Author Archives: sveta


Масовий збій на Android (23.03.2021)

У деяких користувачів Android в ніч на 23 березня 2021 стався збій – перестали запускатися більшість додатків, що використовують WebView.

Від користувачів смартфонів Samsung найбільше скарг на збої в роботі додатків, але зі збоєм зіткнулися власники гаджетів і інших брендів (можливо, хто встиг підхопити це оновлення).

Представники Google повідомляють, що в компанії знають про проблему і вирішують її. Пов’язана вона з системним апплетом WebView, яке відкриває сторінки в додатках. Через помилку в ньому і кришаться додатки.

Для вирішення проблеми на reddit пропонують простий спосіб: видалити (відкотити до заводської версії) додаток Android System WebView.

UPDATE: Google вже випустив оновлення з виправленням WebView, рекомендується оновити його з Play Store, а не повертатися до заводської версії, тому що в ній можуть бути уразливим

Україна переходить на режим “без паперів”

З 1 вересня поточного року Україна переходить на режим “без паперів”. Міністр цифрової трансформації Михайло Федоров анонсував вражаючий апгрейд для ІТ-інфраструктури за допомогою програми “Дія”.

Коли режим paperless офіційно вступить в силу, державні органи не будуть більше вимагати паперові документи, якщо їх інформація вже занесена до реєстру.

Незабаром очікується черговий апгрейд додатку “Дія”. Зокрема, в ньому можна буде змінити місце реєстрації, заповнивши відповідну анкету. Повідомляється, що на всю процедуру у користувача піде 15 хвилин.Також обіцяють, що в додатку з’явиться можливість оформити електронний лікарняний. Передбачається, що нововведення допоможе побороти в Україні “побутову корупцію” і підроблені лікарняні.

Основні правила кібергігієни для захисту персональної інформації в мережі

  • використовуйте сервіси з двофакторною аутентифікацією;
  • створюйте надійні, складні паролі та не встановлюйте однаковий пароль для декількох ресурсів;
  • не використовуйте фінансовий номер телефону для авторизації у соціальних мережах та на платформах оголошень;
  • не пересилайте у месенджерах конфіденційну інформацію та фото документів;
  • не переходьте за сумнівними гіперпосиланнями;
  • надайте перевагу інтернету від мобільного оператора перед загальнодоступною мережею WI-FI;
  • завантажуйте програми та додатки лише з офіційних джерел;
  • використовуйте антивірусне програмне забезпечення.

Через відключення Flash залізнична мережа цілого міста в Китаї вийшла з ладу на добу

Досить рідко проходить без проблем і турбот заміна старих технологій на нові.  Найчастіше виникають інциденти.  Зараз, коли Adobe блокує Flash по всьому світу, у багатьох компаній і державних організацій з’являються проблеми.

Adobe Flash (раніше – Macromedia Flash або просто Flash) – мультимедійна платформа компанії Adobe Systems для створення веб-додатків або мультимедійних презентацій.  Використовувалася для створення рекламних банерів, анімації, ігор, а також відтворення на веб-сторінках відео-і аудіозаписів.

Підтримка Adobe Flash була припинена 31 грудня 2020 року.  З 12 січня 2021 року під час спроби запуску swf-файлу  через Adobe Flash Player, замість нього буде завантажена лише кнопка, яка веде на сторінку Adobe з інформацією про закінчення життєвого циклу платформи.

В китайському місті Далянь з населенням 4,4 млн осіб , на цілу добу була відключена мережа залізниці, оскільки більшість сервісів працювали саме на Flash.  Китайці, звичайно, за 24 години ніяк не могли модернізувати свою мережу, незважаючи на відому всім працездатність.  Довелося встановлювати стару версію Flash Player на всі комп’ютери, які підтримували роботу залізничної мережі міста.

Чому так вийшло?

В цілому, через принцип «працює – не чіпай».  Його використовують не тільки вітчизняні, а й зарубіжні інженери.  Так, Adobe почала попереджати про проблеми задовго до відключення, але інженери залізничної мережі Даляня, ймовірно, сподівалися, що все обійдеться.

Але, оскільки сайт і сервіси залізниці міста, які використовувалися для продажу квитків, публікації розкладу поїздів та інших послуг, працювали виключно на Flash – це перетворилося в кошмар пару тижнів назад (про інцидент стало відомо недавно).

