Сегодня состоялся официальный релиз Ubuntu 18.04 LTS под кодовым именем Bionic Beaver («Бионический бобер»). По сравнению с предыдущим релизом, 17.10, изменений не так много, а вот по сравнению с LTS-предшественником, Ubuntu 16.04, их предостаточно. Сейчас мы ознакомимся с основными новшествами. GNOME Shell вместо Unity По сравнению с Ubuntu 16.04 LTS, новый релиз перешел на…
0 Идея модульности от Fedora Modularity Иллюстрация с сайта Docs.Pagure.Org Изначальные планы проекта Fedora по выпуску серверной редакции Linux-дистрибутива в новом модульном представлении (в рамках Fedora Modularity) изменились: релиз Fedora 27 Server доступен в классическом виде. В рамках инициативы Fedora Modularity разработчики стремились убрать зависимость жизненных циклов приложений друг от друга и от жизненного цикла…
Наряду с выпуском основной версии Ubuntu 18.04 LTS, в сеть были добавлены образы различных других релизов из семейства Ubuntu, которые, как раз-таки, базируются на новой версии. Если говорить более точно, то для загрузки доступны: Xubuntu, Kubuntu, Ubuntu Budgie и Ubuntu MATE. В этом материале мы рассмотрим ключевые особенности каждого из релизов, и вкратце постараемся рассказать…
Наконец-то: GIMP 2.10 доступен для загрузки для Windows, MacOS и Linux. Была выпущена последняя стабильная версия этого безумно популярного инструмента для редактирования изображений с открытым исходным кодом. Очень часто его рассматривают как альтернативу Photoshop. Инструмент разрабатывался на протяжении целых 6 лет, что весьма неплохо, учитывая, что опенсорсное ПО только-только начинает обретать заслуженную популярность. Выпуск GIMP…
Apple официально прокомментировала проблему с микрофонами некоторых iPhone 7. Компания говорит, что у некоторых iPhone 7 и iPhone 7 Plus могут возникать проблемы с микрофонами. Проблемы возникают только на некоторых смартфонах после обновления до iOS 11.3 и новее. На этой неделе Apple выпустила внутренний документ, копию которого удалось получить порталу MacRumors. В документе говорится, что…
Лето уже совсем близко, а с ним и летняя жара. Чтобы отпраздновать приближение жарких летних деньков, мы собрали для вас коллекцию обоев под тёплое настроение. Украсьте свой iPhone или iPad потрясающими пейзажами с морскими волнами и яркими закатами. Разрешение обоев не подстроено ни под iPhone, ни под iPad. Они достаточно большие для обоих устройств, их…
Практически каждый владелец яблочного гаджета(ов) использует Lightning-кабель для зарядки устройств или синхронизации данных каждый день, зачастую не один раз. При этом каждому любителю продукции Apple доподлинно известно, что родной комплектный аксессуар едва ли можно сравнить с куда более качественными изделиями сторонних производителей. Facebook Twitter Вконтакте Google+ Сертифицированные (MFi) Опасения пользователей, решивших заменить штатный Lightning-кабель,…
База данных национальных идентификаторов Индии была поражена еще одним серьезным провалом в безопасности.
Известный как Aadhaar, официальные данные показывают, что база данных государственных идентификаторов заполнена идентификационной информацией и биометрической информацией — например, отпечатками пальцев и ирисовой диафрагмой — более 1,1 миллиарда зарегистрированных граждан Индии, и каждый из базы данных может использовать свои данные — или их отпечаток — для открытия банковский счет, купить сотовую SIM-карту, зачислить коммунальные услуги и даже получить государственную помощь или финансовую помощь. Даже компании, такие как Amazon и Uber, могут использовать базу данных Aadhaar для идентификации своих клиентов.
Регистрация в базе данных не является обязательной, но граждане Индии, которые не подписаны, не могут получить доступ даже к базовым государственным услугам. Другие страны намерены следовать примеру Индии.
Но система была преследована проблемами безопасности, в том числе, по данным индийской Tribune нарушения данных. Правящая партия Индии Бхаратия Джаната позже назвала отчет «поддельными новостями».
Теперь в базе данных была утечка информации о каждом держателе Aadhaar, сказал исследователь безопасности ZDNet .
Утечка данных в системе, управляемой государственной коммунальной компанией Indane, позволила кому-либо загружать конфиденциальную информацию обо всех владельцах Aadhaar, раскрывая их имена, свои уникальные 12-значные идентификационные номера и информацию об услугах, к которым они подключены, такие как их банковские реквизиты и другая личная информация.
Каран Саини (Karan Saini), исследователь по безопасности в Нью-Дели, который нашел уязвимую конечную точку, сказал, что пострадавший имеет номер Aadhaar.
Однако индийские власти ничего не делали в течение недель, чтобы исправить недостаток. ZDNet потратил более месяца, пытаясь связаться с индийскими властями, но никто не ответил на наши повторные письма.
Позднее мы связались с индийским консульством в Нью-Йорке и предупредили Деви Прасад Мишру, консула о торговле и обычаях. Более двух недель этот вопрос был подробно объяснен, и мы ответили на многие последующие вопросы. Прошла неделя, и уязвимость все еще не была исправлена. В начале этой недели мы сказали консулу, что мы опубликуем нашу статью в пятницу и запросим комментарий от правительства Индии.
Консул не ответил на это последнее письмо. На момент публикации затронутая система все еще была в сети и уязвима — но через несколько часов после того, как наш рассказ был опубликован, пораженная конечная точка была отключена.
