правила устройства и безопасной
»информационная безопасность
Главной угрозой для общества стали компании, которые «защищают безопасность»
Автор оригинала: Эдвард СноуденПолучив новый телефон, я всегда его разбираю. Не из любопытства и не по политическим причинам, а просто для безопасности. Первый шаг — удаление двух или трёх крошечных микрофонов на плате. Это лишь начало сложного процесса. Но даже после нескольких дней работы с паяльником смартфон всё равно остаётся самым опасным предметом в моей квартире.
https://habrastorage.org/r/w1560/webt/5u/xt/eo/5uxteoophrf-fmmjue5jjcowi7g.png
Микрофоны на материнской плате смартфона перед удалением
Теперь все поняли, о чём речь.
Много лет публиковались репортажи, что компания NSO Group занимается взломом телефонов с целью получения прибыли, причастна к гибели и задержаниям журналистов и правозащитников. Что операционные системы смартфонов изобилуют катастрофическими дырами (а код написан на устаревших языках, давно уже признанных небезопасными). Много лет специалисты объясняют: даже когда всё работает как положено мобильная экосистема — это адская антиутопия, смесь слежки за пользователями и откровенного манипулирования. Однако до сих пор многие не видят зла в индустрии, которая кажется такой хорошей.
В последние восемь лет я словно убеждал единственного друга бросить курить и меньше пить, в то время как реклама кричит со всех щелей: «Девять из десяти врачей курят айфоны!», «Незащищённый мобильный сёрфинг освежает!»
Но я не теряю оптимизма, поэтому проект Pegasus кажется мне поворотной точкой. Это хорошо изученная, детальная и совершенно безумная история о «троянском коне» с крыльями (в греческой мифологии Пегас — крылатый конь, сын горгоны Медузы, ударом копыта о землю мог выбивать источники, — прим. пер.), который превращает телефон в вашем кармане в универсальный жучок. Его можно дистанционно включить или выключить без вашего ведома.
Вот как это описывает Washington Post: https://www.washingtonpost.com/technology/2021/07/19/apple-iphone-nso/
«Клод Манген — жена французского политического активиста, заключённого в тюрьму в Марокко. Месяц назад на её iPhone 11 с неизвестного аккаунта пришло сообщение iMessage, которое доставило вредоносное ПО на телефон. Софт установился без каких-либо предупреждений и нотификаций, минуя системы безопасности Apple.
Экспертиза не смогла раскрыть, что именно было скопировано и отправлено. Это могло быть что угодно: Pegasus имеет доступ к электронной почте, голосовой связи, сообщениям в социальных сетях, паролям, списку контактов, фотографиям, видео, звукозаписям и истории сёрфинга. Шпионская программа может активировать камеры или микрофоны для получения свежих изображений и записей. Может прослушивать звонки и голосовую почту. Вести логи геолокации и определять, где пользователь находится сейчас: стоит ли человек на месте, а если движется, то в каком направлении.
И всё это без малейшего участия человека. Пользователю не требуется прикасаться к телефону, он даже не знает, что получил таинственное сообщение от незнакомого человека — в случае Манген, некоего linakeller2203@gmail.com».
Короче говоря, телефон в вашей руке существует в состоянии вечной незащищённости. Он всегда открыт для заражения кем угодно, у кого достаточно денег. Весь бизнес этой «индустрии информационной безопасности» заключается в создании новых инфекций, которые обходят последние обновления безопасности. Эти инструменты затем продают странам, которые остро нуждаются в самых изощрённых средствах угнетения своего населения.
Подобная индустрия, единственной целью которой является производство уязвимостей, должна быть ликвидирована.
