Рубрика «CrossOver» - 3

Исследователи нашли способ обнаружения и обхода Honeytoken-ключей в ряде сервисов Amazon - 1

В современной парадигме информационной безопасности для масс прочно укрепилось мнение, что cyber security — это дорого, сложно, а для рядового пользователя фактически невозможно. Так что если вы хотите в полной мере защитить свои данные и персональную информацию, то заведите себе аккаунт у Google или Amazon, прибейте его гвоздями в плане идентификации владельца и периодически проверяйте тревожные оповещения, что большая и сильная компания пресекла очередную попытку входа.

Но люди, разбирающиеся в ИБ всегда знали: облачные сервисы намного более уязвимы, чем отдельная рабочая станция. Ведь в случае форс-мажорной ситуации ПК можно физически ограничить доступ в сеть, а там уже начинается гонка по смене явок и паролей на всех атакуемых направлениях. Облачная же инфраструктура огромна, зачастую децентрализована, а на одном и том же физическом носителе могут храниться данные нескольких клиентов, либо наоборот, данные одного клиента разнесены по пяти континентам, а объединяет их лишь учетная запись.

Короче говоря, когда интернет был сравнительно свеж и юн (а было это в 2003 году), тогдашние специалисты по информационной безопасности внимательно посмотрели на систему защиты от переполнения буфера 1997 года, и разродились технологией, которую сейчас мы называем Honeytoken или Canarytoken. И пятнадцать лет они исправно работали (и до сих пор работают), вот только последнее исследование говорит, что вместо последнего рубежа обороны в ряде сервисов AWS, Honeytoken превратился в зияющую дыру в ИБ из-за особенностей реализации на стороне Amazon.
Читать полностью »

Невыдуманные IT-истории о самозванцах и почему появились эти непонятные практики на собеседованиях - 1
Типичный кандидат по версии излишне рьяных «охотников на самозванцев»

Несколько дней назад Филипп fillpackart Ранжин выпустил статью под заголовком «Хватит подозревать разрабов в самозванстве. Научитесь лучше собеседовать», в которой поднял очень острую для индустрии проблему неадекватных собеседований. Я ее прочитал, ужаснулся, прочитал еще раз и задумался: «а почему вообще такая фигня происходит?». С этим вопросом я отправился к паре знакомых HR-специалистов и директору Crossover Russia Владимиру vme Еронину (что в итоге вылилось в статью в блоге) и, как оказалось, ноги подобных неприятных и непонятных практик растут, как обычно, не из нашей собственной культуры найма.

К сожалению, тренд на слепое копирование всего и вся, «чтоб было не хуже, чем на Западе», жив и в 2018 году. И если в иностранных компаниях подобные вещи хоть как-то можно оправдать, закрыв глаза на градус маразма, то для России и стран СНГ множество из выработанных заокеанскими коллегами механизмов вообще неприменимы. Вот только не все HR-специалисты и руководители это понимают.

На самом деле в нашем регионе почти нет самозванцев и все, что написал Филипп Ранжин в своей статье справедливо. Не знаю, связано это с культурой или общим уровнем стыдливости, которые присущи нашему обществу, но почти все истории, которые я услышал, были связаны с выходцами из Азии и Индостана.

Так что, если вы считаете, что самозванцев в IT не существует и никто не будет в здравом уме проходить собеседование на Senior Java, не имея достаточных навыков, то добро пожаловать под кат, я вас удивлю.
Читать полностью »

*Эта функция была введена с версией 69 и вызвала неоднозначную реакцию сообщества. Исправление выйдет только с патчем 70 в середине октября.

Один из главных скандалов вокруг Google за последнюю неделю связан с незаметной, но потенциально крайне неприятной функции автоматического подключения профиля пользователя Chrome после логина на любом из ресурсов компании. При этом Cookies, связанные с гугло-сервисами, невозможно удалить средствами браузера даже через расширенные настройки браузера.

Новая «особенность» Chome появилась с последним обновлением до версии 69, которая кроме значительных визуальных изменений привезла аудитории еще и «новый UX» в плане логина. Большинство пользователей не отключает использование Cookies, предпочитая безопасности комфорт, однако в неприятном положении оказались люди более сознательные, а также все те, кому надо войти в свою Google-почту или аккаунт YouTube на чужих машинах с последующей очисткой истории браузера.
Читать полностью »

Детские приложения массово собирают персональные данные и передают их третьим лицам - 1

К детской продукции всегда выдвигались особые требования. Тут и безопасность, надежность, простота, возможность удаленного управления, если мы говорим о детских устройствах и сервисах, и много чего еще. Функция «родительских контроль» почти так же стара, как и весь цифровой мир, кроме этого вопрос защиты персональных данных детей стоит остро уже достаточно давно.

Но даже если ваш ребенок обладает достаточной технической грамотностью и знаком с правилами поведения в сети (не разглашать свои персональные данные, реальное место жительства, график, маршруты и так далее по вполне понятным нам всем причинам), от утечки этой информации он не защищен. В последнем исследовании говорится, что огромная масса детских приложений с пометкой «до 13 лет» следят за своими юными пользователями так же, как за нами, взрослыми, следят приложения Facebook или Google.

Простенькие игры, цель которых — развитие или развлечение чада, вполне себе собирают всевозможную информацию от устройства и датчиков, в том числе и данные геолокации и акселерометра. Кстати говоря, за детьми в нарушение закона следят и крупные технологические компании и социальные сети. И это серьезная проблема, особенно, если брать в расчет современное машинное обучение и нейросети.
Читать полностью »

Злоумышленники могут получить полный удаленный доступ к Android-устройству через порт публичной USB-зарядки - 1

С приходом в нашу жизнь USB-устройств и USB-портов одним из главных требований к безопасности стало внимательное отношение к точкам подключения, которые способны проводить передачу данных между девайсами. Собственно, по этой причине в ОС Android с самых ранних версий (с 2.0 так точно) существует опция ручного включения порта устройства в режим передачи информации с объектом подключения, т.е. с портом USB. Без активации этой функции устройство лишь заряжается от USB, игнорируя всякие (очевидные) запросы на обмен информацией от второй стороны.

Но Кевин Батлер и его исследовательская группа в области информационной безопасности Университета Флориды недавно обнаружили крайне элегантный и при этом довольно опасный способ атаки на пользовательские устройства через USB-порт. При этом сам порт выступает для наблюдателя лишь как источник питания и может размещаться в любом публичном или не очень месте, например, на зараженном ПК, в кафе или точке зарядки USB-устройств в аэропорте. Для атаки должно выполняться одно условие кроме доступа к обмену данными с портом зарядки со стороны злоумышленника: выход экрана смартфона из поля зрения хозяина (чтобы он не заметил, что устройство стало «жить своей жизнью»).

При этом пароль блокировки экрана обходится одной короткой командой, что дает атакующему доступ к главному экрану смартфона.
Читать полностью »

Сегодня пройдет первый матч между OpenAI и профессионалами Dota 2. Разбираемся, как работает бот - 1

[UPD]

Сегодня вечером, 22 августа, перед началом очередного дня плей-офф The International, в рамках шоу-активностей пройдет первый показательный матч между профессиональными игроками и ботом OpenAI Five. Информация о матчах появилась на официальном сайте Dota 2 в разделе с расписанием игр плей-офф The International. Всего OpenAI сыграет три матча за три дня с про-игроками. Первая игра состоится примерно в 18:30-19:00 по МСК (точное время пока не указано). Проследить за противостоянием ботов и профессионалов можно на официальной русскоязычной и англоязычной трансляции на Twitch.

Знаменательно это событие тем, что год назад бот уже «расправился» Даниилом Ишутиным в противостоянии 1x1 solo mid mirror SF, а несколько недель назад одолел «сборную солянку» из комментаторов и бывших про-игроков.

На этот раз разработке компании, которая спонсируется Илоном Маском и другими видными бизнесменами из IT-сектора предстоит встретиться с более серьезным противником: The International ежегодно собирает лучшие команды мира, так что ботам будет непросто. Пока команда разработчиков не сообщала, будут ли действовать все старые ограничения по пикам и механикам, которые были актуальны в игре против людей в начале месяца, но о них стоит напомнить.

Итак, старые правила выглядят следующим образом:

  • пул из 18 героев в режиме Random Draft (Axe, Crystal Maiden, Death Prophet, Earthshaker, Gyrocopter, Lich, Lion, Necrophos, Queen of Pain, Razor, Riki, Shadow Fiend, Slark, Sniper, Sven, Tidehunter, Viper, или Witch Doctor);
  • без Divine Rapier, Bottle;
  • без подконтрольных существ и иллюзий;
  • матч с пятью курьерами (ими нельзя скаутить и танковать);
  • без использования скана.

В комментариях к нашей прошлой публикации на эту тему разгорелось множество споров о методах обучения нейросетей. На этот раз мы принесли немного наглядных материалов о том, как работает бот OpenAI и как это выглядит с точки зрения людей.
Читать полностью »

Spectre и Meltdown больше не самые опасные атаки на CPU Intel. Исследователи сообщили об уязвимости Foreshadow - 1

В начале этого года информационное пространство потрясли новости о Spectre и Meltdown — двух уязвимостях, использующих спекулятивное исполнение кода для получения доступа к памяти (статьи и переводы на эту тему на Хабре: 0, 1, 2, 3, 4, 5, 6, 7, 8 и в поиске можно найти еще десяток других). Примерно в тоже время, когда техническое сообщество активно обсуждало снижение производительности процессоров Intel и проблемы архитектуры современных процессоров в целом, которые и позволяют эксплуатацию подобных дыр, две группы исследователей независимо друг от друга стали внимательнее исследовать вопрос спекулятивного исполнения кода на процессорах Intel.

