Как я взломала секретные вопросы для своего Apple ID
Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор Vseslavs
Здравствуйте!
Я даже как-то пользовался платной версией. Сейчас тоже вновь готов заплатить, но 1 проблема. Время выходит, а ребёнок продолжает все равно играть. Интернет у него есть и игры запускаются. Хотя в разрешённых при блокированном телефоне у него только ватсап календарь, звонки по телефону. Почему, когда время выходит телефон, не блокируется, он все равно продолжает играть? Спасибо
-
Автор KL FC Bot
В этом году исполнилось 20 лет системе CVSS — Common Vulnerability Scoring System, ставшей общепризнанным стандартом описания уязвимостей. Несмотря на десятилетия использования и четыре поколения стандарта (на сегодня внедрена версия 4.0), рейтингом CVSS продолжают пользоваться неправильно, а вокруг самой системы порой бушуют серьезные споры. Что важно знать о CVSS для эффективной защиты своих ИТ-активов?
База CVSS
Как пишут в документации CVSS разработчики системы, CVSS — инструмент описания характеристик и серьезности уязвимостей в программном обеспечении. CVSS поддерживается форумом специалистов по ИБ и реагированию на инциденты (FIRST) и была создана для того, чтобы эксперты говорили об уязвимостях на одном языке, а данные о программных дефектах было легче обрабатывать автоматически. Практически каждая уязвимость, опубликованная в реестрах уязвимостей (CVE, БДУ, EUVD, CNNVD), содержит оценку серьезности по шкале CVSS.
Эта оценка состоит из двух основных компонентов:
числовой рейтинг (CVSS score), отражающий серьезность уязвимости по шкале от 0 до 10, где 10 — максимально опасная, критическая уязвимость; вектор — стандартизованная текстовая строка, описывающая основные характеристики уязвимости: можно ли ее эксплуатировать по сети или только локально, нужны ли для этого повышенные привилегии, насколько сложно эксплуатировать уязвимость, на какие характеристики уязвимой системы влияет эксплуатация уязвимости (доступность, целостность конфиденциальность) и так далее. Вот как выглядит в этой нотации опасная и активно эксплуатировавшаяся уязвимость CVE-2021-44228 (Log4Shell):
Base score 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
View the full article
-
Автор KL FC Bot
Исследователи обнаружили целую серию серьезных дырок в технологии Apple AirPlay. Это семейство уязвимостей и потенциальные эксплойты на их основе они назвали AirBorne. Данные баги могут быть использованы по отдельности или в сочетании для проведения беспроводных атак на разнообразную технику, поддерживающую AirPlay.
Речь в первую очередь идет об устройствах Apple, но не только о них: существует целый ряд гаджетов от сторонних производителей, в которые внедрена данная технология, — от умных колонок до автомобилей. Рассказываем подробнее о том, чем эти уязвимости опасны и как защитить свою технику с поддержкой AirPlay от возможных атак.
Что такое Apple AirPlay
Для начала немного поговорим о матчасти. AirPlay — это разработанный Apple набор протоколов, которые используются для стриминга аудио и (все чаще) видео между пользовательскими устройствами. Например, с помощью AirPlay можно стримить музыку со смартфона на умную колонку или дублировать экран ноутбука на телевизоре.
Все это без дополнительных проводов — для стриминга чаще всего используется Wi-Fi или, на худой конец, проводная локальная сеть. Отметим, что AirPlay может работать и без централизованной сети (проводной или беспроводной), используя Wi-Fi Direct, то есть прямое подключение между устройствами.
Логотипы AirPlay для видеостриминга (слева) и аудиостриминга (справа) — если у вас есть техника Apple, то вы их наверняка видели. Источник
Изначально в качестве приемников AirPlay могли выступать только некоторые специализированные устройства. Сначала это были роутеры AirPort Express, которые могли выводить на встроенный аудиовыход музыку из iTunes. Позже к ним присоединились ТВ-приставки Apple TV, умные колонки HomePod и похожие устройства от сторонних производителей.
Однако в 2021 году в Apple решили пойти несколько дальше и встроили приемник AirPlay в macOS — таким образом пользователи получили возможность дублировать экран iPhone или iPad на свои «Маки». В свою очередь, несколько позже функцией приемника AirPlay наделили iOS и iPadOS — на сей раз для вывода на них изображения с VR/AR-очков Apple Vision Pro.
AirPlay позволяет использовать для стриминга как централизованную сеть (проводную или беспроводную), так и устанавливать прямое подключение между устройствами Wi-Fi Direct. Источник
Также следует упомянуть технологию CarPlay, которая, по сути, представляет собой тот же AirPlay, доработанный для использования в автомобилях. В случае с CarPlay приемниками, как несложно догадаться, выступают головные устройства машин.
В итоге за 20 лет своего существования AirPlay из нишевой фичи iTunes превратилась в одну из магистральных технологий Apple, на которую теперь завязан целый набор функций «яблочной» экосистемы. Ну и самое главное: на данный момент AirPlay поддерживается сотнями миллионов, если не миллиардами, устройств, значительная часть которых может выступать в качестве приемников AirPlay.
