Bluetooth снова всех порадовал дырами. Исследователи кибербезопасности нашли 16 уязвимостей программного стека Bluetooth, который поставляется популярными вендорами. Все уязвимости объединили под названием BrakTooth.
От эксплуатации уязвимостей могут пострадать миллиарды ноутбуков, смартфонов, промышленного оборудования и IoT-устройств.
Самая опасная уязвимость - CVE-2021-28139. Она позволяет удаленно запустить вредоносный код.
Есть и хорошие новости. BrakTooth хоть и затрагивает миллиарды девайсов, но каждое в разной степени.
От эксплуатации уязвимостей могут пострадать миллиарды ноутбуков, смартфонов, промышленного оборудования и IoT-устройств.
Самая опасная уязвимость - CVE-2021-28139. Она позволяет удаленно запустить вредоносный код.
Есть и хорошие новости. BrakTooth хоть и затрагивает миллиарды девайсов, но каждое в разной степени.
YouTube
BrakTooth - Arbitrary Code Execution on ESP32 via Bluetooth Classic (BR/EDR)
BrakTooth captures a family of 16 vulnerabilities across Bluetooth Classic (BR/EDR) implementation of many system-on-a-chip (SoC) vendors.
This video demonstrates what happens when Espressif ESP32 is susceptible to Feature Page Execution (CVE-2021-28139…
This video demonstrates what happens when Espressif ESP32 is susceptible to Feature Page Execution (CVE-2021-28139…
Власти Москвы выделят деньги на доработку системы распознавания лиц
После доработки можно будет не только распознавать лица и вычислять, где человека засекли, но и определять маршруты передвижения людей.
В систему хотят добавить больше фильтров по полу, возрасту, наличию очков или бороды, расовой принадлежности.
Теперь можно будет автоматически за минуты вычислять, в какой кофейне вы завтракали, куда заезжали после работы и как часто посещали квартиру своей «коллеги».
-Дорогой, почему твоя футболка пахнет Шанель 5?
-Я просто заезжал в парфюмерный бутик
-Странно, но я купила доступ к доработанной системе распознавания, и там не было никакого бутика
После доработки можно будет не только распознавать лица и вычислять, где человека засекли, но и определять маршруты передвижения людей.
В систему хотят добавить больше фильтров по полу, возрасту, наличию очков или бороды, расовой принадлежности.
Теперь можно будет автоматически за минуты вычислять, в какой кофейне вы завтракали, куда заезжали после работы и как часто посещали квартиру своей «коллеги».
-Дорогой, почему твоя футболка пахнет Шанель 5?
-Я просто заезжал в парфюмерный бутик
-Странно, но я купила доступ к доработанной системе распознавания, и там не было никакого бутика
Коммерсантъ
Нейросеть пустят по следу
Мэрия модернизирует систему распознавания лиц специально для МВД
This media is not supported in your browser
VIEW IN TELEGRAM
Ну краш, не иначе
На Российские банки совершена масштабная DDoS-атака
Зампред правления Сбера Станислав Кузнецов рассказал о том, что на прошлой неделе получилось отразить самую мощную в мире атаку на финансовый сектор. Атака была произведена из-за рубежа с помощью нескольких тысяч взломанных веб-камер. Мощность превышала 50 Гбит/с.
Банк России подтвердил факт атаки в период с 13 по 16 августа. Распределённая атака DDoS была направлена на ряд крупных финансовых организаций. Запросы шли из Азии, Латинской америки и США.
Кстати, ЦБ говорит, что серьезных последствий не было, замечали только небольшие замедления, а в большинстве банков «атака была отражена штатными средствами обеспечения информационной безопасности».
Одна из причин увеличения мощностей атак - разрастание инфраструктуры IoT-устройств.
Зампред правления Сбера Станислав Кузнецов рассказал о том, что на прошлой неделе получилось отразить самую мощную в мире атаку на финансовый сектор. Атака была произведена из-за рубежа с помощью нескольких тысяч взломанных веб-камер. Мощность превышала 50 Гбит/с.
Банк России подтвердил факт атаки в период с 13 по 16 августа. Распределённая атака DDoS была направлена на ряд крупных финансовых организаций. Запросы шли из Азии, Латинской америки и США.
Кстати, ЦБ говорит, что серьезных последствий не было, замечали только небольшие замедления, а в большинстве банков «атака была отражена штатными средствами обеспечения информационной безопасности».
Одна из причин увеличения мощностей атак - разрастание инфраструктуры IoT-устройств.
Ну вот - ещё 6 VPN в копилку Роскомнадзора.
Разговоры о продолжении блокировок были неспроста. В ближайшее время могут заблокировать ещё 17 сервисов.
