Twitter создал новую должность для соответствия правилам пользования интернетом в Индии.
В последнее время Twitter старается сгладить конфликт с властями Индии и вернуть себе защиту от ответственности за публикуемый пользователями контент. Twitter намерена создать рабочие места для местных жителей, будет создана должность «сотрудника по рассмотрению жалоб». В их задачи будет входить контроль за соблюдением индийского законодательства и взаимодействие с правоохранительными органами.
До этого суд Индии обвинил Twitter в нарушении «Закона об информационных технологиях» и несоблюдении действующих правил регулирования. В результате социальная сеть лишилась защиты от ответственности за контент, который пользователи публикуют на платформе. Это делает Twitter уязвимым с юридической точки зрения, так как ответственность за контент пользователей будет нести сама компания.
В последнее время Twitter старается сгладить конфликт с властями Индии и вернуть себе защиту от ответственности за публикуемый пользователями контент. Twitter намерена создать рабочие места для местных жителей, будет создана должность «сотрудника по рассмотрению жалоб». В их задачи будет входить контроль за соблюдением индийского законодательства и взаимодействие с правоохранительными органами.
До этого суд Индии обвинил Twitter в нарушении «Закона об информационных технологиях» и несоблюдении действующих правил регулирования. В результате социальная сеть лишилась защиты от ответственности за контент, который пользователи публикуют на платформе. Это делает Twitter уязвимым с юридической точки зрения, так как ответственность за контент пользователей будет нести сама компания.
Уязвимость в сетевых библиотеках языков Rust и Go, позволяющая обойти проверку IP-адресов
Уязвимости связаны с некорректной обработкой IP-адресов с восьмеричными цифрами в функциях разбора адреса. Они позволяют обойти проверки допустимых адресов в приложениях, например, для организации обращения к адресам loopback-интерфейса (127.x.x.x) или интранет-подсетям при совершении атак SSRF (Server-side request forgery). Уязвимости продолжают цикл проблем, ранее выявленных в библиотеках node-netmask.
В Rust проблеме подвержена стандартная библиотека "std::net" (CVE-2021-29922), а в языке Go проблеме подвержена стандартная библиотека "net" (CVE-2021-29923). Проблема в том числе проявляется в платформе Kubernetes. Уязвимость устранена в ветке Rust 1.53.0, в выпуске Go 1.16.3 и бета-версии 1.17.
Уязвимости связаны с некорректной обработкой IP-адресов с восьмеричными цифрами в функциях разбора адреса. Они позволяют обойти проверки допустимых адресов в приложениях, например, для организации обращения к адресам loopback-интерфейса (127.x.x.x) или интранет-подсетям при совершении атак SSRF (Server-side request forgery). Уязвимости продолжают цикл проблем, ранее выявленных в библиотеках node-netmask.
В Rust проблеме подвержена стандартная библиотека "std::net" (CVE-2021-29922), а в языке Go проблеме подвержена стандартная библиотека "net" (CVE-2021-29923). Проблема в том числе проявляется в платформе Kubernetes. Уязвимость устранена в ветке Rust 1.53.0, в выпуске Go 1.16.3 и бета-версии 1.17.
Чешские исследователи обучили дроны обнаруживать аномальное поведение в толпе.
Учёные совместно с полицией Чешской Республики разработали систему на базе ИИ, которая без труда может отличить аномальное поведение людей в толпе. Это даёт возможность срочного реагирования со стороны полиции, когда промедление недопустимо.
Первоначальные испытания проходили на футбольном поле, ИИ наблюдало за футболистами, далее всех попросили лечь на землю, система сразу оповестила оператора о возможной аномалии. Оператор может увеличивать или уменьшать чувствительность к нестандартному поведению людей. На данный момент полиция уже приступила к испытанию данной технологии.
Учёные совместно с полицией Чешской Республики разработали систему на базе ИИ, которая без труда может отличить аномальное поведение людей в толпе. Это даёт возможность срочного реагирования со стороны полиции, когда промедление недопустимо.
Первоначальные испытания проходили на футбольном поле, ИИ наблюдало за футболистами, далее всех попросили лечь на землю, система сразу оповестила оператора о возможной аномалии. Оператор может увеличивать или уменьшать чувствительность к нестандартному поведению людей. На данный момент полиция уже приступила к испытанию данной технологии.
