Атака SnailLoad вычисляет, какое видео на YouTube вы смотрели

Атака SnailLoad вычисляет, какое видео на YouTube вы смотрели

Атака SnailLoad вычисляет, какое видео на YouTube вы смотрели

Группа специалистов из Грацского Технического Университета рассказала о новом векторе атаки — SnailLoad. Согласно описанию, она позволяет удалённому злоумышленнику вычислить контент и веб-сайты, которые просматривает пользователь, не имея прямой доступ к его сетевому трафику.

Ранее такого рода атаки предполагали взлом Wi-Fi-соединения в непосредственной близости от целевого пользователя или же реализации принципа «Человек посередине» (MitM).

Однако вектор SnailLoad более эффективен, поскольку не требует выполнения кода в системе жертвы и не нуждается в MitM.

В опубликованном исследователями примере видно, как SnailLoad может использоваться для вычисления просмотренного на YouTube видеоролика и посещаемых веб-сайтов.

Чтобы запустить SnailLoad, условный киберпреступник должен измерить сетевую задержку для ряда видео, размещённых на YouTube, и сайтов, которые может просматривать условная жертва. Измерив эти задержки, атакующий может создать цифровой отпечаток для каждого из них.

После этого злоумышленник должен обманом заставить пользователя загрузить набор данных с вредоносного сервера. Например, можно попросить скачать файл, но атака сработает и с изображениями, рекламными объявлениями, стилями и даже шрифтами.

«Самая опасная часть атаки заключается в том, что TCP-сервер может тайно получать данные о задержке от любых подключаемых клиентов», — объясняет Стефан Гаст, один из исследователей.

 

Посвящённую SnailLoad статью можно найти по этому адресу (PDF). Специалисты также подняли специальный сайт, где лежит демо.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Айтишники чаще других приукрашивают свои навыки в резюме

Почти две трети российских компаний сталкивались с недостоверными данными в резюме соискателей. Чаще всего преувеличивают свои навыки топ-менеджеры, административный персонал и ИТ-специалисты. По данным hh.ru, кандидаты нередко скрывают реальный возраст, причины увольнений, частую смену работы и периоды безработицы, а также завышают уровень образования.

Как сообщили «Известия» со ссылкой на рекрутинговые сервисы, за последний год около двух третей российских работодателей выявили ложные сведения о кандидатах.

В SuperJob уточнили, что соискатели чаще всего приукрашивают уровень владения иностранными языками или специализированным программным обеспечением. Некоторые указывают в резюме несуществующие курсы, искажают информацию о наградах и поощрениях. Наиболее склонны embellish свои достижения соискатели младше 31 года, тогда как среди старших кандидатов подобное встречается значительно реже.

Как правило, обман быстро вскрывается — чаще всего во время собеседования, реже при проверке данных из трудовой книжки или обращении к предыдущим работодателям. По данным hh.ru, каждый шестой работодатель узнавал правду после проверки службой безопасности, а 9% — при анализе социальных сетей кандидата.

«Если кандидат указал в резюме недостоверные сведения, ему трудно подробно и последовательно описать реальные рабочие процессы. Конкретные вопросы позволяют быстро выявить несоответствия, — отметили в кадровом агентстве ProfiStaff. — Те, кто действительно участвовал в проектах, уверенно оперируют фактами: объемами продаж, сроками, количеством клиентов, метриками эффективности. А те, кто приукрашивает достижения, часто путаются или не могут назвать точные данные».

Больше всего склонны приписывать себе лишние заслуги управленцы, административный персонал и представители ИТ-сферы. Среди ИТ-специалистов чаще других преувеличивают программисты и разработчики, руководители проектов и тестировщики. Несколько реже приукрашивают опыт менеджеры продукта, дизайнеры, UX-специалисты и тимлиды.

Подобная практика также встречается у системных администраторов, технических писателей, аналитиков, дата-сайентистов, ИТ-директоров и руководителей аналитических подразделений.

Карьерный консультант Елена Рагозина в беседе с «Известиями» подтвердила, что ИТ-специалисты действительно нередко embellish свои резюме: «Некоторые карьерные консультанты сами советуют, что можно немного приукрасить: на чём сделать акцент, а что опустить. Но откровенная ложь может иметь уголовные последствия — прежде всего для тех, кто приобретает поддельные дипломы или лицензии».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru