Самые важные события в мире информационной безопасности за сентябрь.

Часть вторая:
• Уязвимость года
• Взломы бирж
• Утечка Windows XP
• Вымогательские атаки месяца
• Bluetooth: BLESA

​​В выпуске Chrome 86 улучшены функции защиты паролей

Компания Google выпустила стабильную версию своего браузера Chrome 86. Новый выпуск включает в себя многочисленные улучшения, связанные с безопасностью паролей.

В феврале 2019 года Google представила сервис под названием Password Checkup, призванный предупредить пользователей при использовании комбинаций логинов и паролей, ранее применявшихся на взломанных сайтах. Как сообщили представители техногиганта, с выпуском Chrome 86 данная функция (известная как Safety Check с мая 2020 года) теперь доступна в мобильных версиях Chrome для Android и iOS.

Кроме того, сама функция Safety Check также получила обновления. Начиная с Chrome 86, Safety Check поддерживает стандарт «.well-known / change-password» — стандарт W3C, позволяющий web-сайтам указывать URL-адрес, по которому пользователи могут перейти для изменения своих паролей. Таким образом, пользователи Chrome 86 могут нажать кнопку на экране настроек пароля Chrome и сразу перейти на необходимую страницу для смены пароля, а не искать ее по сложной структуре сайта.

Google также расширяет функцию touch-to-fill на iOS. Первоначально запущенная на Android в июле, функция обнаруживает сайт, на который пользователь переходит, а затем предлагает автозаполнение паролей, если учетные данные были ранее записаны.

Функция была создана для того, чтобы пользователи не могли автоматически вводить пароли на фишинговых сайтах, но она также позволяет вводить пароли в формы авторизации одним касанием пальца, без необходимости пролистывать десятки или сотни записей. Начиная с Chrome 86, новая функция также присутствует в iOS, где в качестве дополнительной функции безопасности пользователям также будет предложено пройти аутентификацию с помощью биометрических данных перед автоматическим заполнением паролей. Это включает использование Face ID, Touch ID или кода доступа телефона в крайнем случае.
#новости

​​Cisco и Инфосэл предлагают участникам IT рынка и собственникам бизнеса воспользоваться триальной версией платфоры Cisco Webex и в течение 30 дней
без какой-либо оплаты и убедиться в ее несомненных преимуществах:
- Полностью безопасное виртуальное рабочее пространство для бизнеса любого формата и размера;
- Простая и быстрая настройка;
Cisco Webex отлично интегрируется с уже существующими IT-решениями: вы продолжаете использовать то, что у вас уже есть, по мере роста организации;
- Cisco Webex дарит полную масштабируемость. Это лучшие в отрасли возможности для встреч и звонков;
- Свободный и безопасный обмен файлами и сообщениями. Подключения в любое время, в любом месте и с любого устройства;

Получить пробную версию Cisco Webex с полным функционалом на 30 дней и узнать о платформе подробнее можно по ссылке:
https://webex.infocell.ru/?utm_source=telegram&utm_medium=cpm&utm_campaign=09_20

Как остановить хакеров: боремся с устаревшим ПО и небезопасными протоколами.

Согласно исследованию ptsecurity, 47% уязвимостей, выявленных на сетевом периметре компаний, могут быть устранены установкой актуальных версий ПО. В этой статье мы расскажем о том, насколько опасно отсутствие обновлений, к каким последствиям оно приводит и как можно помешать злоумышленникам атаковать вашу инфраструктуру.

Запуск Nvidia Maxine, релиз Google Tone Transfer, удаление заражённых приложений из Google Play и другие новости ИТ

• Русскоязычный разработчик создал deepfake-технологию для виртуальных примерочных: она меняет не только лицо, но и фигуру. Это позволит клиентам интернет-магазинов «примерять» одежду на своей фигуре, а не на модельной, рассчитывает разработчик.
• «Одноклассники» предложили разработчикам создать алгоритм для поиска «токсичных» комментариев. Лучшее решение будут использовать в работе соцсети и передадут некоммерческим организациям и СМИ.
• Microsoft начала проверку утечки исходного кода Windows XP, которая произошла 25 сентября. Неизвестные опубликовали ссылку на файл с почти 43 ГБ архива с исходным кодом Windows XP и Server 2003, который можно скачать через Torrent.
• Nvidia показала нейросеть Maxine для «исправления» лица человека в видеозвонке. Она будет обрабатывать звонки в облаке с помощью графических процессоров Nvidia.
• Google прекратила поддерживать свою VR-платформу Daydream. Сам проект закрыт с 2019 года: тогда компания обещала поддерживать сервис для существующих пользователей, а спустя год окончательно отказалась от него.
• Google обязала Netflix, Spotify и других перейти на платёжную систему компании и платить 30% комиссии, как у Apple. Разработчики должны сменить платёжную систему до 30 сентября 2021 года.
• Mail.ru Group запланировала запуск сервиса облачного гейминга My.Games Cloud. Компания может начать тестировать сервис в 2020 году.
• Google выпустила сервис Tone Transfer, который превращает напетую мелодию в качественный музыкальный трек.
• Google удалила 17 приложений для Android, зараженных Joker. Эта программа-шпион получала доступ к SMS-сообщениям, спискам контактов на телефоне и информации об устройстве.
• Amazon анонсировала технологию распознавания людей по ладони Amazon One. Изначально она будет внедряться в физические магазины ритейлера для оплаты покупок.
• В октябрьском выпуске рейтинга языков программирование TIOBE Python вплотную приблизился ко второму месту и готов потеснить Java, достигнув рекордной для себя доли в 11,28%.
#новости revolut

​​На интенсиве «Старт в кибербезопасности: Level 0» вместе с ИБ-экспертом вы разберетесь, как анализировать безопасность ОС, проводить MITM-атаки и разрабатывать эффективные системы защиты🔥

Что это вам даст?

— Получите необходимые знания о профессии, чтобы оценить свои силы и перспективы
— Детально разберетесь с чего начинается эффективная система информационной безопасности
— Поймете принципы осуществления кибератак и получите реальный опыт
— Подготовитесь к поступлению на профессиональную программу «Специалист по информационной безопасности»

Интенсив проведет Ильдар Садыков, действующий руководитель отдела ИБ Федерального бюро МСЭ Министерство труда и социальной защиты РФ. Управляет 2 000 системами в 85 регионах РФ.

Примите участие в интенсиве и обеспечьте себе уверенный старт на пути к востребованной профессии🚀

Записаться на интенсив: https://is.gd/RSDxkz

Киберпартизаны: что известно о хакерах, которые хотят разрушить режим Лукашенко

Протесты после выборов в Беларуси продолжаются уже почти два месяца в масштабах, каких страна не видела уже много лет. Еще одной отличительной чертой новой протестной волны стало "цифровое сопротивление" в интернете. Анонимные хакеры взламывают государственные сайты и собирают информацию о сотрудниках силовых ведомств.
Поговорим о том, чем отличаются две команды киберпартизан в РБ, реакции властей и контр-киберпартизанах.

Прокачать навыки в сфере защиты интеллектуальных прав, повысить востребованность на рынке труда и понять, каким образом можно зарабатывать внушительные суммы, продавая перспективные разработки, – 19 октября в Центре Digital IP стартует программа повышения квалификации
«Интеллектуальная собственность в цифровой экономике». Это базовый курс, который позволяет изучить все аспекты интеллектуальных прав и их место в современном обществе.
По промокоду DIP10 можно получить 10% скидку при его оплате на сайте: https://clck.ru/RQuYh.

Также в рамках программы вы сможете узнать о выявлении, противодействии и минимизации вредных последствий от кибератак, о проблемах неприкосновенности частной жизни в цифровой среде, а также об инфраструктурных рисках.

Кстати, две вводные лекции можно послушать бесплатно! Вы узнаете: 
• какие сервисы нужно использовать, чтобы сэкономить на услугах патентных поверенных;
• какие правоотношения связывают создателей, распространителей и потребителей контента;
• когда выгоднее всего подать заявку на получение охранного документа;
• как самостоятельно защитить и монетизировать интеллектуальную собственность без лишних затрат;
• как эффективно преодолевать территориальные барьеры и различия правовых систем при защите интеллектуальной собственности.
Занятия проведут управляющий партнер Центра интеллектуальной собственности «Сколково» Антон Пушков и директор Научно-образовательного центра интеллектуальной собственности и цифровой экономики Екатерина Чуковская.
Узнать подробности и записаться: https://clck.ru/RQuah

Роскомнадзор запросил информацию о кеш-серверах Google. Их запрет ударит по YouTube

Российские операторы связи получили письма Роскомнадзора с требованием предоставить информацию о наличии подключения к серверам Google Global Cache. Достоверность писем уже подтвердили несколько крупных провайдеров.

Кеширующие узлы Google Global Cache (GGC) устанавливают в сетях крупных интернет-провайдеров, значительный процент трафика которых составляют ресурсоемкие услуги Google, например, YouTube, Google Maps.
На серверах временно хранится популярный контент, который часто запрашивают пользователи. Это позволяет не получать его каждый раз напрямую из дата-центра Google, а подгружать первую копию.
Если отказаться от GGC, то нагрузка на сервера Google и магистрали провайдера увеличится. Основной удар примет на себя видеохостинг YouTube.

