Cloudflare делает блокировки сайтов бессмысленными
Cloudflare активировал функцию Encrypted Client Hello (ECH) для всех пользователей бесплатных тарифов.
С ней провайдер не сможет отслеживать вашу активность, а блокировки станут бесполезными. Для работы ECH должен быть активен как у сайта, так и у пользователя.
Функцию уже поддерживают Chrome, Firefox и Edge.
@tg_security
Cloudflare активировал функцию Encrypted Client Hello (ECH) для всех пользователей бесплатных тарифов.
С ней провайдер не сможет отслеживать вашу активность, а блокировки станут бесполезными. Для работы ECH должен быть активен как у сайта, так и у пользователя.
Функцию уже поддерживают Chrome, Firefox и Edge.
@tg_security
🔥41❤4🤔2🤬1
ФСБ должна проверять всех вернувшихся в Россию айтишников
Член комитета по обороне В. Соболев в своём выступлении назвал уехавших айтишников предателями и предложил проверять вернувшихся с помощью ФСБ.
"Вот сейчас они вернутся, а не завербованы ли они, будут ли вредить своей стране по возвращении? Пусть, допустим, ФСБ разберётся - что, как и почему"
Пока неизвестно, последуют ли за словами реальные действия.
@tg_security
Член комитета по обороне В. Соболев в своём выступлении назвал уехавших айтишников предателями и предложил проверять вернувшихся с помощью ФСБ.
"Вот сейчас они вернутся, а не завербованы ли они, будут ли вредить своей стране по возвращении? Пусть, допустим, ФСБ разберётся - что, как и почему"
Пока неизвестно, последуют ли за словами реальные действия.
@tg_security
👍25🤬24😁10❤3👎3
Самое интересное за неделю из мира IT и безопасности:
• Microsoft не продлил лицензии компаниям в РФ;
• Замена «Тинькофф Бизнеса» появилась в App Store, но была удалена;
• РКН заблокирует все VPN-сервисы в 2024 году;
• ФСБ требует доступ к геолокации и банковским данным пользователей;
• В России тестируют систему социального рейтинга;
• VPN-провайдер подал в суд на РКН и, кажется, победил;
• В России и Белоруссии произошёл сбой техники Xiaomi;
• Прошла презентация Google;
• В Индии разрабатывают платформу для отслеживания транзакций на криптобиржах;
• Разработали правила использования «цифрового паспорта»;
• Cloudflare сделал блокировки сайтов бессмысленными благодаря ECH.
💬 А что запомнилось вам на этой неделе?
@tg_security
• Microsoft не продлил лицензии компаниям в РФ;
• Замена «Тинькофф Бизнеса» появилась в App Store, но была удалена;
• РКН заблокирует все VPN-сервисы в 2024 году;
• ФСБ требует доступ к геолокации и банковским данным пользователей;
• В России тестируют систему социального рейтинга;
• VPN-провайдер подал в суд на РКН и, кажется, победил;
• В России и Белоруссии произошёл сбой техники Xiaomi;
• Прошла презентация Google;
• В Индии разрабатывают платформу для отслеживания транзакций на криптобиржах;
• Разработали правила использования «цифрового паспорта»;
• Cloudflare сделал блокировки сайтов бессмысленными благодаря ECH.
💬 А что запомнилось вам на этой неделе?
@tg_security
👍7❤1
«Тинькофф» собирает биометрию клиентов
«Тинькофф» запросил согласие клиентов на перевод их фотографий в формат биометрии. Оповещение появилось в приложении банка в виде кратковременного сторис, но вариант выбора был только один - кнопка «разрешить». Полученные данные попадут в ЕБС.
Отозвать согласие можно письмом или через личное обращение в банк, в том числе через сервисы дистанционного обслуживания.
@tg_security
«Тинькофф» запросил согласие клиентов на перевод их фотографий в формат биометрии. Оповещение появилось в приложении банка в виде кратковременного сторис, но вариант выбора был только один - кнопка «разрешить». Полученные данные попадут в ЕБС.
Отозвать согласие можно письмом или через личное обращение в банк, в том числе через сервисы дистанционного обслуживания.
@tg_security
🤬21😱11👎3❤2👍2
Google введёт новые меры борьбы со спамом для Gmail
В Google сообщили, что отправителям, которые рассылают более 5000 сообщений в день, придётся разместить в письмах кнопку для быстрой отписки от рассылки. Также Gmail перестанет доставлять письма конкретных отправителей, если 0,3% от всех получателей пожалуются на их письма как на спам.
Изменения вступят в силу в феврале 2024.
@tg_security
В Google сообщили, что отправителям, которые рассылают более 5000 сообщений в день, придётся разместить в письмах кнопку для быстрой отписки от рассылки. Также Gmail перестанет доставлять письма конкретных отправителей, если 0,3% от всех получателей пожалуются на их письма как на спам.
Изменения вступят в силу в феврале 2024.
@tg_security
👍12❤3
Volvo отключил российским автовладельцем доступ к своим системам
Россиянам больше не доступны мобильное приложение Volvo on Call и дилерское специальное ПО. Дилеры теперь не могут смотреть историю техобслуживания и делать новые ключи. Проверить статус замков дверей, узнать местоположение машины, выяснить уровень топлива или запустить удалённый прогрев через приложение также теперь нельзя.
В качестве временного решения пользователи устанавливают себе старые версии приложения.
@tg_security
Россиянам больше не доступны мобильное приложение Volvo on Call и дилерское специальное ПО. Дилеры теперь не могут смотреть историю техобслуживания и делать новые ключи. Проверить статус замков дверей, узнать местоположение машины, выяснить уровень топлива или запустить удалённый прогрев через приложение также теперь нельзя.
В качестве временного решения пользователи устанавливают себе старые версии приложения.
@tg_security
🤬12❤10😱4👍1👎1
Некоторые Android-устройства продаются с предустановленным бэкдором
Ещё в январе обнаружили, что дешёвая приставка Android TV T95 изначально была заражена вредоносным ПО.
На днях также обнаружили семь приставок Android TV и один планшет с предустановленными бэкдорами. По предварительным данным, таких устройств может быть около 200. Они часто продаются под разными названиями, поэтому крайне сложно их обнаружить.
@tg_security
Ещё в январе обнаружили, что дешёвая приставка Android TV T95 изначально была заражена вредоносным ПО.
На днях также обнаружили семь приставок Android TV и один планшет с предустановленными бэкдорами. По предварительным данным, таких устройств может быть около 200. Они часто продаются под разными названиями, поэтому крайне сложно их обнаружить.
@tg_security
❤6😱5
Мошенники используют несовершенство политики GoDaddy* для собственной выгоды
Мошенники научились использовать правила доменного регистратора GoDaddy против него и теперь покупают домены за бесценок.
По правилам, если победитель аукциона не оплачивает домен после торгов, его ставка отменяется, а доменное имя достаётся тому, кто сделал вторую по величине ставку.
Теперь следите за руками. На торги выставляется домен за $1000, тут же один из мошенников ставит $10, а другой - $10000. Никто больше в торгах не участвует из-за слишком высокой последней ставки. Затем победитель отказывается платить, и домен уходит к человеку за $10.
Пока GoDaddy не предпринимает никаких мер против мошенников, хотя на других сайтах требуют привязывать карты или платить штраф при отказе от выкупа.
💬 Мошенничество или находчивость?
* Крупнейший в мире доменный регистратор.
@tg_security
Мошенники научились использовать правила доменного регистратора GoDaddy против него и теперь покупают домены за бесценок.
По правилам, если победитель аукциона не оплачивает домен после торгов, его ставка отменяется, а доменное имя достаётся тому, кто сделал вторую по величине ставку.
Теперь следите за руками. На торги выставляется домен за $1000, тут же один из мошенников ставит $10, а другой - $10000. Никто больше в торгах не участвует из-за слишком высокой последней ставки. Затем победитель отказывается платить, и домен уходит к человеку за $10.
Пока GoDaddy не предпринимает никаких мер против мошенников, хотя на других сайтах требуют привязывать карты или платить штраф при отказе от выкупа.
