Автор
KL FC Bot,
в Новости и события из мира информационной безопасности
-
Похожий контент
-
От KL FC Bot
Наверное, в жизни каждого из нас хотя бы раз случалась поломка, так сказать, очень личного цифрового устройства — смартфона, планшета или ноутбука. В поломке может быть виноват сам пользователь — бесчисленные миллиарды долларов заработаны на замене разбитых экранов смартфонов. Но чаще всего это просто случайная неисправность: вышел из строя аккумулятор, умер жесткий диск, отвалилась клавиша на клавиатуре и так далее. Как говорится, с кем не бывает.
Увы, сейчас электроника устроена таким образом, что чинить ее самостоятельно часто не под силу даже самым рукастым ты-ж-программистам. Ремонтопригодность тех же смартфонов неуклонно снижается из года в год, и для починки современных моделей нужны уже не только прямые руки и общее понимание того, как устроены всякие цифровые штуковины, но еще и экзотические инструменты, специфические навыки, а также доступ к документации и запчастям.
Поэтому в момент, когда сломался смартфон или ноутбук, чаще всего у пользователя нет никакого выбора — придется обратиться в сервисный центр. Обычно даже выбросить, забыть и купить новый девайс — не вариант, потому что как минимум хочется спасти всю ту информацию, которая осталась на устройстве. Проблема в том, что вместе с самим пострадавшим устройством в руки совершенно постороннего человека придется отдать, собственно, и все личные данные, на нем хранящиеся. Фотографии и видео, переписка и история звонков, документы и финансовая информация — все вот это может оказаться в прямом доступе у незнакомого вам человека. И тут возникает вопрос: а можно ли этому человеку доверять?
Рабочий кинозал с домашним порно
Лично я очень серьезно задумалась над этим вопросом после рассказа моего знакомого, которому как-то довелось в частном порядке пообщаться с сотрудниками одного небольшого сервисного центра, занимавшегося ремонтом ноутбуков. Ремонтники совершенно не смущаясь рассказывали, что в этом сервисном центре для сотрудников и их друзей периодически проводятся «закрытые показы» домашнего порно, обнаруженного на попавших им в руки устройствах.
Подобные инциденты время от времени мелькают и в новостях: то в одном сервис-центре обнаружится сотрудник, ворующий приватные фотографии клиентов, то в другом. Иногда всплывают более масштабные истории — например, о сотрудниках сервисных центров, которые годами не просто воровали фотографии клиентов-женщин. Из них они собирали целые коллекции и даже обменивались ими.
Но ведь эти случаи — исключения из общей практики? Cовсем не в каждом сервисном центре сотрудники жаждут наложить руки на личные данные клиентов, правда? Исследование, которое недавно попалось мне на глаза, к сожалению, говорит об обратном. Из его результатов следует, что нарушение приватности клиентов работниками сервисов по ремонту электроники — гораздо более распространенная проблема, чем всем нам хотелось бы думать. Собственно, очень похоже на то, что излишнее любопытство ремонтников — скорее принятая в индустрии практика, чем какие-то отдельные вопиющие инциденты. Но не буду забегать вперед и расскажу обо всем по порядку.
View the full article
-
От KL FC Bot
Сегодня практически ни одна IT-конференция не обходится без обсуждений технологии SD-WAN. Ее предлагают использовать для того, чтобы управлять абсолютно разными вещами, от сети планеты до холодильников кофеен сетевого формата. Де-факто же однозначного отношения к SD-WAN пока не выработано. Казалось бы, технология уже отпраздновала десятилетие, а многие инженеры до сих пор задаются вопросом, не очередная ли это маркетинговая уловка.
Мы постараемся разобраться, что же такое SD-WAN, зачем и кому он нужен, а также почему ведущие исследовательские агентства мира предсказывают скорый повсеместный переход к сетям SD-WAN.
Что такое SD-WAN?
Если объяснять, не углубляясь в технические детали, SD-WAN — это решение для построения распределенных сетей, которое состоит из маршрутизаторов и интеллектуальной системы управления (SD-WAN контроллера и оркестратора). Маршрутизаторы устанавливаются непосредственно в филиалах компании, а система управления где-то в центральной точке — ЦОДе или головном офисе. С точки зрения технологии все компоненты SD-WAN могут быть сколь угодно разнесены друг от друга, главное, чтобы между ними была связность, например, через каналы Интернета. С помощью системы управления можно построить защищенные туннели между всеми филиалами, настроить политики безопасности и передачи данных по этим туннелям, а также централизованно контролировать работу всей сети.
View the full article
-
От KL FC Bot
Может показаться, что скрыть личную информацию на картинке — плевое дело. Берешь и замазываешь свои тайны черным маркером в приложении для обработки изображений. Или еще лучше: просто обрезаешь ту часть фотографии или скриншота, в которой содержатся секретные данные. Что тут может пойти не так?
