TravelKLab янв.-февр. 2023: завтрак-стрим со Шпиленком, Фототуризм, 6 лет клубу и Е.К. о Курилах
Автор
ivan.laure
в Жизнь «Лаборатории Касперского»
-
Похожий контент
-
Автор KL FC Bot
Новая недавно обнаруженная уязвимость WhisperPair позволяет превратить Bluetooth-наушники и гарнитуры многих известных фирм в трекинговые маячки для слежки за их владельцами, вне зависимости от того, подключены ли эти аксессуары к iPhone, Android-смартфону или даже ноутбуку. И несмотря на то, что технология, особенности реализации которой производителями гарнитур сделала возможной данную уязвимость, разработана в Google для Android-устройств, риски слежки оказываются куда выше у тех, кто использует уязвимые гарнитуры с устройствами под управлением других ОС — iOS, macOS, Windows или Linux — а владельцев iPhone это касается в первую очередь.
Первичное подключение Bluetooth-наушников к Android-смартфонам стало проще и быстрее, когда Google внедрила технологию быстрого сопряжения Fast Pair, которую взяли на вооружение десятки производителей аксессуаров. Чтобы сопрячь со смартфоном новую гарнитуру, поддерживающую эту технологию, достаточно включить ее и поднести к смартфону. Если тот достаточно современный (произведен после 2019 года), на его экране всплывет окошко с предложением подключиться к гарнитуре и загрузить фирменное приложение для наушников, если оно существует. Одно касание — и дело сделано.
К сожалению, многие производители гарнитур, видимо, неправильно прочитали инструкцию к этой технологии, поэтому их аксессуары можно за считаные секунды подключить к чужому смартфону, даже если гарнитура не находится в режиме сопряжения. В этом суть уязвимости WhisperPair, недавно найденной исследователями из Лёвенского университета и получившей номер CVE-2025-36911.
Вредоносное устройство — обычный смартфон или ноутбук атакующего — транслирует запросы Google Fast Pair и пытается соединиться с BT-устройствами в радиусе 14 метров. Как выясняется, на эти запросы, даже не находясь в режиме сопряжения, откликаются многие наушники Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus и даже Pixel Buds 2 от Google. На атаку в среднем требуется 10 секунд.
View the full article
-
Автор KL FC Bot
Миллионы ИТ-систем, включая индустриальные и IoT, начнут непредсказуемо вести себя 19 января. Среди возможных сбоев: проблемы в обработке карточных платежей, ложные срабатывания систем безопасности, некорректная работа медицинского оборудования, сбои систем автоматизированного освещения, отопления и водоснабжения и тысячи более безобидных ошибок. Правда, произойдет это в 2038 году, но это не повод расслабляться — времени на подготовку уже недостаточно. Причиной вороха разных проблем станет переполнение переменных, в которых хранится дата и время. Хотя первопричина ошибки проста и понятна, ее устранение потребует обширных и систематизированных усилий, причем как от государств и международных структур, так и от конкретных организаций и частных лиц.
Негласный стандарт «эпохи» Unix
Unix Epoch — это система отсчета времени, принятая в операционных системах Unix и ставшая популярной в ИТ-индустрии. Отсчет ведется с момента 00:00:00 UTC 1 января 1970 года, который принят за нулевую точку. Любой момент времени представляется как количество секунд, прошедших с этой даты. Для дат ранее 1970 года используются отрицательные значения. Этот подход был выбран разработчиками Unix для простоты — вместо хранения года, месяца, дня и времени по отдельности достаточно одного числа, с которым удобно проводить манипуляции вроде сортировки или определения промежутка между датами. Сегодня Unix Epoch используется далеко за пределами Unix-систем: в базах данных, языках программирования, сетевых протоколах, в смартфонах на iOS и Android.
View the full article
-
Автор KL FC Bot
Жизнь современного директора по ИБ (также известного как CISO, Chief Information Security Officer) — это не только борьба с хакерами, но и бесконечный квест под названием «соответствие требованиям». Регуляторы закручивают гайки, стандарты растут как грибы, и головной боли только прибавляется. И самое «веселое» тут то, что отвечать приходится не только за свой периметр, но и, фигурально выражаясь, «за того парня». За всю вашу цепочку поставок (supply chain), за всех подрядчиков и за весь тот «зоопарк» софта, на котором крутятся ваши бизнес-процессы. Логика тут железная и, увы, беспощадная: если дыра найдется у вашего поставщика, а проблемы начнутся у вас — спросят-то в итоге с вас! Распространяется эта логика и на защитное ПО.
В былые времена компании редко задумывались, что там внутри ИБ-решений и продуктов, которые они использовали. Сейчас бизнес, особенно крупный, хочет знать: а что там внутри этой «коробки»? А кто код писал? А оно не обвалит нам какую-нибудь важную функцию или, например, вообще все (а то прецеденты всякие случались, см. случай с обновлением CrowdStrike 2024 года)? Где и как обрабатываются данные? Это абсолютно правильные вопросы!
