Теги → дания
Быстрый переход

Apple устранила уязвимость Safari, приводившую к утечке данных пользователей

Спустя несколько дней после того, как появились сообщения об уязвимости в браузере Safari, благодаря которой можно получить доступ к истории просмотров и личным данным пользователей, ресурс 9to5Mac сообщил об её устранении разработчиком.

Источник изображения: 9to5mac.com

Источник изображения: 9to5mac.com

По данным 9to5Mac, проблема была исправлена компанией Apple в версиях RC (кандидаты на выпуск) мобильных и настольных операционных систем iOS 15.3 RC и macOS Monterey 12.2 RC.

Уязвимость была обнаружена компанией по кибербезопасности FingerprintJS, которая также создала тестовый веб-сайт, чтобы показать, как этот баг может использоваться злоумышленниками в реальности. Ресурс 9to5Mac протестировал Safari в новых версиях iOS и macOS на этом веб-сайте, подтвердив отсутствие уязвимости.

Согласно FingerprintJS, уязвимость Safari 15 есть во всех релизах iOS 15 и macOS Monterey до сегодняшних сборок. Ошибка не затронула Safari 14 на устройствах на iOS 14, а также компьютерах Mac с версиями операционных систем, предшествующих macOS Monterey.

Apple пока не сообщила, когда iOS 15.3 и macOS Monterey 12.2 выйдут для широкой публики, но это, как ожидается, произойдёт в ближайшие несколько дней.

Администрация Байдена устанавливает новые требования к защищённым сетям США

Администрация президента США Джо Байдена (Joe Biden) опубликовала перечень требований к сетям связи, которые требуют наивысшего уровня безопасности. Новые требования обязывают использовать одобренное правительством шифрование и предписывает сообщать о проблемах в Агентство национальной безопасности (АНБ) США.

Источник изображения: REUTERS/Kevin Lamarque/File Photo

Источник изображения: REUTERS/Kevin Lamarque/File Photo

Требования, изложенные в опубликованном в среду меморандуме о национальной безопасности, требуют от таких агентств, как Пентагон, ЦРУ и Министерство энергетики, принять базовые меры для обеспечения безопасности сетей, в которых хранятся наиболее конфиденциальные данные США. Среди требований: обязательное использование многофакторной аутентификации или нескольких уровней паролей, доставляемых через разные сервисы; шифрование, одобренное АНБ и использование архитектур с нулевым доверием — программного обеспечения для непрерывной проверки личности пользователя и подлинности устройства.

Меморандум основан на предыдущих требованиях администрации Байдена к федеральным гражданским сетям. Белый дом сделал кибербезопасность одним из своих главных приоритетов после целого ряда инцидентов, таких как попытки вымогательства, одна из которых в прошлом году парализовала поставки бензина на восточное побережье США.

MediaTek: первые устройства с Wi-Fi 7 выйдут на рынок уже в 2023 году

MediaTek заявила, что уже некоторое время работает над будущим стандартом Wi-Fi 7. Компания говорит, что уже продемонстрировала новую технологию своим партнёрам и ключевым клиентам. Стандарт Wi-Fi 7 представляет собой обновление технологии Wi-Fi 6, которое обеспечит повышение скорости передачи данных примерно в 2,4 раза.

Источник изображений: MediaTek

Источник изображений: MediaTek

MediaTek сообщает, что Wi-Fi 7 сможет использовать канал шириной 320 МГц, квадратурную амплитудную модуляцию (QAM) 4K, многопользовательский блок ресурсов (MRU) и по-прежнему будет работать на существующих частотах 2,4 ГГц, 5 ГГц и 6 ГГц. По словам MediaTek, первые устройства с Wi-Fi 7 появятся на рынке в 2023 году. Однако они будут основаны на черновых спецификациях стандарта, поскольку он не будет сертифицирован IEEE до 2024 года.

Напомним, что первые устройства с поддержкой Wi-Fi 6 были представлены в конце 2019 года, а массовое распространение стандарта пришлось на 2020 год.

Check Point Research: DHL стал самым эксплуатируемым брендом в фишинговых атаках

По данным исследователей Check Point Research, в 4 квартале 2021 года самым популярным среди злоумышленников, стоящих за фишинговыми атаками, стал бренд логистической компании DHL, потеснившей с пьедестала Microsoft — символика последней чаще всего использовалась киберпреступниками  в 3 квартале.