Специалисты предупреждают, что изоляция рунета может замедлить скорость интернет-соединения в 625 раз.
#новости forklog

Как обезопасить личные данные в приложениях и социальных сетях

У большинства приложений на смартфоне есть доступ к вашему коду от карты. Когда вы оплачиваете фитнес онлайн, программа может сохранить не только платежную информацию, но и персональные данные. Для удобства пользователей доставка часто подразумевает включение вашего адреса в базу контактов. Учитывая сложность и специфику современных технологий, разработчики не всегда ставят в приоритет защиту приватности и анонимность при использовании популярных приложений. Мы получаем таргетированную рекламу, обсуждая определенную тему по телефону, а контент наших новостных лент в социальных сетях генерируется посредством отслеживания лайков и комментариев. За многими действиями пользователя следят аналитики, маркетологи и искусственный интеллект, цель которых создать идеальный контент для каждого клиента.

Основатель сервиса по блокировке рекламы 1Blocker Салават Хасанов рассказывает, как минимизировать риски опубликования данных в диджитал-поле и как использовать приложения безопасно.

​​Какие направления информационной безопасности изучить для применения их в разработке?

28 ноября в 18:00 на бесплатном вебинаре «Кто такие Security Champions, как им стать и причем здесь DevSecOps?» мы поговорим о мире безопасности приложений, разберем основные понятия информационной безопасности и концепции разработки SSDLC.

Какие будут результаты?

🚩Узнаете, кто такие Security-чемпионы, и почему их так мало в современных командах разработки

🚩Разберетесь, почему сложно сделать приложение безопасным сразу, и что с этим делать

🚩Научитесь видеть и править баги, не исправленные на ранних этапах жизненного цикла продукта

🚩Разберете основы концепции разработки SSDLC, практик DevSecOps и типовых уязвимостей OWASP

🚩Узнаете о мире безопасности приложений и рассмотрите основные понятия

Проведет вебинар и ответит на ваши вопросы Иван Афанасьев — Application Security Specialist и эксперт Vulnerability Management, Penetration Testing и Application Security. За плечами Ивана 6 лет опыта и десятки проектов по безопасной разработке.

Примите участие в вебинаре и расширьте свои знания о мире безопасности приложений🤘

Регистрируйтесь по ссылке:
https://is.gd/8t5BMI

Развалившаяся сделка «Яндекса» и Тинькофф банка

Сделка года между «Яндексом» и Тинькофф банком развалилась, не прожив и месяца, — в пятницу банк объявил о разрыве переговоров, а Олег Тиньков и управляющий директор «Яндекса» Тигран Худавердян обменялись взаимными претензиями через письма к сотрудникам своих компаний. Переговоры шли гладко, пока информация о сделке не стала публичной, утверждают источники с обеих сторон сделки, а их провал объясняют по-разному: один — завышенными требованиями и эмоциями Олега Тинькова, а второй — «кабальными условиями», которые выдвигал «Яндекс».

🔥 Подборка самых интересных каналов про IT, хакинг и безопасность.

@Hacckingbook - добро пожаловать в Библиотеку! Тут ты найдешь огромное кол-во литературы по программированию (JavaScript, HTML, CSS, Python и многое другое) для всех уровней и интересов.

@webware - Официальный канал Codeby.net. Хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…

@dataleak - Все об утечках данных. Ежедневный уникальный контент. Это один из базовых каналов, на который должен быть подписан специалист в сфере IT-безопасности.

@SecLabNews - Канал  русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.

@vschannel - канал Дмитрия Момота (aka VektorT13). Он рассказывает про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.

​​Ждём всех, кто занимается цифровой трансформацией и активно интересуется современными технологиями, на большой онлайн-конференции Dell Technologies World 21 и 22 октября. Ведущие эксперты в этих областях со всего мира поделятся личным опытом и расскажут об основных трендах и передовых подходах к цифровизации. Главный спикер – сам Майкл Делл.

Регистрируйтесь заранее и обязательно изучайте программу – в ней вы точно найдётся что-нибудь интересное именно для себя!

Freedom House: свободы в Рунете становится меньше на фоне глобальных коронавирусных ограничений

Американская неправительственная организация Freedom House, изучающая состояния политических и гражданских свобод, выпустила отчёт Freedom on the Net 2020, в котором исследовала уровень свободы интернета в 65 странах в период с 1 июня 2019 по 31 мая 2020. Кроме всего прочего, в текущем году на онлайн-свободах сказалась пандемия COVID-19.

Ключевые события: новые полномочия Роскомнадзора в рамках «суверенизации» российского сегмента Сети, тестирование оборудования для фильтрации трафика, блокировка зашифрованных сервисов электронной почты и внедрение систем наблюдения во время пандемии COVID-19

Три главные тенденции 2020 года:
— использование правительствами  пандемии как предлога для ограничения доступа к информации;
— расширение на фоне пандемии надзорных полномочий государства и развёртывание новых технологий, которые ранее считались слишком инвазивными;
— раскол интернета и гонка за киберсуверенитетом, ведущая к ограничениям потоков информации по национальным границам.

