Восстановление пароля – хакеры, welcome! / Хабр
Каждый из нас хотя бы раз в жизни сталкивался с ситуацией, когда пароль от почты забыт, а посмотреть письма нужно. Тут нам на помощь приходит процедура восстановления пароля, которую заботливые сервисы разработали специально для подобных случаев. Именно эта процедура вызывает больше всего вопросов с точки зрения безопасности. Как выяснилось, не зря.
Наш исследовательский центр Positive Research посмотрел, насколько легко можно получить несанкционированный доступ к аккаунтам пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекс. Причем не путем технических атак, а только с помощью социальной инженерии.
Википедия описывает социальную инженерию как метод управления людьми без использования технических средств. В нашем случае это способ получения несанкционированного доступа к личной информации человека, опять же, без использования каких-либо специальных знаний или инструментов.
Безусловно, всегда можно отправить фишинговое письмо и заставить пользователя перейти на сайт, где он засветит свои логин и пароль, или подкинуть трояна и ждать.
Назад в будущее. «Вконтакте», Google, Mail.Ru
Нам удалось получить доступ к аккаунтам всех этих сервисов.
В случае с «Вконтакте» и Google выяснилось, что, обладая определенной информацией о пользователе (контакты, фотография, секретный вопрос), можно без труда получить доступ к его аккаунту.
«Вконтакте» уделяют достаточно большое внимание обеспечению безопасности пользователей и придумали свой метод восстановления пароля. Вам даже предложат сфотографироваться на фоне страницы процедуры восстановления пароля с предварительной загрузкой скана документа, удостоверяющего личность. Все бы ничего, но «Вконтакте» используют самое слабое звено для проверки – человека.
Google – примерно та же ситуация. Пароль восстановили довольно легко. Причем после получения доступа к аккаунту Gmail.com в нашем распоряжении оказываются все сервисы, с которыми работает пользователь – от Youtube до Picasa. Например, процедура восстановления пароля была запущена в тот момент, когда владелец учетной записи продолжал работать с сервисами Google: общался через GoogleTalk, загружал файлы с Android Market. Сервисы перестали работать внезапно, без каких-либо предупреждений со стороны Google. Причем подобную атаку не смогла остановить даже двухфакторная авторизация с привязкой к мобильному телефону.
С Mail.Ru ситуация сложнее. Этот сервис также доброжелательно относится к своим пользователям и идет навстречу им во многих вопросах. С одной стороны, это не может не радовать, с другой – предоставляет отличные возможности хакерам.
Здесь общедоступной информации оказалось недостаточно. Тем не менее, после виртуального общения непосредственно с жертвой, которая любезно предоставила нам все нужные данные, доступ к аккаунту был получен без особых проблем.
Вперед в будущее. Facebook
Социальная сеть Facebook продемонстрировала наиболее взвешенный подход, который сочетает заботу об удобстве и безопасности пользователя. Схема защиты не совсем стандартная – привязка к e-mail, привязка к телефону и возможность пользоваться друзьями для восстановления доступа к странице. Причем друзьями должны быть люди, которых вы знаете не 1 и не 2 дня – мы не смогли попасть в список доверенных лиц пользователя даже за две недели активности. В том же случае, если у вас больше нет доступа к почте и секретному вопросу, Facebook сообщает, что ничего поделать не может. И советует зарегистрироваться заново.
Отдельно хотелось бы выделить Яндекс. Это замечательный пример того, как не стоит закручивать гайки.
Нам не удалось получить доступ к аккаунту пользователя из-за слишком суровых требований к процедуре восстановления пароля. Например, увели у вас почтовый ящик с Яндекс.Деньгами. Телефон вы не привязали. Секретный пароль не вспомнили. Служба поддержки требует паспорт. Все пропало. И Яндекс.Деньги, и Яндекс.Почта.
Итак, какие можно сделать выводы:
• функция восстановления пароля – слабое место в системе защиты пользователя массовых онлайн-сервисов;
• пользователи довольно легкомысленно относятся к правилам безопасности и собственным данным, тем самым поневоле оказывая помощь злоумышленникам.