Источник: DHL

Источник: DHL

С использованием символики DHL было зафиксировано около 23 % фишинговых атак, с упоминанием Microsoft — 20 %. В десятку используемых киберпреступниками брендов также вошли WhatsApp (11 %), Google (10 %), LinkedIn (8 %), Amazon (4 %), FedEx (3 %), Roblox (3 %), Paypal (2 %) и Apple (2%).

С октября по декабрь использование известных брендов в преступных целях выросло на 9 % в сравнении с предыдущим кварталом того же года. По словам экспертов Check Point Research, «мимикрия» под известный логистический сервис в 4 квартале обусловлена стремлением злоумышленников заработать на растущем числе онлайн-покупателей в дни праздничных покупок. В первую очередь целью киберпреступников были пожилые пользователи, которые легко поддавались уловкам и становились жертвами атак подобного рода в сравнении с представителями молодого поколения. Кроме того, на фоне COVID-19 некоторые люди совершали покупки онлайн впервые в жизни и могли не знать, как обезопасить себя в случае, если приходят фишинговые письма.

Известно, что Meta (Facebook) выпала из десятки дублируемых «лидеров», а WhatsApp продвинулась вперёд на три позиции на третье место, и теперь на долю компании приходится 11 % попыток злоумышленников. Сервис LinkedIn переместился с 8 на 5 место.

Источник: DHL

Источник: DHL

По данным Check Point Research, в 4 квартале подтвердилось, что преступники продолжают уделять большое внимание социальным медиа, стремясь охватить аудиторию сервисов вроде WhatsApp, Facebook и LinkedIn.

В докладе также упомянуто, что преступники часто используют одну и ту же традиционную для разных брендов схему — имитируют официальный сайт известной компании, используя схожее доменное имя и дизайн. На этих сайтах обычно предлагают заполнить формы (или перейти по ссылкам), в результате чего пользователь зачастую сам передаёт злоумышленникам свои персональные данные, включая платёжную информацию.

Уязвимость браузера Safari может привести к утечке данных и раскрытию личности пользователя

Уязвимость браузера Apple Safari 15 может привести к утечке истории просмотров, а также раскрытию некоторой личной информации, связанной с учётной записью Google. К такому выводу пришли исследователи из FingerprintJS.

Источник изображения: FingerprintJS

Источник изображения: FingerprintJS

Согласно имеющимся данным, уязвимость обозревателя Safari связана с реализацией механизма IndexedDB, который позволяет веб-сайтам сохранять базы данных на пользовательском устройстве и ограничивает взаимодействие данных одного источника с ресурсами из других источников. Проще говоря, данный механизм позволяет сайтам взаимодействовать только с теми данными, которые ими же и были созданы. Например, если пользователь открывает на одной вкладке свой почтовый ящик, а на соседней — вредоносную страницу, то IndexedDB не позволит последней получить доступ к данным, связанным со страницей электронной почты.

Исследователи из FingerprintJS установили, что механизм IndexedDB в Safari 15 нарушает правило ограничения домена. Когда какой-либо сайт взаимодействует с хранящейся на устройстве пользователя базой данных в рамках активной сессии во всех открытых окнах, вкладках и фреймах происходит автоматическое создание пустой копии базы данных с таким же именем. Это означает, что сторонние сайты могут получить доступ к именам баз данных, относящимся к другим веб-ресурсам, причём в таких базах могут содержаться личные пользовательские данные. Например, использующие учётную запись Google сайты, такие как YouTube или Календарь Google, создают базы данных с уникальным идентификатором пользователя Google в имени. Этот идентификатор позволяет Google получать доступ к общедоступной пользовательской информации, такой как изображение профиля, которая из-за уязвимости Safari может оказаться доступна другим веб-сайтам.  

Пользователи Safari не смогут самостоятельно решить эту проблему. Исследователи из FingerprintJS сообщили об уязвимости через систему отслеживания багов WebKit ещё 28 ноября, но соответствующий патч для Safari ещё не был выпущен. Официальные представители Apple пока воздерживаются от комментариев по данному вопросу.

Европарламент обвинили в нарушении законодательства ЕС в отношении передачи данных

Европейский надзорный орган по защите данных (European Data Protection Supervisor, EDPS), обеспечивающий мониторинг соблюдения европейскими учреждениями и органами права на конфиденциальность и защиту данных, наложил санкции на Европейский парламент в связи с целым рядом нарушений законодательства блока о защите данных.

