собственная безопасность
»информационная безопасность
Главной угрозой для общества стали компании, которые «защищают безопасность»
Автор оригинала: Эдвард СноуденПолучив новый телефон, я всегда его разбираю. Не из любопытства и не по политическим причинам, а просто для безопасности. Первый шаг — удаление двух или трёх крошечных микрофонов на плате. Это лишь начало сложного процесса. Но даже после нескольких дней работы с паяльником смартфон всё равно остаётся самым опасным предметом в моей квартире.
https://habrastorage.org/r/w1560/webt/5u/xt/eo/5uxteoophrf-fmmjue5jjcowi7g.png
Микрофоны на материнской плате смартфона перед удалением
Теперь все поняли, о чём речь.
Много лет публиковались репортажи, что компания NSO Group занимается взломом телефонов с целью получения прибыли, причастна к гибели и задержаниям журналистов и правозащитников. Что операционные системы смартфонов изобилуют катастрофическими дырами (а код написан на устаревших языках, давно уже признанных небезопасными). Много лет специалисты объясняют: даже когда всё работает как положено мобильная экосистема — это адская антиутопия, смесь слежки за пользователями и откровенного манипулирования. Однако до сих пор многие не видят зла в индустрии, которая кажется такой хорошей.
В последние восемь лет я словно убеждал единственного друга бросить курить и меньше пить, в то время как реклама кричит со всех щелей: «Девять из десяти врачей курят айфоны!», «Незащищённый мобильный сёрфинг освежает!»
Но я не теряю оптимизма, поэтому проект Pegasus кажется мне поворотной точкой. Это хорошо изученная, детальная и совершенно безумная история о «троянском коне» с крыльями (в греческой мифологии Пегас — крылатый конь, сын горгоны Медузы, ударом копыта о землю мог выбивать источники, — прим. пер.), который превращает телефон в вашем кармане в универсальный жучок. Его можно дистанционно включить или выключить без вашего ведома.
Вот как это описывает Washington Post: https://www.washingtonpost.com/technology/2021/07/19/apple-iphone-nso/
«Клод Манген — жена французского политического активиста, заключённого в тюрьму в Марокко. Месяц назад на её iPhone 11 с неизвестного аккаунта пришло сообщение iMessage, которое доставило вредоносное ПО на телефон. Софт установился без каких-либо предупреждений и нотификаций, минуя системы безопасности Apple.
Экспертиза не смогла раскрыть, что именно было скопировано и отправлено. Это могло быть что угодно: Pegasus имеет доступ к электронной почте, голосовой связи, сообщениям в социальных сетях, паролям, списку контактов, фотографиям, видео, звукозаписям и истории сёрфинга. Шпионская программа может активировать камеры или микрофоны для получения свежих изображений и записей. Может прослушивать звонки и голосовую почту. Вести логи геолокации и определять, где пользователь находится сейчас: стоит ли человек на месте, а если движется, то в каком направлении.
И всё это без малейшего участия человека. Пользователю не требуется прикасаться к телефону, он даже не знает, что получил таинственное сообщение от незнакомого человека — в случае Манген, некоего linakeller2203@gmail.com».
Короче говоря, телефон в вашей руке существует в состоянии вечной незащищённости. Он всегда открыт для заражения кем угодно, у кого достаточно денег. Весь бизнес этой «индустрии информационной безопасности» заключается в создании новых инфекций, которые обходят последние обновления безопасности. Эти инструменты затем продают странам, которые остро нуждаются в самых изощрённых средствах угнетения своего населения.
Подобная индустрия, единственной целью которой является производство уязвимостей, должна быть ликвидирована.
