Перейти к содержанию

Евгений Касперский: о скандале с документами в поисковиках, нестабильности криптовалют и уязвимости айфонов

oit
 Поделиться

Рекомендуемые сообщения

oit

oit

Опубликовано
Опубликовано

Эксклюзивное интервью главного человека «Лаборатории Касперского» и эксперта в области кибербезопасности. Hi-Tech Mail.ru расспросил Евгения Касперского о закручивающихся «гайках» Рунета, опасности биометрии и самой защищенной мобильной ОС.

 

— В России жесткие законы об интернете: «закон Яровой», реальные сроки за репосты. Что вы об этом думаете? Определенная степень регулирования киберпространства необходима. Особенно, когда речь заходит о защите персональных данных. Я, например, выступаю двумя руками за недавно вступивший в силу в Европе «Общий регламент о защите данных» GDPR [новые правила для компаний, которые имеют дело с персональными данными — Прим. ред. ]. Считаю, что нам не хватает именно подобных законов: нужных, актуальных, без перегибов.

— При всех законах о безопасности, случается скандал с личными документами из Google Docs, которые оказываются в поиске «Яндекса». Это вопрос элементарных основ компьютерной грамотности и безопасности. Ведь «Яндексом» индексировались только публичные документы Google.

Многие довольно легкомысленно относятся к своим данным, документам, настройкам доступа и приватности. А зря! Мошенники, безусловно, могли воспользоваться полученными данными.

— С 1 июля в России собирают биометрические данные. Они в безопасности? Я вижу здесь ряд возможных рисков. Шифрование и дешифровка, утечка биометрических образцов, прозрачность процедуры забора данных и проблема физической безопасности держателей банковских счетов.

Насколько мне известно, система запущена именно в банковском секторе. Если вкратце, то безопасности, как всегда, угрожает человеческий фактор.

Человеческий фактор — это и утечка информации, и мошенничество при сборе данных. А еще это небрежное отношение самих владельцев данных к их защите. Если найдется заказчик, заинтересованный в этих данных, уверен, найдутся и киберпреступники, которые смогут их достать.

— Биометрия заменит нам паспорт? Я далек от этого процесса, но на первый взгляд нам еще очень далеко до замены паспортов биометрией. Систему нужно обкатать, гарантировать ее безопасность. На все это нужно время. Консервативность россиян же во многом зависит и от возраста, и от места жительства. Не стал бы обобщать.

— Раз уж мир так меняется, вы не надумали заняться какими-то другими технологиями? В области информационной безопасности постоянно открываются новые горизонты для работы и внедрения наших технологий. Это индустриальная безопасность, Интернет вещей, корпоративные тренинги.

К сожалению (или к счастью), пока нет необходимости уходить куда-то в сторону от кибербезопасности для развития бизнеса. Мы занимаемся тем, что у нас хорошо получается и не планируем прекращать.

— А криптовалюты вас не интересуют? В криптовалюту я не играю. Предпочитаю более стабильные денежные знаки. На эксперименты с криптовалютой просто нет времени и необходимости.

— Какая «операционка» сейчас безопаснее на рынке: iOS или Android? На рынке нет абсолютно безопасной мобильной операционной системы. А сравнивать количество уязвимостей нет смысла. Если задаться целью, то взломать сейчас можно и iOS, и Android.

С тем, что пользователи Apple в безопасности, я согласиться не могу. Мы много раз находили вредоносное ПО для iOS. Пару лет назад, например, было найдено очень опасное шпионское ПО Pegasus, способное взломать любой iPad или iPhone, украсть данные с устройства и установить тотальную слежку за владельцами. Примеров много.

Я пользуюсь отличным телефоном Sony Ericsson, к сожалению, его сняли с производства. Поэтому удобство двух заклятых конкурентов прокомментировать не могу.

— Если смартфоны уязвимы, значит, и другие гаджеты тоже. Заклеивать веб-камеру на ноутбуке — глупость? Можно, конечно, заклеивать камеру изолентой, а можно просто поставить хороший антивирус. Никакой рекламы! (улыбается). У хороших продуктов есть функция предотвращения несанкционированного доступа программ к вашему видеопотоку.

А «функция» с изолентой, безусловно, нужная, здесь никакой паранойи. Не хотите, чтобы возможные злоумышленники наблюдали за вами или вашими близкими — защищайтесь.

