Журнал "Директор по безопасности" Январь 2021 | Page 29
Исследование было запущено два года назад ; его результаты были представлены на конференции Black Hat Europe
Миллионы PoS-терминалов уязвимы к краже данных банковских карт
В платежных терминалах двух крупнейших производителей – Verifone и Ingenico – выявлены множественные уязвимости , облегчающие кражу банковских реквизитов . Обновления , устраняющие проблемы , уже вышли ; их следует получить и установить , направив запрос вендору , банку или сервис-провайдеру . Уязвимости обнаружила команда экспертов Positive Technologies .
Масштабное исследование было запущено два года назад ; его результаты были представлены на только что завершившейся конференции Black Hat Europe , которая в этом году проводилась как сугубо виртуальное мероприятие . В PoS-терминалах Telium 2 производства Ingenico исследователи обнаружили десять уязвимостей разной степени угрозы ; самая опасная из них , CVE-2018-17773 , получила 8,3 балла по шкале CVSS . Она вызвана некорректной реализацией протокола NTPT3 , провоцирующей появление ошибки переполнения буфера .
Злоумышленник может использовать эту ситуацию для получения максимальных привилегий в системе . Остальные уязвимости в Telium 2 связаны с наличием вшитого в код пароля , возможностью обхода ограничений на чтение файлов , выполнения произвольного кода . Эксплуатация большинства из них , по словам экспертов , требует наличия физического доступа к устройству . Некоторые бреши можно использовать удаленно , а в связке все они позволяют получить полный контроль над устройством . Патчи включены в состав обновления Telium 2 SDK v9.32.03 patch N . В кассовых терминалах Verifone найдено восемь уязвимостей ; самая опасная из них ( CVE-2019- 14711 ) оценена в 8,8 балла по CVSS . Она вызвана ошибкой состояния гонки и позволяет обойти контроль доступа на основе ролевой модели ( Role Based Access Control , RBAC ).
Остальные проблемы связаны с наличием вшитых паролей , ошибками переполнения буфера , возможностью повышения привилегий , обхода шифрования , внедрения вредоносного кода . В последнем случае атака возможна лишь при наличии физического доступа к устройству – злоумышленнику придется подключиться к терминалу по USB , чтобы установить анализатор-сниффер для отбора нужной информации . Такая операция , по оценке экспертов , потребует от пяти до десяти минут .
Обнаруженные уязвимости актуальны для устройств Verifone серий MX , VX и UX . Комментируя свои находки для Forbes , исследователи представили доказательство возможности полной компрометации PoS-терминала : по оценке экспертов , найденные ими уязвимости затрагивают миллионы платежных терминалов . Согласно внутренней статистике , Verifone ведет деловые операции более чем в 150 странах . Ее PoS-системы ежегодно обрабатывают 7,6 млрд транзакций . Другой лидер рынка , Ingenico , ежегодно производит более 12 млн PoS-устройств ; в настоящее время пользовательская база компании охватывает свыше 40 млн установок . Услугами Ingenico пользуются 160 тыс . торгово-сервисных предприятий и более 1 тыс . банков-эквайеров .
Anti-malware . ru
Японские предприятия наладили выпуск « антикоронавирунсых » роботов
Пандемия коронавирусной инфекции изменила жизнь практически всех . Люди перешли на удаленную работу , многие встречи заменяются онлайн-общением . Японские разработчики тоже не остались в стороне и придумали специальных роботов , которые помогут предотвратить распространение заражений и помогают пережить пандемию , передает канал 360 . Компания ZMP сделала беспилотный охранный-робот дезинфектор .
Это компактное передвижное устройство с голосовым помощником , который может поддержать разговор . Основная задача робота опрыскивать помещения дезинфицирующим спреем . Специальные датчики позволяют ему не пускать струю антисептика на человека . Кроме того , он способен собирать информацию и отправлять ее на пульт дежурному при помощи встроенных камер . Вот как выглядит обработка офисного помещения . робот на колесиках медленно передвигается по помещению , пока специальный распылитель на его голове выпускает дезинфицирующий спрей .
По словам разработчиков , один такой робот может обслуживать целый больничный этаж . Многие из тех , кто ушел на вынужденную самоизоляцию часто проводят время в одиночестве . С другими людьми они могут общаться только по видеосвязи . Это может привести к серьезным расстройствам , потому что есть у человека есть потребность не только в общении , но и в физическом присутствии собеседника . Для этой цели компания Unirobоt предложила воспользоваться их андроидом Unibо . Система андроида настроена таким образом , что он способен обучаться . После достаточного общения может определять эмоции своего хозяина и понимать , когда его можно трогать , а когда не стоит .
ГардИнфо
ЕС обяжет техногигантов взять под контроль контент в интернете , иначе им будут грозить штрафы
Европейский союз обяжет крупные технологические компании , такие как Facebook и Amazon , взять на себя больше ответственности за контроль над контентом в интернете , в противном случае им будут грозит штрафы . Об этом сообщают журналисты Financial Times , ознакомившиеся с новым законопроектом , который будет опубликован на следующей неделе .
Законопроект обяжет крупные технологические компании проверять сторонних поставщиков наподобие продавцов , продающих свой товар через Amazon , а также предоставлять регуляторам и исследователям данные о том , как они модерируют нелегальный контент . Кроме того , крупные компании должны будут обеспечивать большую прозрачность рекламного контента , « ясно , однозначно и в реальном времени » сообщая пользователям , что они просматривают рекламу . При этом они также должны будут указывать , кто является заказчиком рекламы , и предоставлять « содержательную информацию о параметрах », использовавшихся для таргетинга .
