Яндекс предлагает поискать уязвимости в сервисе каршеринга Яндекс.Драйв - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
Наш опрос



Наши новости

       
20-05-2018, 01:00
Яндекс предлагает поискать уязвимости в сервисе каршеринга Яндекс.Драйв - «Новости»
Рейтинг:
Категория: Новости

Конкурс


С 16 по 27 мая у всех желающих будет возможность изучить сервис каршеринга Яндекс.Драйв, запущенный в феврале текущего года, на предмет уязвимостей. Можно попытаться изменить логику работы сервиса, снизить цену поездки, получить доступ к персональным данным пользователей или, например, открыть машину, когда сервис это запрещает. Победители получат денежные призы.


Для участия потребуется зарегистрироваться здесь и приехать в московский офис Яндекса. Там, на парковке бизнес-центра «Мамонтов» (по адресу ул. Льва Толстого, д.14Ас2), исследователей ждут три автомобиля Яндекс.Драйва. Пользоваться предложенными автомобилями можно дважды, по два часа подряд, либо можно сразу провести один четырехчасовой сеанс.


Участвовать в конкурсе можно как в одиночку, так и командой до трех человек. Разбирать машину Яндекс.Драйва или подключаться к ней с помощью кабеля запрещено. Кроме того, участникам потребуется аккаунт Драйва — по одному на команду. Регистрация в сервисе под этим аккаунтом должна быть пройдена полностью.


Победителей выберут сотрудники Яндекс.Драйва и службы информационной безопасности Яндекса. В первую очередь при выборе будет учитываться критичность найденных проблем, а не время поиска. Награждение состоится 29 мая, в рамках ежегодной конференции Яндекса Yet another Conference, в зале «Информационная безопасность». При желании можно будет продемонстрировать использованные эксплоиты гостям конференции. Призовой фонд конкурса распределится следующим образом:


  • 1 место — 500 000 рублей;

  • 2 место — 300 000 рублей;

  • 3 место — 200 000 рублей.


Как устроен Яндекс.Драйв


Специалисты Яндекса объясняют, что машина Драйва или другого подобного сервиса отличается от обычной тем, что в ней установлен специальный блок телематики. С одной стороны, он подключен к устройству управления всей электроникой автомобиля — так называемой CAN-шине. С другой, блок находится на постоянной связи с сервером телематики. Сервер анализирует полученные с блока данные и отправляет обратно сигналы управления: открыть или закрыть автомобиль, включить зажигание, завершить аренду и др. Все перечисленные действия согласовываются с основным клиентским бэкендом, где работает биллинг, а также хранится база всех клиентов и заказов. Приложение на вашем телефоне, в свою очередь, тоже взаимодействует с клиентским бэкендом.


В Яндекс.Драйве существует и еще один компонент — платформа Яндекс.Авто для мультимедиа-систем с голосовым управлением. В нее встроен Навигатор, Музыка и Радио. Поскольку платформа работает с пользовательскими данными, мы стараемся делать все возможное, чтобы они были в безопасности и корректно удалялись с устройства между сессиями аренды.


Главные проблемы в безопасности каршерингов


Использование GPRS и EDGE

До недавнего времени каршеринговые компании — и в России, и за рубежом — использовали блоки телематики, которые исходно не предназначались для контроля за передвижением автомобилей по городу. Первопроходцы отрасли приспособили под свои нужды уже существующие устройства для сопровождения грузовиков, бензовозов, тракторов и другой тяжелой техники. Фирма, которая занималась, скажем, сельским хозяйством, могла узнать, где находится трактор, оценить скорость движения и отправить трактористу сообщение о том, что нужно ускориться.


В случае с тяжелой техникой блок телематики не считывал с CAN-шины столько же данных, как в каршеринге, и это происходило с меньшей периодичностью. Как следствие, для пересылки данных хватало 2G-модема. Канал сотовой связи 2G не только легко перехватывается (например, через поддельную базовую станцию, позволяющую подменить сигналы управления автомобилем), но и наиболее уязвим при падениях сотовой сети. Провайдеры знают, что большинство клиентов уже перешли на 3G- и LTE-устройства, считают 2G скорее техническим каналом и в случае проблем восстанавливают его в последнюю очередь. Удобная аренда накладывает иные требования — в блоках появилась поддержка LTE.


