Автор Тема: Информационная безопасность  (Прочитано 83026 раз)

Оффлайн Новичёк

  • Administrator
  • Hero
  • *****
  • Сообщений: 14132
  • Репутация: +27/-107
    • Личное сообщение (Оффлайн)
Re: Информационная безопасность
« Ответ #340 : Январь 05, 2021, 22:18:27 »
В Google Документах нашли позволяющую смотреть чужие файлы уязвимость

Через скриншоты




В Google Документах обнаружили уязвимость, которая позволяла похищать скриншоты чужих документов. Для этого нужно было просто встроить их во вредоносный сайт. Уязвимость уже исправили.

Она находилась в инструменте для обратной связи. Уязвимость нашёл ещё в июле исследователь безопасности Sreeram KL. За свою находку он получил от Google вознаграждение размером $3133.

Эта опция обратной связи позволяет людям отправлять Google отзывы и отчёты об ошибках. Пользователи могут прикрепить к своему сообщению скриншоты. Эту функцию Google реализовала на главном сайте (www.google.com) и интегрировала с другими доменами через элемент iframe, загружающий всплывающий контент с feedback.googleusercontent.com. Исследователь обнаружил уязвимость в том, как информация передавалась домену feedback.googleusercontent.com. Злоумышленник мог заменить фрейм любым внешним сайтом. Это позволяло перехватывать скриншоты Документов Google. Преступник мог захватить URL-адрес загруженного скриншота и переместить его на вредоносный сайт.

Источник: Ferra.Ru

Оффлайн Новичёк

  • Administrator
  • Hero
  • *****
  • Сообщений: 14132
  • Репутация: +27/-107
    • Личное сообщение (Оффлайн)
Re: Информационная безопасность
« Ответ #341 : Январь 05, 2021, 22:21:00 »
Китайская полиция нашла партию шпионских внешних аккумуляторов

В России такие тоже могут продаваться




Основной телеканал Китая CCTV сообщил о том, что полиция изъяла большую партию шпионских внешних аккумуляторов из свободной продажи в стране. Эти устройства могли записывать разговоры пользователей и отправлять их на удалённый сервер.

Внешние аккумуляторы могли выполнять и свою стандартную функцию. Однако в них были встроены модули GPS и сотовой связи с SIM-картой, а также микрофон. Устройства отслеживали местоположение владельца и передавали данные злоумышленникам. Также преступники могли позвонить на пауэрбанк и услышать, что происходит вокруг него. Помимо этого у девайсов имеется функция автоматической записи при шуме выше 50 дБ. Журналисты отмечают, что это средняя громкость человеческой речи.

Полицейские обнаружили около двух тысяч таких пауэрбанков. Сообщается, что внешне такие аккумуляторы невозможно отличить от обычных. Автор издания 3DNews пишет, что поискал в интернете подобные устройства и увидел, что они доступны в свободной продаже.

Источник: Ferra.Ru

Оффлайн Новичёк

  • Administrator
  • Hero
  • *****
  • Сообщений: 14132
  • Репутация: +27/-107
    • Личное сообщение (Оффлайн)
Re: Информационная безопасность
« Ответ #342 : Январь 05, 2021, 22:23:52 »
Хакеры взламывают «умные» дома, вызывают спецназ и транслируют штурм в прямом эфире

ФБР рассказало, как группа хакеров взламывала устройства «умных» домов, делала ложный вызов и транслировала захват дома спецслужбами в прямом эфире.




«Умные» устройства могут как упростить жизнь, так и усложнить ее. Например, если устройства взломали и без вашего ведома вызвали полицию. Такое уже случалось, и злоумышленники транслировали штурм дома полицией на платных онлайн-платформах

ФБР рассказало о способах взлома устройств «умного» дома, которые позволяют злоумышленникам «натравить» спецслужбы и полицию на ни в чем не повинных граждан. Злоумышленники сообщают об инциденте, а затем транслируют в прямом эфире действия силовиков по захвату объекта.

Представители ФБР не говорят о каком-то конкретном случае, но подобные инциденты уже попадали в выпуски новостей. Например, в ноябре NBC News рассказал о случае, когда полиция отправилась в дом во Флориде после получения звонка от мужчины, заявившего, что он убил свою жену и хранил взрывчатку. Полицейские ничего не обнаружили и заявили, что кто-то «разыграл» их, используя «умный» дверной звонок.

Другой хакер взломал системы дома в Вирджинии и от имени владельца отправил сообщение полиции, что хочет совершить самоубийство. Приезд полиции злоумышлениик транслировал на онлайн-платформах и брал $5 за просмотр.

Сообщается, что большая часть таких взломов происходит из-за того, что владельцы используют одинаковые пароли для всех устройств. Из-за этого, получив доступ к одному аккаунту, мошенники могут автоматически войти и в другие. Производитель «умных» дверных звонков Ring сообщает, что рекомендует своим пользователям использовать двухфакторную аутентификацию, которая существенно усложняет взлом аккаунтов хакерами.

Источник: ПМ

Оффлайн Новичёк

  • Administrator
  • Hero
  • *****
  • Сообщений: 14132
  • Репутация: +27/-107
    • Личное сообщение (Оффлайн)
Re: Информационная безопасность
« Ответ #343 : Январь 05, 2021, 22:26:29 »
Названы самые крупные утечки данных россиян в 2020 году

Среди них — утечка данных по «ковидным» больным




Основатель сервиса разведки утечек данных DLBI Ашот Оганесян напомнил самые крупные утечки данных в России в 2020 году.

С экспертом поговорило издание «РИА Новости». Он перечислил утечки баз данных москвичей, перенёсших COVID-19, клиентов «РЖД Бонус», пользователей SuperJob.ru и сервиса «Премиум бонус», а также оформлявших микрозаймы россиян.

Первая из упомянутых утечка произошла в декабре. Тогда в сеть попали более 100 тысяч строк с информацией о ФИО, датах рождения, адресах проживания, телефонах, паспортах россиян.

В ноябре в интернет утекли более 1,3 млн строк информации о клиентах «РЖД Бонус». В этой базе данных были даже пароли.

Что касается россиян, оформлявших микрозаймы, то утечка их данных произошла в апреле. Тогда в сеть попали 12 млн записей. Они касались людей, которые оформляли микрозаймы в период с 2017 по 2019 годы.

Самой крупной эксперт признал мартовскую утечку почти 600 миллионов строк данных клиентов «Премиум бонус».

Источник: Ferra.Ru

Оффлайн Новичёк

  • Administrator
  • Hero
  • *****
  • Сообщений: 14132
  • Репутация: +27/-107
    • Личное сообщение (Оффлайн)
Re: Информационная безопасность
« Ответ #344 : Январь 16, 2021, 23:35:49 »
Зловреды-вымогатели взяли новую высоту: хакеры взламывают и блокируют мужские пояса верности

Доверять самое ценное подключённому к интернету устройству оказалось не лучшей идеей


В эпоху «Интернета вещей» злоумышленникам регулярно удаётся «брать новые высоты». На этот раз, стало известно о зловреде-вымогателе, от которого страдают пользователи мужских поясов верности Qiui Cellmate. На проблему обратил внимание ресурс Vice.



Как рассказал специалист по безопасности Smelly, основатель сайта vx-underground с коллекцией примеров вредоносного кода, хакеры научились взламывать и брать под контроль Qiui Cellmate, затем требуя выкуп в биткоинах для разблокировки.

Согласно приводимому Smelly скриншоту, одному из жертв хакер написал Your cock is mine now (Твой член теперь мой). Как рассказал пострадавший по имени Роберт, сумма выкупа составила 0,02 биткоина, что по текущему курсу составляет 48,5 тысячи рублей или 661 доллар. При этом пояс верности, действительно, был «заблокирован» и пострадавший никак не мог «получить к нему доступ». К счастью для Роберта, в момент блокировки пояс верности не был надет на пользователя.

Источник: IXBT

Оффлайн Новичёк

  • Administrator
  • Hero
  • *****
  • Сообщений: 14132
  • Репутация: +27/-107
    • Личное сообщение (Оффлайн)
Re: Информационная безопасность
« Ответ #345 : Январь 16, 2021, 23:39:49 »
Плачевная ситуация с безопасностью во внутренней сети РЖД



Алексей Сопов, исследователь безопасности, специализирующийся на оборудовании Mikrotik, вскрыл огромный пласт проблем с безопасностью во внутренней сети РЖД, случайно обнаружив незапароленный маршрутизатор Mikrotik за открытым прокси. Сканирование сети за одним из VPN-интерфейсов на проблемном маршрутизаторе выявило более 20 тысяч различных устройств, включая другие маршрутизаторы Mikrotik с отсутствующим паролем, IP PBX, IPMI-контроллеры серверов, около 10 тысяч камер наблюдения и различное сетевое оборудование.

На многих устройствах пароли либо не были установлены, либо являлись паролями по умолчанию. Изучение ситуации показало, что исследователь натолкнулся на внутреннюю сеть компании РЖД, в которую попал без авторизации через открытый прокси. Исследователь также смог сконфигурировать один из маршрутизаторов Mikrotik для организации себе VPN-канала для более полноценного аудита сети.

