Пароля недостаточно — поговорим о разных видах 2FA
Согласно статистике Verizon, в 81% случаев причиной утечек данных становятся слабые пароли. Самый простой и надёжный способ защитить себя — использовать двухфакторную аутентификацию (2FA).
Пароль — это только один из факторов входа. Для защиты аккаунта нужен ещё один фактор, подтверждающий не просто знание пароля, но и, например, наличие проверенного устройства. Чаще всего используется SMS или специальное приложение, которое предоставляет временный пароль. Таким образом, пользователь вводит один пароль, который он придумал и помнит, и второй, временный, который он получил в приложении или SMS. Кроме того, SMS не гарантирует конфиденциальность. Многие приложения на вашем телефоне умеют читать текст приходящих вам сообщений, что делает второй фактор менее безопасным. Одноразовый пароль можно получать в приложении, например, Google Authenticator, которое отображает необходимый пароль несколько секунд.
Также во многих сервисах можно встретить подтверждения по e-mail и по телефонному звонку. Довольно популярными остаются и решения, требующие аппаратного ключа или токена.
Несколько лет назад в России был запущен сервис Мобильный ID. Он отправляет интерактивные SMS на телефон, и для подтверждения необходимо нажать на соответствующую кнопку на экране. У этой технологии есть несколько значительных преимуществ: информацию нельзя перехватить и нельзя подделать, а подтверждение нажатием удобнее, чем переписывание кода из SMS, но при этом для площадки требуется больше действий, чтобы подключить такой сервис.
Ещё один простой способ защищённого входа — по картинке с помощью приложения Яндекс Ключ, компания представила эту возможность в октябре. Существуют и другие похожие примеры. Например, войти в онлайн-кинотеатр на телевизоре можно с помощью сканирования QR-кода. Здесь акцент сделан уже не на безопасность, а на удобство пользователя.
И это, конечно, не все возможные способы. Биометрия – тоже дополнительный фактор, но это уже совсем другая история.
Подробнее о 2FA: https://telegra.ph/Parolya-nedostatochno--pogovorim-o-raznyh-vidah-2FA-11-30
#2FA
Согласно статистике Verizon, в 81% случаев причиной утечек данных становятся слабые пароли. Самый простой и надёжный способ защитить себя — использовать двухфакторную аутентификацию (2FA).
Пароль — это только один из факторов входа. Для защиты аккаунта нужен ещё один фактор, подтверждающий не просто знание пароля, но и, например, наличие проверенного устройства. Чаще всего используется SMS или специальное приложение, которое предоставляет временный пароль. Таким образом, пользователь вводит один пароль, который он придумал и помнит, и второй, временный, который он получил в приложении или SMS. Кроме того, SMS не гарантирует конфиденциальность. Многие приложения на вашем телефоне умеют читать текст приходящих вам сообщений, что делает второй фактор менее безопасным. Одноразовый пароль можно получать в приложении, например, Google Authenticator, которое отображает необходимый пароль несколько секунд.
Также во многих сервисах можно встретить подтверждения по e-mail и по телефонному звонку. Довольно популярными остаются и решения, требующие аппаратного ключа или токена.
Несколько лет назад в России был запущен сервис Мобильный ID. Он отправляет интерактивные SMS на телефон, и для подтверждения необходимо нажать на соответствующую кнопку на экране. У этой технологии есть несколько значительных преимуществ: информацию нельзя перехватить и нельзя подделать, а подтверждение нажатием удобнее, чем переписывание кода из SMS, но при этом для площадки требуется больше действий, чтобы подключить такой сервис.
Ещё один простой способ защищённого входа — по картинке с помощью приложения Яндекс Ключ, компания представила эту возможность в октябре. Существуют и другие похожие примеры. Например, войти в онлайн-кинотеатр на телевизоре можно с помощью сканирования QR-кода. Здесь акцент сделан уже не на безопасность, а на удобство пользователя.
И это, конечно, не все возможные способы. Биометрия – тоже дополнительный фактор, но это уже совсем другая история.
Подробнее о 2FA: https://telegra.ph/Parolya-nedostatochno--pogovorim-o-raznyh-vidah-2FA-11-30
#2FA
Telegraph
Пароля недостаточно — поговорим о разных видах 2FA
Согласно статистике Verizon, в 81% случаев причиной утечек данных становятся слабые пароли. Самый простой и надёжный способ защитить себя — использовать двухфакторную аутентификацию (2FA). Пароль — это только один из факторов входа. Для защиты аккаунта нужен…
👍21🔥14❤13🤩2👎1🤔1
Вчера Максим Суханов, ведущий эксперт CICADA8 по форензике, выступил с докладом на SOC Tech.
SOC Tech — технологическая конференция для руководителей, аналитиков и операторов SOC. Мероприятие организаторы назвали «киберзаставой», потому что оно собирает сообщество специалистов переднего края защиты кибербезопасности. Спикеры активно делились опытом из реальных проектов.
