Если вы решили скачать Windows 10 Developer Preview, то будьте осторожны. Компания Microsoft официально признала, что операционная система поставляется вместе с кейлоггером. Все нажатия клавиш записываются и отправляются в Microsoft. Право на слежку прописано в условиях участия в Insider Program. Скачивая Windows 10 Developer Preview, каждый пользователь автоматически соглашается на эти условия.
Windows 10 Developer Preview также осуществляет аудиозапись. Более подробно о методике сбора данных сказано в документе, который описывает обработку конфиденциальных данных пользователя в Windows 10 Developer Preview. В соответствии с ним, запись звука осуществляется только во время введения голосовых команд пользователем и в процессе работы голосовых функций ОС, таких как распознавание речи.
Что касается кейлоггера, то Microsoft объясняет необходимость его использования тем, что собранные данные необходимы для улучшения функций автодополнения слов и автокоррекции ошибок.
В официальных документах также упоминается, что Microsoft имеет право делиться собранной информацией с неназываемыми «партнёрами».
Состоялся выпуск очередных версий браузера Chrome/Chromium на всех трёх каналах: стабильном, бета- и альфа. Номера версий браузера на каждом из каналов достигли 38, 39 и 40, соответственно.
В стабильной версии Chrome 38 исправлено рекордное количество уязвимостей: сразу 159 штук. Большинству багов (113) присвоен минимальный рейтинг опасности. В общем, это довольно мелкие недочёты, найденные во время рутинного фаззинга (fuzz testing) в компании Google.
Но нашлись и более опасные баги, в том числе критическая уязвимость CVE-2014-3188, за информацию о которой компания Google выплатила вознаграждение в размере $27633,70. Эту сумму получил хакер Юри Аедла (Jüri Aedla). Он показал готовый эксплоит, в котором используется комбинация из нескольких уязвимостей, в том числе в движке V8 и системе межпроцессного взаимодействия (IPC). В результате, вредоносный код может выйти за пределы «песочницы» и выполнить произвольные команды в системе.
В общей сложности, компания Google выплатила вознаграждений на сумму более $52 000.
Полный список изменений в новой версии Chrome/Chromium приведён на официальном сайте. Среди них — поддержка новых программных интерфейсов для приложений и расширений, несколько экспериментальных интерфейсов (например, для гостевого режима работы с устройством и для переключения между разными пользователями), поддержка HTML-элемента picture, большое количество исправлений и улучшений, предназначенных для безопасности и стабильности.
Нужно упомянуть об обновлении на бета-канале, где вышла версия Chrome/Chromium 39 beta. Главные нововведения в ней — поддержка генераторов JavaScript (ECMAScript 6) для более удобного асинхронного программирования, контроль воспроизведения для Web Animations и новая опция Web Application Manifest для упаковки метаданных в веб-приложениях, поддержка Beacon API и другие изменения.
Волна корпоративных трансформаций накрыла ИТ-индустрию в последние недели. Сначала компания eBay решила выделить платёжную систему PayPal в отдельный бизнес. Затем Hewlett-Packard (HP) объявила о разделе на две части, а сейчас её примеру последовала Symantec.
Разработчик ПО в области безопасности выпускает, в том числе, антивирусную программу Norton. Пожалуй, это самая известная программа от Symantec для массового рынка.
После раздела одна из компаний сконцентрируется на информационной безопасности, а другая — на управлении информацией. В области ИБ компания занимается решениями для шифрования данных, средствами аутентификации пользователей, системами защиты информации для почты, веба и дата-центров. За последний финансовый год доход Symantec в этой области составил $4,2 млрд.
Подразделение по управлению информацией — это разработки в сфере резервного копирования, восстановления, архивации и хранения данных. Оборот в этой области, по словам компании, составляет $2,5 млрд.
По мнению руководства фирмы, раздел позволит лучше сконцентрироваться на каждом из направлений, так что в целом новая структура будет более эффективной.
Судя по всему, решение о разделе компании принято по инициативе нового исполнительного директора Майкла Брауна (Michael Brown). Его пригласили на работу 6 месяцев назад. Он же займёт пост руководителя новой организации, которая будет работать в сфере ИБ.
Symantec планирует завершить трансформацию до конца 2015 года.
По мнению аналитиков, раздел Symantec свидетельствует о том, что покупка компании в сфере документооборота Veritas десять лет назад за $13,5 млрд была ошибкой. Судя по всему, Symantec так и не смогла интегрировать две бизнес-структуры в единое целое, так что сейчас, фактически, отделяет Veritas обратно.
Эксперты считают, что раздел — это правильное решение, которое полезно и для инвесторов, и для самой компании. Есть мнение, что после раздела одну или обе новых компаний может купить какая-то из более успешных корпораций. В числе потенциальных покупателей называют Cisco Systems и NetApp Inc.
