Работа в Стамбуле

Метка: Google

  • OEM-производители начнут выпускать обновления для Android

    OEM-производители начнут выпускать обновления для Android

    Проблема безопасности устройств на базе Android стоит очень остро с самого момента появления мобильной ОС компании Google. Тогда как устройства самой Google получают обновления безопасности регулярно, того же нельзя сказать обо всем спектре OEM-девайсов, выпускаемых другими производителями. Так, совсем недавно ИБ-специалисты выяснили, что порой даже крупные производители попросту лгут о выходе патчей и на самом деле обновлений не выпускают.

    Teredo for Android

    К сожалению, специалисты Google не имеют возможности контролировать всех OEM-производителей, хотя компания давно предпринимает шаги в данном направлении. К примеру, в прошлом году был запущен проект Treble, принесший значительные изменения архитектуры Android и позволивший производителям создавать и использовать универсальные компоненты поддержки оборудования, которые не привязаны к конкретным версиям Android и лежащим в их основе ядрам Linux.

    Хотя запуск Treble повлиял на ситуацию, изменив ее в лучшую сторону, в Google считают, что этого недостаточно. XDA Developers сообщает, что после релиза Android P Google начнет принуждать сторонних производителей регулярно обновлять свои устройства.

    Данное решение было анонсировано на прошедшей недавно конференции Google I/O Developer Conference, и издание цитирует главу безопасности Android Дэвида Клейдермахера (David Kleidermacher), который обещает, что новое соглашение для OEM-производителей позволит «значительно увеличить количество устройств и пользователей, регулярно получающих обновления безопасности».

    Пока текст нового соглашения не был опубликован, поэтому остается неясным, будут ли новые условия распространяться только на флагманские решения компаний, на все новые устройства с Android P на борту, или же изменения затронут и старые гаджеты, уже поступившие в продажу. Как бы то ни было, желание Google обязать OEM-производителей регулярно выпускать обновления безопасности должно положительным образом повлиять на огромный и разрозненный рынок Android-устройств.

  • Російські бази даних як і раніше вразливі

    Російські бази даних як і раніше вразливі

    Наразі Кримінальний Кодекс Російської Федерації передбачає покарання за незаконне збирання та розповсюдження в мережі інформації про приватне життя, а також за незаконний доступ до комп’ютерної інформації, у тому числі за її копіювання, пояснює Марков. Крім того, за його словами, періодично до кримінальної відповідальності притягують людей, які зливають інформацію про зміст листування та дзвінків, наприклад співробітників мобільних операторів, які продають інформацію про білінг абонентів.

    За нелегальну передачу персональних даних третім особам у Росії тепер садитимуть

    Але поширення інформації, яка не стосується приватного життя і не була отримана незаконно самим її розповсюджувачем, поки злочином не є її лише вправі заблокувати Роскомнагляд. Автори нового законопроекту пропонують запровадити кримінальну відповідальність просто за поширення інформації, що міститься у злитих базах персональних даних, каже юрист.

    Для цього правоохоронцям достатньо довести лише факт розповсюдження відомостей про персональні дані, раніше незаконно отримані третіми особами. Марков наводить приклад із витоком бази «Яндекс.Еди» — наприклад, «Яндекс» допустив витік, а тепер ці дані поширюються вже будь-ким і особливого покарання за це зараз у законодавстві в принципі не передбачено

    «З одного боку це дозволить притягати до відповідальності продавців баз даних. Але очевидно, що такі люди приховують свою діяльність, тому навряд чи основна практика застосування нової статті зосередиться саме на них. Більш явними виглядають ризики для журналістів, які займаються розслідуваннями, аналізуючи широко доступні, але не завжди законно опубліковані бази даних», — каже Марков.

    Заборона, за словами юриста, стосуватиметься будь-яких людей, які розповсюджують інформацію, але для журналістів, які займаються проектами на кшталт «Панамського архіву», «Досьє Пандори» та іншими розслідуваннями, ризики вищі, оскільки саме вони професійно працюють із базами, публікують інформацію та до того ж, самі є публічними особистостями, так що їх легко знайти.

    Ілля Шуманов зазначає, що нова стаття Кримінального кодексу може бути використана з репресивною метою також для переслідування цивільних активістів та аналітиків. Після ухвалення цього закону теоретично проблеми можуть виникнути у будь-якої людини, якщо у нього в телефоні раптом виявився скан чужого паспорта і він не може довести, що ця інформація використовувалася ним у сімейних чи особистих цілях, вважає Шуманов. «Поняття персональних даних у нас розмите. І фактично під нього може потрапити будь-яка інформація», — наголошує він.

