• Tor
• браузер
• cnews.ru

Подробности

Автор: marussia

Категория: IT

Опубликовано: 22 июня 2019

Просмотров: 995

Рейтинг:  0 / 5

Mozilla Foundation и Tor выпустили внеплановые обновления для нейтрализации опасной уязвимости в своих браузерах.

Внепланово и срочно

 Mozilla Foundation и Tor выпустили экстренное обновление для «бага» в браузерах Firefox и Tor, который позволяет получить полный контроль над компьютером, на котором установлены эти браузеры.

 Уязвимость CVE-2019-11707 относится к типу "type confusion" (несоответствие используемых типов данных). Причиной её возникновения стали проблемы в обработке типов данных в методе Array.pop, используемом при работе браузера с объектами JavaScript. Согласно описанию на сайте Mozilla, это может привести к «эксплуатируемому сбою» в работе браузера.

 Уязвимость критическая, поскольку допускает запуск произвольного кода (говоря конкретнее, вредоносного JavaScript прямо в браузере) и впоследствии - перехват контроля над всей системой.

 Затронуты все версии Firefox и Firefox ESR под Windows, macOS и Linux. Внеплановые обновления Firefox 67.0.3 и Firefox ESR 60.7.1 исправляют проблему.

Атаки уже начались

 Неизвестные злоумышленники уже использовали уязвимость в серии фишинговых атак 17 июня 2019 г. В течение суток после их обнаружения, как заявили представители Mozilla, был выпущен патч.

 Между тем, Самуэль Гросс (Samuel Groß), эксперт Google Project Zero, утверждает, что он обнаружил эту уязвимость ещё в середине апреля, и что патч для неё начали выкатывать ещё неделю назад - по-видимому, в публичных бета-версиях браузера.

 Гросс также заметил, что эксплуатация с удалённым запуском вредоносного кода потребует от злоумышленника производить ещё и выход за пределы «песочницы». Впрочем, есть также вариант использовать её в контексте универсального межсайтового скриптинга, - в некоторых случаях этого будет вполне достаточно для целей злоумышленника.

 Что касается браузера Tor (основу которого составляет код Firefox), то данная уязвимость вообще не затрагивает тех пользователей, которые используют режимы повышенной и максимальной безопасности (Safer/Safest). Для остальных выпущены обновления браузера 8.5.2 и аддона NoScript 10.6.3, нейтрализующее «баг».

«Баг опасен при любом раскладе, - полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Так что если обновления затронутых браузеров не производятся автоматически, настоятельно рекомендуется обновить их вручную как можно скорее. Возможно, задействовать её для запуска вредоносного кода в целевой системе не настолько просто, чтобы с этим справился начинающий, но тем не менее, атаки уже имели место быть, а следовательно, угроза требует немедленной нейтрализации».

 Подробностей о произошедших в начале недели атаках с использованием данных уязвимостей, никто пока не опубликовал.

Источник:http://safe.cnews.ru/news/top/2019-06-21_s_pomoshchyu_v_brauzera_tor_mozhno_zahvatit_pk_pod

• смешное
• Роскомнадзор
• securitylab.ru

Подробности

Автор: kermit

Категория: Роскомнадзор

Опубликовано: 19 июня 2019

Просмотров: 628

Рейтинг:  0 / 5

Ущерб от действий преступника оценивается примерно в 10 млн рублей.

 Прокуратора Ульяновска утвердила обвинительное заключение в отношении местного жителя, неоднократно пытавшегося сжечь офис регионального управления Роскомнадзора. Мотивом преступления стала блокировка ведомством пиратского сайта, где обвиняемый мог беспрепятственно смотреть видео.

 По данным прокуратуры, попытки поджога офиса РКН, расположенного в Ульяновске на улице Карла Маркса, осуществлялись трижды - 2 и 15 апреля, а также 9 мая 2018 года. Поджигатель ночью камнями и молотком разбивал окна в офисе ведомства, а затем разливал легковоспламеняющуюся жидкость и поджигал ее охотничьими спичками. Ущерб от действий преступника оценивается примерно в 10 млн рублей.

 В отношении киномана возбуждено уголовное дело по ч.3 ст.30, ч.2 ст.167 УК РФ (покушение на уничтожение и повреждение чужого имущества, повлекшее причинение значительного ущерба, совершенное путем поджога). Данная статья предусматривает наказание в виде лишения свободы сроком до 5 лет. Дело направлено в суд для рассмотрения по существу.

Источник: https://www.securitylab.ru/news/499495.php

• Facebook
• криптовалюта
• cnews.ru

Подробности

Автор: kermit

Категория: Криптовалюта

Опубликовано: 19 июня 2019

Просмотров: 593

Рейтинг:  4 / 5

 Facebook разработала собственную криптовалюту, которую планирует превратить в полноценную замену реальным деньгам. Помощь в этом ей окажут очень крупные компании, включая MasterCard, Visa и PayPal.

Токены от Цукерберга

 Компания Facebook запустила веб-сайт libre.org, посвященный собственной криптовалюте Libra. Старт проекта, основанного, как и биткоин, на технологии блокчейн (в данном случае используется платформа Libre Network), намечен на I полугодие 2020 г.

 Для хранения виртуальных денежных единиц Facebook разработала специальный криптокошелек под названием Calibra. В обозримом будущем она интегрирует его в состав фирменных мессенджеров WhatsApp (Facebook купила его в 2014 г.) и FB Messenger.

Обеспечение Libra

 Libra – это криптовалюта, созданная по модели PoA (proof of authority) и сильно централизованная. Фактически, это не самостоятельная валюта, а так называемый «стейблкоин», то есть виртуальная денежная единица, курс которой привязан к другим валютам.

 По информации агентства Reuters, Facebook обеспечит привязку Libra к реальным активам. В их число должны войти ценные госбумаги, а также банковские депозиты, но не исключено, что по мере развития проекта список активов будет дополнен.

 Привязка к реальным активам позволит привлечь внимание большего числа потенциальных криптоинвесторов за счет роста уверенности в новой виртуальной валюте. Другими словами, связь с реально существующими активами увеличивает шансы на успешную конвертацию Libra в реальную валюту в случае подобной необходимости.

Продвижение Libra

 Развитием и управлением Libra займется специальный управляющий консорциум, который насчитывает 27 крупных организаций, что отличает данную криптовалюту от изначально децентрализованного биткоина. Кроме того, сам код блокчейна консорциум намеренно разместит в свободном доступе – это позволит сторонним разработчикам оперативно создавать собственные приложения для работы с новой криптовалютой.

 Штаб-квартира консорциума будет находиться в Женеве. В его состав вошли венчурные компании Andreessen Horowitz и Thrive Capital и квартет блокчейн-предприятий: Anchorage, Bison Trails, Coinbase и Xapo Holdings.

 Помимо них, в списке числятся оператор связи Vodafone, сервис перевозок Uber, компании Mastercard, Visa и PayPal, а также eBay и Spotify.

 Согласно условию участия в консорциуме, каждый его член должен внести не меньше $10 млн. 27 компаний, как отметили в Facebook – это только начало, и к моменту глобального запуска Libra их количество должно приблизиться к 100.

Использование Libra

 Libra, до анонса известной под названием GlobalCoin, создавалась с целью проведения денежных операций, для начала, во всех существующих и будущих проектов Facebook, в том числе и в популярной сети Instagram (находится под контролем Facebook с 2012 г.).

 Согласно сведениям телеканал CNBC, Facebook не станет взимать комиссию за проведение расчетов с использованием Libra с обычных пользователей. Вместо этого свой процент она возьмет непосредственно с организаций, принимающих платежи. На момент публикации материала размер комиссии установлен не был, но представители Facebook назвали его «незначительным».

 По мере развития проекта Facebook планирует расширять сферу применения Libra и выводить ее за пределы собственных онлайн-сервисов. Идея компании заключается в использовании криптовалюты в качестве альтернативы реальным деньгам в кафе, ресторанах, магазинах, общественном транспорте и при передвижении на общественном транспорте.

Фирменное приложение

 Для использования Libra и специализированного кошелька Calibra Facebook разработает отдельное приложение, которое позволит покупать токены. Оплата будет производиться с банковских счетов или в физических точках продаж. Подобные точки смогут открывать партнеры Facebook, а оплата в них будет взиматься в том числе и наличными.

 Разработчики Libra внесли определенные ограничения в процесс использования крипты – для того, чтобы взаимодействовать с ней, пользователю придется пройти процедуру идентификации, что может означать деанонимизацию. Напомним, что тот же биткоин, курс которого весной и в начале лета 2019 г. вновь начал расти, предлагает полностью анонимные транзакции.

 Глава специально созданного подразделения Calibra Дэвид Маркус (David Marcus), бывший руководитель отдела разработки Facebook Messenger, подчеркнул, что при нежелании раскрывать Facebook свои персональные данные (компанию, напомним, многократно уличали в торговле личной информацией),

 Libra можно будет привязать к другому криптокошельку. Список поддерживаемых кошельков Маркус не предоставил. В случае выявления мошеннических действий с криптосчетами, в том числе и кражей средств с них, Calibra возместит все убытки.