В Лос-Анджелесе состоялась презентация новой версии электрического седана Tesla Model S, которую называли Model D. Буква “D” в названии обозначает “dual”, то есть двойную конфигурацию двигателей: для передних и задних колёс. С двумя моторами автомобиль стал гораздо мощнее и лучше управляется. К тому же, водитель может переключаться с переднего на задний привод в любой момент, или ехать в полноприводном режиме.
Бренд Model D используется только для маркетинга. Официально автомобиль по-прежнему называется Model S.
Электрокар разгоняется до 100 км/ч за 3,2 с, снабжён автопилотом, понимает сигналы светофора и распознаёт дорожные знаки, умеет самостоятельно парковаться в указанном месте, может выехать к хозяину по требованию. «Новая машина работает в трёх режимах: комфортный, спортивный и “сумасшедший”, — не скрывал своих эмоций на презентации Илон Маск, под руководством которого был разработан новый автомобиль. — Он нереально крут. Как ваши личные горки на аттракционах».
Илон Маск на презентации
Дистанция хода от одного заряда аккумуляторов увеличилась примерно на 15 км и теперь составляет около 440 км. Хотя, это достаточно условная величина, ибо в реальных условиях многое зависит от режима езды.
Таким образом, Model S теперь предлагается в шести основных вариантах. Модели с одним двигателем классифицируются как 60, 85 и P85 (“P” означает «производительность»), а модели с двумя двигателями — 60D, 85D и P85D, соответственно
Стоимость (в США)
Model S 60D – $89 570
Model S 85D – $97 570
Model S P85D – $120 170
Все автомобили поступят в продажу в декабре 2014 года, только 60D и 85D выйдут на рынок в феврале.
Два независимыхотчёта демонстрируют, что программа для чтения электронных книг Adobe Digital Editions 4 (DE4) шпионит за пользователями. В частности, программа записывает названия всех прочтённых книг — и отправляет эту информацию на серверы Adobe открытым текстом через интернет. Таким образом, информация о твоих читательских предпочтениях открыта для кого угодно, начиная от спецслужб, и заканчивая провайдером или оператором точки доступа.
Хуже того, есть информация, что программа сканирует пользовательскую библиотеку на компьютере — и тоже отправляет в Adobe список файлов.
Дампы логов из снифера Wireshark, которые опубликовал один из исследователей Нейт Хоффелдер (Nate Hoffelder): 1, 2.
Компания Adobe прислала официальный ответ, в котором ссылается на условия пользовательского соглашения, которые позволяют её осуществлять такие действия. Она не подтверждает факт сканирования библиотеки на компьютере пользователя и говорит, что собирает информацию только об открытых книгах.
По заявлению Adobe, собирается следующая информация:
User ID: идентификатор Adobe ID для активированной копии программы или анонимный уникальный ID для неактивированной копии.
Device ID: уникальный идентификатор компьютера, на котором работает DE4, что необходимо для соблюдения ограничений DRM, которые может накладывать издатель (например, на количество устройств, где позволено открыть книгу).
Certified App ID: ключ для открытия защищённых документов.
IP-адрес устройства: с целью геолокации для соблюдения ограничений DRM, которые может накладывать издатель на место жительства читателей книги.
Время чтения книги: эта информация нужна для работы новых моделей ценообразования, где цена книги зависит от времени её чтения.
Процент прочтения книги: некоторые издатели выставляют цену на книги, в зависимости от количества прочтённого материала.
Тесты показывают, что предыдущие версии программы Digital Editions не шпионят за пользователями. Функцию добавили именно в последнюю версию утилиты, которая вышла в сентябре. Трафик идёт на IP-адрес 192.150.16.235, это один из серверов Adobe.
Реагируя на эту ситуацию, Фонд электронных рубежей выразил возмущение подобной политикой Adobe и напомнил о существовании Закона о конфиденциальности читателей (Reader Privacy Act of 2011), который запрещает собирать информацию о читательских привычках граждан.
Через 20 лет работы в интернете компания Amazon.com откроет первый настоящий розничный магазин. Торговая точка станет скорее имиджевым проектом, хотя вполне способна генерировать прибыль. Как сообщает The Wall Street Journal, местом выбрали центр Нью-Йорка, оживлённую 34-ю улицу.
Здание, в котором будет магазин Amazon
Со свойственной компании практичностью, Amazon собирается использовать магазин ещё и как мини-склад для однодневной доставки товаров по Нью-Йорку, приёма возвращённого товара и обслуживания онлайновых заказов. К примеру, человек заказал кастрюлю с утра — и её доставят прямо к ужину.
Компания Amazon всегда старалась предлагать как можно более низкие цены, получая прибыль от большого оборота. Но как бы не снижались сроки доставки, они всё равно не сравнятся с офлайновыми магазинами, где покупатель получает товар мгновенно.
Сотрудник на складе Amazon готовит к отправке планшеты Kindle
Своеобразный эксперимент предоставит Amazon новый опыт и обратную связь от покупателей. К тому же, есть шанс продать дополнительное количество тех же планшетов. Не секрет, что многие покупки делаются импульсивно. Часто людям нужно подержать товар в руках, прежде чем решиться на сделку.
Разработчик аппаратного и программного обеспечения HP уведомил пользователей, что с 21 октября 2014 года следует считать недействительным цифровой сертификат, который компания раньше использовала для криптографической подписи компонентов программного обеспечения. HP делает это в качестве меры предосторожности. Недавно обнаружилось, что сертификат по ошибке использовали для подписи вредоносной программы в мае 2010 года, пишет независимый специалист по безопасности и журналист Брайан Кребс.
Цифровые сертификаты от авторитетных компаний — очень ценный приз для злоумышленников, поскольку позволяют подписывать свои программы чужими ключами, маскируя их от антивирусов и прочих защитных средств.
Например, программа Stuxnet, предположительно созданная по государственному заказу, содержала несколько компонентов, подписанных сертификатами авторитетных компаний.
Известно, что злоумышленники осуществляют направленные атаки на компании, чтобы достать их сертификаты. Так, в феврале 2013 года компания Bit9 обнаружила факт взлома, в результате которого неизвестные получили цифровые сертификаты и использовали их для подписи своего ПО.
В случае с HP вредоносной активности не обнаружено. Просто с HP связались партнёры из антивирусной компании Symantec и сообщили о странном трояне четырёхлетней давности, подписанном сертификатом HP. Расследование показало, что инцидент случился из-за заражения компьютера одного из разработчиков HP. Там троян изменил имя для маскировки и поэтому случайно попал в сборку программного обеспечения, которую потом подписали официальным сертификатом.
Данный программный компонент, что характерно, так и не был отправлен заказчику и никогда не использовался.
Хотя непосредственной опасности нет, но системным администраторам угрожают определённые проблемы в связи с тем, что компоненты старых программ HP придётся подписать заново. Не совсем понятно, как поведут себя компьютеры с функцией автоматического восстановления заводской конфигурации (recovery-раздел на HDD).
Осень, осень, осень… Кто в школу, кто в универ, кто на работу, а ты на G2A за новыми играми и космическими скидками на культовые игры! Проверь новые предложения на https://www.g2a.com/weeklysaleru!
Borderlands: The Pre-Sequel Steam CD-KEY Preorder RU за 950 рублей. Попробуй себя в среде с низкой гравитацией и новыми классами. Играть в одиночку или с друзьями — решать тебе.
The Evil Within Preorder Steam CD-KEY RU всего за 715 рублей. Испытай чувство страха и всплеск адреналина, не выходя из дома, но помни: не оставайся один в темноте…
Единое Зло бьется в мрачных оковах черного камня души, жаждая свободы и отмщения. Зловещий артефакт должен был быть спрятан навеки, но в мир смертных является ангел смерти Малтаэль, преследуя страшную цель — похитить черный камень души и подчинить его дьявольское могущество своей воле. Это начало конца всего сущего… Сумеешь ли ты выстоять? Узнай, купив Diablo 3 + Reaper of Souls Battlenet CD-KEY GLOBAL за 2015 рублей.
Также G2A.com продолжает акцию поддержки благотворительного фонда Save the Children. Тот, кто пожертвует для детей больше всего на этой неделе, получит коллекционный плакат The Witcher 3!
Первая в мире open source видеокамера «кинематографического класса» Axiom Beta собрала необходимый размер предзаказов на краудфандинговом сайте Indiegogo — и пошла на доработку, а потом в массовое производство. Всего собрано €178 059 из планируемых €100 000.
Нынешний вид прототипа Axiom Alpha
Разработчик обещают закончить доведение прототипа до товарного вида, реализовать удалённое управление, активное крепление для объектива и активное крепление для аккумулятора. Предполагаемый срок поставки — август 2015 года (стоимость камеры €500). Если проект действительно «взлетит», то наверняка для камеры появятся и модули расширения от сторонних производителей. Дизайн ведь полностью открытый, и кто угодно может выпускать модули.
Активное крепление аккумулятора (концепт)
«Профессиональная камера для киносъёмки» построена на сенсоре формата 4/3″ (или на Super35/APS-C), FPGA-массиве с двухъядерным ARM-процессором. Она записывает видео с разрешением 4K и фотографии 4K в несжатом формате RAW. Сохранять видео FullHD можно на внешний HDMI-рекордер по тройному интерфейсу HDMI (1080p60 4:4:4 каждый). Разработчики обещают придумать вариант, как сохранять видео 4K при подключении к персональному компьютеру.