Разговоры о продолжении блокировок были неспроста. В ближайшее время могут заблокировать ещё 17 сервисов.
Большой резонанс вызвала статья на Хабре о кнопочных телефонах с троянами и бэкдорами. Удивительно, но история не ограничилась массовой оглаской, а глава ритейлера DNS Дмитрий Алексеев, в котором продавались кирпичи с бэкдорами, даже признал наличие проблемы и начал кампанию по отзыву устройств, о чем и написал в своём телеграмм-канале.
Кстати, одним из устройств, которое тестировал автор статьи на Хабре, был DEXP SD2810(это собственная марка телефонов компании DNS).
Надеемся, что после этого скандала проверка устройств на бэкдоры станет частью сертификации «Ростеха», а отзыв продукции - нормой для ритейла.
Кстати, одним из устройств, которое тестировал автор статьи на Хабре, был DEXP SD2810(это собственная марка телефонов компании DNS).
Надеемся, что после этого скандала проверка устройств на бэкдоры станет частью сертификации «Ростеха», а отзыв продукции - нормой для ритейла.
Telegram
Алексеев ДНС
В прессе появились публикации, что в некоторых кнопочных телефонах Dexp, продаваемых в сети ДНС, обнаружены фрагменты потенциально опасного кода. Мы признаем наличие проблемы и ещё 1-го сентября начали компанию по отзыву для обслуживания данных продуктов.…
В 79% случаев «Яндекс» выдавал всю информацию о пользователях по запросу от Госорганов. Это свежие данные из полугодового отчета компании.
Общее количество запросов в первой половине 2021 года составило 19, 6 тысяч. Это больше, чем в первой половине 2020(16, 8 тыс).
В компании говорят, что рассматривают только запросы по официальным каналам, соответствующие формальным требованиям. То есть через почту и мессенджеры информацию о пользователе не отправляют.
С 1 июня 2021 «Яндекс» разрешает пользователям скачать архив с информацией, которую накопили о них сервисы компании и удалить эти данные. Компания получила 54 885 запросов на удаление данных.
Общее количество запросов в первой половине 2021 года составило 19, 6 тысяч. Это больше, чем в первой половине 2020(16, 8 тыс).
В компании говорят, что рассматривают только запросы по официальным каналам, соответствующие формальным требованиям. То есть через почту и мессенджеры информацию о пользователе не отправляют.
С 1 июня 2021 «Яндекс» разрешает пользователям скачать архив с информацией, которую накопили о них сервисы компании и удалить эти данные. Компания получила 54 885 запросов на удаление данных.
Ну надо же, ИИ алгоритм Facebook пометил видео с темнокожими мужчинами как ролик о приматах. Все из-за сбоя в работе алгоритма.
Как мы уже говорили, несмотря на то что мы работаем над улучшением искусственного интеллекта, мы знаем, что он не совершенен и нам предстоит много работы. Мы приносим извинения всем, кто мог видеть эти оскорбительные рекомендации, — говорит пресс-секретарь компании Facebook Дэни Левер.
Как ни популярны страшилки про захват мира искусственным интеллектом, пока что системы ИИ по-прежнему предвзяты к людям из-за их расовой принадлежности и не идеальны во многих других аспектах.
Как мы уже говорили, несмотря на то что мы работаем над улучшением искусственного интеллекта, мы знаем, что он не совершенен и нам предстоит много работы. Мы приносим извинения всем, кто мог видеть эти оскорбительные рекомендации, — говорит пресс-секретарь компании Facebook Дэни Левер.
Как ни популярны страшилки про захват мира искусственным интеллектом, пока что системы ИИ по-прежнему предвзяты к людям из-за их расовой принадлежности и не идеальны во многих других аспектах.
50 млн идиотов в России активно пользуются приложением GetContact.
Сервис для определения номеров теперь в реестре организаторов распространения информации, что обязывает его хранить данные российских пользователей и делиться ими с госструктурами и спецслужбами.
Сервис для определения номеров теперь в реестре организаторов распространения информации, что обязывает его хранить данные российских пользователей и делиться ими с госструктурами и спецслужбами.
Forbes.ru
«Выполнил требования законодательства»: что грозит пользователям сервиса GetContact
Сервис для определения владельцев номеров телефонов GetContact попросил Роскомнадзор включить свое приложение в реестр организаторов распространения информации, потому что в ближайшее время в нем появится ряд новых функций, в том числе голосовые чаты
Деньги за взлом электронного голосования
В этом году у нас в стране в 7 регионах пройдёт дистанционное электронное голосование(ДЭГ) на базе двух систем: московская от ДИТ на базе блокчейна etherium и федеральная от Ростелекома. И хотя представители каждой из систем изначально говорили, что взломать их невозможно, случаи такие все же происходили. Взламывают и аккаунты Госуслуг, которые нужны для участия в электронном голосовании и алгоритмы обманывают.
Рано или поздно мы все перейдём на систему электронного голосования полностью. Цифровые услуги сильно упрощают жизнь, позволяя сидеть дома, питаться едой из доставки и не выходить никуда, кроме как на прогулку.
В системе ДЭГ повышенная безопасность - самое главное. Вот и Ростелеком поняли это и объявили о конкурсе для пентестеров.
4-5 сентября можно, избежав отвественности за взлом, доказать делом, что система дистанционного электронного голосования содержит уязвимости. За обнаруженную уязвимость багхантеру дадут 2 млн.
В этом году у нас в стране в 7 регионах пройдёт дистанционное электронное голосование(ДЭГ) на базе двух систем: московская от ДИТ на базе блокчейна etherium и федеральная от Ростелекома. И хотя представители каждой из систем изначально говорили, что взломать их невозможно, случаи такие все же происходили. Взламывают и аккаунты Госуслуг, которые нужны для участия в электронном голосовании и алгоритмы обманывают.
Рано или поздно мы все перейдём на систему электронного голосования полностью. Цифровые услуги сильно упрощают жизнь, позволяя сидеть дома, питаться едой из доставки и не выходить никуда, кроме как на прогулку.
В системе ДЭГ повышенная безопасность - самое главное. Вот и Ростелеком поняли это и объявили о конкурсе для пентестеров.
4-5 сентября можно, избежав отвественности за взлом, доказать делом, что система дистанционного электронного голосования содержит уязвимости. За обнаруженную уязвимость багхантеру дадут 2 млн.
Известия
Тянут на себя: мошенники взламывают аккаунты россиян на «Госуслугах»
Для чего используются украденные учетные записи
Nitrokey презентовала смартфон NitroPhone 1, который считается самым безопасным и защищённым от киберпреступников.
Он основан на базе Google Pixel 4a и стоит €630. Приложения на смартфоне не имеют доступа к серийному номеру телефона, номеру SIM-карты, IMEI и MAC-адресу.
NitroPhone 1 работает под управлением GragpheneOS, Google сервисы на нем отсутствуют.
Он основан на базе Google Pixel 4a и стоит €630. Приложения на смартфоне не имеют доступа к серийному номеру телефона, номеру SIM-карты, IMEI и MAC-адресу.
NitroPhone 1 работает под управлением GragpheneOS, Google сервисы на нем отсутствуют.
На Youtube-канале МФТИ подробно рассказывают об отличии московской системы ДЭГ от федеральной(Ростелекомовской).
Там, кстати, говорят, что в последний раз деньги за обнаруженную уязвимость забрал пентестер из Страсбурга.
Там, кстати, говорят, что в последний раз деньги за обнаруженную уязвимость забрал пентестер из Страсбурга.
Сервис американских спецслужб, базирующийся в Швейцарии, выдал IP-адрес пользователя по запросу полиции. Речь о ProtonMail, созданном специально для людей, которые не доверяют гуглу, но любят покупать товар в магазинах кайфа.
Спустя полдня конфиденциальная почта дала ответ о случившемся, где заявила, что ничего кроме метаданных у сервиса нет, а необоснованные запросы компания будет оспаривать и бороться за конфиденциальность.
Спустя полдня конфиденциальная почта дала ответ о случившемся, где заявила, что ничего кроме метаданных у сервиса нет, а необоснованные запросы компания будет оспаривать и бороться за конфиденциальность.
TechCrunch
ProtonMail logged IP address of French activist after order by Swiss authorities | TechCrunch
ProtonMail, a hosted email service with a focus on end-to-end encrypted communications, has been facing criticism after a police report showed that French
Forwarded from Пост Лукацкого
IDC оценило, какие знания больше всего нужны специалистам по кибербезопасности. Местами интересные очень ответы. Приятно было увидеть Cisco в самом правом краю (наиболее важно для карьеры). Но что там делает блокчейн (результат хайпа?)? И почему знание бизнеса находится ближе к левому краю? Как и машинное обучение (хайп не сработал?). Странно-странно...
Forwarded from SecAtor
ProtonMail официально все. В смысле - еще теплый, но уже начал подванивать.
Вчера сервис выпустил слезливое сообщение, в котором пояснил, что в соответствии с требованиями юридического приказа швейцарских властей был зафиксирован адрес одного из пользователей почты.
Вся фишка в том, что Швейцария издала этот приказ в соответствии с просьбой французских правоохранительных органов, которые этого пользователя ProtonMail, гражданина Франции, и законопатили в кутузку.
И теперь швейцарский "приватный" почтовый сервис прикидывается ветошью и пытается разъяснить, что все всё не так поняли. Но верится с трудом.
Во-первых, как говорят в ProtonMail, они не передают данные иностранным правительствам. Это утверждение совершенно лишено смысла, поскольку иностранные правительства всегда могут обратиться к правительству Швейцарии, как в данном случае.
Во-вторых, основной фишкой сервиса было декларируемое отсутствие логирования активности пользователя. Что, как теперь оказалось, в нужный для правоохранителей момент быстро исправляется.
И в-третьих, Proton отчаянно пытается дистанцировать Mail от VPN, и заявляет что "ProtonVPN в соответствии с швейцарским законодательством не может быть принужден к логированию действий пользователя в отличие от электронной почты". Само собой - ведь за отсутствие логов ProtonVPN денежки берет.
Ну а завтра швейцарское правительство выпустит очередной юридический приказ и Proton будут размазывать в своем бложике сопли по поводу того, как они рыдали, но выдали логи пользователя VPN.
Мы-то сами уже давненько с Proton свалили...
Вчера сервис выпустил слезливое сообщение, в котором пояснил, что в соответствии с требованиями юридического приказа швейцарских властей был зафиксирован адрес одного из пользователей почты.
Вся фишка в том, что Швейцария издала этот приказ в соответствии с просьбой французских правоохранительных органов, которые этого пользователя ProtonMail, гражданина Франции, и законопатили в кутузку.
И теперь швейцарский "приватный" почтовый сервис прикидывается ветошью и пытается разъяснить, что все всё не так поняли. Но верится с трудом.
Во-первых, как говорят в ProtonMail, они не передают данные иностранным правительствам. Это утверждение совершенно лишено смысла, поскольку иностранные правительства всегда могут обратиться к правительству Швейцарии, как в данном случае.
Во-вторых, основной фишкой сервиса было декларируемое отсутствие логирования активности пользователя. Что, как теперь оказалось, в нужный для правоохранителей момент быстро исправляется.
И в-третьих, Proton отчаянно пытается дистанцировать Mail от VPN, и заявляет что "ProtonVPN в соответствии с швейцарским законодательством не может быть принужден к логированию действий пользователя в отличие от электронной почты". Само собой - ведь за отсутствие логов ProtonVPN денежки берет.
Ну а завтра швейцарское правительство выпустит очередной юридический приказ и Proton будут размазывать в своем бложике сопли по поводу того, как они рыдали, но выдали логи пользователя VPN.
Мы-то сами уже давненько с Proton свалили...
Proton
Important clarifications regarding arrest of climate activist | Proton
We would like to provide important clarifications regarding the case of the climate activist who was arrested by French police.
Кажется, у Telegram снова появился шанс для скачка в росте аудитории
Propublica опубликовали отчет под громким заголовком «Как Facebook подрывает защиту конфиденциальности 2 миллиардов пользователей WhatsApp», в котором говорится, что у WhatsApp отсуствует E2EE(End to end encryption).
Facebook могли просматривать сообщения пользователей, если они пожаловались на сообщение. ProPublica преподносит это так, будто конфиденциальность отсутствует совсем.
В компании ответили: «Мы уверены в том, что пользователи понимают, что когда отправляют жалобу в WhatsApp, мы получаем сообщение, на которое они пожаловались».
Но есть один нюанс в этой неразберихе, о котором многие не слышали раньше. Вместе с сообщением, на которое пожаловался пользователь, команда FB получает доступ и к предыдущим сообщениям, чтобы понять контекст диалога.
Propublica опубликовали отчет под громким заголовком «Как Facebook подрывает защиту конфиденциальности 2 миллиардов пользователей WhatsApp», в котором говорится, что у WhatsApp отсуствует E2EE(End to end encryption).
Facebook могли просматривать сообщения пользователей, если они пожаловались на сообщение. ProPublica преподносит это так, будто конфиденциальность отсутствует совсем.
В компании ответили: «Мы уверены в том, что пользователи понимают, что когда отправляют жалобу в WhatsApp, мы получаем сообщение, на которое они пожаловались».
Но есть один нюанс в этой неразберихе, о котором многие не слышали раньше. Вместе с сообщением, на которое пожаловался пользователь, команда FB получает доступ и к предыдущим сообщениям, чтобы понять контекст диалога.
ProPublica
How Facebook Undermines Privacy Protections for Its 2 Billion WhatsApp Users
WhatsApp assures users that no one can see their messages — but the company has an extensive monitoring operation and regularly shares personal information with prosecutors.