Источник изображения: Pixabay

Источник изображения: Pixabay

Решение регулятора касается веб-сайта бронирования тестов на COVID-19, который Европейский парламент запустил в сентябре 2020 года с использованием стороннего провайдера Ecolog.

В прошлом году шесть депутатов Европарламента подали жалобу на сайт — при поддержке европейской инициативной группы по защите конфиденциальности NOYB — по поводу наличия трекеров сторонних организаций и сбивающих с толку баннеров согласия на использование файлов cookie, а также множества других проблем с соблюдением правовых и этических норм, включая вопросы по поводу прозрачности и доступа к данным.

В результате расследования Европарламент был признан виновным по нескольким пунктам, хотя обошлось без денежного штрафа. EDPS объявил выговор, предписав исправить все нерешенные проблемы в течение одного месяца.

Европолу приказали удалить петабайты персональных данных, непосредственно не связанных с преступлениями

Главному полицейскому ведомству Евросоюза — Европолу приказали удалить огромные массивы персональных данных, полученных от полицейских ведомств членов ЕС за последние шесть лет. Приказ поступил от Европейского надзорного органа по защите данных (EDPS), курирующего защиту данных на территории большей части Европы.

Источник: pixel2013/pixabay.com

Источник: pixel2013/pixabay.com

EDPS выделил Европолу год на инспекцию баз данных и удаление сведений, не связанных с криминальными расследованиями. Общий объём сведений, хранящихся в базах Европола, приблизительно оценивается в 4 петабайта — эквивалент сотням миллиардов страниц печатного текста. В базах содержатся сведения о как минимум четверти миллиона подозреваемых в террористической активности и серьёзных преступлениях, а также информация о других людях, связанных с подозреваемыми. Данные получены из всевозможных правоохранительных ведомств стран ЕС.

В тексте приказа EDPS упоминает о расследовании, связанном с порядком хранения данных, начавшемся ещё в 2019 году. Утверждается, что персональные данные зачастую хранились и обрабатывались без достаточных оснований, в результате чего резиденты ЕС могли быть ошибочно связаны с криминальной активностью.

«Хотя с тех пор некоторые меры были приведены Европолом в порядок, Европол не выполнил требования EDPS определить приемлемый период хранения данных для фильтрации и выделения персональных данных, допущенных для анализа в рамках правил Европола», — заявили в пресс-релизе EDPS.

В результате в EDPS приступили к более активной защите прав жителей, выделив полицейскому ведомству год на сортировку существующих данных для того, чтобы определить, какие из них можно хранить на законных основаниях, и приказав удалять вновь собранные данные, не категоризированные в течение шести месяцев.

Источник: reportyorym/pixabay.com

Источник: reportyorym/pixabay.com

По данным европейских экспертов, база данных Европола как минимум частично состоит из сведений о людях, не являющихся «подозреваемыми», «потенциальными будущими преступниками», «лицами находящимися в контакте или связанными с преступниками», «жертвами», «свидетелями» или «информаторами». Правозащитники считают, что такой спектр категорий и без того слишком широк, а хранение данных о людях, не попадающих в подобную классификацию, вызывает обеспокоенность тем, что Европол вёл незаконное наблюдение за группами, стереотипно являющимися «подозрительными» или «опасными». Большинство граждан ЕС выступают за защиту своих цифровых прав. 

Существуют и противоположные мнения. Ряд представителей аппарата ЕС считает, что правоохранительным органам необходимы инструменты, ресурсы и время для анализа данных, поступивших на законных основаниях, а платформа Европола поддерживает национальные полицейские ведомства, неспособные самостоятельно обрабатывать подобные огромные массивы данных.

QNAP представила первое в мире сетевое хранилище с поддержкой Thunderbolt 4

Компания QNAP Systems приурочила к выставке электроники CES 2022 анонс сетевого хранилища данных (NAS) с обозначением TS-464T4. Новинка выполнена в настольном форм-факторе и ориентирована на потребительский рынок.

Источник изображения: NASCompares

Источник изображения: NASCompares

Представленное решение — это первое в мире устройство NAS, поддерживающее интерфейс Thunderbolt 4 (40 Гбит/с). В оснащение входят два соответствующих порта, что позволяет подключать различную периферию с высокой скоростью обмена данными.

