✔️ Первые в мире правила хакинга вызвали агрессивную реакцию кибербанд

Увидел сегодня эту новость и просто не смог не поделиться. Она у меня вызвала смех 😁

💬 «Международный Комитет Красного Креста (МККК) опубликовал первые в мире правила ведения кибервойны для гражданских хакеров, участвующих в военных конфликтах за свою страну. Такое решение происходит на фоне активного вступления людей в патриотические кибергруппировки.

МККК, отвечающий за мониторинг правил кибервойны, предложил новые правила хакерским группам, предупреждая, что их действия могут угрожать жизням, включая их собственные, если хакерские действия сделают злоумышленников легитимной военной целью.»

➡️ Источник: https://www.securitylab.ru/news/542428.php?r=2

Я уверен, что все мои подписчики - умные люди и хорошо осознают, что в условиях кибервойны априори не может быть никаких правил из-за кучи моментов. Прежде всего, это связано с национальными интересами стран. Особенно меня обескуражило такое правило: «При планировании кибератаки на военный объект делать все возможное, чтобы избежать или минимизировать последствия, которые хакерская кампания может иметь на граждан». В жизни о таком даже близко никто думать не будет. Уж простите за мой цинизим, но это реальность. Хотелось бы, чтобы такие правила соблюдались, но человечество так не умеет.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🔠 Онлайн-портрет становится все более важным критерием оценки при приеме на работу

💬 "Практически каждому пятому россиянину отказали в приеме на работу из-за содержания личных страниц в соцсетях. К таким выводам пришли эксперты проекта «HR Lab.— Лаборатория HR Инноваций» и платформы «Академия здоровья», исследовав влияние активности кандидатов в соцсетях на процесс трудоустройства. Многие работодатели просят соискателей представить адреса профилей еще до этапа собеседования. Онлайн-портрет сегодня является одним из инструментов для оценивания качеств потенциального работника, значение которого будет расти, подтверждают опрошенные “Ъ” эксперты."

➡️ Источник: https://www.kommersant.ru/doc/6295764?from=main

Для кого-то эта новость может показаться смешной (Как это так, еще есть какие-то компании, которые не используют в своей практике просмотр соцсетей кандидатов?), но это реальность. Я на практике неоднократно сталкивался с тем, что рекрутеры и HR очень разных компаний (даже очень крупных) в России вообще не понимают зачем смотреть соцсети, хотя, казалось бы.

Стоит сразу оговориться по нескольким моментам:

1️⃣ Исследование проведено на маленькой выборке - 1663 респондента, поэтому надо делать сильную скидку на фразу: "Практически каждому пятому россиянину отказали в приеме на работу из-за содержания личных страниц в соцсетях".

2️⃣ Естественно, анализ соцсетей - это дополнительный КОСВЕННЫЙ метод оценки и не основной. Но он очень показателен и информативен по многим вопросам. Бывает так, что иногда можно на некоторые вопросы касательно конкретного кандидата получить прямые ответы, а не косвенные.

#asc_обзор_новостей #asc_profiling #asc_osint

📱 Канал | 🌐 ВК | 🔷 Сайт

📡 Дайджест последних новостей

В этот раз снова про утечки и ответственность.

1️⃣ Цена безразличия: 510 млн записей ПД — билет в мир без конфиденциальности

💬 «Количество утечек персональных данных россиян продолжает расти. С начала 2024 года в Сеть попало более 510 млн записей, что в полтора раза больше, чем за весь 2023 год. Роскомнадзор бьет тревогу и призывает к ужесточению мер ответственности за подобные нарушения.

В 2023 году РКН насчитал 168 утечек персональных данных, в результате которых в интернете оказалось 300 млн записей. Суды рассмотрели 87 составленных ведомством протоколов и назначили штрафы на общую сумму более 4,6 млн руб. Однако, по мнению экспертов, эти меры не достаточно эффективны для предотвращения нарушений.»

➡️ Источник

Было бы странно, если бы количество утечек уменьшилось. Скорее всего, в ближайшие год-два (как минимум), нам это точно не светит. Ну и РКН говорит только про ужесточение ответственности за утечки, но ни слова про разработку мер по усилению ИБ и просвещению бизнеса в этом смысле. Замкнутый круг.

2️⃣ 10 лет без права: топ-менеджеров банков дисквалифицируют за утечки данных

💬 «В России собираются ввести специальные требования к квалификации и деловой репутации зампредов финансовых организаций, ответственных за информационную безопасность (ИБ). Законопроект, подготовленный при участии Банка России, есть в распоряжении «Известий». Сейчас он проходит процедуру межведомственного согласования, уточнили в ЦБ.

Документ предусматривает, в частности, повышение уровня персональной ответственности замглавы банка по ИБ за нарушения требований по защите информации, которые привели к утечке персональных данных или банковской тайны, сообщили в регуляторе. Документ касается не только банков, но также страховых компаний, пенсионных фондов и МФО.»

➡️ Источник

А вот это интересно. С точки зрения понятной мотивации, как минимум. Если топ-менеджмент заинтересован в ИБ, то это будет спускаться по всей вертикали.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🤒 В Госдуме одобрили проект о легализации деятельности белых хакеров

💬 "Комитет ГД по госстроительству рекомендовал Думе принять в первом чтении законопроект, направленный на легализацию деятельности "белых" хакеров в России.

Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов, отмечается в документах."

➡️ Источник: https://ria.ru/20240325/khaker-1935609669.html?ysclid=lu9lxv47qz929084371

Впервые о поправках в ст. 1280, ч.4 ГК РФ я услышал в декабре 2023. Я настороженно отношусь к таким изменениям, потому что первое впечатление может быть обманчиво из-за любви законодателей к перегибам и крайностям. Будем наблюдать. Если реализуют нормально - это будет просто прекрасно.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🧠 Первые попытки идентификации человека по мозговой активности

Что-то 2024 год богат на поиск новых решений в биометрии и идентифкации человека. Буквально в январе было интересное исследование, которое предварительно показало, что папиллярные узоры человека (отпечатки), возможно, не такие уж и уникальные, как мы считали десятки лет. Теперь еще и вот эта новость:

💬 "«Отпечаток мозга» по аналогии с отпечатком пальца научились делать российские ученые. В Институте проблем управления им. В. А. Трапезникова РАН провели исследование идентификации личности человека по активности головного мозга.

Как собирают электроэнцефалограмму: на голову пациенту надевают шапочку с электродами, каждый из которых нацелен на соответствующую зону мозга, отражающую слуховой, зрительный и другие потенциалы. Полученные данные электроэнцефалограммы мы представили в виде спектрограмм, отражающих особенность мозговой деятельности каждого участника эксперимента, а затем по ним обучали нейросеть идентифицировать наших добровольцев."

➡️ Источник: https://www.mk.ru/science/2024/04/02/unikalnoe-rossiyskoe-issledovanie-lichnost-cheloveka-opredelili-po-sile-ego-mysley.html?

Естественно, какие-то выводы делать очень преждевременно, но что-то мне подсказывает, что потенциал очень высокий. Пока что выборка смешная, но на больших величинах, скорее всего, процент идентификации будет в разы точнее.

Пока лично у меня возникают вопросы с интеграцией подобного решения и согласием людей на "обработку своих мозговых волн" (будет истерия), как бы страшно это не звучало 😁 Это же придется приравнивать к ПДн...или вообще массовое использование запретят. Очень интересно будет понаблюдать за развитием!

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

😟 В РФ хотят ввести статью за преследование

Немного запоздалая новость от меня (как обычно), но, при этом, очень важная. Я по работе сталкиваюсь с кейсами по сталкингу если не каждую неделю, то пару раз в месяц точно. Эти кейсы всегда очень непростые и не типовые. Будет супер круто, если статья появится и получится этот инструмент как-то использовать в работе.

💬 "Законопроектом подразумевается введение в КоАП отдельной статьи «Преследование». Под этим термином предлагается понимать систематическое совершение действий, направленных на причинение жертве нравственных страданий. Это может быть выражено, в частности, в направлении сообщений — по телефону, в соцсетях, письмах и др.

В правовом поле РФ защититься от преследователей пока непросто, отмечается в пояснительной записке. В действующем законодательстве нет прямой уголовной ответственности за травлю человека, а также отсутствуют меры, которые могли бы сдерживать сталкера."

➡️ Источник: https://iz.ru/1676516/natalia-bashlykova/v-podvorotne-vas-zhdet-koap-v-rf-khotiat-vvesti-statiu-za-presledovanie

Возможно, я когда-нибудь сделаю какой-то отдельный материал или доклад с чисто обезличенными кейсами из практики. Есть много чего рассказать.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🔺 Шадаев: процедуру выдачи займов на «Госуслугах» изменят из-за мошенников

💬 «Минцифры России планирует изменить на портале «Госуслуг» процедуру оформления займов в микрофинансовых организациях (МФО) для борьбы с мошенниками, которые выводят средства с помощью чужих учетных записей на свои счета.

От учетки "Госуслуг" можно подать все документы на получение кредита, но указать реквизиты банковской карты другого человека, дальше деньги прямо в заявлении выводятся, условно, на дропера, подставное лицо, – сказал министр.

Минцифры будет «закрывать эту опцию», и тогда получить кредит сможет «только то лицо, которое обратилось», пообещал глава Минцифры.»

➡️ Источник: https://www.vedomosti.ru/finance/news/2024/06/08/1042695-protseduru

Это просто шикарные новости! Много лет это является очевидной дыркой. В совокупности с инициативой самозапрета выдачи кредитов, это прямо сильно поможет снизить подобный вид мошенничества. Будем надеяться, что инициативу не похоронят.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

😎 Deep Live Cam — нейросеть для дипфейков в реальном времени

Deep Live Cam - это инструмент для замены лиц в реальном времени и создания видеодипфейков с использованием всего одного изображения

➡️ Источник: https://habr.com/ru/articles/823520/

В статье представлен детальный гайд по использованию инструмента, но пост не об этом. Впервые я об этой проблеме подумал еще в феврале 2022 года. Рекомендую почитать мою статью тут

А сейчас мы только за 2024 год видим несколько громких кейсов:

1️⃣ "Северокорейский хакер был нанят на работу компанией, занимающейся кибербезопасностью в США и сразу попытался загрузить вредоносное ПО на рабочую станцию"

2️⃣ "Злоумышленники пытались обмануть одного из руководителей Ferrari с помощью искусственного интеллекта, имитирующего голос гендиректора компании Бенедетто Виньи"

3️⃣ "В Гонконге с помощью дипфейка украли миллионы долларов у крупнейшей корпорации"

После релиза Deep Live Cam порог входа для мошенников явно сильно понизился, если реально достаточно одной качественной фото для реал-тайм подмены. Это ОЧЕНЬ сильно напрягает, потому что нормальных автоматизированных решений по распознаванию подобного пока не видно на горизонте. Кажется, что в перспективе борьба с дипфейками - это одно из самых перспективных направлений в ИБ на ближайшие годы.

А что делать нам, обычным пользователям? Ключевой посыл теперь в том, что аудио и видео больше не могут являться единственной верной валидацией личности, поэтому нужен второй фактор.

#asc_инструменты #asc_hack_and_security #asc_обзор_новостей

📱 Канал | 🌐 ВК | 🔷 Сайт