Security Week 52+1: кибербезопасность на будущее
Настало время по традиции подвести итоги года. В конце 2018-го мы расставили приоритеты так: Spectre и Meltdown, машинное обучение в контексте восстановления картинки из шума, многочисленные уязвимости в роутерах. Год назад писали о прорехах в приватности, винтажные уязвимости в Windows 10 и атаки на цепочки поставок.
На конец 2020 года вроде уже и печатных выражений не осталось — закончился, и ладно. Но если попробовать, то это опять цепочки поставок и снова машинное обучение, но уже в контексте дипфейков. Скорее позитивным моментом года стало обнаружение качественно запрятанных уязвимостей в базовых протоколах: можно вспомнить уязвимость в Bluetooth-стеке Android в начале года и баг Wi-Fi в мобильных устройствах Apple в конце. Это отчасти признак развития новых технологий поиска уязвимостей (фаззинг), отчасти — совершенствование старых (сканирование портов) в комбинации со смекалкой исследователей.
Разнообразные последствия пандемии серьезно повлияли на нашу жизнь, но в сфере киберзащиты разве что обострили и до того имевшиеся проблемы: шифрование и приватность конференц-связи в Zoom и не только, атаки на RDP и вообще на инфраструктуру для удаленной работы, уязвимости в медтехнике. Уходящий год — еще и год громких взломов компаний с целью шантажа, с тяжелыми последствиями вплоть до полного выхода из строя инфраструктуры. Показательный пример — атака на компанию Garmin. Среда инфобеза — штука тревожная по определению, и в конце ковидного года хочется отдать приоритет тем исследованиям, где наблюдается полет мысли, интересные решения, но тяжелых последствий пока нет, а может, и вовсе не будет. Мы отобрали три таких работы: про подсматривание паролей в видеоконференциях, про сканирование памяти ноутбука с перепрошивкой BIOS на лету и про потайные разговоры с умной колонкой с помощью лазера.
Читать дальше →
На конец 2020 года вроде уже и печатных выражений не осталось — закончился, и ладно. Но если попробовать, то это опять цепочки поставок и снова машинное обучение, но уже в контексте дипфейков. Скорее позитивным моментом года стало обнаружение качественно запрятанных уязвимостей в базовых протоколах: можно вспомнить уязвимость в Bluetooth-стеке Android в начале года и баг Wi-Fi в мобильных устройствах Apple в конце. Это отчасти признак развития новых технологий поиска уязвимостей (фаззинг), отчасти — совершенствование старых (сканирование портов) в комбинации со смекалкой исследователей.
Разнообразные последствия пандемии серьезно повлияли на нашу жизнь, но в сфере киберзащиты разве что обострили и до того имевшиеся проблемы: шифрование и приватность конференц-связи в Zoom и не только, атаки на RDP и вообще на инфраструктуру для удаленной работы, уязвимости в медтехнике. Уходящий год — еще и год громких взломов компаний с целью шантажа, с тяжелыми последствиями вплоть до полного выхода из строя инфраструктуры. Показательный пример — атака на компанию Garmin. Среда инфобеза — штука тревожная по определению, и в конце ковидного года хочется отдать приоритет тем исследованиям, где наблюдается полет мысли, интересные решения, но тяжелых последствий пока нет, а может, и вовсе не будет. Мы отобрали три таких работы: про подсматривание паролей в видеоконференциях, про сканирование памяти ноутбука с перепрошивкой BIOS на лету и про потайные разговоры с умной колонкой с помощью лазера.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Цифровой фронтир: Почему малому бизнесу пора вспомнить опыт Napster
- «РБПО для бедных»: собираем CI/CD-конвейер безопасной разработки
- Я обнаружил крупномасштабное распространение вирусов в GitHub
- ChatGPT теперь требует селфи с паспортом: как OpenAI и Anthropic внедряют KYC и убивают анонимность в ИИ
- Обзор решений двухфакторной аутентификации на 2026 год
- Сервис «Скорозвон»: Как мы проверяем продавцов без субъективных оценок руководителя: методика аттестации отдела продаж
- NextDNS, AdGuard DNS, Cloudflare for Families, Pi-hole, мы — честное сравнение от конкурента
- Криптографы «Криптонита» создали новый способ проверки устойчивости постквантовых криптосистем
- gost-curl — консольный HTTP-клиент с поддержкой ГОСТ TLS 1.3
- Я год не писал код руками. Но я не вайбкодер — и это две разные профессии