Как ни странно, очень многое. Мы уже писали о том, как не надо скрывать информацию на изображениях и о том, как не следует ретушировать картинки, встроенные в документы. Но недавнее исследование показывает, что иногда можно сесть в лужу, даже приняв практически все мыслимые меры предосторожности, из-за бага в механизме работы приложения для обработки картинок. Рассказываем подробнее про то, как стандартные инструменты для редактирования изображений Google Pixel и Windows 11 могут выдать спрятанную на картинках информацию.
Как можно восстановить скрытую информацию на скриншотах, отредактированных в Google Pixel
Началось все с того, что исследователи безопасности Саймон Аронс и Дэвид Бьюканен обнаружили уязвимость, названную ими Acropalypse: штатный редактор изображений смартфонов Google Pixel сохраняет отредактированные PNG-файлы таким образом, что из них можно полностью или частично восстановить исходную картинку.
При работе с картинками в формате PNG приложение Markup — встроенный в Google Pixel редактор изображений — вместо сохранения полностью нового PNG-файла весьма своеобразно переписывает старый. Если вы обрежете картинку, то ее размер в байтах по сравнению с оригиналом, разумеется, уменьшится. То же самое произойдет, если вы замажете часть изображения одним цветом — за счет алгоритмов компрессии, очень хорошо сжимающих закрашенные сплошным цветом области, байтовый размер уменьшится. А сохраненный после редактирования из Markup файл имеет тот же размер, что и оригинал, — приложение просто перезаписывает новые данные поверх старых, оставляя в файле «хвост» данных исходной картинки. И с помощью созданного исследователями инструмента, который они уже, кстати, разместили онлайн, оригинал можно частично восстановить.
Вот как сами исследователи иллюстрируют происходящее:
Результат работы инструмента для восстановления картинки, отредактированной на Google Pixel. Источник
Тут, впрочем, стоит внимательно присмотреться к скриншоту: как видите, он одновременно и замазан, и обрезан. Таким образом обеспечивается важное условие: результирующее изображение по размеру существенно меньше оригинала. После сохранения отредактированной версии поверх исходной в конце файла остается много не перезаписанной информации, которую удается восстановить. А вовсе не восстановленная или восстановленная с ошибками область — верхняя треть результирующей картинки — пришлась как раз на ту часть скриншота, в которой нет ничего важного.
View the full article
-
От KL FC Bot
Несмотря на некоторые неприятности, произошедшие на рынке криптовалют за последние полгода, в сознании многих людей крипта до сих пор остается символом быстрого обогащения с минимальными усилиями. Поэтому не иссякает и поток мошенников, которые паразитируют на этой теме. Чтобы завлекать жертв в свои сети, эти мошенники продолжают придумывать все новые и новые истории, одна интереснее другой. Сегодня поговорим о свежей схеме, в которой пользователю предлагается забрать средства, якобы намайненные его аккаунтом в некой «автоматической облачной майнинговой платформе».
Пока вас не было, у вас тут намайнилось
Все начинается с письма с вложенным PDF-файлом, в котором получателя уведомляют о том, что он вот уже год не входил в когда-то зарегистрированный им аккаунт в некоем сервисе для облачного майнинга биткойнов с незамысловатым названием Bitcoin Cloud Mining. Между тем за это время у него на счету накопилась серьезная сумма — аж 0,7495 биткойна. Но вот беда: поскольку аккаунтом не пользовались почти год, он совсем скоро будет заблокирован, после чего намайненные деньги будут распределены между другими участниками платформы. Времени до блокировки остается немного — правда, не очень понятно, сколько именно: крупным шрифтом в письме указано «2 дня 23:58:38», а мелким — «в течение 24 часов». Но так или иначе, не все потеряно: еще можно успеть войти в аккаунт и забрать средства.
Во вложенном PDF мошенники обещают получателю крупную выплату, но для этого надо поторопиться — аккаунт вот-вот будет заблокирован
View the full article
-
От KL FC Bot
Фишинговая ссылка в теле письма — это прошлый век. Почтовые фильтры выявляют такую уловку практически со стопроцентной эффективностью. Поэтому киберпреступники постоянно изобретают новые способы выманивания корпоративных учетных данных. Недавно мы наткнулись на достаточно интересный вариант с использованием вполне легитимных серверов SharePoint. В этом посте мы расскажем, как эта схема работает и на что сотрудникам следует обращать внимание, чтобы не попасться.
Как выглядит фишинг через SharePoint
Сотруднику приходит шаблонная нотификация о том, что кто-то поделился с ним файлом. Скорее всего, она не вызовет у него ни малейшего подозрения (особенно если в компании действительно используется SharePoint). А все потому, что это действительно аутентичная нотификация сервера Sharepoint.
Легитимное извещение от сервера Sharepoint
View the full article
-
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.