​🔑 Как Google ведёт незаконный сбор биометрии и личной информации!

• 📃 В Google был подан иск от двух подростков о незаконных действиях связанным с тем что, корпорация незаконно собирает персональные данные в том числе, образцы голоса, снимки лиц, личные списки контактов, просмотренные видео на YouTube и т.д.
Документ направлен в Окружной суд США штата Калифорния.

• 👥 💬 Подростки заявляют, что корпорация собирает данные обеспечивая доступ к своим ноутбукам «ChromeBook», которые поставляются с предустановленным «G Suite для образовательных учреждений (ранее называвшейся Google Apps for Education) которой пользуются более чем половина школьников страны, большинство из которых младше 13 лет.

• ⚠️ В данных устройствах заложено наличие версий приложений Gmail, Calendar, Drive, Docs и Sheets для учащихся.

• ⚙️ Каждый голосовой шаблон и шаблон лица, которые Google извлекает из дочерних элементов и каталогов в своей обширной базе данных биометрии, который является уникальным для этого ребенка, так же, как уникален отпечаток пальца идентифицирующий одного и только одного человека.
Google дополняет эти биометрические данные другой идентификационной информацией, касающаяся каждого ребенка, включая адрес электронной почты и имя ребенка.

• 📄 Закон о конфиденциальности биометрических данных (BIPA) гласит что, перед получением данных или любой другой персональной информации, корпорации (Google) информаровали и получали согласие от любого из их родителей или других законных опекунов.

• 💻 Ноутбуки Google создают, собирают, хранят и используют свои «шаблоны лица» (или «сканы лица» «биометрии») и «голосовые отпечатки» - высокочувствительные и неизменные биометрические данные - а также различные другие формы идентификации личности, относящиеся к этим детям, в том числе:
✔️ Их физическое местоположение;
✔️ Сайты, которые они посещают;
✔️ Каждый поисковый запрос, который они используют в поисковой системе Google (и результаты, которые они видят);
✔️ Видео, которые они смотрят на YouTube;
✔️ Личные списки контактов;
✔️ Голосовые записи;
✔️ Сохраненные пароли, а так же другая поведенческая информация;

#Приватностьданных
#Безопасностьдетей

@SingleSecurity 🛡

​📌 Добрый день, дорогие подписчики и гости канала!

📄 В связи, с сложившейся ситуацией в стране, из за пандемии COVID-2019, перечислю не полный перечень (советы) требований по кибербезопасности для работающих в удалённом режиме, так как опыт, защищенной работы в компьютерных сетях, в период пандемии, имеет неоценимое значение в организационном и техническом плане.

📑 Данная статья будет разделена на 2 части, в первой будут советы и требования для работодателей, а во второй перечислю ряд правил для самих работников.

Требования к работодателям:
✔️ Необходимо обеспечить наличие достаточного количества ИТ-ресурсов для поддержки персонала, в случае возникновения технических проблем в целом;
✔️ Предоставлять работникам соответствующую информацию, например, контакты лиц с кем работник будет работать удалённо;
✔️ Обеспечить устройства доступа современным програмным обеспечениям безопасности и своевременным обновлениям данных продуктов, а также регулярно напоминать пользователям о необходимости проверки обновлений;
✔️ Предусмотреть схему и порядок замены вышедших из строя устройств, для обеспечения целостности системы;
✔️ Предоставлять, где это возможно, корпоративные компьютеры/устройства работникам для удаленной работы;
✔️ Обеспечить доступ к порталам приложений, через механиз многофакторной аутентификации;
✔️ Предпочтительна взаимная аутентификация (например, от клиента к серверу и от сервера к клиенту);
✔️ Все корпоративные бизнес-приложения должны быть доступны, только через зашифрованные каналы связи (SSL VPN, IPSec VPN). Убедитесь, что корпоративное VPN-решение масштабируется и способно поддерживать большое количество одновременных соединений;
✔️ Обеспечить актуальность баз данных признаков вредоносных компьютерных программ, програмное обеспечение (Брандмауэр/Антивирус) на удалённых устройствах (пк,смартфон,планшет и т.д.) должны быть установлены и полностью обновлены;
✔️ BYOD устройства BYOD (bring your own device – принеси свое собственное устройство), должны быть проверены ,с точки зрения безопасности, с использованием платформ, обеспечивающих контроль политик безопасности на устройстве;
✔️ Блокирование экрана, если вы работаете в общем пространстве;
✔️ Обеспечить наличие политик реагирования на инциденты, связанных с безопасностью и утечкой личных данных, и надлежащее информирование о них работников;
✔️ Обеспечение безопасных видеоконференций для корпоративных клиентов (как аудио/видео возможности);
✔️ Обеспечить, чтобы любая обработка работодателем данных о персонале ,в контексте телеработы (например, учет рабочего времени) ,соответствовала правовым рамкам ЕС в области защиты данных;
✔️ Провести инструктаж работников и персонала, в целом находящихся в субъектах критической информационной инфраструктуры, осуществляющих удаленный доступ к объектам критической информационной инфраструктуры, о правилах безопасного удаленного взаимодействия с такими объектами;
✔️ Определение перечня средств вычислительной техники, в том числе ,портативных мобильных средств вычислительной техники (ноутбуков, планшетных компьютеров, мобильных устройств), которые будут предоставлены работникам для удаленной работы;
✔️ Определение перечня информации и информационных ресурсов (файлов, каталогов, томов, программ), расположенных на серверах объектов критической информационной инфраструктуры, к которым будет предоставляться удаленный доступ;
✔️ Назначить минимально- необходимые права доступа и привилегий пользователям, находящимся на удаленной работе;
✔️ Обеспечить идентификацию удаленных устройств (пк,смартфон,планшет и т.д.) по физическим адресам (МАС-адресам) на серверах объектов критической информационной инфраструктуры, к которым будет предоставляться удаленный доступ, предоставление им доступа к информационным ресурсам объектов критической информационной инфраструктуры методом "белого списка";

