Яндекс запустил нужные онлайн-сервисы для малого бизнеса, а получить к ним доступ можно будет бесплатно до июня.

Речь идет о Яндекс.Диске и Почте. Теперь можно наладить доступ сотрудников к общим документам и папкам, работать с ними с любых устройств, смотреть историю изменений за 90 дней, а каждый сотрудник получит от 200 ГБ до 2 ТВ облачного пространства. И при этом полностью отключена любая реклама.

С помощью Яндекс.Почты для бизнеса можно создать сколько угодно почтовых ящиков в домене компании — без рекламы, с защитой от спама и вирусов. В адресной книге сотрудников будут адреса всех коллег, так что их не придётся искать. А назначать встречи можно будет через Яндекс.Календарь. Администратор почты получит удобный интерфейс для управления почтовыми ящиками. Кроме того, для него будет действовать приоритетная поддержка Почты и Диска в чате и по почте.

Диск доступен в веб-версии, мобильных и десктопных приложениях, а Почта — в веб-версии и приложениях для смартфонов. Яндекс.Диск для бизнеса стоит от 147 рублей в месяц на одного сотрудника, а Почта — от 129. 

Предложение действует для компаний со штатом сотрудников до 100 человек.
#промо

Конфиденциальность в интернете для начинающих

Мы живем в удивительное время. Можем одним нажатием запечатлеть все, что приглянулось; не выходя из дома купить что угодно: от сущей ерунды до автомобиля; через соцсети или блог донести свои мысли до сотен тысяч людей; найти информацию по любой теме в любом объеме в любое время дня.
Еще 30 лет назад все это звучало бы весьма фантастично, а для нас — обычное дело. По-другому просто не бывает. Но, как известно, за все приходится платить. Мы платим своей конфиденциальностью.

Зачем нам конфиденциальность, о межгосударственных союзах, цель которых — массовая слежка, браузеры и ваши «отпечатки» и что с этим всем можно сделать.

​​GitLab проверила своих сотрудников: на фишинговые уловки попался каждый пятый

Недавно платформа GitLab провела проверку безопасности, проанализировав, настолько работающие на дому сотрудники устойчивы перед фишинговыми атаками. Как выяснилось, каждый пятый сотрудник согласился ввести свои учетные данные на поддельной странице логина.

Проведенная GitLab Red Team учебная атака имитировала настоящую фишинговую кампанию, целью которой было узнать учетные данные сотрудников GitLab. С этой целью ИБ-специалисты зарегистрировали доменное имя gitlab.company и настроили его для рассылки фишинговых писем, используя опенсорсный GoPhish и GSuite от Google. Фишинговые послания были составлены таким образом, чтобы имитировать настоящие уведомления от ИТ-отдела, якобы сообщавшие о  необходимости обновления ноутбука.

«Целевым пользователям было предложено нажать на ссылку, якобы для того, чтобы согласиться на обновление, но на самом деле данная ссылка вела на поддельную страницу входа на GitLab.com, размещенную на домене gitlab.company», —  рассказывают в GitLab.

В ходе учений было разослано 50 таких электронных писем. В итоге 17 (34%) получателей нажали на ссылку в сообщении, перейдя на специальный фишинговый сайт. Из них еще 10 человек (59% из тех, кто перешел на сайт, и 20% от общей тестируемой группы) продолжили работу и ввели на фальшивой странице свои учетные данные. При этом лишь 6 из 50 получателей фишинговых сообщений (12%) сообщили о попытке фишинга сотрудникам службы безопасности GitLab.

Как шантажисты используют ваши необдуманные посты и репосты

Недавний 2018 год в России был богат на события: нам запретили мессенджер Телеграм, а в попытках выполнить запрет и значительную часть интернета, но даже эта тема отошла на второй план перед массой уголовных дел за репосты в социальных сетях.

