Google в последнее время всё чаще фигурирует в скандала с приватностью. Неприятность постигла их и на этот раз. Хотя, ещё более неприятно должно быть тысячам владельцев доменов Google Apps, которые не хотели выставлять свои записи WHOIS на всеобщее обозрение.
Как и в случае с записью трафика с WiFi-хотспотов автомобилями Google Maps в 2013 году, здесь тоже проблема возникла, очевидно, по причине банальной программной ошибки.
Ошибку обнаружили специалисты Talos Group. В своём блоге они разбираются, как произошла утечка. Так, на момент написания статьи через Google App и регистратора eNom было зарегистрировано 305 925 доменов. Из них для 282 867 доменов была открыта информация в базе WHOIS, включая полные имена, адреса, телефонные номера и почтовые адреса.
На графике видно, что баг закрался в систему где-то в середине 2013 года, когда внезапно стала расти доля пользователей с отключенными настройками сохранения конфиденциальной информации. После недавнего исправления статистика резко поменялась: защиту приватности включили для всех.
А ведь регистратор eNom продаёт веб-мастерам платный сервис, специально упирая на сохранение приватности как один из своих козырей (на скриншоте вверху).
Однако, по какой-то причине приватность снималась при продлении регистрации домена, что видно из следующего скриншота. Это ошибка в одном бите информации, где хранился флаг Protected? (Y/N).
После получения отчёта об уязвимости компания Google исправила баг, а 12 марта разослала владельцам доменов письма с извинениями. Однако, это слабое утешение для сотен тысяч веб-мастеров, чьи личные данные уже попали в Сеть.
С каждым днём разработчики добавляют всё больше новых функций в будущую операционную систему Windows 10. Или рассказывают о тех, которые до этого момента скрывались «под капотом». Очередная такая инновация — существенная экономия дискового пространства, которую ОС включает на носителях небольшого размера, типа SSD.
Экономия достигается за счёт сжатия системных файлов, а также отказа от раздела для восстановления системы (recovery image). Согласно тестам Microsoft, первый метод высвобождает примерно 1,5 гигабайта на 32-битной системе и 2,6 гигабайта на 64-битной.
Отказ от резервируемого места экономит ещё больше: 4 ГБ на 64-битной системе. Вместо этого, для функции восстановления будут использоваться текущие системные файлы.
Таким образом, Windows 10 64-bit уменьшается в размере на 6,6 ГБ, то есть почти в два раза.
Правда, сжатие системных файлов негативно отражается на производительности, поэтому Microsoft не будет применять его на накопителях достаточно большого объёма, а также по итогам общего использования ЦПУ и ОЗУ на данной системе. То есть на слишком медленных устройствах.
Японская компания Fujitsu создала первую на рынке технологию для эффективного отслеживания людей по видео низкого качества с камер наружного наблюдения.
Как известно, на улицах устанавливают всё больше камер CCTV, но на большинстве из них лица людей трудноразличимы, а фигуры находятся на дальнем плане. Fujitsu Laboratories первой готова предложить на рынке продукт, который отслеживает людей в кадре и определяет маршрут их перемещения по улицам, в том числе используя потоки от нескольких камер. Даже если лица неразличимы, в какой-то момент можно идентифицировать почти каждого прохожего, когда всё-таки он «засветится» перед одной из камер.
Кроме того, такая методика позволяет обойти существующие ограничения на защиту персональной информации. Люди отслеживаются как бы анонимно, а их лица неразличимы, что вполне законно. Таким образом, можно решать проблемы наблюдения за потоками в супермаркетах, на вокзалах, предотвращать заторы и грамотно размещать рабочий персонал по территории. Ну и другие понятные задачи в сфере безопасности.
Fujitsu нашла способ различать граждан по цвету их одежды и походке.
Сначала выявляют объектов, похожих на людей (это делается по наличию эллипса в верхней части тела). Затем фигура упрощается до формы, похожей на персонажей игры Minecraft.
Система учитывает расстояние объектов от камеры, чтобы адаптировать модель.
Во время предварительного тестирования программа точно определила маршруты примерно 80% объектов в кадре.
Результаты научной работы представлены на технической конференции в университете Тохоку. Коммерческую эксплуатацию планируют начать в течение года.
Это уже не первое изобретение Fujitsu в области слежки за людьми без распознавания лиц. Например, раньше они придумали LED-сенсоры, которые распознают позу покупателя в магазине и определяют, на какой товар он смотрит.