Таким образом:
| ВКонтакте | Получен доступ | Доступ к данным получить несложно, лояльная служба технической поддержки |
| Получен доступ | Доступ к данным получить несложно, лояльная служба технической поддержки | |
Mail. Ru |
Получен доступ | Доступ к данным получить можно, но только после общения с пользователем |
| Доступ не получен | Доступ к данным получить нельзя, Facebook – молодцы! | |
| Яндекс | Доступ не получен | Доступ к данным получить нельзя, но очень жесткие требования к процедуре восстановления пароля |
Действия по восстановлению паролей касались реальных аккаунтов пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекса. Мы проинформировали владельцев этих учетных записей о целях исследования и получили от них согласие на совершение действий с их аккаунтами. После завершения проекта реквизиты доступа были возвращены владельцам, никаких дополнительных действий с использованием этих данных не осуществлялось. Все интернет-ресурсы, с которыми мы работали, также получили уведомления о найденных уязвимостях и предприняли меры по устранению обнаруженных недочетов.
На этом наши исследования не заканчиваются – Positive Technologies продолжает анализировать безопасность социальных сетей и других популярных интернет-сервисов. Результаты новых исследований мы представим на международном форуме по практической безопасности Positive Hack Days, который пройдет 30-31 мая 2012 года в Москве.
Новости – в нашем блоге!
африканских лидеров призывают к доступному финансированию для восстановления экономики и возвращения к ЦУР
Лидеры развивающихся стран собрались в Париже, подчеркнув безотлагательность реформы глобальной финансовой архитектуры для противодействия экономическим, экологическим и социальным невзгодам и спасения устойчивого развития Цели (ЦУР).
«Предсказуемое, доступное и устойчивое финансирование имеет решающее значение для того, чтобы позволить африканским странам вернуться на путь достижения Целей в области устойчивого развития», — заявил исполняющий обязанности исполнительного секретаря Экономической комиссии для Африки (ЭКА) Антонио Педро на мероприятии, организованном Коалицией по устойчивому долгу.
на полях саммита Нового глобального финансового пакта в Париже.
Саммит был созван президентом Франции Эммануэлем Макроном для разработки дорожной карты по облегчению долгового бремени стран с низким уровнем доходов и высвобождению дополнительных средств для финансирования развития и борьбы с изменением климата.
Коалиция по устойчивому долгу, созданная правительством Египта на COP27, направлена на решение важнейших финансовых проблем, с которыми сталкиваются страны с формирующимся рынком и развивающейся экономикой, в частности, их пагубного воздействия на борьбу с изменением климата и развитие. Он представляет новый путь консультаций, который пересекает проблемы долга, климата и развития, способствуя диалогу для поиска инновационных решений.
Коалиция была создана Египтом на COP27 как средство обеспечения того, чтобы вопросы устойчивости учитывались должным образом во всех долговых инструментах, и как средство обеспечения справедливости в отношении долга, а также доступного и предсказуемого доступа к финансированию для развивающихся стран.
Г-н Педро подчеркнул, что стремление Коалиции по устойчивому долгу к реформам согласуется с Стимул ЦУР, амбициозным планом по выделению 500 миллиардов долларов в год в виде дополнительного финансирования для устойчивого развития, обнародованным Генеральным секретарем ООН Антониу Гутерришем ранее в этом году.
Высокая стоимость финансирования, низкий уровень развития
Страны сталкиваются с многочисленными проблемами, связанными с последствиями пандемии COVID-19, продолжающейся войной в Украине и растущими экономическими издержками изменения климата, среди прочих кризисов.
Министр финансов Египта Мохамед Мааит заявил, что растущий долг увеличивает дефицит финансирования для климата и развития. Для достижения нулевых выбросов и достижения ЦУР требуются триллионы долларов инвестиций в год.
Он объяснил: «Расходы на обслуживание государственного долга быстро растут по отношению к доходам. В Африке эта проблема увеличилась на 62 процента с 2014 года.
Как мы знаем из истории, последствия более высоких затрат на обслуживание долга могут быть сокрушительными для экономики. В Африке более 57 процентов стран теперь тратят больше на выплату процентов, чем на здравоохранение. Более 17% тратят на проценты больше, чем на образование».
Он добавил: «Это правда, что наши страны стремятся к развитию, и также верно, что мы стремимся ограничить изменение климата, но это трудно сделать, когда мы обременены дорогими долгами».
Коалиция по устойчивому долгу способствует сотрудничеству между странами-кредиторами и заемщиками, уделяя особое внимание устойчивости и управлению долгом. Цели Коалиции включают снижение стоимости долга, расширение доступа к государственным долговым гарантиям и смешанному финансированию, а также создание фискального пространства для инвестиций с положительными экологическими последствиями.
Поддерживая эти цели, Коалиция объединяет страны-заемщики на международных форумах по вопросам долга, представляющим общий интерес.
Поиск альтернативного финансирования
Участники обсудили практические решения по укреплению глобальной сети финансовой безопасности.
Была отмечена поддержка Коалицией по устойчивому долгу интеграции положений о непредвиденных обстоятельствах, связанных с изменением климата, в долговые контракты, поскольку на Саммите многие страны и учреждения, включая Великобританию и Всемирный банк, обязались использовать такие инструменты для снижения финансовых рисков, с которыми сталкиваются крайне уязвимые страны. .
Обмен долга также обсуждался в контексте срочной необходимости высвобождения фискального пространства. Г-н Педро подчеркнул, что «ECA поддерживает страны, стремящиеся рефинансировать свой дорогостоящий долг путем обмена долга, перенаправляя сбережения на инвестиции в ЦУР и меры по борьбе с изменением климата».
Комиссар Африканского союза по торговле и промышленности в Министерстве инфраструктуры и энергетики Альберт Мучанга заявил, что некоторые загрязнители не желают нести расходы по содействию приемлемому уровню долга, и что обещания, сделанные для Фонда убытков и ущерба, были согласованы на COP27 в Египте в последний раз.
года были получены от благотворительных организаций и правительств, но не от частного сектора, который получает выгоду от выбросов парниковых газов и не облагается налогом.
«Одна из ключевых особенностей, в которой должно быть какое-то движение, — это включение торговли выбросами углерода в международную торговлю». он сказал.
Г-н Мучанга подчеркнул поддержку Коалиции устойчивого долга Африканского союза и сказал, что Африканский союз создает механизм мониторинга долга в своем Департаменте торговли, чтобы он мог получать информацию в режиме реального времени о долговой ситуации всех государств-членов АС.
В своем выступлении г-жа Ханан Морси, заместитель исполнительного секретаря и главный экономист ЭКА, сказала, что, хотя Африка сталкивается с огромными потребностями в области развития и дефицитом финансирования, за последнее десятилетие наблюдается сокращение льготного финансирования и официальной помощи в целях развития. Это поставило африканские страны в шаткое финансовое положение.
Г-жа Морси отметила, что доля Африки в глобальном зеленом финансировании ничтожна, и есть возможность эффективно использовать этот рынок. Коалиция по устойчивому долгу могла бы помочь в этом отношении, расширив использование гарантий, улучшив структуру и надежность связанных с ними ключевых показателей эффективности и сократив расходы на их отчетность и мониторинг.
Комментируя, как финансовые учреждения могут поддерживать устойчивый долг, вице-президент Африканского банка развития по финансам Хассату Диоп Нселе сказал, что, хотя зеленые облигации хороши для диверсификации финансовых портфелей, они трудоемки с точки зрения распределения и отчетности. Она сказала: «Обмен природными ресурсами может иметь значение из-за влияния как на долг, так и на устойчивость стран, а также на то, что они могут делать с ресурсами».
Рекомендации Африканской рабочей группы высокого уровня по глобальной финансовой архитектуре включают снижение стоимости финансирования и повышение его доступности, а также необходимость пересмотра Общей концепции G20 и усиления голоса Африки на глобальных платформах.
Со своей стороны, исполнительный секретарь Экономической и социальной комиссии Организации Объединенных Наций для Западной Азии Рола Дашти заявила о важности пересмотра Общей концепции G20, которая не выполнила своих обещаний.