Данная ситуация иллюстрирует практически полное отсутствие какой-либо защиты информационной инфраструктуры РЖД. Отмечается, что после публикации с автором связались представители РЖД и начали совместную работу по устранению выявленных проблем. В пресс-службе РЖД сообщили о проведении расследования по мотивам публикации и заверили, что утечки персональных данных клиентов не произошло.

Источник: OpenNET

Оффлайн Новичёк

  • Administrator
  • Hero
  • *****
  • Сообщений: 14132
  • Репутация: +27/-107
    • Личное сообщение (Оффлайн)
Re: Информационная безопасность
« Ответ #346 : Январь 16, 2021, 23:45:11 »
Любовь Соболь рассказала о «жучке», который был найден в айфоне её коллеги



Любовь Соболь рассказала, что в айфоне главы ее предвыборного штаба Ольги Ключниковой было найдено прослушивающее устройство.

22 декабря Ключникову арестовали на семь суток. Смартфон ей вернули, когда она вышла из изолятора.

Присмотревшись к айфону, технический директор Навальный Live Даниэль Холодный якобы заметил следы вскрытия, поскольку «по краям экрана остался заводской клей, а винты явно откручивались».

Внутри айфона установлена неоригинальная батарея и неизвестное «устройство явно не от компании Apple». В нем есть слот для SIM-карты, микрофон, GPS и микросхема для усиления радиосигнала.

Цитировать
При вскрытии айфона сотрудники перебили шлейф разговорного динамика и Face ID, так что не заметить такое вмешательство было невозможно. Аккумуляторы данного айфона были перепаяны максимально колхозным способом, видимо, для того, чтобы запитать сам «жучок». Если честно, я не уверен, что таким айфоном вовсе безопасно пользоваться.

Даниэль Холодный, технический директор Навальный Live

Похожие устройства продаются на AliExpress примерно за 1200 рублей. Соболь уверена, что «жучок» установили сотрудники правоохранительных органов, но проверить это невозможно.

Ключникова сообщила, что планирует подать заявление в Следственный комитет по статьям о нарушении неприкосновенности частной жизни и нарушении тайны переписки и телефонных переговоров.

Источник: iPhones.Ru

Оффлайн Новичёк

  • Administrator
  • Hero
  • *****
  • Сообщений: 14132
  • Репутация: +27/-107
    • Личное сообщение (Оффлайн)
Re: Информационная безопасность
« Ответ #347 : Январь 21, 2021, 23:49:36 »
Исследование: ни один современный смартфон не защищает данные пользователей на 100%

Госорганы могут легко получить данные, если им нужно




Исследователи криптографии из Университета Джонса Хопкинса проанализировали смартфоны и на Android, и на iOS. Они выяснили, что ни один современный смартфон не защищает данные пользователей на 100%. Правоохранительные органы и правительства уже могут получить доступ к заблокированным смартфонам с помощью различных инструментов. Это в основном связано со слабыми местами в операционных системах.

Исследователь из Университета Джонса Хопкинса Мэтью Грин (Matthew Green) заявил, что результаты исследования шокировали его. «Ничто не защищено настолько, насколько это было бы возможно», — отметил он.

Даже несмотря на то, что смартфоны имеют различные уровни защиты, они уязвимы к извлечению данных. Главное, чтобы у злоумышленника были необходимые инструменты. Такие инструменты правительства могут легко купить для правоохранительных органов и разведывательных учреждений.

Источник: Ferra.Ru

Оффлайн Новичёк

  • Administrator
  • Hero
  • *****
  • Сообщений: 14132
  • Репутация: +27/-107
    • Личное сообщение (Оффлайн)
Re: Информационная безопасность
« Ответ #348 : Январь 21, 2021, 23:51:57 »
Россиянам рассказали о способах слежки за пользователем с помощью смартфона

Они делятся на законные и незаконные




Руководитель Центра цифровой экспертизы Роскачества Антон Куканов рассказал россиянам о способах слежки за пользователем с помощью смартфона. По словам эксперта, эти способы делятся на законные и незаконные.

Легальными можно назвать приложения для родительского контроля, с помощью которых родители могут отслеживать местонахождение ребенка, а также какими программами он пользуется. Они даже позволяют вычислять людей, которые звонили ребенку.

”Stalkerware или приложения-шпионы по сути представляют собой незаконный вариант таких же приложений, только для скрытной слежки, и попадают на телефон они, как правило, без ведома жертвы”, - поделился Куканов.

В то же время, специалист отметил, что сам смартфон является источником большого количества данных о пользователей. В частности, он может рассказать о том, где владелец проводил время, с кем обедал и какие вещи покупал.