Мошенники переехали из почты в мессенджеры, предупредила «Лаборатория Касперского»
Как сообщила лаборатория Касперского в последнее время злоумышленники всё чаще пользуются тем, что представляются представителями онлайн-магазинов. В основном злоумышленники используют мессенджеры, например WhatsApp.
Преступники рассылают сообщения на разных язык, требуя покрыть таможенные расходы или доплатить за доставку. Когда пользователь открывает файл в сообщении, на устройство устанавливается вредоносное ПО, которое ведёт на фишинговые сайты. Касперский рекомендует установить свежее антивирусное ПО, обеспечивающее комплексную защиту.
Как сообщила лаборатория Касперского в последнее время злоумышленники всё чаще пользуются тем, что представляются представителями онлайн-магазинов. В основном злоумышленники используют мессенджеры, например WhatsApp.
Преступники рассылают сообщения на разных язык, требуя покрыть таможенные расходы или доплатить за доставку. Когда пользователь открывает файл в сообщении, на устройство устанавливается вредоносное ПО, которое ведёт на фишинговые сайты. Касперский рекомендует установить свежее антивирусное ПО, обеспечивающее комплексную защиту.
Антипиратская фирма попросила Google заблокировать 127.0.0.1
Компания по борьбе с пиратством Vindex отправила запрос в Google с требованием удалить контент, размещенный на IP-адресе 127.0.0.1. Это было сделано по просьбе партнера Vindex - телеканала ТРК Украина, который обнаружил контент, нарушающий авторские права, на своем собственном сервере.
Полная ссылка с нарушением была обозначена, как «127.0.0.1:6878/ace/manifest.m3u». Вероятно, что сами локальные компьютеры фонда по борьбе с пиратством используются службой P2P Ace Stream, для трансляции пиратского контента.
Vindex пообещала пересмотреть своих ботов, формирующих запросы на удаление.
Компания по борьбе с пиратством Vindex отправила запрос в Google с требованием удалить контент, размещенный на IP-адресе 127.0.0.1. Это было сделано по просьбе партнера Vindex - телеканала ТРК Украина, который обнаружил контент, нарушающий авторские права, на своем собственном сервере.
Полная ссылка с нарушением была обозначена, как «127.0.0.1:6878/ace/manifest.m3u». Вероятно, что сами локальные компьютеры фонда по борьбе с пиратством используются службой P2P Ace Stream, для трансляции пиратского контента.
Vindex пообещала пересмотреть своих ботов, формирующих запросы на удаление.
Найдена уязвимость в домашних маршрутизаторах, охватывающая 17 производителей
В сети зафиксирована массовая атака на домашние маршрутизаторы, в прошивках которых используется реализация http-сервера от компании Arcadyan. Для получения управления над устройствами применяется сочетание двух уязвимостей, позволяющих удалённо выполнить произвольный код с правами root. Проблема затрагивает достаточно большой спектр ADSL-маршрутизаторов от компаний Arcadyan, ASUS и Buffalo, а также устройств, поставляемых под брендами Билайн, Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone и других операторов связи. Отмечается, что проблема присутствует в прошивках Arcadyan уже более 10 лет и за это время успела перекочевать как минимум в 20 моделей устройств от 17 различных производителей.
Первая уязвимость CVE-2021-20090 даёт возможность обратиться к любому скрипту web-интерфейса без прохождения аутентификации.
Вторая уязвимость CVE-2021-20091 позволяет аутентифицированному пользователю внести изменения в системные настройки устройства через отправку специально оформленных параметров скрипту apply_abstract.cgi, который не осуществляет проверку наличия символа перевода строки в параметрах.
Для эксплуатации уязвимостей у атакующего должна быть возможность отправки запроса на сетевой порт, на которым выполняется web-интерфейс. Судя по динамике распространения атаки многие операторы оставляют на своих устройствах доступ из внешней сети для упрощения диагностики проблем службой поддержки. При ограничении доступа к интерфейсу только для внутренней сети атака может быть совершена из внешней сети при помощи техники "DNS rebinding". Уязвимости уже активно используются для подключения маршрутизаторов к ботнету Mirai.
В сети зафиксирована массовая атака на домашние маршрутизаторы, в прошивках которых используется реализация http-сервера от компании Arcadyan. Для получения управления над устройствами применяется сочетание двух уязвимостей, позволяющих удалённо выполнить произвольный код с правами root. Проблема затрагивает достаточно большой спектр ADSL-маршрутизаторов от компаний Arcadyan, ASUS и Buffalo, а также устройств, поставляемых под брендами Билайн, Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone и других операторов связи. Отмечается, что проблема присутствует в прошивках Arcadyan уже более 10 лет и за это время успела перекочевать как минимум в 20 моделей устройств от 17 различных производителей.
Первая уязвимость CVE-2021-20090 даёт возможность обратиться к любому скрипту web-интерфейса без прохождения аутентификации.
Вторая уязвимость CVE-2021-20091 позволяет аутентифицированному пользователю внести изменения в системные настройки устройства через отправку специально оформленных параметров скрипту apply_abstract.cgi, который не осуществляет проверку наличия символа перевода строки в параметрах.
Для эксплуатации уязвимостей у атакующего должна быть возможность отправки запроса на сетевой порт, на которым выполняется web-интерфейс. Судя по динамике распространения атаки многие операторы оставляют на своих устройствах доступ из внешней сети для упрощения диагностики проблем службой поддержки. При ограничении доступа к интерфейсу только для внутренней сети атака может быть совершена из внешней сети при помощи техники "DNS rebinding". Уязвимости уже активно используются для подключения маршрутизаторов к ботнету Mirai.
Хакеры стали массово атаковать NAS-системы с помощью вируса-вымогателя.
Тайваньская компания Synology, которая занимается производством NAS, предупредила клиентов что злоумышленники атакуют NAS-системы. Атакованные NAS становятся частью ботнета и используются для дальнейших атак на устройства с Linux.
Заражённые устройства используются для подбора учётных данных администратора. Synology также уведомляет клиентов, которых потенциально может затрагивать хакерская кампания. Компания рекомендует клиентам использовать надёжные пароли и двухфакторную аутентификацию там, где это возможно.
Тайваньская компания Synology, которая занимается производством NAS, предупредила клиентов что злоумышленники атакуют NAS-системы. Атакованные NAS становятся частью ботнета и используются для дальнейших атак на устройства с Linux.
Заражённые устройства используются для подбора учётных данных администратора. Synology также уведомляет клиентов, которых потенциально может затрагивать хакерская кампания. Компания рекомендует клиентам использовать надёжные пароли и двухфакторную аутентификацию там, где это возможно.
Google добавила два новых ключа безопасности в свою линейку Titan.
Google Titan 2FA представляет собой простую в применении защиту для домашних пользователей. Благодаря этим ключам можно защищать свои учётные записи и другую информацию физическим доступом. Сегодня Google начала продажи двух новых моделей ключей с поддержкой NFS.
В варианте с USB-A, в комплекте будет переходник на USB-C. Этот ключ стоит $30, а версия с USB-C обойдётся в $35. Начинка ключей осталась прежней, это может означать наличие найденной в этом году уязвимости, она допускает клонирование ключа. Пользователям нет смысла волноваться, если они не потеряют ключ.
Google Titan 2FA представляет собой простую в применении защиту для домашних пользователей. Благодаря этим ключам можно защищать свои учётные записи и другую информацию физическим доступом. Сегодня Google начала продажи двух новых моделей ключей с поддержкой NFS.
В варианте с USB-A, в комплекте будет переходник на USB-C. Этот ключ стоит $30, а версия с USB-C обойдётся в $35. Начинка ключей осталась прежней, это может означать наличие найденной в этом году уязвимости, она допускает клонирование ключа. Пользователям нет смысла волноваться, если они не потеряют ключ.
Издательство «Эксмо-АСТ» подало иски к Telegram — всё дело в пиратском контенте.
Крупнейший российский книгоиздатель «Эксмо-АСТ» планирует заблокировать Telegram. Издатель требует вынудить мессенджер внедрить систему цифровых отпечатков, для борьбы с пиратским контентом. Иск от издателя поступил 20 июля 2021 года в Мосгорсуд, ответчиком проходит Telegram.
Убытки издателей из-за публикации пиратских книг в мессенджере составляет 55 миллиардов рублей за 2020 год. Администрация Telegram не реагирует на запросы от издателей. Система "цифровых отпечатков" позволит блокировать пиратский контент ещё на этапе загрузки, данную систему уже использует социальная сеть "ВКонтакте".