#Уязвимости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​Продолжение:

✔️ Выделение в отдельный домен работников, управление которым должно осуществляться с серверов субъекта критической информационной инфраструктуры, и присвоение каждому удаленному устройству (пк,смартфон,планшет и т.д.) сетевого (доменного) имени;
✔️ Обеспечение двухфакторной аутентификации работников удаленных устройств (пк,смартфон,планшет и т.д.), при этом один из факторов обеспечивается устройством, отделенным от объекта критической информационной инфраструктуры, к которому осуществляется доступ;
✔️ Организовать защищенный доступ с удаленного устройства (пк,смартфон,планшет и т.д.) к серверам объектов критической информационной инфраструктуры с применением средств криптографической защиты информации (например VPN);
✔️ Исключить возможность установки работником программного обеспечения на удаленное устройство (пк,смартфон,планшет и т.д.), реализованного с помощью привелегий к каждому устройству, кроме программного обеспечения, установка и эксплуатация которого определена служебной необходимостью, реализуемое штатными средствами операционной системы удаленного устройста или средствами защиты информации от несанкционированного доступа;
✔️ Обеспечить блокировку сеанса ,удаленного доступа, пользователя при неактивности какого - либо времени, более установленного субъектом критической информационной инфраструктуры времени;

#Уязвимости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​📌📃 Ряд правил для работников, работающих в удалённом режиме.

Требования к работникам:
✔️ Используйте корпоративные (а не персональные) компьютеры там, где это возможно;
✔️ Подключайтесь к Интернету через защищенные сети; избегайте открытых сетей;
✔️ Избегайте обмена конфиденциальной корпоративной информацией (например, по электронной почте) через небезопасные соединения;
✔️ Используйте корпоративные интранет-ресурсы для обмена рабочими файлами;
✔️ Будьте осторожны с любыми электронными письмами, в которых упоминается о коронавирусе, поскольку это могут быть попытки фишинга или мошенничество;
✔️ Данные, находящиеся на локальных носителях, должны быть зашифрованы;
✔️ Не публикуйте URL виртуальной встречи в социальных сетях или других общественных каналах;
✔️ Исключение возможности эксплуатации удаленных СВТ посторонними лицами;

#Уязвимости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​⚙️ 🕳 Большинство популярных Фитнес-приложений приводят к утечке данных!

• 🦠 В следствии пандемии власти многих стран закрыли фитнес-центры, чтобы предотвратить распространение инфекции.
После решения властей к закрытию спортивных заведений был зафиксирован рост популярности мобильных приложений для занятия спортом, помогающих заниматься физической культурой не выходя из дома.

• 👥 Специалисты из «Ростелеком-Солар» проверили защищённость мобильных приложений, предназначенных для занятий фитнесом и обнаружили ряд уязвимостей как:
✔️ Слабый алгоритм хеширования
✔️ Небезопасные параметры SSL
✔️ Использование NSLog
✔️ Небезопасная рефлексия
✔️ Небезопасный режим для алгоритма шифрования
✔️ Обход проверок безопасности SecurityManager
✔️ Внутренняя утечка ценной информации

•  📄 Отчёт специалистов, охватывает 16 приложений.