Даже если завтра NSO Group и всех представителей этой индустрии внезапно сотрёт с лица земли вулканом общественного возмущения, это не изменит того факта, что мы в разгаре величайшего кризиса компьютерной безопасности в истории. И разработчики Apple, Google, Microsoft, которые хотят продавать продукт, а не доводить его до совершества, и их полная противоположность — благонамеренные разработчики Linux, которые хотят доводить продукт до совершенства, а не продавать его — все они спокойно пишут код на небезопасных языках, потому что… ну, потому что так привыкли, а модернизация требует значительных усилий, не говоря уже о расходах. Подавляющее большинство уязвимостей, которые потом эксплуатируются индустрией небезопасности, появляются по техническим причинам, связанным с управлением памятью. Поэтому выбор более безопасного языка — критически важная мера защиты… но мало кто об этом думает.
https://habrastorage.org/r/w1560/webt/nw/ik/n9/nwikn936ti6fdeecybh4n3lyu08.png
По данным Google, 70% серьёзных ошибок в браузере Chrome связаны с безопасностью памяти. Их можно устранить, используя более безопасные языки
Если вы хотите изменений, их нужно стимулировать. Например, если хотите вызвать сердечный приступ у Microsoft — предложите идею юридической ответственности за плохой код в коммерческом продукте. Хотите лишить сна Facebook — расскажите об идее юридической ответственности за любые утечки личных данных, собранных без необходимости. Только представьте, как быстро Цукерберг начнёт нажимать клавишу Delete.
Где нет ответственности, нет и подотчётности… и это приводит нас к роли государства.
Спонсируемое государствами хакерство стало настолько обычным соревнованием, что на Олимпийских играх у него должна быть отдельная категория.
Продолжение: https://habr.com/ru/company/dcmiran/blog/576290/
Отличный комментарий!
безопасность спортивная экипировка
Просрочил платёж - сдохни
Во Франции выпустили мотожилет с подушкой безопасности по подписке. При пропуске платежа подушка перестаёт надуваться. Производитель называет жилет «продуктом новой эры, в котором цифровые технологии приводят к превосходной защите».Жилеты со встроенными подушками безопасности снижают уровень травматизма мотоспортсменов. Поэтому некоторые гоночные трассы делают такие жилеты обязательной частью экипировки. В Klim решили повысить уровень защиты, внедрив в новый жилет AI-1 электронную начинку. Её задача — крайне быстро реагировать на опасные ситуации.
Сам жилет AI-1 стоит 399 долларов, и в эту сумму не входит цена подушки безопасности. Если покупатель готов заплатить ещё 400 долларов, то он может разблокировать подушку через специальное приложение. Есть и другой вариант — приобрести подписку на подушку безопасности за 12 долларов в месяц.
Представитель компании Джейсон Пламмер в интервью изданию Motherboard назвал подписку хорошим вариантом для людей, «которые не катаются круглый год».
На вопрос, как поведёт себя подушка безопасности, если обладатель жилета AI-1 попадёт в аварию, а платежи просрочены, Пламмер ответил: «тогда нет, не сработает».
В случае просрочки очередного платежа (например, из-за заблокированной карты) у владельца мотожилета будет 30 дней на возобновление подписки. Иначе модуль подушки безопасности перейдёт в неактивный режим, о чём владельца уведомят специальные индикаторы, и «умный» жилет AI-1 превратится в обычную одежду.
Текст - Никита Логинов, TJ
Оригинал новости - Vice
техника безопасности приколы для даунов завод
Отличный комментарий!
и не в бочке с сернухой а в емкости с креозотом.
и то не работник был а солдатик-срочник, присланный начальством.
заглянул в емкость, вдохнул пары креозота, потерял сознание , свалился внутрь и утонул.
так и не знали куда пропал, пока емкость для профилактики чистить не решили и не нашли на дне бляху да пуговицы с бушлата.
США разведка информационная безопасность информационная небезопасность политика
Отличный комментарий!
техника техника безопасности приколы для даунов со знанием электрики карательная электрика
"Советский светодиод сигнализирует о лёгкой перегрузке"
Проводка в здании ни к чёрту. Они до этого списывали периодические отключения линий на хуёвый автомат, даже поменять его успели. Как можно поменять автомат и не увидеть обугленный раскалённый пиздец в пяти сантиметрах от него - я хуй знает. Уже успел взьебать обслугу, раньше не видел.
