госорган взломал продукт Cisco c помощью внешней компании. Покупка лицензий осуществляется в том числе и за криптовалюту.
— воспользоваться продуктом Сisco можно 2 способами: - Совершить хакерские действия над прошивками и лицензиями Сisco, либо компания их регистрирует в других странах и устанавливает на российское оборудование в обход запретов Cisco.
https://www.securitylab.ru/news/532779.php
Сила дипфейков: три истории о том, как весь мир купился на опасные подделки
Дипфейки – это не только забавные видеоролики со знаменитостями, которые говорят и поют глупые вещи. Злоумышленники используют их для дискредитации политиков, создания паники в СМИ и обмана миллионов ничего не подозревающих пользователей. Поэтому давайте вместе отправимся в прошлое и рассмотрим самые опасные дипфейки, вызвавшие общественный резонанс.
https://www.securitylab.ru/news/532774.php
Бизнес обяжут передавать властям данные клиентов без обезличивания
— Бизнес могут заставить по запросу передавать правительству личную информацию граждан, обезличивать которую будет уполномоченный орган без согласия самого человека.
— В первой версии законопроекта, прошедшей первое чтение в марте 2021 года, предусматривалось, что обезличивание данных могло происходить только с согласия человека, а бизнес мог затем их свободно использовать.
— Законопроект в его текущем виде направлен на передачу персональных данных правительственным службам, а не на регулирование рынка обезличенных данных. Фактически, он направлен на монополизацию этого рынка государством.
https://www.securitylab.ru/news/532742.php
Мошенник заработал миллионы долларов, продавая поддельные устройства Cisco
—Cеть магазинов и организаций использовались для импорта десятков тысяч поддельных сетевых устройств Cisco из Китая и Гонконга, после чего продавались в США и за рубежом.
— Устройства, которые злоумышленники выдавали за новые, были старыми моделями с неофициальными модификациями, к которым были приклеены оригинальные этикетки и приложена официальная документация
— Специалисты отмечают, что эти устройства были крайне уязвимы с точки зрения безопасности, показывали плохую производительность и часто выходили из строя, хотя использовались в больницах, школах, правительственных и военных учреждениях.
https://www.securitylab.ru/news/532757.php
Как ФБР прослушивало мир
— Motherboard опубликовала часть кода приложения для обмена зашифрованными сообщениями Anom, которое тайно управлялось ФБР для отслеживания организованной преступности в глобальном масштабе.
— Сообщения тайно дублировались и отправлялись "призрачному" контакту, который был скрыт в списках контактов пользователей. Призрачный пользователь, в некотором смысле, был агентом ФБР и его партнеров из правоохранительных органов, читающим сообщения организованных преступников во время их общения друг с другом.
— В статье , опубликованной на сайте Lawfare в ноябре 2018 года, Ян Леви и Криспин Робинсон, два сотрудника британского разведывательного управления GCHQ, написали, что «разработчик любого мессенджера может незаметно добавить представителя правоохранительных органов в групповой чат или звонок».
— Компания Motherboard не будет публиковать полный код приложения Anom. По их мнению, код содержит идентифицирующую информацию о тех, кто работал над приложением. Большинство людей, создававших приложение Anom, не знали, что программа была тайным инструментом ФБР для наблюдения за организованной преступностью. Раскрытие личностей разработчиков может подвергнуть серьезному риску их жизни.
https://www.securitylab.ru/news/532756.php
Оценка для отечественного оборудования
— Для телекоммуникационного оборудования может быть введена балльная система, согласно которой оно будет признаваться отечественным.
— Речь идет, к примеру, о базовых станциях, коммутаторах, системах интернета вещей.
— Чтобы такое оборудование признали российским и оно получило доступ на рынок госзакупок, его производитель должен иметь права на конструкторскую и технологическую документацию, на товарный знак и исходный код софта. Компания должна также иметь в России свою или контрактную производственную базу и сервисные центры для гарантийного обслуживания.
https://www.securitylab.ru/news/532849.php
Tor неостановим: последнее крупное обновление открыло новые возможности по обходу интернет-цензуры
— Разработчики представили новые функции, которые должны помочь пользователям обходить блокировки сайтов и технологии Tor.
— Самой важной из новых функций стала “Connection Assist”, которая автоматически подбирает оптимальную конфигурацию моста, учитывая местоположение пользователя.
— Внимания заслуживает и другая новая функция, активная по умолчанию – HTTPS-Only Mode, благодаря которой браузер будет подключаться к веб-ресурсам только через те каналы, которые защищены протоколом HTTPS.
https://www.securitylab.ru/news/532843.php
Хакеры угоняют автомобили Honda, новый неуловимый Linux-вредонос Orbit. Security-новости #68 | 12+
Хонду можно открыть и завести, используя уязвимость в системе доступа без ключа, вредонос OrBit дает удаленный доступ к Linux-системам и позволяет похищать учетные данные, сложная фишинговая атака угрожает даже тем, кто использует многофакторку, а оскорбленный хакер отомстил Диснейленду, взломав аккаунт парка.
