Студентам придётся сдавать биометрию для допуска к экзамену
Минцифры разработало проект постановления, который обяжет студентов проходить усложнённую идентификацию во время дистанционного обучения.
Перед экзаменом теперь придётся произнести на камеру случайно сгенерированную последовательность числел, чтобы система сопоставила голос и лицо и проверила, что перед ней ни deepfake. Если точность будет выше 99,9%, студента допустят до экзамена.
Для проверки будут использоваться данные Единой биометрической системы.
Похоже, что минцифры все-таки хочет собрать базу биометрии по частям. Насколько надежно защищены данные и как их могут использовать в будущем - вопрос риторический. А собирают данные, используя в качестве повода риск распространения ковида.
Минцифры разработало проект постановления, который обяжет студентов проходить усложнённую идентификацию во время дистанционного обучения.
Перед экзаменом теперь придётся произнести на камеру случайно сгенерированную последовательность числел, чтобы система сопоставила голос и лицо и проверила, что перед ней ни deepfake. Если точность будет выше 99,9%, студента допустят до экзамена.
Для проверки будут использоваться данные Единой биометрической системы.
Похоже, что минцифры все-таки хочет собрать базу биометрии по частям. Насколько надежно защищены данные и как их могут использовать в будущем - вопрос риторический. А собирают данные, используя в качестве повода риск распространения ковида.
Путин на вопрос о хакерах во время пресс-конференции: ❗️Ваш вопрос провокация. Российские хакеры не вмешивались в выборы в США.
В популярной криптографической библиотеке обнаружена уязвимость
Уязвимость CVE-2020-28052 позволяет обходить аутентификацию. Ее эксплуатация может дать злоумышленнику доступ к учётным записям пользователя или админа.
Проблема содержится в классе OpenBSDBcrypt Bouncy Castle, который отвечает за алгоритм хеширования паролей Bcrypt.
Успешная эксплуатация уязвимости позволяет подобрать пароль как для учетной записи пользователя, так и учетной записи админа.
20% паролей могут быть взломаны с первой тысячи попыток.
Проблема уже была исправлена в версии Bouncy Castle 1.67.
Уязвимость CVE-2020-28052 позволяет обходить аутентификацию. Ее эксплуатация может дать злоумышленнику доступ к учётным записям пользователя или админа.
Проблема содержится в классе OpenBSDBcrypt Bouncy Castle, который отвечает за алгоритм хеширования паролей Bcrypt.
Успешная эксплуатация уязвимости позволяет подобрать пароль как для учетной записи пользователя, так и учетной записи админа.
20% паролей могут быть взломаны с первой тысячи попыток.
Проблема уже была исправлена в версии Bouncy Castle 1.67.
Сотрудник компании Zoom сливал данные пользователей властям Китая
Высокопоставленный сотрудник Zoom помогал властям Китая, сливая данные пользователей, отключая созвоны пользователей, посвящённые обсуждению подцензурных тем(например бойня на площади Тяньаньмэнь в 1989) и создавал поддельные свидетельства хранения и обсуждения терроризма и детского порно. Просто представьте, что вы в Москве или Екатеринбурге, а к вам вламывается полиция, потому что вы якобы транслировали детское порно. И все это из-за недобросовестного сотрудника Zoom.
Об этой информации заявил минюст США. Пока что у минюста имеются претензии только к некоторым сотрудникам компании.
Если вспомнить лето и то, как Трамп под видом политики протекционизма хотел запретить TikTok, так как компания могла сливать данные американских пользователей китайским властям, то можно понять, почему. Zoom тоже китайская компания, большинство ее сотрудников из Китая. Но, к сожалению, сейчас Zoom - это единственная в мире компания, создавшая такую удобную программу для созвонов и конференций. Поэтому Zoom как бы монополист. А пользователям в текущей ситуации ничего не остаётся более, как подвергать себя риску быть слитым.
