Уязвимость в процессорах Intel/AMD/ARM64

04 Января 2018, 11:38

"Meltdown

Разработчики из Google Project Zero опубликовали детали уязвимостей, которые затрагивают не только процессоры Intel и ARM64, но и AMD тоже (есть сообщения, что только при включении BPF JIT в ядре, что по умолчанию выключено). Уязвимостям дали названия Meltdown и Spectre (Расплавление и Призрак). Meltdown позволяет приложению читать любую память компьютера, включая память ядра и других пользователей. Этой атаке подвержены процессоры Intel (по неподтвержденным данным все модели с 1995 года, кроме Itanium и Atom) и ARM64.

Из Google Play исчезнут 32-битные приложения

21 Декабря 2017, 02:07

Google Play

Google анонсировала ряд изменений в политике взаимоотношений с разработчиками приложений для устройств под управлением Android. Соответствующее предупреждение появилось в официальном блоге компании. Готовящиеся изменения позволят повысить безопасность и производительность ПО, публикуемого в каталоге Google Play.

Начиная с 2018 года Google будет автоматически добавлять метаданные безопасности в приложения, появляющиеся в Google Play. Этим метаданным предстоит исполнять роль своеобразного знака качества, подтверждающего подлинность ПО. Благодаря «клеймению» приложений удастся сократить количество загрузок подделок, проникающих в каталог с пугающим постоянством.

Еще одним из основных требований к приложениям, которые вступят в силу уже в 2019 году, является необходимость их перевода на 64-битную архитектуру. Поскольку подавляющее большинство современных устройств под управлением Android работают на базе процессоров соответствующей разрядности, идея адаптации ПО выглядит вполне оправданной.

Сбой касс ШТРИХ-М 20.12.2017

20 Декабря 2017, 23:48

Сбой ШТРИХ-М

Сегодня по всей стране накрылись кассы Штрих-М. Началось с Владивостока в час ночи, потом кассы отрубались по часовым поясам. К утру это случилось и в Москве. Штрих-М стоят, например, по данным РБК, в Пятёрочках, в Магнитах, в Магнолии, на заправках Газпрома и Роснефти.

Перестали работать онлайн кассы

20 Декабря 2017, 06:18

Внезапно и без объявления войны умерло огромное количество онлайн касс. Тех самых, стоимость которых начинается от 30 тысяч рублей. Обновление в фискальниках сработало сегодня по тайм-ауту и всё нагнуло. Касса выбивает чек открытия смены, потом происходит какой то внутренний сбой и транзакция аннулируется. Далее всё повторяется снова и так без конца.

По отчетам драйвера Штрих-М получается, что смена открыта, а касса ждет продолжения печати после установки бумаги.

Многие сначала грешили на связь с ОФД, но вариант быстро отпал, потому как из пяти касс работающих в одной сети не работают не все, а только некоторые. АТОЛовские кассы работают. Кассы ШТРИХ-М (М02ф, 01Ф и RR Electro 03K) не работают.

UPD: Исправленные прошивки FW20122017 на форуме ШТРИХ-М (https://goo.gl/pzAaav)
Или здесь: (https://yuri.samoilov.online/files/FW20122017.rar)
UPD2: Обновленная информация (https://yuri.samoilov.online/blog/post/kkm-shtih-m/)

Критичные уязвимости в протоколе WPA2

17 Октября 2017, 05:29

Критичные уязвимости в протоколе WPA2

Группа исследователей обнаружила серьезные недостатки в протоколе WPA2, обеспечивающем защиту всех современных Wi-Fi сетей. Злоумышленник, находящийся в зоне действия жертвы, может использовать эти недостатки, используя Key Reinstallation Attacks. Злоумышленники могут использовать этот новый метод атаки для чтения информации, которая ранее считалась зашифрованной.

Уязвимости WPA2 позволяют обойти защиту и прослушивать Wi-Fi-трафик, передаваемый между точкой доступа и компьютером. Им присвоены следующие CVE идентификаторы:

CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

В качестве Proof-of-Concept предоставлена видеозапись, на которой продемострирована атака на смартфон под управлением Android.

"Атака работает против частых и корпоративных Wi-Fi сетей, против устаревшего WPA и свежего стандарта WPA2, и даже против сетей, которые используют исключительно AES. Все наши атаки, направленные на WPA2, используют новаторскую технику реинсталляции ключей (key reinstallation)", — пишут авторы KRACK.

По сути, KRACK позволяет злоумышленнику осуществить атаку типа man-in-the-middle и принудить участников сети выполнить реинсталляцию ключей шифрования, которые защищают трафик WPA2. К тому же если сеть настроена на использование WPA-TKIP или GCMP, злоумышленник сможет не только прослушивать трафик WPA2, но и осуществлять инжекты пакетов в данные жертвы.

Метод KRACK универсален и работает против любых устройств, подключенных к Wi-Fi сети. То есть в опасности абсолютно все пользователи Android, Linux, iOS, macOS, Windows, OpenBSD, а также многочисленные IoT-устойства.

По словам исследователей, эксплоит не будет опубликован до момента, пока большинство вендоров не выпустит обновления.

Ryzen падают в цене

10 Октября 2017, 01:24

Ryzen

Чтобы мотивировать желающих приобрести мощный CPU не ждать Core i3/i5/i7-8000 (Coffee Lake-S), партнёры AMD и розничные магазины продают старшие процессоры AM4 со скидками. Так, на небезызвестной площадке интернет-торговли Amazon восьмиядерный чип Ryzen 7 1800X доступен по ценам от $398,99 (без налога с продаж) при рекомендованной $499, а чуть более медленный Ryzen 7 1700X с такой же 100-долларовой скидкой — по $298,99. В зависимости от магазина, остальные 6- и 8-ядерные процессоры Ryzen AM4 либо предлагаются по чуть менее высокой цене, чем изначально, либо вовсе без скидки, как, кстати, и четырёхъядерные Ryzen 5 и Ryzen 3.

В России количество предложений CPU Ryzen 7 с существенными скидками пока ограничено. Тем не менее, если постараться, то можно найти модель 1800X по 22 600 руб. или Ryzen 7 1700 по 17 900 руб. С увеличением объёмов поставок процессоров Intel Core i3/i5/i7-8000 (Coffee Lake-S) цены на старшие Ryzen наверняка снизятся ещё больше. Кроме того, можно ожидать уценки 8-ядерного CPU Ryzen Threadripper 1900X для платформы TR4 и/или выпуска 12-ядерной модели Ryzen Threadripper 1920 по $549–599.

Лаборатория Касперского создала экспериментальную дата-валюту

06 Октября 2017, 01:06

infodollar

Лаборатория Касперского организовала весьма необычный эксперимент с использованием цифровой валюты нового типа — так называемых "инфодолларов", или "Data Dollar".

Идея заключается в том, чтобы предоставить пользователям возможность расплачиваться за товары или услуги своей персональной информацией. Это могут быть, скажем, фотографии, видеоролики, личная переписка и т. п.

В рамках эксперимента в центре Лондона на два дня был открыт уникальный магазин Data Dollar Store, где продавались вещи с принтами известного граффити-художника Бена Айне. Причём расплатиться за покупки посетители могли только личными данными со своего смартфона.

В частности, дата-валютой предлагалось оплатить кружки, футболки с работой Бена Айна и его принты. Так, за кружку нужно было заплатить тремя фотографиями или скриншотами переписки на свой выбор, за футболку — тремя последними фотографиями или скриншотами последних сообщений мессенджера. Эксклюзивный принт «стоил» дороже всего — представитель магазина сам выбирал пять фотографий или три скриншота, которыми необходимо было пожертвовать. Данные, которыми расплачивались посетители, в течение двух дней демонстрировались на экране в витрине магазина на оживленной станции метро.