яндекс информационная безопасность мат
в дополнение к посту: https://joyreactor.cc/post/5450904
В недавно слитых исходниках Алисы от Яндекса нашли списки фраз, которыми люди выключают Алису
Отличный комментарий!
технологии капча информационная безопасность
Cloudflare представила замену привычной капчи, которая проверяет браузер вместо пользователя
Компания Cloudflare начала тестирование нового вида капчи (CAPTCHA) под названием Turnstile, который проверяет браузер пользователя, а не его самого. Новая технология предназначена для того, чтобы избавить пользователей от выполнения обыденных задач, необходимых для подтверждения того, что он не является ботом. Тестовый вариант API Turnstile уже доступен бесплатно всем желающим.
По словам разработчиков, Turnstile является «удобной и сохраняющей конфиденциальность альтернативой» CAPTCHA. Отмечается, что новый вид капчи избавит пользователей от необходимости проходить стандартную проверку, которая в среднем занимает 32 секунды. Вместо этого веб-ресурсы смогут отличать реальных пользователей от ботов всего за секунду.
Система Turnstile не предлагает пользователю решить визуальную головоломку. Она осуществляет набор вызовов JavaScript из браузера для определения поведения пользователя, за счёт чего системе удаётся понять, что авторизацию проходит реальный человек, а не бот. Алгоритм также использует машинное обучение при сравнении успешно выполненных задач с новыми для ускорения процесса прохождения CAPTCHA.
На данном этапе бета-версия API Turnstile доступна бесплатно всем желающим и для его использования не нужно быть клиентом Cloudflare или передавать трафик через сети компании. Процесс настройки сервиса включает в себя замену текущей версии CAPTCHA на базе JavaScript и подробно описан на странице поддержки Cloudflare.
информационная безопасность кибератака microsoft office 0day взлом
Злоумышленники уже эксплуатируют свежий 0-day баг в Microsoft Office
Эксперты предупредили, что китайские хакеры уже активно эксплуатируют уязвимость нулевого дня в Microsoft Office, известную под названием Follina, для удаленного выполнения вредоносного кода в уязвимых системах.
Напомню, что об обнаружении Follina стало известно на прошлой неделе, хотя первые исследователи обнаружили баг еще в апреле 2022 года, но тогда в Microsoft отказались признать проблему. Теперь уязвимость отслеживается под идентификатором CVE-2022-30190, и известно, что ее можно эксплуатировать через обычное открытие документа Word или предварительный просмотр в «Проводнике», применяя для выполнения вредоносных команд PowerShell через Microsoft Diagnostic Tool (MSDT).
Баг затрагивает все версии Windows, которые получают обновления безопасности, то есть Windows 7 и новее, а также Server 2008 и новее.
Ранее эксперты уже сообщали, что обнаружение Follina является весьма тревожным сигналом, так как уязвимость открывает новый вектор атак с использованием Microsoft Office. Дело в том, что баг работает без повышенных привилегий, позволяет обойти Windows Defender и не требует активации макросов для выполнения бинарников или скриптов.
Как теперь рассказывают специалисты компании Proofpoint, проблему Follina уже взяли на вооружение китайские «правительственные» хакеры из группы TA413, нацелив свои атаки на международное тибетское сообщество.
лоумышленники распространяют среди жертв ZIP-архивы, содержащие вредоносные документы Word, предназначенные для атак на CVE-2022-30190. Приманки замаскированы под послания Центральной тибетской администрации и используют домен tibet-gov.web[.]app.
Известный ИБ-исследователь MalwareHunterTeam тоже пишет, что обнаружил документы DOCX с именами файлов на китайском языке, которые используются для доставки вредоносных полезных нагрузок через домен http://coolrat[.]xyz, в том числе малвари для кражи паролей.
Так как патча для Follina пока нет, администраторы и пользователи могут блокировать атаки на CVE-2022-30190, отключив протокол MSDT URI, который злоумышленники используют для запуска дебагеров и выполнения кода в уязвимых системах. Также рекомендуется отключить предварительный просмотр файлов в «Проводнике» Windows, потому что атака возможна и таким способом.
Источник:xakep.ru
Отличный комментарий!