💬 Мошенничество или находчивость?
* Крупнейший в мире доменный регистратор.
@tg_security
😱11❤4👍2👏1
Власти обяжут бизнес внедрять ИИ ради субсидий
Внедрение ИИ станет одним из условий получения господдержки для среднего и крупного бизнеса. Власти обещают, что в будущем это поможет компаниям сэкономить.
С 2024 года этот подход протестируют на компаниях с выручкой от 800 млн рублей в с/х, транспорте, промышленности и здравоохранении.
Как вам инициатива?
@tg_security
Внедрение ИИ станет одним из условий получения господдержки для среднего и крупного бизнеса. Власти обещают, что в будущем это поможет компаниям сэкономить.
С 2024 года этот подход протестируют на компаниях с выручкой от 800 млн рублей в с/х, транспорте, промышленности и здравоохранении.
Как вам инициатива?
@tg_security
👎23❤3
Оплату с помощью биометрии начнут тестировать в следующем месяце
Ряд российских банков на форуме Finopolis представит новую технологию оплаты — с помощью биометрических данных.
При оплате онлайн будет использоваться камера смартфона, при оплате оффлайн — камеры на кассе.
Фактически речь идет об однофакторной аутентификации без какого-либо дополнительного подтверждения транзакции.
В Центробанке заявили, что подготовка идёт совместно с НСП (Национальная система платежных карт) и ЦБТ (Центр биометрических технологий). Источники утверждают, что базой для технологии будет СБП (Система быстрых платежей).
@tg_security
Ряд российских банков на форуме Finopolis представит новую технологию оплаты — с помощью биометрических данных.
При оплате онлайн будет использоваться камера смартфона, при оплате оффлайн — камеры на кассе.
Фактически речь идет об однофакторной аутентификации без какого-либо дополнительного подтверждения транзакции.
В Центробанке заявили, что подготовка идёт совместно с НСП (Национальная система платежных карт) и ЦБТ (Центр биометрических технологий). Источники утверждают, что базой для технологии будет СБП (Система быстрых платежей).
@tg_security
👎37👍2😢1
Очередной шаг по созданию суверенного Рунета убьёт маленькие хостинг-провайдеры в РФ — изменения вступают в силу уже в декабре
В. Путин подписал закон, который регулирует провайдеров хостинга. В соответствии с ним все хостеры обязуются:
• размещать всю инфраструктуру в России
• предоставлять ФСБ и РКН полный доступ
• устанавливать ТСПУ РКН (тех. средства противодействия угрозам)
• проводить идентификацию клиентов
• использовать только DNS-серверы НСДИ (нац. системы доменных имён)
• подключаться к ГосСОПКА (гос. системе обнаружения, предупреждения и ликвидации последствий компьютерных атак)
Минцифры потребовало реализовать данные меры уже 1 декабря 2023, и они — лишь часть активности, направленной на создание суверенного Рунета.
Эксперты предсказывают разрушительные последствия. Маленькие компании уйдут с рынка, так как не смогут соблюдать новые условия. А большие компании поднимут цены для клиентов из-за возросших расходов.
@tg_security
В. Путин подписал закон, который регулирует провайдеров хостинга. В соответствии с ним все хостеры обязуются:
• размещать всю инфраструктуру в России
• предоставлять ФСБ и РКН полный доступ
• устанавливать ТСПУ РКН (тех. средства противодействия угрозам)
• проводить идентификацию клиентов
• использовать только DNS-серверы НСДИ (нац. системы доменных имён)
• подключаться к ГосСОПКА (гос. системе обнаружения, предупреждения и ликвидации последствий компьютерных атак)
Минцифры потребовало реализовать данные меры уже 1 декабря 2023, и они — лишь часть активности, направленной на создание суверенного Рунета.
Эксперты предсказывают разрушительные последствия. Маленькие компании уйдут с рынка, так как не смогут соблюдать новые условия. А большие компании поднимут цены для клиентов из-за возросших расходов.
@tg_security
😱23🤬14👎8👍3❤2😁2
Артемий Лебедев занял пост директора по дизайну «ВКонтакте»
Пресс-служба сообщает, что он будет
• разрабатывать общее видение
• управлять дизайном
• формировать принципы и подходы над пользовательскими интерфейсами
Назначение вызвало бурное обсуждение в сети.
Напомним, что генеральным директором VK с декабря 2021 является Владимир Кириенко.
@tg_security
Пресс-служба сообщает, что он будет
• разрабатывать общее видение
• управлять дизайном
• формировать принципы и подходы над пользовательскими интерфейсами
Назначение вызвало бурное обсуждение в сети.
Напомним, что генеральным директором VK с декабря 2021 является Владимир Кириенко.
@tg_security
👎30😁8🤬7🔥5❤1👍1
Верховный суд постановил, что отказ разблокировать свой телефон не может являться доказательством виновности
Житель Волгограда Р. Касенков был осужден по статье о покушении на сбыт наркотиков. В качестве одного из доказательств вины местный суд принял то, что обвиняемый отказался разблокировать свои мобильные телефоны. Предполагалось, что отказ был мотивирован желанием обвиняемого скрыть доказательства преступления.
Однако Верхновый суд постановил, что право не показывать содержание своего мобильного телефона защищено презумпцией невиновности, а также конституционным правом на защиту прав и свобод.
Приговор волгоградцу был смягчён — вместо 10 лет колонии строгого режима он получил 3 года и три месяца колонии общего режима.
@tg_security
Житель Волгограда Р. Касенков был осужден по статье о покушении на сбыт наркотиков. В качестве одного из доказательств вины местный суд принял то, что обвиняемый отказался разблокировать свои мобильные телефоны. Предполагалось, что отказ был мотивирован желанием обвиняемого скрыть доказательства преступления.
Однако Верхновый суд постановил, что право не показывать содержание своего мобильного телефона защищено презумпцией невиновности, а также конституционным правом на защиту прав и свобод.
Приговор волгоградцу был смягчён — вместо 10 лет колонии строгого режима он получил 3 года и три месяца колонии общего режима.
@tg_security
🔥31👍12😱1
Россия закупает оборудование для блокировок по протоколу
Стало известно, что в России началась закупка техники для создания "суверенного Рунета". Это сделает возможными блокировки по протоколу и полностью перекроет доступ к таким ресурсам, как YouTube, WhatsApp, Telegram и т.д.
Почти всё оборудование – импортное, а на закупки уходят суммы, равные годовым бюджетам маленьких городов типа Пскова.
@tg_security
Стало известно, что в России началась закупка техники для создания "суверенного Рунета". Это сделает возможными блокировки по протоколу и полностью перекроет доступ к таким ресурсам, как YouTube, WhatsApp, Telegram и т.д.
Почти всё оборудование – импортное, а на закупки уходят суммы, равные годовым бюджетам маленьких городов типа Пскова.
@tg_security
🤬49😁8👍2❤1😱1
В Китае программиста оштрафовали за использование VPN
Китайскому программисту Ма выписали штраф в размере 1,058 млн юаней (больше 14 млн рублей) за использование VPN и сотрудничество с иностранной компанией. Это один из самых крупных индивидуальных штрафов в Китае за обход цензуры.
В китайской соцсети Zhihu произошедшее осудили и заметили, что если так пойдёт дальше, всей IT-сфере в Китае будет нанесён ущерб. Затем комментарии удалили.
@tg_security
Китайскому программисту Ма выписали штраф в размере 1,058 млн юаней (больше 14 млн рублей) за использование VPN и сотрудничество с иностранной компанией. Это один из самых крупных индивидуальных штрафов в Китае за обход цензуры.
В китайской соцсети Zhihu произошедшее осудили и заметили, что если так пойдёт дальше, всей IT-сфере в Китае будет нанесён ущерб. Затем комментарии удалили.