Decentral Bank исправил баг в смарт-контракте, который привел к созданию токенов на $10 трлн, Crema Finance пришлось выплатить $1,76 млн хакеру, похитившему криптовалюту на $9 млн, а Microsoft без предупреждения вернула запуск макросов по умолчанию. В Канаде крупный сбой связи нарушил работу всех финансовых институтов, а в Китае армия через посредников закупает современные чипы Intel, AMD и Nvidia.
В России дропперам может грозить срок от 4 до 7 лет лишения свободы, Минцифры РФ поручено разработать механизм оценки перехода госсектора на отечественное офисное ПО, а интернет-шатдауны обошлись стране в 2022 году в $8,77 млрд.
В шестьдесят восьмом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю.
https://www.youtube.com/watch?v=3y5zhMY7574
Московский суд оштрафовал Google на 21 млрд рублей
— Компания оштрафована за систематический отказ удалять информацию, признанную в России запрещенной.
— Сумма наложенного штрафа составляет 10 % от выручки Google и его аффилированных лиц, зарегистрированных в налоговой в России.
— В декабре 2021 года московский суд назначил российской «дочке» Google минимальный размер оборотного штрафа, 5% от годовой выручки за 2020 год.
— В мае текущего года российское подразделение Google начало процесс банкротства.
https://www.securitylab.ru/news/532841.php
Минцифры собирается легализовать белых хакеров
— Минцифры думает над тем, чтобы ввести в России схему Bug Bounty и легализовать выплаты белым хакерам за нахождение уязвимостей в системах.
— После легализации правоохранительные органы не смогут привлекать белых хакеров к уголовной ответственности за неправомерный доступ к компьютерной информации
— Введение понятия bug bounty в правое поле позволит запустить бонусную программу для тестировщиков уязвимостей в информационных государственных системах.
https://www.securitylab.ru/news/532829.php
ИИ помогает создать атаки с усилением DNS
— Исследователи, подтвердили ненадежность методов глубокого обучения для обнаружения DDoS-атак с усилением DNS и их уязвимость к атакам со стороны противника.
— Исследователи разработали два алгоритма, EAD и TextAttack, и использовали их для создания состязательного патча, из-за которого данные неправильно распознавались нейросетью.
— Нейросеть для обнаружения DDoS-атак с усилением DNS удалось обмануть в 100% и 67,63% случаях соответственно.
https://www.securitylab.ru/news/532824.php
Сбербанк рассказал о новых схемах телефонных мошенников
— Мошенники продолжают активно использовать для обмана россиян схемы «найма на работу» и «звонков от правоохранительных органов», при этом новые схемы в основном сосредотачиваются вокруг новостной повестки
— Представитель Сбера отметил, что в процессе «лженайма» мошенники просят жертв предоставить им документы с персональной и платежной информацией, долго общаются и даже могут прислать псевдоприказ о приеме на работу.
— Мошенники изучают новостные сводки, которые затем активно используют при общении со своими жертвами.
https://www.securitylab.ru/news/532819.php
Google выпустила ChromeOS Flex
— Chrome OS Flex предназначена для установки на устаревшие ПК под управлением Windows и macOS.
— Системные требования: процессор Intel или AMD x86-64, 4 гигабайта оперативной памяти, накопитель емкостью не менее 16 гигабайт, интегрированная графика и поддержка загрузки с USB-накопителя.
— ChromeOS Flex могут установить все желающие, но особенно полезен данный инструмент будет для предприятий или школ - позволит расширить возможности старого оборудования.
https://www.securitylab.ru/news/532818.php?r=1
Путин ввел оборотные штрафы для иностранных IT-компаний, которые не «приземлились»
— Сумма штрафа составит за первое нарушение от 1/15 до 1/10 годовой выручки, за повторное от 1/10 до 1/5 выручки, но не менее 6 млн руб в первом случае, и не менее 10 млн руб во втором.
— Штрафы также действуют в отношении иностранных организаций, не являющихся юридическим лицом, должностных лиц и просто граждан.
— Закон о «приземлении» иностранных IT-компаний обязывает иностранные компании, ресурсами которых пользуются российские граждане, открывать свои представительства в РФ, для контроля за сбором личных данных пользователей.
https://www.securitylab.ru/news/532796.php
Бывший инженер ЦРУ осужден за крупнейшую утечку секретной информации WikiLeaks
— Бывший инженер-программист ЦРУ 13 июля был осужден за утечку секретной информации WikiLeaks, что стало одной из самых крупных краж подобного рода в истории ЦРУ.
— Просочившиеся материалы описывали инструменты, которые ЦРУ использовало для слежки за людьми за пределами США с помощью компрометации смартфонов и подключенных к Интернету телевизоров. WikiLeaks начал публиковать материалы в марте 2017 года.
— «Сегодня Шульте был осужден за один из самых наглых и разрушительных актов шпионажа в американской истории, за подрыв усилий США по борьбе с террористическими организациями и другими злонамеренными влияниями по всему миру», - заявил прокурор США Дэмиан Уильямс.
https://www.securitylab.ru/news/532781.php
Ежемесячные обновления представили гиганты в области ICS Siemens и Schneider Electric.
Siemens выпустила 19 новых бюллетеней с описанием 46 уязвимостей, две из которых «критические» с оценкой CVSS 10 из 10.
Один из бюллетеней описывает критические и серьезные уязвимости в коммуникационном процессоре SIMATIC CP 1543-1. RCE-уязвимости могут быть проэксплуатированы только в том случае, если используется функция VPN Remote Connect Server (SRCS), которая выключена по умолчанию.
Другие критические и серьезные уязвимости исправлены в цифровом помощнике SIMATIC eaSie. Ошибки можно использовать удаленно путем отправки произвольных запросов в систему для вызова состояние DoS.
Еще одна исправленная Siemens критическая уязвимость, связанная с DHCP, затрагивает старые приводы SINAMICS Perfect Harmony GH180 и позволяет получить доступ к его внутренней сети.
Закрыта критическая уязвимость обхода аутентификации в системе управления качеством Opcenter Quality, а также несколько критических и серьезных уязвимостей в коммутаторах SCALANCE X, которые могут быть использованы для DoS или BruteForce, а также привести к перехвату сеанса.
Десять бюллетеней описывают уязвимости высокой степени серьезности. При этом 20 ошибок в продукте компании PADS Viewer можно использовать для RCE, обманом заставив целевого пользователя открыть специально созданный файл.
Для некоторых продуктов Siemens не представил исправлений, рекомендовав меры по смягчению последствий и обходные пути.
Schneider Electric выпустила четыре новых бюллетеня, описывающих 13 уязвимостей. В одном из них описывается серьезная проблема внедрения команд ОС в SpaceLogic C-Bus Home Controller.
Некоторые коммуникационных модулей OPC UA и X80 Advanced RTU подвержены трем уязвимостям высокой степени серьезности, которые могут быть использованы для DoS, а также 4 - средней степени серьезности, позволяющим загрузить несанкционированный образ прошивки.
Компания также выпустила рекомендации по уязвимостям высокой и средней степени серьезности в реле защиты Easergy P5, которые могут позволить злоумышленнику вызвать состояние DoS, получить учетные данные устройства или получить полный контроль над ним.
Уязвимость средней степени серьезности, позволяющую получить доступ к другим устройствам в сети, была обнаружена в Acti9 PowerTag Link C.
Поставщик выпустил все необходимые исправления и меры по устранению уязвимостей.
hacker_place/E0nFixtm-xc">Как взломать сайт с помощью картинки
Читать полностью…
NVIDIA объединяет классические и квантовые вычисления
— Nvidia представила свою новую вычислительную платформу Quantum Optimized Device Architecture (QODA), цель которой — преодолеть разрыв между квантовыми и классическими приложениями.
— QODA от Nvidia обеспечивает доступ к современным квантовым процессорам, которые моделируются на собственных системах Nvidia GDX SuperPod и ускорителях на базе GPU (graphics processing unit).
— Специалисты по высокопроизводительным вычислениям и искусственному интеллекту смогут использовать Nvidia QODA в привычной классической среде, легко используя вероятностный подход к расчетам, который является отличительной чертой квантовых вычислений.
https://www.securitylab.ru/news/532765.php
Security-новости от Александра Антипова (securitylab.ru). Выпуск #67
Алгоритм ИИ предсказывает преступления на неделю вперед с точностью 90%, в США представили инструменты шифрования для защиты от квантовых компьютеров, криптомошенники взломали аккаунты британской армии в Twitter и Youtube, а Google и Mozilla опасаются глобальной слежки за пользователями.
Google защитит данные жертв домашнего насилия и клиенток абортариев, ИИ быстро усваивает расовые и сексистские стереотипы из соцсетей, а пользователи приложения для создания ИИ-ботов начинают верить в разум своих виртуальных ассистентов. В Китае кодекс поведения для стримеров запретит показ 31 категории контента, а в России доля поставляемых ноутбуков без ОС к осени может вырасти до 80–90%.
В шестьдесят седьмом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю:
https://www.youtube.com/watch?v=gp8F_lnG3ik
В России за дропперство планируют ввести уголовную ответственность
— МВД совместно с другими ведомствами по поручению правительства «прорабатывается вопрос установления уголовной ответственности для лиц, которые за денежное вознаграждение помогают кибермошенникам оформлять счета и выпускать банковские карты»
— В такие схемы наряду с безработными, маргиналами, гастарбайтерами и студентами вовлекаются подростки, которые ищут быстрых и легких денег.
— Если исходить из наказания, предусмотренного по этой статье, максимальная санкция может составить четыре года. «Если же речь идет о квалифицированном составе — совершено организованной группой, извлечен доход в особо крупном размере, — то наказание должно быть более суровым — до семи лет лишения свободы», — сказал эксперт.
https://www.securitylab.ru/news/532750.php