Специально подготовленные люди, обычно сотрудники органов или учащиеся в системе правоохранительных органов, путешествовали по страничкам социальных сетей и, находя противоправный контент, профессионально оскорблялись. Затем они писали заявление, правоохранительные органы делали запрос руководству социальной сети, а на владельца странички в социальной сети заводилось уголовное дело.
#курс_безопасности_анон

Релиз Project Reunion от Microsoft, покупка Giphy, запуск Facebook Shops и другие новости ИТ за неделю

• Microsoft представила Project Reunion — единую платформу для разработки под Windows. С её помощью разработчики смогут создавать приложения для миллиарда устройств, работающих на Windows 10.
• Apple и Google представили первую версию технологии для отслеживания заболевших Covid-19. Доступ к технологии предоставят только официальным органам здравоохранения.
• Mozilla планирует удалить поддержку Adobe Flash в выпуске Firefox 84, который ожидается в декабре 2020 года. Возможно, для некоторых категорий пользователей в режиме тестирования Flash будет отключен ранее.
• Microsoft выпустила лаунчер PowerToys Run с быстрым поиском приложений и файлов — аналог Spotlight на macOS. Приложение входит в пакет экспериментальных инструментов PowerToys, которые упрощают взаимодействие с Windows 10.
• Опубликован релиз платформы Electron 9.0.0 для создания приложений на базе движка Chromium. В новой версии расширены возможности, связанные с проверкой правописания, добавлен API для поддержания собственных списков слов в словаре, включен PDF-просмотрщик.
• Facebook запустила новый сервис Facebook Shops, с помощью которого компании смогут бесплатно создавать виртуальные витрины в Facebook и Instagram.
• Apple выпустила версию 13.5 операционной системы для своих смартфонов, совместимую с новым Exposure Notification API для отслеживания контактов COVID-19.
• Facebook купила сервис для создания и поиска анимаций Giphy. Компания собирается интегрировать платформу в Instagram и другие продукты.
#новости revolt

Особенности национального трекинга: как в мире готовятся следить за заболевшими COVID-19

От технокомпаний ждут, что они придумают что-то, что убережет нас от следующих эпидемий и поможет справиться с этой. Уже несколько месяцев весь мир пытается научиться прогнозировать новые вспышки заболевания, отслеживая контакты заразившихся, но везде решают эту задачу по-разному. На этой неделе запустилась беспрецедентная по своим масштабам система bluetooth-трекинга от Google и Apple, которая потеснила похожие инициативы европейских стран. В России за заболевшими следят с помощью GPS и выписывают штрафы, а пользователи жалуются, что система «Социальный мониторинг» способна превратить жизнь в настоящий ад.

Минкомсвязи не поддержало разблокировку Telegram при режиме повышенной готовности

"Предлагаемая законопроектом поправка в статью 15.4 Федерального закона №149-ФЗ в случае ее принятия может повлечь злоупотребление правом со стороны недобропорядочных организаторов распространения информации в сети Интернет, которые будут умышленно распространять информацию о деятельности государственных органов и органов местного самоуправления в целях ухода от преследования", - говорится в отзыве министерства, который имеется в распоряжении "Интерфакса".

По мнению Минкомсвязи, "с точки зрения юридической техники изложения считаем, что используемые в законопроекте термины (сервис, официальный сервис) не имеют раскрытия в тексте и не подлежат использованию. Вызывает сомнение формулировка "текущая ситуация", имеющая расширительное толкование".

Несмотря на прозвучавшие заявления о невозможности разблокировать мессенджер в обход решении суда и на критику инициативы со стороны должностных лиц и депутатов парламента, Ионин заявил "Интерфаксу", что разработчики не намерены отказываться от своей инициативы. Они считают, что закон может приостановить на время решение суда, что предоставит возможность "представителям спецслужб и Telegram вернуться к разговору о технической возможности передачи ключей шифрования и других не снятых пока вопросов".
#новости

Как помочь родителям освоиться в цифровом мире

В этом посте я расскажу о своих родителях — о том, как они осваивали современные технологии и что я для этого делал. Я пройдусь по ключевым моментам и дам советы тем, кто тоже хочет помочь родителям безопасно исследовать цифровой мир.