 По состоянию на 18 июня 2019 г. в подразделении Calibra числятся около 100 сотрудников, в большинстве своем находящихся в штаб-квартире Facebook в Калифорнии (США). Часть персонала дислоцируется в Тель-Авиве (Израиль), и, по словам вице-президента Calibra Кевина Уэйла (Kevin Weil), в обозримом будущем масштабное расширение штата подразделения не планируется.

Libra в России

 Libra, как и все другие криптовалюты мира, могут оказаться под запретом в России. 10 июня 2019 г. стало известно, что Госдума планирует ввести административную ответственность за любые действия с криптовалютой, не предусмотренные российским законодательством. Другими словами, штрафы могут начать выписывать даже за майнинг, который для многих россиян стал источником дохода.

 Аналогичная судьба может ждать и криптовалюту Gram, разрабатываемую Павлом Дуровым – основателем социальной сети «Вконтакте» и мессенджера Telegram. Цель разработчиков заключается в создании массовой криптовалюты, которая сможет заменить реальные деньги, что делает Gram одним из основных конкурентов Libra. Однако по состоянию на 18 июня 2019 г. Старт проекту Gram дан не был, но, как ожидается, токены можно будет приобрести на бирже Liquid с 10 июля 2019 г.

Источник:http://www.cnews.ru/news/top/2019-06-18_facebook_zapuskaet_kriptovalyutukotoraya_mozhet

• Россия
• рейтинг
• securitylab.ru

Подробности

Автор: marussia

Категория: общество

Опубликовано: 17 июня 2019

Просмотров: 622

Рейтинг:  1 / 5

Подготовкой внедрения российского варианта рейтинга занимается компания, специализирующаяся на обработке данных BigData.

 Сеть «Будь в теме» сообщила о разработке в РФ социального рейтинга для граждан по аналогии с системой, внедренной в ряде регионов Китая. Подготовкой внедрения российского варианта рейтинга занимается российская компания, специализирующаяся на обработке данных BigData.

 В рамках эксперимента компания уже приступила к анализу данных, требуемых для создания рейтинговой системы. В качестве источников информации используются как открытые данные (социальные сети, публикации СМИ, объявления о продаже товаров, услуг, отзывы о ФИО и номере телефона, форумы и сайты), так и предоставленные тестовые базы данных о правонарушениях (дорожно-транспортные происшествия, задержания, полицейский учет, нахождение в контактах арестованных, административные нарушения, нахождение в списках должников, и т.д.).

 В конечном итоге гражданин получает оценку, учитывающую его потенциальную общественную и криминальную опасность. Согласно словам разработчиков, пока данная система не будет использоваться для составления политического рейтинга россиян, но может быть полезна банкам, страховым организациям, учебным заведениям и нанимателям.

Источник: https://www.securitylab.ru/news/499471.php

• Россия
• криптовалюта

Подробности

Автор: marussia

Категория: Криптовалюта

Опубликовано: 16 июня 2019

Просмотров: 412

Рейтинг:  1 / 5

 Глава регулятора Эльвира Набиуллина сообщила, что оценивается степень зрелости технологии и готовность общества к неанонимным средствам платежа.

 Набиуллина подчеркнула, что цифровая валюта Центробанка «не может быть реализована немедленно», передаёт РИА Новости.

 Появление частных криптоактивов заставило центральные банки мира начать обсуждение создания специальных цифровых денег. Они способны выступать в качестве средства платежа.

 В конце апреля Банк России опубликовал аналитическую записку, в которой указал, что цифровые валюты центральных банков могут стать ликвидным активом, однако пользование ими по ряду причин может быть непривлекательно для потребителя.

Источник:https://forum.antichat.ru/threads/471189/

• Роскомнадзор

Подробности

Автор: marussia

Категория: Роскомнадзор

Опубликовано: 14 июня 2019

Просмотров: 806

Рейтинг:  3 / 5

 Администрация мобильного приложения TikTok пообещала соблюдать российские законы и сотрудничать с властями РФ, сообщает «Медиазона» со ссылкой на представителей TikTok.

 Компания готова сотрудничать с властями, поскольку «заботится о постоянно растущем комьюнити». В TikTok отметили, что заботятся о безопасности пользователей из России и создают для них «позитивную среду».

 В компании сообщили «Интерфаксу», что используют «технологии и стратегии модерации для устранения несоответствующего контента».