Даже если завтра NSO Group и всех представителей этой индустрии внезапно сотрёт с лица земли вулканом общественного возмущения, это не изменит того факта, что мы в разгаре величайшего кризиса компьютерной безопасности в истории. И разработчики Apple, Google, Microsoft, которые хотят продавать продукт, а не доводить его до совершества, и их полная противоположность — благонамеренные разработчики Linux, которые хотят доводить продукт до совершенства, а не продавать его — все они спокойно пишут код на небезопасных языках, потому что… ну, потому что так привыкли, а модернизация требует значительных усилий, не говоря уже о расходах. Подавляющее большинство уязвимостей, которые потом эксплуатируются индустрией небезопасности, появляются по техническим причинам, связанным с управлением памятью. Поэтому выбор более безопасного языка — критически важная мера защиты… но мало кто об этом думает.
https://habrastorage.org/r/w1560/webt/nw/ik/n9/nwikn936ti6fdeecybh4n3lyu08.png
По данным Google, 70% серьёзных ошибок в браузере Chrome связаны с безопасностью памяти. Их можно устранить, используя более безопасные языки
Если вы хотите изменений, их нужно стимулировать. Например, если хотите вызвать сердечный приступ у Microsoft — предложите идею юридической ответственности за плохой код в коммерческом продукте. Хотите лишить сна Facebook — расскажите об идее юридической ответственности за любые утечки личных данных, собранных без необходимости. Только представьте, как быстро Цукерберг начнёт нажимать клавишу Delete.
Где нет ответственности, нет и подотчётности… и это приводит нас к роли государства.
Спонсируемое государствами хакерство стало настолько обычным соревнованием, что на Олимпийских играх у него должна быть отдельная категория.
Продолжение: https://habr.com/ru/company/dcmiran/blog/576290/
Отличный комментарий!
Испания Европа Евросоюз авиация самолеты аэропорт безопасность сканер рентген 3D
В испанских аэропортах разрешат не вынимать ноутбуки из ручной клади и снимут ограничения на провоз жидкости в любых объёмах
Уже с 2024 года в аэропортах Испании при досмотре не нужно будет вынимать из сумок ноутбуки и прочую электронику, кроме того, ожидается, что пассажиры смогут провозить в ручной клади напитки, косметику и жидкости любого объёма. Это значительно ускорит процесс и облегчит жизнь пассажирам.
Однако речь не идёт об ослаблении бдительности. Напротив, на смену существующей придёт новая технология – сканеры с рентгеновской технологией EDSCB, генерирующие трёхмерное изображение.
Такое оборудование уже проходит испытания в лондонских аэропортах Хитроу, Гатвик и Станстед, а правительство Великобритании объявило, что изменит правила безопасности к 2024 году.
Управление транспортной безопасности США протестировало новые устройства в пятнадцати аэропортах, включая Лос-Анджелес, Окленд, Сан-Диего и Чикаго.
Европейская комиссия потребовала ослабить ограничения, введённые после терактов в "башнях-близнецах" в Нью-Йорке 11 сентября 2001 года.
Контроль за жидкостями был установлен в 2006 году после неудавшейся террористической атаки (взрывчатые вещества, спрятанные в банках для напитков), запланированной "Аль-Каида" в семи самолётах, вылетавших из Хитроу.
Международная ассоциация авиакомпаний IATA также поддерживает предложение о постепенном ослаблении ограничений.
Испанский транспортный оператор "Aena" объявит о проведении нескольких тендеров на приобретение данного оборудования. Оно может быть введено в эксплуатацию к концу 2023 года или в первой половине 2024 года. Новая технология сначала появится в аэропортах Мадрида и Барселоны, на которые приходится 40% пассажиропотока в Испании. В конце 2024 – начале 2025 года оборудование также должно появиться в Пальме-де-Майорка и Малаге, а затем и в остальных воздушных гаванях страны.
техника техника безопасности приколы для даунов со знанием электрики карательная электрика
"Советский светодиод сигнализирует о лёгкой перегрузке"
Проводка в здании ни к чёрту. Они до этого списывали периодические отключения линий на хуёвый автомат, даже поменять его успели. Как можно поменять автомат и не увидеть обугленный раскалённый пиздец в пяти сантиметрах от него - я хуй знает. Уже успел взьебать обслугу, раньше не видел.
безопасность превыше всего gif пупырчатая плёнка Совсем не gif и совсем не поездка выдумщики
Мужчина показал свою первую поездку, после того, как его дочь сдала на права.