Организаторы эксперимента говорят, что пользователи зачастую недооценивают значимость своих личных данных. Между тем количество электронной информации, в том числе персонального характера, увеличивается в геометрической прогрессии, и находится много желающих получить её.

"С помощью инфодоллара мы хотим показать людям, чего действительно стоят их данные. В идеале если какой-либо сайт оказывает свои услуги бесплатно, но взамен зарабатывает деньги на личных данных пользователей, он должен предупреждать об этом символом инфодоллара. Таким образом он продемонстрирует, что на самом деле обмен всё-таки происходит", — говорят в "Лаборатории Касперского".

В Foxit Reader обнаружены две уязвимости

24 Августа 2017, 19:18

Foxit Reader

Специалисты команды Zero Day Initiative (ZDI) компании Trend Micro и специалист фирмы Offensive Security рассказали об обнаружении сразу двух 0-day уязвимостей в популярном приложении для работы с PDF-файлами, Foxit Reader.

Исследователи пишут, что оба бага связаны с работой JavaScript API и их можно эксплуатировать через специально созданный вредоносный файл PDF, который жертва должна открыть в Foxit. При этом разработчики решения отказались выпускать патчи для данных проблем, мотивировав это тем, что уязвимости не работают в режиме Safe Reading (данный режим, к cчастью, включен в Foxit Reader по умолчанию).

Foxit Reader и PhantomPDF имеют режим Safe Reading, который включен по умолчанию и контролирует работу JavaScript, что помогает эффективно обезопасить [пользователей] от потенциальных уязвимостей, связанных с неавторизованными действиями JavaScript", — заявляют разработчики.

CVE-2017-10951: баг связан с app.launchURL и допускает внедрение команд (command injection) атакующим, которые будут выполнены app.launchURL за счет недостатка валидации. 

CVE-2017-10952: уязвимость связана с JavaScript-функцией saveAs и позволяет атакующему сохранить в целевой системе произвольный файл.

 

Обвал биткоин

19 Августа 2017, 23:05

Обвал Bitcoin

Взлёт биткоина, приблизившегося к отметке $4500, вызвал опасения экспертов, что на рынке сформировался пузырь, который вскоре может "схлопнуться" и привести к резкому обвалу криптовалюты. Такого мнения придерживается трейдер DianKemala на популярной социальной платформе для инвесторов TradingView.com.

С начала года биткоин вырос в цене почти на 310 %, до $4093, подорожав за последний месяц почти в два раза. Трейдер настаивает на том, что графики курса биткоина к валютам мира (американскому, австралийскому и новозеландскому долларам, швейцарскому франку) изображают типичную для пузыря фигуру — восходящую дугообразную кривую. По словам DianKemala, аналогичные фигуры появились на графиках фондовых индексов Nasdaq и Shanghai Composite накануне обвала этих рынков в 2000 и 2007 годах соответственно.

Conan Exiles вышел на Xbox и PC (Ранний доступ)

17 Августа 2017, 15:37

Conan Exiles

16 августа версия раннего доступа фэнтезийной игры-выживания с открытым миром Conan Exiles стала доступна на Xbox Game Preview для Xbox One. И в то же время на PC и Xbox One вышло обновление The Frozen North, добавившее в игру новую большую локацию для исследования, перенося игровой процесс из пустыни в холодные, замерзшие земли на севере.

Продажи PC-версии Conan Exiles на данный момент перевалили за отметку в полмиллиона копий. Финальная версия игры будет выпущена в начале следующего года на платформах PC, Xbox One и PS4.

Microsoft перестанет доверять сертификатам WoSign и StartCom

10 Августа 2017, 05:10

WoSign

Компания Microsoft сообщила, что присоединится к коллегам из Google, Mozilla и Apple и скоро перестанет доверять новым сертификатам удостоверяющих центров WoSign и StartCom.

Поводом для принятия этого решения послужил детальный отчет, опубликованный Mozilla еще в сентябре 2016 года. Тогда специалисты организации рассказали о расследовании, проведенном ими в отношении подозрительных сертификатов SSL SHA-1, выданных обеими компаниями. В итоге было выявлено множество нарушений: выданные задним числом сертификаты, сертификаты выданные посторонним лицам, к тому же выяснилось, что WoSign приобрела израильский удостоверяющий центр StartCom, но факт совершения сделки скрывали обе компании.

Ранее компании Google, Mozilla и Apple уже перестали доверять сертификатам WoSign и StartCom. Так, в июле 2017 года инженеры Google сообщили, что с выходом Chrome 61, который запланирован на сентябрь 2017 года, доверие к сертификатам WoSign и StartCom будет прекращено окончательно. Еще раньше компания уже перестала доверять сертификатам, выпущенным после 21 октября 2016 года, а с выходом Chrome 57 браузер также частично перестал доверять и старым сертификатам. Однако тогда ограничения коснулись только сайтов, которые не входят в первый миллион в рейтинге Alexa.

ЦРУ использовало проект Dumbo для выведения из строя камер наблюдения

06 Августа 2017, 13:28

Dumbo

Свежая порция обнародованных Wikileaks документов рассказывает о том, как ЦРУ, взламывает и выводит из строя камеры наблюдения, микрофоны и повреждает записи, чтобы защитить своих агентов от компрометации и скрыть следы своих операций.

Для вышеозначенных целей ЦРУ использует проект под названием Dumbo. Это не малварь, а предназначенный для Windows-систем инструмент, который агенты могут носить с собой на USB-накопителе. Достаточно подключить флешку с Dumbo на борту к целевой системе и запустить утилиту. 

Dumbo автоматически обнаруживает все подключенные к системе устройства (Bluetooth, Wi-Fi, проводом), находит камеры, микрофоны, сетевые адаптеры и так далее. Буквально в два клика оператор может отключить всю следящую аппаратуру, и Dumbo удалит все процессы, связанные с этими устройствами, а также отключит процессы любого ПО, предназначенного для записи и мониторинга.

Наиболее свежая инструкция (PDF) датирована июнем 2015 года и описывает Dumbo версии 3.0. Согласно бумагам, для работы инструменту понадобятся привилегии SYSTEM, а перед запуском утилиты стоит отключить антивирусное ПО. Вероятнее всего, сотрудники ЦРУ используют вместе с Dumbo другие эксплоиты, если у них нет нужного уровня доступа.

В Dumbo также предусмотрена интересная функция Blue Screen of Death (BSOD, «Синий экран смерти»), как для 32- так и для 64-битных платформ. Активация данной опции позволит замаскировать деятельность оперативника ЦРУ под обычный системный сбой. 32-битная версия поддерживает Windows XP, Windows Vista и более новые ОС семейства Windows. 64-битная версия, в свою очередь, не поддерживает устаревшие ОС, в том числе Windows XP.

Характеристики процессоров Intel Skylake-X

28 Июля 2017, 22:39

skylake-x

Выпустив первую партию таких CPU, имеющих от шести до десяти вычислительных ядер, Intel взяла паузу до середины августа, когда компания пообещала анонсировать 12-ядерный LGA 2066-процессор Core i7-7920X, или даже до октября, когда к имеющимся моделям Skylake-X должны добавиться дополнительные версии с 14, 16 и 18 ядрами. Но характеристики перспективных моделей утаить до момента их анонса не получилось: они стали достоянием общественности намного раньше положенного срока. Слайд из секретной презентации Intel, попал в руки общественности, который раскрывает все основные подробности о будущих многоядерных моделях Core i9.

Самая дорогая игра в мире

28 Июля 2017, 14:36

gamma attack

В 80-90-х годах прошлого века видеоигры часто выходили сравнительно небольшим тиражом. Отыскать некоторые из них в наше время порой невероятно трудно, из-за чего они становятся лакомой мишенью для коллекционеров со всего мира. А крайне редкий товар, как известно, стоит недёшево — отдельные раритеты оцениваются в десятки тысяч долларов за картридж. Британский магазин Safestore опубликовал список самых дорогостоящих видеоигр, и, как выяснилось, картридж, возглавляющий топ, стоит целое состояние.

Самой дорогой видеоигрой в мире является Gamma Attack, выпущенная для приставки Atari 2600 в 1983 году. Её стоимость оценивается в 500 тысяч долларов (около 30 миллионов рублей). Такая астрономическая сумма связана с чрезвычайной редкостью картриджа — на рынке обнаружена всего одна единственная копия Gamma Attack. С точки зрения геймплея проект не представляет собой ничего особенного: управляя НЛО, игроку необходимо расстреливать вражеские танки.

Второе и третье места в топе самых дорогостоящих раритетных видеоигр заняли Birthday Mania для Atari 2600 и Stadium Events. Каждая из них оценивается в 35 тысяч долларов. Birthday Mania представляет собой набор примитивных мини-игр, таких как задувание свеч. Стоит отметить, что на стоимость винтажной игры сильно влияют её состояние и наличие оригинальной коробки.

Закрытие AlphaBay и Hansa

24 Июля 2017, 19:53

AlphaBay

Министерство юстиции США официально подтвердило то, о чем все уже догадывались: даркнет-маркет AlphaBay был закрыт правоохранительными органами. Однако, согласно официальному пресс-релизу, все не так просто, как предполагалась. Тогда как пользователи ушедшего в оффлайн AlphaBay пытались организованно перейти на другую подпольную торговую площадку, Hansa, теперь выяснилось, что ее тоже закрыли власти. Более того, сайт работал под управлением полиции с июня 2017 года.

Сообщается, что закрытие AlphaBay и Hansa Market стало результатом крупной международной операции, в которой принимали участие США, Канада, Таиланд, Голландия, Великобритания, Франция, Литва, а также представители Европола, ФБР и Управления по борьбе с наркотиками.

Первым "пошел ко дну" сайт Hansa, над серверами которого 20 июня 2017 года перехватила управление полиция Голландии. При этом сайт продолжал работать еще месяц, до недавнего времени, что позволило правоохранителям собрать множество улик и информации о клиентах торговой площадки.

В это же время собственную операцию провели правоохранительные органы США и Канады, арестовавшие серверы AlphaBay 4 июля 2017 года. Теперь представители Минюста подтвердили, что ранее арестованный в Таиланде 25-летний гражданин Канады Александр Каз, являлся одним из руководителей ресурса, известным как Alpha02. После ареста, 12 июля 2017 года, Каз покончил с собой в тайской тюрьме.

Усовершенствованный EternalSynergy способен атаковать новые версии Windows

19 Июля 2017, 12:22

ethernalsynergy

EternalSynergy — это один из инструментом из арсенала АНБ, похищенный у спецслужб группой The Shadow Brokers и опубликованный в открытом доступе в апреле 2017 года. Согласно техническому анализу специалистов Microsoft, эксплоит способен выполнить произвольный код на Windows-машине, если SMB открыт для внешних соединений, эксплуатируя уязвимость CVE-2017-0143. При этом EternalSynergy работал лишь для Windows 8. Исследователи Microsoft отмечали, что ряд изменений в безопасности ядра не позволяют вредоносу влиять на более новые версии ОС.

Тайский исследователь Worawit Wang сумел модифицировать EternalSynergy таким образом, чтобы эксплоит представлял опасность и для более новых версий Windows. Специалист пишет, что в его версии инструмент по-прежнему атакует ту же уязвимость, но использует другую методику атак.

Ван уверяет, что доработанная версия эксплоита не вызывает краха системы, ведь, в его понимании, это совершенно недопустимо. Напомню, что во время эпидемии WannaCry эксплоит EternalBlue демонстрировал успешное срабатывание преимущественно на компьютерах под управлением Windows 7, тогда как Windows XP часто "падала".

EternalSynergy был успешно протестирован и работает для:

  • Windows 2016 x64;
  • Windows 2012 R2 x64;
  • Windows 8.1 x64;
  • Windows 2008 R2 SP1 x64;
  • Windows 7 SP1 x64;
  • Windows 8.1 x86;
  • Windows 7 SP1;

По сути, это означает, что теперь для уязвимости CVE-2017-0143 существуют три актуальных эксплоита: EternalSynergy, EternalRomance и версия Worawit Wang. Сочетая эти инструменты, атакующий сможет скомпрометировать практически любую систему из семейства Windows, не считая разве что Windows 10. Разумеется, если пользователь не установил патч MS17-010.

Google перестанет доверять всем сертификатам WoSign и StartCom

08 Июля 2017, 21:33

SSL

Согласно сообщению от компании Google, в скором времени (а именно — начиная с выпуска Chrome 61, который ожидается в середине сентября) будет полностью прекращено доверие к сертификатам, выданным удостоверяющими центрами WoSign и StartCom. Речь ведётся о сертификатах, выданных до 21 октября 2016 года, срок действия которых ещё не истёк (более новые сертификаты были заблокированы в прошлом году).

При посещении сайта с таким сертификатом выдается ошибка:

NET::ERR_CERT_AUTHORITY_INVALID

В Chrome 57 (вышедшем в марте 2017 года) частично уже было прекращено доверие к старым сертификатом, но для сайтов, входящих в первый миллион по рейтингу Alexa, было сделано исключение. Теперь данный белый список будет убран и блокировка станет действовать в отношении выданных указанными СФ сертификатов к любому домену.

Стоит напомнить, что аналогичные меры уже действуют со стороны Mozilla: начиная с Firefox 51 (появившемся в января 2017 года) введено ограничение для новых сертификатов WoSign и StartCom, но поддержка сертификатов, выданных до 21 октября 2016 года, пока сохранена.

История началась с того, что в прошлом году представители Mozilla выявили ряд серьёзных нарушений в работе WoSign и StartCom. В ответ компания WoSign инициировала аудит, работу по устранению замечаний и повышению безопасности своей внутренней инфраструктуры, а также начала процесс получения новых корневых сертификатов. Из нарушений можно отметить:
Игнорирование предписания, регламентирующего деятельность удостоверяющих центров, запрещающего использовать при создании сертификатов алгоритм SHA-1 с 1 января 2016 года (WoSign выписывал сертификаты с SHA-1 задним числом);
Получение контроля за другим удостоверяющим центром (StartCom) без раскрытия сведений о совершённой сделке;
Халатное отношение к безопасности, в частности применение устаревших версий сетевых приложений, без надлежащей установки обновлений (используемый на DNS-сервере пакет Bind последний раз обновлялся в 2011 году и содержит 19 неисправленных уязвимостей);

Игру с трояном загрузили из магазина Google Play более 1 млн пользователей

06 Июля 2017, 09:04

android

"Доктор Веб" обнаружил в магазине Google Play игру со встроенным трояном-загрузчиком: программа способна скачивать на мобильное устройство, устанавливать и запускать те или иные модули.