• 🔎 Уровень защищенности Android-версий:
Согласно вышеприведенному отчёту результатов сканирования, наиболее защищенными Android-приложениями для занятия спортом признаны приложения Fitness Online и «Тренировки для Дома» (Leap Fitness Group). Эти приложения не содержат ни одной критической уязвимости, их показатель общего уровня защищенности равен 4.1 балла из 5.0.
Неплохие результаты (заметно выше среднего по отрасли уровня в 2.2 балла) продемонстрировали приложения Workout Trainer и Mi FIT. Их общий уровень защищенности равен 2,9 балла, поскольку они содержат в программном коде лишь по 2 критичных уязвимости.

• 🔍 Уровень защищенности iOS-версий:
По результатам, представленным в PDF документе, можно сделать вывод о крайне низком уровне защищенности мобильных фитнес-приложений, разработанных под операционную систему iOS, по сравнению с Android-сервисами. Столь низкие показатели объясняются на порядок большим количеством вхождений уязвимостей критического уровня в iOS-версиях по сравнению с Android-приложениями.

Лучшие показатели продемонстрировало iOS-приложение Daily Workouts Fitness Trainer, однако и оно по результатам тестирования набрало лишь 1.0 балла, что значительно ниже среднего по отрасли показателя в 2.2 балла. iOS-приложение MiFIT (в отличие от своего Android-аналога) включает самое большое количество вхождений (209!) уязвимостей критического уровня. Поэтому по результатам автоматизированной проверки с помощью Solar appScreener оно получило самый низкий балл – 0.0 балла из 5.0.

• 🔖 Выводы:
Исследование защищенности мобильных приложений для занятия фитнесом и спортом показало, что Android-версии проанализированных мобильных сервисов отличаются заметно более высокой защищенностью, чем их iOS-аналоги.
По итогам сканирования в приложениях обнаружен ряд уязвимостей, потенциально ведущих к компрометации обрабатываемых данных. В частности, все приложения содержат встроенные покупки, а значит, собирают данные платежных карт пользователей. Также исследованные приложения собирают данные учетных записей пользователей в приложении, включая логины, пароли и уникальные ID. Кроме того, приложения могут запрашивать доступ к местоположению телефона пользователя, к контактам, календарю, учетным записям в социальных сетях.

#Уязвимости
#Приватностьданных

@SingleSecurity 🛡

​⁉️Как взламывают аккаунты с помощью номера телефона в платёжных системах

• ⚠️ Для успешного взлома, злоумышленнику нужно знать всего лишь номер телефона!

•⚙️📲  У сервисов PayPal и Venmo возможно сбросить пароль с помощью текстового сообщений, доставляемого на телефон, злоумышленник может провести атаку SIM swapping и получить контроль над аккаунтом пользователя.

• ❓ SIM swapping - это мошенничество с обменом SIM-карт, данный тип реализуется с захватом учетной записи, который обычно нацелен на слабость в двухфакторной аутентификации и двухэтапной проверке, в которой вторым фактором или шагом является текстовое сообщение или звонок, поступающий на мобильный телефон.

• 📨 Одноразовые телефонные пароли являются распространенным методом аутентификации. Они обычно используются в качестве одного из нескольких факторов аутентификации, в качестве резервной опции аутентификации или в качестве метода восстановления аккаунта.

• ✉️📲 Пароль может быть выслан на телефон пользователя с помощью текстового сообщения SMS, телефонного звонка, электронной почты Email,
или приложение для проверки подлинности.

• 🔦 Отметим, что многие злоумышленники могут получить доступ к дополнительной информации, которая может быть использована для обхода проблем с аунтефикацией через телефон.

• 👥 На данную проблему безопасности обратили внимание специалисты Принстонского университета. Исследователи сообщили о 17 затронутых компаниях, среди них Paypal, Venmo, eBay, Amazon, Blizzard, Adobe, Yahoo и Snapchat.

• 👥 💬 Специалисты сообщают о том что многие компании не понимают, что речь идёт об уязвимости в их механизме аутентификации. Они считают, что проблема на стороне операторов связи.

#Уязвимости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​👥⚙️ Что такое биометрия и как она работает?

• ♻️ Биометрия обладает потенциалом сделать аутентификацию значительно быстрее, проще и безопаснее, чем традиционные пароли, но компании должны быть осторожны с биометрическими данными, которые они собирают.

• 🔎 Понятие биометрии
Биометрия - это физические или поведенческие характеристики человека, которые можно использовать для цифровой идентификации человека для предоставления доступа к системам, устройствам или данным.