политика армия вооруженные силы безопасность превыше всего ебанутым нет покоя
Армия под надёжной защитой: с 15 января военнослужащих Центрального военного округа заставляют обклеивать свои корыта стикерами «тебя ждут дома» и «пристегни ремень», а на спидометр обязали наклеить фотку близкого родственника..
Военнослужащих Центрального военного округа, для борьбы с превышением скорости, обязали поместить в свои машины фото близких и расклеить специальные наклейки. Соответствующая телеграмма пришла из штаба округа.
«С 15 января военнослужащие Центрального военного округа должны необычно затюнинговать салоны своих машин: расклеить наклейки, что их ждут дома, выделить ремни безопасности, а также поместить небольшую фотку родственника на спидометре, чтобы не превысить скорость. Все это, по мнению руководства, должно снизить количество аварий на дорогах», — пишет telegram-канал Baza.
утечка яндекс информационная безопасность информационная небезопасность
В сети появилась объединённая база данных на основе утечки с Яндекс.Еды
Теперь к адресам из Еды добавились данные из Авито, Wildberries, ВТБ, ГИБДД и других сервисов — есть номера машин, VIN и дата регистрации, номер паспорта и иногда дата выдачи, user-agent, ссылка на профиль VK, наличие счета ВТБ и еще другие данные в зависимости от попадания в базы. Для поиска по базе достаточно номера телефона или фамилии.
Ссылка на базу
Ден Купер Лопатка Купера самолеты безопасность
Лопатка Купера
Одно из немногих (или единственное?) устройств, названных в честь неизвестной личности.Наверняка многие знают эту историю, про одного из самых интересных "воздушных пиратов" в истории, для тех же кто не в курсе, расскажу вкратце:
24 ноября 1971 года Дэн Купер (псевдоним) захватил самолёт Boeing 727–51 авиакомпании «Northwest Orient Airlines», следовавший из Портленда в Сиэтл. Получив выкуп в 200 тысяч долларов, угонщик выпустил пассажиров, заставил пилотов взлететь и выпрыгнул с парашютом примерно в 50 километрах на северо–восток от Портленда.
Несмотря на продолжительное расследование, ФБР не удалось ни установить личность угонщика, ни выяснить его дальнейшую судьбу, и в июле 2016 года расследование было официально приостановлено. Случай с Дэном Купером остаётся единственным нераскрытым угоном самолёта в истории коммерческой авиации.
1972 году в США была зафиксирована 31 попытка угона самолёта (в 15 случаях угонщики предпринимали попытки выпрыгнуть из самолёта, как этот сделал Купер). Чтобы как–то перекрыть этот лайфхак FAA распорядилось оснастить все Боинги 727 Лопаткой Купера.
Это простая "защелка". На стоянке легкая пружинка держит ее в открытом положении (как на фото) и она не мешает открывать люк. А при полете, сильный поток воздуха давит на ее лопасть и поворачивает, тем самым закрывая люк.
Кто–нибудь постоянно удивляется — почему в самолетах нет парашютов, чтобы выпрыгнуть в случае аварии? Так вот, помимо прочих причин, одна из них в том, что все сделано для того, чтоб никто не выпрыгнул.
Отличный комментарий!
Казахстан mitm новости кибернебезопасность tengrinews.kz нур-султан политика сертификат безопасности правительства Казахстана
Казахстанцев попросили установить сертификат безопасности для доступа в Интернет.
"Нас попросили уполномоченные органы уведомлять абонентов Нур-Султана о необходимости установить сертификат безопасности", - рассказал руководитель службы по связям с общественностью "Tele2 Казахстан" Олжас Бибанов.
По его словам, просьба касается лишь жителей столицы.
На сайте операторов Kcell и Activ также появилось уведомление об установке сертификата безопасности.
"В связи с участившимися случаями хищения персональных и учетных данных, а также денежных средств с банковских счетов казахстанцев был внедрен сертификат безопасности, который станет эффективным инструментом защиты информационного пространства страны от хакеров, интернет-мошенников и иных видов киберугроз.
