Теги → дания
Быстрый переход

Три четверти мобильных приложений не обеспечивают должную защиту данных

Компания Positive Technologies обнародовала результаты исследования, в ходе которого изучалась безопасность мобильных приложений для операционных систем Android и iOS.

Сообщается, что большинство программ для смартфонов и планшетов содержат те или иные уязвимости. Так, три четверти (76 %) мобильных приложений содержат «дыры» и недоработки, связанные с небезопасным хранением данных: в руках злоумышленников могут оказаться пароли, финансовая информация, персональные сведения и личная переписка владельцев гаджетов.

Специалисты выяснили, что 60 % уязвимостей сосредоточены в клиентской части приложений. При этом 89 % «дыр» могут эксплуатироваться без физического доступа к мобильному устройству, а 56 % — без прав администратора (jailbreak или root).

Программы для Android с критически опасными уязвимостями встречаются несколько чаще, чем приложения для iOS — 43 % против 38 %. Однако эта разница несущественна, считают эксперты.

Каждая третья уязвимость мобильных приложений для Android связана с недостатками конфигурации.

Positive Technologies

Positive Technologies

Эксперты также подчёркивают, что нельзя недооценивать риск кибератаки в результате эксплуатации уязвимостей серверной части. Серверы мобильных приложений защищены не намного лучше, чем клиентские части. В 2018 году каждая серверная часть содержала хотя бы одну уязвимость, которая позволяет проводить разнообразные атаки на пользователей, включая фишинговые рассылки от имени сотрудников компании-разработчика.

Более подробно с результатами исследования можно ознакомиться здесь

Система «МегаФон Поиск» поможет найти пропавших людей

Оператор «МегаФон» объявил о запуске специализированной платформы на базе технологий анализа больших данных для поиска пропавших детей и взрослых.

Система получила название «МегаФон Поиск». Утверждается, что она позволяет сократить время реагирования спасательных служб и поиска свидетелей с нескольких недель до нескольких минут.

Принцип работы сервиса сводится к следующему. Специальные алгоритмы анализируют круг людей, которые могли бы находиться рядом с местом пропажи человека в момент его исчезновения. Таким пользователям рассылаются сообщения с фотографией, приметами и возрастом пропавшего.

Система была разработана и протестирована совместно с МВД и «Лиза Алерт» в марте 2019 года. Испытания показали, что среднее время отработки алгоритма — от запроса на рассылку до факта самой рассылки — составляет всего две минуты. За время проведения испытаний система помогла в поиске более 60 человек.

«Новый сервис "МегаФон Поиск" позволит оперативно решать проблемы поиска пропавших детей и предоставляет возможность максимально качественно настроить взаимодействие с волонтёрскими организациями. Внедрение цифровых технологий для социальной сферы открывает новые возможности по предотвращению преступлений против несовершеннолетних и помогает спасению жизней пропавших людей, которые чаще всего не обладают силами или возможностью вернуться домой самостоятельно», — отмечает оператор. 

Заблокирован сайт с базами данных почти миллиона клиентов российских банков

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) сообщает о том, что в нашей стране заблокирован доступ к форуму, распространяющему базы персональных данных 900 тысяч клиентов российских банков.

О крупной утечке информации о клиентах российских финансовых организаций мы сообщали несколько дней назад. В открытый доступ попали сведения о клиентах ОТП Банка, Альфа-банка и ХКФ-банка. В базах указаны имена, телефоны, паспортные данные и места работы почти миллиона россиян.

Нужно подчеркнуть, что утёкшие в Интернет базы содержат сведения за несколько последних лет, но существенная часть информации до сих пор актуальна.

В сообщении Роскомнадзора говорится, что форум, на котором базы данных были доступны для платного скачивания, занесён в Реестр нарушителей прав субъектов персональных данных. Российские операторы связи уже ограничивают доступ к сайту на территории нашей страны.

«Федеральный закон "О персональных данных" требует получения осознанного согласия граждан на обработку их персональных данных в чётко определённых целях. На сайте форума отсутствует информация, подтверждающая наличие согласия граждан либо иных законных оснований на обработку их персональных данных. Незаконное размещение в Интернете персональных данных почти миллиона россиян создаёт неконтролируемые риски массового нарушения прав граждан, угрозу безопасности их самих и их имущества», — подчёркивает Роскомнадзор. 