Высокопоставленный сотрудник Zoom помогал властям Китая, сливая данные пользователей, отключая созвоны пользователей, посвящённые обсуждению подцензурных тем(например бойня на площади Тяньаньмэнь в 1989) и создавал поддельные свидетельства хранения и обсуждения терроризма и детского порно. Просто представьте, что вы в Москве или Екатеринбурге, а к вам вламывается полиция, потому что вы якобы транслировали детское порно. И все это из-за недобросовестного сотрудника Zoom.
Об этой информации заявил минюст США. Пока что у минюста имеются претензии только к некоторым сотрудникам компании.
Если вспомнить лето и то, как Трамп под видом политики протекционизма хотел запретить TikTok, так как компания могла сливать данные американских пользователей китайским властям, то можно понять, почему. Zoom тоже китайская компания, большинство ее сотрудников из Китая. Но, к сожалению, сейчас Zoom - это единственная в мире компания, создавшая такую удобную программу для созвонов и конференций. Поэтому Zoom как бы монополист. А пользователям в текущей ситуации ничего не остаётся более, как подвергать себя риску быть слитым.
Хакеры взломали iPhone журналистов через 0-day уязвимость и следили за ними
Канадские исследователи из Citizen Lab выявили кибератаку против сотрудников каналов Al Jezeera и Arabi TV.
Благодаря вредоносному ПО Pegasus NSO Group передавала заказчикам геоданные, мгновенные снимки с камеры смартфона, записи с микрофона, пароли для доступа к сервисам и даже содержание зашифрованных голосовых звонков.
Уязвимость была в службе мгновенных сообщений iMessage. Пофиксили ее только в свежей версии iOS 14. Для взлома не нужны были даже никакие действия со стороны жертвы.
Интересно тут то, как обнаружили взлом: на телефон журналиста установили VPN, который вёл сетевые журналы. После этого специалисты выявили соединение с сервером NSO Group.
Советуем тем, кто ещё не обновился до последней версии, сделать это. И, хотя, такие атаки делаются таргетировано, обновление до последней версии может повысить стоимость успешной атаки.
Канадские исследователи из Citizen Lab выявили кибератаку против сотрудников каналов Al Jezeera и Arabi TV.
Благодаря вредоносному ПО Pegasus NSO Group передавала заказчикам геоданные, мгновенные снимки с камеры смартфона, записи с микрофона, пароли для доступа к сервисам и даже содержание зашифрованных голосовых звонков.
Уязвимость была в службе мгновенных сообщений iMessage. Пофиксили ее только в свежей версии iOS 14. Для взлома не нужны были даже никакие действия со стороны жертвы.
Интересно тут то, как обнаружили взлом: на телефон журналиста установили VPN, который вёл сетевые журналы. После этого специалисты выявили соединение с сервером NSO Group.
Советуем тем, кто ещё не обновился до последней версии, сделать это. И, хотя, такие атаки делаются таргетировано, обновление до последней версии может повысить стоимость успешной атаки.
Facebook собирает данные местоположения вашего iPhone
У Facebook какая-то дата-зависимость. Компания как будто ничего не может с этим поделать. И понятно почему: вся бизнес-модель техногиганта построена на сборе, обработке и продаже наших данных.
Пробелы в настройках конфиденциальности стали еще более очевидными на фоне разгоревшегося скандала между Apple и Facebook из-за конфиденциальности пользователей Apple. Apple в новом обновлении ограничила доступ к идентификаторам отслеживания и отслеживание местоположения.
Вы можете отключить доступ к местоположению в настройках для Facebook навсегда, и Facebook не сможет получить их с самого устройства, но соц.сеть использует инструмент EXIF (Exchangeable Image File). EXIF - метаданные, которые относятся к камере и настройкам фотографии, которые включают дату и время, когда была сделана фотография, модель телефона и точное местоположение. Эти данные будут оставаться с фотографией везде, где она передается.
У Facebook какая-то дата-зависимость. Компания как будто ничего не может с этим поделать. И понятно почему: вся бизнес-модель техногиганта построена на сборе, обработке и продаже наших данных.
Пробелы в настройках конфиденциальности стали еще более очевидными на фоне разгоревшегося скандала между Apple и Facebook из-за конфиденциальности пользователей Apple. Apple в новом обновлении ограничила доступ к идентификаторам отслеживания и отслеживание местоположения.
Вы можете отключить доступ к местоположению в настройках для Facebook навсегда, и Facebook не сможет получить их с самого устройства, но соц.сеть использует инструмент EXIF (Exchangeable Image File). EXIF - метаданные, которые относятся к камере и настройкам фотографии, которые включают дату и время, когда была сделана фотография, модель телефона и точное местоположение. Эти данные будут оставаться с фотографией везде, где она передается.
Банки будут проводить удаленную идентификацию с помощью биометрии
Госдума приняла закон, который позволяет банкам удаленно идентифицировать клиента с помощью изображения лица и образца голоса. Все данные, которые соберут банки, будут храниться в ЕБС(единая биометрическая система).
Биометрию из ЕБС смогут использовать госорганы, финансовые организации, нотариусы при условии, что владелец даст согласие на это. Передача биометрических данных без защиты криптографией будет запрещена.
Биометрия в России в последнее время очень быстро развивается. Это уже процесс, который вряд ли можно остановить. Теперь главная задача - обеспечить защиту этих данных при хранении и обработке.
Госдума приняла закон, который позволяет банкам удаленно идентифицировать клиента с помощью изображения лица и образца голоса. Все данные, которые соберут банки, будут храниться в ЕБС(единая биометрическая система).
Биометрию из ЕБС смогут использовать госорганы, финансовые организации, нотариусы при условии, что владелец даст согласие на это. Передача биометрических данных без защиты криптографией будет запрещена.
Биометрия в России в последнее время очень быстро развивается. Это уже процесс, который вряд ли можно остановить. Теперь главная задача - обеспечить защиту этих данных при хранении и обработке.
👍1
Cybernews провел исследование 13 приватных мессенджеров на безопасность
Результаты такие: 86% приложений(11 из 13) по умолчанию были безопасными. Удивительно, что в Telegram и Facebook Messenger эти функции безопасности не были включены по умолчанию, но их можно включить самостоятельно в настройках. Только два приложения - Briar и Qtox используют P2P при обмене сообщениями.
Большинство приложений используют для хэширования ключей и шифрования одни из самых безопасных алгоритмов, существующих на данный момент: RSA и AES.
iMessage не шифрует сообщения, если они отправляются через GSM (используется для 2G и 3G)
В общем, тенденция у мессенджеров хорошая. Большинство использует надежные алгоритмы шифрования, а значит у пользователей меньше поводов для беспокойства.
Результаты такие: 86% приложений(11 из 13) по умолчанию были безопасными. Удивительно, что в Telegram и Facebook Messenger эти функции безопасности не были включены по умолчанию, но их можно включить самостоятельно в настройках. Только два приложения - Briar и Qtox используют P2P при обмене сообщениями.
Большинство приложений используют для хэширования ключей и шифрования одни из самых безопасных алгоритмов, существующих на данный момент: RSA и AES.
iMessage не шифрует сообщения, если они отправляются через GSM (используется для 2G и 3G)
В общем, тенденция у мессенджеров хорошая. Большинство использует надежные алгоритмы шифрования, а значит у пользователей меньше поводов для беспокойства.
Компания GoDaddy фишинговала своих же сотрудников
Руководству перед новогодними праздниками захотелось проверить, могут ли попасться на удочку ее сотрудники, поэтому оно провело тайное тестирование.
Но общественность отреагировала на это не так однозначно. GoDaddy разослало своим сотрудником электронные письма с обещанием выслать $650 в качестве премии. Для получения денег сотрудники должны были отправить ответное письмо с указанием адреса и других перс.данных. Денег никто, естественно, не получил.
Это всех расстроило и вызвало дискуссии в Twitter. Тест посчитали слишком жестоким. Руководство извинилось перед сотрудниками и сказало, что очень серьёзно относится к безопасности своей платформы.
Оставаться перед Новым годом без обещанной премии, конечно, неприятно, но безопасность важнее.
Руководству перед новогодними праздниками захотелось проверить, могут ли попасться на удочку ее сотрудники, поэтому оно провело тайное тестирование.
Но общественность отреагировала на это не так однозначно. GoDaddy разослало своим сотрудником электронные письма с обещанием выслать $650 в качестве премии. Для получения денег сотрудники должны были отправить ответное письмо с указанием адреса и других перс.данных. Денег никто, естественно, не получил.
Это всех расстроило и вызвало дискуссии в Twitter. Тест посчитали слишком жестоким. Руководство извинилось перед сотрудниками и сказало, что очень серьёзно относится к безопасности своей платформы.
Оставаться перед Новым годом без обещанной премии, конечно, неприятно, но безопасность важнее.
Bitcoin за одну ночь вырос до $28 000.
Тот, кто покупал его в 2010, сейчас может купить квартиру
Тот, кто покупал его в 2010, сейчас может купить квартиру
Оказывается, у телефонных мошенников есть данные главы ЦБ России
Эльвира Набиуллина рассказала в интервью Шнурову, что ей звонили телефонные мошенники и пытались выманить данные карты.
«Я, естественно, положила трубку, что я советую всем остальным»,-сказала глава ЦБ.
Пополнять базу номеров помогаем мы сами, оставляя номера при регистрации на разных сайтах. От нежелательных звонков могут помочь защититься телеком-компании. На устройствах iOS и Android есть встроенные или отдельные функции, «заглушающие» звонки с неизвестных номеров.
https://rtvi.com/broadcast/shnurov-i-nabiullina-gotovyat-olive/
Эльвира Набиуллина рассказала в интервью Шнурову, что ей звонили телефонные мошенники и пытались выманить данные карты.
«Я, естественно, положила трубку, что я советую всем остальным»,-сказала глава ЦБ.
Пополнять базу номеров помогаем мы сами, оставляя номера при регистрации на разных сайтах. От нежелательных звонков могут помочь защититься телеком-компании. На устройствах iOS и Android есть встроенные или отдельные функции, «заглушающие» звонки с неизвестных номеров.
https://rtvi.com/broadcast/shnurov-i-nabiullina-gotovyat-olive/
RTVi
Цены, рубль и брошки. Шнуров и Набиуллина готовят оливье с колбасой и обсуждают итоги 2020 года
Без оливье не обходится ни один Новый год. Генеральный продюсер RTVI Сергей Шнуров и председатель Центробанка России Эльвира Набиуллина приготовили салат по классическому советскому рецепту — с колбасой, а заодно обсудили экономические итоги уходящего года.…
Злоумышленники перехватывали информацию из Google Docs
Исследователь Shreeram KL сообщил о уязвимости в Google Docs, которую он нашёл в июле.
Из-за ошибки, которая содержалась в функции «отправить отзыв» можно было перехватывать скриншоты документов.
В этом сервисе компании не было заголовка X-Frame-Options. Он используется для предотвращения кликджейкинга.
Эта уязвимость уже была закрыта, но Shreeram KL говорит, что в Google Docs до сих пор нет X-Frame-Options.
Компания выплатила исследователю безопасности $3 тысячи за обнаруженную уязвимость.
Исследователь Shreeram KL сообщил о уязвимости в Google Docs, которую он нашёл в июле.
Из-за ошибки, которая содержалась в функции «отправить отзыв» можно было перехватывать скриншоты документов.
В этом сервисе компании не было заголовка X-Frame-Options. Он используется для предотвращения кликджейкинга.
Эта уязвимость уже была закрыта, но Shreeram KL говорит, что в Google Docs до сих пор нет X-Frame-Options.