В основу хранилища положен процессор Intel Celeron N5105 поколения Jasper Lake. Чип содержит четыре ядра без поддержки многопоточности с тактовой частотой 2,0–2,9 ГГц. В состав изделия входит акселератор Intel UHD Graphics. Для модулей оперативной памяти предусмотрены два слота SO-DIMM.

Новинка рассчитана на четыре накопителя формата 3,5 или 2,5 дюйма с интерфейсом SATA 3.0. Кроме того, могут быть установлены два твердотельных модуля M.2 NVMe PCIe.

Хранилище наделено интерфейсом HDMI 2.0 с возможностью вывода изображения в формате 4К со скоростью 60 кадров в секунду. Реализованы функции транскодирования материалов в реальном времени.

О цене и сроках поступления модели TS-464T4 в продажу ничего не сообщается. 

Подробное руководство: как быстро перенести все данные с Android-смартфона на iPhone?

Начинается удивительная подготовка к праздникам. Пришло время тёплых вечеров, готовки с родными и приятных сюрпризов. Какие подарки подарить на Новый год, Рождество? Новый смартфон — всегда хорошая идея. Компания Apple представила новую модель iPhone 13 и iPhone 13 pro с более ярким экраном, обновлённой камерой и киноэффектом, увеличенной продолжительностью работы.

Запланировали покупку нового устройства iPhone, но пользуетесь Android-смартфоном? В данной статье мы расскажем об одной из лучших программ для переноса данных между телефонами. Более того, ниже подробно рассказано, как осуществить комфортный переход на iPhone с Android-устройства.

Часть 1. Инструмент для переноса данных

Иногда появляется необходимость сохранения электронных данных при переходе с Android на iPhone. Wondershare MobileTrans — одно из лучших ПК-приложений для восстановления, передачи, копирования данных, приложений, материалов из облачного хранилища. Больше не нужно тратить своё время на перенос данных с Android-устройств на iPhone, например, рабочих контактов, фотографий, чатов WhatsApp.

Когда пригодится Wondershare MobileTrans?

  1. Перенос данных между iPhone и Android. Осуществляется поддержка переноса до 17 видов данных, включая контакты, фотографии, сообщения, приложения, музыку, заметки, книги и многое другое. 8000 + мобильных устройств под управлением систем Android, iOS и Windows. Перенос данных сможет выполнить даже новичок, ведь Wondershare MobileTrans обладает интуитивно понятным интерфейсом.
  2. Передача только некоторых видов данных. Доступен выбор важных фотографий, файлов, документов, настроек для переноса на другое устройство. Процесс выполняется в 3 раза быстрее, по сравнению с Bluetooth.
  3. Безопасное копирование информации. В Wondershare MobileTrans сохраняется конфиденциальность данных, только пользователь имеет доступ к информации устройства.
  4. Перенос и резервное копирование данных WhatsApp. Сообщения, чаты, фотографии, видео и другие вложения будут сохранены после смены платформы. Wondershare MobileTrans позволяет перемещать ваши данные WhatsApp между телефонами на Android, iOS.
  5. Резервное копирование на ПК. Приложение Wondershare также поддерживает резервное копирование. Выполните сохранение данных за один щелчок мыши! Контакты, сообщения, фотографии будут в безопасности, даже при повреждении смартфона.
  6. Восстановление резервной копии на мобильных устройствах. Wondershare MobileTrans позволяет выборочно восстанавливать резервные копии файлов с iTunes или ПК без сброса настроек устройства. Функция поддерживает восстановление данных старого смартфона на новом устройстве.

Как перенести данные с Android на iPhone? Приложение Wondershare MobileTrans позволяет выполнить подобную задачу за несколько минут. Wondershare MobileTrans работает со смартфонами Apple, Samsung, HTC, LG, Sony, Google, HUAWEI, Motorola, ZTE, Nokia и т.д. Достаточно воспользоваться USB кабелем, ПО и подробными инструкциями ниже:

Шаг 1: Выбери подходящую версию, установите Wondershare MobileTrans на ПК

Программа поддерживает различные ОС:

Windows 10, 8.1, 8, 7, Vista и даже XP. Также поддерживаются Apple macOS 11 (Big Sur), 10.15 (Catalina), 10.14 (Mojave), Mac 10.13 (High Sierra), 10.12 (macOS Sierra), 10.11 (El Capitan), 10.10 (Yosemite), 10.9 (Mavericks) или 10.8.

Выберите подходящую версию и установите приложение на ПК.

Шаг 2: Запустите приложение и подключите устройства Android и iPhone к ПК.