Новый вид атаки Rowhammer на оперативную память помог «украсть» 2048-битный RSA-ключ

Исследователи из Университета Мичигана (США), Грацского технического университета (Австрия), Университета Аделаиды (Австралия) и компании Data61 обнаружили новую разновидность такой атаки по побочным каналам, как Rowhammer. Ранее эффект Rowhammer проявлялся только в связи с таким явлением, как случайное переключение ячеек памяти под воздействием космического излучения. По мере того, как размеры ячейки памяти DRAM становились меньше ― по мере снижения технологических норм производства ― уменьшались размеры конденсаторов, хранящих заряд, и они становились ближе, эффект Rowhammer оказался взят на вооружение в качестве инструмента атаки по побочным каналам.

Суть атаки Rowhammer заключается в том, что атакующий воздействует на шину данных модуля памяти серией «ударов», что приводит к изменению данных в ячейках памяти, непосредственно не подключенных к атакуемой шине. Воздействие происходит через утечки заряда из прямо атакуемых конденсаторов (ячеек) в соседние, которые являются непосредственным объектом атаки. С помощью Rowhammer удавалось поднять права доступа к системе, взломать виртуальную машину или получить корневой доступ к Android, но в общем случае эта атака лишь нарушала целостность данных и не вела к утечкам чувствительной информации, а также была трудно реализуемой. Новое исследование показало, что Rowhammer не так безобидна, как казалось. С помощью модификации Rowhammer учёным удалось извлечь из закрытого участка памяти 2048-битный RSA ключ.

Разработанный исследователями эксплоит и технология RAMBleed на основе атаки Rowhammer позволили не только менять данные в атакуемых ячейках, но также заставили переносить секретные данные из защищённой области памяти в ячейки, доступ к которым был открыт для пользователя с обычными правами. Интересно, что от атаки RAMBleed не спасла даже технология восстановления кода ECC. Ранее память с коррекцией кода успешно защищала от атак Rowhammer, восстанавливая ячейки с изменёнными данными как ошибочные.

Исследователи не скрывают, что обнаруженная ими уязвимость и новый метод атаки с использованием Rowhammer сложен в реализации и требует очень большого объёма времени на «картографирование» атакуемой памяти и привязки физических ячеек к шинам данных и друг к другу. На извлечение 2048-битного RSA ключа ушло больше 34 часов непрерывной бомбардировки памяти (взлом не требует доступа к приложениям, данные в которых атакуются). В реальных условиях злоумышленник вряд ли будет готов на подобный подвиг. Правда, в этом ему могут помочь процессоры компании Intel. Недавно выяснилось, что уязвимость Intel Spoiler в разы ускоряет проведение атаки Rowhammer.

Кстати, компания Oracle поспешила заявить, что серверы на процессорах SPARC и x86-совместимых не подвержены новому виду обнаруженной атаки Rowhammer. Дело в том, что память DDR4 с ECC имеет высокую степень защиты от Rowhammer, чего не скажешь о памяти DDR3 и младше. В любом случае, исследователи не рекомендуют покупать наиболее дешёвые модули памяти, которые слабо защищены от Rowhammer, а для желающих углубить знания о технологии и эксплоите RAMBleed создана специальная страничка.

Спор между Sony и Fujifilm спровоцировал нехватку лент LTO-8: под угрозой архивация фильмов

Сегодня одним из главных потребителей лент LTO для длительного и относительно недорогого хранения цифровых архивов стали производители фильмов и телепередач. Ленту можно просто поставить на полку и воспользоваться записью только тогда, когда это будет необходимо. Например, если надо будет сделать обновлённую (remastered) версию фильма. Хранить всё это на жёстких дисках можно только на относительно недолговечных массивах RAID с постоянными баснословными счетами за электроэнергию. И всё шло более-менее стабильно, пока компании Sony и Fujifilm ― сегодня два единственных производителя лент LTO ― не начали судебный спор о правах на патенты на технологии производства лент.