• 📌 Примерами этих биометрических идентификаторов являются отпечатки пальцев, рисунки на лице, голос или частоту печати. Каждый из этих идентификаторов считается уникальным для отдельного человека, и они могут использоваться в комбинации для обеспечения большей точности идентификации.

• 🔑 Поскольку биометрия может обеспечить разумный уровень уверенности в аутентификации пользователя с меньшими трудностями для пользователя, она может значительно повысить безопасность предприятия. Компьютеры и устройства могут автоматически разблокироваться при обнаружении отпечатков пальцев утвержденного пользователя. Двери серверной комнаты могут распахнуться, когда они узнают лица доверенных системных администраторов. Системы справочной службы могут автоматически получать всю необходимую информацию, когда распознают голос сотрудника на линии поддержки.

•  📃 Рассмотрим данный вопрос более подробно по кнопке ниже ⬇️

#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​📌 Важность постоянного активного обучения в IT!

• 💬 Если вы планируете продолжить карьеру в какой либо из областей IT, важно учитывать, что удовлетворение ваших интересов в этих областях - одна из самых разумных инвестиций, которые вы можете сделать. Ищите любую возможность участвовать и погрузиться в разговоры, самостоятельные проекты или исследования. Понимание того, что ваше образование может устареть к тому времени, когда вы закончите обучение, но, помните что ваш долгосрочный успех будет точнее определяться тем, насколько вы сможете учиться и оставаться активным учеником в своем собственном опыте.

• ❗️Другим важным фактором для достижения успеха в IT является ранний поиск наставников.
Я могу с уверенностью сказать, что, наиболее активные ученики, проявляющие большой интерес к своим областям, часто очень тесно сотрудничали с опытным наставником и впоследствии дарят свое время и опыт следующему поколению учеников, которые идут за ними. Роль, которую наставник играет в поддержании вашей заинтересованности и любопытства, невозможно переоценить. Не говоря уже о том, что наставник может показать вам все лучшие способы «завоевать друзей и повлиять на людей».

• ⏳ Продолжая изучение какой либо области, уделите время изучению и освоению новых и появляющихся технологий. Имейте в виду, что после окончания обучения могут появиться совершенно новые области и отрасли, которые могут вас заинтересовать. Это серьезный плюс IT - он постоянно развивается!

• 🌏 Стать увлечённым к отрасли с глобальной точки зрения.
Читайте о том, что происходит в мире IT, черпайте вдохновение из последних исследований или достижений, когда вы исследуете свой собственный потенциал. Но обязательно соблюдайте баланс между работой и жизнью тоже. Существует множество социальных возможностей повеселиться и завести друзей на таких мероприятиях, как встречи, хакатоны или соревнования, и довольно часто эти отношения составляют основу прочных и длительных личных и профессиональных отношений. Эти отношения поддержат вас, когда вы создадите репутацию в данной области, и даже предоставят вам профессиональные возможности, которые многие обычно не имеют доступа к классическим путям.

• 📌 Заключение
Помните, что изучение развитие в IT - это серьезно, и редко бывает, что все будет идти гладко каждый раз. Нет экспертов, только люди, которые сделали (и извлекли уроки) больше ошибок, чем вы. Ожидайте неожиданного, но сохраняйте свое остроумие и чувство юмора обо всем этом. Используйте время, чтобы узнать свои собственные предпочтения - вам нравится точность и методология лабораторной работы, или вы более свободны духом, кто предпочитает работать в поле? Изучив эти варианты на ранней стадии, вы сможете выяснить, что вам больше всего нравится, и наметить свой курс на целью.

#Разработка
#РазвитиевIT
#Программирование

@SingleSecurity 🛡

​🦠 COVID ускорит тенденции, которые уже пришли

♻️ COVID-19 будет действовать как ускоритель ряда больших изменений.

• 📉 Эта пандемия быстро отразится на потере работы из-за автоматизации, самоподдерживающих факторов влияния и игр с заменой жизни.
• 📈 В грядущей угрозе повседневной работы со стороны автоматизации, существует множество технологий, которые выполняют автоматизацию различных функций, но многие менеджеры настроены по-своему и не перейдут на такие технологии если бы не было кризиса.

• 🔎 Например, экономического спада или рецессии - который заставлял владельцев бизнеса все равно увольнять людей. Идея состоит в том, что, как только это произойдет, и компания будет урезана до самого необходимого, тогда, когда придет время для резервирования персонала, многие компании будут ориентироваться на автоматизацию.