Для переноса данных необходимо подключить два смартфона к компьютеру. Достаточно воспользоваться Lightning или USB.

Затем запустите установленное приложение, откроется основная страница программы.

Для выполнения передачи данных необходимо нажать на «передача данных телефона».

Шаг 3: Начало переноса данных

Буквально за секунду программа Wondershare MobileTrans обнаружит ваши устройства на Android и iOS.

Возникли проблемы с подключением? Воспользуйтесь кнопкой «Устройство не распознано?», выберите платформу смартфона. На вашем экране появятся подробные рекомендации для устранения проблемы.

Далее выполните необходимые настройки.

1.  Поместите устройство на платформе Android в раздел «источник», а смартфон iPhone в «направление». Для удобства доступна функция «поменять местами».

2.    Далее выберите необходимые данные, которые нужно перенести.

3.    Нажмите кнопку «Начать», чтобы запустить перенос данных с Android-смартфона на iPhone.

4.     Подтвердите завершения процесса переноса данных

Убедитесь, что оба устройства подключены к ПК до завершения переноса данных. На экране появится сообщение об окончании работы.

Приятно получить в подарок iPhone 13/13 pro в Новый год или на Рождество. Специалисты рекомендуют обратиться к профессиональному приложению Wondershare MobileTrans для комфортного перехода на другой смартфон. Приложение позаботится о безопасном и моментальном переносе информации между смартфонами.

Пользователи менеджера паролей LastPass массово получают предупреждения о компрометации аккаунтов

Многие пользователи популярного менеджера паролей LastPass получают электронные письма с предупреждениями о том, что кто-то пытался авторизоваться в их аккаунтах из необычных локаций. Сообщения об инцидентах стремительно распространяются в социальных сетях и на тематических сайтах, посвящённых кибербезопасности.

Источник: geralt/pixabay.com

Источник: geralt/pixabay.com

«Кто-то только что использовал ваш мастер-пароль, попытавшись войти в ваш аккаунт с незнакомого нам места или устройства. LastPass заблокировал эту попытку, но вам стоит обратить на это внимание. Были ли это вы?» — гласят предупреждения.

Источник: twitter.com/Valcristerra

Источник: twitter.com/Valcristerra

По словам представителя владеющей LastPass компании LogMeIn Global, команда менеджера паролей расследовала недавние сообщения о попытках авторизации и пришла к выводу, что происшествия связаны с обычной активностью ботов, в ходе которой последние традиционно пытаются получить доступ к аккаунтам, используя адреса электронной почты и пароли, полученные из-за нарушений, допущенных сторонними «не аффилированными сервисами». В компании заверяют, что данные об успешном взломе аккаунтов отсутствуют, как и сведения о том, что LastPass был скомпрометирован каким-либо образом.

Тем не менее многие пользователи, получающие подобные уведомления, утверждают, что их пароли уникальны и используются только в LastPass, поэтому никак не могут быть получены злоумышленниками из других источников. Более того, специалист по кибербезопасности Боб Дяченко (Bob Diachenko) заявил об обнаружении тысяч пар логин-пароль для авторизации в LastPass в логах вредоносного ПО Redline Stealer, но пострадавшие указывают, что их данные в этих списках отсутствуют. Другими словами, кто-то использовал другие средства для попыток взлома аккаунтов.

Некоторые пользователи уже сообщили, что после смены мастер-паролей после предупреждения вскоре вновь получили оповещение о том, что кто-то пытается войти в аккаунт. Наконец, некоторым клиентам сервиса, попытавшимся удалить аккаунты, приходит автоматический отказ в совершении действия. Пользователям попавшего в сферу внимания злоумышленников сервиса рекомендуют как минимум активировать многофакторную аутентификацию для защиты их аккаунтов — это, вероятно, позволит защитить данные даже в случае, если мастер-пароли были скомпрометированы.

В сентябре 2019 года LastPass уже попал в центр скандала — сервис ликвидировал уязвимость в расширении для браузера Chrome, которая потенциально позволяла злоумышленникам украсть в последний раз использовавшиеся данные для авторизации.

В Сеть утекли исходники портала госуслуг — в Минцифры заявили, что всё в порядке

Минцифры официально прокомментировало информацию об утечке исходного кода сайта госуслуг. В ведомстве заявили, что портал работает в штатном режиме, а данные пользователей ресурса надёжно защищены. Тем не менее, исследователи безопасности заявляют, что утёкшие сертификаты могут позволить злоумышленникам проводить фишинговые атаки и похищать данные пользователей. Пока неясно, успели ли эти сертификаты отозвать и заменить.