Примр ленточного накопителя

Пример ленточного накопителя

По сообщению интернет-ресурса Redsharknews, одного из рупоров в среде профессионалов видеомонтажа, в настоящий момент возникла нехватка лент LTO-8. Стандарт LTO-8 был принят в декабре 2017 года и сегодня является высшей адаптированной к использованию точкой развития ленточных систем хранения данных. На картридж LTO-8 можно записать 12 Тбайт данных и это будет стоить существенно дешевле, чем запись на жёсткий диск аналогичной ёмкости. Но хранить данные, как мы уже сказали, будет выгоднее на ленте. К тому же данные на ленте не пропадут из-за возможных ошибок записи, тогда как отказ жёсткого диска с большой вероятностью приведёт к полной потере данных. Проблема только одна ― если верить источнику, картридж LTO-8 сегодня практически невозможно купить.

Ленты готовятся отправиться в архив на полку

Ленты готовятся отправиться в архив на полку

Максимум, что можно приобрести ― это картриджи LTO-7 ёмкостью 6 Тбайт. Использование лент LTO-7 в ленточных накопителях стандарта LTO-8 позволяет записать до 9 Тбайт данных, но это скорее временное решение, а не панацея. На очереди стандарты LTO-9 и LTO-10 с картриджами ёмкостью до 48 Тбайт. Ожидание фильмов с разрешением 4K и 8К с поддержкой HDR заставляет специалистов с нетерпением ожидать выпуска новых лент. Но этого не будет, пока Sony и Fujifilm не решат спор в судебном порядке. Когда это произойдёт, источник не может предсказать, однако в индустрии надеются, что к концу текущего года судебные вопросы между двумя производителями будут улажены. Правда, возникает другое опасение. Стандарт LTO, ставший общеиндустриальным ещё в начале 90-х годов прошлого века, может превратиться в зоопарк проприетарных решений, где каждый производитель начнёт тянуть одеяло на себя, отчего пользователям будет одна головная боль.

Личные данные клиентов российских банков утекли в Сеть

В открытый доступ попала база данных с информацией о клиентах ОТП Банка, Альфа-банка и ХКФ-банка. Сообщается, что там указаны имена, телефоны, паспорта и места работы примерно 900 тысяч человек. При этом отметим, что базы опубликовали в конце мая, в них есть данные за несколько лет назад, но существенная часть информации до сих пор актуальна.

pixabay.com

pixabay.com

Одна из баз содержит сведения о людях из Северо-Западного федерального округа. В основном это данные людей из частных компаний, но также есть сведения о примерно 500 сотрудниках МВД и 40 — ФСБ.

Данные о клиентах Альфа-банка находятся в двух базах. Первая содержит более 55 тысяч клиентов за 2014–2015 годы. Вторая содержит всего 504 записи, но уже за 2018–2019 годы.

Другие базы, похоже, представляют собой «срезы» старых данных, поскольку некоторые из опрошенных клиентов ХКФ-банка подтвердили, что брали кредит, но давно, примерно в 2009 году. А вот база из ОТП Банка содержит сразу 800 тысяч записей, причём база актуальна на 2013 год. Несколько человек из списка подтвердили, что брали кредит в ОТП Банке.

В Альфа-банке уже заявили, что проведут проверку данных и расследуют утечку. В ХКФ-банке, сообщили, что «происхождение данных в указанном файле банку неизвестно, но банк примет меры для его установления». А в ОТП заявили, что в банке «не зафиксирована утечка информации, и происхождение данной базы неизвестно».

Не исключено, что данные были «выведены» за пределы IT-систем Альфа-банка после массового увольнения сотрудников регионального IT-отдела. Так считает основатель и технический директор DeviceLock Ашот Оганесян. Вторая база, скорее всего, была собрана кредитным менеджером.

Роскомнадзор: найти общий язык с руководством Facebook не удаётся

Руководитель Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Александр Жаров в интервью РБК прокомментировал ситуацию вокруг социальной сети Facebook.

Напомним, что Роскомнадзор добивается от Facebook выполнения требований российского законодательства. Речь, в частности, идёт о переносе персональной информации российских пользователей на серверы в нашей стране.

Кроме того, в соответствии с так называемым «пакетом Яровой» социальная сеть обязана хранить аудиозаписи разговоров пользователей и их переписку.

Однако выполнять эти требования Facebook не торопится, и найти общий язык с руководством площадки Роскомнадзору не удаётся. Как отметил господин Жаров, руководители Facebook приезжают в Россию, ведут переговоры, но не принимают никаких решений.