Крупнейший российский книгоиздатель «Эксмо-АСТ» планирует заблокировать Telegram. Издатель требует вынудить мессенджер внедрить систему цифровых отпечатков, для борьбы с пиратским контентом. Иск от издателя поступил 20 июля 2021 года в Мосгорсуд, ответчиком проходит Telegram.
Убытки издателей из-за публикации пиратских книг в мессенджере составляет 55 миллиардов рублей за 2020 год. Администрация Telegram не реагирует на запросы от издателей. Система "цифровых отпечатков" позволит блокировать пиратский контент ещё на этапе загрузки, данную систему уже использует социальная сеть "ВКонтакте".
OpenAI научила ИИ преобразовать команды на английском языке в программный код.
Компания OpenAI, представила новое решение на основе алгоритма Codex. ИИ способен интегрировать команды с английского языка на программный код. Данное решение позволяет ИИ строить несложные сайты и программное обеспечение.
Codex заметно упростит работу опытных программистов и будет помогать обучению начинающих. Codex может работать как помощник или заместитель программиста, ИИ может реализовать идеи максимально простым способом. Пока программисты не имеют общей или хотя бы доминирующей позиции в отношении вновь созданного инструмента.
Компания OpenAI, представила новое решение на основе алгоритма Codex. ИИ способен интегрировать команды с английского языка на программный код. Данное решение позволяет ИИ строить несложные сайты и программное обеспечение.
Codex заметно упростит работу опытных программистов и будет помогать обучению начинающих. Codex может работать как помощник или заместитель программиста, ИИ может реализовать идеи максимально простым способом. Пока программисты не имеют общей или хотя бы доминирующей позиции в отношении вновь созданного инструмента.
Samsung представила первый в мире 5-нанометровый процессор для умных часов
Exynos W920 оснащён двумя ядрами Cortex-A55 и ускорителем Mali-G68. Благодаря этому новый чип работает на 20% быстрее, чем его предшественник. Новый проц также поддерживает 4G, систему GNSS, Bluetooth 5.0 и функцию Always-on-Display.
Exynos W920 получат Galaxy Watch 4 и Galaxy Watch 4 Classic, которые 11 августа представят на онлайн-мероприятии Samsung Unpacked.
Exynos W920 оснащён двумя ядрами Cortex-A55 и ускорителем Mali-G68. Благодаря этому новый чип работает на 20% быстрее, чем его предшественник. Новый проц также поддерживает 4G, систему GNSS, Bluetooth 5.0 и функцию Always-on-Display.
Exynos W920 получат Galaxy Watch 4 и Galaxy Watch 4 Classic, которые 11 августа представят на онлайн-мероприятии Samsung Unpacked.
Хакеры возвращают средства, украденные у Poly Network
Ранее хакеры взломали межсетевой протокол Poly Network и похитили $611 млн. Платформа сразу призвала майнеров внести в чёрный список токены адресов злоумышленников. Вероятно, теперь хакерам трудно отмыть и обналичить крипту, поэтому они решили просто вернуть украденные деньги. Злоумышленники уже вернули активы на $4,8 млн.
Ранее хакеры взломали межсетевой протокол Poly Network и похитили $611 млн. Платформа сразу призвала майнеров внести в чёрный список токены адресов злоумышленников. Вероятно, теперь хакерам трудно отмыть и обналичить крипту, поэтому они решили просто вернуть украденные деньги. Злоумышленники уже вернули активы на $4,8 млн.
Опубликован универсальный декриптор для зашифрованных REvil файлов компании Kaseya
На хакерских форумах опубликовали универсальный ключ для дешифрования данных, который был в распоряжении компании Kaseya, чьи клиенты недавно пострадали от атак шифровальщика REvil.
Напомним, что ранее группировка REvil атаковала поставщика MSP-решений Kaseya и потребовала $70 млн за универсальный инструмент, который бы восстановил все зашифрованные файлы.
Затем REvil внезапно исчезла, а её сайты и вся инфраструктура ушли в оффлайн без объяснения причин. 22 июля Kaseya получила универсальный декриптор от загадочной «третьей стороны». Для того чтобы его получить, компании обязаны были сначала подписать соглашение о неразглашении.
А 10 августа на одном из хакерских форумов был опубликован скриншот, на котором якобы изображен универсальный ключ для восстановления зашифрованных REvil файлов.
ИБ-эксперты подтвердили, что с помощью этого ключа им удалось расшифровать файлы Kaseya. Многочисленные источники в сфере ИБ считают, что ключ, скорее всего, опубликовал кто-то, кто связан с операторами REvil, а не одна из жертв.
На хакерских форумах опубликовали универсальный ключ для дешифрования данных, который был в распоряжении компании Kaseya, чьи клиенты недавно пострадали от атак шифровальщика REvil.
Напомним, что ранее группировка REvil атаковала поставщика MSP-решений Kaseya и потребовала $70 млн за универсальный инструмент, который бы восстановил все зашифрованные файлы.
Затем REvil внезапно исчезла, а её сайты и вся инфраструктура ушли в оффлайн без объяснения причин. 22 июля Kaseya получила универсальный декриптор от загадочной «третьей стороны». Для того чтобы его получить, компании обязаны были сначала подписать соглашение о неразглашении.
А 10 августа на одном из хакерских форумов был опубликован скриншот, на котором якобы изображен универсальный ключ для восстановления зашифрованных REvil файлов.
ИБ-эксперты подтвердили, что с помощью этого ключа им удалось расшифровать файлы Kaseya. Многочисленные источники в сфере ИБ считают, что ключ, скорее всего, опубликовал кто-то, кто связан с операторами REvil, а не одна из жертв.
TikTok стал самым популярным приложением за 2020 год
TikTok впервые обогнал по количеству загрузок все фейсбуковские приложения (Facebook, WhatsApp, Instagram и Facebook Messenger) и стал самым популярным приложением за 2020 год.
В России TikTok занимает четвертое место по популярности среди соцсетей после «ВКонтакте», YouTube и Instagram.
TikTok впервые обогнал по количеству загрузок все фейсбуковские приложения (Facebook, WhatsApp, Instagram и Facebook Messenger) и стал самым популярным приложением за 2020 год.
В России TikTok занимает четвертое место по популярности среди соцсетей после «ВКонтакте», YouTube и Instagram.
Microsoft выпустила патчи для 44 уязвимостей, из которых 3 являются 0-day
Компания микромягких исправила 44 уязвимости (51, если считать баги в Microsoft Edge). Семь из них классифицированы как критические, три относились к типу 0-day. Одна уязвимость уже находилась под атаками.
Первая из уязвимостей нулевого дня позволяет злоумышленнику получить привилегии уровня System, просто подключившись к удаленному серверу печати, находящемуся под их контролем.
Вторая 0-day уязвимость — PetitPotam — использует API MS-EFSRPC, чтобы принудительного заставить удаленные Windows-серверы аутентифицировать злоумышленника и поделиться с ним данными аутентификации NTLM или сертификатами аутентификации.
Еще одна уязвимость нулевого дня, которую уже эксплуатируют хакеры, это CVE-2021-36948. Проблема представляет собой локальное повышение привилегий в службе Windows Update Medic.
Нельзя оставить без внимания и критический баг с рейтингом 9,9 балла по шкале CVSS —уязвимость связана с Windows TCP/IP и приводит к удаленному выполнению кода (CVE-2021-26424).
Патчи в этом месяце получили: .NET Core и Visual Studio, ASP.NET Core и Visual Studio, Azure, Windows Update, компоненты Windows Print Spooler, Windows Media, Windows Defender, Remote Desktop Client, Microsoft Dynamics, Microsoft Edge, Microsoft Office, Microsoft Office Word, Microsoft Office SharePoint и так далее.
Компания микромягких исправила 44 уязвимости (51, если считать баги в Microsoft Edge). Семь из них классифицированы как критические, три относились к типу 0-day. Одна уязвимость уже находилась под атаками.
Первая из уязвимостей нулевого дня позволяет злоумышленнику получить привилегии уровня System, просто подключившись к удаленному серверу печати, находящемуся под их контролем.
Вторая 0-day уязвимость — PetitPotam — использует API MS-EFSRPC, чтобы принудительного заставить удаленные Windows-серверы аутентифицировать злоумышленника и поделиться с ним данными аутентификации NTLM или сертификатами аутентификации.