Как итог, обе группы пришли к тому, что использование этого вектора атаки позволяет не только получить доступ к кэшу процессора, но и считывать/изменять содержимое защищенных областей Intel SGX (1, 2), в расшифровке — Intel Software Guard Extensions. Таким образом еще более серьезной атаке подвержены новейшие чипы от Intel на архитектурах Sky Lake (шестое поколение) и Kaby Lake (седьмое и восьмое поколение). И все было бы не так печально, если бы SGX использовалась только системой, но к этим областям обращаются и пользовательские приложения.
Читать полностью »

Подробный разбор матча по Dota 2 между OpenAI и людьми в формате 5x5. Люди проиграли - 1

Вчера, 5 августа, в Сан-Франциско состоялся шоу-матч между людьми и ботами OpenAI в дисциплине Dota 2. Еще в 2017 году в рамках шоу-матчей The International 2017 люди сражались с OpenAI в формате «1х1 mirror mid» и с целым рядом ограничений в пользу ботов (запрет на использование ряда предметов и механик), что закончилось поражением профессиональных игроков-мидеров.

Так как Dota 2 — дисциплина крайне разносторонняя и сложная для освоения, встреча между людьми и ИИ вновь проводилась с целым рядом ограничений, которые, однако, не слишком радикально влияли на игровой процесс:

  • пул из 18 героев в режиме Random Draft (Axe, Crystal Maiden, Death Prophet, Earthshaker, Gyrocopter, Lich, Lion, Necrophos, Queen of Pain, Razor, Riki, Shadow Fiend, Slark, Sniper, Sven, Tidehunter, Viper, или Witch Doctor);
  • без Divine Rapier, Bottle;
  • без подконтрольных существ и иллюзий;
  • матч с пятью курьерами (ими нельзя скаутить и танковать);
  • без использования скана.

Самое серьезное ограничение: крайне малый пул героев для обеих сторон. Сейчас в Dota 2 существует 115 персонажей с различными способностями и механиками их применения. OpenAI пока может совладать лишь с 18 из них. Встреча была максимально приближена к «реальным» условиям и проводилась в формате 5х5. Против ИИ играли обычные люди, в прошлом когда-то причастные к киберспорту, но сейчас не являющиеся киберспортсменами. Единственная поблажка для людей заключалась в том, что реакция ботов была ограничена 200 мс, чтобы избежать ситуаций с мгновенным «прожатием» кнопок. Итог: команда ИИ выиграла у людей со счетом 2-0 по картам. Выиграть у OpenAI удалось только после того, как героев для ИИ выбрал зрительный зал (Slark, Sven, Axe, Riki и Queen of Pain), по оценкам OpenAI шанс на победу с таким драфтом составлял всего 2,9%. Кроме этого, до начала главного матча, с ботами могли сыграть рядовые гости мероприятия, и в этих встречах доминирование ИИ было еще более наглядно, что впечатляет.
Читать полностью »

Telegram представил собственный сервис Passport для верификации и авторизации пользователей - 1

Команда Павла Дурова официально представила публике собственный сервис верификации и безопасной авторизации на сторонних ресурсах под названием Telegram Passport. Соответствующая запись была размещена в официальном блоге мессенджера Telegram. Доступ к сервису из сторонних платформ уже получил ресурс ePayments.com, в будущем ожидается значительное расширение этого списка.

Telegram Passport — унифицированный метод авторизации для сервисов, требующих персональную идентификацию пользователей. Загружайте ваши документы только один раз для того чтобы иметь постоянную возможность пользоваться сервисами, требующими реальные идентификационные данные (финансовые инструменты, ICO, и прочие).

К идентификации принимаются не только классические данные в виде ФИО, номера телефона и скана/фото паспорта, но так же и водительские удостоверения, ID-карты, данные о прописке, данные о временной регистрации. Кроме этого система принимает селфи с документами для подтверждения того, что идентификацию проходит реальный человек, а не злоумышленник, который завладел персональными данными пользователя.
Читать полностью »

Около 500 млн IoT-устройств подвержены атаке через подмену DNS - 1
Исследователи в области информационной безопасности из фирмы Armis сообщили на днях о том, что около 500 млн IoT-устройств подвержены атаке через перепривязку DNS. В ходе этой атаки злоумышленник привязывает устройство жертвы к вредоносному DNS, что в последующем позволяет проводить целый ряд операций. Так, атака позволяет в последующем запускать вредоносные процессы, собирать конфиденциальную информацию или использовать IoT-устройство в качестве промежуточного звена.

Если кратко, сама атака происходит по следующему сценарию:

  1. Атакующий настраивает собственный DNS-сервер для вредоносного домена.
  2. Атакующий предоставляет жертве ссылку на вредоносный домен (на этом этапе используется фишинг, IM-спам, XSS или маскировка вредоносной ссылки в рекламных объявлениях на популярных и полностью «белых» сайтах).
  3. Пользовательский браузер делает запрос на получение DNS-параметров запрашиваемого домена.
  4. Вредоносный DNS-сервер отвечает, браузер кэширует адрес.
  5. Согласно параметру TTL внутри первичного ответа DNS-сервера в одну секунду, браузер пользователя выполняет повторный DNS-запрос для получения IP-адреса.
  6. DNS злоумышленника отвечает целевым IP-адресом.
  7. Атакующий неоднократно использует вредоносный DNS-сервер для доступа ко всем интересующим IP-адресам в атакуемой сети для достижения своих целей (сбор данных, выполнение вредоносного кода и так далее).

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js