Компания выплатила исследователю безопасности $3 тысячи за обнаруженную уязвимость.
Российской IT отрасли хотят дать ещё больше плюшек
Власти предлагают новые меры: 50% субсидия от стоимости для разработчиков софта, если они продают его российским IT-компаниям.
Так же в новый пакет мер хотят включить требование о совместимости отечественного ПО с российскими ОС и процессорами.
Под новые меры продержки попадут те компании, которые уже входят в перечень IT-компаний о налоговом маневре.
Власти предлагают новые меры: 50% субсидия от стоимости для разработчиков софта, если они продают его российским IT-компаниям.
Так же в новый пакет мер хотят включить требование о совместимости отечественного ПО с российскими ОС и процессорами.
Под новые меры продержки попадут те компании, которые уже входят в перечень IT-компаний о налоговом маневре.
Биометрия в деле
Путин подписал закон о биометрии для получения финансовых услуг удаленно.
Теперь банки смогут собирать биометрию в ЕБС, а условия сбора будет устанавливать центробанк.
Данные можно будет собирать и через МФЦ. Они позволят проводить аутентификацию граждан.
Контролировать безопасность данных станут ФСБ, ЦБ и ФСТЭК, а Роскомнадзор будет следить за обработкой биометрии в ЕБС, ГИС и КБС(коммерческие биометрические системы).
С принятием этого закона вырастают риски утечек и продажи данных.
Путин подписал закон о биометрии для получения финансовых услуг удаленно.
Теперь банки смогут собирать биометрию в ЕБС, а условия сбора будет устанавливать центробанк.
Данные можно будет собирать и через МФЦ. Они позволят проводить аутентификацию граждан.
Контролировать безопасность данных станут ФСБ, ЦБ и ФСТЭК, а Роскомнадзор будет следить за обработкой биометрии в ЕБС, ГИС и КБС(коммерческие биометрические системы).
С принятием этого закона вырастают риски утечек и продажи данных.
Школьник атаковал сайт министерства образования
В Новосибирской области 17-летний школьник решил сорвать урок и порадовать одноклассников. В компании своего друга он совершил атаку на сайт минобра, использовав вредоносное ПО.
Сорвать урок ему все же удалось. Во время атаки, проходившей в условиях дистанционного обучения, получилось заблокировать и сайт школы, где проходили занятия.
Теперь парню придётся заплатить 10 тысяч за совершенное преступление.
Забавно, что с защитой у регионального минобра все было настолько плохо.
В Новосибирской области 17-летний школьник решил сорвать урок и порадовать одноклассников. В компании своего друга он совершил атаку на сайт минобра, использовав вредоносное ПО.
Сорвать урок ему все же удалось. Во время атаки, проходившей в условиях дистанционного обучения, получилось заблокировать и сайт школы, где проходили занятия.
Теперь парню придётся заплатить 10 тысяч за совершенное преступление.
Забавно, что с защитой у регионального минобра все было настолько плохо.
В 2021 в России легализуют криптовалюту
В новом году криптовалюту можно будет продавать, покупать, дарить и завещать. Но использовать ее для оплаты будет запрещено. Крипта теперь будет считаться имуществом на законодательном уровне.
Но появятся и ограничения: теперь владельцы должны будут отчитываться об операциях, сумме на криптокошельке. Так как ЦФА приравнивают к имуществу, на него можно наложить взыскание при банкротстве, бороться с отмыванием денег и коррупцией. Регулировать деятельность с ЦФА будет Центробанк.
В новом году криптовалюту можно будет продавать, покупать, дарить и завещать. Но использовать ее для оплаты будет запрещено. Крипта теперь будет считаться имуществом на законодательном уровне.
Но появятся и ограничения: теперь владельцы должны будут отчитываться об операциях, сумме на криптокошельке. Так как ЦФА приравнивают к имуществу, на него можно наложить взыскание при банкротстве, бороться с отмыванием денег и коррупцией. Регулировать деятельность с ЦФА будет Центробанк.