Как и ожидалось, уникальный идентификационный орган Индии (UIDAI), правительство
«В этой истории нет правды, поскольку абсолютно не было нарушения базы данных Aadhaar UIDAI. Aadhaar остается безопасным и безопасным», — говорится в части заявление, отправленное в Twitter, которое вы можете прочитать здесь.
Поставщик коммунальных услуг Indane имеет доступ к базе данных Aadhaar через API, который компания полагается для проверки статуса клиента и проверки их личности.
Но поскольку компания не обеспечила API, можно было получить личные данные на каждом держателе Aadhaar, независимо от того, являются ли они клиентом поставщика коммунальных услуг или нет.
Конечная точка API — URL-адрес домена компании — не имел контроля доступа на месте, сказал Сайни. Задействованная конечная точка использовала жестко запрограммированный токен доступа, который при декодировании переводится в «INDAADHAARSECURESTATUS», позволяя любому запрашивать номера Aadhaar против базы данных без какой-либо дополнительной аутентификации.
Saini также обнаружил, что API не имеет ограничений по скорости, позволяя злоумышленнику циклически перебирать каждую перестановку — потенциально триллионы — чисел Aadhaar и получать информацию каждый раз, когда удачный результат ударяется.
Он пояснил, что можно было бы перечислить числа Аадхаара путем циклирования через комбинации, такие как 1234 5678 0000 до 1234 5678 9999.
«Злоумышленник обязан найти там какие-то действительные номера Aadhaar, которые затем могут быть использованы для поиска соответствующих деталей», — сказал он. И поскольку нет ограничения скорости, Сайни сказал, что он может отправлять тысячи запросов каждую минуту — только с одного компьютера.
Когда Сайни пробежал несколько номеров Aadhaar (от друзей, которые дали ему разрешение) через конечную точку, ответ сервера включал полное имя владельца Aadhaar и его потребительский номер — уникальный номер клиента, используемый Инданом. В ответе также содержится информация о связанных банковских счетах, сказал Саини. Скриншоты, увиденные ZDNet раскрывают информацию о том, какой банк использует этот человек, хотя никакая другая банковская информация не была возвращена.
Это, похоже, противоречит чириканье UIDAI, в котором говорилось: «База данных Aadhaar не хранит никакой информации о банковских счетах».
Еще один твит в тот же день Рави Шанкар Прасад, министр Индии по электронике и информационным технологиям, также сказал: «Aadhaar не сохраняет данные вашего банковского счета».
Конечная точка не просто извлекала данные о клиентах поставщика коммунальных услуг; API позволил получить доступ к информации владельцев Aadhaar, которые также имеют связи с другими коммунальными компаниями.
«Из запросов, которые были отправлены для проверки проблемы ограничения скорости и определения возможности спотыкания по действительным номерам Aadhaar, я обнаружил, что эта информация не извлекается из статической базы данных или разового захвата данных, но явно обновленный — с 2014 года до середины 2017 года », — сказал он ZDNet . «Я не могу предположить, является ли это UIDAI, который предоставляет эту информацию [the utility provider]или если банки или газовые компании, но кажется, что доступна вся информация, без аутентификации — без ограничения скорости, ничего.»
. Эти данные на первый взгляд могут быть не такими чувствительными, как утечка или выставление биометрических данных, но тем не менее это противоречит утверждениям индийского правительства о том, что база данных безопасна.
Бывший генеральный прокурор Индии Мукул Рохтаги однажды сказал, что предыдущая утечка чисел Аадхаара «много шума из ничего».
Однако доступ к номерам Aadhaar и соответствующим им названиям увеличивает риск кражи личных данных или может привести к олицетворению.
Долгое время считалось, что кража личных данных является одной из самых больших проблем, с которыми сталкиваются как владельцы UIDAI, так и Aadhaar. Сообщалось, что связывание чисел Aadhaar с SIM-картами привело к краже денег и мошенничества.
Противоречие вокруг базы данных Aadhaar продолжается. За месяц до выборов в Индии в 2014 году потенциальный премьер-министр Нарендра Моди назвал безопасность базы данных под вопросом.
«На Aadhaar ни команда, с которой я встречался, ни PM не могли ответить на мой [questions] на угрозу безопасности, которую она может представлять. Нет никакого видения, только политический трюк», — сказал Моди в твиттере.
Теперь его правительство в настоящее время защищает схему идентификации перед Верховным судом страны. Критики назвали базу данных неконституционной.
Пока суд не примет решение по этому делу, подписка на базу данных не будет обязательной для граждан Индии.
Обновлено 24 марта: с дополнительной информацией о пораженной конечной точке, которая была отключена в течение нескольких часов публикации этого сюжета.
Зак Уиттакер можно безопасно установить на Signal и WhatsApp на 646-755-8849, а его отпечаток пальца PGP для электронной почты: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
В зависимости от жестов человека — приветственные большие пальцы, крики или безумная рукопашная маска — беспилотник может корректировать свое поведение, согласно патенту , Как описано в патенте, машина может освободить упаковку, которую она несет, изменить траекторию полета, чтобы избежать сбоев, спросить у людей вопрос или прервать доставку.
Джек М. Жермен 23 марта 2018 года 11:03 утра PT ] ZevenOS 'Neptune 5.0, выпущенный в начале этого месяца, предлагает освежающий возьмите классический дистрибутив Linux на базе KDE. Neptune 5 Refresh заменяет версию 4.5 и закрывает спящий период, который не выпускал новых выпусков более двух лет. Ожидание может стоить того, чтобы поклонники Linux были посвящены…