— Вы постоянно путешествуете, судя по инстаграму. Что берете с собой из техники? Гаджетов у меня с собой не так много — фотоаппарат, ноутбук, мобильный телефон. Фотоаппарат нужен, чтобы всегда иметь возможность «пощелкать» что-нибудь интересное для моего блога. Ноутбук — для работы и переписки. Мобильник для связи. Хотя в ближайшем отпуске последние два гаджета будут мне мало полезны — на Камчатке со связью плохо.

 

*https://hi-tech.mail.ru/review/evgenij-kasperskij-o-skandale-s-yandeksom-nestabilnosti-kriptovalyut-i-uyazvimosti-ajfonov/?frommail=1

 

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Троян Efimer крадет криптовалюту через торренты и сайты на WordPress | Блог Касперского
      Автор KL FC Bot
      Если вы активно пользуетесь криптовалютой, но все еще качаете торренты и не представляете, как безопасно хранить сид-фразы, то у нас для вас плохие новости. Мы обнаружили новый троян Efimer, который подменяет адреса криптокошельков прямо в буфере обмена. Один клик — и деньги оказываются в кошельке злоумышленников.
      Рассказываем, что нужно сделать, чтобы ваша крипта оставалась в безопасности.
      Как распространяется Efimer
      Один из каналов распространения Efimer — сайты в системе WordPress. Ко всеобщему несчастью, WordPress — бесплатная и самая популярная система для управления веб-сайтами. Ею пользуются все: небольшие блогеры и бизнесы, крупные СМИ и корпорации. Злоумышленники взламывают плохо защищенные сайты и публикуют на них посты с зараженными торрентами.
      Как выглядит взломанный сайт на WordPress с Efimer
       
      View the full article
    • KL FC Bot
      Как вредоносные расширения из Open VSX воровали криптовалюту | Блог Касперского
      Автор KL FC Bot
      Наши исследователи обнаружили в магазине Open VSX несколько поддельных расширений, адресованных разработчикам на Solidity, с вредоносной нагрузкой внутри. Как минимум одна компания стала жертвой злоумышленников, распространяющих эти расширения, и потеряла криптоактивы на сумму около $500 000.
      Об угрозах, связанных с распространением зловредов в open-source-репозиториях, известно давно. Несмотря на это, пользователи редакторов кода с поддержкой искусственного интеллекта — таких как Cursor и Windsurf — вынуждены использовать магазин open-source-решений Open VSX, поскольку другого источника необходимых расширений для этих платформ у них нет.
      Однако в Open VSX расширения не проходят такие же тщательные проверки, как в Visual Studio Code Marketplace, и это дает злоумышленникам возможность распространять под видом легитимных решений зловредное ПО. В этом посте мы расскажем подробности об исследованных экспертами «Лаборатории Касперского» вредоносных расширениях из Open VSX и о том, как предотвратить подобные инциденты в вашей организации.
      Чем рискуют пользователи расширений из Open VSX
      В июне 2025 года блокчейн-разработчик, у которого злоумышленники похитили криптоактивы на сумму около $500 000, обратился к нашим экспертам с просьбой расследовать инцидент. В процессе изучения образа диска с зараженной системой исследователи обратили внимание на компонент расширения Solidity Language для среды разработки Cursor AI, который запускал PowerShell-скрипт — явный признак наличия вредоносной активности.

      Это расширение было установлено из магазина Open VSX, где оно имело десятки тысяч загрузок (предположительно такое количество объясняется накруткой). Согласно описанию, оно якобы помогало оптимизировать работу с кодом на языке для смарт-контрактов Solidity. Однако анализ расширения показал, что никакой полезной функциональности у него не было вообще. Установившие его разработчики посчитали невыполнение заявленных функций багом, не стали разбираться с ним сразу и продолжили работать.
       