@tg_security
👎31❤2😁1
Forwarded from IT юрист
Свободные лицензии
В универе у нас был отличный курс про лицензиям на программное обеспечение. Вёл его бывший программист, который переквалифицировался в юриста. Одним из домашних заданий было спарсить с гитхаба лицензии на определённый софт и проверить их совместимость. Спарсить эти лицензии удалось не только лишь всем, мы же всё таки юристы, а не программисты. Тем не менее, предмет отложился в памяти и пригодился в работе. Сегодня я хочу рассказать о свободных лицензиях, копилефте (copyleft) и как всё это используется в программном обеспечении.
Общепринято считать код объектом авторского права. И у него есть свой правообладатель. Чаще всего это разработчик или его работодатель. Использовать чужой код без лицензионного соглашения с правообладателем по умолчанию запрещено практически во всех юрисдикциях. Однако, многие авторы хотят чтобы их программы распространялись и использовались свободно и без ограничений во имя прогресса и всеобщего процветания.
Для этих целей и были разработаны "свободные" или "открытые" лицензии (free or open licenses). Они представляют собой лицензионные соглашения, текст которых обычно хранится вместе с исходным кодом в репозиториях на сервисах для хостинга (таких как гитхаб).
Чтобы лицензия считалась “свободной” она должна позволять:
1️⃣ запускать программу в любых целях;
2️⃣ изучать работу программы и адаптировать её к своим нуждам (условие - доступ к исходному коду);
3️⃣ создавать и распространять копии программы;
4️⃣ улучшать программу и публиковать улучшения.
Вышеуказанные права обычно предоставляются любому человеку. Такие лицензии как правило бессрочные, всемирные, неисключительные и безотзывные. При этом большинство свободных лицензий и законодательств стран требует в том или ином виде указывать авторство создателей софта.
Среди свободных лицензий выделяют:
🟢 пермиссивные (BSD, MIT, Apache);
🟢 копилефтные строгие (GNU GPL);
🟢 копилефтные слабые (LGPL, MPL);
🟢 лицензии на передачу кода в общественное достояние (the Unlicense).
Об этих лицензиях я расскажу подробнее в других постах.
IT-юрист в эмиграции
В универе у нас был отличный курс про лицензиям на программное обеспечение. Вёл его бывший программист, который переквалифицировался в юриста. Одним из домашних заданий было спарсить с гитхаба лицензии на определённый софт и проверить их совместимость. Спарсить эти лицензии удалось не только лишь всем, мы же всё таки юристы, а не программисты. Тем не менее, предмет отложился в памяти и пригодился в работе. Сегодня я хочу рассказать о свободных лицензиях, копилефте (copyleft) и как всё это используется в программном обеспечении.
Общепринято считать код объектом авторского права. И у него есть свой правообладатель. Чаще всего это разработчик или его работодатель. Использовать чужой код без лицензионного соглашения с правообладателем по умолчанию запрещено практически во всех юрисдикциях. Однако, многие авторы хотят чтобы их программы распространялись и использовались свободно и без ограничений во имя прогресса и всеобщего процветания.
Для этих целей и были разработаны "свободные" или "открытые" лицензии (free or open licenses). Они представляют собой лицензионные соглашения, текст которых обычно хранится вместе с исходным кодом в репозиториях на сервисах для хостинга (таких как гитхаб).
Чтобы лицензия считалась “свободной” она должна позволять:
1️⃣ запускать программу в любых целях;
2️⃣ изучать работу программы и адаптировать её к своим нуждам (условие - доступ к исходному коду);
3️⃣ создавать и распространять копии программы;
4️⃣ улучшать программу и публиковать улучшения.
Вышеуказанные права обычно предоставляются любому человеку. Такие лицензии как правило бессрочные, всемирные, неисключительные и безотзывные. При этом большинство свободных лицензий и законодательств стран требует в том или ином виде указывать авторство создателей софта.
Среди свободных лицензий выделяют:
Об этих лицензиях я расскажу подробнее в других постах.
IT-юрист в эмиграции
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤1👎1
В Google появился беспарольной доступ к аккаунту
Google по умолчанию ввела «Passkey» - технологию авторизации без пароля. Механизм использует криптографию с открытым ключом для аутентификации доступа пользователей к веб-сайтам и приложениям.