12 січня 2021 року компанія Adobe почала блокувати Flash-контент по всій глобальній мережі, тоді стався збій в системі розкладу і бронювання квитків в китайському місті.  Населення цього міста майже 5 млн осіб. Тому зрозуміло, наскільки проблемним стало 12 січня для співробітників залізниці і пасажирів.

Як все почалось.

Перший дзвінок співробітникам залізниці Даляня надійшов о 8:15 ранку 12 січня.  Після цього почався справжній шквал дзвінків.  Але і без них у співробітників було чим зайнятися, оскільки до внутрішнього сайту також не можна було підключитися.

Китайці швидко знайшли вихід – молодці. Вони вирішили встановити на всі ПК більш старіші версії Flash Player, в яких не було таймера відключення.  У новій версії він був встановлений компанією Adobe, яка попереджала про це багато разів.

Через деякий час китайці налагодили цілий конвеєр із співробітників.  Вони розділилися на дві команди – програмну і апаратну.  «Програмна» команда займалася перевстановленням Flash-плагіна на резервних комп’ютерах, а «апаратна» заміняла працюючі сервери із застарілим плагіном на резервні сервери, з уже знесеним новим плагіном і встановленим старим.  Цим команди займалися близько 20 годин.

Проблему вдалося вирішити лише о 4:30 ранку наступного дня.  Всі сервіси залізниці знову запрацювали, хаос вдалося нівелювати.  За словами співробітників компанії, ніхто не скаржився, вся команда працювала «як одна людина».

Ця історія, від самого початку була опублікована в китайських ЗМІ, а потім спростована новими публікаціями, при цьому старі були видалені.

Чи можна було уникнути проблем?

Взагалі так, оскільки ще в 2015 році компанія Adobe розпочала інформаційну кампанію з підготовки користувачів, включаючи корпоративних,  до відмови від Flash.  Планувався поступовий перехід на HTML5, причому в 2017 році Adobe заявила про намір відмовитися від Flash.

Великі компанії почали «відкат» майже відразу після заяви Adobe.  Так, корпорація Google поступово відключала технологію в своєму браузері, починаючи з грудня 2016 року.  Хоча, остаточно компанія відмовилася від Flash лише 31 грудня 2020 року.

Працювала в цьому напрямку і Microsoft, яка теж стала поступово відключати підтримку Flash в своїх браузерах з 2016 року.  Повністю компанія прибрала технологію в Edge і Internet Explorer в 2019 році.  Залишалася ще нова версія Edge на базі Chromium – але тут, зі зрозумілих причин, відмова була реалізована одночасно з Google.

Opera і Firefox відключили Flash 1 січня 2021 року.

Сама ж компанія Adobe встановила «таймер» на 31 грудня 2020 року.  Виходить, що у користувачів і компаній, розробників інтернет-сервісів і сайтів було кілька років на модернізацію системи.

Як бачимо, так вчинили не всі.  З іншого боку, на модернізацію такої масштабної системи необхідно чимало ресурсів – фінансових, часових і т.п.  Тому, можливо, китайці і не стали нічого змінювати, крім версії плагіна.

Чому взагалі відмовилися від Flash?

У цій технології дуже багато слабких місць.  Ліквідувати їх всі просто не представлялося можливим, тому Adobe вирішила просто розрубати вузол.  Вразливості були і великі, і дрібні.  У 2014 році, наприклад, фахівці «Лабораторії  Касперського» виявили вразливість, яка давала зловмисникам можливість повного контролю над машиною користувача.  Причому вона була актуальна для всіх платформ, де використовувалася технологія, включаючи Windows, Mac, Linux.

Це була далеко не єдина проблема – вразливості виявляли із завидною постійністю, і не все вдавалося оперативно ліквідувати.  Тому, замість закладання постійно виникаючих прогалин,  ​​від технології просто вирішили відмовитися.

Навчання кібербезпеки – це найкращий захист.

З’ясовуємо, навіщо вашому штату навчання кібербезпеки і як його влаштувати без виробничих простоїв.

Чи можете ви уявити собі, якими будуть наслідки, якщо трапитися витік особистої і банківської інформації кожного із співробітників вашої компанії?

Напевно, найгучнішою фішинговою атакою став випадок, коли в 2013 році було викрадено 110 мільйонів записів кредитних карт і облікових даних клієнтів торгової мережі Target.  Виною всьому виявилася скомпрометований обліковий запис одного субпідрядника.