      View the full article
    • KL FC Bot
      Защищаем автомобиль от взлома через Bluetooth-уязвимость PerfektBlue | Блог Касперского
      Автор KL FC Bot
      Компьютеризация автомобиля давно дошла до такого уровня, что кибератаки на него весьма действенны — возможны угон, несанкционированное включение дополнительного оборудования, дистанционные торможение и руление, шпионаж. Но чтобы провести эти атаки, зачастую нужен кратковременный физический доступ к автомобилю или взлом его телематических систем, то есть связи с сервером производителя по сотовой сети. В недавно опубликованном исследовании PCA Cyber Security описан новый способ — для взлома достаточно подключиться к развлекательной системе автомобиля по Bluetooth. Четыре уязвимости, коллективно названные PerfektBlue, вряд ли приведут к массовым угонам или взломам, но знать о них и соблюдать внимательность все же стоит.
      Под капотом PerfektBlue
      Подключить смартфон к автомобилю по Bluetooth для разговоров по громкой связи или прослушивания музыки можно в любом авто, выпущенном за последние 10 лет. Для этого в развлекательной системе (infotainment system), которая является частью головной системы (head unit), имеется чип Bluetooth и набор специального ПО. Многие производители автомобилей используют один и тот же набор ПО под названием OpenSynergy BlueSDK. По словам разработчиков, BlueSDK используется в 350 млн автомобилей. По имеющейся информации, в их числе Ford, Mercedes-Benz, Skoda, Volkswagen.
      Исследователи PCA Cyber Security обнаружили четыре уязвимости в BlueSDK (CVE-2024-45431, CVE-2024-45432, CVE-2024-45433, CVE-2024-45434), которые атакующий может объединить, чтобы запустить на устройстве свой вредоносный код. Для этого ему нужно быть подключенным к автомобилю по Bluetooth, то есть пройти процедуру сопряжения (pairing). Если это условие выполнено, то дальше злоумышленник беспрепятственно посылает автомобилю вредоносные команды по протоколу управления аудиоплеером (AVCRP). Это вызывает в операционной системе головного устройства ошибку, и в итоге хакер получает на нем те же права, что и программный код автопроизводителя для работы с Bluetooth. С этими правами атакующий теоретически может отслеживать местоположение жертвы, записывать происходящее в машине с помощью встроенных микрофонов, а также красть сохраненные в головной системе данные, например записную книжку жертвы. В зависимости от архитектуры конкретного автомобиля, из головной системы через CAN-шину злоумышленнику могут быть доступны управляющие модули (ECU) для контроля более серьезных функций, таких как тормоза.
       
      View the full article
    • KL FC Bot
      Несколько уязвимостей в CMS Sitecore | Блог Касперского
      Автор KL FC Bot
      Исследователи обнаружили три уязвимости в популярной платформе для контент-менеджмента Sitecore Experience Platform:
      CVE-2025-34509 заключается в наличии жестко заданного в коде пароля (причем состоящего из одной буквы), позволяющего атакующему удаленно аутентифицироваться в служебной учетной записи; CVE-2025-34510 — уязвимость типа Zip Slip, позволяющая аутентифицированному пользователю загрузить ZIP-архив и распаковать его в корневую папку сайта; CVE-2025-34511 также позволяет загрузить на сайт посторонний файл, но на этот раз вообще произвольный. Используя первую уязвимость совместно с любой из остальных двух, атакующий может удаленно добиться выполнения произвольного кода (RCE) на сервере под управлением Sitecore Experience Platform.
      На данный момент нет свидетельств об использовании этих уязвимостей в реальных атаках, однако опубликованный экспертами из watchTowr Labs анализ содержит достаточно подробностей для создания эксплойта, так что злоумышленники могут взять их на вооружение в любой момент.
       
      View the full article
    • Elly
      Викторина по telegram-каналу Евгения Касперского. Правила
      Автор Elly
      Друзья!
       
      Что получится, если соединить захватывающий мир кибербезопасности, путешествия по самым невероятным уголкам планеты и щепотку интриги?
      Правильно - Telegram-канал Евгения Касперского!
      Это место, где свежие мысли о кибербезопасности чередуются с видами из самых неожиданных точек планеты.
      Евгений Касперский пишет про киберугрозы и технологии, параллельно выкладывая кадры с ледников, пустынь, мегаполисов и вулканов.
      Пишет просто о сложном, делится инсайтами и показывает, как выглядит жизнь эксперта мирового уровня.
      То он на кибер-форуме в Японии, то в древнем городе инков, то в эпицентре кибератаки (почти буквально). И всё это в ленте канала @e_kaspersky.
       
      Вдохновившись, мы приготовили для вас викторину по Telegram-каналу Евгения Касперского.
      Подписаны давно и уверены, что знаете каждый пост? Проверьте себя!
      Ещё не подписаны? Самое время это исправить и попробовать свои силы в викторине!
       
      Все ответы на вопросы викторины вы найдёте в Telegram-канале Евгения Касперского https://t.me/e_kaspersky
       
      Готовы к киберпутешествию? Тогда вперёд!
       
      НАГРАЖДЕНИЕ
       
      Без ошибок — 1500 баллов Одна ошибка — 1300 баллов Две ошибки — 1000 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 26 апреля 2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователям @zell и @alexandra (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
×
×
  • Создать...