Последние сообщения

Страницы 1 2 3 4 5 6 7 8 9 10
31
Гаджеты / Re: Android-смартфон Moviphone...
Последний ответ от CaPa - 19-01-2018, 22:20:57
ты всё равно не сможешь всё всё всё в одну кучу собрать)
мне бы тогда хотелось иметь в смартфоне функцию стиральной машинки, микроволновой печи, палатки... да и вообще много чего ещё, что нереально на данный момент)
а т.к. ты ещё и авто гоняешь и проектор смотришь не часто, то кто тебе мешает с собой возить микропроектор? )
32
Гаджеты / Re: Мини-компьютер Raspberry P...
Последний ответ от CaPa - 19-01-2018, 22:19:49
возможно только для каких-то оооочень специфических и не тяжёлых задач, в роли удалённой релюшки, сервиса, сигнализации и т.п., где не требуется экран и прочие инструменты ввода и вовода.
33
Гаджеты / Re: Xiaomi выпустила 4K-телеви...
Последний ответ от CaPa - 19-01-2018, 22:17:35
Интересны российские цены. а не абстрактные, за которые даже китайцы купить не могут)
34
Гаджеты / Re: Российские процессоры «Бай...
Последний ответ от CaPa - 19-01-2018, 22:16:32
ох, ну и цена. 
35
ПО для Интернета / Re: Новые угрозы , кибер - пре...
Последний ответ от CaPa - 19-01-2018, 22:11:02
по Skygofree очень интересно. Вот пожалуй и правда первый полноценный вирус, если можно так назвать. но и его надо ещё вручную установить. пойду изучу подробнее, что за хрнеь)

и очень порадовала возможность взлома PS4. Молодцы!  :thanx
36
Флудилка / Re: Досчитать до миллиона! :)
Последний ответ от CaPa - 19-01-2018, 20:42:37
8444, ладна! вы меня позовите, когда тему смените, а то я реально офигеваю и не понимаю, что к чему )
37
Флудилка / Re: Досчитать до миллиона! :)
Последний ответ от soner30 - 19-01-2018, 19:30:32
8443..
крепкий..орешек))
38
Флудилка / Re: Досчитать до миллиона! :)
Последний ответ от Vadia - 19-01-2018, 14:37:31
8442

вот заметь, уже теорией заговора отмазывается
но развеять ее даж не попытался
39
Гаджеты / Представлены мессенджеры для н...
Последний ответ от soner30 - 19-01-2018, 02:45:04
На CES 2018 компания AiFi представила приложения Wonderlens и Holo Messenger для обработки изображений (в том числе коротких видео) и встраивания их в различные сюжеты в режиме реального времени.

Разработчики представили алгоритм, который при помощи технологии AR позволяет, сохраняя высокое качество, вырезать селфи или другое изображение из одного кадра, а затем вставить его в другой. Такие несложные приложения можно использовать для создания любых видеороликов, помещая себя или кого-либо другого на дно океана, в открытый космос или рядом с какой-нибудь мировой достопримечательностью.
В программе уже имеются различные фоновые изображения и видеоролики, куда можно вставить селфи: горные вершины, киты в океане, виды Парижа и прочее, так что остаётся только разместить на таком «живом» фоне собственное «живое» селфи в режиме реального времени, послать его друзьям и вызвать всеобщую зависть.

Возможности второго приложения, Holo Messenger, ещё интереснее, оно позволяет предстать в виде «голограммы» и именно так передать сообщение другу, как это сделала принцесса Лея в «Звездных войнах».

Согласно заявлению Стива Гу, генерального директора AiFI, хотя технология AR, представленная компанией на CES, представляет собой одно из основных приложений, это лишь верхушка айсберга. Компания ориентирована на использование своих разработок на потребительском рынке, в том числе розничных продаж, где востребован быстрый автоматический контроль покупок. Их AR-разработки могут быть также использованы для «умного» города, в области физической терапии и спорта.
К настоящему моменту работа обоих приложений осуществляется на iOS, но в AppStore они пока недоступны


40
ПО для Интернета / Re: Новые угрозы , кибер - пре...
Последний ответ от soner30 - 19-01-2018, 02:42:07
Вредоносная ссылка приводит к сбою в работе iPhone и Mac



Пользователи соцсети Twitter сообщили о вредоносной ссылке, приводящей к сбою в работе iPhone, iPad и Мас. Ссылка, появившаяся на портале GitHub, вызывает нарушения в работе приложения «Сообщения» на устройствах, при ее получении гаджеты начинают «зависать» или перезагружаться, а само приложение становится нерабочим.



Предположительно, проблема связана с функцией предварительного просмотра ссылок в «Сообщениях». В ряде случаев отправка ссылки приводила к перезагрузке устройств как отправителя, так и получателя, или к зависанию и последующему краху «Сообщений». Единственное решение проблемы - выйти из приложения, вновь открыть его и удалить всю переписку со ссылкой.

Пользователи iPhone или iPad могут воспользоваться функцией «Родительский контроль» и заблокировать домен GitHub.io, тем самым защитив свои устройства




Обнаружен один из опаснейших вирусов на Android



Недавно стало известно о новом вирусе для Android-устройств. Его назвали Skygofree и уже окрестили одним из самых опасных из всех ранее известных.



С его помощью злоумышленники могут следить за ничего не подозревающей жертвой, собирая о ней самую разную информацию. По данным специалистов, Skygofree активно используется ещё с 2014 года, но известно о нём стало лишь в конце прошлого года.

Skygofree имеет целый ряд уникальных функций, которых раньше не было ни в одном известном вирусе. Он способен включать запись звука в зависимости от местоположения пользователя. Например, когда он приехал на работу, хакеры тут же начнут прослушивать его. Также злоумышленники обучили вирус самостоятельно активировать Wi-Fi и подключаться к полностью подконтрольным им сетям, передавая с гаджета все данные об интернет-трафике. В последних версиях Android появилась функция отключения неактивных приложений во время бездействия девайса. Skygofree обходит это путём периодической отправки системных уведомлений. Также вирус самостоятельно вносит себя в число избранных приложений, которые постоянно остаются активными на устройстве.

Ещё одна опасная способность Skygofree -- отслеживание личных переписок в популярных мессенджерах, среди которых Facebook Messenger, Skype, Viber и WhatsApp. В последнем случае злоумышленники используют «Специальные возможности», предназначенные для людей с физическими особенностями. Интересно, что запрос на доступ к «Специальным возможностям» обычно скрывается под каким-то другим уведомлением.

Ко всему прочему, Skygofree умеет скрытно фотографировать на фронтальную камеру, перехватывать звонки, SMS-сообщения, записи календаря и многие другие данные, пересылая их хакерам.

Распространяется вирус чаще всего через поддельные сайты мобильных операторов. Злоумышленники предлагают пользователям скачать обновление на их устройство, которое якобы должно повысить скорость работы мобильной сети. Пока единственный способ защиты от Skygofree -- бдительность. Скачивать приложения следует только из проверенных источников, а предоставлять им разрешения -- внимательно читая, что и зачем они требуют



Ростовский хакер взломал PayPal




Несмотря на разработку все новых и новых методов кибербезопасности, электронные кошельки и системы оплаты всегда будут лакомым кусочком для хакеров и других нечистых на руку людей, обитающих во Всемирной паутине.



Уже не раз совершались попытки взлома платежных систем и попытки воровства банковских карт, но хакер из Ростова-на-Дону не так давно сумел взломать одну из самых распространенных в мире платежных систем PayPal и украсть у ее пользователей несколько миллионов рублей.

Не так давно по подозрению в киберпреступлении органы правопорядка Ростова-на-Дону задержали 21-летнего хакера. Как стало известно, молодой человек (имя и фамилию которого следствие не разглашает) в течение нескольких месяцев взламывал частные аккаунты пользователей PayPal и снимал с данных их счетов денежные средства. Как заявили в пресс-службе правоохранительных органов,

«Атакам подверглась в первую очередь популярная система PayPal, в которой хакеры обнаружили существенную уязвимость. Менее чем за полгода житель Ростова получил несколько миллионов рублей и планировал продолжать свою деятельность».

В ходе следствия удалось выяснить, что молодой человек с 15 лет увлекался программированием и информационной безопасностью. В какой-то момент он начал писать программы для того, чтобы можно было выяснять персональные данные пользователей. Видимо, после этого на него и вышли другие киберпреступники, которые предложили хакеру сотрудничество. В данный момент на ростовского хакера заведено уголовное дело по статье, связанной с созданием и распространением вредоносных программ. Ну а мы, в свою очередь, напомним, что для любых своих платежных систем старайтесь использовать как можно более лучшие системы защиты: двух- и трехэтапную аутентификацию, сложные пароли, биометрические данные и вообще все любые доступные средства



Хакеры запустили первую пиратскую игру на PlayStation 4



В Сети появилась первая рабочая пиратская игра для Sony PlayStation 4. Недавно была опубликована созданная для обхода защиты PS4 утилита, автор которой заявлял, что она не предназначена для запуска нелегальных программ.

Однако энтузиасты всё же нашли способ использовать инструмент, позволяющий запускать на приставке любой код и вносить изменения в систему на уровне ядра для осуществления джейлбрейка. Но, как обычно, есть нюанс.



Заключается он в том, что владельцы PS4 с актуальным программным обеспечением версии 5.03 не смогут запустить пиратские игры. Инструмент по-прежнему совместим лишь с устаревшей прошивкой 4.05, поскольку использует присутствующую только в этой версии ПО уязвимость (устранена в патче 4.06). Авторы модифицированной утилиты утверждают, что проекты, которые требуют 4.06 или выше, вообще не получится запустить с имеющимся эксплойтом. Главная сложность в данном случае состоит в том, что откатить прошивку до более старой версии на PS4 нельзя. А потому насладиться запретным плодом пиратства смогут только те, кто с момента приобретения консоли играл только в офлайне.

Первой игрой, которую обошедшие защиту PS4 хакеры выложили в открытый доступ, стала P.T. -- интерактивный трейлер отменённого проекта Konami и Хидео Кодзимы Silent Hills, давно исчезнувший с виртуальных полок PS Store (даже на Avito найти приставку с установленной P.T. проблематично). Взломать другие тайтлы, к большому сожалению экономных геймеров, пока не удалось. Впрочем, даже это можно со всей ответственностью назвать маленькой победой для пиратов. Примечательно то, что разработчик эксплойта -- пользователь под ником Specter -- уверял, что утилита не содержит кода, позволяющего обходить механизмы защиты от пиратства. Но талантливые хакеры всё же добились своего




Мошенники продают несуществующую криптовалюту Telegram



Неизвестные мошенники распространяют письма от имени создателей блокчейн-платформы Telegram Open Network (TON) с предложением купить еще несуществующую криптовалюту под названием Gram. Об этом сообщило издание «Код Дурова».



Как следует из письма, с 1 февраля 2018 года компания Telegram якобы запустит свою собственную криптовалюту по цене $0.15 за 1 Gram. Жертвам предлагается зарегистрироваться на сайте или присоединиться к Telegram-каналу проекта, после чего они смогут купить несуществующие токены. При этом сумма минимальной транзакции составляет 50 тыс. Gram ($5 тыс.).

Сайт злоумышленников выполнен в характерном для Telegram стиле и содержит настоящий White Paper системы TON, опубликованный ранее в Сети.

