Новый Windows-бэкдор BITSLOTH использует службу BITS для С2-связи
#C2 #Malware
Исследователи кибербезопасности выявили новый бэкдор для Windows под названием BITSLOTH, использующий Фоновую интеллектуальную службу передачи (BITS) для получения команд. Вредонос был замечен 25 июня 2024 года и связан с атакой на госучреждение в Южной Америке. BITSLOTH обладает 35 функциями, включая кейлогер, захват экрана и команды для выполнения из командной строки.
Разработка бэкдора, по оценкам, началась в декабре 2021 года, и он в основном используется для сбора данных. Его авторы могут быть китайскоговорящими, что подтверждается использованием инструмента RingQ, который применяется для шифрования вредоносных программ.
Бэкдор внедряется через библиотеку «flengine.dll» и метод DLL sideloading, используя легитимный файл FL Studio. Последняя версия BITSLOTH включает компонент для планирования, позволяющий задавать временные промежутки для работы в системе жертвы. Он также способен выполнять команды, скачивать и загружать файлы, собирать данные о нажатиях клавиш и записи экрана.
LH | Новости | Курсы | Мемы
#C2 #Malware
Исследователи кибербезопасности выявили новый бэкдор для Windows под названием BITSLOTH, использующий Фоновую интеллектуальную службу передачи (BITS) для получения команд. Вредонос был замечен 25 июня 2024 года и связан с атакой на госучреждение в Южной Америке. BITSLOTH обладает 35 функциями, включая кейлогер, захват экрана и команды для выполнения из командной строки.
Разработка бэкдора, по оценкам, началась в декабре 2021 года, и он в основном используется для сбора данных. Его авторы могут быть китайскоговорящими, что подтверждается использованием инструмента RingQ, который применяется для шифрования вредоносных программ.
Бэкдор внедряется через библиотеку «flengine.dll» и метод DLL sideloading, используя легитимный файл FL Studio. Последняя версия BITSLOTH включает компонент для планирования, позволяющий задавать временные промежутки для работы в системе жертвы. Он также способен выполнять команды, скачивать и загружать файлы, собирать данные о нажатиях клавиш и записи экрана.
LH | Новости | Курсы | Мемы
ИИ на службе у идеологии: почему все языковые модели – левоцентристы
#AI
Исследование Дэвида Розадо из Политехнического университета Отаго показало, что ведущие системы ИИ, такие как GPT-3.5 и GPT-4, имеют левоцентристские политические взгляды. Анализ 24 языковых моделей, проведенный с использованием 11 тестов, выявил прогрессивные и демократические идеалы.
Создав модификации GPT-3.5 — «LeftWingGPT» и «RightWingGPT», Розадо подтвердил, что последняя склоняется к правым взглядам. Причиной общего левого уклона моделей, по мнению ученого, может быть воздействие синтетических данных в процессе обучения.
Результаты исследования открывают дискуссию о роли ИИ в формировании общественного мнения. Примеры с автозаполнением в Google Chrome поднимают вопросы об объективности алгоритмов.
LH | Новости | Курсы | Мемы
#AI
Исследование Дэвида Розадо из Политехнического университета Отаго показало, что ведущие системы ИИ, такие как GPT-3.5 и GPT-4, имеют левоцентристские политические взгляды. Анализ 24 языковых моделей, проведенный с использованием 11 тестов, выявил прогрессивные и демократические идеалы.
Создав модификации GPT-3.5 — «LeftWingGPT» и «RightWingGPT», Розадо подтвердил, что последняя склоняется к правым взглядам. Причиной общего левого уклона моделей, по мнению ученого, может быть воздействие синтетических данных в процессе обучения.
Результаты исследования открывают дискуссию о роли ИИ в формировании общественного мнения. Примеры с автозаполнением в Google Chrome поднимают вопросы об объективности алгоритмов.
LH | Новости | Курсы | Мемы
Cloudflare Tunnels: от инструмента безопасности к вектору атак
#Cloudflare #Malware
Proofpoint отслеживает кибератаки через Cloudflare Tunnels. Злоумышленники используют функцию TryCloudflare для создания одноразовых туннелей без регистрации. Тактики атак начинаются с отправки сообщений с ссылками на вредоносные файлы, подключающимися к внешнему хранилищу через WebDAV.
Выполнение файлов запускает скрипты, которые устанавливают вредоносное ПО, часто с использованием RAT-трояна Xworm. При этом злоумышленники меняют цепочку атак, чтобы обойти защиту, сначала используя открытые скрипты, а затем маскируя код.
Атаки требуют взаимодействия жертвы, что дает шанс выявить подозрительную активность.
Популярность Cloudflare Tunnels росла в 2023 году, позволяя злоумышленникам маскировать операции.
LH | Новости | Курсы | Мемы
#Cloudflare #Malware
Proofpoint отслеживает кибератаки через Cloudflare Tunnels. Злоумышленники используют функцию TryCloudflare для создания одноразовых туннелей без регистрации. Тактики атак начинаются с отправки сообщений с ссылками на вредоносные файлы, подключающимися к внешнему хранилищу через WebDAV.
Выполнение файлов запускает скрипты, которые устанавливают вредоносное ПО, часто с использованием RAT-трояна Xworm. При этом злоумышленники меняют цепочку атак, чтобы обойти защиту, сначала используя открытые скрипты, а затем маскируя код.
Атаки требуют взаимодействия жертвы, что дает шанс выявить подозрительную активность.
Популярность Cloudflare Tunnels росла в 2023 году, позволяя злоумышленникам маскировать операции.
LH | Новости | Курсы | Мемы
Китайцы получат уникальный «сетевой номер»: новый этап цифровой идентификации
Китай вводит новые правила для защиты личной информации. Теперь у каждого жителя появится свой уникальный «сетевой номер», что поможет лучше идентифицировать людей в интернете и обезопасить их данные.
Основные положения:
- Проект разработан на основе ключевых законов Китая в области кибербезопасности и защиты данных.
- Введение «сетевого номера» (net ID) и «сетевого сертификата» (net certificate) для безопасной идентификации пользователей без раскрытия их личных данных.
- Уникальный идентификатор будет соответствовать личной информации гражданина, а сертификат будет содержать зашифрованные данные.
- Получение идентификаторов добровольное для граждан старше 14 лет.
Контроль за процессом будет осуществляться Министерством общественной безопасности и Государственным управлением интернет-информации.
LH | Новости | Курсы | Мемы
Китай вводит новые правила для защиты личной информации. Теперь у каждого жителя появится свой уникальный «сетевой номер», что поможет лучше идентифицировать людей в интернете и обезопасить их данные.
Основные положения:
- Проект разработан на основе ключевых законов Китая в области кибербезопасности и защиты данных.
- Введение «сетевого номера» (net ID) и «сетевого сертификата» (net certificate) для безопасной идентификации пользователей без раскрытия их личных данных.
- Уникальный идентификатор будет соответствовать личной информации гражданина, а сертификат будет содержать зашифрованные данные.
- Получение идентификаторов добровольное для граждан старше 14 лет.
Контроль за процессом будет осуществляться Министерством общественной безопасности и Государственным управлением интернет-информации.
LH | Новости | Курсы | Мемы
🤡5👀1
Ошибки в VoWiFi позволяли подслушивать миллионы абонентов с 2016 года
#spy #VoWiFi #MediaTek #CVE
Исследователи CISPA, SBA Research и Венского университета нашли две уязвимости в протоколе Voice over WiFi (VoWiFi), угрожающие безопасности миллионов пользователей. Уязвимости затронули 13 из 275 операторов мобильной связи, что может повлиять на 140 миллионов клиентов.
Основные проблемы:
- Неправильное использование статических криптографических ключей (10 ключей вместо случайных) позволяет злоумышленникам подслушивать звонки.
- Уязвимость связана с компонентом Evolved Packet Data Gateway (ePDG).
Также выявлены проблемы с чипами MediaTek, которые снижают уровень шифрования смартфонов. Анализ других производителей показал, что до 80% использовали устаревшие криптографические методы.
Уязвимости:
- CVD-2024-0089
- CVE-2024-20069 (CVSS: 6.5)
- CVE-2024-22064 (CVSS: 8.3)
Уже выпущены обновления для устранения этих проблем. Исследование будет представлено на USENIX Security Symposium 2024.
LH | Новости | Курсы | Мемы
#spy #VoWiFi #MediaTek #CVE
Исследователи CISPA, SBA Research и Венского университета нашли две уязвимости в протоколе Voice over WiFi (VoWiFi), угрожающие безопасности миллионов пользователей. Уязвимости затронули 13 из 275 операторов мобильной связи, что может повлиять на 140 миллионов клиентов.
Основные проблемы:
- Неправильное использование статических криптографических ключей (10 ключей вместо случайных) позволяет злоумышленникам подслушивать звонки.
- Уязвимость связана с компонентом Evolved Packet Data Gateway (ePDG).
Также выявлены проблемы с чипами MediaTek, которые снижают уровень шифрования смартфонов. Анализ других производителей показал, что до 80% использовали устаревшие криптографические методы.
Уязвимости:
- CVD-2024-0089
- CVE-2024-20069 (CVSS: 6.5)
- CVE-2024-22064 (CVSS: 8.3)
Уже выпущены обновления для устранения этих проблем. Исследование будет представлено на USENIX Security Symposium 2024.
LH | Новости | Курсы | Мемы
🤬2🤡2👍1
Красные дьяволы» вывели из строя интернет в Иране
#APT #взлом
Израильская хактивистская группа WeRedEvils взяла на себя ответственность за перебои в интернете в Иране, объявив о начале атак на системы и интернет-провайдеров страны. Группа образовалась в октябре 2023 года в ответ на атаку ХАМАСа на Израиль, что привело к войне в Газе. WeRedEvils заявили о проникновении в компьютерные системы Ирана, краже данных и сбое в интернете, передав украденную информацию израильскому правительству.
В качестве подтверждения своих действий группа указала на недоступность сайта Министерства информационных и коммуникационных технологий Ирана и других правительственных сайтов. Они также обратились к сторонникам Корпуса стражей Исламской революции с призывом остановить конфликт. Однако неясно, насколько серьезный ущерб был нанесён и действительно ли хакеры ответственны за текущие проблемы с интернетом в Иране, учитывая закрытость страны по этим вопросам. WeRedEvils уже имели опыт атак, в том числе в октябре прошлого года на электросеть Ирана.
LH | Новости | Курсы | Мемы
#APT #взлом
Израильская хактивистская группа WeRedEvils взяла на себя ответственность за перебои в интернете в Иране, объявив о начале атак на системы и интернет-провайдеров страны. Группа образовалась в октябре 2023 года в ответ на атаку ХАМАСа на Израиль, что привело к войне в Газе. WeRedEvils заявили о проникновении в компьютерные системы Ирана, краже данных и сбое в интернете, передав украденную информацию израильскому правительству.
В качестве подтверждения своих действий группа указала на недоступность сайта Министерства информационных и коммуникационных технологий Ирана и других правительственных сайтов. Они также обратились к сторонникам Корпуса стражей Исламской революции с призывом остановить конфликт. Однако неясно, насколько серьезный ущерб был нанесён и действительно ли хакеры ответственны за текущие проблемы с интернетом в Иране, учитывая закрытость страны по этим вопросам. WeRedEvils уже имели опыт атак, в том числе в октябре прошлого года на электросеть Ирана.
LH | Новости | Курсы | Мемы
🤔2
Forwarded from Life-Hack - Хакер
Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):
1. Предыдущий топ статей
2. Вторая неделе курса "Тестирование на проникновение"
3. Серия статей где рассматриваются различные методы сокрытия шелл-кода
4. Вскрытие криптоконтейнера через дамп оперативной памяти
5. Подборка утилит для обхода Deep Packet Inspection
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | Новости | Курсы | Мемы
1. Предыдущий топ статей
2. Вторая неделе курса "Тестирование на проникновение"
3. Серия статей где рассматриваются различные методы сокрытия шелл-кода
4. Вскрытие криптоконтейнера через дамп оперативной памяти
5. Подборка утилит для обхода Deep Packet Inspection
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | Новости | Курсы | Мемы
Вектор кросс-кеш атаки SLUBStick затрагивает актуальные версии ядра Linux
#linux #lpe #pentest
SLUBStick — новый вектор кросс-кеш атаки на ядро Linux, позволяющий в 99% случаев конвертировать проблемы памяти в возможность произвольного чтения и записи. Этот метод позволяет злоумышленнику повышать права в системе и выходить за пределы контейнеров.
Специалисты из Грацского технического университета продемонстрировали уязвимость на версиях ядра 5.9 и 6.2, используя девять уязвимостей с CVE-идентификаторами, которые затрагивают 32- и 64-битные системы. SLUBStick обходит современные защиты ядра, такие как SMEP, SMAP и KASLR.
Отчет о механизмах эксплуатации доступен в формате PDF, а технические детали атаки будут представлены на симпозиуме Usenix Security. SLUBStick использует уязвимости типа use-after-free и запись за пределами границ, позволяя злоумышленникам предсказывать и контролировать повторное использование памяти, что значительно повышает эффективность атаки.
LH | Новости | Курсы | Мемы
#linux #lpe #pentest
SLUBStick — новый вектор кросс-кеш атаки на ядро Linux, позволяющий в 99% случаев конвертировать проблемы памяти в возможность произвольного чтения и записи. Этот метод позволяет злоумышленнику повышать права в системе и выходить за пределы контейнеров.
Специалисты из Грацского технического университета продемонстрировали уязвимость на версиях ядра 5.9 и 6.2, используя девять уязвимостей с CVE-идентификаторами, которые затрагивают 32- и 64-битные системы. SLUBStick обходит современные защиты ядра, такие как SMEP, SMAP и KASLR.
Отчет о механизмах эксплуатации доступен в формате PDF, а технические детали атаки будут представлены на симпозиуме Usenix Security. SLUBStick использует уязвимости типа use-after-free и запись за пределами границ, позволяя злоумышленникам предсказывать и контролировать повторное использование памяти, что значительно повышает эффективность атаки.
LH | Новости | Курсы | Мемы
🤔1
TikTok пренебрегает безопасностью детей и шпионит за ними
#TikTok
Министерство юстиции США и Федеральная торговая комиссия (FTC) подали гражданский иск против TikTok и его материнской компании ByteDance, обвиняя их в нарушении закона COPPA, защищающего конфиденциальность детей в интернете.
По данным иска, компания допустила создание аккаунтов пользователями младше 13 лет без согласия родителей, несмотря на необходимость указывать дату рождения. Это позволяло юным пользователям свободно публиковать контент и взаимодействовать с другими, при этом собиратся их личная информация.
Если виновность будет доказана, TikTok может столкнуться с штрафами до 51 744 долларов за каждое нарушение в день, что в сумме может составить миллиарды долларов. Среди собираемых данных — имена, возраст, электронная почта, телефоны и местоположение детей.
Власти США давно стремятся ограничить влияние TikTok; в апреле президент Байден подписал закон о продаже американских активов компании. Генеральный директор TikTok заявил о намерении оспорить это решение.
Также 26 июля TikTok было выдвинуто обвинение в передаче конфиденциальной информации Китаю. Законодатели утверждают, что TikTok негативно влияет на психическое здоровье подростков. Платформа отвергает все обвинения и уже сталкивалась с штрафами в ЕС и Великобритании.
30 июля Сенат принял законопроект, расширяющий защиту COPPA для подростков до 17 лет, что включает запрет на целевую рекламу для несовершеннолетних и возможность удаления личной информации из соцсетей. По данным правительства, в 2022 году две трети американских подростков пользовались TikTok.
LH | Новости | Курсы | Мемы
#TikTok
Министерство юстиции США и Федеральная торговая комиссия (FTC) подали гражданский иск против TikTok и его материнской компании ByteDance, обвиняя их в нарушении закона COPPA, защищающего конфиденциальность детей в интернете.
По данным иска, компания допустила создание аккаунтов пользователями младше 13 лет без согласия родителей, несмотря на необходимость указывать дату рождения. Это позволяло юным пользователям свободно публиковать контент и взаимодействовать с другими, при этом собиратся их личная информация.
Если виновность будет доказана, TikTok может столкнуться с штрафами до 51 744 долларов за каждое нарушение в день, что в сумме может составить миллиарды долларов. Среди собираемых данных — имена, возраст, электронная почта, телефоны и местоположение детей.
Власти США давно стремятся ограничить влияние TikTok; в апреле президент Байден подписал закон о продаже американских активов компании. Генеральный директор TikTok заявил о намерении оспорить это решение.
Также 26 июля TikTok было выдвинуто обвинение в передаче конфиденциальной информации Китаю. Законодатели утверждают, что TikTok негативно влияет на психическое здоровье подростков. Платформа отвергает все обвинения и уже сталкивалась с штрафами в ЕС и Великобритании.
30 июля Сенат принял законопроект, расширяющий защиту COPPA для подростков до 17 лет, что включает запрет на целевую рекламу для несовершеннолетних и возможность удаления личной информации из соцсетей. По данным правительства, в 2022 году две трети американских подростков пользовались TikTok.
LH | Новости | Курсы | Мемы
🤬2🤡1
Обновление Google Chrome сломало Drag-and-drop из области загрузок
#Chrome
Недавнее обновление Google Chrome нарушило работу функции Drag-and-drop в области «Загрузки», что затруднило перетаскивание скачанных файлов на веб-сайты и в новые вкладки браузера. Ранее эта функция работала корректно, но после обновления версии 127.0.6533.73 пользователи начали сообщать о проблемах с перетаскиванием файлов, хотя Drag-and-drop в другие программы и на рабочий стол работает нормально.
Проблема, связанная с функцией «UIPumpImprovementsWin», возникла после внедрения улучшений производительности и затрагивает версии 127.0.6533.73 и 126.0.6478.185. Google уже отозвала эту функциональность и обещает исправить ошибки в ближайшее время.
LH | Новости | Курсы | Мемы
#Chrome
Недавнее обновление Google Chrome нарушило работу функции Drag-and-drop в области «Загрузки», что затруднило перетаскивание скачанных файлов на веб-сайты и в новые вкладки браузера. Ранее эта функция работала корректно, но после обновления версии 127.0.6533.73 пользователи начали сообщать о проблемах с перетаскиванием файлов, хотя Drag-and-drop в другие программы и на рабочий стол работает нормально.
Проблема, связанная с функцией «UIPumpImprovementsWin», возникла после внедрения улучшений производительности и затрагивает версии 127.0.6533.73 и 126.0.6478.185. Google уже отозвала эту функциональность и обещает исправить ошибки в ближайшее время.
LH | Новости | Курсы | Мемы
😁1
400 электродов и безграничные возможности: Neuralink успешно имплантировал второе устройство
#Neuralink #ИлонМаск
Компания Neuralink, основанная Илоном Маском, успешно провела вторую операцию по имплантации своего устройства для парализованных пациентов. Чип позволяет управлять цифровыми устройствами силой мысли и уже помог первому пациенту, Ноланду Арбо, играть в игры, выходить в интернет и управлять курсором.
Второму пациенту, также с травмой спинного мозга, установили 400 электродов, и операция прошла успешно. Маск рассчитывает на возможность имплантировать устройства ещё восьми пациентам в этом году.
Арбо, используя имплант, получил большую независимость, хотя после операции столкнулся с проблемой втягивания проводов, из-за чего уменьшилось количество работающих электродов. Neuralink удалось улучшить функциональность импланта, изменив алгоритм, что позволило Арбо улучшить свой рекорд по скорости управления курсором с помощью мысли даже при ограниченном количестве работающих электродов.
LH | Новости | Курсы | Мемы
#Neuralink #ИлонМаск
Компания Neuralink, основанная Илоном Маском, успешно провела вторую операцию по имплантации своего устройства для парализованных пациентов. Чип позволяет управлять цифровыми устройствами силой мысли и уже помог первому пациенту, Ноланду Арбо, играть в игры, выходить в интернет и управлять курсором.
Второму пациенту, также с травмой спинного мозга, установили 400 электродов, и операция прошла успешно. Маск рассчитывает на возможность имплантировать устройства ещё восьми пациентам в этом году.
Арбо, используя имплант, получил большую независимость, хотя после операции столкнулся с проблемой втягивания проводов, из-за чего уменьшилось количество работающих электродов. Neuralink удалось улучшить функциональность импланта, изменив алгоритм, что позволило Арбо улучшить свой рекорд по скорости управления курсором с помощью мысли даже при ограниченном количестве работающих электродов.
LH | Новости | Курсы | Мемы
😁1
20 000 камер и роутеров Ubiquiti могут раскрыть секреты владельцев
#Ubiquiti #iot
Компания Check Point Research обнаружила серьёзную уязвимость, затрагивающую более 20 000 устройств Ubiquiti, включая популярные Wi-Fi камеры G4 Instant и устройства Cloud Key+. Уязвимость позволяет злоумышленникам получить доступ к личным данным владельцев через защищённые порты, работающие на UDP.
Некоторые устройства уже были взломаны, и на них появились тревожные сообщения. Уязвимые устройства раскрывают разнообразную информацию, включая названия платформ, версии ПО и IP-адреса, что может быть использовано для атак социальной инженерии.
Несмотря на ранее выпущенные патчи, проблема не была полностью решена, и уязвимость использовалась с 2019 года для атак типа DoS. Research показал, что многие устройства по-прежнему доступны и реагируют на поддельные запросы, раскрывая информацию о владельцах, включая их полные имена и адреса.
LH | Новости | Курсы | Мемы
#Ubiquiti #iot
Компания Check Point Research обнаружила серьёзную уязвимость, затрагивающую более 20 000 устройств Ubiquiti, включая популярные Wi-Fi камеры G4 Instant и устройства Cloud Key+. Уязвимость позволяет злоумышленникам получить доступ к личным данным владельцев через защищённые порты, работающие на UDP.
Некоторые устройства уже были взломаны, и на них появились тревожные сообщения. Уязвимые устройства раскрывают разнообразную информацию, включая названия платформ, версии ПО и IP-адреса, что может быть использовано для атак социальной инженерии.
Несмотря на ранее выпущенные патчи, проблема не была полностью решена, и уязвимость использовалась с 2019 года для атак типа DoS. Research показал, что многие устройства по-прежнему доступны и реагируют на поддельные запросы, раскрывая информацию о владельцах, включая их полные имена и адреса.
LH | Новости | Курсы | Мемы
🤔1
CISA протестировала ИИ для защиты госсистем США
#AI #CISA
Министерство внутренней безопасности США (DHS) представило отчет о пилотном проекте, направленном на выявление уязвимостей в критически важных правительственных системах с использованием искусственного интеллекта (ИИ).
В период с конца 2023 года до начала 2024 года агентство CISA провело эксперимент, чтобы оценить, как ИИ может повысить точность и скорость обнаружения уязвимостей по сравнению с традиционными инструментами. В результате тестирования были сделаны следующие выводы:
- ИИ лучше используется для дополнения и улучшения существующих инструментов, чем для их замены.
- Обучение аналитиков новым возможностям ИИ требует значительного времени, а прирост эффективности может быть незначительным.
- Некоторые ИИ-инструменты могут вести себя непредсказуемо, что усложняет устранение неполадок.
CISA продолжит мониторинг и тестирование новых ИИ-инструментов, подтверждая их потенциал для улучшения безопасности критически важных систем.
LH | Новости | Курсы | Мемы
#AI #CISA
Министерство внутренней безопасности США (DHS) представило отчет о пилотном проекте, направленном на выявление уязвимостей в критически важных правительственных системах с использованием искусственного интеллекта (ИИ).
В период с конца 2023 года до начала 2024 года агентство CISA провело эксперимент, чтобы оценить, как ИИ может повысить точность и скорость обнаружения уязвимостей по сравнению с традиционными инструментами. В результате тестирования были сделаны следующие выводы:
- ИИ лучше используется для дополнения и улучшения существующих инструментов, чем для их замены.
- Обучение аналитиков новым возможностям ИИ требует значительного времени, а прирост эффективности может быть незначительным.
- Некоторые ИИ-инструменты могут вести себя непредсказуемо, что усложняет устранение неполадок.
CISA продолжит мониторинг и тестирование новых ИИ-инструментов, подтверждая их потенциал для улучшения безопасности критически важных систем.
LH | Новости | Курсы | Мемы
Закон об ИИ вступил в силу: контроль над будущим в руках человечества
#AI
Евросоюз официально ввел в действие первый в мире Закон об ИИ (AI Act), направленный на защиту «фундаментальных прав» граждан 27 стран и поддержку инвестиций в сфере ИИ.
Закон разрабатывался несколько лет и будет применяться не только к крупным американским IT-компаниям, но и к организациям, использующим ИИ. Ограничения разделены на четыре уровня риска:
1. Неприемлемый риск: Полное запрещение приложений, таких как системы социального рейтинга и прогнозирующая полиция.
2. Высокий риск: Требуются адекватные меры минимизации рисков и высокая качество обучающих данных. Примеры: автономные автомобили, медицинские устройства.
3. Ограниченный риск: Требуется прозрачность использования ИИ, например, чат-боты должны уведомлять пользователей. Примеры: чат-боты, системы оценки сотрудников.
4. Минимальный риск: Основные требования безопасности без специальных мер. Примеры: системы рекомендаций, фильтры спама.
Нарушение закона может привести к штрафам до 35 миллионов евро или 7% от мирового дохода компании. Закон вступит в силу не ранее 2026 года, с переходным периодом для существующих систем в 36 месяцев. OpenAI заявила о намерении соблюдать новые правила.
LH | Новости | Курсы | Мемы
#AI
Евросоюз официально ввел в действие первый в мире Закон об ИИ (AI Act), направленный на защиту «фундаментальных прав» граждан 27 стран и поддержку инвестиций в сфере ИИ.
Закон разрабатывался несколько лет и будет применяться не только к крупным американским IT-компаниям, но и к организациям, использующим ИИ. Ограничения разделены на четыре уровня риска:
1. Неприемлемый риск: Полное запрещение приложений, таких как системы социального рейтинга и прогнозирующая полиция.
2. Высокий риск: Требуются адекватные меры минимизации рисков и высокая качество обучающих данных. Примеры: автономные автомобили, медицинские устройства.
3. Ограниченный риск: Требуется прозрачность использования ИИ, например, чат-боты должны уведомлять пользователей. Примеры: чат-боты, системы оценки сотрудников.
4. Минимальный риск: Основные требования безопасности без специальных мер. Примеры: системы рекомендаций, фильтры спама.
Нарушение закона может привести к штрафам до 35 миллионов евро или 7% от мирового дохода компании. Закон вступит в силу не ранее 2026 года, с переходным периодом для существующих систем в 36 месяцев. OpenAI заявила о намерении соблюдать новые правила.
LH | Новости | Курсы | Мемы
👍2🤯2
Российские айтишники участвовали в разработке сети для британских подлодок
Британское Министерство обороны выяснило, что консалтер WM Reply, работающий с Rolls-Royce, использовал программистов из России и Белоруссии для разработки системы, содержащей личные данные экипажей британских атомных подлодок. Информация о разработчиках из Белоруссии появилась в 2020 году, но руководство WM Reply не уведомило заказчика из опасений закрытия проекта.
Бывший министр обороны Бен Уоллес назвал это «подрывом обороноспособности» и отметил, что это не первый случай иностранного вмешательства в цепочки поставок оборонной промышленности Великобритании. Аналитик Марион Мессмер подчеркнула риски передачи данных о местоположении подводных лодок, что может дать стратегическое преимущество потенциальным противникам.
В то же время военный эксперт Дмитрий Корнев считает риски преувеличенными, подчеркивая маловероятность разработки программного обеспечения такого уровня через российские структуры. Он также указал на возможность использования плохо проверенного программного обеспечения в британском флоте, что может представлять угрозу.
LH | Новости | Курсы | Мемы
Британское Министерство обороны выяснило, что консалтер WM Reply, работающий с Rolls-Royce, использовал программистов из России и Белоруссии для разработки системы, содержащей личные данные экипажей британских атомных подлодок. Информация о разработчиках из Белоруссии появилась в 2020 году, но руководство WM Reply не уведомило заказчика из опасений закрытия проекта.
Бывший министр обороны Бен Уоллес назвал это «подрывом обороноспособности» и отметил, что это не первый случай иностранного вмешательства в цепочки поставок оборонной промышленности Великобритании. Аналитик Марион Мессмер подчеркнула риски передачи данных о местоположении подводных лодок, что может дать стратегическое преимущество потенциальным противникам.
В то же время военный эксперт Дмитрий Корнев считает риски преувеличенными, подчеркивая маловероятность разработки программного обеспечения такого уровня через российские структуры. Он также указал на возможность использования плохо проверенного программного обеспечения в британском флоте, что может представлять угрозу.
LH | Новости | Курсы | Мемы
😎5😱2😁1
Селфи вместо пропуска: как изменится доступ на стадионы НФЛ
#Wicket #НФЛ
Национальная футбольная лига (НФЛ) и все её 32 команды внедряют технологию распознавания лиц Wicket на стадионах для проверки личности сотрудников, представителей СМИ и болельщиков. Эта мера направлена на усиление безопасности доступа к стадионам.
Система Wicket будет использоваться с предсезонного периода 8 августа. Держатели удостоверений делают селфи, которое сканируется и сверяется с базой данных для подтверждения личности.
Программное обеспечение Accredit Solutions проверяет права доступа. Это повышает ответственность, давая НФЛ точное понимание, кто имеет доступ к матчам и их уровням.
Другие лиги, такие как NBA, MLB, MLS и NHL, также используют Wicket. Однако Electronic Frontier Foundation (EFF) предупреждает о рисках, таких как ложные обвинения и расовая дискриминация, подчеркивая необходимость мер предосторожности.
LH | Новости | Курсы | Мемы
#Wicket #НФЛ
Национальная футбольная лига (НФЛ) и все её 32 команды внедряют технологию распознавания лиц Wicket на стадионах для проверки личности сотрудников, представителей СМИ и болельщиков. Эта мера направлена на усиление безопасности доступа к стадионам.
Система Wicket будет использоваться с предсезонного периода 8 августа. Держатели удостоверений делают селфи, которое сканируется и сверяется с базой данных для подтверждения личности.
Программное обеспечение Accredit Solutions проверяет права доступа. Это повышает ответственность, давая НФЛ точное понимание, кто имеет доступ к матчам и их уровням.
Другие лиги, такие как NBA, MLB, MLS и NHL, также используют Wicket. Однако Electronic Frontier Foundation (EFF) предупреждает о рисках, таких как ложные обвинения и расовая дискриминация, подчеркивая необходимость мер предосторожности.
LH | Новости | Курсы | Мемы
❤3🤬1
Хакер сумел стереть данные с 13 тыс. ученических iPad и Chromebook, взломав Mobile Guardian — образовательного партнера Google — BleepingComputer
#cybersecurity #edtech
LH | Новости | Курсы | Мемы
#cybersecurity #edtech
LH | Новости | Курсы | Мемы
🤯3
Ваш Android под ударом: CVE-2024-36971 активно используется злоумышленниками
#Android #cve
В августе 2024 года разработчики Android выпустили обновления безопасности, устранившие 46 проблем, включая серьёзную уязвимость CVE-2024-36971. Эта уязвимость представляет собой ошибку использования памяти после её освобождения (Use-After-Free) и использовалась в целенаправленных атаках. Для эксплуатации требуется системные привилегии.
Google заявляет о признаках ограниченной эксплуатации уязвимости, позволяющей выполнять произвольный код без взаимодействия с пользователем на неподдерживаемых устройствах. Исходные коды исправлений будут опубликованы в репозитории AOSP в течение 48 часов. Все партнёры Android получили уведомления о проблемах как минимум за месяц до публикации обновлений.
Августовские обновления безопасности включают два набора патчей: 2024-08-01 и 2024-08-05. Последний также закрывает критическую уязвимость CVE-2024-23350 в компоненте Qualcomm.
LH | Новости | Курсы | Мемы
#Android #cve
В августе 2024 года разработчики Android выпустили обновления безопасности, устранившие 46 проблем, включая серьёзную уязвимость CVE-2024-36971. Эта уязвимость представляет собой ошибку использования памяти после её освобождения (Use-After-Free) и использовалась в целенаправленных атаках. Для эксплуатации требуется системные привилегии.
Google заявляет о признаках ограниченной эксплуатации уязвимости, позволяющей выполнять произвольный код без взаимодействия с пользователем на неподдерживаемых устройствах. Исходные коды исправлений будут опубликованы в репозитории AOSP в течение 48 часов. Все партнёры Android получили уведомления о проблемах как минимум за месяц до публикации обновлений.
Августовские обновления безопасности включают два набора патчей: 2024-08-01 и 2024-08-05. Последний также закрывает критическую уязвимость CVE-2024-23350 в компоненте Qualcomm.
LH | Новости | Курсы | Мемы
👍1
Электронное письмо стоило компании $41 миллион
#phishing #Interpol
Интерпол сообщил о конфискации более $41 миллиона, похищенных у сингапурской сырьевой компании в результате мошенничества с корпоративной почтой (BEC). 15 июля 2024 года компания получила поддельное письмо от «поставщика» с просьбой перевести оплату на новый банковский счет. Не подозревая об обмане, 19 июля компания перевела $42,3 миллиона на мошеннический счет. 23 июля после обнаружения мошенничества сингапурская полиция при помощи властей Восточного Тимора заморозила $39 миллионов и арестовала 7 подозреваемых, изъяв ещё $2 миллиона. Взаимодействие стало возможным благодаря механизму I-GRIP, запущенному Интерполом в 2022 году для ускорения международного сотрудничества при финансовом мошенничестве.
LH | Новости | Курсы | Мемы
#phishing #Interpol
Интерпол сообщил о конфискации более $41 миллиона, похищенных у сингапурской сырьевой компании в результате мошенничества с корпоративной почтой (BEC). 15 июля 2024 года компания получила поддельное письмо от «поставщика» с просьбой перевести оплату на новый банковский счет. Не подозревая об обмане, 19 июля компания перевела $42,3 миллиона на мошеннический счет. 23 июля после обнаружения мошенничества сингапурская полиция при помощи властей Восточного Тимора заморозила $39 миллионов и арестовала 7 подозреваемых, изъяв ещё $2 миллиона. Взаимодействие стало возможным благодаря механизму I-GRIP, запущенному Интерполом в 2022 году для ускорения международного сотрудничества при финансовом мошенничестве.
LH | Новости | Курсы | Мемы
🔥2
США планируют запретить китайское ПО в беспилотных автомобилях
#запрет #spy
Министерство торговли США планирует предложить запрет на использование китайского программного обеспечения в автономных транспортных средствах с третьим уровнем автоматизации и выше. Закон также ограничит применение китайских систем беспроводной связи и тестирование китайских беспилотников в США.
Третий уровень автоматизации означает, что автомобиль сам управляет системами безопасности в определенных условиях, но водитель должен быть готов вмешаться.
Запрет вызван озабоченностью по поводу национальной безопасности. Китайская сторона отреагировала, призывая к честной конкуренции и рыночным принципам, заявив, что будет защищать свои интересы.
Решение последовало после расследования, начатого в начале года, касающегося безопасности и сбором данных китайскими автомобилями в США.
LH | Новости | Курсы | Мемы
#запрет #spy
Министерство торговли США планирует предложить запрет на использование китайского программного обеспечения в автономных транспортных средствах с третьим уровнем автоматизации и выше. Закон также ограничит применение китайских систем беспроводной связи и тестирование китайских беспилотников в США.
Третий уровень автоматизации означает, что автомобиль сам управляет системами безопасности в определенных условиях, но водитель должен быть готов вмешаться.
Запрет вызван озабоченностью по поводу национальной безопасности. Китайская сторона отреагировала, призывая к честной конкуренции и рыночным принципам, заявив, что будет защищать свои интересы.
Решение последовало после расследования, начатого в начале года, касающегося безопасности и сбором данных китайскими автомобилями в США.
LH | Новости | Курсы | Мемы
👎2