Еще одна уязвимость нулевого дня, которую уже эксплуатируют хакеры, это CVE-2021-36948. Проблема представляет собой локальное повышение привилегий в службе Windows Update Medic.
Нельзя оставить без внимания и критический баг с рейтингом 9,9 балла по шкале CVSS —уязвимость связана с Windows TCP/IP и приводит к удаленному выполнению кода (CVE-2021-26424).
Патчи в этом месяце получили: .NET Core и Visual Studio, ASP.NET Core и Visual Studio, Azure, Windows Update, компоненты Windows Print Spooler, Windows Media, Windows Defender, Remote Desktop Client, Microsoft Dynamics, Microsoft Edge, Microsoft Office, Microsoft Office Word, Microsoft Office SharePoint и так далее.
Хакер сообщил, что похитил криптовалюту на $610 млн «шутки ради».
Хакер который украл огромное количество криптовалюты у платформы Poly Network сообщил, что совершил злодеяние ради потехи.
«Когда я заметил уязвимость, у меня возникло смешанное чувство, — сообщил он в разделе Q&A, встроенном в описание транзакции, возвращённой им криптовалюты. — Спроси себя, что бы ты делал, если бы столкнулся с такой большой удачей. Вежливо попросить команду проекта, чтобы они могли это исправить? Любой может оказаться предателем, получив один миллиард!».
На сегодняшний день платформе уже возращена криптовалюта на сумму 342 миллиона долларов. Будет ли хакер возвращать оставшуюся часть криптовалюты на сумму 268 миллионов долларов, пока не известно.
Хакер который украл огромное количество криптовалюты у платформы Poly Network сообщил, что совершил злодеяние ради потехи.
«Когда я заметил уязвимость, у меня возникло смешанное чувство, — сообщил он в разделе Q&A, встроенном в описание транзакции, возвращённой им криптовалюты. — Спроси себя, что бы ты делал, если бы столкнулся с такой большой удачей. Вежливо попросить команду проекта, чтобы они могли это исправить? Любой может оказаться предателем, получив один миллиард!».
На сегодняшний день платформе уже возращена криптовалюта на сумму 342 миллиона долларов. Будет ли хакер возвращать оставшуюся часть криптовалюты на сумму 268 миллионов долларов, пока не известно.
GitHub отключает авторизацию в Git с помощью пароля
Теперь она возможна только по токену или с помощью SSH-ключей. Это делается для безопасности репозиториев.
Аутентификация по токенам позволяет генерировать входные данные отдельно для каждого устройства и сеанса. При этом подобрать токен перебором невозможно.
Теперь она возможна только по токену или с помощью SSH-ключей. Это делается для безопасности репозиториев.
Аутентификация по токенам позволяет генерировать входные данные отдельно для каждого устройства и сеанса. При этом подобрать токен перебором невозможно.
AMD SEV и Intel SGX оказались уязвимы. На этот раз патчи не помогут
Технологии AMD SEV и Intel SGX позволяют создавать защищённые и зашифрованные области в памяти с ограниченным доступом. В обоих случаях используются атаки на аппаратном уровне с манипуляцией напряжением.
Исследователи из Берлинского технического университета описали в своем исследовании метод атаки на AMD Platform Secure Processor (PSP), независимый чип, присутствующий во всех процессорах EPYC всех поколений. PSP отвечает за безопасность платформы.
Первичный загрузчик считывается из необновляемой ROM-области, после чего управление передаётся следующему загрузчику. Он проверяет и запускает внутреннюю ОС (PSP OS) и прошивку SEV, образы которых находятся уже в отдельной флеш-памяти на шине SPI. Атака, упрощённо говоря, сводится к инициированному сбою во время первичного общения PSP c ROM, что позволяет с некоторой долей вероятности заставить PSP посчитать ключ атакующего корректным и затем без проблем загрузить подписанные этим ключом и модифицированные по желанию атакующего образы из флеш-памяти на SPI. Указанный сбой можно вызвать, точно манипулируя напряжением питания PSP.
Основную опасность данный метод атаки представляет для облачных провайдеров и крупных корпоративных заказчиков — модификация сервера может быть произведена в цепочке поставок или сотрудником компании с нужными полномочиями. На подготовку тестовой системы на базе платы Supermicro H11DSU-iN и AMD EPYC 72F3 исследователям понадобилось менее четырёх часов. При этом атака ещё и очень дешёвая — никакого особого оборудования не нужно требуется, а из расходных материалов есть только микроконтроллер (примерно $30) и SPI-программатор (около $12).