По данным сервиса регистрации доменных имен, мошеннический сайт зарегистрирован 6 января 2018 года, а его владельцы сохраняют анонимность.

В январе 2018 года стало известно о планах компании Telegram запустить собственную блокчейн-систему под названием Telegram Open Network (TON). В настоящее время неизвестно, когда именно система начнет работу, поскольку официальных заявлений Telegram на этот счет не поступало





Уязвимость в BitTorrent-клиенте Transmission, позволяющая выполнить код



В BitTorrent-клиенте Transmission выявлена уязвимость (CVE-2018-5702), затрагивающая RPC-интерфейс, используемый для организации связи между бэкендом (рабочий процесс) и фронтэндом (интерфейс).


Уязвимость позволяет организовать атаку, которая, если в системе запущен демон Transmission, может привести к выполнению произвольного кода, при открытии на той же системе в браузере сайта атакующего. Исправление доступно в виде патча и обновления для Debian и FreeBSD (пока недоступно для Fedora, SUSE, openSUSE, Ubuntu, RHEL/EPEL).

По умолчанию бэкенд принимает запросы на сетевом порту 9091, привязываясь к интерфейсу localhost (127.0.0.1). Запросы фронтэндов отправляются с использованием формата JSON, а для успешного подключения обязательно заполнение HTTP-заголовка «X-Transmission-Session-Id». Злоумышленник может создать страницу, при открытии которой при помощи вызова XMLHttpRequest() можно отправить произвольный запрос на localhost, но в этом случае невозможно подставить свой заголовок «X-Transmission-Session-Id», так как сработает защита от выхода за пределы области текущего домена (cross-origin).

Для обхода данного ограничения предлагается интересный трюк. Для хоста, с которого предлагается страница для атаки, в DNS настраивается поочерёдная отдача двух IP-адресов: на первый запрос отдаётся реальный IP сервера со страницей, а затем возвращается 127.0.0.1. Время жизни (TTL) для данной DNS-записи выставляется в минимальное значение. При открытии страницы браузер определяет реальный IP сервера атакущего и загружает содержимое страницы. На странице запускается JavaScript-код, ожидающий истечения TTL и после этого отправляющий при помощи XMLHttpRequest() второй запрос, который теперь определяет хост как 127.0.0.1, что приводит к обращению к внутреннему сетевому интерфейсу компьютера пользователя без ограничений cross-origin, что позволяет передать произвольный HTTP-заголовок.

Для демонстрации атаки подготовлен специальный минималистичный DNS-сервер rbndr, циклично меняющий IP для хоста. Также доступен пример JavaScript-кода для совершения атаки. Для организации выполнения кода после успешной отправки запроса к бэкенду используется возможность Transmission по привязке выполнения скрипта к загрузке торрента. В частности, можно передать бэкенду команду по включению режима script-torrent-done-enabled и запустить любой скрипт или установить параметр download-dir в /home/user/ и загрузить фиктивный торрент с именем «.bashrc».

Информация об уязвимости и патч для её устранения были переданы разработчикам Transmission ещё 30 ноября, но разработчики никак не отреагировали на проблему, поэтому исследователь решил раскрыть подробности об атаке не дожидаясь истечения 90 дней, чтобы дистрибутивы могли устранить уязвимость независимо от основного проекта. По мнению разработчиков Transmission уязвимость не представляет практическую опасность, так как затрагивает только конфигурации, в которых запускается отдельный демон (например, в случае применения web-фронтэнда) и он настроен на подключение без пароля




Новый майнер атакует Linux- и Windows-серверы




Исследователи Check Point и Certego обнаружили новый вариант вредоносного ПО для серверов под управлением Linux и Windows.

RubyMiner представляет собой майнер криптовалюты Monero, предназначенный для атак на устаревшие серверы. Атаки с его использованием начались 9-10 января 2018 года.