«Нам нужно работать над своим собственным голосом, и голос Коалиции по устойчивому долгу также должен быть слышен громко», — призвала г-жа Дашти.
Источник: ECA
Новый пылесос Eureka NEW400 для влажной/сухой уборки стоит 200 долларов и невероятно прост в использовании. Это удобное чистящее средство 2-в-1, специально разработанное для того, чтобы максимально упростить глубокую уборку — для пожилых людей, занятых родителей, молодых домовладельцев, студентов и таких людей, как я. Вы знаете, технический писатель, который весь день сидит за своим монитором, LOL.
Приблизительное время считывания: 2 минуты
Этот пылесос Eureka 2-в-1 экономит время и усилия, предлагая пользователям удобство уборки грязи и пыли с ковров на всех видах твердых полов, а также уборку грязи и беспорядка.
от паркета. Этот пылесос позволяет пользователям решать все свои потребности в уборке, а время автономной работы обеспечивает 20–30 минут непрерывной уборки за один раз, что более чем достаточно для уборки небольшого дома или большой квартиры без остановки.
КАК: Изменить системную дату в OS X …
Пожалуйста, включите JavaScript
КАК: Изменить системную дату в OS X с терминала резервуар для воды большой емкости на 600 мл. На самом деле, не нужно беспокоиться о традиционном двойном окунании в грязную воду шваброй! Система Eureka с двумя баками означает, что вы всегда чистите пресной водой, а грязная вода и мусор собираются в отдельном баке.Мощный двигатель мощностью 120 Вт и коэффициент регенерации воды ≥90% обеспечивают наилучший эффект очистки, гарантируя, что на полу не останется пятен от воды, а беспроводная конструкция и сенсорное управление облегчают работу.
Возможности глубокой уборки включают всасывание, которое удаляет мусор с твердых полов.
Дополнительным преимуществом является гибкая головка щетки, усовершенствованное поворотное рулевое управление и самодвижение, облегчающие маневрирование. Вы можете быстро менять направление движения и залезать под диваны и кровати с минимальными усилиями, поэтому уборка в труднодоступных местах теперь станет легкой задачей.
Eureka NEW400 также намного удобнее в использовании благодаря набору улучшенных функций управления, включая управление кончиками пальцев, для индивидуального управления, поэтому вы можете легко переключаться между уборкой твердых полов и ковров и контролировать уборку с помощью решения по требованию. триггер и светодиодный индикатор состояния, чтобы вы могли быть в курсе. Светодиодный индикатор состояния позволяет забыть о догадках, поскольку он позволяет узнать, когда пора перезарядить Eureka NEW400, опорожнить бак и т. д.
С помощью функции паузы вы можете остановиться по любой причине и вернуться, чтобы продолжить уборку в любое время.
Уровень шума пылесоса Eureka NEW400 составляет менее 80 децибел, что делает его тише, чем традиционные стойки, и мягким, как цилиндрический пылесос. NEW400 стоит 199,99 долларов, и на момент публикации у Amazon есть купон на скидку 20 долларов. См. ссылку ниже.
ПРИОБРЕТЕНИЕ НА AMAZON
Что вы думаете об этом новом пылесосе для сухой и влажной уборки от Eureka? Пожалуйста, поделитесь своими мыслями на любой из страниц социальных сетей, перечисленных ниже. Вы также можете оставить комментарий на нашей странице MeWe, присоединившись к социальной сети MeWe. И подпишитесь на наш канал RUMBLE, чтобы получать больше трейлеров и технических видеороликов.
*Мы используем партнерские ссылки, приносящие доход, и можем получать комиссионные за покупки, сделанные с их помощью. Указанные цены указаны в долларах США, если не указано иное, и являются точными на момент публикации. Мы часто освещаем пресс-релизы брендов, и они не являются одобрением какого-либо продукта или услуги со стороны Techaeris.
Только наши отзывы являются одобрением или его отсутствием. Подробнее читайте на нашей странице отказа от ответственности.- MeWe
- Facebook Messenger
- Facebook 9 0094
- Blogger
- Еще
Предыдущий
Десять VPN-сервисов, на которые стоит обратить внимание в 2023 году
Последние статьи