• 📌 Давайте посмотрим на некоторые другие факторы или тенденции в обществе, которые могут произойти в любом случае, которые могут быть ускорены COVID-19:

✔️ Принятие автоматизации и искусственного интеллекта: компании стараются использовать больше нечеловеческих возможностей для обработки рутинных частей своего бизнеса.
✔️ Основной доход: большое количество людей не имеют работы, и им нужен доход для базового выживания или некоторая свобода инвестировать в развитие своей карьеры.
✔️ Повсеместный надзор во имя безопасности для здоровья: правительства и корпорации десятилетиями пытались использовать терроризм в качестве причины, по которой мы должны максимально контролировать общественность, но споры с публикой стали слабее. Что все меняется сейчас, потому что люди с радостью поддержат наблюдение, если они верят, что оно остановит следующую пандемию.
✔️ Миллионы людей выбирают игровую реальность вместо унаследованной реальности: учитывая естественную тенденцию к неравенству доходов и богатства в реальном мире в сочетании с огромными скачками игровых и человеко-компьютерных интерфейсов в ближайшие годы, многие люди собираются решить, что они скорее будут жить в мире фантазий, чем в реальном мире. Их универсальный доход будет использоваться для оплаты аренды, еды и игровых подписок, и почти все, что для них важно, будет происходить в игре.

• 🕹 Из-за этого глобальная пандемия может служить катализатором и ускорителем такого перехода. Это просто еще одна вещь, ухудшающая реальность для большинства людей, и в то же время технический прогресс продолжает делать цифровые технологии более привлекательным.

• ⏳ Опять же, все эти изменения должны были произойти, но COVID-19, скорее всего, ускорит переход.

#Новости
#Будущее
#Разработка
#Программирование

@SingleSecurity 🛡

​⚙️ 🕹 С помощью 3D-принтера и клея эксперты обошли 80% сканеров отпечатка

• 👥 Специалисты компании Cisco провели исследование безопасности метода аутентификации с помощью отпечатка пальца. Согласно отчёту, в 80% случаев эксперты смогли обойти сканер.

• ⚙️ Аутентификация через отпечаток пальца на сегодняшний день является самым популярным методом. Этим методом удачно пользуются владельцы самых разных девайсов — от смартфонов с ноутбуками до замков и USB-устройств.

• 👥 Команда Cisco Talos первым делом сосредоточилась на добыче отпечатков потенциальной цели с поверхности, к которой она некогда прикасалась. После этого в ход пошёл 3D-принтер, который помог экспертам получить слепок отпечатка.

• 🔑 Наполнив слепок дешёвым клеем, исследователи получили вполне приемлемый фейковый отпечаток, идентичный настоящему. Cisco Talos сознательно старалась свести стоимость атаки к минимуму, использовать лишь бюджетные составляющие. Так специалисты получили реальную картинку того, что бы смог сделать злоумышленник с ограниченными средствами.

• 🔓 Следующим шагом эксперты протестировали полученный поддельный отпечаток с устройствами, оснащёнными разной реализацией сканера: оптической, ёмкостной и ультразвуковой. В результате каких-либо значимых отличий по части безопасности обнаружено не было, однако ультразвуковые сканеры поддавались чаще.

Предлагаем ознакомиться с видео, которое команда Cisco Talos опубликовала для демонстрации методов обхода биометрической аутентификации: ⬇️

#Уязвимости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​⚠️ Каждый десятый пользователь в России стал жертвой шантажа во время самоизоляции

• 📊 Компания ESET провела исследование о киберугрозах на фоне пандемии, с которыми столкнулись пользователи во время самоизоляции. В проведенном опросе приняли участие около 2000 пользователей.

• 📈 Согласно данным мультивариантного опроса, спам на тему коронавируса затронул более трети (36%) респондентов. Распространение вредоносных программ, в том числе, троянов и вирусов, затронуло 22% опрошенных.

• 💀 Кроме того, мошенники организовали массовые фишинговые атаки с использованием имени и официального логотипа ВОЗ. От таких атак пострадали 12% пользователей.

• 🔎  Еще 11% пользователей стали жертвами так называемого «сексуального вымогательства». В английском языке для обозначения такой активности используют термин sextortion, образованный от слов sex («секс») и extortion («вымогательство»). Данная тактика подразумевает запугивание пользователей: как правило, мошенники рассылают спам, в котором пытаются убедить своих жертв, что у них есть некие компрометирующие изображения или видео, и требуют выкуп.

Мошенники угрожают рассылкой такого ролика по всем контактами жертвы и, хуже того, следуя последним трендам, обещают заразить пользователя и всех членов его семьи коронавирусом, если тот не заплатит выкуп!

• 📌 Также опрос показал, что 57% пользователей не сталкивались с какими-либо киберугрозами во время самоизоляции.

• 🌐 Наиболее популярных площадках, с помощью которых распространялись перечисленные киберугрозы. Лидирующие позиции занимают социальные сети (68%), следом идут мессенджеры (25%), фейковые интернет-магазины и аптеки (24%) и поддельные медицинские сайты (23%). Электронная почта использовалась как инструмент для кибератак на фоне коронавируса в 21% случаев.

• 🔒 Для обеспечения информационной безопасности пользователи прибегают к различным мерам: держат руку на пульсе и следуют советам ИТ-специалистов (24%), применяют программные средства: VPN, 2FA (32%) и антивирусные программы (80%).

• ❗️Настороженно относитесь к любым сообщениям в мессенджерах и социальных сетях, особенно если в них предлагается ввести данные банковских карт для покупки масок, антисептиков, тестов на коронавирус и так далее. Также не следует скачивать файлы, отправитель которых обещает предоставить «секретные» сведения о коронавирусе, поскольку те могут оказаться вредоносными.

#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​⚠️ Специальное изображение превращает Android-смартфоны в кирпич

• 👤 Специалист в области безопасности девайсов, известный в Twitter под псевдонимом Ice Universe, рассказал о вредоносном изображении, способном вывести из строя смартфоны на базе Android. По словам исследователя, проблема особенно касается мобильных устройств от Samsung.

• 📃 Согласно опубликованной Ice Universe информации, простое изображение может превратить Android-смартфон в кирпич, если пользователь установит его в качестве обоев рабочего стола.

• ⚙️ Сразу после установки обоев мобильное устройство впадает в бесконечный цикл включения-выключения дисплея, что полностью лишает владельца возможности использовать девайс. При этом, по словам специалиста, не помогает даже перезагрузка телефона.

• 🕹 Сотрудники издания 9to5google • протестировали описанный Ice Universe метод на смартфоне Pixel 2. В результате проблема подтвердилась; это доказывает, что уязвимость затрагивает не только устройства Samsung.

• ⚙️ 📹 Представители 9to5google записали специальный видеоролик, в котором продемонстрирован процесс эксплуатации бага. Однако исследователи настоятельно рекомендуют людям не пробовать воспроизвести это самим:

#Уязвимости

@SingleSecurity🛡

​💡 Как заблокировать крупные обновления Windows 10?

• 📌 Microsoft представила новую функцию, позволяющую отсрочить обновления Windows 10 (включая опциональные) на срок до 35 дней. Соответствующая настройка есть в Windows Update.
Корпоративные версии операционной системы допускают отсрочку необязательных апдейтов Windows на срок до 365 дней.

• 💬 Microsoft рассказала о политике Windows TargetReleaseVersionInfo, способной запретить установку опциональных обновлений Windows 10.

• ⏳ Эта настройка также ограничит инсталляцию новых версий ОС до тех пор, пока срок поддержки текущей версии пользователя не подойдёт к концу. В настоящее время опция доступна для Windows 10 Pro и других корпоративных релизов.

• ⚙️ Чтобы зафиксировать конкретную версию Windows, нужно проследовать в ветку системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate и установить параметр «TargetReleaseVersion» со значением «1». Далее потребуется создать новую строку под названием «TargetReleaseVersionInfo» и вписать туда номер желаемой версии Windows 10.

• 🕹 Например, если вы хотите остановиться на Windows 10 1909, вам нужно ввести значение «1909».  ⬇️

#Новости
#Приватностьданных

@SingleSecurity 🛡

​🕹🔒 Аутентификационные логотипы в Gmail для борьбы с фишингом

• ♻️ Google тестирует новую функцию Gmail, которая будет выводить логотип компании на месте аватара. Благодаря такому подходу получатель электронного письма сможет убедиться в его подлинности.

• ⚙️ Анонсированное Google нововведение использует стандарт Brand Indicators for Message Identification (BIMI). Интернет-гигант планирует протестировать функцию на ограниченном количестве пользователей в ближайшие недели.

• 💬 По словам Google, аутентификация с помощью BIMI поможет получателям электронных писем убедиться в легитимности отправителя. В этом случае мошенникам, использующим фишинговые письма, будет сложнее

• ⚙️ 🕹 Кроме того, Google планирует использовать BIMI в связке с другой технологией — DMARC, которая пытается пресечь подделку поля «От».

• 🔎 По логике реализации задумку Google можно сравнить со специальными значками, которыми социальные сети помечают аккаунты известных людей или брендов.

#Новости
#Уязвимости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​🔐 🕳  Уязвимости домашних роутеров ASUS позволяют провести Man-in-the-Middle

• ⚠️ Две уязвимости в домашних маршрутизаторах ASUS позволяют провести атаку «Человек посередине». Если злоумышленник сможет грамотно воспользоваться багами, ему станут доступны все данные, проходящие через роутер пользователя.

• 🔎 Бреши нашли в модели RT-AC1900P, они кроются в функции обновления прошивки. Специалисты компании Trustwave первыми выявили уязвимости, о чём тут же сообщили ASUS.

• ⚠️ В настоящее время доступны соответствующие патчи, которые рекомендуется установить всем пользователям домашних роутеров модели RT-AC1900P.

• 1️⃣ 🕹 Первый баг, получивший идентификатор CVE-2020-15498, существует из-за отсутствия проверки сертификата. Атакующий может войти по SSH и использовать команду «grep» для поиска специальной строки в файловой системе. Наличие строки «–no-check-certificate» будет говорить о наличии уязвимости.

• 💀📃 Как говорят эксперты Trustwave, злоумышленник может задействовать поддельный сертификат, который инициирует загрузку и установку вредоносных файлов на атакуемое устройство.

• 2️⃣ 🕹 Второй баг (CVE-2020-15499) представляет собой уже XSS-уязвимость в интерфейсе удавления. ASUS устранила уязвимости с выходом прошивки под номером 3.0.0.4.385_20253.

#Уязвимости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​💀 Мошенники маскируют малварь под сериалы Netflix

• 👥 Специалисты «Лаборатории Касперского» сообщают, что с января 2019 года обнаружили более 22 000 попыток заражения устройств вредоносными файлами, в названии которых упоминался Netflix. Чаще всего в качестве приманки использовались сериалы «Очень странные дела», «Ведьмак», «Половое воспитание», «Оранжевый — хит сезона».

• 📃 Исследователи пишут, что злоумышленники добавляют названия популярных шоу в рекламные и вредоносные программы, а также используют их для проведения фишинговых атак.

• ⚙️🕹 В числе найденных файлов были трояны с различной функциональностью, позволяющие, например, удалять или блокировать данные, а также программы-шпионы, с помощью которых можно похищать фотографии пользователей и пароли от онлайн-банкинга.

• 🔎 Кроме того, эксперты обнаружили вредоносное и нежелательное ПО, мимикрирующее под сервисы и онлайн-кинотеатры, популярные в России: КиноПоиск HD, Okko, IVI.

• ⚠️ «Пользователи всё активнее осваивают стриминговые сервисы. В период пандемии интерес к онлайн-кинотеатрам был особенно высоким, ведь многие из этих ресурсов открывали бесплатный доступ к большому количеству фильмов и сериалов. Популярность таких платформ злоумышленники стараются обернуть в свою пользу. Поэтому мы хотим напомнить, что лучше смотреть сериалы и фильмы на официальных площадках»

#Уязвимости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​👥 Клоны наполненные ботами для борьбы с мошенниками

• 🕹 Новый подход для борьбы с мошенниками. Разработчики Facebook подняли специальную версию онлайн-платформы и запустили туда ботов, запрограммированных на вредоносные действия. Согласно задумке, поведение этих ботов поможет Facebook находить изъяны и лазейки до того, как это сделают настоящие злоумышленники.

• ♻️ Новую схему специалисты будут отрабатывать на альтернативной версии Facebook, которая получила кодовое имя «WW». Согласно информации, размещённой в блоге Facebook, «WW» будет работать на идентичной оригиналу платформе. Это отличает подход компании Цукерберга от стандартных реализаций симуляции.

• 👥 Команда веб-девелоперов Facebook разработала специальный метод — Web-Enabled Simulation (WES). С его помощью можно организовать симуляцию на реальной, а не виртуальной инфраструктуре. Таким образом, у специалистов будет возможность максимально точно воссоздать поведение пользователей в соцсети.

• ⚙️ Другими словами, «WW» будет работать как параллельная версия настоящей площадки Facebook. Собственный мессенджер (Facebook Messenger), профили пользователей, страницы, запросы в друзья — всё это будет на «WW», но только для ботов.