Для поиска уязвимых web-серверов операторы майнера используют инструмент p0f. Обнаружив сервер с устаревшим ПО, злоумышленники эксплуатируют следующие известные уязвимости: выполнение кода в фреймворке Ruby on Rails ( CVE-2013-0156 ), выполнение кода в PHP php-cgi ( CVE-2012-1823, CVE-2012-2311 , CVE-2012-2335, CVE-2012-2336 и CVE-2013-4878) и раскрытие исходного кода в Microsoft IIS ASP (CVE-2005-2678).

Исследователи отметили ряд отличительных черт атак с использованием RubyMiner:

• Код эксплоита содержит серию шелл-команд;

• Атакующие добавили в cron новое задание, выполняемое каждый час (hourly);

• Каждый час cron загружает скрипт, размещенный online;

• Загружаемый скрипт находится в файле robots.txt на различных доменах;

• Скрипт загружает и устанавливает модифицированную версию легитимного приложения XMRig для майнинга криптовалюты Monero.

По данным Check Point, RubyMiner уже инфицировал порядка 700 серверов. В загружаемой вредоносом кастомизированной версии XMRig исследователи нашли адрес криптовалютного кошелька. Судя по нему, операторы уже успели заработать на майнинге порядка $540.

P0f - инструмент, использующий массив сложных, исключительно пассивных механизмов снятия отпечатков трафика для идентификации игроков, стоящих за любым случайным TCP/IP соединением, без какого-либо вмешательства.

cron - классический демон, использующийся для периодического выполнения заданий в определенное время. Регулярные действия описываются инструкциями, помещенными в файлы crontab и в специальные директории




Клиенты OnePlus стали жертвами мошенничества с кредитками




Новый 2018 год начался для владельцев смартфонов OnePlus не наилучшим образом. Целый ряд пользователей, купивших устройства в официальном интернет-магазине OnePlus, стали жертвами мошеннических операций с их кредитными картами.

Первая жалоба появилась на форуме поддержки OnePlus в прошлые выходные. По словам покупателя, была зафиксирована подозрительная активность с использованием двух его кредитных карт, которыми он рассчитывался при покупке OnePlus. «Единственное место, где я за последние 6 месяцев использовал обе карты - это сайт OnePlus», - сообщил пользователь.

Вскоре подобные сообщения стали массово появляться не только на форуме OnePlus, но также на сайтах Twitter и Reddit. Пользователи жаловались, что после покупки устройств или аксессуаров на официальном сайте китайской компании их кредитные карты оказались скомпрометированными. Из этого можно предположить, что источником утечки данных является OnePlus.

Исследователи ИБ-компании Fidus опубликовали собственный отчет о возможной проблеме с платежной системой на сайте OnePlus. По их мнению, серверы компании могли быть взломаны. В настоящее время OnePlus обрабатывает все платежи самостоятельно на сайте, а значит, вся биллинговая информация вместе с данными кредитных карт клиентов проходит через сайт OnePlus и может быть перехвачена злоумышленниками.

Как подчеркивают исследователи, их находки вовсе не свидетельствуют о том, что сайт компании был взломан. Вероятнее всего, атаке подверглась используемая OnePlus платформа Magento. В самой компании это отрицают.



OnePlus быстро отреагировала на проблему, уверив своих клиентов, что не хранит данные кредитных карт на своем сайте, а обработка платежей доверена партнеру компании, поддерживающему стандарт безопасности PCI-DSS. На серверах OnePlus хранятся данные только пользователей, выбравших опцию «Сохранить данные карты для будущих транзакций», однако они надежно защищены с помощью механизма токенов.

Payment Card Industry Data Security Standard (PCI DSS) - стандарт безопасности данных индустрии платежных карт. PCI DSS разработан Советом по стандартам безопасности индустрии платежных карт, учрежденным международными платежными системами Visa, MasterCard,American Express, JCB и Discover. PCI DSS представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций.






Страницы 1 2 3 4 5 6 7 8 9 10