Кроме того, старые блоки позволяли наблюдать за техникой, но не управлять ей. Возможность удаленного управления машиной тоже требует дополнительных механизмов безопасности, причем не только в части защиты устройств, но и в различных интерфейсах.


Отсутствие шифрования

Блоки для тяжелой техники несовершенны еще и потому, что обладают слабой производительностью. В них нет процессора, способного поддерживать зашифрованное соединение с сервером — все управление машиной происходит через незащищенный канал. Современные блоки позволяют решить и эту проблему тоже.


Отсутствие надежности уровня больших IT-компаний

Google, Яндекс и другие игроки привыкли всеми силами обеспечивать стабильность работы сервисов. Например, распространена репликация: когда какой-нибудь из дата-центров перестает отвечать из-за аварии, то пользователи — благодаря копиям своих данных в других дата-центрах — ничего не замечают. Фирмы, которые занимаются только каршерингом, реже применяют репликацию.


Yet another Conference 2018: секция «Информационная безопасность»


Кроме того, 29 мая 2018 года компания Яндекс приглашает всех желающих посетить секцию «Информационная безопасность» на вышеупомянутой конференции Yet another Conference 2018, которая состоится в спортивном комплексе «ВТБ Ледовый дворец». Прийти могут даже те, кто не собирается искать уязвимости в каршеринге Яндекс.Драйв ?


На секции «Информационная безопасность» расскажут о том, как организовать межсервисную аутентификацию, построить защиту от фрода и избежать утечек приватных данных через умные акустические системы. К спикерам из Яндекса присоединятся специалисты из Naver (Южная Корея) и Rakuten (Япония).


Ознакомиться с программой конференции можно на официальном сайте мероприятия, а зарегистрироваться на секцию «Информационная безопасность» можно здесь.