Результаты опроса от Stack Overflow, запуск Yandex DataSphere, обновление Windows 10 и другие новости ИТ за неделю

• «Яндекс.Облако» запустило сервис для разработчиков в области машинного обучения Yandex DataSphere. Сервис позволит разработчикам переключаться между разными типами виртуальных машин без остановки вычислений и оплачивать только время расчётов.
• В Chrome 84 по умолчанию будет включена защита от назойливых уведомлений. Сайтам не рекомендуется использовать всплывающие окна или отвлекающие рекламные диалоги с предложением подписки на уведомления, которые обычно выводятся перед запросом полномочий.
• Линус Торвальдс заявил, что обновил рабочий ПК и впервые за 15 лет отдал предпочтение процессору AMD перед Intel.
• Stack Overflow опубликовала результаты десятого опроса разработчиков за 2020 год. В исследовании приняло участие более 65 тысяч респондентов. Самым желанным языком назван Python, следом за которым в списке с большим отрывом идут JavaScript и Go.
• Microsoft выпустила обновление Windows 10 May 2020 Update. Компания не только исправила ошибки, но и внесла значительные изменения в работу системы. Например, встроила полноценное ядро Linux, основанное на стабильной версии.
• По данным аналитической платформы Sensor Tower, объём данных, израсходованных пользователями всего мира за первый квартал 2020 года на загрузку 250 топовых мобильных приложений, составил 596 петабайт.
• Microsoft разместила на GitHub исходный код интерпретатора языка программирования GW-BASIC, который представляет собой диалект языка программирования BASIC.
#новости revolt

Это один из анонсов, которые мы размещали и размещаем на канале бесплатно, чтобы поддержать небольшие компании. Если у вас тоже проходят такие мероприятия, на которых вы хотите поделиться своими знаниями бесплатно, обращайтесь по контактам в описании канала.

Криминалистический анализ активности в социальных сетях

Какую информацию о вашей активности в социальных сетях могут извлечь недоброжелатели, если они получат физический доступ к вашему компьютеру? Это может быть как легальный визит правоохранительных органов с обыском и изъятием техники, так и нелегальное получение доступа к вашему устройству.

Миф
Вся активность в социальной сети: просмотр видео, фотографий, прослушивание музыки, общение, голосовые сообщения − не загружается на компьютер пользователя и не хранится на нем.
Реальность
Вся активность в социальной сети: просмотр видео, фотографий, прослушивание музыки, общение, голосовые сообщения − загружается на компьютер пользователя и хранится на нем (хотя и не всегда длительное время).

Развод «Яндекса» и Сбербанка

Многообещающее партнерство «Яндекса» со Сбербанком по строительству «русского Amazon» подходит к концу: уже в середине июня компании собираются объявить о разводе в совместных проектах. Мы расскажем, почему партнерство двух гигантов не сложилось, как их экосистемы будут развиваться по отдельности и у кого больше шансов добраться до каждого россиянина.

Эпидемия легких денег: социальные выплаты как наживка

Пандемия коронавируса нанесла серьезный удар по мировой экономике. Из-за ограничительных мер многие компании вынуждены были приостановить работу, а люди — отправиться отдыхать за свой счет. Чтобы как-то сгладить последствия эпидемии, правительства по всему миру принимают меры по поддержке бизнеса и граждан: вводят налоговые послабления, выплачивают денежные компенсации и так далее.

Впрочем, если на почту пришло письмо о том, что вам положена кругленькая сумма от государства, не спешите радоваться. Помимо властей, «компенсации» вовсю обещают мошенники. Вот несколько примеров такой «антисоциальной поддержки».

Потрошим «Социальный мониторинг»

Приложение «Социальный мониторинг», которое позволяет следить за тем, чтобы заразившиеся коронавирусом оставались дома, уже успело собрать массу негативных отзывов. Оно, мол, и глюкавое, и вообще «цифровой ошейник». Однако именно технической информации о нем (и, в частности, о его последней версии) немного. Чтобы восполнить этот пробел, мы проведем небольшое расследование.