В Минцифры заявили, что было организовано дополнительное отслеживание возможных атак на инфраструктуру региональных порталов госуслуг. Сообщается, что были найдены недостатки в работе одного из таких порталов, у которого не было доступа к данным федерального портала госуслуг. Тем не менее, угроз несанкционированного доступа к кодам обнаружено не было.

Первые сообщения о том, что исходный код «Госуслуг» утёк в Сеть появились рано утром 25 декабря. Анализ показал наличие в утёкшем коде сертификатов и множества ключевых ресурсов, которые могут заинтересовать злоумышленников. Как минимум с помощью исходника проще искать потенциальные уязвимости. Пользователь, который первым обнаружил утечку, сообщил, что команда «Госуслуг» попросила детально её описать, а затем перестала выходить на связь.

Сообщается, что утечка произошла из-за того, что разработчики не ограничили доступ к каталогу .git. Один из авторитетных исследователей безопасности заявил, что речь идёт об исходном коде регионального портала «Госуслуг» Пензенской области и пользовательские данные не были затронуты.

Основатель Signal: даже Facebook безопаснее Telegram

Telegram заработал репутацию более безопасной альтернативы мессенджеров WhatsApp или Messenger, сопоставимой с отличающимся повышенной защитой данных месенджером Signal, только более известной. С этим не согласен основатель и глава Signal Мокси Марлинспайк (Moxie Marlinspike), заявивший, что репутация Telegram с точки зрения кибербезопасности сильно преувеличена.

Источник изображения: Pixabay

Источник изображения: Pixabay

Марлинспайк рассказал, что сообщения, отправленные через Telegram, хранятся на серверах компании в исходной форме или в виде обычного текста, без какого-либо шифрования для защиты личных данных пользователей.

Глава Signal отметил, что в этом отношении даже Messenger и WhatsApp компании Meta (прежнее название — Facebook) обеспечивают конфиденциальность лучше, чем Telegram. Оба эти приложения предлагают, как минимум, сквозное шифрование для всех текстовых сообщений, отправляемых через их платформы.

В свою очередь, Telegram хранит все данные в облаке в полностью открытом формате: тексты, общие мультимедийные данные, контакты. Даже Messenger предлагает минимальный стандартный протокол сквозного шифрования для данных, хранящихся на его серверах. В случае Telegram все, у кого есть доступ к его сервисам, имеют также доступ ко всей базе незащищённых данных пользователей мессенджера.

Ресурс Winfuture, первым сообщивший об этом, утверждает, что приложение Telegram по сути представляет собой открытое окно на серверы, хранящие всю историю всего, что происходило на платформе, которая видима для частного пользователя так же, как для операторов сервера. Если, например, хакер решит заняться слежкой за личными сообщениями пользователя в Telegram, он без особого труда сможет это сделать.

Немцы научились взламывать компьютеры через обычные индикаторные светодиоды в принтере

Исследователи по информационной безопасности Технологического института Карлсруэ (KIT) показали уязвимость компьютеров ко взлому через обычные индикаторные светодиоды на офисной технике. Выяснилось, что лазерные приёмопередатчики способны не только считывать с помощью индикаторных светодиодов информацию из ПК, но также записывать в память компьютеров вредоносный код.

Источник изображения: Andrea Fabry, KIT

Источник изображения: Andrea Fabry, KIT

Обычный индикаторный светодиод, например, на подключённом к компьютеру принтере оказался своеобразными воротами к данным на ПК. Причём, что следует подчеркнуть особо, это одновременно и вход, и выход, поскольку светодиоды способны не только излучать, но также служить фотодиодами для интенсивных источников света. В эксперименте с ПК и принтером исследователи показали, что с помощью одного только лазера с удаления 25 метров без физического и другого доступа к компьютерной системе данные можно извлекать со скоростью до 100 Кбит/с и загружать со скоростью до 18,2 Кбит/с.

Ранее были показаны многочисленные уязвимости изолированных вычислительных систем, которые эксплуатировались бесконтактным способом через вибрации вентилятора, жёсткого диска, светодиода HDD и ряд других. Однако во всех этих случаях данные, как правило, только считывались и то на очень малых скоростях. Немецкие учёные показали, что обычные светодиоды позволяют кратно поднять скорость тайного оптического считывания данных и, к тому же, позволяют обратный процесс записи информации в память ПК.