Максим представил доклад «Подводные камни при парсинге NTFS и реестра», где он:
▫️поделился особенностями, которые могут привести к неполному получению информации в ходе реагирования на инциденты кибербезопасности;
▫️рассмотрел некоторые граничные случаи, которые не учитываются в софте для анализа артефактов из Windows-систем.
На сайте конференции можно посмотреть блиц-интервью с нашими коллегами-экспертами из разных технологических компаний.
#CICADA8
SOC Tech — технологическая конференция для руководителей, аналитиков и операторов SOC. Мероприятие организаторы назвали «киберзаставой», потому что оно собирает сообщество специалистов переднего края защиты кибербезопасности. Спикеры активно делились опытом из реальных проектов.
Максим представил доклад «Подводные камни при парсинге NTFS и реестра», где он:
▫️поделился особенностями, которые могут привести к неполному получению информации в ходе реагирования на инциденты кибербезопасности;
▫️рассмотрел некоторые граничные случаи, которые не учитываются в софте для анализа артефактов из Windows-систем.
На сайте конференции можно посмотреть блиц-интервью с нашими коллегами-экспертами из разных технологических компаний.
#CICADA8
👏8👍7🔥3❤2
Алексей Зуев, ведущий системный аналитик направления персонализированных ИИ-сервисов во Future Crew, рассказал о трендах в создании дипфейков и защите от них
Deepfake – технология, которая может создавать поддельные аудио и видео, которые выглядят и звучат как реальные. И это может стать угрозой, уже становится. В 2022 году 66% профессионалов в области кибербезопасности столкнулись с deepfake-атаками в своих организациях. Между 2019 и 2020 годами количество deepfake-контента в интернете увеличилось на 900%. Некоторые исследователи предсказывают, что к 2026 году до 90% контента в интернете может быть синтетически сгенерировано.
В ответ на это мировые расходы пользователей на безопасность и управление рисками прогнозируются на уровне 215 миллиардов долларов в 2024 году, что на 14,3% больше, чем в 2023 году. В 2023 году глобальные расходы пользователей на безопасность и управление рисками оцениваются в 188,1 миллиарда долларов. Расходы на защиту данных и облачную безопасность прогнозируются с наибольшими темпами роста в 2024 году, каждый сегмент увеличится более чем на 24% по сравнению с 2022 годом.
Но у дипфейков есть и другая сторона, которая, наоборот, помогает преодолеть физические ограничения и проблемы. Например, сервис под названием Rememory, разработанный компанией DeepBrain AI, позволяет создавать воспоминания о близких людях на основе семейных архивов и памяти знакомых. Этот сервис восстанавливает внешность и голос любимого человека, благодаря фотографиям, видео и рассказам о нём, сохраняя эмоции.
Слово года 2023 по версии Cambridge Dictionary – hallucinate, что отражает растущий интерес к генеративному искусственному интеллекту. В то же время Merriam-Webster выбрал authentic (подлинный) в качестве слова года, подчеркивая важность подлинности в эпоху дипфейков и постправды. Эти два слова года иллюстрируют дилемму, с которой мы сталкиваемся: как сохранить подлинность и доверие в мире, где всё можно подделать.
Статья Алексея: https://telegra.ph/Igra-tenej-v-cifrovom-mire-12-01
#deepfake
Deepfake – технология, которая может создавать поддельные аудио и видео, которые выглядят и звучат как реальные. И это может стать угрозой, уже становится. В 2022 году 66% профессионалов в области кибербезопасности столкнулись с deepfake-атаками в своих организациях. Между 2019 и 2020 годами количество deepfake-контента в интернете увеличилось на 900%. Некоторые исследователи предсказывают, что к 2026 году до 90% контента в интернете может быть синтетически сгенерировано.
В ответ на это мировые расходы пользователей на безопасность и управление рисками прогнозируются на уровне 215 миллиардов долларов в 2024 году, что на 14,3% больше, чем в 2023 году. В 2023 году глобальные расходы пользователей на безопасность и управление рисками оцениваются в 188,1 миллиарда долларов. Расходы на защиту данных и облачную безопасность прогнозируются с наибольшими темпами роста в 2024 году, каждый сегмент увеличится более чем на 24% по сравнению с 2022 годом.
Но у дипфейков есть и другая сторона, которая, наоборот, помогает преодолеть физические ограничения и проблемы. Например, сервис под названием Rememory, разработанный компанией DeepBrain AI, позволяет создавать воспоминания о близких людях на основе семейных архивов и памяти знакомых. Этот сервис восстанавливает внешность и голос любимого человека, благодаря фотографиям, видео и рассказам о нём, сохраняя эмоции.
Слово года 2023 по версии Cambridge Dictionary – hallucinate, что отражает растущий интерес к генеративному искусственному интеллекту. В то же время Merriam-Webster выбрал authentic (подлинный) в качестве слова года, подчеркивая важность подлинности в эпоху дипфейков и постправды. Эти два слова года иллюстрируют дилемму, с которой мы сталкиваемся: как сохранить подлинность и доверие в мире, где всё можно подделать.
Статья Алексея: https://telegra.ph/Igra-tenej-v-cifrovom-mire-12-01
#deepfake
Telegraph
Игра теней в цифровом мире
Алексей Зуев, ведущий системный аналитик направления персонализированных ИИ-сервисов во Future Crew, рассказал о трендах в создании дипфейков и защите от них Deepfake – технология, которая может создавать поддельные аудио и видео, которые выглядят и звучат…
👍13❤6🔥5💯1
Сложности покупок с чужих банковских карт. Или как антифрод спасает наши деньги
Пентестер из команды CICADA8 Михаил Жмайло рассказал, как злоумышленники могут попытаться списать деньги с вашего счёта, и как этому противостоят банки, магазины и ваш антивирус.
Банковская карта приносит много радости: можно купить жене шубу, ребёнку планшет, а себе – колбасу. Например, смотря какой лимит. Если денег на карте много и ограничений на покупки нет, то ни один мошенник не откажет себе в удовольствии завладеть доступом к ней. Настоящие бандиты играют по-крупному и действуют наверняка, а не просят, чтобы вы сами продиктовали им CVV по телефону.
У вас есть приложение банка, и не одно? И иногда вы оплачивает покупки с ноутбука? Если вы задумывались о том, как мошенники могли бы при этом списать деньги с ваших карт – спешу вас сразу огорчить и обрадовать. Во-первых, это возможно. Во-вторых, это сложно.
Казалось бы, нужно лишь доставить вирус на хост жертвы – и готово! Но не тут-то было. Наличие одних краденных куки мало, злоумышленники должны полностью сымитировать легитимный вход в аккаунт. Ни один приличный банк не пустит в свой личный кабинет, если просто скопировать куки с одного компьютера и вставить на другой. Поэтому в дело вступают специальные антидетект-браузеры, которые позволяют подменить абсолютно всю информацию об устройстве: железо, ОС, геолокация, раскладка, User-Agent и тому подобное.
Как же минимизировать риски и защитить данные карты?
🟣 Во-первых, конечно, антивирус. Именно он поможет предотвратить возможные проблемы с кражей ваших данных.
🟣 Во-вторых, лимит на покупки, который не позволит списать с вашей карты больше, чем положено.
🟣 В-третьих, PUSH или SMS-уведомления от банка для отслеживания всех операций по счету.
Статья Михаила целиком: https://telegra.ph/Slozhnosti-pokupok-s-chuzhih-bankovskih-kart-12-05
Пентестер из команды CICADA8 Михаил Жмайло рассказал, как злоумышленники могут попытаться списать деньги с вашего счёта, и как этому противостоят банки, магазины и ваш антивирус.
Банковская карта приносит много радости: можно купить жене шубу, ребёнку планшет, а себе – колбасу. Например, смотря какой лимит. Если денег на карте много и ограничений на покупки нет, то ни один мошенник не откажет себе в удовольствии завладеть доступом к ней. Настоящие бандиты играют по-крупному и действуют наверняка, а не просят, чтобы вы сами продиктовали им CVV по телефону.
У вас есть приложение банка, и не одно? И иногда вы оплачивает покупки с ноутбука? Если вы задумывались о том, как мошенники могли бы при этом списать деньги с ваших карт – спешу вас сразу огорчить и обрадовать. Во-первых, это возможно. Во-вторых, это сложно.
Казалось бы, нужно лишь доставить вирус на хост жертвы – и готово! Но не тут-то было. Наличие одних краденных куки мало, злоумышленники должны полностью сымитировать легитимный вход в аккаунт. Ни один приличный банк не пустит в свой личный кабинет, если просто скопировать куки с одного компьютера и вставить на другой. Поэтому в дело вступают специальные антидетект-браузеры, которые позволяют подменить абсолютно всю информацию об устройстве: железо, ОС, геолокация, раскладка, User-Agent и тому подобное.
Как же минимизировать риски и защитить данные карты?
Статья Михаила целиком: https://telegra.ph/Slozhnosti-pokupok-s-chuzhih-bankovskih-kart-12-05
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Сложности покупок с чужих банковских карт
Пентестер из команды CICADA8 Михаил Жмайло рассказал, как злоумышленники могут попытаться списать деньги с вашего счёта, и как этому противостоят банки, магазины и ваш антивирус Банковская карта приносит много радости: можно купить жене шубу, ребёнку планшет…
👍13🔥6❤5
Пентесты — это не только проверка IT-инфраструктуры компаний на уязвимости, но и оценка защищённости физического доступа на территорию. Команда CICADA8 решает обе задачи.