Концепция стековой компоновки Axiom
Камера поддерживает объективы Canon, Nikon и MFT (Micro Four Thirds), для начала.
Рабочая группа по финансовым стандартам организации Bitcoin Foundation объявила план работы на ближайшие полгода, то есть на IV кв. 2014-го и I кв. 2015 года. Среди предусмотренных мероприятий — регистрация кода валюты Bitcoin в официальном стандарте ISO 4217, а также выработка рекомендаций по официальному знаку Bitcoin.
«Стандартизация — важный шаг к устранению препятствий к повсеместному использованию технологии, — сказал Джон Матонис (Jon Matonis), исполнительный директор Bitcoin Foundation. — Это особенно справедливо для финансовой инновационной технологии, которая носит глобальный характер».
В качестве кода, возможно, утвердят общепринятый BTC, хотя тут не всё ясно. Для глобальных товаров принято первым символом указывать X, например, XAU (золото). То же самое касается наднациональных валют, например, XEU (предшественник евро).
Для знака биткоина определённости ещё меньше. Сообщество продолжает споры, пытаясь выбрать из нескольких вариантов. Наиболее популярных кандидатов три: ฿, Ƀ, B.
Рабочая группа выработает и рекомендации по поводу субъединиц биткоина, которые поддерживаются до восьмого знака (0.00000001). Но это не соответствует принятым форматам ($1,00), не поддерживается в стандартном финансовом и бухгалтерском программном обеспечении и вносит путаницу в умы обывателей.
Хотя бюрократические преграды ещё существуют, но с технологической точки зрения Bitcoin Core уже готов к обслуживанию миллиардов транзакций. С последними анонсами обновлений в протоколе, а также в связи с нынешней тенденцией по масштабируемости сети и пропускных каналов связи, один из ведущих разработчиков Гэвин Андерсон сказал: «Даже если каждый человек в мире полностью перейдёт с наличных денег на биткоины в течение 20 лет, транслируя все транзакции на каждый полностью проверенный узел в сети Bitcoin, это не станет проблемой».
Известный производитель бытовых роботов iRobot, похоже, собирается расширить сферу своего влияния и даже рассчитывает на военные заказы. Нет, речь не о поставках роботов-пылесосов в казармы армии США, а о создании более продвинутой версии операционной системы для автономных военных роботов.
Как сообщают СМИ, у компании iRobot уже более 6000 роботов работают в армии и сфере безопасности. Они даже функционируют в реальных зонах боевых конфликтов. Кроме того, их модели испытали себя в операциях на Фукусиме. Всё это стало возможным благодаря разработке новой, более продвинутой, системы управления для роботов, в том числе с использованием игровых контроллеров. По мнению разработчиков, использование популярных технологий позволит сократить время тренировки операторов с прошлых 3-5 дней до всего лишь 1 дня. К тому же, этим делом смогут заниматься специалисты общего назначения, а не специализированные профессионалы.
Например, в новой операционной управлять механизмом можно даже с планшета под Android. Есть и другие новые функции: простое переключение с одного планшета управлением разными роботами; виртуальный джойстик; обмен данными между оператором и удалёнными наблюдателями; видеозапись.
Официальный анонс новой операционной системы uPoint MRC (Multi-Robot Control) для роботов iRobot состоится на выставке AUSA 2014 Annual Meeting and Exposition, которая пройдёт 13-15 октября в Вашингтоне.
В середине ноября состоятся долгожданные технические сатурналии по ИБ – ZeroNights! В гости к нам едут звездные хакеры из разных стран мира, и мы продолжаем афишировать горячие подробности выступлений.
Встречаем в основной программе:
Дмитрий Бумов (Россия) раскроет тайны деанонимизации и тотального шпионажа в Интернете и покажет на практике, как различные ресурсы следят за пользователями;
Дмитрий Щелкунов и Василий Букасов (Россия) расскажут о техниках обфускации, используемых в популярных решениях, а также рассмотрят необходимость использования систем символьных вычислений для деобфускации;
Георги Гешев из MWR Labs представит исследование уязвимостей в MQ (Message Queue), включая ActiveMQ (Apache), Qpid (Apache), Apollo (Apache), HornetQ (Red Hat), JBoss A-MQ (Red Hat), FioranoMQ (Fiorano), OpenMQ (Oracle) и другие.
Роман Коркикян проведет воркшоп «Ищем ключи криптографических алгоритмов через потребленную мощность». Невероятно, но факт: простым измерением падения напряжения можно взломать современные криптографические алгоритмы, которые реализованы на ПЛИС, в железе или в виде кода на процессорах и микроконтроллерах. Как? Приходите и узнаете!