Как Urbanpredator помогает во время ЧС

Если вы работаете в офисе, то наверняка проходили инструктаж по безопасности и принимали участие в учебной эвакуации. А может, сами оказывались в ситуации, когда тревога была не учебной. Не хотелось бы оказываться в таких ситуациях никогда, и всё же лучше быть к ним готовыми.

Наша интеллектуальная система контроля доступа Urbanpredator создана не только для того, чтобы никто чужой не зашёл в офис. Но и для того, чтобы в нештатной ситуации помочь службе охраны и МЧС увидеть, в каких помещениях остались люди.

Мы оцифровываем процесс эвакуации:
1️⃣ При чрезвычайной ситуации в Urbanpredator формируется оповещение сотрудников: все не только услышат громкоговоритель, но и получат персональные уведомления на смартфон. Даже те, кто сидит в переговорке с полной звукоизоляцией и в наушниках, будут знать о ЧС. В некоторых случаях оповещение по громкоговорителю использовать нельзя, и тогда используются только личные сообщения.
2️⃣ Служба безопасности будет видеть, кто находится в месте возникновения нештатной ситуации (например, вблизи очага возгорания) и где ещё в здании есть люди. Это ускорит эвакуацию и поможет проконтролировать, чтобы все покинули здание.
3️⃣ Прибывшие сотрудники МЧС узнают, в каких помещениях людям может потребоваться помощь, и смогут сразу направиться к ним.

Сейчас мы тестируем наше решение в офисных зданиях, но система контроля доступа + приложение для команды с разными ролями будут не менее эффективными для промышленных предприятий и образовательных центров. Везде, где важно не только не пропустить посторонних, но и защитить людей в экстренных случаях. По запросу мы готовы предложить варианты инсталляции.

#Urbanpredator

Как безопасно заряжать смартфон в общественных местах?

Оказаться в аэропорту с разряженным телефоном неприятно, но личные данные – пожалуй, слишком высокая цена за заряд. Вадим Шелест (@PurpleBear), ведущий эксперт отдела анализа защищённости CICADA8, рассказывает, какие есть риски при использовании общедоступного USB-порта, и как защитить свой смартфон от злоумышленников:

«Возможность взлома зарядных станций и распространения через них вредоносного ПО – это актуальная угроза с момента появления подобных устройств в публичных местах.

С точки зрения злоумышленников это идеальный сценарий: пользователи сами подключают свои девайсы к USB-концентратору зарядной станции, который по сути представляет собой интерфейс для передачи данных, позволяющий копировать содержимое файловой системы и накопителей, устанавливать приложения, использовать сетевые интерфейсы устройства и многое другое. Демонстрации подобных атак неоднократно проводились на крупнейших хакерских конференциях DEFCON и Black Hat с 2016 года, чтобы привлечь внимание к существующей проблеме и наглядно показать простоту и эффективность реализации угрозы.

Самая очевидная рекомендация для защиты данных – использовать только собственный powerbank, а если такой возможности нет, то обычную сетевую розетку 220 B. В крайнем случае, если powerbank разрядился, а под рукой не оказалось сетевого адаптера, то, прежде чем использовать для зарядки общедоступный USB-интерфейс, нужно предварительно выключить питание устройства».

Чтобы обойти антивирус и взломать компьютер, нужно всего лишь... запустить вирус в памяти. И есть несколько таких техник. О том, как с ними работать, пентестер CICADA8 Михаил Жмайло рассказал в статье на Хабре «Диск – это лава. Исследуем методы выполнения пейлоада в памяти».

Во время пентестов атакующие используют готовые инструменты: это нагрузка для Cobalt Strike, серверная часть от поднимаемого прокси-сервера или дампилка процесса lsass.exe. Все эти файлы давным-давно известны антивирусам, и любой из них не оставит без внимания факт появления вредоноса на диске.

Ключевой момент — на диске. Если научиться выполнять пейлоад в оперативной памяти, то можно пройти ниже радаров антивирусов.

P.S. А если вы пока не собираетесь ничего взламывать, то в блоге МТС на Хабре есть статьи не только о разработке, защите и способах обхода защиты систем, но и о том, к примеру, что скрывает снег на Марсе.

Как заехать на закрытую парковку, не отвлекаясь на ключи

С интеллектуальной системой управления доступом Urbanpredator авторизованные посетители смогут попадать на территорию, просто подъезжая к шлагбауму. Для аутентификации понадобится только телефон с приложением Urbanpredator.

Обычно шлагбаум можно открыть с помощью карточки-ключа, пульта дистанционного управления или по звонку на специальный номер. Реже встречаются коды доступа и видеоаналитика, определяющая номер машины. В каждом случае свои нюансы. Urbanpredator делает въезд на территорию быстрее и удобнее: шлагбаум открывается автоматически, когда человек с правом доступа рядом. При этом необязательно прерывать телефонный звонок или чистить номер машины от грязи и снега, чтобы его можно было распознать. Если вы возвращаетесь домой на такси, шлагбаум тоже откроется.