View the full article
-
Автор KL FC Bot
Недавно раскрытый взлом тысяч домашних маршрутизаторов ASUS показывает, что, кроме вас и ближайших соседей, ваша домашняя точка доступа Wi-Fi нужна еще и обычным киберпреступникам, и даже хакерам на госслужбе, проводящим целевые шпионские атаки. Новая атака, предположительно связанная с печально известной группировкой APT31, продолжается, она опасна своей скрытностью и необычным способом защиты от нее, поэтому важно разобраться, зачем злоумышленникам роутеры и как защищаться от хакерских трюков.
Как используют взломанные маршрутизаторы
Домашний прокси. Когда хакеры атакуют крупные компании и госучреждения, атаку часто вычисляют по необычным адресам, с которых идет обращение к защищаемой сети. Подозрительно, когда компания работает в одной стране, а ее сотрудник внезапно входит в корпоративную сеть из другой. Не менее подозрительны обращения с известных адресов VPN-серверов. Чтобы замаскироваться, злоумышленники применяют взломанный роутер в нужной стране и даже нужном городе, рядом с объектом атаки. Они направляют все запросы на роутер, а тот переадресует данные атакуемому компьютеру. При мониторинге это выглядит как обычное обращение сотрудника к рабочим ресурсам из дома, ничего подозрительного. Командный сервер. На взломанном устройстве выкладывают вредоносное ПО, чтобы скачивать его на заражаемые компьютеры. Или, наоборот, выкачивают нужную информацию из атакованной сети прямо на ваш роутер. Ловушка для конкурентов. Роутер могут использовать как приманку, чтобы изучать способы взлома, применяемые другими группировками хакеров. Прибор для майнинга. Любое вычислительное устройство можно применять для майнинга криптовалюты. Использовать для майнинга роутер не очень эффективно, но, когда злоумышленник не платит ни за электричество, ни за технику, ему это все равно выгодно. Инструмент манипуляции вашим трафиком. На роутере можно перехватывать и изменять содержимое интернет-соединений — так злоумышленники могут атаковать все подключенные к домашней сети устройства. Спектр применения этой техники, — от кражи паролей до внедрения рекламы в веб-страницы. Бот для DDoS-атак. Любые домашние устройства, включая роутеры, видеоняни, умные колонки и даже чайники, можно объединить в сеть ботов и «положить» любой онлайн-сервис миллионами одновременных запросов с этих устройств. Эти варианты будут полезны разным группам злоумышленников. Если майнинг, реклама и DDoS чаще интересны киберпреступникам с финансовой мотивацией, то целевые атаки под прикрытием домашнего IP-адреса проводят либо банды вымогателей, либо группировки, занимающиеся настоящим шпионажем. Звучит как детектив, но распространено настолько широко, что об этом в разное время выпустили несколько предупреждений Американское агентство по безопасности инфраструктуры (CISA) и ФБР. Шпионы, как им и положено, действуют предельно незаметно, поэтому владельцы роутера замечают его «двойное назначение» крайне редко.
View the full article
-
Автор KL FC Bot
В начале этого года Apple объявила о ряде новых инициатив, направленных на создание более безопасной среды для детей и подростков, использующих устройства компании. Помимо упрощения настройки детских аккаунтов, организация обещает, что родители смогут делиться информацией о возрасте своих детей с разработчиками приложений — для контроля над тем, какой контент те показывают.
По словам Apple, эти обновления станут доступны для родителей и разработчиков позже в этом году. В нашем посте разберем новые меры, представленные компанией, их достоинства и недостатки. Заодно расскажем, при чем тут Instagram*, Facebook* и прочая Meta**, а также поговорим о том, как технологические гиганты пытаются откреститься от ответственности за ментальное здоровье юных пользователей.
До обновлений: как Apple защищает детей прямо сейчас
Прежде чем рассказывать о будущих нововведениях компании Apple в отношении родительского контроля, давайте быстро разберемся, каков status quo — то есть как на данный момент обстоят дела с родительским контролем на устройствах Apple. Напомним, что компания представила первые возможности родительского контроля в далеком июне 2009 года, еще в третьем айфоне, и неторопливо развивала их все эти годы.
На данном этапе на устройствах Apple дети до 13 лет обязательно должны пользоваться особыми «детскими аккаунтами». Такие аккаунты позволяют родителям иметь доступ к функциям родительского контроля, которые существуют внутри «яблочной» операционной системы. По решению родителей подросток может продолжать пользоваться детским аккаунтом вплоть до 18 лет.
Как выглядит центр управления детскими аккаунтами Apple сейчас. Источник
Перейдем к нововведениям. Компания анонсировала серию изменений в системе детских аккаунтов, связанных со способом подтверждения статуса родителя. Кроме того, будет позволено изменять возраст ребенка в системе, если он по ошибке был введен неправильно. Раньше для аккаунтов пользователей младше 13 лет это было невозможно от слова «совсем». Apple предлагала «подождать, пока возраст учетной записи не увеличится естественным образом». Для пограничных случаев (аккаунтов с возрастом чуть менее 13 лет) можно было использовать многоходовочку со сменой даты рождения — скоро в таких хитростях не будет необходимости.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти