У Mac и MacBook новая неустранимая уязвимость
Вспомогательный процессор Т2 устройств Apple можно взломать новым методом. Он отвечает за криптографические операции, обработку паролей, TouchID и шифрование паролей.
Бета софт Checkra1n v.0.11.0 уже находится в открытом доступе. Он эксплуатирует два джелбрейка.
Хакер может подключиться через UCB-C во время загрузки Mac и запустить эксплойты. Благодаря этому он может выполнить код внутри чипа Т2 и получить в нем рутовые права.
#НеКасперский говорит, что самое плохое тут то, что уязвимость аппаратная. Она не может быть устранена сейчас. Может быть Apple и придумает что-то, чтобы закрыть эту дыру, но, судя по всему, не скоро. Решение для пользователя, при условии, что есть подозрения взлома, переустановить bridgeOS. Это поможет до следующей атаки.
Вспомогательный процессор Т2 устройств Apple можно взломать новым методом. Он отвечает за криптографические операции, обработку паролей, TouchID и шифрование паролей.
Бета софт Checkra1n v.0.11.0 уже находится в открытом доступе. Он эксплуатирует два джелбрейка.
Хакер может подключиться через UCB-C во время загрузки Mac и запустить эксплойты. Благодаря этому он может выполнить код внутри чипа Т2 и получить в нем рутовые права.
#НеКасперский говорит, что самое плохое тут то, что уязвимость аппаратная. Она не может быть устранена сейчас. Может быть Apple и придумает что-то, чтобы закрыть эту дыру, но, судя по всему, не скоро. Решение для пользователя, при условии, что есть подозрения взлома, переустановить bridgeOS. Это поможет до следующей атаки.
Никогда такого не было и вот опять. Москва готовится к введению пропусков. А это значит, что скоро снова будут базы с данными о передвижениях, риски утечек и т.д.
https://t.me/bazabazon/4824
https://t.me/bazabazon/4824
Telegram
Baza
Москва готовится к введению пропусков. Работники самых различных городских структур начали сдавать свои данные для оформления разрешений на передвижение по городу.
В частности, это коснулось уже сотрудников автобазы управления делами президента – некоторым…
В частности, это коснулось уже сотрудников автобазы управления делами президента – некоторым…
Молодой «предприниматель» из сотовой компании продавал данные за 150 - 500 рублей
В Костроме завершено расследование уголовного дела за нарушение тайны телефонных переговоров и неправомерный доступ к информации, ее копирование из корыстных интересов.
В 2020 мужчина копировал детализацию звонков из базы данных и другие перс. данные. Их он потом продавал за 150-500 рублей.
#НеКасперский ошеломлён тем, насколько дёшево может продаваться «пробив» в российской провинции. Скорее всего, есть и корреляция между ценой «пробива» и легкодоступностью детальной информации по звонкам и т.д. Чем лучше защищены перс.данные, тем дороже стоит «пробив». Но если в данном случае детализацию можно получить за такую сумму, за которую продавал ее обвиняемый, то страшно подумать, что можно сделать за
«большие» деньги.
В Костроме завершено расследование уголовного дела за нарушение тайны телефонных переговоров и неправомерный доступ к информации, ее копирование из корыстных интересов.
В 2020 мужчина копировал детализацию звонков из базы данных и другие перс. данные. Их он потом продавал за 150-500 рублей.
#НеКасперский ошеломлён тем, насколько дёшево может продаваться «пробив» в российской провинции. Скорее всего, есть и корреляция между ценой «пробива» и легкодоступностью детальной информации по звонкам и т.д. Чем лучше защищены перс.данные, тем дороже стоит «пробив». Но если в данном случае детализацию можно получить за такую сумму, за которую продавал ее обвиняемый, то страшно подумать, что можно сделать за
«большие» деньги.
Forwarded from Новости. Как есть
Московское метро, оснащенное системой распознавания лиц, начало приносить плоды. Копы выявили мужчину, которого разыскивали за похищение человека и грабеж. Иголку в стоге сена стало искать проще
Google помогла ФБР найти поджигателя машины
ФБР направила запрос в компанию с требованием раскрыть тех, кто гуглил адрес дома пострадавшего.
Так ФБР узнали IP-адрес, с которого искали дом жертвы несколько раз. IP-адрес был связан с номером телефона, принадлежащим жителю штата, из которого гуглили адрес.
Путь смартфона тоже проследили, узнали кто использовал вышки связи рядом с домом жертвы и получили перс. данные от оператора владельца номера. Жертвой оказался свидетель по делу об изнасиловании, а поджигателем - знакомый насильника.
#НеКасперский видит тенденцию сотрудничества технологических компаний и спецслужб в раскрытии преступлений. Недавно был случай, когда Apple впервые дала доступ к содержимому телефона пользователя, так же по запросу ФБР. Тут интересен даже не этот факт сотрудничества, а то, что у компаний так много данных о нас и нашей жизни, что невольно задумываешься: что произойдёт, если из-за чьей-то халатности и благодаря чьей-то предприимчивости эти данные окажутся в открытом доступе.
ФБР направила запрос в компанию с требованием раскрыть тех, кто гуглил адрес дома пострадавшего.
Так ФБР узнали IP-адрес, с которого искали дом жертвы несколько раз. IP-адрес был связан с номером телефона, принадлежащим жителю штата, из которого гуглили адрес.
Путь смартфона тоже проследили, узнали кто использовал вышки связи рядом с домом жертвы и получили перс. данные от оператора владельца номера. Жертвой оказался свидетель по делу об изнасиловании, а поджигателем - знакомый насильника.
#НеКасперский видит тенденцию сотрудничества технологических компаний и спецслужб в раскрытии преступлений. Недавно был случай, когда Apple впервые дала доступ к содержимому телефона пользователя, так же по запросу ФБР. Тут интересен даже не этот факт сотрудничества, а то, что у компаний так много данных о нас и нашей жизни, что невольно задумываешься: что произойдёт, если из-за чьей-то халатности и благодаря чьей-то предприимчивости эти данные окажутся в открытом доступе.
⚡️⚡️⚡️
Павел Дуров сообщил, что Apple требует закрыть Telegram-каналы, где выкладываются перс. данные белорусских силовиков.
Павел Дуров сообщил, что Apple требует закрыть Telegram-каналы, где выкладываются перс. данные белорусских силовиков.
Сбербанк собирает биометрические данные детей
Отпечатки ладоней собраны уже у сотен тысяч детей. В России сбор биометрических данных у детей не предусмотрен законом.
Проект «Ладошки» для безналичной оплаты обедов в школе существует уже с 2015 года. В качестве биометрии тут: уникальный рисунок вен на ладони, который прикреплён к счету. Данные хранит дочка Сбера «Расчетные решение». Родителям школьников практически не дают альтернативного выбора, поэтому им приходится подписывать согласие на сбор биометрических данных детей.
#НеКасперский говорит что перс. данные детей активно собирают и другие компании. Например, «Ростелеком» вместе с партнером «Дневник.ру» запустили проект по мониторингу успеваемости. В каждом таком проекте нужно проводить проверку на избыточность собираемых данных и изначально выстраивать качественную систему защиты, чтобы избежать действий мошенников в отношении детей.
Отпечатки ладоней собраны уже у сотен тысяч детей. В России сбор биометрических данных у детей не предусмотрен законом.
Проект «Ладошки» для безналичной оплаты обедов в школе существует уже с 2015 года. В качестве биометрии тут: уникальный рисунок вен на ладони, который прикреплён к счету. Данные хранит дочка Сбера «Расчетные решение». Родителям школьников практически не дают альтернативного выбора, поэтому им приходится подписывать согласие на сбор биометрических данных детей.
#НеКасперский говорит что перс. данные детей активно собирают и другие компании. Например, «Ростелеком» вместе с партнером «Дневник.ру» запустили проект по мониторингу успеваемости. В каждом таком проекте нужно проводить проверку на избыточность собираемых данных и изначально выстраивать качественную систему защиты, чтобы избежать действий мошенников в отношении детей.
Пульт с прослушкой: история как из фильма про шпионов
Мы уже давно знаем, что камера у ноутбука может следить за нами. Но задумывался ли кто-то, что пульт от ТВ-приставки может быть подслушивающим устройством?
Атака WarezThe Remote позволила перехватить пульт и отслеживать разговоры на расстоянии 20 м.
Оказалось, что уязвимость была в протоколе RF4CE, отвечающем за шифрование связи.
От обычных пультов с инфракрасным портом этот отличается наличием радиочастот для связи с кабельными приставками и микрофоном для голосовых команд.
Зная об уязвимости, хакеры смогли отправить сообщение о доступе новой прошивки и установить своё вредоносное ПО.
#НеКасперский понимает, что чем больше развиваются технологии и чем больше у них функционал, тем чаще будут появляться возможности и у хакеров. К сожалению, ничего не бывает идеально и в новых продуктах многое ещё нужно совершенствовать. Нечему удивляться, если даже у более известных и опытных компаний в устройствах есть «дыры». Хотя, казалось бы...)
Мы уже давно знаем, что камера у ноутбука может следить за нами. Но задумывался ли кто-то, что пульт от ТВ-приставки может быть подслушивающим устройством?
Атака WarezThe Remote позволила перехватить пульт и отслеживать разговоры на расстоянии 20 м.
Оказалось, что уязвимость была в протоколе RF4CE, отвечающем за шифрование связи.
От обычных пультов с инфракрасным портом этот отличается наличием радиочастот для связи с кабельными приставками и микрофоном для голосовых команд.
Зная об уязвимости, хакеры смогли отправить сообщение о доступе новой прошивки и установить своё вредоносное ПО.
#НеКасперский понимает, что чем больше развиваются технологии и чем больше у них функционал, тем чаще будут появляться возможности и у хакеров. К сожалению, ничего не бывает идеально и в новых продуктах многое ещё нужно совершенствовать. Нечему удивляться, если даже у более известных и опытных компаний в устройствах есть «дыры». Хотя, казалось бы...)
Белорусские Telegram-каналы опубликовали обращение к Apple с просьбой не блокировать каналы с перс. данными силовиков.
Авторы предупреждают, что действия компании «создают опасный прецедент» по цензуре в мессенджере Павла Дурова.
Авторы предупреждают, что действия компании «создают опасный прецедент» по цензуре в мессенджере Павла Дурова.
Павел Дуров - гений PR
Apple сегодня заявила, что требовала удалять не телеграм-каналы, а только отдельную информацию нарушающую политику AppStore. Дуров, конечно, как всегда всё преподнёс в своей трактовке.
Apple сегодня заявила, что требовала удалять не телеграм-каналы, а только отдельную информацию нарушающую политику AppStore. Дуров, конечно, как всегда всё преподнёс в своей трактовке.
СБУ обратилась к Google и Apple с просьбой заблокировать российские приложения в Play Market и App Store.
#НеКасперский говорит, что это смешно читать
#НеКасперский говорит, что это смешно читать
Собянин собирает персональные данные москвичей
Властям Москвы нужны данные сотрудников, переведённых на удаленку. В них входят: номера телефонов, проездных и машин сотрудников.
В департаменте информационных технологий говорят, что данные нужны не для отслеживания местонахождении людей и их передвижений, а для «оценки изменения пассажиропотока» и эффективности мер работодателей по переводу людей на удаленку.
#НеКасперский говорит, что мэрия Москвы не обращает внимания на закон о перс. данных и получает от роскомнадзора неограниченные полномочия для своих действий. Очередное решение подтверждает намерения властей Москвы вводить систему цифровых пропусков в дальнейшем. Базу данных по цифровым пропускам удаляли, но интересно, были ли утечки?
Властям Москвы нужны данные сотрудников, переведённых на удаленку. В них входят: номера телефонов, проездных и машин сотрудников.
В департаменте информационных технологий говорят, что данные нужны не для отслеживания местонахождении людей и их передвижений, а для «оценки изменения пассажиропотока» и эффективности мер работодателей по переводу людей на удаленку.
#НеКасперский говорит, что мэрия Москвы не обращает внимания на закон о перс. данных и получает от роскомнадзора неограниченные полномочия для своих действий. Очередное решение подтверждает намерения властей Москвы вводить систему цифровых пропусков в дальнейшем. Базу данных по цифровым пропускам удаляли, но интересно, были ли утечки?
Перс. данные сотрудников нужно сливать каждый понедельник
На сайте мэрии Москвы появился сервис для отправки данных о сотрудниках на удалёнке. Компании должны «сливать» мэрии данные каждый понедельник, начиная с 12 октября.
Тем, кто не будет этого делать, грозят санкции: штрафы или приостановка деятельности.
#НеКасперский следит за утечками, Собянин - за вашими сотрудниками
На сайте мэрии Москвы появился сервис для отправки данных о сотрудниках на удалёнке. Компании должны «сливать» мэрии данные каждый понедельник, начиная с 12 октября.
Тем, кто не будет этого делать, грозят санкции: штрафы или приостановка деятельности.
#НеКасперский следит за утечками, Собянин - за вашими сотрудниками
Боты «Сбера» и «Тинькофф» не поняли друг друга
Они случайно встретились в телефонном разговоре. Разговор продлился около минуты. На автоматический звонок из «Сбера» ответил тот самый «Олег» из «Тинькофф», который уже известен другой историей: в разговоре с сотрудником «Альфа-банка» он начал его передразнивать.
Они случайно встретились в телефонном разговоре. Разговор продлился около минуты. На автоматический звонок из «Сбера» ответил тот самый «Олег» из «Тинькофф», который уже известен другой историей: в разговоре с сотрудником «Альфа-банка» он начал его передразнивать.
Майкрософт выплатила исследователям ИБ $374 000
Конкурс на поиск уязвимостей длился 3 месяца. Эксперты обнаружили 20 «дыр».
Microsoft пригласила ведущих экспертов по кибербезу. Они должны были взломать продукты системы. Им был предоставлен комплект разработчика, публично доступный код ядра OС и связь с командой по безопасности ОС.
McAfee, например, удалось получить root-доступ, объединив 6 ошибок. Также аналитики обнаружили уязвимость ядра Linux.
#НеКасперский считает, что такие конкурсы очень эффективны для поиска уязвимостей и меньше по затратам для компаний. Microsoft более щедры в отличии от Apple, которая команде из 5 человек, работавшей над поиском уязвимостей 3 месяца, выплатила $55 000. У Apple получилась какая-то насмешка над понятием bug bounty. Невольно задумываешься над взаимосвязью уязвимостей в устройствах Apple и количеством денег, которые компания готова тратить на кибербез.
Конкурс на поиск уязвимостей длился 3 месяца. Эксперты обнаружили 20 «дыр».
Microsoft пригласила ведущих экспертов по кибербезу. Они должны были взломать продукты системы. Им был предоставлен комплект разработчика, публично доступный код ядра OС и связь с командой по безопасности ОС.
McAfee, например, удалось получить root-доступ, объединив 6 ошибок. Также аналитики обнаружили уязвимость ядра Linux.
#НеКасперский считает, что такие конкурсы очень эффективны для поиска уязвимостей и меньше по затратам для компаний. Microsoft более щедры в отличии от Apple, которая команде из 5 человек, работавшей над поиском уязвимостей 3 месяца, выплатила $55 000. У Apple получилась какая-то насмешка над понятием bug bounty. Невольно задумываешься над взаимосвязью уязвимостей в устройствах Apple и количеством денег, которые компания готова тратить на кибербез.
«Сбер» скажет, когда вашу машину эвакуируют
Подписка на сервис бесплатная для всех, кто пользуется их приложением «Сбербанк онлайн». Push - уведомления владелец машины получит не во время эвакуации, а после, когда ее уже заберут на штрафстоянку.
Для подключения нужно в разделе «Платежи» найти «Проверка эвакуации» и ввести госномер. Также, можно будет в режиме онлайн оплатить перемещение на стоянку и узнать кратчайший путь до неё.
#НеКасперский говорит, что это хороший пример того, как делая вашу жизнь удобнее с помощью новых сервисов, можно получить новые данные о вас. Теперь это целая экосистема «Сбер», ориентированная на технологии, потенциальный конкурент «Яндекса». У «Яндекса», конечно, больше данных, но в скором времени «Сбер» может обогнать его.
Подписка на сервис бесплатная для всех, кто пользуется их приложением «Сбербанк онлайн». Push - уведомления владелец машины получит не во время эвакуации, а после, когда ее уже заберут на штрафстоянку.
Для подключения нужно в разделе «Платежи» найти «Проверка эвакуации» и ввести госномер. Также, можно будет в режиме онлайн оплатить перемещение на стоянку и узнать кратчайший путь до неё.
#НеКасперский говорит, что это хороший пример того, как делая вашу жизнь удобнее с помощью новых сервисов, можно получить новые данные о вас. Теперь это целая экосистема «Сбер», ориентированная на технологии, потенциальный конкурент «Яндекса». У «Яндекса», конечно, больше данных, но в скором времени «Сбер» может обогнать его.
Власти Китая раздадут криптовалюту населению
Раздача цифрового юаня населению будет в рамках тестирования криптовалюты Народного банка Китая. По 200 юаней получат 50 тыс. человек в Шэньчжэне.
10 млн юаней распределяются в формате лотереи. Для участия нужно предоставить данные об имени, ID-карте и номере телефона.
#НеКасперский считает, что это очень крутая новость. Во-первых, полученные таким способом деньги нельзя кому-то перевести или вывести. Во-вторых, деньги раздают бесплатно, а значит их будут тратить, так как халяву тратят все. Плюс ко всему, это государственная крипта, поэтому тут и контроль над платежами и эмиссия денег - важнейшие функции государства.
Раздача цифрового юаня населению будет в рамках тестирования криптовалюты Народного банка Китая. По 200 юаней получат 50 тыс. человек в Шэньчжэне.
10 млн юаней распределяются в формате лотереи. Для участия нужно предоставить данные об имени, ID-карте и номере телефона.
#НеКасперский считает, что это очень крутая новость. Во-первых, полученные таким способом деньги нельзя кому-то перевести или вывести. Во-вторых, деньги раздают бесплатно, а значит их будут тратить, так как халяву тратят все. Плюс ко всему, это государственная крипта, поэтому тут и контроль над платежами и эмиссия денег - важнейшие функции государства.
Google хотят разделить, заставив продать Chrome. Сейчас против компании ведётся антимонопольное расследование.
Сервис сбора данных о сотрудниках на удаленке у мэрии Москвы упал. По словам мэрии, это случилось из-за большого наплыва работодателей, которые решили отправить данные «в последний момент».