«Отсутствие диалога, а по сути дела, с Facebook сейчас нет диалога, в лучшем случае монолог со стороны Роскомнадзора, не улучшает ситуацию, и это печально», — заявил Александр Жаров.

В апреле нынешнего года сообщалось, что социальная сеть получила дополнительные девять месяцев на перенос данных российских пользователей на серверы, расположенные на территории РФ. Если это требование не будет выполнено, Facebook может быть заблокирована в России. 

Microsoft удалила крупнейшую базу данных с фото знаменитостей

Согласно отчету, опубликованному в четверг, компания Microsoft удалила огромную базу данных по распознаванию лиц, в которой было порядка 10 миллионов изображений с участием около 100 тысяч человек. Эта база называлась Microsoft Celeb и была создана в 2016 году. Её задачей было сохранение фото знаменитостей по всему миру. В их числе были журналисты, музыканты, различные активисты, политики, писатели и так далее.

mspoweruser.com

mspoweruser.com

Причиной удаления стало нелегальное использование этих данных для китайского программного обеспечения по распознаванию лиц. Сообщается, что его применяли для слежки за уйгурским мусульманским меньшинством в стране. За проект отвечали китайские компании SenseTime и Megvii, которые получили доступ к базе данных.

Учитывая, что данные были размещены под лицензией Creative Commons, к ним могли получить доступ любые компании и разработчики. В частности, её использовали IBM, Panasonic, Alibaba, NVIDIA и Hitachi.

При этом отметим, что ранее Microsoft уже требовала ужесточить регулирование технологий распознавания лиц. Также там заявили, что сайт с базой данных был предназначен для академических целей и был удалён после решения необходимых исследовательских задач.

Помимо этого, из Сети удалили похожие базы данных университетов Стэнфорд и Дьюк. Ещё одной вероятной причиной можно считать опасения компании в том плане, что системы распознавания лиц могут обострить социальные проблемы.

Отметим, что эта тема уже не раз поднималась в разных странах, но пока универсального решения на этот счёт нет.  

Почти каждый второй россиянин видел личные данные своих коллег

Исследование, проведённое «Лабораторией Касперского», говорит о том, что сотрудники компаний зачастую беспечно относятся к защите своих личных данных от любопытных глаз коллег.

Выяснилось, что практически каждый второй россиянин — примерно 44 % — видел конфиденциальные данные людей, с которыми он работает. Речь идёт о такой информации, как размер заработной платы, начисленные бонусы, банковские реквизиты, пароли и пр.

Специалисты отмечают, что утечка подобных сведений может обернуться как неприятностями, так и серьёзными проблемами — от ухудшения взаимоотношений в коллективе до киберинцидентов.

Исследование показало, что лишь около четверти (28 %) сотрудников в России регулярно проверяют, кто ещё имеет доступ к документам и сервисам, с которыми они работают, и вносят необходимые изменения.

Нужно, впрочем, отметить, что в утечке личных данных зачастую виноваты не только сами сотрудники, но и работодатели. Нехватка политик, необходимых для регулирования прав доступа, приводит к тому, что документы хранятся и перемещаются внутри и вне компании без должного контроля. 

Nokia и Telecom Italia установили новый европейский рекорд скорости передачи данных

Nokia совместно с Telecom Italia установила новый европейский рекорд скорости передачи данных по наземным оптическим линиям на оборудовании Nokia 1830 Photonic Service Switch. Это поможет упростить развёртывание 5G-сетей, которым требуется мощная опорная сеть. В штатном режиме сеть Telecom Italia обладает скоростью до 100 Гбит/с на дальности до 1800 км и до 200 Гбит/с на расстоянии не более 800 км.