Если на входе в офис нашего клиента используется система распознавания лиц, мы проверяем, можно ли её обмануть и насколько сложно это сделать. О некоторых способах проверки мы расскажем в карточках.
По результатам тестирования мы предоставляем клиенту отчёт обо всех возможных рисках и даём рекомендации, какие из них стоит принять во внимание.
#CICADA8
Если на входе в офис нашего клиента используется система распознавания лиц, мы проверяем, можно ли её обмануть и насколько сложно это сделать. О некоторых способах проверки мы расскажем в карточках.
По результатам тестирования мы предоставляем клиенту отчёт обо всех возможных рисках и даём рекомендации, какие из них стоит принять во внимание.
#CICADA8
🔥10👍4👏3☃2
Защищён ли MAC от вирусов?
Сначала стоит отметить, что вредоносное ПО на macOS несколько отличается от зловредов для других систем. Иногда это может быть даже не полноценное приложение, а маленький исполняемый файл, который чуть-чуть правит некоторые настройки системы, что, в свою очередь, позволяет атаковать владельца устройства.
Поговорим о встроенных средствах защиты в macOS и о том, как их обходят хакеры.
Благодаря отличному отделу маркетинга Apple многие считают macOS чуть ли не самой защищенной системой. И отчасти это правда. «Из коробки» с компьютером поставляется действительно много интересных средств для предотвращения заражения устройства. Например, GateKeeper предотвращает запуск неподписанного ПО. Чтобы подписать вирус, атакующий должен будет раздобыть лицензию разработчика. Это сделать, как вы понимаете, не так просто. Всё усложняется еще и тем, что если Apple узнает о распространении вирусов, подписанных этой лицензией, то документ аннулируют, что приведет к невозможности запуска зловредов.
От несанкционированного доступа вашу систему защитит FileVault, а вредоносное ПО заблокирует XProtect.
Однако, ИБ — сплошные противоборства. На каждую атаку найдётся защита, ровно как и на защиту – атака.
Подробнее об успешных атаках на Mac и о том, как Apple им противостоит: https://telegra.ph/Naskolko-sovershenna-sistema-zashchity-na-macOS-12-08
Сначала стоит отметить, что вредоносное ПО на macOS несколько отличается от зловредов для других систем. Иногда это может быть даже не полноценное приложение, а маленький исполняемый файл, который чуть-чуть правит некоторые настройки системы, что, в свою очередь, позволяет атаковать владельца устройства.
Поговорим о встроенных средствах защиты в macOS и о том, как их обходят хакеры.
Благодаря отличному отделу маркетинга Apple многие считают macOS чуть ли не самой защищенной системой. И отчасти это правда. «Из коробки» с компьютером поставляется действительно много интересных средств для предотвращения заражения устройства. Например, GateKeeper предотвращает запуск неподписанного ПО. Чтобы подписать вирус, атакующий должен будет раздобыть лицензию разработчика. Это сделать, как вы понимаете, не так просто. Всё усложняется еще и тем, что если Apple узнает о распространении вирусов, подписанных этой лицензией, то документ аннулируют, что приведет к невозможности запуска зловредов.
От несанкционированного доступа вашу систему защитит FileVault, а вредоносное ПО заблокирует XProtect.
Однако, ИБ — сплошные противоборства. На каждую атаку найдётся защита, ровно как и на защиту – атака.
Подробнее об успешных атаках на Mac и о том, как Apple им противостоит: https://telegra.ph/Naskolko-sovershenna-sistema-zashchity-na-macOS-12-08
Telegraph
ИБ — сплошные противоборства. На каждую атаку найдётся защита
Сначала стоит отметить, что вредоносное ПО на macOS несколько отличается от зловредов для других систем. Иногда это может быть даже не полноценное приложение, а маленький исполняемый файл, который чуть-чуть правит некоторые настройки системы, что, в свою…
👍22❤7☃3🔥3🤔2
This media is not supported in your browser
VIEW IN TELEGRAM
В команде CICADA8 мы накопили весомую экспертизу по анализу уязвимостей и планируем делиться ей с подрастающим поколением.
Сейчас мы формируем пул учебных заведений в разных городах, с которым будем сотрудничать в части лекций, практик и программ стажировок. Мы будем рады, если вы поможете нам, чтобы больше студентов узнали для себя много полезного в информационной безопасности.
Первую, пилотную лекцию, CPO CICADA8 Алексей Гришин уже прочитал на Дне карьеры в НИУ ВШЭ, успели поговорить о многом:
🟣 Как попасть на стажировки в лучшие компании индустрии ИБ.
🟣 Как участвовать в программах bug bounty: сколько на этом можно заработать и о каких правилах стоит знать.
🟣 Как развивать личный бренд в кибербезе.
Интересно? Тогда мы идём к вам!
Пишите на futurecrew@mts.ru с предложением провести лекцию у вас в вузе. Давайте сделаем обучение студентов ещё перспективнее!
#CICADA8
Сейчас мы формируем пул учебных заведений в разных городах, с которым будем сотрудничать в части лекций, практик и программ стажировок. Мы будем рады, если вы поможете нам, чтобы больше студентов узнали для себя много полезного в информационной безопасности.
Первую, пилотную лекцию, CPO CICADA8 Алексей Гришин уже прочитал на Дне карьеры в НИУ ВШЭ, успели поговорить о многом:
Интересно? Тогда мы идём к вам!
Пишите на futurecrew@mts.ru с предложением провести лекцию у вас в вузе. Давайте сделаем обучение студентов ещё перспективнее!
#CICADA8
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍4❤1🤝1
Мошенники «разыгрывают» новогодние билеты, чтобы украсть данные
К праздникам готовимся не только мы все (у кого есть настроение), но и мошенники. Накануне Нового года они придумали новую схему: рассылают в мессенджерах сообщения о «розыгрыше» бесплатных билетов на новогоднюю ёлку или праздничный концерт.
Ссылки в таких сообщениях ведут на фишинговый сайт с формой для ввода платёжных данных, и свои билеты люди, увы, не получают. Ещё одна подобная схема — объявления о продаже подарков по очень низким ценам, также со ссылкой на фишинговые сайты.
Как не передать свои данные мошенникам? Покупать билеты и подарки только на проверенных сайтах, не переходить по подозрительным ссылкам от незнакомых людей и не верить в подобные «розыгрыши». Только в настоящие чудеса❄️ ⛄️ ❄️
К праздникам готовимся не только мы все (у кого есть настроение), но и мошенники. Накануне Нового года они придумали новую схему: рассылают в мессенджерах сообщения о «розыгрыше» бесплатных билетов на новогоднюю ёлку или праздничный концерт.
Ссылки в таких сообщениях ведут на фишинговый сайт с формой для ввода платёжных данных, и свои билеты люди, увы, не получают. Ещё одна подобная схема — объявления о продаже подарков по очень низким ценам, также со ссылкой на фишинговые сайты.
Как не передать свои данные мошенникам? Покупать билеты и подарки только на проверенных сайтах, не переходить по подозрительным ссылкам от незнакомых людей и не верить в подобные «розыгрыши». Только в настоящие чудеса
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15☃3👍3👌3❤1😱1💅1
Опасно ли пользоваться платёжными стикерами?
После ухода Apple Pay и Google Pay из России банки начали предлагать платёжные стикеры, которые можно наклеить на чехол, чтобы платить телефоном, не доставая карточки из кошелька. Это удобно.
Но есть вопрос: а вдруг кто-то незаметно приложит к смартфону портативный терминал оплаты и спишет деньги? Это возможно, но риски для преступника значительно больше выгоды.
🟣 Стикер работает по тому же принципу, что и пластиковая карта с бесконтактным интерфейсом. Технология защиты для стикера такая же, как в полноформатной карте.
🟣 Оплаты без подтверждения PIN-кодом ограничены, обычно это суммы до 3000 рублей. Совершить дорогостоящие покупки без подтверждения не получится.
🟣 Чтобы произошло списание, требуется фиксация стикера в зоне работы NFC-ридера хоть на короткое время, что затруднительно сделать в движении.
🟣 Неподтверждённые и нехарактерные для клиента операции банк отслеживает с помощью систем антифрода.
🟣 Каждый платёжный терминал привязан к конкретному юридическому лицу, которое банк тщательно проверяет, поэтому для злоумышленника теряется эффект скрытности.
При несанкционированном списании следует незамедлительно обратиться в свой банк и в полицию — преступника быстро вычислят и доступ к его счёту будет заблокирован.
Так что кража денег со стикеров — не тот бизнес, ради которого стоит завести платёжный терминал.
Кстати, у МТС тоже есть платёжный стикер. К нему можно привязать сразу несколько банковских карт и переключаться между ними в приложении.
После ухода Apple Pay и Google Pay из России банки начали предлагать платёжные стикеры, которые можно наклеить на чехол, чтобы платить телефоном, не доставая карточки из кошелька. Это удобно.
Но есть вопрос: а вдруг кто-то незаметно приложит к смартфону портативный терминал оплаты и спишет деньги? Это возможно, но риски для преступника значительно больше выгоды.
При несанкционированном списании следует незамедлительно обратиться в свой банк и в полицию — преступника быстро вычислят и доступ к его счёту будет заблокирован.
Так что кража денег со стикеров — не тот бизнес, ради которого стоит завести платёжный терминал.
Кстати, у МТС тоже есть платёжный стикер. К нему можно привязать сразу несколько банковских карт и переключаться между ними в приложении.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤6👌3👍2
Илья Буймистров занимается исследованиями в области информационной безопасности в команде CICADA8 центра инноваций МТС. На одном из проектов он столкнулся с Shadow Defender. Программа была особенно популярной в 2000-е, не обновляется с 2020-го года, но до сих пор можно найти много обсуждений, посвящённых последствиям её установки.
Кто-то обрёл новые эмоции, безвозвратно потеряв дипломную работу или фотографии. Другие — как Илья — заскриптовали установку необходимых приложений после включения компьютера. Самая частая проблема у пользователей заключается в том, что они не знают или забывают пароль от Shadow Defender. В результате не могут управлять конфигурацией программы и теряют свои данные.
Если вы росли в 2000-х, наверняка сталкивались с этой программой в компьютерных клубах и других местах, где ПК доступен большому количеству людей. Иногда её называют антивирусом, но это не совсем точное определение. Основное преимущество Shadow Defender — свобода экспериментов с компьютером. Вы можете скачивать и запускать всё, что не запретит (или не заметит) тезка от Microsoft — Windows Defender, включая вирусы и майнеры.
Фокус в том, что все внесённые пользователем изменения удаляются после перезагрузки компьютера. Это правда может спасти, так как антивирусы иногда пропускают вредоносный софт. Он добавляется в автозагрузку и закрепляется в операционной системе. Понятное дело, Shadow Defender не защитит от утечки чувствительной информации и злонамеренного использования ПК в текущей сессии, но помешает вирусу закрепиться.
В статье на Хабре Илья рассказал о своём исследовании, в результате которого ему удалось обойти ввод пароля Shadow Defender при удалённом подключении к компьютеру. Благодаря этому можно не только получить доступ к управлению данными на чужом компьютере, но и просто восстановить доступ к своему приложению, если вы забыли пароль.
Что касается Shadow Defender, мы сообщили об уязвимости. Есть гипотетическая вероятность, что появится исправленная версия.
#CICADA8
Кто-то обрёл новые эмоции, безвозвратно потеряв дипломную работу или фотографии. Другие — как Илья — заскриптовали установку необходимых приложений после включения компьютера. Самая частая проблема у пользователей заключается в том, что они не знают или забывают пароль от Shadow Defender. В результате не могут управлять конфигурацией программы и теряют свои данные.
Если вы росли в 2000-х, наверняка сталкивались с этой программой в компьютерных клубах и других местах, где ПК доступен большому количеству людей. Иногда её называют антивирусом, но это не совсем точное определение. Основное преимущество Shadow Defender — свобода экспериментов с компьютером. Вы можете скачивать и запускать всё, что не запретит (или не заметит) тезка от Microsoft — Windows Defender, включая вирусы и майнеры.
Фокус в том, что все внесённые пользователем изменения удаляются после перезагрузки компьютера. Это правда может спасти, так как антивирусы иногда пропускают вредоносный софт. Он добавляется в автозагрузку и закрепляется в операционной системе. Понятное дело, Shadow Defender не защитит от утечки чувствительной информации и злонамеренного использования ПК в текущей сессии, но помешает вирусу закрепиться.
В статье на Хабре Илья рассказал о своём исследовании, в результате которого ему удалось обойти ввод пароля Shadow Defender при удалённом подключении к компьютеру. Благодаря этому можно не только получить доступ к управлению данными на чужом компьютере, но и просто восстановить доступ к своему приложению, если вы забыли пароль.
Что касается Shadow Defender, мы сообщили об уязвимости. Есть гипотетическая вероятность, что появится исправленная версия.
#CICADA8
Хабр
Старый софт: как мы обошли запрос пароля в Shadow Defender и зачем пользоваться приложением, которое не обновляется
Привет, Хабр! Меня зовут Илья Буймистров, я занимаюсь исследованиями в области информационной безопасности в команде CICADA8 центра инноваций МТС. Чтобы защищать пользователей, надо понимать, где...
🔥12👍4👏2❤1
Чтобы создавать персональные ИИ-решения, нужно знать обо всех рисках применения технологий, в которых используются речь, изображения и видео пользователей. Алексей Зуев, ведущий аналитик команды ИИ-сервисов, рассказал о том, какие новые возможности создают дипфейки, и когда их применение может привести к негативным последствиям.
Использование технологии Deepfake вызывает много вопросов в области этики и конфиденциальности. Последствия злоупотребления могут быть разрушительными как для отдельных людей, так и для общества в целом. К примеру:
⚫️ Манипулирование общественным мнением в интересах мошенников.
⚫️ Создание поддельных видео, которые могут быть использованы для мошенничества.
⚫️ Генерация и распространение ложной информации.
⚫️ Подделка видео и изображений в целях материального обогащения.
⚫️ Использование лиц знаменитостей без их согласия в фильмах 18+.
⚫️ Кибербуллинг и домогательства, создание оскорбительных, унижающих или компрометирующих материалов.
Этим можно объяснить фокус и внимание регуляторов всех стран к генеративному ИИ и связанных с технологией рисков.
Так, в Китае в этом году вступили в силу два нормативных документа (первый и второй), направленных на регулирование дипфейков и генеративного ИИ, которые призваны обеспечить безопасное развитие технологий в соответствии с общенациональными принципами.
Правила требуют от компаний, создающих контент с использованием дипфейков или контента, который может быть воспринят как реальный, включая синтез человеческого голоса, синтез изображения лица и т.д., обеспечивать точность своих моделей и алгоритмов, обеспечивать безопасность собираемых ими данных, раскрывать практики управления алгоритмами, проводить аудиты сгенерированного контента, а также промптов для его создания на предмет соответствия национальным ценностям.
Использование дипфейков запрещено при производстве и публикации новостной информации. В остальных случаях их публикация требует оценки со стороны регуляторов. Дипфейки, получившие одобрение на их публикацию и распространение, должны маркироваться специальными «водяными знаками» для исключения возможности введения общественности в заблуждение.
Статья Алексея полностью: https://telegra.ph/Deepfake-horoshij-plohoj-zloj-12-15
Использование технологии Deepfake вызывает много вопросов в области этики и конфиденциальности. Последствия злоупотребления могут быть разрушительными как для отдельных людей, так и для общества в целом. К примеру:
Этим можно объяснить фокус и внимание регуляторов всех стран к генеративному ИИ и связанных с технологией рисков.
Так, в Китае в этом году вступили в силу два нормативных документа (первый и второй), направленных на регулирование дипфейков и генеративного ИИ, которые призваны обеспечить безопасное развитие технологий в соответствии с общенациональными принципами.
Правила требуют от компаний, создающих контент с использованием дипфейков или контента, который может быть воспринят как реальный, включая синтез человеческого голоса, синтез изображения лица и т.д., обеспечивать точность своих моделей и алгоритмов, обеспечивать безопасность собираемых ими данных, раскрывать практики управления алгоритмами, проводить аудиты сгенерированного контента, а также промптов для его создания на предмет соответствия национальным ценностям.
Использование дипфейков запрещено при производстве и публикации новостной информации. В остальных случаях их публикация требует оценки со стороны регуляторов. Дипфейки, получившие одобрение на их публикацию и распространение, должны маркироваться специальными «водяными знаками» для исключения возможности введения общественности в заблуждение.
Статья Алексея полностью: https://telegra.ph/Deepfake-horoshij-plohoj-zloj-12-15
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Deepfake: хороший, плохой, злой
Чтобы создавать персональные ИИ-решения, нужно знать обо всех рисках применения технологий, в которых используются речь, изображения и видео пользователей. Алексей Зуев, ведущий аналитик команды ИИ-сервисов, рассказал о том, какие новые возможности создают…
🔥11👍9
Постквантовые схемы подписи и защита данных
В предыдущем нашем посте мы рассказали в общем о квантовой угрозе – возможности взломать современные криптографические алгоритмы с применением квантовых компьютеров. Речь идет об угрозе конфиденциальности переписки в соцсетях, мессенджерах, возможности злоумышленнику выдавать себя за другого человека, похищать токены из криптокошельков и многих других угрозах, от которых мы сейчас защищены ассиметричными криптографическим алгоритмами.
Сегодня Алина Трепачева, разработчик-исследователь направления персонализированных ИИ-сервисов во Future Crew, поделится небольшим обзором постквантовых схем подписи, которые рассматриваются в Национальном институте стандартов и технологий США (NIST). NIST в 2016 году инициировал проект по стандартизации постквантовых схем подписи и инкапсуляции ключей (про схемы инкапсуляции ключей расскажем в следующем посте), в основе которых лежат принципиально другие математические задачи. Чаще всего это задача поиска короткого вектора в целочисленной решетке или задача декодирования случайного линейного кода. Они вычислительно сложны как для классического, так и для квантового компьютера.
К настоящему моменту NIST завершил 3 этапа конкурса в рамках предусмотренного процесса стандартизации. Из нескольких десятков схем было отобрано 4 финалиста для стандартизации: одна схема инкапсуляции ключей CRYSTALS-KYBER и три схемы цифровой подписи CRYSTALS-Dilithium, FALCON, SPHINCS+. Все алгоритмы кроме последнего используют целочисленные решетки, тогда как SPHINCS+ построен на основе хеш-функций.
Для оценки схем, поданных на конкурс, использовались 3 основных критерия: уровень защищенности, быстродействие и объем требуемой памяти, возможность универсальной кроссплатформенной реализации на любом устройстве.
Обзор Алины: https://telegra.ph/Postkvantovye-shemy-podpisi-i-zashchita-dannyh-12-19
В предыдущем нашем посте мы рассказали в общем о квантовой угрозе – возможности взломать современные криптографические алгоритмы с применением квантовых компьютеров. Речь идет об угрозе конфиденциальности переписки в соцсетях, мессенджерах, возможности злоумышленнику выдавать себя за другого человека, похищать токены из криптокошельков и многих других угрозах, от которых мы сейчас защищены ассиметричными криптографическим алгоритмами.
Сегодня Алина Трепачева, разработчик-исследователь направления персонализированных ИИ-сервисов во Future Crew, поделится небольшим обзором постквантовых схем подписи, которые рассматриваются в Национальном институте стандартов и технологий США (NIST). NIST в 2016 году инициировал проект по стандартизации постквантовых схем подписи и инкапсуляции ключей (про схемы инкапсуляции ключей расскажем в следующем посте), в основе которых лежат принципиально другие математические задачи. Чаще всего это задача поиска короткого вектора в целочисленной решетке или задача декодирования случайного линейного кода. Они вычислительно сложны как для классического, так и для квантового компьютера.
К настоящему моменту NIST завершил 3 этапа конкурса в рамках предусмотренного процесса стандартизации. Из нескольких десятков схем было отобрано 4 финалиста для стандартизации: одна схема инкапсуляции ключей CRYSTALS-KYBER и три схемы цифровой подписи CRYSTALS-Dilithium, FALCON, SPHINCS+. Все алгоритмы кроме последнего используют целочисленные решетки, тогда как SPHINCS+ построен на основе хеш-функций.
Для оценки схем, поданных на конкурс, использовались 3 основных критерия: уровень защищенности, быстродействие и объем требуемой памяти, возможность универсальной кроссплатформенной реализации на любом устройстве.
«В нашем проекте мы стремимся сделать ИИ-ассистента, которому пользователь будет полностью доверять, и ИИ-аватара, которым сможет управлять только его владелец. Поэтому вопросам защиты доступа и обеспечения конфиденциальности данных пользователя мы уделяем первостепенное внимание. Для нас постквантовая угроза не пустой звук, а с учетом современных темпов развития техники практическая реализация такой угрозы может произойти в обозримом будущем. Поэтому мы работаем над тем, чтобы заранее подготовить механизмы защиты и обезопасить наших пользователей» – комментирует Александр Сазонов, технический руководитель направления.
Обзор Алины: https://telegra.ph/Postkvantovye-shemy-podpisi-i-zashchita-dannyh-12-19
Telegraph
Постквантовые схемы подписи и защита данных
В предыдущем нашем посте мы рассказали в общем о квантовой угрозе – возможности взломать современные криптографические алгоритмы с применением квантовых компьютеров. Речь идет об угрозе конфиденциальности переписки в соцсетях, мессенджерах, возможности злоумышленнику…
👍5🔥3🤔1
Новогодние подарки от Future Crew 🎅
Готовимся к праздникам и запускаем серию из 5 конкурсов с загадками. Чтобы их отгадать, понадобятся логика, ум и сообразительность. А чтобы написать ответ раньше всех — ещё и скорость. Победители получат набор мерча от Future Crew!
Что входит в праздничный зимний набор?
❄️ Гирлянда
❄️ Термокружка
❄️ Пауэрбанк
❄️ Носки
❄️ Сумка-шоппер, чтобы всё это сложить
Первую загадку ждите уже скоро 🐉
Полные правила конкурса здесь, есть несколько важных моментов ☝
Готовимся к праздникам и запускаем серию из 5 конкурсов с загадками. Чтобы их отгадать, понадобятся логика, ум и сообразительность. А чтобы написать ответ раньше всех — ещё и скорость. Победители получат набор мерча от Future Crew!
Что входит в праздничный зимний набор?
Первую загадку ждите уже скоро 🐉
Полные правила конкурса здесь, есть несколько важных моментов ☝
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🎉8🎄4☃3🐳1
Новый год всё ближе, и мы подготовили подарки — мерч Future Crew. Тот, кто раньше всех даст правильный ответ, получит зимний набор мерча.
Задачка №1 🍊
В университете взломали компьютерную систему. Из множества подозреваемых полиция выделила пятерых студентов. Их вызвали и поговорили с каждым. Все их заявления были записаны.
Каждый студент сделал три заявления. Одно из трёх заявлений — ложь, а остальные два — правда.
Вопрос: кто взломал систему университета?
Заявления студентов мы приложили в карточках. Пишите свои варианты в комментариях!
P.S. Напомним, полные правила игры здесь.
Задачка №1 🍊
В университете взломали компьютерную систему. Из множества подозреваемых полиция выделила пятерых студентов. Их вызвали и поговорили с каждым. Все их заявления были записаны.
Каждый студент сделал три заявления. Одно из трёх заявлений — ложь, а остальные два — правда.
Вопрос: кто взломал систему университета?
Заявления студентов мы приложили в карточках. Пишите свои варианты в комментариях!
P.S. Напомним, полные правила игры здесь.
❤11🔥11👍8😁1