Проблема в том, что пока они часто повисают в воздухе. Почти все заказчики производителям доверяют, очень часто вынужденно, просто потому, что другого варианта нет. Конечно, более зрелый подход в нынешней киберреальности — проверять.
На корпоративном языке это называется доверие к цепочкам поставок (supply chain trust), и решать эту задачку самостоятельно — та еще головная боль. Тут нужна помощь производителя. Ответственный вендор готов показывать, что под капотом решений, открывать исходный код партнерам и заказчикам для проверки — в общем, заслуживать доверие не красивыми слайдами, а «железобетонными» практическими шагами.
Кто уже делает это, а кто застрял в прошлом? Отвечает свежайшее, фундаментальное исследование от коллег из Европы. Его провели уважаемый тестер AV-Comparatives, Экономическая палата Австрии (WKO), бизнес-школа MCI The Entrepreneurial School и юридическое бюро Studio Legale Tremolada.
Короткий вывод исследования: эпоха черных ящиков в кибербезе закончилась. RIP. Аминь. Будущее — за теми, кто не прячет исходные коды и отчеты об уязвимостях и дает клиентам максимум выбора при настройке продукта. И в отчете четко написано, кто не только обещает, но и реально делает. Угадайте кто?
Правильно, мы!
View the full article
-
Автор KL FC Bot
В 2025 году исследователи кибербезопасности обнаружили несколько открытых баз данных различных ИИ-инструментов для генерации изображений. Уже этот факт заставляет задуматься о том, насколько ИИ-стартапы заботятся о приватности и безопасности данных своих пользователей. Но куда большую тревогу вызывает характер контента в этих базах.
Большое количество сгенерированных картинок в этих базах данных — изображения женщин в белье или вовсе обнаженных. Часть из них явно была создана на основе детских фотографий или же предполагала омоложение и оголение взрослых женщин. И наконец, самое неприятное. Некоторые порнографические изображения были сгенерированы на основе совершенно невинных фотографий настоящих людей, вероятно, взятых из соцсетей.
Сегодня поговорим о том, что такое секс-шантаж и почему из-за ИИ-инструментов его жертвой может стать любой, опишем содержание обнаруженных открытых баз данных, а также дадим советы, как не стать жертвой секс-шантажа в эпоху ИИ.
Что такое секс-шантаж
Секс-шантаж в эпоху Интернета превратился в настолько распространенное явление, что даже обрел в мире собственное название – sextortion (сочетание слов sex и extortion – вымогательство). Разные его виды мы уже подробно рассматривали в посте Пятьдесят оттенков секс-шантажа. Напомним, что при этой разновидности шантажа жертву запугивают публикацией интимных изображений или видео, чтобы заставить выполнить какие-то действия или выманить деньги.
Ранее жертвами секс-шантажа обычно становились работницы индустрии для взрослых или женщины, поделившиеся интимным контентом с ненадежным человеком.
Однако активное развитие искусственного интеллекта и особенно технологии преобразования текста в изображения (text-to-image) коренным образом изменило ситуацию. Теперь жертвой секс-шантажа может стать буквально любой человек, выложивший в публичный доступ свои самые невинные фотографии. Все дело в том, что генеративный ИИ дает возможность быстро, легко и достаточно правдоподобно «оголить» людей на любых цифровых изображениях или за несколько секунд подставить к голове человека сгенерированное обнаженное тело.
View the full article
-
Автор KL FC Bot
Благодаря удобству технологии NFC и оплаты смартфоном, в наши дни многие вообще перестали носить кошелек и не могут вспомнить ПИН-код от банковской карты. Все карты «живут» в платежном приложении, оплатить которым покупку быстрее и проще, чем доставать физическую карту. Мобильные платежи еще и безопасны — технология разрабатывалась относительно недавно и предусматривает многочисленные защитные меры от мошенничества. Тем не менее злоумышленники изобрели несколько вариантов злоупотребления NFC для кражи денег с ваших карточек. К счастью, для защиты своих средств достаточно знать об этих трюках и избегать опасных сценариев пользования NFC.
Что такое ретрансляция NFC и NFCGate
Ретрансляция NFC — это техника, при которой данные, бесконтактно передаваемые между источником (например, банковской картой) и приемником (например, платежным терминалом), перехватываются на одном промежуточном устройстве и в реальном времени передаются на другое. Приложение для ретрансляции устанавливается на два смартфона, связанных через Интернет. Карту прикладывают к первому смартфону, а второй смартфон подносят к считывателю в терминале или банкомате — и с их стороны все выглядит так, будто рядом находится настоящая карта, хотя физически она может быть в другом городе или даже стране.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти