Доброе утро, друзья и коллеги! На сайте Госуслуг в настройках учётной записи увидел, что портал честно предпринял попытку систематизировать и сделать более прозрачным вопрос использования моих персональных данных. Что там есть?
- "межведомственные запросы" - указывает, кто, кому, когда и какие ПДн передал,
- "согласия" - кому я разрешил обрабатывать свои ПДн;
- "разрешения" - где мы входили с помощью учетной записи ЕСИА (от ГосУслуг) и на что соглашались.
Есть, где покопаться. Ненужные согласия и разрешения можно отозвать.
Мой внутренний параноик немного успокоился )
- "межведомственные запросы" - указывает, кто, кому, когда и какие ПДн передал,
- "согласия" - кому я разрешил обрабатывать свои ПДн;
- "разрешения" - где мы входили с помощью учетной записи ЕСИА (от ГосУслуг) и на что соглашались.
Есть, где покопаться. Ненужные согласия и разрешения можно отозвать.
Мой внутренний параноик немного успокоился )
Привет, друзья
Помните "GetContact", который позволял узнать, как Вы записаны в телефоне других? Это весело, забавно. И это позволяет слить ваши перс. данные, как и всех в Вашем телефоне в неизвестном направлении для целей, из которых спам - самое невинное.
Прогресс не стоит, теперь апп не нужен. Подъехал бот, оснащенный таким функционалом + он получает доступ к вашей переписке. Круто, правда?
Привет,есть такой бот (@TrospBot),там ты можешь узнать как ты записан у своих друзей
Крайне не рекомендую им пользоваться, ибо это любопытство дорого. Насколько? Давайте оценим! Есть стартап datacy.com. Там можно продавать свои ПДн легально. Вбиваешь данные, и сервис оценивает, сколько ты (простите, твои ПДн) стоишь.
Даже если взять сумму на скрине (очень скромная оценка), получается ~$10. Немного. А если у меня тысяча абонентов? Вряд ли они скажут спасибо, что я слил их спамерам. Во-вторых, $10 000 - дороговато за сведения о том, как меня "обзывают" другие. Правильно говорят: "Меньше знаешь - крепче спишь"
Помните "GetContact", который позволял узнать, как Вы записаны в телефоне других? Это весело, забавно. И это позволяет слить ваши перс. данные, как и всех в Вашем телефоне в неизвестном направлении для целей, из которых спам - самое невинное.
Прогресс не стоит, теперь апп не нужен. Подъехал бот, оснащенный таким функционалом + он получает доступ к вашей переписке. Круто, правда?
Привет,есть такой бот (@TrospBot),там ты можешь узнать как ты записан у своих друзей
Крайне не рекомендую им пользоваться, ибо это любопытство дорого. Насколько? Давайте оценим! Есть стартап datacy.com. Там можно продавать свои ПДн легально. Вбиваешь данные, и сервис оценивает, сколько ты (простите, твои ПДн) стоишь.
Даже если взять сумму на скрине (очень скромная оценка), получается ~$10. Немного. А если у меня тысяча абонентов? Вряд ли они скажут спасибо, что я слил их спамерам. Во-вторых, $10 000 - дороговато за сведения о том, как меня "обзывают" другие. Правильно говорят: "Меньше знаешь - крепче спишь"
Доброе утро, коллеги!
Одна из самых живых отраслей ИБ сейчас – это защита персональных данных. Впрочем, ничего нового: эпопея с утечками продолжается, а законодатели всё думают ужесточать. Пока не помогает. Видимо, нужно, чтобы кто-то первый заплатил оборотный штраф (сейчас максимальный штраф за утечку – 500 тыс. руб., но для такого штрафа надо «очень постараться»).
Для сравнения, если бы оборотный штраф уже был введен в этом году, то, например, один только Яндекс за свою утечку отдал бы 5,8 млрд рублей!!! Представляете, какая статья дохода в бюджет!
За последний квартал только из известных компаний и госструктур успели «отличиться»:
- Госуслуги (2.5 млн. строк, утечка из ИС АО «Почта России. Состав: ФИО, дата рождения, пол, реквизиты документа, ИНН, адрес регистрации, эл. почта, телефон),
- ВкусВилл (около 250 тыс. строк, Состав: заказ, дата, время, стоимость, последние 4 цифры карты, телефон, эл. почта);
- СитиМобил (сканы документов более 4 тыс. водителей).
А с начала года – ВТБ, Delivery Club, Wildberries, Гемотест, СДЭК, ГИБДД и, конечно же, чемпион – Яндекс.Еда. Утечки перевернула с ног на голову жизнь простых людей и элит, ведь теперь известно буквально всё об их данных и, например, о гастрономических пристрастиях.
Все эти данные навсегда пополнят базы хакеров и спамеров. Вот такая она, информационная прозрачность в 2022. Это покруче шоу «За стеклом» (кто помнит такое).
Кстати, проверить по номеру своего телефона наличие данных в утечках можно с помощью бота @PhoneLeaks_bot
Как пошутил один из Telegram-каналов, Россия — страна с невероятным уровнем информационной открытости. По данным Роскомнадзора, 600 млн записей с личными данными россиян попало в сеть – по 4 записи на каждого человека!
Что тут еще добавить? Разве что немного о законодательных инициативах и предложениях:
- Президент поддержал идею Главы Национального антикоррупционного комитета о введении уголовной ответственности за незаконный оборот персональных данных (например, использование утекших баз данных),
- Минцифры выступает (по-прежнему) за штрафы до 3% годового оборота за утечку персональных данных. Смягчающим обстоятельством станет предварительная аттестация и сертификация инфраструктуры, а также улаживание в досудебном порядке претензий двух третей пострадавших клиентов. Давняя новость. Видимо, утрясают детальные условия с гигантами. То, что будет утекать – нет сомнений. Вопрос решается, кто как и сколько будет платить. Только представьте, какие вложения польются в отечественный инфобез! На прошлой неделе встречался с руководителем ИБ-службы одного из крупнейший ритейлеров России. Он подтвердил, что «оборотный штраф точно введут».
- Госдума обещает ввести ответственность за утечку биометрических данных. Собирать такие данные можно будет только с ведома и согласия гражданина. Очень интересная инициатива. Особенно в контексте очередной утечки из системы авторизации Госуслуг. К сожалению, государственный цифровой периметр трещит громче всех.
- И наконец, Правительство РФ Распоряжением от 22.12.2022 № 4088-р утвердило концепцию формирования и развития культуры информационной безопасности граждан России!
Одна из самых живых отраслей ИБ сейчас – это защита персональных данных. Впрочем, ничего нового: эпопея с утечками продолжается, а законодатели всё думают ужесточать. Пока не помогает. Видимо, нужно, чтобы кто-то первый заплатил оборотный штраф (сейчас максимальный штраф за утечку – 500 тыс. руб., но для такого штрафа надо «очень постараться»).
Для сравнения, если бы оборотный штраф уже был введен в этом году, то, например, один только Яндекс за свою утечку отдал бы 5,8 млрд рублей!!! Представляете, какая статья дохода в бюджет!
За последний квартал только из известных компаний и госструктур успели «отличиться»:
- Госуслуги (2.5 млн. строк, утечка из ИС АО «Почта России. Состав: ФИО, дата рождения, пол, реквизиты документа, ИНН, адрес регистрации, эл. почта, телефон),
- ВкусВилл (около 250 тыс. строк, Состав: заказ, дата, время, стоимость, последние 4 цифры карты, телефон, эл. почта);
- СитиМобил (сканы документов более 4 тыс. водителей).
А с начала года – ВТБ, Delivery Club, Wildberries, Гемотест, СДЭК, ГИБДД и, конечно же, чемпион – Яндекс.Еда. Утечки перевернула с ног на голову жизнь простых людей и элит, ведь теперь известно буквально всё об их данных и, например, о гастрономических пристрастиях.
Все эти данные навсегда пополнят базы хакеров и спамеров. Вот такая она, информационная прозрачность в 2022. Это покруче шоу «За стеклом» (кто помнит такое).
Кстати, проверить по номеру своего телефона наличие данных в утечках можно с помощью бота @PhoneLeaks_bot
Как пошутил один из Telegram-каналов, Россия — страна с невероятным уровнем информационной открытости. По данным Роскомнадзора, 600 млн записей с личными данными россиян попало в сеть – по 4 записи на каждого человека!
Что тут еще добавить? Разве что немного о законодательных инициативах и предложениях:
- Президент поддержал идею Главы Национального антикоррупционного комитета о введении уголовной ответственности за незаконный оборот персональных данных (например, использование утекших баз данных),
- Минцифры выступает (по-прежнему) за штрафы до 3% годового оборота за утечку персональных данных. Смягчающим обстоятельством станет предварительная аттестация и сертификация инфраструктуры, а также улаживание в досудебном порядке претензий двух третей пострадавших клиентов. Давняя новость. Видимо, утрясают детальные условия с гигантами. То, что будет утекать – нет сомнений. Вопрос решается, кто как и сколько будет платить. Только представьте, какие вложения польются в отечественный инфобез! На прошлой неделе встречался с руководителем ИБ-службы одного из крупнейший ритейлеров России. Он подтвердил, что «оборотный штраф точно введут».
- Госдума обещает ввести ответственность за утечку биометрических данных. Собирать такие данные можно будет только с ведома и согласия гражданина. Очень интересная инициатива. Особенно в контексте очередной утечки из системы авторизации Госуслуг. К сожалению, государственный цифровой периметр трещит громче всех.
- И наконец, Правительство РФ Распоряжением от 22.12.2022 № 4088-р утвердило концепцию формирования и развития культуры информационной безопасности граждан России!
Дорогие друзья, коллеги!
Поздравляю вас с наступающим старым Новым годом! Представляю себе, как название этого праздника будет сложно перевести и объяснить иностранцу 😂
Это хороший праздник, когда ты уже примерно понимаешь свои цели на год и вышел на рабочие обороты!
Друзья, хочу вам пожелать защищенности! Пусть самые страшные кибер-инциденты будут подобны тому, что произошло в Сан-Диего!
https://pikabu.ru/story/shou_feyerverkov_v_sandiego_gde_izza_kompyuternogo_sboya_vse_18minutnoe_shou_zakonchilos_za_25_sekund_9808727?utm_source=andpostshare&utm_medium=sharing
Поздравляю вас с наступающим старым Новым годом! Представляю себе, как название этого праздника будет сложно перевести и объяснить иностранцу 😂
Это хороший праздник, когда ты уже примерно понимаешь свои цели на год и вышел на рабочие обороты!
Друзья, хочу вам пожелать защищенности! Пусть самые страшные кибер-инциденты будут подобны тому, что произошло в Сан-Диего!
https://pikabu.ru/story/shou_feyerverkov_v_sandiego_gde_izza_kompyuternogo_sboya_vse_18minutnoe_shou_zakonchilos_za_25_sekund_9808727?utm_source=andpostshare&utm_medium=sharing
Пикабу
Шоу фейерверков в Сан-Диего, где из-за компьютерного сбоя все 18-минутное шоу закончилось за 25 секунд
Пост пикабушницы nuclear.video
В СМИ и в профильных кругах достаточно давно муссируется тема введения оборотных штрафов для организаций, допустивших утечку персональных данных (ПДн). Теперь появилась дата, когда может появиться законопроект, который будет регулировать данный (и не только) вопрос. По всей видимости, будет введен термин "незаконный оборот ПДн", могут появиться и меры уголовного наказания но данному направлению.
https://tass.ru/obschestvo/16794359
От себя добавлю, что с резкой приоритизацией данного направления очень актуальными станут:
- услуги по аудиту защиты ПДн,
- услуги пентестов с соответствующими сценариями;
- поставка и внедрение средств защиты;
- проектирование/модернизация соответствующих систем защиты.
Кроме того, повышением ставок могут воспользоваться злоумышленники, инициируя утечки в конкурентах с целью нанести репутационный (это уже никому особо не интересно, ИМХО не работает в России) и финансовый ущерб.
https://tass.ru/obschestvo/16794359
От себя добавлю, что с резкой приоритизацией данного направления очень актуальными станут:
- услуги по аудиту защиты ПДн,
- услуги пентестов с соответствующими сценариями;
- поставка и внедрение средств защиты;
- проектирование/модернизация соответствующих систем защиты.
Кроме того, повышением ставок могут воспользоваться злоумышленники, инициируя утечки в конкурентах с целью нанести репутационный (это уже никому особо не интересно, ИМХО не работает в России) и финансовый ущерб.
TACC
Путин поручил к июлю рассмотреть введение оборотных штрафов за утечку персональных данных
Также необходимо усилить ответственность за их незаконный оборот, говорится в перечне поручений президента по итогам заседания совета по развитию гражданского общества и правам человека
Forwarded from Data1eaks | Утечки баз данных
🔥🔥🔥 Проукраинские хакеры получили доступ к внутренним сетям крупнейшего российского регистратора доменных имён и хостинг-провайдера Reg.ru.
ℹ️ Нам стало известно, что помимо тех данных, которые уже были выложены хакерами (различные внутренние скрипты и файлы), ими был получен доступ к службе каталогов (LDAP) "РЕГ.РУ" и выгружены данные внутренних пользователей, т.е. сотрудников.
✔️ В общей сложности 148 человек, с такими данными как:
⭕️ Фамилия Имя;
⭕️ Внутрениий логин;
⭕️ Пароль в хэше SSHA
⭕️ Некоторые другие техн. детали.
ℹ️ Что-ж, похоже, что дело действительно принимает серьёзный оборот.
🌐 Агрегатор утечек @data1eaks
Не протекайте, друзья 🖥💦
ℹ️ Нам стало известно, что помимо тех данных, которые уже были выложены хакерами (различные внутренние скрипты и файлы), ими был получен доступ к службе каталогов (LDAP) "РЕГ.РУ" и выгружены данные внутренних пользователей, т.е. сотрудников.
✔️ В общей сложности 148 человек, с такими данными как:
⭕️ Фамилия Имя;
⭕️ Внутрениий логин;
⭕️ Пароль в хэше SSHA
⭕️ Некоторые другие техн. детали.
ℹ️ Что-ж, похоже, что дело действительно принимает серьёзный оборот.
🌐 Агрегатор утечек @data1eaks
Не протекайте, друзья 🖥💦
История о том, как социальная инженерия принесла больше $100 млн. прибыли злоумышленнику!
https://habr.com/ru/company/searchinform/blog/707748/
https://habr.com/ru/company/searchinform/blog/707748/
Хабр
BEC-атака века. Как корпорации поделились миллионами с киберпреступником
Привет, Хабр! Мы с очередным рассказом из подкаста Darknet Diaries – историей про кибемошенника по имени Эвалдас Римасаускас, которому удалось украсть миллионы у Facebook* и Google. История того, как...
Сегодня состоялся Брифинг вице-премьера Д.Чернышенко и министра цифрового развития М. Шадаева. Предлагаю наиболее любопытные тезисы. Интересно, познавательно, и есть, над чем подумать.
- число аккредитованных ИТ-компаний выросло почти в 5 раз – с 4 000 до 20 000 за два года,
- ИТ-сфера – лидер по количеству вакансий;
- до 2025 г. рост доходов от реализации отечественного промышленного ПО до 190 млрд. руб. (интересно, что имеется в виду под фразой «промышленное ПО»);
- с 2022 г. отражено 50 тыс. кибератак, зафиксировано и устранено 1,6 тыс. инцидентов. Все они закрыты и по ним подготовлены соответствующие рекомендации;
- на Госуслугах запущен сервис выдачи сертификатов безопасности. За 2022 выдано 10 500 сертификатов (для сайтов юр.лиц – бесплатный отечественный аналог для иностранных сертификатов безопасности в случае его отзыва / окончания срока действия. Выдается по запросу в течение 5 рабочих дней);
- портал Госуслуг: 100 млн. пользователей, 10 млн. ежедневная аудитория;
- 80% зарубежного ПО имеет отечественные аналоги. У более половины российских решений средний и высокий уровень зрелости;
- в 2022 ИТ-специалистам выдали 5,8 тыс. ипотечных кредитов на сумму 53 млрд руб.;
- завершено строительство подводной ВОЛС Камчатка-Чукотка. Жители самого отдалённого региона получили свой быстрый интернет!
- сервис Госключ — полноценная мобильная электронная подпись, которой можно подписывать электронные документы. Более 1 млн. чел. получили подпись и активно ей пользуются (подписание договоров аренды, договоры с операторами связи, заявления в госорганы);
- на 300% вырос спрос на отечественное ПО с 2021; 31,8% составляет доля закупаемого отечественного ПО в отраслях экономики; по прогнозам доля российского офисного ПО вырастет до 82% к 2027 году; более 155 млрд. руб. инвестирует бизнес в импортозамещение ПО (как это доподлинно проверить, неизвестно. Из авторитетных источников знаю, что доля импортозамещенного ПО, например, в фин.секторе сейчас не дотягивает и до 2%);
- аудитория интернета в России — 102,9 млн человек —более 84% населения страны (не смог пройти мимо этих цифр. Почему «ошибся» такой достойный человек как Сергей Александрович Плуготаренко, инженер-математик, эксперт российской интернет-отрасли, директор Российской ассоциации электронных коммуникаций, член правления Регионального общественного центра интернет-технологий, генеральный директор АНО «Цифровая Экономика», входящий в состав Общественного совета и IT-совета при Минкомсвязи России, неизвестно). Среднее время в сети — 3 часа 41 минута в день;
- ну, и в конце. Александр Хинштейн: «В пресечении кибератак Россия выглядит более чем серьезно и авторитетно (чем кто?). Надо отдать должное нашим коллегам, которые способны их отражать. Цифра беспрецедентная — 80% роста атак (по сравнению с чем?), и боюсь, что она ещё будет расти».
- число аккредитованных ИТ-компаний выросло почти в 5 раз – с 4 000 до 20 000 за два года,
- ИТ-сфера – лидер по количеству вакансий;
- до 2025 г. рост доходов от реализации отечественного промышленного ПО до 190 млрд. руб. (интересно, что имеется в виду под фразой «промышленное ПО»);
- с 2022 г. отражено 50 тыс. кибератак, зафиксировано и устранено 1,6 тыс. инцидентов. Все они закрыты и по ним подготовлены соответствующие рекомендации;
- на Госуслугах запущен сервис выдачи сертификатов безопасности. За 2022 выдано 10 500 сертификатов (для сайтов юр.лиц – бесплатный отечественный аналог для иностранных сертификатов безопасности в случае его отзыва / окончания срока действия. Выдается по запросу в течение 5 рабочих дней);
- портал Госуслуг: 100 млн. пользователей, 10 млн. ежедневная аудитория;
- 80% зарубежного ПО имеет отечественные аналоги. У более половины российских решений средний и высокий уровень зрелости;
- в 2022 ИТ-специалистам выдали 5,8 тыс. ипотечных кредитов на сумму 53 млрд руб.;
- завершено строительство подводной ВОЛС Камчатка-Чукотка. Жители самого отдалённого региона получили свой быстрый интернет!
- сервис Госключ — полноценная мобильная электронная подпись, которой можно подписывать электронные документы. Более 1 млн. чел. получили подпись и активно ей пользуются (подписание договоров аренды, договоры с операторами связи, заявления в госорганы);
- на 300% вырос спрос на отечественное ПО с 2021; 31,8% составляет доля закупаемого отечественного ПО в отраслях экономики; по прогнозам доля российского офисного ПО вырастет до 82% к 2027 году; более 155 млрд. руб. инвестирует бизнес в импортозамещение ПО (как это доподлинно проверить, неизвестно. Из авторитетных источников знаю, что доля импортозамещенного ПО, например, в фин.секторе сейчас не дотягивает и до 2%);
- аудитория интернета в России — 102,9 млн человек —более 84% населения страны (не смог пройти мимо этих цифр. Почему «ошибся» такой достойный человек как Сергей Александрович Плуготаренко, инженер-математик, эксперт российской интернет-отрасли, директор Российской ассоциации электронных коммуникаций, член правления Регионального общественного центра интернет-технологий, генеральный директор АНО «Цифровая Экономика», входящий в состав Общественного совета и IT-совета при Минкомсвязи России, неизвестно). Среднее время в сети — 3 часа 41 минута в день;
- ну, и в конце. Александр Хинштейн: «В пресечении кибератак Россия выглядит более чем серьезно и авторитетно (чем кто?). Надо отдать должное нашим коллегам, которые способны их отражать. Цифра беспрецедентная — 80% роста атак (по сравнению с чем?), и боюсь, что она ещё будет расти».
Модная нынче тема - ChatGPT (разработка компании OpenAI, детище Илона Маска, если кто не знает). Об этом много пишут. Но мне хотелось бы обратить внимание на один момент. Этот инструмент стал в последнее время активно использоваться в вопросах информационной безопасности. Вернее, ее нарушения.
Обход капчи - одно из самых невинных, что эта штука оказалась способной пройти.
Недавно вышел тревожный отчёт Европола (1Mb) об использовании ChatGPT в криминальных целях.
Суть: ChatGPT способствует мошенничеству, киберпреступности и терроризму. Несмотря на то, что в инструменте есть блок на выполнение опасных запросов, был найден способ обойти защиту.
🔻Выдать инструкции, как создать самодельную бомбу или синтезировать наркотики.
🔻Как получить пошаговое руководство по совершению преступления.
Вся эта инфа и так есть в открытом виде, но ChatGPT помогает в разы ускорить поиск и усвоение "нужной" сферы. Процесс обучения происходит быстрее.
Эта штука может рассказать, как проникнуть в дом, совершить теракт, киберпреступление, сексуальное насилие и т.д.
🔻Интересно, что ChatGPT способен генерить код, и это поможет создавать вредоносные программы намного быстрее и без технических навыков.
К чему всё это может привести - спросите у вашей фантазии.
Я лишь хочу обратить внимание на то, что ChatGPT - лишь инструмент. Крайне эффективный, могущественный, но лишь инструмент.
Одна из статей, посвященная использованию его в криминале, имеет подзаголовок: "У чатботов нет чести". Что ж, согласен. Он лишь выполняет то, что его попросили. Вопрос, есть ли честь у того, кто даёт задание.
В общем, тема обширная. Где-то техническая, где-то философская. Делитесь своим мнением в комментах. Если кто-то уже опробовал - поделитесь опытом (нужен VPN).
PS Как не вспомнить фильм с Уиллом Смитом "Я - робот"? ))
Обход капчи - одно из самых невинных, что эта штука оказалась способной пройти.
Недавно вышел тревожный отчёт Европола (1Mb) об использовании ChatGPT в криминальных целях.
Суть: ChatGPT способствует мошенничеству, киберпреступности и терроризму. Несмотря на то, что в инструменте есть блок на выполнение опасных запросов, был найден способ обойти защиту.
🔻Выдать инструкции, как создать самодельную бомбу или синтезировать наркотики.
🔻Как получить пошаговое руководство по совершению преступления.
Вся эта инфа и так есть в открытом виде, но ChatGPT помогает в разы ускорить поиск и усвоение "нужной" сферы. Процесс обучения происходит быстрее.
Эта штука может рассказать, как проникнуть в дом, совершить теракт, киберпреступление, сексуальное насилие и т.д.
🔻Интересно, что ChatGPT способен генерить код, и это поможет создавать вредоносные программы намного быстрее и без технических навыков.
К чему всё это может привести - спросите у вашей фантазии.
Я лишь хочу обратить внимание на то, что ChatGPT - лишь инструмент. Крайне эффективный, могущественный, но лишь инструмент.
Одна из статей, посвященная использованию его в криминале, имеет подзаголовок: "У чатботов нет чести". Что ж, согласен. Он лишь выполняет то, что его попросили. Вопрос, есть ли честь у того, кто даёт задание.
В общем, тема обширная. Где-то техническая, где-то философская. Делитесь своим мнением в комментах. Если кто-то уже опробовал - поделитесь опытом (нужен VPN).
PS Как не вспомнить фильм с Уиллом Смитом "Я - робот"? ))
В продолжение темы ИИ в целом и ChatGPT в частности - недавно получил вопрос о том, что я думаю про развитие ИИ и про нашумевшего бота. Т.к. вопрос получил от знакомой девушки, то ответ решил дать простой. "Они открыли ящик пандоры". Самое "невинное", что я слышал относительно применения ChatGPT - то, что один знакомый "написал" песню с его помощью. Другие рассказывали, как сдают экзамены с его помощью. Даже театралам он помогает! Уж не говоря о том, что играет в шахматы (из комментариев одного из подписчиков нашего канала). Ну, а про вредоносную составляющую писали в предыдущем посте.
Что могу сказать? "Опомнились".
Многие эксперты с помощью открытого письма призвали приостановить обучение нейросетей из-за рисков для общества и человечества. Этот документ подписан такими фигурами, как Стив Возняк и Илон Маск (собственно, его детище (ChatGPT) и наделало много шума). Эти светила убеждают организации поставить на паузу разработку больших ИИ-систем, чтобы подготовить правила безопасности, которые будут управлять и ограничивать ИИ-технологии.
Поделюсь своим скромным мнением. ИИ-технологии и нейросети в частности - это этап прогресса. "Опасность" состоит в том, что подобные инструменты становятся не только диалоговыми, но и самостоятельно выбирающими алгоритмы решения поставленной задачи. Проще говоря, человек задал задачу, ИИ выдал ответ. Но человек сам понятия не имеет, как самостоятельно найти этот ответ, как работает та или иная технология. Это как с развитием общества. Теперь человеку не нужно уметь ремонтировать машину или квартиру, как развести огонь или добыть еду. "За всё отвечает серебро". Но в случае форс-мажора мы осознаём, насколько мы ограничены и несамостоятельны. Поэтому развитие технологий ставит нас же в критическую зависимость от них.
Кроме того, незнание, как устроена та или иная технология, открывает путь для множества злоумышленников, которые с удовольствием разберутся в этом и найдут лазейки.
Есть байка, что в одной компании в летний отпуск сразу ушло половина бухгалтеров. Чтобы не наступил бухгалтерский коллапс, местному ИТ-шнику пришлось написать кучу автоматизирующих скриптов. И всё заработало в отсутствие бухов! По возвращению их из отпуска ему "аккуратно" дали понять, чтобы он удалил все эти скрипты и никогда больше так не делал. Иначе люди потеряют работу.
Моё мнение, что в ближайшем будущем, к сожалению, будут вырождаться целые отрасли и профессии. Если утрировать, то останутся лишь аналитики BigData и инженеры нейросетей (и то не факт) и handmade-ремесленники.
Ну, и наконец, нейронки могут создавать как более совершенные механизмы защиты, так и ее обхода.
Мы живём в интересное время, когда грань между человеческой и машинной сферой сильно размывается.
PS Скептически отношусь к законодательному регулированию деятельности по разработке ИИ и нейросетей. Когда можно приобрести такой мощный инструмент по "чемухочешь", кого останавливали законы?..
Что могу сказать? "Опомнились".
Многие эксперты с помощью открытого письма призвали приостановить обучение нейросетей из-за рисков для общества и человечества. Этот документ подписан такими фигурами, как Стив Возняк и Илон Маск (собственно, его детище (ChatGPT) и наделало много шума). Эти светила убеждают организации поставить на паузу разработку больших ИИ-систем, чтобы подготовить правила безопасности, которые будут управлять и ограничивать ИИ-технологии.
Поделюсь своим скромным мнением. ИИ-технологии и нейросети в частности - это этап прогресса. "Опасность" состоит в том, что подобные инструменты становятся не только диалоговыми, но и самостоятельно выбирающими алгоритмы решения поставленной задачи. Проще говоря, человек задал задачу, ИИ выдал ответ. Но человек сам понятия не имеет, как самостоятельно найти этот ответ, как работает та или иная технология. Это как с развитием общества. Теперь человеку не нужно уметь ремонтировать машину или квартиру, как развести огонь или добыть еду. "За всё отвечает серебро". Но в случае форс-мажора мы осознаём, насколько мы ограничены и несамостоятельны. Поэтому развитие технологий ставит нас же в критическую зависимость от них.
Кроме того, незнание, как устроена та или иная технология, открывает путь для множества злоумышленников, которые с удовольствием разберутся в этом и найдут лазейки.
Есть байка, что в одной компании в летний отпуск сразу ушло половина бухгалтеров. Чтобы не наступил бухгалтерский коллапс, местному ИТ-шнику пришлось написать кучу автоматизирующих скриптов. И всё заработало в отсутствие бухов! По возвращению их из отпуска ему "аккуратно" дали понять, чтобы он удалил все эти скрипты и никогда больше так не делал. Иначе люди потеряют работу.
Моё мнение, что в ближайшем будущем, к сожалению, будут вырождаться целые отрасли и профессии. Если утрировать, то останутся лишь аналитики BigData и инженеры нейросетей (и то не факт) и handmade-ремесленники.
Ну, и наконец, нейронки могут создавать как более совершенные механизмы защиты, так и ее обхода.
Мы живём в интересное время, когда грань между человеческой и машинной сферой сильно размывается.
PS Скептически отношусь к законодательному регулированию деятельности по разработке ИИ и нейросетей. Когда можно приобрести такой мощный инструмент по "чемухочешь", кого останавливали законы?..
Добрый день, коллеги и друзья!
Сейчас можно увидеть определенный технический хайп, связанный с закупкой систем 2-факторной аутентификации (проще - 2Fa). Для ликбеза добавил ссылку с простым описанием, что это такое.
Мы вместе с нашими инженерами и хакерами посмотрели ряд продуктов. И хотели бы обратить Ваше внимание на следующие "тонкие" моменты, о которых менеджеры разработчиков, скорее всего, вам не скажут.
✅ продукты, как правило, полностью "закрывают" Windows в плане паролей (Active Directory). Здесь какие-либо доп. решения обычно не требуются.
❓что касается web-сервисов, то 2Fa умеет защищать далеко не всё. Для тех сервисов, что не будут защищены "из коробки", разработчики, как правило, предоставляют право подключиться к API. Соответственно, у Вас как у заказчика, должны быть квалифицированные разработчики, чтобы реализовать собственный сценарий защиты. Не все могут себе это позволить. Но на этот случай мы готовы предоставить альтернативное решение.
🙅♂️ Системы на базе Linux ведущие разработчики 2Fa-решений не закрывают (пока). По словам вендоров, как минимум, еще год данная ситуация сохранится. Но это не трагедия, так как у нас есть, что предложить в качестве компенсирующих мер.
‼️ Важно: если Вы подключили 2Fa только к привилегированным пользователям, то это далеко не гарантирует защиту системы. Мы неоднократно и успешно реализовывали сценарии по проникновению в сеть подбором пароля обычного пользователя, и далее уже осуществляли повышение привилегий до админских прав. В случае, если вам нужен охват всех пользователей, точно дешевле будет охватить всех пользователей с помощью нашего решения.
❗️Патч-менеджмент так же обязателен для защиты от атак, потому что НС доступ можно осуществить и не через пароли, а через непропатченные CVE в компонентах ИС.
❗️Очень внимательно должна вестись учетная политика, в идеале - с помощью IdM. В противном случае могут найтись записи, к которым не подключена 2Fa - уволенные (но активные), вновь созданные (2Fa надо, скорее всего, не забывать подключать вручную) и т.п. ТАКЖЕ если учетная запись временно блокируется, а потом включается, 2Fa автоматически, скорее всего, не включается! Т.о., есть риски появления незащищенных записей. Что делать? У нас есть ответ и на этот вопрос!
Данный пост не является рекламой (ну почти 😊), его цель - обратить Ваше внимание на то, что 2Fa - это не панацея!
Прекрасного завершения рабочего дня и замечательных выходных, коллеги!
Сейчас можно увидеть определенный технический хайп, связанный с закупкой систем 2-факторной аутентификации (проще - 2Fa). Для ликбеза добавил ссылку с простым описанием, что это такое.
Мы вместе с нашими инженерами и хакерами посмотрели ряд продуктов. И хотели бы обратить Ваше внимание на следующие "тонкие" моменты, о которых менеджеры разработчиков, скорее всего, вам не скажут.
✅ продукты, как правило, полностью "закрывают" Windows в плане паролей (Active Directory). Здесь какие-либо доп. решения обычно не требуются.
❓что касается web-сервисов, то 2Fa умеет защищать далеко не всё. Для тех сервисов, что не будут защищены "из коробки", разработчики, как правило, предоставляют право подключиться к API. Соответственно, у Вас как у заказчика, должны быть квалифицированные разработчики, чтобы реализовать собственный сценарий защиты. Не все могут себе это позволить. Но на этот случай мы готовы предоставить альтернативное решение.
🙅♂️ Системы на базе Linux ведущие разработчики 2Fa-решений не закрывают (пока). По словам вендоров, как минимум, еще год данная ситуация сохранится. Но это не трагедия, так как у нас есть, что предложить в качестве компенсирующих мер.
‼️ Важно: если Вы подключили 2Fa только к привилегированным пользователям, то это далеко не гарантирует защиту системы. Мы неоднократно и успешно реализовывали сценарии по проникновению в сеть подбором пароля обычного пользователя, и далее уже осуществляли повышение привилегий до админских прав. В случае, если вам нужен охват всех пользователей, точно дешевле будет охватить всех пользователей с помощью нашего решения.
❗️Патч-менеджмент так же обязателен для защиты от атак, потому что НС доступ можно осуществить и не через пароли, а через непропатченные CVE в компонентах ИС.
❗️Очень внимательно должна вестись учетная политика, в идеале - с помощью IdM. В противном случае могут найтись записи, к которым не подключена 2Fa - уволенные (но активные), вновь созданные (2Fa надо, скорее всего, не забывать подключать вручную) и т.п. ТАКЖЕ если учетная запись временно блокируется, а потом включается, 2Fa автоматически, скорее всего, не включается! Т.о., есть риски появления незащищенных записей. Что делать? У нас есть ответ и на этот вопрос!
Данный пост не является рекламой (ну почти 😊), его цель - обратить Ваше внимание на то, что 2Fa - это не панацея!
Прекрасного завершения рабочего дня и замечательных выходных, коллеги!
Wikipedia
Многофакторная аутентификация
Многофакторная аутентификация (МФА, англ. multi-factor authentication, MFA) — расширенная аутентификация, метод контроля доступа к чему-либо (компьютеру, сайту и так далее) в котором пользователю для получения доступа к информации необходимо предъявить более…
Forwarded from IT и безопасность
Ошибочное понимание ИТ-безопасности: пароли
Поговорим о том, как придумывать и запоминать надежные пароли. Все знают, как важно пользоваться надежными паролями. Но все ли понимают, какие пароли можно называть по-настоящему надежными?
#пароль
Поговорим о том, как придумывать и запоминать надежные пароли. Все знают, как важно пользоваться надежными паролями. Но все ли понимают, какие пароли можно называть по-настоящему надежными?
#пароль
Medium
Какие пароли можно называть надежными?
Практически любой согласится: да, надежный пароль действительно важен, но в то же время его так сложно запомнить! Поэтому многие даже не…
https://www.securitylab.ru/news/549172.php
Интересно, есть ли среди подписчиков пользователи телефонов Google Pixel? А я пока, пожалуй, обновлюсь 😊
Интересно, есть ли среди подписчиков пользователи телефонов Google Pixel? А я пока, пожалуй, обновлюсь 😊
SecurityLab.ru
0day в Pixel: Google выпускает экстренный патч для своих смартфонов
Обновляйтесь скорее, пока хакеры не проложили кибертропинку к вашему гаджету.