Nokia PSE-3 (Photonic Service Engine)

Ровно на той же сети — без прокладки дополнительных линий оптической связи — с тестовым оборудованием Nokia на дистанции 1750 км удалось достигнуть 300 Гбит/с. Между Римом и Миланом, то есть на удалении свыше 900 км (туда и обратно), скорость составила 400 Гбит/с. А на участке сети Telecom Italia Рим-Флоренция общей длиной 350 км скорость достигла рекордного значения — 550 Гбит/с. Рекорд поставлен благодаря новому цифровому сигнальному процессору Nokia PSE-3 (Photonic Service Engine). → Подробнее на ServerNews →

Сбербанк предлагает открыть доступ к данным городского видеонаблюдения разработчикам ИИ

Идея заключается в том, что разработчики ИИ-систем смогут формировать и использовать массивы данных, не нарушая при этом тайну частной жизни. Эта инициатива излагается в проекте отчёта Сбербанка о выполнении работ в рамках формирования дорожной карты в сфере развития «сквозной» технологии «Нейротехнологии и искусственный интеллект». Представленный проект предусматривает упрощение процедуры получения доступа к городским потоковым данным, в том числе к видеонаблюдению, а также возможность формирования и использования массивов данных для разработчиков в сфере ИИ.

В Министерстве цифрового развития, связи и массовых коммуникаций считают, что разработчикам, ведущим деятельность в сфере ИИ, больше всего мешают дефицит данных и ограниченность доступа к ним. Было отмечено, что основная масса данных собирается государством. В настоящее время ведётся обсуждение вопросов о том, какие данные, кому и на каких условиях предоставлять, но до вынесения решения ещё далеко.

Также известно о том, что механизм предоставления упрощённого доступа к потоковым данным планируется разработать и начать использовать к середине 2021 года. Предполагается, что реализацией проекта займутся специалисты Минцифры. Помимо прочего, в отчёте говорится о том, что разработка режима предоставления упрощённого доступа к городским потоковым данным позволит устранить барьеры, которые существуют из-за использования устаревших отраслевых стандартов и ряда других причин. Сообщается также, что разработчикам в сфере ИИ мешает низкая готовность компаний к использованию ИИ-технологий, устаревшие бизнес-модели, дефицит компетенций сотрудников и руководителей, а также фрагментированность данных.

Вопросы защиты персональных данных граждан РФ будет решать особая рабочая группа

Предложение создать в Государственной думе рабочую группу для рассмотрения вопросов защиты пользовательских данных поступило от Председателя ГД Вячеслава Володина в ходе пленарного заседания.

О необходимости детального рассмотрения вопросов защиты пользовательских данных заявил заместитель Председателя ГД Пётр Толстой, который поставил в пример недавний инцидент, связанный с утечкой конфиденциальной информации миллионов граждан России. Он отметил, что вслед за утечкой данных может начаться исчезновение денег с электронных счетов. В своём выступлении господин Толстой вспомнил недавний инцидент, связанный с утечкой конфиденциальной информации пользователей с восьми государственных систем, в том числе реестров Минюста, Минтруда, Минфина, электронных торговых площадок и др.   

Также было отмечено, что в рамах реализуемого проекта «Цифровая экономика» защита прав граждан должна осуществляться в полной мере. По мнению господина Толстого, сбор всей информации о человеке в один файл противоречит действующему закону о персональных данных.

В результате было принято решение о создании рабочей группы, которую возглавит Пётр Толстой. Также в неё войдут члены правительства, эксперты, члены Совета Федерации, а также представители профильных комитетов. Ожидается, что первые шаги, направленные на защиту конфиденциальной информации россиян, будут озвучены уже через месяц. Кроме того, эти вопросы будут рассмотрены на Совете по развитию цифровой экономики, который состоится 24 мая.

Данные 49 млн пользователей сети Instagram оказались в открытом доступе

По сообщениям сетевых источников, в открытом доступе была обнаружена база данных, в которой содержались контактные данные миллионов пользователей социальной сети Instagram. Речь идёт о номерах телефонов и адресах электронных почтовых ящиков, в том числе знаменитостей, влиятельных лиц и компаний. Также известно, что в некоторых случаях указывалось местоположение учётной записи, а также приблизительная стоимость аккаунта, вычисляемая из количества подписчиков.

Незащищённую базу данных обнаружил на платформе Amazon Web Services исследователь Ануранг Сен (Anurang Sen). По мнению исследователя, за утечкой данных стоит компания Chtrbox, которая базируется в Мумбае и занимается маркетингом в социальных сетях. После попытки связаться с представителями компании база данных была удалена, но каких-либо комментариев со стороны сотрудников Chtrbox не последовало.