• 💬 «За симуляцию отвечают десятки миллионов строк кода, способных полностью воссоздать инфраструктуру Facebook. Это значит, что боты будут использовать ровно те же инструменты, которые есть в распоряжении обычных пользователей социальной сети»

#Разработка
#Программирование

@SingleSecurity 🛡

​🔑🚰 Данные пользователей Avito и Юлы оказались на хакерском форуме

• 👤🔐 На одном из хакерских форумов появились файлы с данными пользователей площадок для объявлений Avito и Юла. Файлы представляли собой таблицы, в которых содержались имена, телефоны, адреса, указания часовых поясов 600 тысяч пользователей.

• 💬 Пресс-служба Avito опровергла первоначальное предположение о том, что произошла утечка. Представители компании сообщили, что некто с помощью простого парсера собрал открытую контактную информацию, которую пользователи указывают самостоятельно, создавая объявления. Таким образом, данный инцидент не представляет угрозы для пользователей и никак не указывает на недостатки в безопасности самих компаний.

• 📌 "Единственное, для чего злоумышленники могут использовать данные — для поименного обзвона пользователей и выуживания какой-либо информации. Сделать это они могут, к примеру, представившись сотрудниками площадок. Поэтому пользователям стоит помнить, что официальные представители компаний никогда не спрашивают и не просят указать какие-либо секретные данные вроде паролей или данных банковской карты".

#Новости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​⚠️ 📌 Новая схеме хищения средств со счетов граждан

• 🕹 На этот раз злоумышленники используют Систему быстрых платежей (СБП) и уязвимость в открытом API.

• ⚙️ Брешь пропустили при установке функции перевода по СБП в мобильном банке одной из кредитных организаций.

• ♻️ Эта уязвимость позволила преступникам подменить счета отправителя. Это первый случай использования СБР в атаках на банки.

• 💬 Есть информация что в DarkNet некий злоумышленник получил данные счетов клиентов как раз через уязвимость в одной из банковских систем. После этого он запустил соответствующее мобильное приложение в режиме отладки, прошёл аутентификацию как реальный клиент кредитной организации и отправил запрос на перевод денег в другой банк.

Даркнет (DarkNet, «темный интернет») — скрытая сеть интернет-соединений, существующая параллельно обычному Интернету. Даркнет полностью анонимен, соединения устанавливаются исключительно между доверенными пирами, использующими нестандартные протоколы, а вся информация зашифровывается.

• ⚙️💀 В процессе преступник подменил счёт отправителя, указав номер счёта другого клиента этого банка. Система дистанционного обслуживания, не убедившись в подлинности счёта отправителя, направила СБП команду на перевод средств. Именно так злоумышленники могли перевести себе деньги, принадлежащие другим клиентам.

• 💳 🔁 💀 Счета жертв мошенники получали с помощью перебора. В этом помогла недокументированная возможность ДБО.

• 🔎 Из-за специфичности уязвимости обнаружить её мог лишь человек, хорошо знакомый с архитектурой мобильного банка конкретной кредитной организации.

#Новости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​⏳🦠 За время пандемии COVID-19 число жертв мошенничества в России выросло вдвое

• 📈 Результаты опроса, проведенного Центром социологических исследований АНО «Диалог», показали, что за семь месяцев пандемии COVID-19 количество пострадавших от интернет-мошенничества в разных регионах увеличилось до 54% — против прежних 25%. При этом размеры индивидуальных потерь в среднем составили около 20 тыс. рублей.

• 🏢 Автономная некоммерческая организация «Диалог» была создана в прошлом году правительством Москвы для повышения эффективности реагирования на проблемы горожан. В настоящее время эта НКО отвечает за развитие аналогичных цифровых проектов обратной связи с гражданами в масштабе всей страны.

• 📑 В анкетировании, запущенном АНО «Диалог», приняли участие 1,4 тыс. респондентов из 75 регионов России.

• 📊 Согласно результатам опроса, наиболее часто россияне сталкивались с мошенничеством в социальных сетях (55% опрошенных) и при использовании мобильной связи (46%), реже — на сервисах электронной почты (20%). При этом злоумышленников в основном интересовали банковские и паспортные данные (86% и 52% случаев соответственно).

• 💸 Финансовые потери из-за действий мошенников понесли 37% участников опроса; в целом по стране эти суммы составили в среднем почти 20 тыс. рублей. Несмотря на это, граждане редко пытались наказать преступников законным порядком — в правоохранительные органы обратились лишь 17% пострадавших.

• 💀 Реализуя традиционные схемы обмана, злоумышленники иногда совершенствуют их, меняя тактику и опробуя новые средства. Так, недавно в России была выявлена новая тенденция: мошенники, использующие телефонную связь, начали автоматизировать обзвон потенциальных жертв, применяя для этого простейшие программы-роботы.

#Новости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