Каждый «Passkey» уникален и привязан к имени пользователя и конкретному аккаунту, так что теперь можно не запоминать пароли.
@tg_security
Google по умолчанию ввела «Passkey» - технологию авторизации без пароля. Механизм использует криптографию с открытым ключом для аутентификации доступа пользователей к веб-сайтам и приложениям.
Каждый «Passkey» уникален и привязан к имени пользователя и конкретному аккаунту, так что теперь можно не запоминать пароли.
@tg_security
👍8🤔4❤1
Усилитель Wi-Fi сигнала D-Link уязвим перед DoS-атаками
Исследователи RedTeam выяснили, что уязвимость в усилителе Wi-Fi сигнала D-Link DAP-X1860 позволяет осуществлять DoS-атаки (отказ в обслуживании) и удаленное внедрение команд.
Компания ничего не ответила на сообщения о проблеме. Если у вас установлена эта модель, то стоит сократить количество сканирований сети, проверять причины внезапного отключения и выключать усилитель, если он не используется.
@tg_security
Исследователи RedTeam выяснили, что уязвимость в усилителе Wi-Fi сигнала D-Link DAP-X1860 позволяет осуществлять DoS-атаки (отказ в обслуживании) и удаленное внедрение команд.
Компания ничего не ответила на сообщения о проблеме. Если у вас установлена эта модель, то стоит сократить количество сканирований сети, проверять причины внезапного отключения и выключать усилитель, если он не используется.
@tg_security
❤5👍2😱1
Хакеры продают «миллионы» генетических пофилей из 23andMe
Профили клиентов 23andMe оказались в руках хакеров. Из-за специализации сервиса (анализ слюны на установление родословной, болезней и т.д.) в руках злоумышленников оказались очень ценные данные: адреса, почты, фотографии, родословные ДНК и др.
Компания взлом не подтвердила. Возможно, сейчас ведутся переговоры с хакерами.
@tg_security
Профили клиентов 23andMe оказались в руках хакеров. Из-за специализации сервиса (анализ слюны на установление родословной, болезней и т.д.) в руках злоумышленников оказались очень ценные данные: адреса, почты, фотографии, родословные ДНК и др.
Компания взлом не подтвердила. Возможно, сейчас ведутся переговоры с хакерами.
@tg_security
❤4👍1
Госдума поддержала самозапрет на выдачу потребкредитов
Новый законопроект в случае принятия позволит россиянам устанавливать «запрет на заключение с ними договоров потребительского кредита (займа)». Настроить самозапрет можно будет на Госуслугах. Этот закон поможет противостоять мошенникам.
Госдума уже поддержала законопроект в первом чтении. Если законопроект примут, он вступит в силу с 1 июля 2024 года.
@tg_security
Новый законопроект в случае принятия позволит россиянам устанавливать «запрет на заключение с ними договоров потребительского кредита (займа)». Настроить самозапрет можно будет на Госуслугах. Этот закон поможет противостоять мошенникам.
Госдума уже поддержала законопроект в первом чтении. Если законопроект примут, он вступит в силу с 1 июля 2024 года.
@tg_security
👍37😁2
iPhone на iOS 17 массово отключаются по ночам
После обновления iOS 17 пользователи iPhone обнаруживают, что по утрам девайс не узнает лицо и сразу же просит ввести пароль, не требуя Face ID. Выяснилось, что это происходит из-за ночного выключения телефонов. Лю этом свидетельствует график аккумулятора. Причина пока неизвестна.
Может, кто-то желает смартфонам спокойной ночи, а они воспринимают это слишком буквально?..
@tg_security
После обновления iOS 17 пользователи iPhone обнаруживают, что по утрам девайс не узнает лицо и сразу же просит ввести пароль, не требуя Face ID. Выяснилось, что это происходит из-за ночного выключения телефонов. Лю этом свидетельствует график аккумулятора. Причина пока неизвестна.
Может, кто-то желает смартфонам спокойной ночи, а они воспринимают это слишком буквально?..
@tg_security
👍10😁4❤1👏1