Источник новостиgoogle.com

Конкурс С 16 по 27 мая у всех желающих будет возможность изучить сервис каршеринга Яндекс.Драйв, запущенный в феврале текущего года, на предмет уязвимостей. Можно попытаться изменить логику работы сервиса, снизить цену поездки, получить доступ к персональным данным пользователей или, например, открыть машину, когда сервис это запрещает. Победители получат денежные призы. Для участия потребуется зарегистрироваться здесь и приехать в московский офис Яндекса. Там, на парковке бизнес-центра «Мамонтов» (по адресу ул. Льва Толстого, д.14Ас2), исследователей ждут три автомобиля Яндекс.Драйва. Пользоваться предложенными автомобилями можно дважды, по два часа подряд, либо можно сразу провести один четырехчасовой сеанс. Участвовать в конкурсе можно как в одиночку, так и командой до трех человек. Разбирать машину Яндекс.Драйва или подключаться к ней с помощью кабеля запрещено. Кроме того, участникам потребуется аккаунт Драйва — по одному на команду. Регистрация в сервисе под этим аккаунтом должна быть пройдена полностью. Победителей выберут сотрудники Яндекс.Драйва и службы информационной безопасности Яндекса. В первую очередь при выборе будет учитываться критичность найденных проблем, а не время поиска. Награждение состоится 29 мая, в рамках ежегодной конференции Яндекса Yet another Conference, в зале «Информационная безопасность». При желании можно будет продемонстрировать использованные эксплоиты гостям конференции. Призовой фонд конкурса распределится следующим образом: 1 место — 500 000 рублей; 2 место — 300 000 рублей; 3 место — 200 000 рублей. Как устроен Яндекс.Драйв Специалисты Яндекса объясняют, что машина Драйва или другого подобного сервиса отличается от обычной тем, что в ней установлен специальный блок телематики. С одной стороны, он подключен к устройству управления всей электроникой автомобиля — так называемой CAN-шине. С другой, блок находится на постоянной связи с сервером телематики. Сервер анализирует полученные с блока данные и отправляет обратно сигналы управления: открыть или закрыть автомобиль, включить зажигание, завершить аренду и др. Все перечисленные действия согласовываются с основным клиентским бэкендом, где работает биллинг, а также хранится база всех клиентов и заказов. Приложение на вашем телефоне, в свою очередь, тоже взаимодействует с клиентским бэкендом. В Яндекс.Драйве существует и еще один компонент — платформа Яндекс.Авто для мультимедиа-систем с голосовым управлением. В нее встроен Навигатор, Музыка и Радио. Поскольку платформа работает с пользовательскими данными, мы стараемся делать все возможное, чтобы они были в безопасности и корректно удалялись с устройства между сессиями аренды. Главные проблемы в безопасности каршерингов Использование GPRS и EDGE До недавнего времени каршеринговые компании — и в России, и за рубежом — использовали блоки телематики, которые исходно не предназначались для контроля за передвижением автомобилей по городу. Первопроходцы отрасли приспособили под свои нужды уже существующие устройства для сопровождения грузовиков, бензовозов, тракторов и другой тяжелой техники. Фирма, которая занималась, скажем, сельским хозяйством, могла узнать, где находится трактор, оценить скорость движения и отправить трактористу сообщение о том, что нужно ускориться. В случае с тяжелой техникой блок телематики не считывал с CAN-шины столько же данных, как в каршеринге, и это происходило с меньшей периодичностью. Как следствие, для пересылки данных хватало 2G-модема. Канал сотовой связи 2G не только легко перехватывается (например, через поддельную базовую станцию, позволяющую подменить сигналы управления автомобилем), но и наиболее уязвим при падениях сотовой сети. Провайдеры знают, что большинство клиентов уже перешли на 3G- и LTE-устройства, считают 2G скорее техническим каналом и в случае проблем восстанавливают его в последнюю очередь. Удобная аренда накладывает иные требования — в блоках появилась поддержка LTE. Кроме того, старые блоки позволяли наблюдать за техникой, но не управлять ей. Возможность удаленного управления машиной тоже требует дополнительных механизмов безопасности, причем не только в части защиты устройств, но и в различных интерфейсах. Отсутствие шифрования Блоки для тяжелой техники несовершенны еще и потому, что обладают слабой производительностью. В них нет процессора, способного поддерживать зашифрованное соединение с сервером — все управление машиной происходит через незащищенный канал. Современные блоки позволяют решить и эту проблему тоже. Отсутствие надежности уровня больших IT-компаний Google, Яндекс и другие игроки привыкли всеми силами обеспечивать стабильность работы сервисов. Например, распространена репликация: когда какой-нибудь из дата-центров перестает отвечать из-за аварии, то пользователи — благодаря копиям своих данных в других дата-центрах — ничего не замечают. Фирмы, которые занимаются только каршерингом, реже применяют репликацию. Yet another Conference 2018: секция «Информационная безопасность» Кроме того, 29 мая 2018 года компания Яндекс приглашает всех желающих посетить секцию «Информационная безопасность» на вышеупомянутой конференции Yet another Conference 2018, которая состоится в спортивном комплексе «ВТБ Ледовый дворец». Прийти могут даже те, кто не собирается искать уязвимости в каршеринге Яндекс.Драйв ? На секции «Информационная безопасность» расскажут о том, как организовать межсервисную аутентификацию, построить защиту от фрода и избежать утечек приватных данных через умные акустические системы. К спикерам из Яндекса присоединятся специалисты из Naver (Южная Корея) и Rakuten (Япония). Ознакомиться с программой конференции можно на официальном сайте мероприятия, а зарегистрироваться на секцию «Информационная безопасность» можно здесь. Источник новости - google.com

Теги: CSS, «Информационная можно данных тяжелой блоки

Просмотров: 639
Комментариев: 0:   20-05-2018, 01:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме:
Комментарии для сайта Cackle