Внедрение сертификата безопасности поможет в области защиты информационных систем и данных, а также в выявлении хакерских кибератак интернет-мошенников на системы информационного пространства страны, частный, в том числе банковский сектор, до того, как они смогут нанести ущерб. (...)
В случае отсутствия сертификата безопасности на абонентских устройствах могут возникнуть технические ограничения с доступом к отдельным интернет-ресурсам", - говорится в заявлении на сайтах операторов.
Операторы подчеркивают, что установка сертификата безопасности должна быть выполнена с каждого устройства, с которого будет осуществляться выход в Интернет - мобильные телефоны и планшеты на базе iOS/Android, персональные компьютеры и ноутбуки на базе Windows/MacOS.
В случае отсутствия сертификата безопасности на абонентских устройствах могут возникнуть технические ограничения с доступом к отдельным интернет-ресурсам.
Абонентов Beeline также просят установить сертификат безопасности.
"Есть требование законодательства, когда все устройства, которые выходят в Интернет, должны быть обеспечены сертификатом безопасности. Этот сертификат разработан компетентными органами, который необходимо установить на все устройства, которые выходят в Интернет", - рассказал директор по корпоративным коммуникациям "Beeline Казахстан" Алексей Бендзь.
Ранее сообщалось, что проблемы с доступом к Интернету могут появиться у астанчан. Об этом заявили в Министерстве цифрового развития, инноваций и аэрокосмической промышленности.
Вице-министр цифрового развития, инноваций и аэрокосмической промышленности Аблайхан Оспанов объяснил, обязаны ли казахстанцы устанавливать на свои электронные устройства новый сертификат безопасности, передает Tengrinews.kz.
"Как я уже отметил, данная норма была введена в закон о связи еще в 2015 году. Сегодня операторы обязаны предоставлять такую возможность населению - загружать, устанавливать сертификат технической безопасности на свои устройства", - сказал Оспанов на пресс-конференции в правительстве.
По его словам, сертификаты безопасности позволят населению обеспечить безопасность своих персональных данных, которые хранятся у них, когда они подключаются к интернет-ресурсам.
"Есть хорошие плюсы. Он позволит вам не посещать фишинговые сайты. Вы знаете, что в рамках хакерских атак, когда вас направляют с одного сайта на другой сайт, где возможна утечка персональных данных. Это те же самые сведения о ваших платежных картах и всех транзакциях, которые вы проводите. Сегодня это добровольно. Вам предоставляют такую возможность, по желанию можете установить или не устанавливать", - заключил он.
Вице-министр отметил, что сейчас реализуется пилотный проект в Нур-Султане.
"Сегодня уже многие ресурсы используют защищенные сертификаты. Вместе с тем не все эти требования используют. Тем самым мы должны обезопасить наших граждан от таких незащищенных интернет-ресурсов, чтобы не произошла утечка данных с вашего устройства. По желанию вы можете установить и закачать от провайдера. (...) На сегодня мне сообщение еще не пришло. Как придет, я обязательно установлю себе и своим детям. Вы, наверное, видите, когда на некоторых сайтах всплывают баннеры. Как раз-таки при таком сертификате безопасности ребенок просто не сможет кликнуть и перейти на ресурс", - добавил Абылайхан Оспанов.
Напомним, казахстанцев попросили установить сертификат безопасности для доступа в Интернет. Мобильные операторы начали уведомлять абонентов об установке сертификата безопасности на все устройства, которые имеют доступ к Интернету.
Ранее сообщалось, что проблемы с доступом к Интернету могут появиться у астанчан из-за "технических работ, направленных на усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз".
Великобритания финансы банк безопасность ИИ AI нейросети технологии habr длиннопост Lloyds Bank Lloyds кибербезопасность
Клиент банка "Lloyds" из Великобритании получил доступ к своему банковскому счету с помощью голосового ИИ
Клиент банка "Lloyds Bank" из Великобритании обнаружил, что может получить доступ к своему банковскому счету с помощью голосового ИИ через идентификацию по "Voice ID".