Впервые в истории Евросоюз дал определение крупным технологическим платформам . Согласно документу , таковыми являются платформы , чья аудитория насчитывает более 45 млн пользователей ( 10 % от численности населения Евросоюза ). Основанием для создания законопроекта послужил тот факт , что влияние крупных IT-компаний на интернет-пользователей является диспропорциональным . « Очень большие платформы теперь играют систематическую роль в усилении и формировании потоков информации online для большого числа европейских граждан », – говорится в документе .
Крупным платформам , большая часть которых являются американскими , придется назначить « одного или нескольких » директоров по комплаенсу для обеспечения соблюдения требований нового « Закона о цифровых сервисах » ( Digital Services Act ). Несоблюдение требований закона грозит штрафами в размере до 6 % от всего оборота компании в предыдущем финансовом году . Сумма штрафа будет зависеть от серьезности нарушений , а также от того , как долго они имели место и повторялись ли снова .
Securitylab . ru
Производители инструментов для слежения собирают геолокационные данные из приложений
Израильские производители инструментов для слежения собирают большие массивы геолокационных данных из мобильных приложений . Как сообщает Forbes , одной из таких компаний является сверхсекретный стартап Bsightful , частично принадлежащий многомиллиардной американской компании Verint Systems . Второй – признанный игрок на израильском рынке технологий для слежения Rayzone , чей инструмент Echo предназначен для « массового сбора данных всех интернет-пользователей в стране ».
Каким образом вышеупомянутым компаниям удается массово собирать геолокационные данные из приложений ? Как поясняет Forbes , в этих целях производители технологий для слежения используют экосистему мобильной рекламы , а именно – платформу Demand Side Platform ( DSP ). В частности , платформу DSP для сбора данных о местоположении приложений использует компания Bsightful . В автоматизированном мире мобильной рекламы приложения , ищущие рекламодателей , используют DSP для демонстрации рекламного пространства , которые они могут предложить . Рекламодатели и их агентства оценивают предложения и выбирают , где разместить рекламу . Если производитель технологий для слежения управляет платформой DSP , то ему даже не нужно предоставлять рекламу . Он может просто собирать данные о местоположении и другие предоставляемые разработчиками данные .
Однако периодически компания все-таки должна отправлять рекламу , чтобы поддерживать DSP в активном состоянии . Для обеспечения максимально возможного покрытия она также должна привлекать как можно больше разработчиков , чтобы они включали в свои приложения код , указывающий на DSP . Настройка « white label DSP » позволяет производителям технологий для слежения собирать данные , предназначенные исключительно для помощи маркетинговым кампаниям и рекламодателям .
Полученная с помощью DSP информация упаковывается в программный инструмент , используемый правительственными заказчиками для « прочесывания » целых областей или поиска отдельных лиц . Для получения данных о последнем местонахождении цели достаточно знать лишь ее номер телефона , если на ее устройстве установлено соответствующее приложение .
Securitylab . ru
11 % сотрудников работают на удаленке без одежды , 4 % – реже принимают душ
Как выяснили аналитики « Лаборатории Касперского », проведя опрос среди работающих дистанционно граждан , каждому десятому сотруднику нравится работать без одежды . Именно за такой комфорт люди ценят удаленку . Согласно данным опроса , проведенного « Лабораторией Касперского », 55 % работающих удаленно сотрудников надевают удобную одежду в рабочие часы .
При этом 11 % предпочитают вообще обходиться без нее . 53 % респондентов очень нравится , что проснуться можно буквально за несколько минут до начала рабочего дня , а в перерывах вообще есть возможность полежать на удобной домашней кровати . 22 % опрошенных сообщили , что ценят возможность работать на свежем воздухе – на балконе , например . 20 % полюбили обедать дома , а не в столовой . Нашлись и грязнули : 4 % респондентов нравится , что душ можно принимать реже . Аналитики опросили 8 тысяч человек по всему ( 502 сотрудника российских компаний ).
Anti-malware . ru
WhatsApp обвинила Apple в антиконкурентном поведении
Создатели мессенджера WhatsApp выступили против требований компании Apple к разработчикам приложений предоставлять пользователям информацию о собираемых данных . Как сообщили представители WhatsApp , подобное поведение является антиконкурентным , поскольку приложения самого техногиганта изначально предустановлены на iPhone и не требуют загрузки из App Store , где будут отображаться новые ярлыки конфиденциальности .
« Мы считаем , что ярлыки должны быть единообразными для собственных и сторонних приложений , а также отражать строгие меры , которые приложения могут принимать для защиты личной информации людей . Важно , чтобы люди могли сравнивать эти ярлыки конфиденциальность на загружаемых ими приложениях с предустановленными приложениями , такими как iMessage », – сообщили представители WhatsApp .
Apple попыталась упростить ярлыки конфиденциальности , используя общие термины , такие как « финансовая информация » или « пользовательский контент ». В WhatsApp полагают , что данные условия могут беспокоить пользователей по поводу собираемых данных и поставить WhatsApp в невыгодное положение .
Apple отметила , что новое требование о конфиденциальности информации в App Store будет одинаково применяться ко всем iOS-приложениям , включая ее собственные . То есть у приложений Apple , таких как « Книги » и « Подкасты », будут отображаться ярлыки конфиденциальности , как и в случае со сторонними программами . Для предустановленного в iOS ПО , как , например , iMessage , компания создаст специальный раздел с информацией на своем сайте .
Разработчики должны добавлять новую информацию о конфиденциальности при отправке своих приложений и обновлений в App Store . Пока неизвестно , когда именно ярлыки начнут появляться в магазине приложений Apple .