Ще одним прикладом кіберзлочинів є російський сайт tender-rosneft.ru, створений в березні 2017 року. Скопіювавши дизайн і наповнення офіційного ресурсу, tender.rosneft.ru, там виклали інформацію про тендери.  Таким чином, всі необережні бажаючі взяти участь в конкурсі, опинились на фейковому сайті, бачили контакти для зв’язку і реквізити оплати зловмисників. Це вже більш витончені схеми – потенційний клієнт, відвідавши шахрайський сайт, зв’язується з фіктивним відділом продажів, і шахраї виставляють покупцеві контракт з передоплатою.  Зрозуміло, що ніякого товару клієнти не отримують.

Часто з фіктивної електронної адреси, що копіює справжні організації, відправляються комерційні пропозиції.  Реєструючи фейкове доменне ім’я, схоже на ім’я компанії, злочинці отримують в своє розпорядження і поштовий ящик з таким же доменним ім’ям, з якого і розсилається шахрайська пошта.

Ваша компанія, та й практично кожна компанія в світі, може бути вразлива до шкідливих програм, вимагання, спаму, хакерських атак і соціальної інженерії, які можуть спричинити або неприємності, або повну втрату репутації і розорення.

Навіщо навчати співробітників кібербезпеки?

Навчати співробітників кібербезпеки необхідно тому, що співробітники не знають, як розпізнати загрозу безпеки, то як можна очікувати, що вони зможуть її уникнути, повідомити про неї або ліквідувати?

 Ще можна поглянути на переконують статистику.

Наприклад, дослідження стану інформаційної безпеки 2019 року показало, що безпека електронної пошти і навчання співробітників були названі головними проблемами, з якими стикаються професіонали в області інформаційної безпеки.  Це підтверджується тим, що більше 30% співробітників, опитаних Wombat Security Technologies, навіть не знали, що таке фішинг або шкідливі програми.  У США компрометація корпоративної пошти (Business Email Compromise (BEC)) призводить до щорічних збитків у розмірі понад 3 мільярдів доларів.

При цьому, у постраждалих компаній майже завжди є і брандмауери і захисне ПЗ.  Тільки цього недостатньо.

 Працівники, а не технології, є найбільш вразливою ланкою перед атаками. І це зовсім не означає, що співробітники, що попалися в пастку – безвідповідальні.  Вони роблять звичайні людські помилки – довіряють фальшивим особистостям, спокушаються наживкою, уразливі до інших тактик, використовуваних злочинцями для отримання доступу до інформації компанії.  Але це трапляється, якщо вони не підготовлені до подібного, не брали участі в тренінгах та навчальних програмах з кібербезпеки.

Щоб захистити себе і компанію від кібератак, співробітникам необхідно пройти навчання.  Ознайомивши їх із загрозами безпеки, порядком дій при виявленні загрози, ви зміцнюєте найбільш вразливі ланки ланцюжка свого бізнесу.

Чому обізнаність про кібербезпеку так важлива?

90-95% порушень кібербезпеки викликані людськими помилками.  Крім того, тільки 38% міжнародних організацій заявляють, що вони готові впоратися зі складними кібератаками.  А ще 54% компаній заявляють, що за останні 12 місяців пережили одну або кілька атак, і це число зростає з кожним місяцем.

Сьогодні улюбленою тактикою кіберзлочинців є соціальна інженерія – психологічне маніпулювання жертвами з метою переконати добровільно чи несвідомо здавати приватні дані.  Іншиою, вже озвученою раніше, технікою є фішинг – 95% кібератак є результатом фішингових шахрайств, тому навчання основам фішингу є необхідним.

Поряд з цими двома видами віртуального шахрайства, шкідливе ПЗ також являє собою постійну загрозу – це стосується завантаження програм або програми, призначених для злому пристроїв або надання доступу до мережі хакерам.

Зміна моделей роботи та масштабному втручанні інтернету в наше життя обумовлює необхідність навчання навичкам кібербезпеки співробітників.

Віддалена робота

У 2020 році через введення карантину для уникнення пандемії COVID-19 віддалена робота стала новою реальністю для багатьох.  Робота на дому поширилася до такої міри, що організації вибудовують окремі політики щодо дистанційних співробітників.  Дистанційна робота з використанням хмарних технологій підвищила рівень комфорту, але в той же час збільшила ризик вторгнень в організації.

Співробітники несуть відповідальність за використання будь-яких персональних кінцевих пристроїв і повинні обмежувати використання службового обладнання корпоративними цілями.  Проходження навчання з питань кібербезпеки навчає віддалених співробітників роботі з пристроями, коли вони знаходяться за межами інфраструктури підприємства.

Інтернет речей (IoT)

Співробітники підключають персональні пристрої до мереж компанії або навіть використовують їх для офіційної роботи.  З’єднання персональних пристроїв з іншими машинами і мережами посилює вразливість.  Найбільша DDoS атака в історії, була запущена на провайдера послуг з використанням IoT бот-мережі, MIRAI.

Мобільні пристрої являють собою основну загрозу для внутрішньої IT-безпеки організації, оскільки багато хто з них не мають відповідного захисту. З IoT-атаками можна впораєтись, керуючи і, можливо, зводячи до мінімуму, практику «принесених із собою пристроїв» (BYOD) на робоче місце, і забезпечуючи суворе дотримання політик безпеки серед співробітників.

Посилення державних регуляцій

Навчання і тренування з кібербезпеки більше не є особистим вибором.  У багатьох державних нормативних актах, що підкреслюють політику безпечного використання комп’ютерів і мереж, програма підвищення обізнаності співробітників прийняла вирішальне значення.  Державні установи та законодавці підкреслюють важливість захисту підприємствами своїх ІТ-активів і цифрової інформації.

Хто з працівників повинен підвищити кваліфікацію з кібербезпеки?

Ваші співробітники – це перша і основна лінія захисту від інтернет-злочинів.  Будь-який співробітник, який має доступ до робочого комп’ютера або мобільного пристрою, повинен пройти тренінги з питань кібербезпеки.  Адже практично кожен може стати мішенню – на персональних телефонах можуть зберігатися дані, які можна використовувати для доступу до корпоративних мереж;  або, якщо співробітник стає жертвою крадіжки особистих даних, ця унікальна інформація може бути використана для створення помилкових профілів, які посилаються на ваш бренд, дозволяючи здійснювати шахрайства.

Різні форми загроз кібербезпеки

Щоб співробітники могли виявляти та запобігати порушенням, їм необхідно базове знання про різні форми прояву загроз.  Здебільшого це включає в себе спам, фішинг, шкідливі програми і програми вимагачі, соціальну інженерію.

Матеріали по виявленню спаму повинні пояснити, що спам зустрічається не тільки в електронній пошті, але і в повідомленнях і запрошеннях в соціальних мережах.  Наприклад, «запрошення до підключення» в LinkedIn може містити вірус.

Розповіді про фішинг повинні супроводжуватися прикладами реальних фішингових шахрайств, допомагаючи співробітникам зрозуміти, як виглядає фальсифіковане електронне повідомлення, від кого воно може прийти і яку інформацію може запросити.

Навчання повинно включати поради, що виключають завантаження шкідливого ПО або програм-вимагачів.

І, звичайно, обов’язковою темою повинна бути соціальна інженерія.  Соціальні інженери маскуються під підроблені, але довірені особи в мережі і виманюють потрібну їм інформацію.

Важливість паролів

Сьогодні паролі потрібні скрізь – для розблокування своїх пристроїв, для входу в облікові записи і для кожної програми, пов’язаної з роботою. Як засіб безпеки, ця тактика призвела до того, що багато людей встановлюють загальні, повторювані паролі, які легко запам’ятати, і, відповідно, легко відгадати.  Навчання онлайн-кібербезпеки має допомогти зрозуміти, наскільки важливі паролі, розповісти про надійні програми, які можуть генерувати і зберігати паролі.

Політика щодо електронної пошти, Інтернету і соціальних мереж

Звички поведінки співробітників з електронною поштою і соцмережами можуть поставити компанію під удар шкідливих програм, що атакують корпоративні програми та соціальні рахунки, що крадуть інформацію і гроші.  Тому дуже важливо, щоб тренінги включали в себе політику та рекомендації щодо використання електронної пошти, Інтернету і соціальних мереж.

Захист даних компанії

У кожної компанії власна політика захисту даних, але не варто припускати, що всі ваші співробітники знають про цю політику, або що вони її розуміють. Тренінги з інформаційної безпеки для нових співробітників повинні пояснювати нормативні та правові зобов’язання захисту даних.  Не варто забувати і про регулярні курси підвищення кваліфікації, щоб всі співробітники пам’ятали правила і знали, коли вони змінюються.

Як виявляти і повідомляти про загрози кібербезпеки

Співробітники – ваші очі і вуха.  Кожен пристрій, який вони використовують, електронна пошта, яку вони отримують і відкривають, може містити підказки проте, де ховається вірус, фішингове шахрайство або злом пароля.  Але щоб по-справжньому їх мобілізувати проти атак, тренінги повинні допомогти співробітникам дізнатися про незрозумілі, на перший погляд, помилки, спам і антивірусні попередження.  І обов’язково навчіть їх тому, кому і як слід повідомляти про підозрілі дії.

Спосіб навчання

Краще не погоджуватися на будь-які готові навчальні модулі або базові веб-курси.  Більш розумно вкладати кошти в професійних експертів з кібербезпеки, які будуть працювати безпосередньо з вашою організацією.  Таке спеціалізоване навчання дозволяє розробити повноцінну віртуальну стратегію захисту, що враховує вашу унікальну корпоративну структуру, ступінь конфіденційності даних і потреби співробітників.

Метою такого навчання завжди є зміна звичок і поведінки щодо безпеки, створення почуття загальної відповідальності.  Неважко зрозуміти, що одноразового інформування з вищеперелічених тем недостатньо для досягнення цієї мети.  Тренінги з кібербезпеки варто проводити часто, надаючи можливості практикувати безпечну онлайн-поведінку в проміжках між заняттями.

Підвищення обізнаності про онлайн-загрози безпеки має починатися з першого дня роботи нових співробітників.  Допомагає включення політики і правил захисту даних, правил користування Інтернетом і керівництво для співробітників.

Будучи першою лінією атаки і одночасно першою лінією оборони, співробітники потребують підтримки.  Не втомлюйтеся нагадувати про це – змусьте їх відчути себе супергероями.  В ході тренувань включайте елементи Гейміфікації, надихаючи і оцінюючи колег за їх досягнення в навчанні.

А коли якась із загроз буде виявлена ​​до нанесення шкоди, повідомте про це всіх в компанії, показуючи, наскільки їх навчання допомогло підприємству.

«Менеджери Facebook описали дані про таргетинг як «нісенітницю» і визнали його точність «жахливою»»

Внутрішні документи Facebook показують, що компанії слід припинити позиціонувати себе як захисника малого бізнесу на противагу Apple, яка впроваджує нові функції конфіденційності iOS 14. Менеджери соцмережі в листуванні між собою визнають серйозні недоліки в можливостях таргетингу реклами.

Зокрема, ними визнається той факт, що така реклама в половині випадків показувалася не її цільовій аудиторії, а також, що дані, що лежать в основі критерію таргетингу, були «суцільним лайном».

Раніше власник Investor Village, невеликого бізнесу, який розміщує на Facebook оголошення з фінансової тематики, подав позов проти компанії. У ньому говориться, що компанія вирішила закупити таргетингову рекламу в Facebook, оскільки сподівалася залучити «забезпечених і освічених інвесторів», але «мала обмежені ресурси». Однак майже 40% тих, які бачили рекламу Investor Village, або не мали вищої освіти, або не отримували навіть $ 250 000 на рік. Фактично, жоден з опитаних компанією користувачів Facebook не відповідав всім критеріям таргетингу, встановленим для реклами.

У скарзі як аргумент наводяться документи Facebook, які говорять про те, що компанія знала про недостатню ефективність її рекламних можливостей.

А також, у скарзі згадуються не вказані внутрішні повідомлення, в яких «менеджери Facebook описали дані про таргетинг як «нісенітницю» і визнали його точність «жахливою»».

Facebook заявила, що ці цитати представлені поза контекстом. Компанія спробувала вилучити внутрішні документи, отримані позивачем в процесі судового розслідування, на тій підставі, що вони є «конфіденційними» і можуть нашкодити соцмережі, якщо їх прочитають конкуренти. Однак суд відхилив цей аргумент і прийняв всі документи.

Тоді Facebook почала стверджувати, що вона ніколи не гарантує повну точність орієнтування.

Тим часом сама соцмережа почала активну газетну кампанію проти Apple, стверджуючи, що нові заходи захисту конфіденційності в iOS «задушать» американський малий бізнес, який вже бореться з економічними наслідками пандемії.

«Фонд електронних рубежів» був першим, хто викрив соцмережу в лукавстві. Він випустив заяву, в якій говориться, що Facebook прикривається захистом інтересів малого бізнесу, а насправді робить «сміховинні спроби» відвернути увагу про власну репутацію в світі антиконкурентної поведінки і проблем з конфіденційністю.