 13 июня пресс-секретарь Роскомнадзора Вадим Ампелонский сообщил, что ведомство проанализирует контент TikTok «на предмет наличия детской порнографии и другой запрещенной в России информации».

 Приложение TikTok для обмена короткими видео разработала в 2016 году китайская компания ByteDance. В 2018 году TikTok стал одним из самых загружаемых приложений в мире. В феврале 2019 года общее количество скачиваний приложения превысило один миллиард.

 В апреле 2019 года в Индии запретили TikTok за распространение порнографии.

Источник:https://meduza.io/news/2019/06/14/tiktok-reshil-sotrudnichat-s-vlastyami-rossii-ranee-roskomnadzor-nachal-iskat-v-prilozhenii-detskuyu-pornografiyu

• Россия
• интернет
• securitylab.ru

Подробности

Автор: marussia

Категория: Интернет

Опубликовано: 14 июня 2019

Просмотров: 469

Рейтинг:  0 / 5

Минкомсвязи предложило штрафовать операторов связи за неисполнение правил использования спутниковых сетей связи.

 В России могут быть введены штрафы для операторов связи за использование иностранного спутникового интернета. С соответствующей инициативой выступило Министерство цифрового развития, связи и массовых коммуникаций РФ.

 Минкомсвязи предложило внести в Кодекс об административных правонарушениях изменения, устанавливающие административную ответственность за неисполнение правил использования спутниковых сетей связи на территории России.

 По мнению авторов проекта, в КоАП следует добавить статью 13.41 «Нарушение правил использования на территории Российской Федерации спутниковых сетей связи, находящихся под юрисдикцией иностранных государств».

«Нарушение правил использования на территории Российской Федерации спутниковых сетей связи, находящихся под юрисдикцией иностранных государств, в том числе неисполнение российским оператором связи, использующим иностранную систему подвижной персональной спутниковой связи, обязанности по формированию российского сегмента такой системы и обеспечению управления этим сегментом с территории Российской Федерации, и обязанности по пропуску трафика, формирующегося абонентскими станциями (терминалами) на территории Российской Федерации, – влечет наложение административного штрафа», – говорится в предложенной статье.

 Размер штрафа для должностных лиц составит от десяти до тридцати тысяч рублей; для индивидуальных предпринимателей, осуществляющих предпринимательскую деятельность без образования юридического лица, – от семидесяти тысяч до двухсот тысяч рублей; для юрлиц – от пятисот тысяч до одного миллиона рублей.

 Общественное обсуждение законопроекта продлится до 2 июля нынешнего года.

Источник: https://www.securitylab.ru/news/499442.php

• банк
• сеть

Подробности

Автор: marussia

Категория: Интернет

Опубликовано: 11 июня 2019

Просмотров: 596

Рейтинг:  0 / 5

В открытом доступе были обнаружены базы данных 900 тыс. клиентов ОТП-банка, Альфа-банка и ХКФ-банка.

 Специалисты компании DeviceLock, занимающейся производством одноименных систем DLP, обнаружили утечку данных порядка 900 тыс. россиян. В открытом доступе оказались имена, телефоны, паспорта и сведения о месте работы клиентов ОТП-банка, Альфа-банка и ХКФ-банка, пишет «КоммерсантЪ».

 Две утекшие базы данных клиентов Альфа-банка были обнаружены в пятницу, 7 июня. В первой содержится персональная информация более 55 тыс. человек, в том числе имена и фамилии, рабочие, мобильные и домашние номера телефонов, адреса проживания и места работы. По мнению экспертов DeviceLock, БД была собрана в 2014-2015 годах. В открытом доступе она оказалась примерно в мае нынешнего года.

 Судя по адресам клиентов, чьи данные хранятся в БД, все они проживают в Северо-Западном федеральном округе. Большинство номеров телефонов являются актуальными. По сведениям о месте работы можно найти сотрудников частных компаний, а также порядка 500 служащих МВД и 40 человек из ФСБ.

 Вторая база данных насчитывает всего 504 записи, однако содержащиеся в ней сведения являются более полными и датируются 2018-2019 годами. Помимо ФИО и телефонов в ней указаны годы рождения, паспортные данные, обслуживающие отделения Альфа-банка, а также остаток денег на счете (в диапазоне 130-160 тыс. руб.).

 БД была опубликована в виде архива вместе с еще двумя базами данных клиентов ХКФ-банка и ОТП-банка. В первой из них содержатся имена и фамилии, паспортные данные, адреса и номера телефонов 24,4 тыс. клиентов. Большинство из них проживают в Волгограде и области. С целью выяснить актуальность данных, журналисты издания «КоммерсантЪ» позвонили по нескольким номерам. Клиенты подтвердили, что брали кредит в ХКФ-банке, но давно (в одном случае десять лет назад).

 Во второй БД содержатся имена и фамилии, номера телефонов, адреса и одобренные кредитные лимиты 800 тыс. клиентов ОТП-банка. Кроме того, указаны рабочие пометки о том, как проходили встречи с клиентами. Данные актуальны на 2013 год.

 По словам представителей Альфа-банка, кредитная организация проводит проверку актуальности и подлинности данных. В ХКФ-банке о происхождении БД ничего не знают, но обещают разобраться. В ОТП-банке никаких утечек не фиксировали.

Источник: https://www.securitylab.ru/news/499402.php

• интернет
• Роскомнадзор
• VPN
• meduza.io
• Рунет

Подробности

Автор: marussia

Категория: Интернет

Опубликовано: 06 июня 2019

Просмотров: 734

Рейтинг:  0 / 5

 Девять VPN-сервисов, не выполнившие требование Роскомнадзора о подключении к государственной информационной системе для ограничения доступа к запрещенным сайтам, могут быть заблокированы «в течение месяца».

 Об этом заявил в интервью «Интерфаксу» глава Роскомнадзора Александр Жаров.

 К реестру, напомнил он, подключился лишь один из десяти VPN-сервисов, которым было направлено уведомление — Kaspersky Secure Connection.

«Все остальные не ответили, более того, написали на своих сайтах, что они не будут соблюдать российский закон. А закон говорит однозначно, если компания отказывается соблюдать закон — она должна быть заблокирована», — подчеркнул Жаров.

 От какого момента следует отсчитывать месяц, в течение которого Роскомнадзор, собирается блокировать VPN-сервисы, Жаров уточнять не стал, но сказал, что с пятью компаниями, которые не ответили однозначным отказом, «еще какое-то время пообщаемся».

 О направленном VPN-сервисам требовании о подключении к реестру запрещенных сайтов Роскомнадзор объявил 28 марта. На выполнение требования, по российским законам, у VPN-сервисов было 30 рабочих дней. По состоянию на 6 июня, никаких мер воздействия к VPN-сервисам, не подключившимся к реестру, принято не было.

Источник:https://meduza.io/news/2019/06/06/roskomnadzor-prigrozil-v-techenie-mesyatsa-zablokirovat-vpn-servisy-ne-podklyuchivshiesya-k-reestru-zapreschennyh-saytov

• Россия
• яндекс
• фсб
• securitylab.ru

Подробности

Автор: kermit

Категория: Интернет

Опубликовано: 04 июня 2019

Просмотров: 704

Рейтинг:  5 / 5

Сессионные ключи позволяют не только читать электронную переписку, но и анализировать весь трафик сервисов «Яндекса».

 Федеральная служба безопасности РФ потребовала от «Яндекса» ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск». Об этом изданию «РБК» сообщили сразу два источника, знакомых с вопросом.

 По словам источников, запрос от ФСБ был направлен несколько месяцев назад, однако «Яндекс» его так и не выполнил, хотя по закону на предоставление запрашиваемых данных дается до десяти дней. Напомним, ранее из-за отказа предоставить спецслужбе ключи для дешифровки переписки пользователей в России был заблокирован Telegram.

 В пресс-службе «Яндекса» отказались отвечать на вопросы, действительно ли компания получила от ФСБ требование предоставить ключи шифрования и были ли они переданы спецслужбе.

 Поскольку «Яндекс» является организатором распространения информации, согласно поправкам к антитеррористическому закону (так называемому «закону Яровой»), компания обязана предоставлять по запросу ФСБ «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет». Тем не менее, как сообщил близкий к «Яндексу» источник, в компании считают, что спецслужба слишком широко трактует нормы этого закона.

 По словам обоих собеседников «РБК», ФСБ запросила у компании сессионные ключи, позволяющие не только читать электронную переписку пользователей, но и анализировать весь трафик сервисов «Яндекса».

 Сессионный ключ представляет собой ключ шифрования, используемый лишь для одного соединения между пользователем и сервером. С его помощью шифруются не только сообщения, но и все метаданные (когда, кто, с какого IP-адреса заходил в учетную запись и т.д.), а также учетные данные, отправляемые на серверы «Яндекса» в процессе авторизации. Другими словами, завладев сессионными ключами, ФСБ также сможет получить логины и пароли пользователей.

Источник: https://www.securitylab.ru/news/499345.php