Новости об аутентицикации грозятся превратиться в новости о биометрии.
1. Биометрия раз. Сбер работает над бескарточной аутентификацией. Пилотный банкомат уже создан.
https://www.cnews.ru/news/top/2023-04-19_sberbank_otkazyvaetsya_ot
2. Биометрия два. Госдума приняла закон о штрафах до 1,5 млн рублей за нарушения обработки биометрических данных
https://www.kommersant.ru/doc/6380452
3. Биометрия три. У Москвы появится региональный сегмент Единой биометрической системы.
https://www.bfm.ru/news/539461
4. Биометрия четыре. Ученые ВятГУ разработали новый алгоритм выделения рисунка вен ладони для систем биометрической аутентификации. Это не первый такой алгоритм, но, возможно, более дешевый в эксплуатации.
https://ria.ru/20231206/nauka-1913946400.html
5. Биометрия пять и далее везде. Вице-премьер Дмитрий Григоренко: «Где планируем эту тему [биометрии] развивать: везде, где идет проход или посадка (работаем с РЖД, пробуем масштабировать на другие города вход в метро или общественный транспорт); работаем с “Почтой России” при получении посылок и бандеролей, открытие бизнеса (сразу по биометрии открывается бизнес, счет в банке, лицензии, разрешения); замена документов, удостоверяющих личность, либо водительского удостоверения».
https://smotrim.ru/video/2726349 (начиная с 8:45)
6. Обязательная авторизация через российские учётные записи отложена до 2025 года
https://www.vedomosti.ru/technology/news/2023/11/30/1008641-gosduma-prodlila-do-2025-goda-vvedenie-novogo-poryadka
7. Обязательная 2ФА на Госуслугах осложнила жизнь мошенникам, но они не привыкли отступать.
https://www.anti-malware.ru/news/2023-11-29-114534/42377
8. Тинькофф запустил небрендированную авторизацию на основе Tinkoff ID для партнеров.
https://www.tinkoff.ru/about/news/30112023-tinkoff-launched-unbranded-authorization-based-on-tinkoff-id-for-partners/
Руководитель Tinkoff ID Виталий Бриедис: «Tinkoff ID — это авторизация и аутентификация всех полезных клиентов и недопуск бесполезных».
9. Okta уточнила, что в результате взлома у нее украли информацию обо всех пользователях ее системы поддержки клиентов, что существенно больше, чем заявленный ранее «менее чем 1% пользователей».
https://www.bloomberg.com/news/articles/2023-11-29/okta-says-hackers-stole-data-for-all-customer-support-users
10. Захват аккаунтов Gmail и Google Drive без контакта с пользователем.
Исследователи нашли способ, как можно выдать себя за реального пользователя и захватить аккаунт. Google опроверг. Исследователи выложили PoC-эксплойт с наглядной демонстрацией.
https://www.securitylab.ru/news/544110.php
1. Биометрия раз. Сбер работает над бескарточной аутентификацией. Пилотный банкомат уже создан.
https://www.cnews.ru/news/top/2023-04-19_sberbank_otkazyvaetsya_ot
2. Биометрия два. Госдума приняла закон о штрафах до 1,5 млн рублей за нарушения обработки биометрических данных
https://www.kommersant.ru/doc/6380452
3. Биометрия три. У Москвы появится региональный сегмент Единой биометрической системы.
https://www.bfm.ru/news/539461
4. Биометрия четыре. Ученые ВятГУ разработали новый алгоритм выделения рисунка вен ладони для систем биометрической аутентификации. Это не первый такой алгоритм, но, возможно, более дешевый в эксплуатации.
https://ria.ru/20231206/nauka-1913946400.html
5. Биометрия пять и далее везде. Вице-премьер Дмитрий Григоренко: «Где планируем эту тему [биометрии] развивать: везде, где идет проход или посадка (работаем с РЖД, пробуем масштабировать на другие города вход в метро или общественный транспорт); работаем с “Почтой России” при получении посылок и бандеролей, открытие бизнеса (сразу по биометрии открывается бизнес, счет в банке, лицензии, разрешения); замена документов, удостоверяющих личность, либо водительского удостоверения».
https://smotrim.ru/video/2726349 (начиная с 8:45)
6. Обязательная авторизация через российские учётные записи отложена до 2025 года
https://www.vedomosti.ru/technology/news/2023/11/30/1008641-gosduma-prodlila-do-2025-goda-vvedenie-novogo-poryadka
7. Обязательная 2ФА на Госуслугах осложнила жизнь мошенникам, но они не привыкли отступать.
https://www.anti-malware.ru/news/2023-11-29-114534/42377
8. Тинькофф запустил небрендированную авторизацию на основе Tinkoff ID для партнеров.
https://www.tinkoff.ru/about/news/30112023-tinkoff-launched-unbranded-authorization-based-on-tinkoff-id-for-partners/
Руководитель Tinkoff ID Виталий Бриедис: «Tinkoff ID — это авторизация и аутентификация всех полезных клиентов и недопуск бесполезных».
9. Okta уточнила, что в результате взлома у нее украли информацию обо всех пользователях ее системы поддержки клиентов, что существенно больше, чем заявленный ранее «менее чем 1% пользователей».
https://www.bloomberg.com/news/articles/2023-11-29/okta-says-hackers-stole-data-for-all-customer-support-users
10. Захват аккаунтов Gmail и Google Drive без контакта с пользователем.
Исследователи нашли способ, как можно выдать себя за реального пользователя и захватить аккаунт. Google опроверг. Исследователи выложили PoC-эксплойт с наглядной демонстрацией.
https://www.securitylab.ru/news/544110.php
Добровольные объединения людей
Когда во время условного elevator pitch нам нужно быстро дать понять, сколько всего есть в управлении доступом, то про пользователей проще всего упомянуть два среза: сотрудники/внешние пользователи и физики/юрики.
Когда же доходит до детального проектирования сценариев, по каждому из этих срезов влегкую обнаруживается деталей на несколько созвонов с аналитиком.
Например, в приложении к срезу физики/юрики вспомним следующее:
▫️Телеком — любимые номера
▫️Недвижимость — домохозяйство
▫️Онлайн-кинотеатр, Х.Музыка или подобное — семейный тариф
▫️Сервис для узкого специалиста (например, дизайнера сайтов) — командный тариф на троих
Такие группы — лакомый кусок для тех, кто строит экосистемы. Так как можно направить усилия по привлечению на одного члена такой группы, а он уже сам привлечет остальных.
И они же — интересный сегмент пользователей со своими подходами к авторизации. Члены таких групп — уже не совсем отдельные физлица, но и модель юрлиц к ним применима не полностью.
🔸Некоторые права раздаются и принимаются на основе договоренности между двумя людьми и больше ничем не обусловлены. «Давай добавлю тебя в список любимых номеров? Давай».
🔸Некоторые обусловлены логикой сервиса. Например, все три участника командного тарифа дизайнеров могут создавать, редактировать, удалять и шарить работы.
🔸Некоторые регулируются законами или требуют подтверждения третьей стороной. Например, права участников домохозяйства могут быть прописаны в семейном или гражданском кодексах, требовать визы нотариуса и т. д. И если компания хочет в своем приложении цифровизировать эти права, нужно иметь это в виду.
Когда во время условного elevator pitch нам нужно быстро дать понять, сколько всего есть в управлении доступом, то про пользователей проще всего упомянуть два среза: сотрудники/внешние пользователи и физики/юрики.
Когда же доходит до детального проектирования сценариев, по каждому из этих срезов влегкую обнаруживается деталей на несколько созвонов с аналитиком.
Например, в приложении к срезу физики/юрики вспомним следующее:
▫️Телеком — любимые номера
▫️Недвижимость — домохозяйство
▫️Онлайн-кинотеатр, Х.Музыка или подобное — семейный тариф
▫️Сервис для узкого специалиста (например, дизайнера сайтов) — командный тариф на троих
Такие группы — лакомый кусок для тех, кто строит экосистемы. Так как можно направить усилия по привлечению на одного члена такой группы, а он уже сам привлечет остальных.
И они же — интересный сегмент пользователей со своими подходами к авторизации. Члены таких групп — уже не совсем отдельные физлица, но и модель юрлиц к ним применима не полностью.
🔸Некоторые права раздаются и принимаются на основе договоренности между двумя людьми и больше ничем не обусловлены. «Давай добавлю тебя в список любимых номеров? Давай».
🔸Некоторые обусловлены логикой сервиса. Например, все три участника командного тарифа дизайнеров могут создавать, редактировать, удалять и шарить работы.
🔸Некоторые регулируются законами или требуют подтверждения третьей стороной. Например, права участников домохозяйства могут быть прописаны в семейном или гражданском кодексах, требовать визы нотариуса и т. д. И если компания хочет в своем приложении цифровизировать эти права, нужно иметь это в виду.
История про историю капчи.
Рассказывает Егор Леднев, директор по сервисам RooX
Слушал подкаст «How I Built This», выпуск с участием Луиса фон Ана (Luis von Ahn), создателем капчи и сервиса Duolingo. В этом выпуске Луис снова рассказал историю, как появилась капча. 🙂 И еще это история о том, как одновременно решать две задачи так, чтобы решение одной оплачивало решение другой.
Тогда был популярен сервис Yahoo. Кто-то из сотрудников Yahoo читал лекцию в университете, в котором Луис учился и работал, и поделился болью: на сервисе стали появляться пользователи, которые хотят делать массовые рассылки. Аппетиты этих пользователей были выше бесплатной квоты писем, которая давалась каждому аккаунту, поэтому владельцы рассылок в автоматическом режиме регистрировали много аккаунтов и таким образом получали возможность бесплатно отправлять нужное им количество писем.
Yahoo хотел сохранить бесплатность почтовых ящиков, но не для таких халявщиков.
Тут и возникла задача «отличать людей от машин».
Луис фон Ан с командой придумали капчу, которая СAPTCHA, которая Completely Automated Public Turing test to tell Computers and Humans Apart, что в переводе «полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей». Предложили его Yahoo чуть ли не бесплатно, те с удовольствием его приняли и мгновенно внедрили. Но появилась проблема — на какие деньги оплачивать сервера, на которых капча крутилась.
В это время активно оцифровывались книги и другие печатные издания, в том числе New York Times. Далее последовала гениальная схема, как незаметно привлечь к оцифровке архива газеты миллионы волонтеров.
Сканируем газету, разбиваем ее на кусочки по несколько символов. Далее в капчу подсовываем два как будто не отличающихся друг от друга задания: основную картинку, для которой известна последовательность символов на ней, и кусочек NY Times. Один и тот же кусочек газеты подсовываем нескольким людям. Разделение компьютеров от людей происходит на основании того, правильно ли расшифрована основная картинка. А для кусочка газеты собираем ответы тех нескольких людей. Если они совпали между собой — ура, мы перевели в буквы кусочек картинки.
Нагрузка на капчу была такая, что один год архива NY Times таким образом оцифровывали за неделю. Сервера оплачивали из денег, которые платил NY Times за оцифровку.
P.S.
Ссылка на сайт подкаста https://wondery.com/shows/how-i-built-this/
Ссылка на выпуск на платформе Apple https://podcasts.apple.com/ru/podcast/how-i-built-this-with-guy-raz/id1150510297?i=1000637843916
Рассказывает Егор Леднев, директор по сервисам RooX
Слушал подкаст «How I Built This», выпуск с участием Луиса фон Ана (Luis von Ahn), создателем капчи и сервиса Duolingo. В этом выпуске Луис снова рассказал историю, как появилась капча. 🙂 И еще это история о том, как одновременно решать две задачи так, чтобы решение одной оплачивало решение другой.
Тогда был популярен сервис Yahoo. Кто-то из сотрудников Yahoo читал лекцию в университете, в котором Луис учился и работал, и поделился болью: на сервисе стали появляться пользователи, которые хотят делать массовые рассылки. Аппетиты этих пользователей были выше бесплатной квоты писем, которая давалась каждому аккаунту, поэтому владельцы рассылок в автоматическом режиме регистрировали много аккаунтов и таким образом получали возможность бесплатно отправлять нужное им количество писем.
Yahoo хотел сохранить бесплатность почтовых ящиков, но не для таких халявщиков.
Тут и возникла задача «отличать людей от машин».
Луис фон Ан с командой придумали капчу, которая СAPTCHA, которая Completely Automated Public Turing test to tell Computers and Humans Apart, что в переводе «полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей». Предложили его Yahoo чуть ли не бесплатно, те с удовольствием его приняли и мгновенно внедрили. Но появилась проблема — на какие деньги оплачивать сервера, на которых капча крутилась.
В это время активно оцифровывались книги и другие печатные издания, в том числе New York Times. Далее последовала гениальная схема, как незаметно привлечь к оцифровке архива газеты миллионы волонтеров.
Сканируем газету, разбиваем ее на кусочки по несколько символов. Далее в капчу подсовываем два как будто не отличающихся друг от друга задания: основную картинку, для которой известна последовательность символов на ней, и кусочек NY Times. Один и тот же кусочек газеты подсовываем нескольким людям. Разделение компьютеров от людей происходит на основании того, правильно ли расшифрована основная картинка. А для кусочка газеты собираем ответы тех нескольких людей. Если они совпали между собой — ура, мы перевели в буквы кусочек картинки.
Нагрузка на капчу была такая, что один год архива NY Times таким образом оцифровывали за неделю. Сервера оплачивали из денег, которые платил NY Times за оцифровку.
P.S.
Ссылка на сайт подкаста https://wondery.com/shows/how-i-built-this/
Ссылка на выпуск на платформе Apple https://podcasts.apple.com/ru/podcast/how-i-built-this-with-guy-raz/id1150510297?i=1000637843916
Претендент на звание "число года"
13,8% - средний показатель успеха (success rate) аутентификации с помощью паролей.
Данные Google, март-апрель 2023, на выборке ~ 100 млн
https://security.googleblog.com/2023/05/making-authentication-faster-than-ever.html
13,8% - средний показатель успеха (success rate) аутентификации с помощью паролей.
Данные Google, март-апрель 2023, на выборке ~ 100 млн
https://security.googleblog.com/2023/05/making-authentication-faster-than-ever.html
Завершаем 2023-й год.
1. Биометрия. Владислав Поволоцкий, глава Центра биометрических технологий: “Процесс передачи биометрии из российских банков в единую госсистему завершён на 80%” и многое другое по ссылке. Немного пересекается с видео вице-премьера Дмитрия Григоренко из предыдущего дайджеста.
https://iz.ru/1626163/evgenii-grachev/v-sistemu-peredany-dannye-desiatkov-millionov-rossiian
2. Биометрия. В России запустят покупку лекарств онлайн по биометрии. Для пилота созданы правовые условия, но технически еще нужно дорабатывать.
https://iz.ru/1619984/evgenii-grachev/s-litcom-poproshche-retcepturnye-lekarstva-mozhno-budet-kupit-po-biometrii-onlain
3. Мошенники. ЦБ назвал самые частые фразы телефонных мошенников
https://t.me/cbrrf/6082
4. Утечки. МосгорБТИ признали виновным по делу об утечке конфиденциальных данных.
https://cisoclub.ru/mosgorbti-priznali-vinovnym-po-delu-ob-utechke-konfidencialnyh-dannyh/
5. Пароли. Google Chrome запустит проверку надежности паролей в фоновом режиме.
В блоге Google https://blog.google/products/chrome/google-chrome-december-2023-update/
В Ъ https://www.kommersant.ru/doc/6425617
6. 2FA. В 2023 году 2FA включили 16 млн пользователей VK (плюс 21%)
https://www.anti-malware.ru/news/2023-12-25-114534/42536
7. Применение в финтехе. МКБ выдал рублевую карту на базе платежной системы "Мир" иностранному клиенту в столице Таджикистана благодаря использованию технологии удаленной идентификации.
https://mkb.ru/news/64081
Удаленную идентификацию по России банк анонсировал в сентябре 2022.
1. Биометрия. Владислав Поволоцкий, глава Центра биометрических технологий: “Процесс передачи биометрии из российских банков в единую госсистему завершён на 80%” и многое другое по ссылке. Немного пересекается с видео вице-премьера Дмитрия Григоренко из предыдущего дайджеста.
https://iz.ru/1626163/evgenii-grachev/v-sistemu-peredany-dannye-desiatkov-millionov-rossiian
2. Биометрия. В России запустят покупку лекарств онлайн по биометрии. Для пилота созданы правовые условия, но технически еще нужно дорабатывать.
https://iz.ru/1619984/evgenii-grachev/s-litcom-poproshche-retcepturnye-lekarstva-mozhno-budet-kupit-po-biometrii-onlain
3. Мошенники. ЦБ назвал самые частые фразы телефонных мошенников
https://t.me/cbrrf/6082
4. Утечки. МосгорБТИ признали виновным по делу об утечке конфиденциальных данных.
https://cisoclub.ru/mosgorbti-priznali-vinovnym-po-delu-ob-utechke-konfidencialnyh-dannyh/
5. Пароли. Google Chrome запустит проверку надежности паролей в фоновом режиме.
В блоге Google https://blog.google/products/chrome/google-chrome-december-2023-update/
В Ъ https://www.kommersant.ru/doc/6425617
6. 2FA. В 2023 году 2FA включили 16 млн пользователей VK (плюс 21%)
https://www.anti-malware.ru/news/2023-12-25-114534/42536
7. Применение в финтехе. МКБ выдал рублевую карту на базе платежной системы "Мир" иностранному клиенту в столице Таджикистана благодаря использованию технологии удаленной идентификации.
https://mkb.ru/news/64081
Удаленную идентификацию по России банк анонсировал в сентябре 2022.
Егор Леднев о Banks IT Day 2023 (TAdviser)
Конференция прошла в октябре 2023. Простите за гэп между ней и публикацией этих заметок, но с октября по ощущениям ничего заметно не изменилось. А вот с 2022 как раз изменилось, о чем ниже.
Общее настроение
1) В 2022 году все доклады были на тему “как мы будем страдать от ухода западных вендоров и что с этим делать”. В этот раз подобные страдания не были заявлены ни в темах докладов, ни даже внутри почти не всплывали. Пожалуй, можно предположить, что болезни, вызванные уходом привычных зарубежных вендоров, либо перешли из острой фазы в хроническую, либо успешно лечатся, либо вылечены. Во всяком случае, вопрос уже не такой насущный.
2) Снова вернулись доклады вида “смотрите, какие в мире появились новые технологии, возможно, они пригодятся в нашей индустрии”.
Фокус на продаже внутренних продуктов
1) Было 2 доклада разных банков “мы сделали внутренний продукт и будем продавать его рынку, как независимый”. Мне интересно проследить, что будет с этими продуктами дальше на фоне традиционного для России недоверия к вендорам и желания все делать самостоятельно. Что мотивирует выводить на рынок результаты внутренней разработки и насколько это будет массовым явлением в дальнейшем.
2) Доклад 1, о мобильном банке.
Производитель - не очень крупный банк. Мотивация - сделать меньше да лучше, но в своей нише, не конкурируя с крупными банками. Докладчику указали на некоторое противоречие: другие некрупные банки тоже будут искать свою нишу, зачем им будет нужен продукт докладчика (с его спецификой). Ответ: пусть попробуют, это стоит Х денег (заметная сумма). Возможно, что-то осталось “за кадром”, но интересно, что сам этот банк почему-то выбрал все-таки “потратить Х денег”.
3) Доклад 2, о колл-центре.
В том числе о том, что среди функций:
- автоматическое изменение исходящего номера, если с него начинает снижаться дозваниваемость;
- автоопределение, что трубку взяла Алиса, Сири или Олег, и последующий сброс звонка.
На лицо борьба различных подразделений банка друг с другом. Одни делают фильтры от спам звонков (включая Алису, Сири и Олега), другие - системы для их обхода. Все при деле )
(В этой части заметок об аутентификации и авторизации были только намеки к размышлению, в продолжении будет ближе к делу, например, про видеозвонок, который в некоторых случаях банк сочел безопаснее ввода паспортных данных).
Конференция прошла в октябре 2023. Простите за гэп между ней и публикацией этих заметок, но с октября по ощущениям ничего заметно не изменилось. А вот с 2022 как раз изменилось, о чем ниже.
Общее настроение
1) В 2022 году все доклады были на тему “как мы будем страдать от ухода западных вендоров и что с этим делать”. В этот раз подобные страдания не были заявлены ни в темах докладов, ни даже внутри почти не всплывали. Пожалуй, можно предположить, что болезни, вызванные уходом привычных зарубежных вендоров, либо перешли из острой фазы в хроническую, либо успешно лечатся, либо вылечены. Во всяком случае, вопрос уже не такой насущный.
2) Снова вернулись доклады вида “смотрите, какие в мире появились новые технологии, возможно, они пригодятся в нашей индустрии”.
Фокус на продаже внутренних продуктов
1) Было 2 доклада разных банков “мы сделали внутренний продукт и будем продавать его рынку, как независимый”. Мне интересно проследить, что будет с этими продуктами дальше на фоне традиционного для России недоверия к вендорам и желания все делать самостоятельно. Что мотивирует выводить на рынок результаты внутренней разработки и насколько это будет массовым явлением в дальнейшем.
2) Доклад 1, о мобильном банке.
Производитель - не очень крупный банк. Мотивация - сделать меньше да лучше, но в своей нише, не конкурируя с крупными банками. Докладчику указали на некоторое противоречие: другие некрупные банки тоже будут искать свою нишу, зачем им будет нужен продукт докладчика (с его спецификой). Ответ: пусть попробуют, это стоит Х денег (заметная сумма). Возможно, что-то осталось “за кадром”, но интересно, что сам этот банк почему-то выбрал все-таки “потратить Х денег”.
3) Доклад 2, о колл-центре.
В том числе о том, что среди функций:
- автоматическое изменение исходящего номера, если с него начинает снижаться дозваниваемость;
- автоопределение, что трубку взяла Алиса, Сири или Олег, и последующий сброс звонка.
На лицо борьба различных подразделений банка друг с другом. Одни делают фильтры от спам звонков (включая Алису, Сири и Олега), другие - системы для их обхода. Все при деле )
(В этой части заметок об аутентификации и авторизации были только намеки к размышлению, в продолжении будет ближе к делу, например, про видеозвонок, который в некоторых случаях банк сочел безопаснее ввода паспортных данных).
Началось с китайского блокчейна...
Алексей Хмельницкий, CEO, RooX
В конце декабря вышла новость о создании RealDID — первой в истории единой национальной платформы идентификации на основе блокчейна в Китае. Чуть позже в связи с этой новостью у нас всплыло название другого сервиса — Worldcoin. Немного покопал тему.
Один из основателей Worldcoin — известнейший товарищ Сэм Альтман, он же со-основатель OpenAI. Цель компании - научиться отделять реальных живых людей от генеративного ИИ.
Зачем это вдруг понадобилось основателю крупнейшей компании генеративного ИИ?
По мнению Альтмана повсеместное использование ИИ породит совершенно новое общество с экономикой, в которой ИИ работает довольно самостоятельно, зарабатывая блага, деньги или что там нужно для всего человечества.
Эти блага новой экономики могут оказаться в руках узкого процента человечества (никогда такого не было, и вот опять...).
В противовес этому Альтман предлагает идею равного разделения пользы от ИИ между всем человечеством. Поэтому предлагает ввести криптовалюту (Worldcoin), которую можно распределить строго по справедливости - каждому живому человеку поровну.
Так, по задумке Альтмана, человеки создадут ИИ, который будет обеспечивать безусловный минимальный доход (помните, как тему форсили несколько лет назад) для каждого человека.
Для определения «живости» человека он предлагает каждому участнику проходить сканирование сетчатки глаза на специальном устройстве.
А если такой проверки не проводить, то некоторые очень умные человек могут нагенерировать виртуальных личностей, которые будут зарабатывать им, например, сразу несколько пенсий минимального дохода.
//Наталия Леднева, CMO, RooX: Все курсы про использование ИИ в маркетинге уже сейчас под копирку твердят «с помощью ИИ вы сможете взять себе в оборот не 1, а 10 проектов, как будет приятно получать сразу 10 зарплат». Но в этом случае хотя бы за одного работать всё-таки нужно :) //
Честно сказать, я восхитился от совмещения такого количества питчей от рептилоидов с планеты Нибиру.
И всё это вокруг нашей любимой аутентификации.
Алексей Хмельницкий, CEO, RooX
В конце декабря вышла новость о создании RealDID — первой в истории единой национальной платформы идентификации на основе блокчейна в Китае. Чуть позже в связи с этой новостью у нас всплыло название другого сервиса — Worldcoin. Немного покопал тему.
Один из основателей Worldcoin — известнейший товарищ Сэм Альтман, он же со-основатель OpenAI. Цель компании - научиться отделять реальных живых людей от генеративного ИИ.
Зачем это вдруг понадобилось основателю крупнейшей компании генеративного ИИ?
По мнению Альтмана повсеместное использование ИИ породит совершенно новое общество с экономикой, в которой ИИ работает довольно самостоятельно, зарабатывая блага, деньги или что там нужно для всего человечества.
Эти блага новой экономики могут оказаться в руках узкого процента человечества (никогда такого не было, и вот опять...).
В противовес этому Альтман предлагает идею равного разделения пользы от ИИ между всем человечеством. Поэтому предлагает ввести криптовалюту (Worldcoin), которую можно распределить строго по справедливости - каждому живому человеку поровну.
Так, по задумке Альтмана, человеки создадут ИИ, который будет обеспечивать безусловный минимальный доход (помните, как тему форсили несколько лет назад) для каждого человека.
Для определения «живости» человека он предлагает каждому участнику проходить сканирование сетчатки глаза на специальном устройстве.
А если такой проверки не проводить, то некоторые очень умные человек могут нагенерировать виртуальных личностей, которые будут зарабатывать им, например, сразу несколько пенсий минимального дохода.
//Наталия Леднева, CMO, RooX: Все курсы про использование ИИ в маркетинге уже сейчас под копирку твердят «с помощью ИИ вы сможете взять себе в оборот не 1, а 10 проектов, как будет приятно получать сразу 10 зарплат». Но в этом случае хотя бы за одного работать всё-таки нужно :) //
Честно сказать, я восхитился от совмещения такого количества питчей от рептилоидов с планеты Нибиру.
И всё это вокруг нашей любимой аутентификации.
История одной уязвимости из мира управления доступом
Октябрь 23: “Нехороший человек” по имени PRISMA рассказывает в своем tg про возможность "оживлять" протухшие куки Google и получать доступ к аккаунту, даже если пользователь изменил пароль.
Ноябрь 23: Функцию рекламируют разработчики малвари Lumma и несколько дней спустя другой “нехороший человек” Rhadamanthys. Lumma включает этот эксплойт в свою премиальную подписку (всего 1000 $ в месяц). А еще неделю спустя накатывает апдейт, чтобы лучше противостоять защите Google.
В какой-то момент журналисты спрашивают у Lumma, как так вышло, что Rhadamanthys рекламирует то же самое. Lumma отвечает “украл”, что само по себе мило и немного фрактально). Да и про PRISMA, видимо, все уже забыли.
Но пока есть сомнения, что эксплойт работает.
Google молчит.
Декабрь 23: Эксплойт подхватывают Stealc, Meduza, RisePro и WhiteSnake.
Hudson Rock публикует видео с демонстрацией, что он, увы, работает.
Январь 24: На The Hacker News выходит публикация с саммари происходящего, а также с комментариями Google. Google в довольно рутинном тоне сообщают, что такой вектор атаки случается не впервые, совершенствование защиты происходит постоянно и “не так страшен черт, как его малюют” (украденные сеансы все-таки можно аннулировать простым выходом из уязвимого браузера или удаленным отзывом через страницу устройств пользователя). Дают рекомендации сменить пароли, включить расширенный безопасный просмотр в Chrome, а также отслеживать активность своей учетной записи на предмет подозрительных сеансов.
https://thehackernews.com/2024/01/malware-using-google-multilogin-exploit.html
Октябрь 23: “Нехороший человек” по имени PRISMA рассказывает в своем tg про возможность "оживлять" протухшие куки Google и получать доступ к аккаунту, даже если пользователь изменил пароль.
Ноябрь 23: Функцию рекламируют разработчики малвари Lumma и несколько дней спустя другой “нехороший человек” Rhadamanthys. Lumma включает этот эксплойт в свою премиальную подписку (всего 1000 $ в месяц). А еще неделю спустя накатывает апдейт, чтобы лучше противостоять защите Google.
В какой-то момент журналисты спрашивают у Lumma, как так вышло, что Rhadamanthys рекламирует то же самое. Lumma отвечает “украл”, что само по себе мило и немного фрактально). Да и про PRISMA, видимо, все уже забыли.
Но пока есть сомнения, что эксплойт работает.
Google молчит.
Декабрь 23: Эксплойт подхватывают Stealc, Meduza, RisePro и WhiteSnake.
Hudson Rock публикует видео с демонстрацией, что он, увы, работает.
Январь 24: На The Hacker News выходит публикация с саммари происходящего, а также с комментариями Google. Google в довольно рутинном тоне сообщают, что такой вектор атаки случается не впервые, совершенствование защиты происходит постоянно и “не так страшен черт, как его малюют” (украденные сеансы все-таки можно аннулировать простым выходом из уязвимого браузера или удаленным отзывом через страницу устройств пользователя). Дают рекомендации сменить пароли, включить расширенный безопасный просмотр в Chrome, а также отслеживать активность своей учетной записи на предмет подозрительных сеансов.
https://thehackernews.com/2024/01/malware-using-google-multilogin-exploit.html
Дайджест.
Задержались с публикацией, так что эта подборка немного ретро )
Биометрия + Госуслуги. С 1 января россияне могут контролировать свои биометрические профили на Госуслугах. Можно зарегистрировать подтверждённую, стандартную и упрощённую биометрию, можно посмотреть статус, можно отозвать.
Биометрия + ГИБДД. В Москве испытали светофор с системой распознавания лиц, который сможет штрафовать за нарушения при переходе дороги. В ГИБДД отметили, что “Для создания и обеспечения эффективного применения автоматизированной системы привлечения пешеходов к административной ответственности необходимо иметь биометрические данные всех граждан”.
https://media.mvd.ru/files/embed/5052398 (стр. 32)
Биометрия + университеты. Правительство попросило Минцифры, Министерство образования и Центр биометрических технологий до 12 февраля 2024 года разработать схему, которая поможет включить в образовательный процесс дистанционную сдачу экзаменов с использованием биометрии.
https://www.vedomosti.ru/finance/articles/2023/12/28/1013341-vlasti-poruchili-vnedrit-biometriyu-v-universitetah
Биометрия + регистрация брака. В России прошла первая регистрация брака без паспортов, но с использованием биометрических данных.
https://ria.ru/20240113/brak-1921166854.html
Утечки и волчий билет. Законопроект: отстранять зампредов по ИБ финансовых организаций на 10 лет от работы на этой должности за неоднократную утечку данных.
https://iz.ru/1636949/natalia-ilina/10-let-bez-prava-top-menedzherov-bankov-diskvalifitciruiut-za-utechki-dannykh
Удаленка + подлинность документов. Отчет Regula (приборы для проверки подлинности документов и т.д.): 40% руководителей разных компаний называют мошенничество с личными данными ключевым риском при оформлении цифровых кочевников на работу.
https://regulaforensics.com/blog/identity-verification-in-nomad-era-research/
Обнаружение дипфейков. Компания McAfee представила новаторскую технологию обнаружения подделок звука с использованием искусственного интеллекта Project Mockingbird.
https://www.artificialintelligence-news.com/2024/01/08/mcafee-unveils-ai-powered-deepfake-audio-detection/
Уязвимость + Gitlab. GitLab предупредила о критической уязвимости аутентификации, которая позволяет отправлять запросы на сброс пароля на произвольные непроверенные адреса электронной почты (CVE-2023-7028, CVSS 10.0 critical). Уязвимость затрагивает ряд версий в диапазоне от 16.1 до 16.7.2. Обновление выпущено.
https://habr.com/ru/amp/publications/786144/
Уязвимость + менеджер паролей Пассворк. Уязвимость обхода двухфакторной аутентификации (2FA). Закрыта в версии 6.2.0.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49949
Взлом + крипта. В ночь с 9 на 10 января в официальном аккаунте SEC в X появилось сообщение о том, что регулятор дает разрешение на листинг акций биткоин-ETF на всех зарегистрированных биржах. Сообщение оказалось фейковым. Официальная причина: неизвестное лицо получило контроль над номером телефона, связанным с учётной записью SECGov, которая в момент взлома не была защищена 2FA. Биткоин скакнул примерно на 2,5%, почти до $47,8 тыс., потом упал до $45 тыс.
Разрешение все ждали и после взлома опасались, что его отложат или не дадут. Но 11 января его дали теперь уже не фейково.
https://www.forbes.ru/tekhnologii/503946-socset-h-nazvala-pricinu-poavlenia-v-akkaunte-sec-fejka-ob-odobrenii-bitkoin-etf
https://www.forbes.ru/investicii/504037-sec-oficial-no-odobrila-bitkoin-etf
Взлом + чатбот для найма. К вопросу, кого захотят взломать. В данном случае в рамках исследования взломали чат-бот, который используют крупные фастфуд-франшизы (например, KFC) для автоматизации процесса найма сотрудников. Потенциально: использование конфиденциальной информации о кандидатах, шантаж компаний на предмет уничтожения базы данных HR, порча процесса найма (фейковые отказы или наоборот).
https://www.securitylab.ru/news/545161.php
Задержались с публикацией, так что эта подборка немного ретро )
Биометрия + Госуслуги. С 1 января россияне могут контролировать свои биометрические профили на Госуслугах. Можно зарегистрировать подтверждённую, стандартную и упрощённую биометрию, можно посмотреть статус, можно отозвать.
Биометрия + ГИБДД. В Москве испытали светофор с системой распознавания лиц, который сможет штрафовать за нарушения при переходе дороги. В ГИБДД отметили, что “Для создания и обеспечения эффективного применения автоматизированной системы привлечения пешеходов к административной ответственности необходимо иметь биометрические данные всех граждан”.
https://media.mvd.ru/files/embed/5052398 (стр. 32)
Биометрия + университеты. Правительство попросило Минцифры, Министерство образования и Центр биометрических технологий до 12 февраля 2024 года разработать схему, которая поможет включить в образовательный процесс дистанционную сдачу экзаменов с использованием биометрии.
https://www.vedomosti.ru/finance/articles/2023/12/28/1013341-vlasti-poruchili-vnedrit-biometriyu-v-universitetah
Биометрия + регистрация брака. В России прошла первая регистрация брака без паспортов, но с использованием биометрических данных.
https://ria.ru/20240113/brak-1921166854.html
Утечки и волчий билет. Законопроект: отстранять зампредов по ИБ финансовых организаций на 10 лет от работы на этой должности за неоднократную утечку данных.
https://iz.ru/1636949/natalia-ilina/10-let-bez-prava-top-menedzherov-bankov-diskvalifitciruiut-za-utechki-dannykh
Удаленка + подлинность документов. Отчет Regula (приборы для проверки подлинности документов и т.д.): 40% руководителей разных компаний называют мошенничество с личными данными ключевым риском при оформлении цифровых кочевников на работу.
https://regulaforensics.com/blog/identity-verification-in-nomad-era-research/
Обнаружение дипфейков. Компания McAfee представила новаторскую технологию обнаружения подделок звука с использованием искусственного интеллекта Project Mockingbird.
https://www.artificialintelligence-news.com/2024/01/08/mcafee-unveils-ai-powered-deepfake-audio-detection/
Уязвимость + Gitlab. GitLab предупредила о критической уязвимости аутентификации, которая позволяет отправлять запросы на сброс пароля на произвольные непроверенные адреса электронной почты (CVE-2023-7028, CVSS 10.0 critical). Уязвимость затрагивает ряд версий в диапазоне от 16.1 до 16.7.2. Обновление выпущено.
https://habr.com/ru/amp/publications/786144/
Уязвимость + менеджер паролей Пассворк. Уязвимость обхода двухфакторной аутентификации (2FA). Закрыта в версии 6.2.0.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49949
Взлом + крипта. В ночь с 9 на 10 января в официальном аккаунте SEC в X появилось сообщение о том, что регулятор дает разрешение на листинг акций биткоин-ETF на всех зарегистрированных биржах. Сообщение оказалось фейковым. Официальная причина: неизвестное лицо получило контроль над номером телефона, связанным с учётной записью SECGov, которая в момент взлома не была защищена 2FA. Биткоин скакнул примерно на 2,5%, почти до $47,8 тыс., потом упал до $45 тыс.
Разрешение все ждали и после взлома опасались, что его отложат или не дадут. Но 11 января его дали теперь уже не фейково.
https://www.forbes.ru/tekhnologii/503946-socset-h-nazvala-pricinu-poavlenia-v-akkaunte-sec-fejka-ob-odobrenii-bitkoin-etf
https://www.forbes.ru/investicii/504037-sec-oficial-no-odobrila-bitkoin-etf
Взлом + чатбот для найма. К вопросу, кого захотят взломать. В данном случае в рамках исследования взломали чат-бот, который используют крупные фастфуд-франшизы (например, KFC) для автоматизации процесса найма сотрудников. Потенциально: использование конфиденциальной информации о кандидатах, шантаж компаний на предмет уничтожения базы данных HR, порча процесса найма (фейковые отказы или наоборот).
https://www.securitylab.ru/news/545161.php
Authing - конкурент Auth0 из поднебесной (Beijing Steamory Technology Co.)
- 40,000+ клиентов
- 40+ млн пользователей
- бесплатный тариф до 8000 MAU
Основан в 2019, 200 сотрудников, привлек $23 млн инвестиций
Стек для on-premise: CentOS/Ubuntu, bare/docker compose/k8s, Nodejs, Postgres, Redis, ELK
https://www.authing.cn/
- 40,000+ клиентов
- 40+ млн пользователей
- бесплатный тариф до 8000 MAU
Основан в 2019, 200 сотрудников, привлек $23 млн инвестиций
Стек для on-premise: CentOS/Ubuntu, bare/docker compose/k8s, Nodejs, Postgres, Redis, ELK
https://www.authing.cn/
На некоторых самолетах (например, на Boeing 747) есть интересная система доступа в кабину пилота. Любопытно, что начальный патент на эту систему принадлежит Google (https://patents.google.com/patent/CA2421441A1/en)
Задачы системы - обеспечить доступ экипажа в кабину пилота из салона, с учетом того, что:
- В кабину могут пытаться проникнуть злоумышленники. Поэтому нельзя полагаться на ключ или код.
- Пилот может потерять сознание. Поэтому нельзя полагаться только на открытие с помощью действия пилота изнутри кабины.
Работает система следующим образом.
Со стороны салона на двери располагается пин-пад для набора кода открытия двери. У пилота в кабине есть тумблер с тремя значениями ("Открыть”, “Авто”, “Запрет”). Условно, такой, как на картинке.
Если на пин-паде со стороны салона набран верный код, то на тумблере пилота загорается индикатор. Тумблет по умолчанию установлен в “Авто”. У пилота есть 20-30 секунд, чтобы отрегировать, выбрав “Открыть” или “Запрет”. Если опция не выбрана, дверь откроется.
Задачы системы - обеспечить доступ экипажа в кабину пилота из салона, с учетом того, что:
- В кабину могут пытаться проникнуть злоумышленники. Поэтому нельзя полагаться на ключ или код.
- Пилот может потерять сознание. Поэтому нельзя полагаться только на открытие с помощью действия пилота изнутри кабины.
Работает система следующим образом.
Со стороны салона на двери располагается пин-пад для набора кода открытия двери. У пилота в кабине есть тумблер с тремя значениями ("Открыть”, “Авто”, “Запрет”). Условно, такой, как на картинке.
Если на пин-паде со стороны салона набран верный код, то на тумблере пилота загорается индикатор. Тумблет по умолчанию установлен в “Авто”. У пилота есть 20-30 секунд, чтобы отрегировать, выбрав “Открыть” или “Запрет”. Если опция не выбрана, дверь откроется.
Рассказывает Ольга Карпова, руководитель отдела ИБ RooX.
Получила рассылку с вакансиями от HH.
Коротенькую.
Благодаря ее краткости заметила дисклеймер внизу.
“Будьте осторожны при пересылке этого письма: все ссылки ведут в ваш личный кабинет”.
Прочитала и озадачилась.
Начнем с того, что для человека, далекого от ИТ, эта фраза - китайский иероглиф. Почему ссылки ведут в личный кабинет, ведь должны вести на описание вакансий? Что с того, что они туда ведут, почему надо быть осторожным из-за этого?
Продолжим тем, что токен моего аккаунта реально включен в url каждой ссылки (см. скрин).
То есть, если я перешлю это письмо другу или кину ссылку из него в мессенджер, то друг буквально одним кликом окажется залогиненным в моем личном кабинете на НН.
В этом месте мне нужна помощь зала. Помогите с идеями, ради какого юзкейса токен аккаунта включен в url. Так, чтобы польза этого юзкейса покрывала вред.
Мне в голову приходит вариант - чтобы можно было сразу откликнуться на вакансию, перейдя по ссылке.
Получила рассылку с вакансиями от HH.
Коротенькую.
Благодаря ее краткости заметила дисклеймер внизу.
“Будьте осторожны при пересылке этого письма: все ссылки ведут в ваш личный кабинет”.
Прочитала и озадачилась.
Начнем с того, что для человека, далекого от ИТ, эта фраза - китайский иероглиф. Почему ссылки ведут в личный кабинет, ведь должны вести на описание вакансий? Что с того, что они туда ведут, почему надо быть осторожным из-за этого?
Продолжим тем, что токен моего аккаунта реально включен в url каждой ссылки (см. скрин).
То есть, если я перешлю это письмо другу или кину ссылку из него в мессенджер, то друг буквально одним кликом окажется залогиненным в моем личном кабинете на НН.
В этом месте мне нужна помощь зала. Помогите с идеями, ради какого юзкейса токен аккаунта включен в url. Так, чтобы польза этого юзкейса покрывала вред.
Мне в голову приходит вариант - чтобы можно было сразу откликнуться на вакансию, перейдя по ссылке.
Рассказывает Наталия Леднева, директор по маркетингу RooX.
Не то, чтобы классическая биометрия, но…
Международная команда ученых пришла к выводу, что тип языка, на котором говорит мать младенца, влияет на акустические свойства его плача с первой минуты после рождения.
https://nplus1.ru/news/2016/08/25/mother-languages
https://www.uni-wuerzburg.de/aktuelles/pressemitteilungen/single/news/muttersprache-praegt-babylaute/
Сравнивали плачи младенцев, чьи матери говорили на немецком, лансо (язык народа нсо, живущего в Камеруне) и мандаринском. Лансо и мандаринский относятся к тональным (тоновым, тоническим) языкам. Это языки, в которых каждый слог произносится с определённым тоном, и от тона, с которым произнесен слог, зависит значение слова. Немецкий, в свою очередь, атонический язык, в нем значение не зависит от тона, которым произносится слог.
/*Оооочень условно (лингвисты будут недовольны):
Вспомним, как мы произносим русские слова “зАмок” и “замОк”.
Мы делаем в них ударение на разных слогах, и от этого зависит значение слова.
Ударение в нашем случае - это бОльшая сила выдоха и напряжение мышц, которые задействованы в артикуляции.
А теперь представим, что мы будем произносить слоги не с разной силой выдоха, а разной высотой голоса. “За” произнесем низким голосом, а “мок” голосом повыше, и это будет зАмок, который здание. А потом наоборот “за” повыше, а “мок” низким, и это будет замОк, который запорное устройство. Примерно так говорят на тональных языках. */
Сопоставительный анализ спектрограмм записей плача показал существенные отличия у групп детей, чьи матери говорили на лансо и мандаринском, от тех, чьи матери говорили на немецком. Так что исследователи предположили, что голос матери начинает формировать акустические особенности крика младенца еще до его рождения.
Некоторые коллеги в этом месте вспомнили радистку Кэт из фильма “17 мгновений весны”, которая в родах проговорилась на русском.
Но если бы все происходило сейчас, а Кэт шпионила бы в пользу Камеруна, то даже 100% контроль произнесенного в роддоме не помог бы. Заподозрить неладное можно было бы по плачу младенца.
Не то, чтобы классическая биометрия, но…
Международная команда ученых пришла к выводу, что тип языка, на котором говорит мать младенца, влияет на акустические свойства его плача с первой минуты после рождения.
https://nplus1.ru/news/2016/08/25/mother-languages
https://www.uni-wuerzburg.de/aktuelles/pressemitteilungen/single/news/muttersprache-praegt-babylaute/
Сравнивали плачи младенцев, чьи матери говорили на немецком, лансо (язык народа нсо, живущего в Камеруне) и мандаринском. Лансо и мандаринский относятся к тональным (тоновым, тоническим) языкам. Это языки, в которых каждый слог произносится с определённым тоном, и от тона, с которым произнесен слог, зависит значение слова. Немецкий, в свою очередь, атонический язык, в нем значение не зависит от тона, которым произносится слог.
/*Оооочень условно (лингвисты будут недовольны):
Вспомним, как мы произносим русские слова “зАмок” и “замОк”.
Мы делаем в них ударение на разных слогах, и от этого зависит значение слова.
Ударение в нашем случае - это бОльшая сила выдоха и напряжение мышц, которые задействованы в артикуляции.
А теперь представим, что мы будем произносить слоги не с разной силой выдоха, а разной высотой голоса. “За” произнесем низким голосом, а “мок” голосом повыше, и это будет зАмок, который здание. А потом наоборот “за” повыше, а “мок” низким, и это будет замОк, который запорное устройство. Примерно так говорят на тональных языках. */
Сопоставительный анализ спектрограмм записей плача показал существенные отличия у групп детей, чьи матери говорили на лансо и мандаринском, от тех, чьи матери говорили на немецком. Так что исследователи предположили, что голос матери начинает формировать акустические особенности крика младенца еще до его рождения.
Некоторые коллеги в этом месте вспомнили радистку Кэт из фильма “17 мгновений весны”, которая в родах проговорилась на русском.
Но если бы все происходило сейчас, а Кэт шпионила бы в пользу Камеруна, то даже 100% контроль произнесенного в роддоме не помог бы. Заподозрить неладное можно было бы по плачу младенца.