Пользователь Джозеф Кокс выяснил, что голосовой идентификатор нельзя использовать в качестве безопасного способа для входа в свою банковскую учётную запись. Он смог обмануть систему с помощью бесплатной версии решения от "ElevenLabs" для генерации своего синтетического голоса на основе пяти минут цифровой записи своего настоящего голоса.
Он проводил эксперимент несколько раз, так как изначально система "Lloyd Bank" сообщала, что не может аутентифицировать его голос. После внесения некоторых изменений в настройках "ElevenLabs" для генерации голоса, таких как чтение более длинного текста, чтобы каденции звучали более естественно, его сгенерированный голос успешно обошёл систему безопасности банка.
В итоге Кокс позвонил на автоматическую линию обслуживания банка и начал активировать файлы с генерацией своего голоса. Банк принял его фразу «Проверить мой баланс» и после этого попросил сказать две фразы – назвать свою дату рождения и прочитать «мой голос – мой пароль».
Кокс набрал на клавиатуре нужный текст и запустил генерацию голоса. «Мой голос – мой пароль», — сказал ИИ его голосом. Система безопасности банка потратила несколько секунд на идентификацию этого голосового фрагмента. «Спасибо», — сказал банк, а Кокс попал внутрь своего аккаунта.
«Я не мог в это поверить – это сработало. Я использовал реплику своего голоса с помощью ИИ, чтобы взломать свой банковский счёт. После этого у меня был доступ к информации об учётной записи, включая баланс и список последних транзакций и переводов», — уточнил Кокс.
На веб-сайте "Lloyds Bank" сообщается, что опция "Voice ID" абсолютна безопасна. «Ваш голос подобен отпечатку пальца и уникален для вас», — утверждает банк. — "Voice ID" анализирует более 100 различных характеристик вашего голоса, которые, как и ваш отпечаток пальца, уникальны для вас. Например, как вы используете свой рот и голосовые связки, какой у вас акцент и как быстро вы говорите. Система также распознает вас, если у вас простуда или боль в горле», — уточнено на сайте банка в описании этой технологии.
Представитель "Lloyds Bank" заявил, что опция "Voice ID" обеспечивает высокий уровень защиты, чем традиционные методы аутентификации. По мнению банка, синтетические голоса не так привлекательны для мошенников, как другие методы для компрометации данных клиентов.
В "Lloyds Bank" в курсе об угрозе клиентам от синтетических голосов и там постоянно дорабатывают проверку голоса. В банке сообщили, что голосовая идентификация "Voice ID" уже привела к значительному снижению мошенничества с телефонным банкингом.
Профильные эксперты пояснили, что всем клиентам, использующим голосовую аутентификацию в банках, лучше переключиться на безопасный метод проверки личности, такой как многофакторная аутентификация, как можно скорее. Они опасаются, что репликация голосов в этом году будет одним из векторов атак на учётные записи пользователей в банках, так как злоумышленники в курсе информации о дне рождения жертвы, а получить запись голоса можно также разными способами.
Аналогичную голосовую идентификацию предлагают банки в США, например, "TD Bank" (опция "VoicePrint"), банк "Chase" (также "Voice ID") и "Wells Fargo" (функция "Voice Verification"), которые, согласно описанию, «эффективно защищают личность клиента».
Ранее исследователи с помощью нейросети "elevenlabs.io" и "ChatGPT" рассказали голосом Стива Джобса про "ChatGPT". Особенность "elevenlabs.io" заключается в том, что нейросети достаточного слушать оригинальный голос в течение всего нескольких секунд, чтобы потом воспроизвести его.
В начале января "Microsoft" объявила о создании инструмента "VALL-E" для имитации любого голоса. Этому ИИ достаточно трёхсекундного образца для генерации полноценного голоса человека. Услышав конкретный голос, "VALL-E" создаст аудиозапись того, как человек говорит что-то, причём постарается сохранить даже его эмоциональный тон.
Отличный комментарий!