    Він зазначає, що під дію законопроекту підпадають сервіси, які надають доступ до персональних даних на запит — «телеграм-боти, сервіси пробива, на кшталт «Око Бога» та йому подібні». При цьому, за словами Шуманова, навряд чи ці сервіси перестануть функціонувати після набуття чинності новою статтею Кримінального кодексу. «У правоохоронних органів вистачає інструментів для того, щоб боротися з ними блокуваннями, кримінальним переслідуванням, але вони не можуть впоратися», — зазначає Ілля Шуманов.

    Ризики для тих, хто наважиться опублікувати щось відкрито на основі витоку даних зростають, а загрози для хакерів, як і раніше, немає, підтверджує адвокат, який спеціалізується на захисті цифрових прав. Він посилається на відкриті дані, судячи з яких злитих баз даних останнім часом стало значно більше, а про залучення осіб, справді пов’язаних із витоками, нічого не відомо.

    Як зазначив адвокат, «заборонені» персональні дані спецкатегорій — про расову, національну приналежність, політичні погляди, релігійні чи філософські переконання, стан здоров’я, інтимне життя, а також біометричні персональні дані, найчастіше збирають саме силовики. Про це, наприклад, докладно розповідав проект «Мережеві свободи».

    Діяльність журналістів захищена законом «Про персональні дані» — у ньому прямо передбачено, що опрацювання даних допускається для здійснення професійної діяльності журналіста, ЗМІ, а також наукової, літературної чи іншої творчої роботи, звернув увагу адвокат. Але автори законопроекту про це в пояснювальній записці замовчують, чи на практиці враховуватимуться закріплені цим законом права журналістів та ЗМІ — невідомо, зазначає він.

    «Особливе питання виникне в тому випадку, якщо завдяки вивченню бази даних, опублікованої хакерами незаконним шляхом, журналіст оприлюднить інформацію, що становить явний суспільний інтерес — про корупційні чи інші злочини, скоєні державними службовцями або за їх безпосередньої участі, — розмірковує той самий експерт. — Чи суди у таких випадках звільнятимуть від відповідальності представників ЗМІ, які виконують функції «сторожових псів суспільства»? Велике питання».

    Посилення покарань за незаконний обіг персональних даних — передбачувана реакція влади на повне обвалення системи їх захисту у 2022-2023 роках, резюмує співрозмовник. «Інформація практично про кожного жителі Росії, не виключаючи співробітників спецслужб та членів сімей вищих державних чиновників, вже дійсно доступна в інтернеті. Імовірність знайти та притягнути до реальної відповідальності осіб, які забезпечили витоку, вкрай низька: бази вже втекли, розміщені, багаторазово завантажені та поширені, — каже він. — А ось справді високі ризики законопроект створює для тих, хто намагатиметься використовувати вже опубліковані дані у своїй відкритій роботі для журналістів-розслідувачів».

  • Сутінки на хуторі

    Сутінки на хуторі

    Про хуторянський менталітет малоросів сказано багато справедливого та несправедливого як самими українцями, так і тими, хто бачить їх збоку. Найвірніше цю тему розкрив, звісно, геніальний Гоголь. «Вечори на хуторі поблизу Диканьки» – справжній підручник укрології.

    Казковість світосприйняття, магічне мислення, вразливість та надмірна поетичність — головні риси української душі. І справді, Диканька та її околиці буквально кишать чаклунами, відьмами, ожилими утопленицями і навіть чортами. Віра в чари, легкість, з якою пани та панночки піддаються зачаруванню нечистої сили, а потім і рятівному розчаруванню в ній — основа всіх «вечірніх» сюжетів. Українець завжди або зачарований, або розчарований, третього стану він не знає.

    Українець завжди або зачарований, або розчарований

    Такою є, природно, і політична культура українства. Чаклуни та відьми майданів час від часу переконують народ, що варто трохи пошабашити на площі, і життя налагодиться. Це Європа, натомість, безвіз, рамштайн, усі ці, по суті, безглузді для хуторян слова — насправді магічні формули, заклинання та змови, за допомогою яких усі проблеми одразу мають бути вирішені. Повинні, але не наважуються. Тоді наступають протверезіння і образа на диво, що не відбулося. Рейтинги чаклунів та відьом миттєво обрушуються, їх проклинають та забувають. І, на жаль, підпадають під вплив нових пройдисвітів.

    «Контрнаступ», спланований не за правилами науки перемагати, а за рецептами провінційного ворожіння, передбачувано провалився. І що? У меланхолійному тексті для «Економіста» Залужний сподівається на щось, що можна порівняти з «винаходом пороху». Тобто, на якусь йому невідому диво-зброю. Коротше, знову на диво.

    Одні київські верхи стверджують, що мають план війни, інші, що його немає. Доручається повернути мобілізованих додому, а ким їх замінити, не вказується.

    Українці починають розчаровуватися у своїх чаклунах. І справді, хто їм допоможе? Заживо муміфікований Байден? Декадент Залужний? Нещасна бездітна пара Єрмак/Зеленський? Навряд чи.

    Сутінки. Напередодні мороку. Дива не буде.

    Багато хто на Банковій потай мріє про Мінськ-3. Даремно. І Мінська-3 не буде. Росія давно вже не посередник, який терпляче розбирає сусідську склоку. Росія тепер нетерплячий учасник великої боротьби, який візьме своє. Зрозуміло, язиці.

    Наступний рік стане роком деградації та дезорганізації української підставної «держави».

    А обдурені українці будуть говорити про Зеленського: «Соульку, ганчірку вважав за важливу людину!»
  • Ипотечная пирамида путиномики рухнет в 2025 году

    Ипотечная пирамида путиномики рухнет в 2025 году

    Курс рубля бьет антирекорды. Экономика России балансирует на грани спада. Инфляция продолжает свой рост. Как меняется финансовое поведение населения в таких условиях?

    Если обратиться к недавнему прошлому, сразу же вспоминается кризис 2008 года. В то время объем банковских вкладов населения уверенно рос: после первоначального двухмесячного падения в течение сентября-ноября 2008 года показатель начал увеличиваться и к июню 2009 года достиг докризисного уровня на отметке 6,3 трлн рублей. Что же происходит сейчас?

    По данным Банка России, вклады в рублях действительно растут, однако сдержанными темпами, а вот иностранная валюта привлекает все больше внимания россиян.

    К примеру, в августе текущего года объемы рублевых депозитов выросли всего на 7% (по сравнению с августом 2013 года), в то время как в иностранной валюте – на 19%, и вполне вероятно, что тренд будет набирать обороты в ближайшие месяцы. Проверим общероссийскую тенденцию на данных по Приволжскому и Уральскому федеральным округам.

    Динамика по Свердловской, Челябинской, Тюменской областям, Башкирии и Пермскому краю действительно говорит о постепенном росте спроса на валютные депозиты, причем в Тюмени и Перми это проявляется с особой силой: 19,1% и 14,4%, соответственно. Это говорит о низком доверии населения к экономическим перспективам России и уверенности в том, что девальвация национальной валюты продолжится. Башкирия настроена наиболее оптимистично, продолжая отдавать предпочтение рублевым вкладам. Впрочем, Челябинск и Екатеринбург недалеко ушли, все еще доверяя российской валюте больше, чем иностранной.

    Закредитованность населения растёт

    Еще один индикатор – кредитное поведение населения. В 2008 году темпы кредитования поначалу замедлились: с ноября 2008 года по май 2009 года показатель снизился на 9%. Тем временем объем просроченной задолженности за этот же период вырос на 42%. На текущий момент ситуация несколько отличается. Данные по регионам говорят о еще несформировавшейся общей тенденции в области потребительского кредитования: если в Челябинской (6,5%) и Тюменской области (14,3%) объемы кредитования продолжают расти, то Свердловская область, Пермский край и Башкирия показывают сокращение объемов в диапазоне 3,8%-19,1%.

    Объем просроченной задолженности увеличивается, но не такими быстрыми темпами, как в 2008 году: самый высокий прирост отмечается лишь в Свердловской области и Башкирии. Здесь «просрочка» с начала года выросла на 42,1% и 32,3%, соответственно. В остальных регионах прирост варьируется в диапазоне 1,6-2%.

    Все это отчасти говорит о том, что в большинстве областей население начало более адекватно оценивать свое финансовое состояние, а доля кредитов, которые россияне не могут потянуть, сократилась. Однако одновременно с этим подобная тенденция может означать и то, что критическая точка во многих регионах еще не достигнута и объемы непогашенных задолженностей продолжат расти в ближайшие месяцы. В результате, это будет сказываться не только на благосостоянии населения, но и на стабильности банковской системы: лавинообразный рост «просрочки» может перевести кризис на новый, более сложный этап.

    В общем, стоит отметить, что выход из кризиса невозможен без восстановления доверия – как в обществе в целом, так и в экономике в частности. Если население не будет доверять российскому рублю, тот так и продолжит падение. Если банки не будут доверять клиентам, уровень кредитования будет падать, соответственно ограничивая возможности как населения, так и бизнеса пережить тяжелые времена.

    На основе вышесказанного можно делать выводы о фазе кризиса, которую сейчас переживает Россия. Судя по всему, на текущий момент мы находимся на начальной стадии и еще далеки от точки разворота. К сожалению, стоит признать, что худшее еще может ждать нас впереди.

  • Помилка обробки пакета BGP призводить до тривалого простою мережі

    Помилка обробки пакета BGP призводить до тривалого простою мережі

    BGP – це магістральний протокол та «клей» Інтернету, який розсилає інформацію про маршрути між мережами провайдерів. Коротше кажучи, цей протокол BGP є дуже важливим елементом, необхідним для правильної роботи глобальної мережі в цілому.

    Програмне забезпечення маршрутизаторів, що реалізує BGP, не є ідеальним, оскільки як комерційні, так і версії з відкритим вихідним кодом мають проблеми в реалізації цього протоколу маршрутизації.

    У той час як багато недоліків незначні і пов’язані з проблемами маршрутизації, помилка обробки пакета BGP, що розглядається, викликає особливе занепокоєння, так як може поширюватися як комп’ютерний черв’як.

    Власник BGP[.] Бен Картрайт-Кокс виявив цей недолік; Це компанія, яка пропонує послуги моніторингу BGP для виявлення та вирішення проблем.

    Помилковий атрибут

    2 червня 2023 року невелика бразильська мережа повторно анонсувала маршрут із пошкодженим атрибутом у пакеті, що потенційно вплинуло на транзитні маршрутизатори.
    Багато маршрутизаторів ігнорували цей атрибут, але приймаючи його маршрутизатори Juniper, і відповідь на помилку в пакеті закривали сесії BGP, тим самим порушуючи пов’язаність своїх мереж з глобальною мережею Інтернет.
    Крім того, така помилка в пакеті BGP перериває сесію, припиняючи перетікання клієнтського трафіку доти, доки не буде виконано автоматичний перезапуск маршрутизатора, який зазвичай займає від декількох секунд до декількох хвилин.
    Завершення сесії BGP внаслідок отримання пакету з помилковим атрибутом
    Завершення сесії BGP внаслідок отримання пакету з помилковим атрибутом
    Це торкнулося багатьох операторів, таких як COLT, збій у роботі яких і привернув увагу до цієї проблеми.

    Помилка, пов’язана з обробкою помилок BGP

    Кожен атрибут пакета оновлень BGP починається з прапорів, включаючи ключовий ‘транзитивний біт’:
    Транзитивний біт у пакеті оновлень BGP
    Транзитивний біт у пакеті оновлень BGP
    Якщо транзитивний біт атрибута встановлений, а маршрутизатор його не розуміє, він копіюється на інший маршрутизатор, що може призвести до сліпого розповсюдження невідомої маршрутної інформації.
    Завершення роботи сесії BGP порушує перетікання трафіку між автономними системами і може поширюватися як черв’як. У той час як атрибути, невідомі однієї реалізації, можуть призвести до завершення роботи іншої, створений BGP UPDATE може бути націлений на постачальника певного обладнання та вивести мережу постачальника з ладу цілком.
    Поширення помилки в пакеті BGP через мережу
    Поширення помилки в пакеті BGP через мережу
    Ефект від атаки зберігається досить довгий час, оскільки анонсований маршрут все залишається в одноранговому маршрутизаторі, навіть після його перезапуску, при передачі нового пакета оновлень BGP він ініціює ще одне скидання сесії, що призводить до тривалих простоїв.
    Більше того, щоб перевірити, які реалізації протоколу BGP схильні до цієї вразливості можна використовувати просту утиліту для тестування.

    Незачеплені постачальники обладнання

    Далі наводимо список постачальників, які не торкнулися цієї вразливості:
    • MikroTik RouterOS 7+
    • Ubiquiti EdgeOS
    • Arista EOS
    • Huawei NE40
    • Cisco IOS-XE / «Classic» / XR
    • Bird 1.6, All versions of Bird 2.0
    • GoBGP

    Піддані версії обладнання або ПЗ

    • Juniper Networks Junos OS
    • Nokia’s SR-OS
    • Extreme Networks’ EXOS
    • OpenBSD’s OpenBGPd
    • OpenBSD’s FRRouting

    Питання та відповіді

    Раніше було повідомлено про ці вразливості всім схильним до неї постачальникам обладнання та програмного забезпечення. Після отримання повідомлення було отримано такі відповіді від порушених постачальників:
    • OpenBSD випустила патч
    • Компанії Juniper надали CVE
    • FRR також привласнив CVE
    • У Nokia проблему не вирішили
    • Extreme також не вирішив цієї проблеми
    Крім того, незважаючи на відсутність відповідей деяких постачальників обладнання, провайдери послуг інтернету самі можуть вжити заходів щодо запобігання потенційній експлуатації цієї вразливості.