Александра Кузнецова, CPO Urbanpredator: «Для въезда нужно скачать наше приложение и зарегистрироваться. При приближении к защищённой территории приложение свяжется с системой, управляющей шлагбаумом или воротами, чтобы подтвердить личность и разрешить посещение. Благодаря мультифакторной аутентификации мы обеспечиваем защиту от посторонних, а авторизованному пользователю достаточно иметь при себе мобильный».

Систему можно использовать не только в бизнес-центрах и на промышленных объектах, но и в жилых комплексах и загородных посёлках. Домовладельцы смогут легко приглашать друзей и других посетителей, к примеру, строителей и курьеров. А Urbanpredator откроет двери.

#Urbanpredator

Команда big data Future Crew растёт очень быстро, но пока не так быстро, как нам хотелось бы. Мы попробовали сгенерировать трёх новых сотрудников с помощью нейросетей, но они получились слишком идеальными и не всегда понимали наши шутки, так что мы не сработались.

Денис Коротяев, руководитель подразделения ИИ и аналитики, рассказывает, кто нужен. Если кратко: NLP инженер, computer vision инженер и аналитик.

• В Computer vision нужно будет работать с потоковыми видео, заниматься исследованиями и программировать. Тут подробнее о технических навыках для этой позиции и задачах. Из преимуществ работы с нами: возможность экспериментировать и психолог в офисе на случай, если не получится.

• Для работы с NLP нужно очень хорошо разбираться во всех современных методах, моделях и подходах. Нам нужен человек, который готов браться за любую задачу в пределах разумного, а иногда и за пределами (мы всегда так делаем). Человек, который многие вещи пробовал, запускал и знает, как добиваться результата. А список задач и список того, что мы предлагаем, здесь.

• И о задачах для аналитика: будем формировать и проверять гипотезы, анализировать данные из разных источников и искать новые, создавать визуализации, строить дашборды. Если это как раз то, что вы любите, то здесь подробности о стеках технологий и кнопка для резюме.

О продуктах Future Crew можно прочитать на нашем сайте, но это только три крыла звездолёта, а у нас их много.

#FutureCrew #вакансии

А сколько у вас почтовых ящиков?

София Марахович, руководитель направления информационной безопасности Membrana, поделилась несколькими советами о том, как минимизировать риски утечек данных и сделать так, чтобы ваша почта не превращалась в кладбище забытых писем.

1️⃣ Отдельный e-mail для важных сервисов
Это почтовый ящик для банков, Госуслуг, налоговой. Для медицинских центров, если вам удобно получать результаты обследований на почту. Установите надёжный пароль и включите второй фактор аутентификации.

2️⃣ Разные почтовые ящики для разных сфер жизни
Возможно, вы уже так делаете: для переписки по работе одна почта, для социальных сетей и регистрации на мероприятия другая, для магазинов и услуг третья. И отдельный ящик — для вашего романа в письмах. При подобном разделении посторонние не получат доступ ко всей вашей информации сразу, если им удастся взломать один из ящиков.

3️⃣ 10-минутная почта
Если e-mail нужен вам только один раз — например, для регистрации на новом сайте — используйте временную почту. Но помните, что она удалится спустя некоторое время и в следующий раз, если вы решите вернуться на этот сайт и забудете пароль, придётся регистрироваться снова.

4️⃣ Разные логины и пароли для разных сайтов
Первое, что сделает злоумышленник с попавшей к нему парой «логин-пароль», — попытается авторизоваться с ней на разных популярных сайтах. И зря потратит время.

5️⃣ Менеджеры паролей — это удобно. И безопасно
Менеджеры паролей могут не только хранить парольные фразы в зашифрованном виде, но и генерировать комбинации символов. А ещё они умеют автоматически заполнять логин и пароль при авторизации.

Получить доступ к паролям пользователя можно только если знать парольную фразу, которая расшифровывает хранящиеся данные. Даже если злоумышленники получат доступ к базе данных менеджера паролей, расшифровать содержимое — по крайней мере, в целесообразные сроки — они не смогут.

P.S. Хотя надёжнее старой записной книжки ещё никто ничего не придумал.

Пару недель назад мы говорили о том, стоит ли пользоваться общедоступными USB-зарядками и какие есть нюансы.

Продолжим тему устройств, которые маскируются под дружелюбные: пентестер из команды CICADA8 Михаил Жмайло рассказывает о том, что такое Bad USB и как защитить от них свой ноутбук.

Спойлер: не втыкать в свой компьютер что попало, естественно.
https://telegra.ph/Bad-Usb-ataki-10-25

Ваш голос очень важен для нас

Поговорили с директором по big data Future Crew Кириллом Малковым о том, как технологии генерации голоса могут использовать мошенники, и по каким признакам их можно определить.

- Какие возможности даёт мошенникам чужой голос?
- Если примерам с дипфейками уже много лет, то подражание голосу – это либо клонирование голоса, либо генерация голоса с нуля – пока не настолько распространено. В этом году мошенники начали активнее использовать генерацию голоса для звонков и сообщений якобы от имени родного или известного человека. К примеру, голосовые сообщения от знакомых в WhatsApp, где они просят «одолжить 50 тысяч до послезавтра» или история со звонком от дочери, за которую требуют выкуп «похитители».

Интересна и недавняя история с Еленой Блиновской, создательницей марафонов личностного роста. Она сейчас под домашним арестом и без доступа к интернету. Тем временем мошенники взломали её аккаунт в Telegram, публиковали фейковые голосовые сообщения от её имени и «продавали» новый марафон со скидками. Для убедительности мошенники использовали не только генерацию голоса, но и её архивные фотографии и видео, якобы она на связи. По просьбе адвоката Елены Telegram заблокировал канал.

- Есть ли технологии, определяющие, что голос неоригинальный?
- Технологии автоматического определения voice-клонов развиваются не так активно, как могли бы, встречаются разные варианты реализации. Готовых, стабильных и крутых решений, такой полиции дипфейков, я не видел – тем более, что ещё недавно в них и не было потребности на рынке.

А для анализа изображений и определения на них следов работы нейросетей эффективные решения уже есть. Если дипфейк плохой, то это видно невооружённым взглядом. А если дипфейк хороший, то есть нет проблем с наложением света, маска гармонично сливается с оригинальным лицом и так далее, то человек может ошибиться, а вот алгоритмы смогут определить, что фотография или видео ненастоящие. Кстати, на некоторых площадках дипфейки постепенно начинают запрещать, к примеру, на Reddit и Pornhub.

- По каким признакам можно понять, что это не близкий человек в беде, а мошенники?
- Это сложно прежде всего психологически. Близкий человек в беде – а ты сомневаешься, верить ему или нет. Но когда кажется, что что-то не так, то вот аспекты, на которые стоит обратить внимание при звонке:

1️⃣ Прислушайтесь к голосу. Если некоторые окончания произносятся неправильно, если фразы обрываются, если звук как будто металлический – то эти признаки могут говорить о том, что вас пытаются обмануть. И всё же возможно, что это просто плохая связь.

2️⃣ Попробуйте поговорить с человеком на темы, которые вряд ли получится «заскриптовать» заранее. И тут технологии, которые сейчас есть, либо упрутся во время генерации и ответ будет долго формироваться, либо не смогут предложить адекватный ответ на нестандартный вопрос. Мошенники не придумают быстро, что сказать, а заготовленной сгенерированной фразы у них не будет.

С голосовыми сообщениями сложнее: при большом объёме чистых исходных данных, то есть образцов голоса и видео человека, действительно можно создать правдоподобную генерацию. Определить обман в таком случае – интересная задача, и мы подумаем над тем, чтобы создать сервис, который будет понимать, фейк это или не фейк – это выглядит совсем несложной задачей.

Мы со всех сторон развиваем направления генерации и распознавания голоса, такие технологии задействованы и в Membrana, а о новых продуктах я пока не расскажу – это на Новый год.

Если в детстве вы смотрели «Зов джунглей» и хотели сыграть за хищника – возможно, пришло время исполнить мечту и сделать это. Сыграть за хищника в команде Future Crew.

Наш городской хищник – интеллектуальная СКУД Urbanpredator – видит всех людей на закрытых территориях и помогает контролировать доступ. В то же время приложение Urbanpredator делает вход проще – телефон с пропуском даже не нужно будет доставать из кармана. Мы ищем талантливых и креативных людей, которые готовы присоединиться к нам и создавать продукт, которым мы пользуемся и сами. А затем и новые продукты.

Технический писатель
В основе чётко работающего продукта лежит чёткая и полная документация. Будет ценно, если вы умеете создавать её и на английском языке и знаете о требованиях регуляторов. Также мы создаём подробные мануалы для пользователей, которые помогают им знать все детали.

Дизайнер интерфейсов в новый продукт
У нас уже есть самый лучший дизайнер, но с появлением нового продукта задач стало в два раза больше, а значит, пора пригласить в команду ещё одного бесподобного дизайнера. Будем создавать красивые и функциональные интерфейсы для продукта, который делает будущее светлее. Детальное описание вакансии готовим, а пока можно прислать резюме сюда: futurecrew@mts.ru

Стажёр-разработчик мобильных приложений
Обычно наши эйчары ищут 30-летних людей с 30-летним опытом, но тут исключение: вакансия для студентов старших курсов или недавних выпускников. Будем вместе работать над PoC (мобильное приложение и бекэнд), внедрять и отлаживать математические алгоритмы.

#Urbanpredator #вакансии

31 октября наши друзья из компании Криптонит провели на площадке Музея криптографии встречу экспертного сообщества, посвященную квантовой угрозе – возможности взломать современные криптографические алгоритмы с применением квантовых компьютеров.

Александр Сазонов, технический руководитель направления персонализированных ИИ-сервисов во Future Crew, принял участие во встрече и рассказал нам о том, какие подходы к противодействию квантовой угрозе обсуждались.

В контексте квантовой угрозы рассматриваются в первую очередь два алгоритма:
• алгоритм Гровера, вдвое уменьшающего эффективную длину любого симметричного криптографического алгоритма;
• алгоритм Шора, ломающий классические алгоритмы с открытым ключом.

Для противодействия атакам с использованием алгоритма Гровера достаточно увеличить длину ключа в два и более раза. Поэтому считается, что такая угроза не представляет практической угрозы.

Атаки с использованием алгоритма Шора практическую угрозу несут и, по оценке экспертов, станут актуальными ориентировочно в 2028-2030 гг. К тому времени должен появиться квантовый компьютер с числом логических кубитов, в 3 раза превышающим размер ключа (в 1.5 раза превышающим размер поля). Т.е. для взлома зашифрованного ключом длиной 2048 бит (длина ключа, рекомендованная NIST, The National Institute of Standards and Technology) сообщения, должен появиться квантовый компьютер размерностью более 6150 логических кубитов. Важно отметить, что при этом количество физических кубитов в зависимости от технологии может быть на порядки больше.

Противостоять атакам с использованием квантовых компьютеров призваны т.н. постквантовые криптографические механизмы. ТК 26 (Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) Росстандарта) сейчас ведет работу над несколькими такого рода механизмами.

Статья целиком в Telegraph: https://telegra.ph/Kvantovaya-ugroza-i-kak-ej-protivostoyat-11-03

В секции «Инновации» на AM Camp выступит София Марахович, руководитель направления кибербезопасности Membrana. За 20 минут она расскажет о продукте и ответит на вопросы.

Начало секции в 14:00, мы поделимся видеозаписью выступления.

#Membrana

Не во всех вузах на направлениях информационной безопасности можно узнать о практике кибербеза, но в УрФУ можно. Наш пентестер из команды CICADA8 Михаил Жмайло во вторник прочёл лекцию для студентов бакалавриата по направлению ИБ, в которой познакомил ребят с протоколом Kerberos.

Михаил разобрал некоторые базовые атаки, принципы работы и основные, самые популярные механизмы, которые встречаются при каждом внутреннем пентесте. Старался не погружаться в уж очень страшные дебри, а рассказать всё более-менее простым и понятным человеческим языком. И само собой, будет продолжение.

А видео вот. Тут надолго. Если слушать перед сном, то вам приснится Kerberos.

P.S. Если долго загружается, то посмотреть можно в ВК по ссылке.

Порой каждый из нас в интернете задаётся вопросом: как это развидеть? Лучше не видеть изначально.

Membrana делает доступным контент, который вы хотите увидеть, при этом лишний трафик вырезается: это реклама, трекеры и вредоносные программы. О том, какой это объём данных и как это работает, мы рассказывали здесь и здесь, а сегодня посчитали, сколько нежелательного трафика приходилось в среднем на человека за период тестирования. Пока пик в августе, но скоро начнётся предновогодняя реклама.

Мы готовимся к бета-тесту, заявку на участие можно оставить здесь.

#Membrana

Похоже, мои данные утекли. Что делать?

Новости об утечках данных клиентов разных компаний появляются так часто, что они уже почти перестали пугать. С одной стороны, это только верхушка айсберга: проникновение злоумышленников в сеть компании может оставаться незамеченным месяцами. С другой – иногда хакеры говорят о доступе ко всем базам данных компании, только получив временный доступ к её сайту.

Понять, что ваши данные не только утекли, но и уже используются не по назначению, можно по звонкам, SMS и сообщениям в мессенджерах от незнакомых людей. Это могут быть и SMS об одобренных займах, и запросы подтверждения транзакций по вашей банковской карте. Или назойливые звонки от конкурентов вашего автосалона/салона красоты/медицинского центра с предложением услуг.

Что предпринять, если данные утекли, и как сделать так, чтобы они не утекали? Собрали не исчерпывающий список советов: https://telegra.ph/Pohozhe-moi-dannye-utekli-CHto-delat-11-13

Конечно, способов защитить данные и проверить, были ли утечки, гораздо больше. Если вы хотите поделиться своим опытом – расскажите об этом в комментариях.