Вредоносное приложение — Android.DownLoader.558.origin — интегрировано в популярную игру BlazBlue RR - Real Action Game. Её загрузили уже более 1 млн владельцев смартфонов и планшетов под управлением операционных систем Android.
Троян является частью специализированного SDK-комплекта под названием Excelliance, предназначенного для автоматизации и упрощения обновления Android-программ. Этот инструмент позволяет загружать необходимые компоненты по отдельности без переустановки всего программного пакета.
Однако, отмечает "Доктор Веб", платформа Excelliance работает как троян-загрузчик, поскольку может скачивать и запускать непроверенные компоненты приложений. Такой способ обновления нарушает правила каталога Google Play.

Зловред начинает работу при первом старте игры, в которую он встроен. После этого он самостоятельно загружается при каждом подключении мобильного устройства к Интернету, даже если пользователь больше не запускает заражённое приложение.
Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек программа может загружать различные компоненты: это apk-, dex- и elf-файлы. При этом их запуск в некоторых случаях может выполняться без ведома пользователя. При наличии root-доступа возможна скрытная установка apk-файлов. Таким образом, злоумышленники имеют возможность распространять рекламные модули, сторонние программы и другие троянские компоненты.

Софт на устройствах Dell содержит уязвимости

06 Июля 2017, 08:40

Dell logo

Специалисты Cisco Talos обнаружили ряд уязвимостей в предустановленном на устройствах Dell ПО, в том числе Dell Precision Optimizer, Invincea-X и Invincea Dell Protected Workspace.

Уязвимость CVE-2016-9038 позволяет повысить привилегии и распространяется на Invincea-X и Dell Protected Workspace 6.1.3-24058. Проблема сопряжена с работой драйвера SboxDrv.sys. Дело в том, что \Device\SandboxDriverApi доступен для чтения и записи кому угодно, что позволяет передать произвольное значение в пространство памяти ядра (с помощью специально подготовленных данных) и повысить привилегии в системе.

Проблема CVE-2016-8732 затрагивает защитное решение Invincea Dell Protected Workspace 5.1.1-22303 и объединяет в себе ряд багов в InvProtectDrv.sys. Так, из-за недостаточных ограничений driver communications channel и некорректной валидации атакующий, контролирующий приложение в уязвимой системе, способен заставить драйвер отключить ряд софтверных защитных механизмов. Релиз версии Invincea Dell Protected Workspace 6.3.0 устранил проблему.

Последний баг получил идентификатор CVE-2017-2802, связан с приложением Dell Precision Optimizer и обнаруживается в Dell Precision Tower 5810 с графикой Nvidia, PPO Policy Processing Engine (3.5.5.0), ati.dll (PPR Monitoring Plugin, 3.5.5.0).

После старта Dell PPO Service программа C:\Program Files\Dell\PPO\poaService.exe запускает DLL C:\Program Files\Dell\PPO\ati.dll, а затем производится попытка загрузки atiadlxx.dll, однако этот файл не представлен по умолчанию в директории приложения. В результате производится поиск файла с нужным именем, и если таковой обнаруживается, он запускается через poaService.exe, без проверки сигнатуры. Все это позволяет злоумышленнику выполнить на уязвимой машине произвольный код, просто предоставив DLL с нужным именем. Разработчики Dell уже представили исправление для данной проблемы.

Канадский снайпер установил новый рекорд

24 Июня 2017, 16:54

Снайпер

Канадский снайпер установил новый рекорд по дальности смертельного выстрела, который составил более 3,5 км.

Снайпер из элитного канадского подразделения Joint Task Force 2 установил новый мировой рекорд точного выстрела, уничтожив боевика террористической группировки "Исламское государство", который находился от него на расстоянии 3540 метров, сообщает Globe and Mail. По словам цитируемого изданием источника в военном ведомстве Канады, пуля, выпущенная из снайперской винтовки McMillan TAC-50, летела до цели 10 секунд, а сам выстрел и поражение боевика были зафиксированы наземной и спутниковой видеокамерами.

"Этот выстрел имел шокирующий эффект для ИГ, так как рядом не было никаких сил противника. Вместо того, чтобы сбросить бомбу, от которой могли пострадать мирные жители в этом районе, использовалось очень локальное оружие. И поскольку до цели было очень далеко, плохие парни так и не поняли, что произошло", — сообщил изданию представитель канадского военного ведомства.

Предыдущий рекорд точного снайперского выстрела установил боец британского спецназа Крей Харрисон в 2009 году в Афганистане. Тогда ему удалось уничтожить двух боевиков движения "Талибан" с дистанции 2474 метра.

Майнеры криптовалют спровоцировали кризис на рынке видеокарт

22 Июня 2017, 07:31

BitCoin Mining

Майнеры криптовалют спровоцировали кризис на рынке видеокарт в России и Беларуси. Продавцы утверждают, что в продаже плат осталось относительно немного – желающие нажиться на биткоинах люди раскупают их еще до того, как карты доедут до прилавков магазинов. В Беларуси ситуация еще хуже: поскольку основным поставщиком является Россия, до нее видеокарты просто не доезжают: местные криптовалютные шахтеры все раскупают, как только дистрибьюторы получают новую партию.

В основном майнеры скупают GTX 1060, 1070, 1080 и новые карты AMD. Белорусский бизнес считает, что видеокарт в ближайшее время не будет – спровоцированный ростом биткоина спрос может быть очень затяжным. Аналитики прогнозируют, что дефицит закончится лишь тогда, когда пройдет хайп вокруг биткоинов и других криптовалют.

К слову, в Москве видеокарты почти пропали из продажи. Люди настолько погнались за идеей майнинга, что скупают их партиями по 200-300, а то и 600 штук. Это сказалось и на цене на графические платы – в России она уже подскочила вдвое. При этом некоторые продавцы, в том числе и официальный сайт Nvidia, уже вводят ограничения на отпуск определенного количества устройств в одни руки (в случае с Nvidia - не более двух одному покупателю) и принимают предзаказы. Истеричный интерес к видеокартам обусловлен их внутренней архитектурой, которая хорошо подходит для добычи криптовалюты. При этом резкий скачок биткоина до 3000 долларов за последние недели повлиял на доходность майнинга.

Владельцы 15% IoT-устройств никогда не меняли пароль

21 Июня 2017, 11:09

mirai

Специалисты компаний Positive Technologies и Лаборатории Касперского опубликовали отчеты, главной темой которых стала безопасность IoT-устройств. Изыскания обеих компаний наглядно демонстрируют, что безопасность "умных" устройств пока и не думает улучшаться. К примеру, знания всего пяти простых паролей будет достаточно для взлома 10% всех доступных в онлайне IoT-устройств.

Исследователи Positive Technologies пишут, что владельцы примерно 15% устройств никогда не меняли логин и пароль по умолчанию, которые присвоены гаджету "из коробки". Именно эта особенность помогает авторам малвари (к примеру, Mirai или BrickerBot) с такой легкостью взламывать устройства, обращая их в очередной "винтик", в составе очередного ботнета.

НАСА запустила масштабный каталог фотографий, видео и аудиозаписей

31 Марта 2017, 10:45

NASA

Американское космическое агентство НАСА запустило сайт NASA Image and Video Library, на котором можно осуществлять поиск по 140 тысячам изображений, видеороликов и аудиофайлов ведомства.

Похожие сайты у НАСА были и раньше, но новый сервис включает в себя возможности, которые делают его современным. Библиотека автоматически масштабируется под экраны смартфонов и планшетов, а результаты поиска отображаются в стиле Flickr: сразу можно узнать формат файла, размер и дату создания и просмотреть описание. Также присутствует возможность сузить результаты до нескольких лет — начиная с 1920 года и заканчивая нашим временем.

На страницах файлов присутствуют ссылки для загрузки: можно скачивать уменьшенные версии изображений или видео либо оригиналы в высоком разрешении. Доступен и инструмент для встраивания контента на другие сайты.

Wikileaks покажет эксплойты ЦРУ

13 Марта 2017, 20:49

Джулиан Ассанж пообещал, что Wikileaks покажет эксплоиты ЦРУ производителям.

На прошлой неделе, 7 марта 2017 года, сайт Wikileaks начал публикацию дампа под кодовым названием Vault 7, содержащего подробности работы Центрального разведывательного управления (ЦРУ) США. Первая публикация получила название «Год зеро» (Year Zero) и содержала 8761 документов и файлов из закрытой сети Центра радиотехнической и электронной разведки ЦРУ в Лэнгли. В итоге достоянием общественности стала информация о хакерском арсенале ЦРУ, включая вредоносное ПО, вирусы, трояны, эксплоиты для уязвимостей нулевого дня и так далее. Само кибероружие опубликовано не было, но документация проливает свет на конкретные техники и методы спецслужб, дает понять, какие уязвимости имеются в арсенале ЦРУ, и рассказывает, например, о том, что даже «умный» телевизор может шпионить за своим владельцем.

Уязвимость в WordPress используется для установки бэкдоров

14 Февраля 2017, 06:22

Уязвимость в WordPress используется для установки бэкдоров

Массовые атаки на свежую уязвимость в WordPress REST API, исправленную в конце января 2017 года, продолжаются. По данным компании WordFence, уязвимость привлекла внимание как минимум 20 хакерских групп, которым удалось скомпрометировать более 1,5 млн страниц. В настоящий момент количество пострадавших страниц перевалило за два миллиона, а атаки постепенно становятся серьезнее, как и прогнозировали специалисты.

Ticketbleed

12 Февраля 2017, 21:56

Ticketbleed

Новая уязвимость получила громкое название Ticketbleed, в честь знаменитой проблемы Heartbleed, обнаруженной в 2014 году. К счастью, в случае Ticketbleed масштабы происходящего не так велики, ведь баг был обнаружен только в решениях BIG-IP, производства компании F5 Networks. Полный список уязвимых продуктов можно найти на сайте компании.

В чем же проблема? Дело в том, что отправляя уязвимым сайтам специально созданные пакеты, атакующий может извлекать небольшие куски данных из памяти веб-серверов (не более 31 байта за раз). Повторив эту операцию многократно, злоумышленник в итоге сможет извлечь секретные ключи и другие «тайны», которые хранят HTTPS-сессии.

Антивирусы только вредят HTTPS

10 Февраля 2017, 07:31

Антивирусы только вредят HTTPS

Интересный отчет опубликовала сводная группа исследователей, в которую вошли специалисты Mozilla, Google, CloudFlare, а также представители университета Мичигана, иллинойсского университета в Урбане-Шампейне, калифорнийского университета в Беркли и Международного института информатики.

Эксперты изучили влияние антивирусов и различных межсетевых экранов на безопасность HTTPS-трафика. Дело в том, что подобные защитные инструменты вмешиваются в защищенные соединения, и эксперты заподозрили, что из-за этого зашифрованный трафик подвергается риску, а безопасность лишь ослабевает. Как оказалось, эти подозрения были ненапрасны.

Дефейс 100 тысяч сайтов Wordpress

09 Февраля 2017, 11:25

Дефейс 100 тысяч сайтов Wordpress

Как я уже сообщал, 26 января 2017 года, разработчики одной из популярнейших CMS в мире, выпустили WordPress 4.7.2, сообщив, что в новой версии платформы был исправлен ряд проблем. Как выяснилось неделю спустя, релиз WordPress 4.7.2 устранил крайне серьезную уязвимость, связанную с повышением привилегий. В конце января 2017 года брешь обнаружили специалисты компании Sucuri, и они описывают ее как неавторизованную эскалацию привилегий через REST API. Уязвимости подвержены версии 4.7.0 и 4.7.1.

Тогда раскрытие данных об уязвимости сознательно отложили на неделю, чтобы как можно больше сайтов успели спокойно установить обновление, но, судя по всему, это не слишком помогло. Специалисты Sucuri сообщают, что первые попытки эксплуатации бага были замечены в тот же день, когда информация о проблеме была опубликована. Аналитики Sucuri пишут, что их собственные серверы-ловушки (honeypot) обнаружили уже четыре группы атакующих, которые активно эксплуатируют свежую проблему WordPress. 

Так, простой поиск по названию группировки w4l3XzY3 показывает, что компрометации подверглись более 100 000 сайтов. Исследователи пишут, что пока проблему эксплуатируют преимущественно скрипт-кидди, которые скорее развлекаются, чем пытаются нанести реальный вред. Однако специалисты ожидают, что в скором времени злоумышленники будут пытаться монетизировать баг.

Google Chrome не доверяет сертификатам WoSign и StartCom

08 Февраля 2017, 07:12

Google Chrome не доверяет сертификатам WoSign и StartCom

В конце января вышла новая версия Google Chrome 56, и начиная с нее браузер больше не доверяет сертификатам WoSign и StartCom выпущенным позднее 21 октября 2016 года.

При посещении сайта с таким сертификатом выдается ошибка:

NET::ERR_CERT_AUTHORITY_INVALID

В то время, как в системе и остальных браузерах данные сертификаты считаются действительными. Ручное добавление сертификатов в доверенные, так же не решает проблему в Chrome.

Небольшим сайтам, использующих бесплатные SSL-сертификаты от WoSign или StartCom, стоит всерьез задуматься над переходом на Let's Encrypt или Cloudflare, так же предоставляющие бесплатные сертификаты SSL.

Взлом Freedom Hosting II

08 Февраля 2017, 07:00

Взлом Freedom Hosting II

Один из крупнейших в даркнете хостинг-провайдеров Freedom Hosting II подвергся атаке, в результате которой были скомпрометированы более десяти тысяч .onion-сайтов. На всех подвергшихся атаке ресурсах появилось сообщение, которое можно увидеть на скриншоте.

Известный исследователь Сара Джейми Льюис пишет, что атака на Freedom Hosting II затронула 15-20% всего даркнета.

Хакер обрисовал журналистам сам взлом, инструкция, состоящая из 21 пункта, начинается с регистрации аккаунта на сайте Freedom Hosting II. Затем нужно залогиниться, изменить ряд настроек в файлах конфигурации, вручную инициировать сброс пароля для цели, активировать root-доступ, а затем перелогиниться с новыми привилегиями.

Firefox OS прекратила существование

04 Февраля 2017, 23:46

Firefox OS прекратила существование

Операционная система Firefox OS, разработка которой началась четыре года назад, не смогла составить конкуренцию другим мобильным ОС. Как стало известно, проект закрыт, а все разработчики, которых было около 50 человек, уволены. Покидают компанию Mozilla, которая продвигала Firefox OS, и руководители направления.

Android 7.1.2 Nougat

02 Февраля 2017, 10:26

Android 7.1.2 Nougat

Google объявила о выходе предварительной версии Android 7.1.2 Nougat для разработчиков. Финальная сборка операционной системы для мобильных устройств станет доступной пользователям в ближайшие несколько недель.

Тем не менее, обновление нельзя будет установить на любое Android-устройство. Сейчас на его получение могут подписаться обладатели Google Pixel, Google Pixel XL, Google Pixel C, Google Nexus Player и LG Nexus 5X через программу бета-тестирования Android, сообщил вице-президент по разработке Google Дейв Бёрк. Позже обновление также станет доступно владельцам Huawei Nexus 6P.

«Android 7.1.2 является релизом дополнительной поддержки, сфокусированным на доработках, поэтому он включает в себя ряд исправлений багов и элементов оптимизации, а также небольшое число улучшений для операторов связи и пользователей», — написал Бёрк.

Windows 10 Cloud

01 Февраля 2017, 08:47

Windows 10 Cloud

Упоминания такого варианта Windows начали появляться в последних тестовых сборках операционной системы. Издание ZDNet сообщает, что новый продукт станет очередной упрощённой версией Windows, предназначенной для запуска универсальных приложений из Windows Store. Поэтому Windows 10 Cloud может позиционироваться как альтернатива Chrome OS и стать неплохим вариантом для производителей, которые хотят выпускать устройства на базе дешёвого или даже бесплатного варианта ОС Microsoft.

Пока неясно, когда компания собирается выпустить Windows 10 Cloud, однако, судя по упоминаниям в обновлении Creators Update, это может произойти уже довольно скоро. Также возможно, что Microsoft сначала будет тестировать упрощённую версию операционной системы, а её релиз состоится одновременно с выходом очередного запланированного обновления для Windows 10 ближе к концу года.

В WordPress исправлены три опасные уязвимости

31 Января 2017, 11:11

В WordPress исправлены три опасные уязвимости

Команда разработчиков WordPress, популярной системы управления сайтами (Content Management System, CMS), сообщила о выпуске обновления 4.7.2 и устранении трёх критических уязвимостей в коде платформы.

Первый баг позволял злоумышленникам получать доступ к компонентам пользовательского интерфейса CMS и был связан с функцией Press This, используемой для публикации постов. Вторая проблема была связана с классом WP_Query, используемым для получения доступа к переменным и функциям в ядре WordPress. Суть её заключалась в том, что при передаче "небезопасных" данных система становилась уязвимой для внедрения SQL-кода. Последняя брешь позволяла киберпреступникам использовать CMS для проведения атак типа XSS (Cross-Site Scripting — межсайтовый скриптинг).

Обновление безопасности системы вышло всего спустя две недели после выпуска патча под номером 4.7.1, исправившего восемь уязвимостей, которые могли позволить злоумышленнику осуществить удалённую атаку, включая баги, связанные с межсайтовым скриптингом, удалённым выполнением кода в PHPMailer и межсайтовой подделкой запросов.

Denuvo для Resident Evil 7 взломали за 5 дней

31 Января 2017, 10:59

Denuvo для Resident Evil 7 взломали за 5 дней

Новый рекорд был зафиксирован в минувшее воскресенье, 29 января 2017 года. Игра Resident Evil 7: Biohazard, представленная 24 января, была взломана спустя всего пять дней. Команда CPY сумела вскрыть ее защиту и выложила в сеть 23-гигабайтный дамп, который распространился по пиратским сайтам со скоростью лесного пожара.

В защиту Denuvo Software Solutions можно сказать, что компания никогда не позиционировала свои решения как "невзламываемые". В данном случае задача компании заключается в том, чтобы на старте продаж дать игре определенное «окно», во время которого хакеры еще бьются над взломом, а пользователи вынуждены покупать игру, не имея альтернативы. И насколько большим будет это "окно", неизвестно, об этом представители Denuvo Software Solutions договариваются напрямую с игроделами, за закрытыми дверями.

Проект Titan закрыт

14 Января 2017, 18:40

Project Titan

Alphabet объявил об отказе от продолжения работы над проектом Titan, целью которого было обеспечение труднодоступных регионов доступом в Интернет с помощью беспилотных спутников на солнечной батарее.

Причины отмены проекта Titan заключаются в проблемах экономического и технического характера. Другой проект лаборатории Project Loon, который предполагает для обеспечения Интернетом дальних и труднодоступных регионов использовать высотных воздушных шаров, по-прежнему находится в работе. Также лаборатория занимается продвижением проекта Project Wing, в котором дроны используются для доставки грузов, а не интернет-сервисов.

Над аналогичным проектом сейчас работает принадлежащая Илону Маску компания SpaceX. Она собирается раздавать доступ к интернету при помощи четырёх тысяч спутников. Facebook, по слухам, хочет запустит проект по раздаче интернета с дронов. Цель соцсети такая же, как у Google, — донести интернет до тех стран и городов, где доступа к нему нет либо он слишком дорогой и не по карману местным жителям.

Android Wear 2.0 появится в феврале

14 Января 2017, 18:25

Android Wear 2.0

Прошло восемь месяцев с момента анонса Android Wear 2.0 для носимой электроники на базе платформы Google Android Wear, а также несколько месяцев с момента подтверждённой задержки и переноса выхода обновки на начало 2017 года.

Как сообщает издание Android Police, которое получило соответствующее письмо от разработчиков, запуск Android Wear 2.0 состоится уже в начале февраля. Google в письме также предлагает создателям приложений обновить свои продукты накануне выхода новой версии системы.

Таким образом, уже в феврале Android Wear 2.0 принесёт владельцам совместимой носимой электроники встроенный магазин Play Store, возможность подключения приложений к Интернету напрямую через Wi-Fi, новую панель запуска приложений, поддержку сложных циферблатов и многое другое.

В Snapdragon 835 применена технология Google TensorFlow

13 Января 2017, 07:09

Google TensorFlow

Одной из интересных особенностей Snapdragon 835 стала поддержка технологии машинного обучения TensorFlow от компании Google. Благодаря этому устройства на базе данного процессора будут демонстрировать более высокую производительность в приложениях на основе нейронных сетей.

Технология TensorFlow уже используется в ряде приложений поискового гиганта, таких как Google Photos и Google Cloud Speech. При работе с программами, использующими TensorFlow, Snapdragon 835 будет использовать специальный цифровой сигнальный процессор Hexagon 682, не нагружая при этом центральный процессор.

Google разработала два тестовых приложения, способных с помощью компьютерного зрения и машинного обучения распознавать реальные объекты при наведении на них камеры смартфона. При их запуске на устройстве с Hexagon DSP и поддержкой TensorFlow программы обнаруживали несколько объектов гораздо быстрее, чем в случае работы на смартфоне, где эта задача возложена на центральный процессор.

Intel представила серию накопителей Optane

11 Января 2017, 12:13

Optane

На CES 2017 Intel представила серию накопителей Optane в формате M.2, которые поступят в продажу во втором квартале этого года. Optane - это брендовое название Intel для их технологии памяти 3D Xpoint, разработанной совместно с компанией Micron. Этот тип энергонезависимой памяти превышает показатели NAND по скорости работы, но по-прежнему работает медленнее DRAM. Intel представила видео, в котором позиционирует Optane как кэширующий дисковый накопитель - преемника флеш-памяти.

3D Xpoint - платформа памяти с изменением фазового состояния (PCM) впервые была представлена еще в 2015 году. «3D» в названии технологии означает возможность многослойного построения памяти. По словам представителей компании Intel, скорость работы XPoint в тысячу раз превышает производительность NAND. Ожидается, что стоимость решения окажется в промежутке цен — между флеш-памятью и DRAM.

Первые накопители в формате M.2 получат объемы памяти равные 16 и 32 ГБ. Они будут продаваться для работы с сертифицированными под Intel Optane материнскими платами и другими платформами. Список устройств Intel Optane Ready будет включать 7-е поколение процессоров Intel Core и процессор Xeon E3 v6. Так же Intel планирует реализовать 3D Xpoint еще в двух форм-факторах: Optane SSD с объемом более 120 ГБ (по типу хранилищ NVMe) и Optane DRAM, совместимую с DDR4.

Core i7-7700K способен работать на частоте 7 ГГц

10 Января 2017, 11:30

Core i7-7700K

По всей видимости, Аллену «Splave» Джолайберсачу попался не самый удачный экземпляр Kaby Lake, поскольку на выставке CES 2017 был установлен новый рекорд: процессор Core i7-7700K вновь был разогнан до частоты 7 ГГц с помощью жидкого азота и системных плат ASUS ROG Maximus IX APEX и the ASRock Z270 Taichi, результат интересен тем, что активны были все ядра и технология мультипоточности.

Установлен и новый рекорд для разгона с одним активным ядром, он составил впечатляющие 7348 МГц при температуре –183 градуса по Цельсию. Если с помощью жидкого азота удаётся добиться частоты 7 ГГц, то большинство экземпляров Kaby Lake должны разгоняться до 5 ГГц при использовании более традиционных методов охлаждения, таких как жидкостное или воздушное. Иными словами, процессоры Kaby Lake являются отличными объектами для разгона, если имеют разблокированный множитель. 

Декабрь стал самым успешным для App Store

08 Января 2017, 21:28

App Store

Декабрь 2016 года стал самым успешным месяцем для App Store за всю историю существования. В интервью Фил Шиллер заявил, что в декабре App Store благодаря встроенным покупкам, платным приложениям и подпискам принёс $3 млрд дохода. Он отметил, что в магазине, который был запущен в 2008 году, присутствует уже 2,2 млн приложений, а разработчикам за весь прошедший год было выплачено $20 млрд, что на 40 % больше, чем в 2015 году.

Если учесть, что 30 % денежных средств от продаж Apple забирает себе, то доход Apple от магазина приложений за весь год составил $8,57 млрд. Из них $2,7 млрд принесли подписки, показавшие двузначный рост. Игра Pokémon Go стала самым загружаемым приложением и пятым по счёту в списке самых прибыльных продуктов в App Store.

Vine закроется 17 января

07 Января 2017, 22:05

Vine

Cервис зацикленных видеороликов Vine закроется - об этом сообщается в блоге проекта. Сайт Vine будет по-прежнему доступен, но приложения, с с помощью которых можно было загружать ролики, будут закрыты. Теперь стала известна официальная дата закрытия Vine: 17 января.

После шумной реакции недовольных пользователей, впрочем, компания немного пересмотрела свои планы и заявила, что приложение Vine будет заменено на Vine Camera. О превращении Vine в Vine Camera все пользователи будут предупреждены заранее через приложение. Когда Vine Camera будет официально запущено, загрузить старые видео через приложение больше возможности не представится. Разработчики также отметили, что после закрытия сервиса все видеоролики в Twitter длительностью 6,5 секунд или меньше станут зацикленными — так компания хочет оставить след Vine в сервисе микроблогов.

Nautilus Data Technologies начнет работу в этом году

05 Января 2017, 20:30

Nautilus Data Technologies

Компания Nautilus Data Technologies в прошлом году, на бывшей судоверфи Военно-морских сил США в Калифорнии, практически закончила создание полноценного плавучего коммерческого дата-центра. 

Как отметил Кирк Хортон, обычные дата-центры потребляют сотни миллионов литров воды из канализационной системы для охлаждения серверов. ЦОД Nautilus Data Technologies будет использовать для решения этой задачи забортную воду, которая после нагрева будет возвращаться обратно в водоем.

Эти серверные фермы предназначены для швартовки в портах и районах, находящихся рядом с городами, строительство полноценных ЦОД на территории которых усложнено из-за дороговизны земельных участков и/или чрезмерно высокой плотности застройки.

Eli M - первый плавучий ЦОД, его можно назвать пилотным проектом. Если все пройдет успешно, то в ближайшем будущем будет выпущено на воду еще девять таких платформ. Сейчас свой интерес в работе с такими ЦОД выказали более 30 крупных клиентов, 20 уже подписали контракт с компанией.

Snapdragon 835

04 Января 2017, 22:19

Snapdragon 835

Qualcomm анонсировала новую платформу (SoC) Snapdragon 835 на выставке CES 2017. Это первая, по словам производителя, коммерческая SoC для мобильных платформ, построенная по 10-нм технологическому процессу FinFET. Компания заявляет о сокращении расхода энергии на 50 % по сравнению с показателями Snapdragon 801 при несоразмерно выросшей мощности.

Платформа Snapdragon 835 построена по традиционной схеме big.Little с применением двух четырехъядерных кластеров: высокопроизводительного и энергоэффективного. Первый будет работать на частоте 2,45 ГГц, а второй – на частоте 1,9 ГГц. За обработку графики отвечает улучшенное ядро Adreno 540, которое поддерживает новейшие версии стандартов DX12, OpenGL, ES и Vulkan.

Первыми обладателями нового процессора станут Samsung Galaxy S8 и Xiaomi Mi 6. Об этом сообщил Кевин Вонг, аналитик и глава китайского подразделения IHS, через свой аккаунт в Weibo.

WhatsApp прекратила поддержку миллионов старых аппаратов

03 Января 2017, 07:36

WhatsApp сообщила, что в январе прекратит поддержку некоторых старых мобильных ОС, таких как - BlackBerry, BlackBerry 10,Nokia S40, Nokia Symbian S60, Android 2.1 и Android 2.2, Windows Phone 7, iPhone 3GS/iOS 6. Так что владельцам таких аппаратов придётся либо сделать себе рождественский подарок в виде нового смартфона, либо забыть об этом популярнейшем мессенджере. 

Компания объяснила решение тем, что устаревшие программные платформы более не позволяют внедрять новые функции и нормальным образом развивать приложение. WhatsApp сделала анонс почти сразу после 7-летнего юбилея платформы для обмена сообщениями, вышедшей в 2009 году. Программа, которой сегодня пользуется более миллиарда человек, появилась вскоре после запуска магазина приложений Apple App Store, когда 70 % рынка операционных систем принадлежало ещё ушедшим в прошлое Blackberry и Nokia.

20 лет вселенной Diablo

29 Декабря 2016, 03:28

Diablo

Верите вы или нет, но 31 декабря вселенной Diablo исполняется 20 лет. Да, классика хэк-н-слэша уже существовала в то время, когда еще многих современных геймеров и на свете-то не было. Это исторический момент для игровой индустрии и Blizzard планирует отметить это событие, добавив посвященные Diablo события в некоторые из своих игр. И, что неудивительно, Diablo III получит наибольшее количество таких изменений. Появится событие Darkening of Tristram, которое позволит вам посетить "переосмысленную" версию собора из первой части игры, включая несколько, знакомых по оригинальной игре, вещей.

Без сомнения, дьявольских событий и наград добавят и в других играх. Overwatch получит несколько новых граффити и иконок игроков, в то время как в World of Warcraft появятся новые монстры из вселенной Diablo. В Hearthstone появится новый герой "Dark wanderer" c "темной колодой". Heroes of the Storm получат новую карту и портрет, а StarCraft II получит портрет рабочего в стиле Diablo. 

Это конечно не четвертая часть игры (Близзард, ну пожалуйста!), но это является признанием влияния серии игр Diablo на протяжении многих лет.

Новая камера Xiaomi Yi обещает съемку 4K с 60fps

28 Декабря 2016, 03:09

Xiaomi представит новую UHD экшн-камеру на CES 2017.