​​​​Обновили дизайн сайта f-rkn.com. Все еще лаконично, но намного красивее ✨f-rkn.com. Все еще лаконично, но намного красивее ✨

Ежедневно им пользуются тысячи уникальных пользователей, обрабатывает сотни тысяч запросов, включая различные боты.
Никакой слежки, никаких трекеров, никакой рекламы. Простой интерфейс, максимально приближенная версия к оригинальному сервису для просмотра и предпросмотра от Telegram.

Зачем он вообще нужен? В России заблокирован не только Telegram, но и сайты t.me для перехода на каналы, боты извне и внутри мессенджера, включая просмотр каналов в браузере, а также сервис статей telegra.ph.
Наше зеркало f-rkn.comf-rkn.com делает такие ссылки рабочими и ими можно делиться где угодно.

Насколько легко скомпрометировать бизнес

Знаете ли вы, как ваши коллеги или подрядчики обращаются с вашей или другой конфиденциальной информацией в поездах, кафе и других общественных местах?

Выход GPT-3, релиз бета-версии Android 11, запуск новостного AI-канала «42 секунды» и другие новости ИТ за неделю

• Mail.ru Group разрешила сторонним разработчикам создавать навыки для голосового помощника «Маруся». Ассистент уже умеет отвечать на вопросы, включать музыку, рассказывать сказки и совершать другие действия.
• Microsoft временно отказалась продавать полиции США технологию распознавания лиц — вслед за Amazon и IBM. В компании считают, что сначала в стране должен появиться закон, который будет регулировать использование таких сервисов.
• Google заблокировала сервис Remove China Apps — он удалял китайские приложения со смартфона в обход правил Google Play. Приложение стало популярным в Индии на фоне споров об индийско-китайской границе.
• Язык Go избавится от неполиткорректных терминов whitelist/blacklist и master/slave, неприятие которых усилилось на фоне протестов в США. Фразы whitelist и blacklist заменяются на allowlist и blocklist, а master и slave в зависимости от контекста — на process, pty, proc и control.
• Google выпустила в открытый доступ первую бета-версию операционной системы Android 11. В новой системе Google сконцентрировалась на множестве мелких изменений, направленных на удобство пользователей.
• Игровой бренд Mail.ru Group изменил комиссии для разработчиков: теперь они смогут получать до 90% выручки. Платформа оставит себе лишь 10%, если автор игры привлёк пользователя сам.
• Компании RiskSense заявила в своём исследовании, что число уязвимостей безопасности в проектах с открытым исходным кодом в 2019 году увеличилось более чем вдвое по сравнению с 2018.
• Google анонсировала релиз четвертой версии среды разработки Android Studio. В ней улучшены отладчик Layout Inspector и поддержка Java 8, появились новые инструменты.
• Facebook создала «нейронный транспайлер», который преобразует код между парами трёх высокоуровневых языков программирования: C++, Java и Python.
• Линус Торвальдс анонсировал релиз ядра Linux 5.7. Среди нововведений — поддержка расширения ARM Activity Monitors (AMU), поддержка новых плат и устройств на базе архитектуры ARM, улучшение поддержки HDR/OLED-дисплеев.
• OpenAI представила GPT-3 — алгоритм, который может выполнять разные задания по написанию текста на основе всего нескольких примеров. Число используемых в модели параметров увеличено до 175 миллиардов. Модель станет первым коммерческим продуктом компании.
• В Telegram появился новостной канал «42 секунды» — его ведёт искусственный интеллект. Система каждый день создаёт короткие новости из статей про ИТ-технологии и российский сегмент интернета
#новости revolt

​​Партнер группы компаний Angara Positive Technologies опубликовала аналитику результатов работы системы внешнего заказного анализа защищенности.

Проникнуть в инфраструктуру большинства компаний может даже низко- квалифицированный хакер, поскольку векторы атак основаны на эксплуатации известных недостатков безопасности. В первую очередь, для защиты сетевого периметра необходимо соблюдать общие принципы обеспечения информационной безопасности. Рекомендации по защите от наиболее распространенных векторов проникновения приведены в исследовании.