AMD пока никак не прокомментировала ситуацию, а Intel сообщила, что данный метод находится вне фокуса защиты SGX, поскольку подразумевает модификацию «железа».
Технологии AMD SEV и Intel SGX позволяют создавать защищённые и зашифрованные области в памяти с ограниченным доступом. В обоих случаях используются атаки на аппаратном уровне с манипуляцией напряжением.
Исследователи из Берлинского технического университета описали в своем исследовании метод атаки на AMD Platform Secure Processor (PSP), независимый чип, присутствующий во всех процессорах EPYC всех поколений. PSP отвечает за безопасность платформы.
Первичный загрузчик считывается из необновляемой ROM-области, после чего управление передаётся следующему загрузчику. Он проверяет и запускает внутреннюю ОС (PSP OS) и прошивку SEV, образы которых находятся уже в отдельной флеш-памяти на шине SPI. Атака, упрощённо говоря, сводится к инициированному сбою во время первичного общения PSP c ROM, что позволяет с некоторой долей вероятности заставить PSP посчитать ключ атакующего корректным и затем без проблем загрузить подписанные этим ключом и модифицированные по желанию атакующего образы из флеш-памяти на SPI. Указанный сбой можно вызвать, точно манипулируя напряжением питания PSP.
Основную опасность данный метод атаки представляет для облачных провайдеров и крупных корпоративных заказчиков — модификация сервера может быть произведена в цепочке поставок или сотрудником компании с нужными полномочиями. На подготовку тестовой системы на базе платы Supermicro H11DSU-iN и AMD EPYC 72F3 исследователям понадобилось менее четырёх часов. При этом атака ещё и очень дешёвая — никакого особого оборудования не нужно требуется, а из расходных материалов есть только микроконтроллер (примерно $30) и SPI-программатор (около $12).
AMD пока никак не прокомментировала ситуацию, а Intel сообщила, что данный метод находится вне фокуса защиты SGX, поскольку подразумевает модификацию «железа».
Британский регулятор может вынудить Facebook продать Giphy.
Британское Управление по конкуренции и рынкам требует Facebook продать сервис анимированных изображений Giphy. Ведомство провело расследование и решило что действия компании могут отрицательно сказаться на рынке медийной рекламы.
Глава отдела независимых расследований заявил Стюарт Макинтош (Stuart McIntosh), глава отдела независимых расследований CMA, заявил «Поглощение Giphy может привести к тому, что Facebook удалит GIF-изображения с конкурирующих платформ или запросит больше пользовательских данных для доступа к ним. Это также устранит потенциальных конкурентов Facebook». Представители Facebook и Giphy комментариев пока не предоставили.
Британское Управление по конкуренции и рынкам требует Facebook продать сервис анимированных изображений Giphy. Ведомство провело расследование и решило что действия компании могут отрицательно сказаться на рынке медийной рекламы.
Глава отдела независимых расследований заявил Стюарт Макинтош (Stuart McIntosh), глава отдела независимых расследований CMA, заявил «Поглощение Giphy может привести к тому, что Facebook удалит GIF-изображения с конкурирующих платформ или запросит больше пользовательских данных для доступа к ним. Это также устранит потенциальных конкурентов Facebook». Представители Facebook и Giphy комментариев пока не предоставили.
Google заблокировала плагин, который собирал для продажи данные о местоположении пользователей Android.
Google запретила плагин от компании SafeGraph, компания продавала данные о местоположении для картографирования COVID-19 и других целей.
Данные которые собирала компания SafeGraph анонимны, но наборы данных о местоположении могут раскрывать подробности о людях. Власти США одобряют действия Google по борьбе с подобными сервисами. Власти США так же добавили, что Google необходимо разработать реальный план защиты конфиденциальности своих клиентов.
Google запретила плагин от компании SafeGraph, компания продавала данные о местоположении для картографирования COVID-19 и других целей.
Данные которые собирала компания SafeGraph анонимны, но наборы данных о местоположении могут раскрывать подробности о людях. Власти США одобряют действия Google по борьбе с подобными сервисами. Власти США так же добавили, что Google необходимо разработать реальный план защиты конфиденциальности своих клиентов.