Представители Instagram сообщили о том, что в настоящее время ведётся расследование инцидента. Компания пытается понять, была ли взята оказавшаяся в открытом доступе информация из сети Instagram или же она поступила из иных источников. Также известно о том, что компания пытается выяснить, каким образом данные попали к Chtrbox и как они оказались в открытом доступе.

Ранее Facebook неоднократно сталкивалась с крупными утечками пользовательских данных. Последние заявления компании говорят о том, что она намерена существенно повысить уровень безопасности хранения конфиденциальной информации. Вероятно, общая оптимизация безопасности коснётся не только сети Facebook, но также Instagram.

Паспортные данные чиновников и туристов попали в открытый доступ

Председатель Ассоциации участников рынка данных Иван Бегтин сообщил о том, что ему удалось обнаружить в открытом доступе порядка 360 000 записей с личными данными. Помимо прочего, были обнаружены личные данные некоторых российских политиков, банкиров, бизнесменов и других известных людей.

Утечка данных была обнаружена после анализа веб-сайтов 8 государственных информационных систем. Личные данные пользователей были найдены после анализа реестров Минфина и Минюста, реестра портала «Онлайн Инспектор», портала торгов по госимуществу ФАС и др. Бегтин отмечает, что сведения о масштабах утечки данных неточны, поскольку в одной записи зачастую хранится информация о нескольких пользователях.

Обнаруженные документы содержат личные данные первого заместителя председателя Госдумы Александра Жукова, сопредседателя фонда «Сколково» и бывшего вице-премьера Аркадия Дворковича, телеведущего Владимира Соловьева, губернатора Ивановской области Станислава Воскресенского. На сайте Фонда инфраструктурных и образовательных программ были найдены паспортные данные председателя правления государственной корпорации «Роснано» Анатолия Чубайса, а также нескольких топ-менеджеров компании.

По мнению исследователя, утечки данных происходят из-за ошибок в действующем законодательстве, просчётов разработчиков веб-ресурсов, а также недочётов в работе регулирующих и контролирующих органов. Стоит отметить, что раскрытие персональных данных противоречит законодательству РФ. Ответственность за подобные инциденты предусматривается Кодексом об административных правонарушениях.

Также стало известно о том, что специалисты компании DeviceLock обнаружили в открытом доступе базу данных туристического сервиса «Слетать.ру». В настоящее время база закрыта, но некоторое время назад в ней можно было обнаружить учётные данные сотен туристических агентств, подключённых к системе. Эти данные могли использоваться для получения доступа к паспортным данным клиентов компаний, а также информации о приобретённых билетах. Ещё база содержала порядка 11 700 адресов клиентских электронных почтовых ящиков.   

Напомним, в конце апреля Иван Бегтин сообщил об утечке персональных данных 2,24 млн пользователей торговых площадок.

Оператор «ЭРА-ГЛОНАСС» предложил аналог «закона Яровой» для автомобильной сферы

АО «ГЛОНАСС», оператор государственной автоматизированной информационной системы «ЭРА-ГЛОНАСС», направило вице-премьеру Юрию Борисову письмо с предложениями по хранению и обработке данных об автомобилях и их владельцах.

Новый проект, как отмечает газета «Ведомости», предполагает внедрение некоего аналога так называемого «закона Яровой». Последний, напомним, предусматривает хранение данных о переписке и звонках граждан. Закон нацелен на борьбу с терроризмом.

В АО «ГЛОНАСС» утверждают, что некорректное обращение с данными об автомобилях и их владельцах может угрожать безопасности транспорта, водителей и страны в целом. А поэтому для хранения соответствующей информации предлагается сформировать специальную инфраструктуру.

В правительство, как сообщается, направлены предложения в части регулирования информационного взаимодействия внешних систем и подключённых автомобилей.

Современные транспортные средства могут собирать самую различную информацию. Это навигационные сведения, данные о состоянии и действиях водителя, показания от всевозможных датчиков и пр. Теоретически доступ к этой информации могут иметь автопроизводители и различные вспомогательные сервисы.

АО «ГЛОНАСС» предлагает  ввести единые правила обращения с данными об автомобилях и определить все возможности взаимодействия подключённых машин с другими системами. Впрочем, говорить о принятии каких-либо окончательных решений пока рано. 

window-new
Soft
Hard
Тренды 🔥