• В большинстве компаний (93%) удалось преодолеть внешний периметр, причем в 71% случаев для этого не требовались сложные инструменты или знания.
• В среднем на успешную атаку требовалось 4 дня. Минимум – 30 минут, максимум – 10 дней.
• 77% успешных взломов происходили через web-приложение. Из них (возможна комбинация условий)
• Остальные атаки связаны с подбором учетных данных
• У большого количества компаний были выявлены следы предыдущих атак злоумышленников – WEB-Shell (Remote Code Execution) бэкдор на видимых из сети Интернет ресурсах, вредоносные ссылки внутри официальных сайтов, наличие утечек, валидных баз учетных данных.
• Только в 7% компаний экспертам не удалось преодолеть периметр.

Примечательно, что тестирование на проникновение проводилось по большей части в финансовых организациях, ИТ-компаниях, ТЭК, госучреждениях – компаниях, уделяющих достаточно большое внимание ИБ.

Парольная политика и ее выполнение остаются большой брешью безопасности: простые и словарные пароли пользователей стали основными недостатками защиты на сетевом периметре. Они обнаруживаются в web-приложениях, доменных учетных данных, СУБД, ОС, на сетевом оборудовании, FTP-серверах. Слабые пароли включают использование соседних клавиш, словарных и коротких паролей, паролей формата МесяцГод в латинской раскладке, пароли по-умолчанию.

А также одной из частых проблем является использование устаревших версий ПО, и в связи с этим наличие на них старых известных уязвимостей (например OpenSSH CVE2018-15473 ,   CVE-2018-8284 в .NET Framework, CVE-2017-10271 в Oracle WebLogic Server).

Рекомендации
Качественно организовать периметр предприятия можно комплексным подходом к информационной безопасности. Основное внимание необходимо уделить следующим вопросам:
1. Использование NGFW уровня приложения (L7) с функциями IPS на периметре. Аудит сетевых политик и ресурсов, доступ к которым действительно необходим из внешней сети, остальные ресурсы необходимо закрыть.
2. Использование средств анализа исходного кода для публичных web-ресурсов.
3. Обратить пристальное внимание на защиту публичных web-ресурсов средствами WAF и продуманной сегментацией (использование DMZ и других выделенных сегментов со строгой политикой доступа из них во внутренние сегменты).
4. Отключать лишние сервисы, удалять на публичных ресурсах лишние пакеты (например FTP), контроль настроек (например запретить root для SSH подключений, использовать sudo, отключение по возможности сервиса Autodiscovery в ПО Microsoft Exchange Client Access Server). Для проверки ресурс рекомендуется регулярно сканировать средствами комплексного анализа защищенности.
5. Интеграция с SOC всех внешних систем, использование TI сервисов – для своевременного обнаружения следов компрометации и присутствия злоумышленника в сети.
Отчет целиком
#новости

Правила цифрового этикета, которым важно научить ребенка

Этикет бывает не только за столом и в общении со старшими, но и цифровой. Именно во времена, когда вся семья дома, важно объяснить ребенку, что на ужине лучше отложить смартфон, и почему адрес почты macho2004 — плохая идея для переписки с учителем. Рассказываем о важных правилах цифрового этикета.

В Госдуму внесли законопроект о разблокировке Telegram в России.
Авторы поясняют, что во время эпидемии COVID-19 чиновники «используют мессенджер Telegram официально как один из своих основных информационных ресурсов».

По словам руководителя «Роскомсвободы» Артема Козлюка, форма инициативы вызывает опасения: «Странно, что депутаты решают вопрос с разблокировкой через законопроект. Это продолжение какого-то ситуативного ручного законотворчества, что не совсем нормально. Также тут прослеживается новая реинкарнация „белых списков сайтов“, что может в последствии нанести больший вред. Депутаты могли подойти к решению этого вопроса с другой стороны: инициируя депутатские запросы и расследуя деятельность Роскомнадзора, ФСБ и суда по „делу Telegram“. А также могли бы, собравшись с духом, внести законопроект по отмене реестра »Организаторов распространения информации интернете" (а также всего «пакета Яровой»), как нормам, противоречащим Конституции в плане нарушения тайны связи и неприкосновенности частной жизни".
#новости The Insider