Экшн-камеры становятся все более впечатляющими с каждым поколением. Но поддержка формата 4K всегда была частичной. На сегодняшний день, лучшие камеры на рынке способны снимать UHD видео в частотой кадров 15-30 fps, принуждая пользователей понижать разрешение до 2.7K, для плавного видео. В следующем месяце, эта ситуация должна измениться: Xiaomi покажет свою, недавно анонсированную,  камеру Yi на выставке CES 2017, которая сможет снимать видео в разрешении 4К с частотой 60 кадров в секунду.

Google Map Maker будет закрыт

27 Декабря 2016, 03:03

Google закрывает свой сервис Google Map Maker в марте 2017 года.

Как сообщается на странице сервиса: С 2008 года участники сообщества Google Map Maker редактируют и модерируют множество функций для улучшения работы с Google Картами. Мы начинаем перенос функций из Map Maker в Google Карты, чтобы любой пользователь смог внести изменения на карту со своего компьютера или мобильного устройства.

Mozilla прекратит поддержку Windows XP

27 Декабря 2016, 02:33

Mozilla объявила о том, что она продолжит поддерживать Firefox для Windows XP и Windows Vista до сентября 2017 года. В марте 2017 года пользователи этих операционных систем будут автоматически переведены на Firefox ESR (версия долгосрочной поддержки), а в середине года компания подсчитает количество этих пользователей и анонсирует дату окончательного прекращения поддержки браузера для XP и Vista.

Firefox ESR — это версия браузера, предназначенная для школ, университетов, предприятий и других учреждений, нуждающихся в массовом внедрении программного обеспечения. В августе 2016 года Mozilla прекратила поддержку macOS 10.6 Snow Leopard, 10.7 Lion и 10.8 Mountain Lion. Но в отличии от Google, которая полностью отказалась от поддержки Chrome для старых версий macOS, а также для XP и Vista, Mozilla решила пока продолжить поддерживать ПО для устаревших версий Windows.

Это означает, что компания регулярно будет выпускать обновления безопасности для Firefox на XP и Vista на протяжении девяти месяцев. После этого, вероятно, Mozilla будет поддерживать эти версии браузера ещё несколько месяцев, а затем прекратит это делать.

Ростелеком проложил почти 3000 км оптоволокна

27 Декабря 2016, 01:30

В уходящем году «Ростелеком» проложил в ЮФО и СКФО примерно 2750 км оптоволокна для обеспечения интернет-доступа в 188 населённых пунктах. При строительстве точек доступа применяется оборудование отечественного производства. Сама точка доступа представляет собой железобетонную опору высотой несколько метров, на которой крепятся климатический шкаф и необходимое оборудование: Ethernet-коммутатор, роутер Wi-Fi и антенны, обеспечивающие круговое покрытие. Оборудование рассчитано на работу в сложных климатических условиях.

Пользователям доступны три вида сети: RTOpen, RTFree, RTWi-Fi. В сети RTOpen клиент может зарегистрироваться в едином личном кабинете и подключить услугу с помощью выданного логина и пароля. В сети RTFree абонент пользуется бесплатным доступом к списку сайтов органов государственной власти, Единому порталу государственных и муниципальных услуг и ряду СМИ. В сети RTWi-Fi доступ к интернет-ресурсам неограничен: необходимое условие — наличие положительного баланса на лицевом счёте.

Смартфон вместо кошелька

27 Декабря 2016, 00:53

Технология NFC начала массовое распостранение на российский рынок. Несмотря на то, что технология создана более 10 лет назад, активное развитие на территории России она получила только в последние годы. В августе 2015 года компания Visa презентовала свой проект в этой области: технология довольно быстро вошла в обиход и сделала смартфон своеобразным мостом между электронными деньгами, находящимися в кошельке QIWI, и оплатой товаров в реальном, а не виртуальном мире. Наиболее часто NFC стали использовать для оплаты проезда в общественном транспорте и проведения платежей в магазинах с помощью бесконтактных терминалов.

В результате меньше чем за год NFC перестала быть опцией как таковой и обрела статус самостоятельного стандарта. Мировые производители мобильных устройств теперь расценивают NFC как вполне рядовую опцию и устанавливают чипы даже в бюджетные модели. В перспективе Visa планирует наделить функционалом NFC не только смартфоны, но и браслеты, часы и кольца.

Очевидно, что с повсеместным активным распространением таких форм платежных систем у «электронных грабителей» появляются новые лазейки для списания крупных сумм. Но тут банки решили выступить единым фронтом, и сейчас специалисты в сфере ИТ-безопасности крупнейших российских кредитно-финансовых организаций разрабатывают общие стандарты систем дистанционного банковского обслуживания. Контролировать их соблюдение будет Центр по борьбе с киберугрозами при Центробанке РФ. Внедрение стандартов запланировано на 2017 год.

Великий российский фаервол

26 Декабря 2016, 04:32

20 декабря появился проект изменений в ФЗ "О связи". Сам законопроект был создан более 2 лет назад, но теперь, всплыл снова. С текстом проекта можно ознакомиться здесь. Продвижение проекта может произойти в ускоренном порядке.

1.10) администратор национальной доменной зоны верхнего уровня (доменные зоны .ru, .рф) – российское юридическое лицо, учредителем которого является федеральный орган исполнительной власти в области связи, осуществляющее деятельность по управлению использования национальной доменной зоны .ru, .рф и оказанию услуг по внесению изменений в реестр имен национальной доменной зоны .ru, .рф;

Это означает, что домены в зоне .ru уходят под контроль Президента с возможностью снятия делегирования.

Введение обновленного п.2 ст.9 (Линию передачи, пересекающую Гос. границу России, на территории России вправе организовывать только лицо, являющееся оператором связи) поставит под контроль СОРМ весь входящий трафик.

К критической инфраструктуре российского национального сегмента сети "Интернет" относятся:
а) национальная доменная зона ru, .рф и инфраструктура, обеспечивающая ее функционирование;
б) системы точек обмена трафиком, критерии отнесения к которым устанавливаются федеральным органом исполнительной власти в области связи;

Точки обмена трафиком уходят под контроль государства.

г) инфраструктура автономных систем сети "Интернет", критерии отнесения к которым устанавливаются федеральным органом исполнительной власти в области связи.

Корневые серверы также уходят под контроль государства.

2. Особенности регулирования использования указанных в пункте 1 настоящей статьи критической инфраструктуры российского национального сегмента сети "Интернет" устанавливаются федеральным органом исполнительной власти в области связи по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности.

Критерии регулирования рунета будет устанавливать ФСБ. Фактически, весь рунет переходит под полный и абсолютный контроль государства.

Brotli приходит в Edge

26 Декабря 2016, 03:53

Microsoft объявила о том, что браузер Edge в операционной системе Windows 10 получит поддержку алгоритма сжатия Brotli.

С версией EdgeHTML 15.14986, Microsoft Edge начнет поддерживать алгоритм сжатия контента Brotli в начале 2017 года, с выходом обновления - Windows 10 Creator’s Update.

Brotli имеет открытый исходный код и позволяет эффективнее сжимать данные на 20%, чем предыдущая версия, Zopfli. Brotli работает лучше, чем lzma и bzip2, а по заверению Google по скорости работы новый алгоритм можно сравнить с Deflate ZLIB. На данный момент Brotli поддерживается в Firefox 44, Chrome 50, Android browser 50, Chrome for Android 50 и Opera 38.

В Google надеются, что разработанная технология позволит загружать страницы быстрее, что повлечет экономию заряда батареи и снизит объёмы трафика.