Источник изображения: KASTEL/KIT

Источник изображения: KASTEL/KIT

Для предотвращения обнаруженных угроз создан специальный сайт, где можно ознакомиться с деталями технологии взлома, включая фрагменты кода. Проект исследования называется LaserShark. Также доступен препринт статьи об исследовании. Доклад по обнаруженной уязвимости сделан на 37-й ежегодной конференции по применению компьютерной безопасности (ACSAC).

Двухфакторная аутентификация на сайте госуслуг станет обязательной в 2022 году

Власти намерены усилить защиту аккаунтов пользователей на портале госуслуг. Минцифры намерено ввести двухфакторную аутентификацию с помощью SMS-сообщений уже в следующем году. Пока допустимо входить на государственный ресурс, располагая только логином и паролем, усиленный вариант можно выбрать в настройках профиля.

Источник: congerdesign/pixabay.com

Источник: congerdesign/pixabay.com

Услуга активно внедряется многими значимыми сайтами — Google, Microsoft и Facebook. При этом пользователи российского проекта в теории уже могут добровольно выбрать не только вход с помощью дополнительного подтверждения по SMS, но и с помощью электронной подписи. Те мне менее, мало кто занимается защитой собственной «цифровой личности».

«Второй фактор авторизации на портале госуслуг, который мы планируем ввести "по умолчанию", поможет дополнительно защитить данные пользователей, предотвратить мошенничества», — сообщает Минцифры.

По данным источников «Известий», подавляющее большинство — около 90 % пользователей портала, используют только однофакторную аутентификацию. При этом известно, что с помощью «Госуслуг» можно совершать ряд важнейших, юридически значимых действий, а число пользователей ресурса перевалило за 100 млн человек. При этом вход с помощью профиля государственного сайта позволяет, например, получать займы в микрофинансовых организациях без личного присутствия в их офисах.

СПЧ предложил ограничить обработку данных о гражданах на законодательном уровне

Совет по правам человека представил «Концепцию обеспечения защиты прав и свобод человека и гражданина в цифровом пространстве РФ». В ней предлагается внести ряд существенных изменений в законодательство в сфере оборота персональных данных, а также ввести запрет на выстраивание цифрового портрета граждан на основе баз данных. Об этом пишет «Коммерсантъ» со ссылкой на текст представленной концепции.

Источник изображения: Gerd Altmann / Pixabay

Источник изображения: Gerd Altmann / Pixabay

Согласно имеющимся данным, документ предлагает защитить граждан от «цифровой дискриминации, социальных рейтингов и зависимости от цифровой среды». Авторы проекта предлагают ввести «мораторий на формирование и использование интегральных баз данных о гражданах, создаваемых путём объединения баз персональных данных, обработка которых осуществляется в целях, несовместимых между собой». Также предлагается ввести запрет на присвоение гражданам единых цифровых идентификаторов.

Один из авторов проекта концепции и основатель компании «Крибрум» Игорь Ашманов пояснил, что представленный документ предусматривает введение запрета на формирование «цифрового портрета», а также использование этих данных в коммерческих целях или для дискриминации. Это касается не только компаний, но и органов власти, поскольку сбор массивных баз данных, по мнению авторов концепции, повышает риск их компрометации, а также дискриминации и цифровой коррупции. «Как только возникают социальные рейтинги и единые базы, лица, имеющие доступ, начинают продавать информацию или использовать её в своих интересах», — приводит источник слова господина Ашманова.

В настоящее время концепция находится на согласовании в правительстве. В случае её утверждения, министерства должны будут подготовить к марту 2022 года перечень соответствующих нормативных актов, которые будут приняты и вступят в силу не позднее февраля 2024 года.

Отмечается, что представленная концепция противоречит нынешнему подходу правительства к работе с данными о гражданах. В марте этого года АНО «Цифровая экономика» одобрила концепцию платного доступа бизнеса к данным ГИС. Позднее Минцифры заявило о проработке концепции «фабрики данных». В середине года Минпросвещения объявило о намерении создать «Цифровой профиль учащегося» для фиксации образовательных успехов учеников. При этом разные госструктуры уже собирают данные о гражданах в базы с последующим объединением их в массивы для дальнейшего анализа.

window-new
Soft
Hard
Тренды 🔥