Источник: Ferra.Ru

Оффлайн Новичёк

  • Administrator
  • Hero
  • *****
  • Сообщений: 14132
  • Репутация: +27/-107
    • Личное сообщение (Оффлайн)
Re: Информационная безопасность
« Ответ #349 : Январь 21, 2021, 23:53:51 »
Пользователей нескольких мессенджеров могли прослушивать

Telegram в их список не входит




Исследовательница безопасности из Google Project Zero обнаружила в нескольких популярных мессенджерах — Signal, Google Duo и Facebook Messenger — уязвимости, которые позволяли прослушивать пользователей.

Специалист рассказала, что из-за уязвимостей злоумышленники могли без разрешения пользователя прослушивать окружающие звуки. Это происходило до того, как пользователь ответит на входящий звонок в приложении.

Помимо Signal, Google Duo и Facebook Messenger уязвимости обнаружились в JioChat и Mocha. Сообщается, что баги уже исправлены. По сути, уязвимости работали так: злоумышленник совершал звонок на устройство жертвы, а оно начинало передавать аудио- или видеоданные. То есть приложения позволяло соединить девайс вызываемого абонента с вызывающим без действий первого человека.

В Telegram и Viber такие уязвимости обнаружены не были.

Источник: Ferra.Ru

Оффлайн Новичёк

  • Administrator
  • Hero
  • *****
  • Сообщений: 14132
  • Репутация: +27/-107
    • Личное сообщение (Оффлайн)
Re: Информационная безопасность
« Ответ #350 : Январь 21, 2021, 23:58:52 »
В приложении Госуслуг для Android нашли уязвимость, которая позволяла украсть данные любого по номеру телефона



В мобильном приложении «Госуслуги Москвы» для Android нашли уязвимость, которая позволяла получить доступ к личному кабинету любого пользователя, указав только номер телефона.

Как сообщил основатель компании Postuf Бекхан Гендаргеноевский, уязвимость позволяла не только читать, но и редактировать информацию. Злоумышленник мог узнать Ф.И.О., e-mail, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и так далее.

А с помощью номера полиса ОМС и года рождения не составляло труда получить всю медицинскую информацию о человеке: посещаемых врачей, выписанные рецепты и прочее.

Цитировать
Напрямую украсть деньги, [обладая такой информацией], нельзя, хотя можно использовать знания в социальной инженерии и попытаться выманить у человека данные банковской карты.

— опрошенный РБК специалист по компьютерной безопасности

Сейчас «дыру в безопасности» устранили. Но неизвестно, сколько она существовала.

Источники: iPhones.Ru, РБК.Ru

 

Последние сообщения на форуме:

[Наука] Re: Новости науки и технологии от Новичёк Январь 22, 2021, 00:24:21
[Наука] Re: Новости науки и технологии от Новичёк Январь 22, 2021, 00:21:26
[Наука] Re: Новости науки и технологии от Новичёк Январь 22, 2021, 00:19:55
[Наука] Re: Новости науки и технологии от Новичёк Январь 22, 2021, 00:16:25
[Наука] Re: Новости науки и технологии от Новичёк Январь 22, 2021, 00:14:12
[Наука] Re: Квантовые вычисления от Новичёк Январь 22, 2021, 00:10:25
[Наука] Re: Квантовые вычисления от Новичёк Январь 22, 2021, 00:08:35
[Политика] Re: Противостояние: Россия - США от Новичёк Январь 22, 2021, 00:06:14
[Политика] Re: Противостояние: Россия - США от Новичёк Январь 22, 2021, 00:04:04
[Религия] Re: Религия - опиум для народа от Новичёк Январь 22, 2021, 00:01:44
[Политика] Re: Информационная безопасность от Новичёк Январь 21, 2021, 23:58:52
[Политика] Re: Информационная безопасность от Новичёк Январь 21, 2021, 23:53:51
[Политика] Re: Информационная безопасность от Новичёк Январь 21, 2021, 23:51:57
[Политика] Re: Информационная безопасность от Новичёк Январь 21, 2021, 23:49:36
[Политика] Re: Свобода в Интернете заканчивается от Новичёк Январь 21, 2021, 23:46:20
[Windows. Обмен опытом] Re: Windows 10 от Новичёк Январь 21, 2021, 23:43:03
[Родители и дети - проблемы воспитания] Re: Дети и мобильные гаджеты от Новичёк Январь 21, 2021, 23:35:51
[О разоблаченных шарлатанах и созданных ими "учениях"] Re: Разоблачение шарлатанов от Новичёк Январь 21, 2021, 23:32:58
[Наука] Re: Последние гвозди в гроб высшего образования от Новичёк Январь 20, 2021, 16:19:11
[Наука] Re: Последние гвозди в гроб высшего образования от john Январь 20, 2021, 14:16:17
 Rambler's Top100