Комитет по стандартам Общества радиоинженеров (AES) опубликовал стандарт AES69-2015, который устанавливает рекомендации для технологий и продуктов с поддержкой трёхмерного звука. В стандарте описан формат и метод передачи файлов пространственной акустики.
Принятие стандарта должно стимулировать дальнейший прогресс в этой быстрорастущей области. Прогресс наблюдается после повсеместного распространения мобильных гаджетов, которые предусматривают прослушивание звука в наушниках. Инженеры AES подчёркивают, что здесь очень важно понимать, каким образом слушатель воспринимает пространственную акустику через наголовные дисплеи (head-related transfer functions, HRTF).
В прошлом отсутствие такого стандарта для наушников затрудняло создание совместимых устройств, которые бы воспроизводили файлы в одном формате и эффективно задействовали одинаковые алгоритмы. Теперь это станет гораздо проще, так что базы данных с соответствующей информацией могут принести пользу всем.
Кроме HRTF, стандарт описывает и другие формы передачи трёхмерного звука, в том числе направленные в комнате импульсные отклики (directional room impulse responses, DRIR). Вообще, в нём заранее предусмотрена масштабируемость для соответствия доступным технологиям рендеринга.
По сравнению с предыдущими попытками описания пространственно-ориентированного формата акустики (spatially-oriented format for acoustics, SOFA), где акцент делался на передачу данных между сетью микрофоном и сетью колонок, в новый документ добавлено описание взаимодействия ревербераторов в виртуальной 3D-аудиосреде, что стало возможными благодаря росту вычислительной способности компьютеров.
Facebook предлагает удобный способ переводить деньги с банковского счёта одного пользователя на счёт другого. Достаточно привязать к аккаунту карточку банка США и отправить сообщение в чате. На чёрном рынке аккаунты Facebook с привязанными картами наверняка подорожают.
Подобных систем электронных платежей на рынке десяток, в том числе Paypal Venmo, Square, Apple Pay, Google Wallet и другие. Но преимущество Facebook перед конкурентами — в огромной аудитории. Программу Facebook Messenger, через которую предлагают переводить деньги, используют полмиллиарда человек по всему миру, а общая месячная аудитория Facebook составляет 1,39 млрд.
Функция будет доступна только пользователям США, её выкатят в течение ближайших месяцев для iOS, Android и десктопного приложения, обещает в официальный пресс-релиз.
Для перевода денег нужно нажать кнопку “$” в приложении, привязать платёжную карту Visa или MasterCard (если она не привязана раньше) и ввести сумму платежа. Деньги поступят на карту получателя в течение трёх банковских дней. Пользователь может выбрать опцию дополнительной защиты платежа через ввод пинкода или Touch ID, это дополнительный уровень к стандартной защите Facebook-аккаунта.
Facebook не будет брать комиссию за проведение платежей.
Для iOS существует несколько способов подобрать секретный PIN-код, но до сих пор эти методы задействовали аппаратные устройства для нажатия на тачскрин без участия человека. Сейчас же появился способ подбора по кабелю, что гораздо удобнее.
Коробочка Black Box подключается по USB и использует простой сенсор для проверки состояния экрана на случай ввода правильного пароля и смены картинки.
Вообще-то, что брутфорс PIN-кодов эффективен только в том случае, если на устройстве отключена функция Erase Data в настройках (Touch ID & Passcode screen), которая удаляет информацию с устройства после десяти попыток неправильного ввода.
Однако, выясняется, что счётчик попыток ввода сбрасывается в случае перезагрузки смартфона. По крайней мере, тест на версии iOS 8.1 показал именно это. Так вот, Black Box умеет ожидать перезагрузки в течение 40 секунд — и тогда пробовать новую комбинацию. К сожалению, хакеры пока не успели проверить устройство на версии 8.2, возможно, там этот баг исправили. Похоже, уязвимость описана в бюллетене CVE-2014-4451.
С такими паузами перебор всех четырёхзначных комбинаций займёт 111 часов, то есть четыре с половиной дня. А вот для более длинных PIN-кодов сроки уже неприятно возрастают.
5 цифр — 1,5 месяца
6 цифр — 1,25 года
7 цифр — 12,5 лет
8 цифр — 125 лет
Получается, что наиболее эффективный алгоритм действий взломщика будет таким:
Попробовать выяснить настоящий PIN-код путём анализа состояния покрытия экрана.
Вручную ввести 9 самых популярных PIN-кодов из списка самых популярных PIN-кодов.
Перезагрузить телефон.
Запустить автоматический брутфорс для остальных паролей. Здесь тоже лучше использовать словарь самых популярных комбинаций, вводя их в первую очередь.