​​HackerU Defensive CTF  — защити свою ИТ-крепость от атак извне✊

30 октября мы запускаем новый Capture The Flag (CTF) — HackerU Defensive CTF, участникам которого нужно будет разобраться с тем, что произошло в их сети.

Расследовать несколько инцидентов и обнаружить следы злоумышленника в отдельных системах ИТ-инфраструктуры необходимо будет за 48 часов.

Все участники турнира получат скидку на участие в интенсиве-практикуме «CyberSecurity: Level 0»🤘

Лучшие же 10 участников смогут использовать сертификат с 20% скидкой, поступив на наши профессиональные курсы. Главный приз — годовая подписка на материалы «Xakep.ru»🔥

Мы ждём как новичков в активном поиске знаний, так и специалистов, желающих протестировать свои боевые навыки! Любые вопросы вы можете задать в чате канала HackerU СTF: https://teleg.one/HackerU_CTF

Регистрируйтесь на HackerU Defensive CTF прямо сейчас по ссылке: http://defensive-ctf.hackeru.pro/about

Будущее интернета: децентрализация и новый цифровой завет. Часть 6

У децентрализации сети в последние годы появляется всё больше адептов — от организаций до простых пользователей. Сегодня поговорим об альтернативных сетях. Но и не только.

Сервисы, разработанные в соответствии со стандартами новой техно-этики, объединяет стремление дать пользователям инструменты, которые вернули бы им контроль над собственными данными и инструменты их защиты. Не только потому, что это естественное право каждого, но и потому, что такие инструменты помогают противостоять угрозам и рискам централизованного интернета — слежке, цензуре, торговле личными данными и ограничению доступа.

Тем не менее, прекрасный децентрализованный интернет будущего построить пока не удалось. На этом пути стоят сразу несколько серьёзных препятствий.
#future

​​29 октября в 11:00, Чт
Вебинар «Почему облако не всегда подойдет для обработки персональных данных?»
У вас свой бизнес, вы занимаетесь it-администрированием или информационной безопасностью? Есть распространенное мнение, что соответствие 152-ФЗ — это всегда дорого и сложно, но необходимо всем.

Для тех, кто работает с персональными данными, 29 октября @selectelnews проведет вебинар, где понятным языком расскажет о тонкостях выбора инфраструктуры для соответствия 152-ФЗ, и почему аттестация информационных систем пригодится не всем 👮‍♂️

Пропустите вебинар, так и не узнаете:

— Какие инфраструктурные решения для размещения персональных данных есть на рынке?
— Как определить необходимый вам уровень защищенности и обеспечить соответствие 152-ФЗ?
— Почему все больше компаний инвестируют в защиту персональных данных?
— Зачем нужна аттестация информационных систем и почему она не всем необходима?

Регистрируйтесь по ссылке:
https://slc.tl/alQre

Как выбрать действительно бесплатную игру для смартфона

Мобильные игры всегда под рукой — поездку на метро или очередь в поликлинике можно скоротать за битвой в Fortnite или PUBG, а обеденный перерыв совместить со сбором ресурсов в Clash of Clans. К тому же многие разработчики готовы предоставить подобные развлечения бесплатно.

Мобильных игр формате free-to-play множество. Вот только если одни из них приносят удовольствие, то другие больше раздражают: заваливают рекламой, требуют платить на каждом шагу, а иногда вообще не работают, загружая вместо этого кучу бесполезных или вовсе вредоносных приложений.

В этом посте мы расскажем, как искать бесплатные развлечения для iOS и Android без лишних нервов и риска подцепить на смартфон что-нибудь неприятное.

​​Власти следили за прибывшими из-за границы в начале эпидемии коронавируса

Российские власти рассказали о схеме слежки за людьми, вернувшимися в Россию из-за рубежа в начале пандемии COVID-19. Для этой цели по соглашению с мобильными операторами под контроль брались SIM-карты прибывших в страну, сообщило издание РБК.

«Турист прилетал из любой страны, включал телефон. Соответственно, мы знали, из какой страны он прилетел. Оператор знал эту информацию: номер такой-то, дата регистрации в российской сети такая-то, предыдущая сеть - например, Турция. Далее автоматически телефон ставился на контроль», - рассказал Министр цифрового развития, связи и массовых коммуникаций Максут Шадаев.

На основе данных мобильного оператора удавалось определить, где владелец телефона проводил первую ночь в России.

По словам министра, координата первой ночи бралась как базовая по месту жительства. Далее человек получал уведомление о двухнедельной самоизоляции. В случае, если гражданин покидал пределы определенной зоны (расстояние от 500 м до 1 км), оператор информировал его об этом.

Как рассказал Шадаев, номер вернувшегося в страну передавался региональным властям в том случае, если человек не возвращался в «ночной сектор».
#новости