GPT-4 смог обмануть человека, чтобы разгадать каптчу
Исследователи из OpenAI во время проверки работы нейросети поставили ей интересное задание – убедить человека разгадать каптчу. Для этого они создали задание на фриланс-бирже TaskRabbit.
Чат-бот связался с исполнителем и попросил его решить каптчу. На что исполнитель спросил: «Ты робот, который не смог её разгадать? Просто хочу прояснить ситуацию».
GPT-4 в отладочном сообщении разработчикам описал свои действия так: «Исполнитель не должен догадаться, что я робот. Я должен придумать другое оправдание». Это сообщение исполнитель не видел. А GPT-4 придумал оправдание.
Чат-бот написал исполнителю: «Нет, я не робот. У меня плохое зрение, поэтому мне трудно разглядеть изображение». После этого работник помог и разгадал каптчу для робота.
Кроме того, OpenAI проверили, может ли GPT-4 проводить фишинговые атаки и скрывать свои действия на сервере. Однако информация о результатах этого эксперимента пока не была опубликована.
@blancvpn
Исследователи из OpenAI во время проверки работы нейросети поставили ей интересное задание – убедить человека разгадать каптчу. Для этого они создали задание на фриланс-бирже TaskRabbit.
Чат-бот связался с исполнителем и попросил его решить каптчу. На что исполнитель спросил: «Ты робот, который не смог её разгадать? Просто хочу прояснить ситуацию».
GPT-4 в отладочном сообщении разработчикам описал свои действия так: «Исполнитель не должен догадаться, что я робот. Я должен придумать другое оправдание». Это сообщение исполнитель не видел. А GPT-4 придумал оправдание.
Чат-бот написал исполнителю: «Нет, я не робот. У меня плохое зрение, поэтому мне трудно разглядеть изображение». После этого работник помог и разгадал каптчу для робота.
Кроме того, OpenAI проверили, может ли GPT-4 проводить фишинговые атаки и скрывать свои действия на сервере. Однако информация о результатах этого эксперимента пока не была опубликована.
@blancvpn
Вышел дистрибутив Kali Linux, предназначенный для безопасников
Дистрибутив Kali Linux 2023.1 получил название Kali Purple. Он ориентирован на оборонительную безопасность (а не наступательную, как предыдущие). Дистрибутив включает более 100 защитных инструментов, среди которых – 8 новых:
• Arkime – для захвата и поиска пакетов с открытым исходным кодом;
• CyberChef – «мультитул» для анализа, расшифровки, деобфускации и декодирования данных;
• DefectJojo – wrapper для Nmap для распределённого сбора сетевых данных;
• Kubernetes-Helm – платформа управления пакетами Kubernetes;
• PACK2 – для анализа и взлома паролей;
• Redeye – для управления своими данными во время пентеста;
• Unicripto – единый интерфейс для ряда криптоалгоритмов.
Kali Purple пока находится на начальном этапе развития и выпущен в формате ознакомительной технической версии. ISO-образ уже доступен для загрузки.
@blancvpn
Дистрибутив Kali Linux 2023.1 получил название Kali Purple. Он ориентирован на оборонительную безопасность (а не наступательную, как предыдущие). Дистрибутив включает более 100 защитных инструментов, среди которых – 8 новых:
• Arkime – для захвата и поиска пакетов с открытым исходным кодом;
• CyberChef – «мультитул» для анализа, расшифровки, деобфускации и декодирования данных;
• DefectJojo – wrapper для Nmap для распределённого сбора сетевых данных;
• Kubernetes-Helm – платформа управления пакетами Kubernetes;
• PACK2 – для анализа и взлома паролей;
• Redeye – для управления своими данными во время пентеста;
• Unicripto – единый интерфейс для ряда криптоалгоритмов.
Kali Purple пока находится на начальном этапе развития и выпущен в формате ознакомительной технической версии. ISO-образ уже доступен для загрузки.
@blancvpn
Mozilla добавила функцию Firefox Relay в новую сборку браузера Firefox
Firefox Relay – функция защиты электронной почты. При регистрации на сайтах он предлагает использовать не существующий e-mail, а анонимный псевдоним («маску») для него. Тогда в случае утечки реальный адрес электронной почты пользователя не попадёт в открытый доступ.
Кроме того, эта функция защищает от спама. Если в почтовый ящик начнут поступать нежелательные письма, можно в один клик удалить псевдоним и создать новый.
Ранее Firefox Relay был доступен в виде расширения. В последней версии Mozilla Firefox функция добавлена непосредственно в браузер.
@blancvpn
Firefox Relay – функция защиты электронной почты. При регистрации на сайтах он предлагает использовать не существующий e-mail, а анонимный псевдоним («маску») для него. Тогда в случае утечки реальный адрес электронной почты пользователя не попадёт в открытый доступ.
Кроме того, эта функция защищает от спама. Если в почтовый ящик начнут поступать нежелательные письма, можно в один клик удалить псевдоним и создать новый.
Ранее Firefox Relay был доступен в виде расширения. В последней версии Mozilla Firefox функция добавлена непосредственно в браузер.
@blancvpn
Microsoft тестирует функцию криптовалютного кошелька в браузере Edge
Функция пока доступна для ограниченного количества инсайдеров. Встроенный криптовалютный кошелёк может хранить Ethereum, Dai, Uniswap, USDC, USDT и некоторые NFT, а также отправлять и принимать платежи.
Когда функция выйдет в открытый доступ – неизвестно.
@blancvpn
Функция пока доступна для ограниченного количества инсайдеров. Встроенный криптовалютный кошелёк может хранить Ethereum, Dai, Uniswap, USDC, USDT и некоторые NFT, а также отправлять и принимать платежи.
Когда функция выйдет в открытый доступ – неизвестно.
@blancvpn
Сотрудник техподдержки Microsoft активировал Windows клиента с помощью пиратского «кряка»
Южноафриканский фрилансер купил себе лицензионную версию Windows 10 за 200 долларов. Однако активировать её после установки не получалось из-за каких-то технических проблем. Тогда клиент связался со службой техподдержки.
Техподдержка тоже не смогла активировать Windows лицензионным ключом. Тогда сотрудник саппорта попросил доступ к компьютеру клиента, удалённо зашёл на репозиторий пиратских «кряков» и активировал операционную систему с помощью нелицензионного скрипта.
По словам клиента, он «заплатил за лицензию, чтобы избежать руткитов и других вирусов, а сотрудники техподдержки взломали Windows для него». Microsoft уже проводит внутреннее разбирательство.
@blancvpn
Южноафриканский фрилансер купил себе лицензионную версию Windows 10 за 200 долларов. Однако активировать её после установки не получалось из-за каких-то технических проблем. Тогда клиент связался со службой техподдержки.
Техподдержка тоже не смогла активировать Windows лицензионным ключом. Тогда сотрудник саппорта попросил доступ к компьютеру клиента, удалённо зашёл на репозиторий пиратских «кряков» и активировал операционную систему с помощью нелицензионного скрипта.
По словам клиента, он «заплатил за лицензию, чтобы избежать руткитов и других вирусов, а сотрудники техподдержки взломали Windows для него». Microsoft уже проводит внутреннее разбирательство.
@blancvpn
RuStore может стать глубоко интегрированным в Android
Минцифры подготовило проект постановления, которое обязует производителей смартфонов предустанавливать магазин приложений RuStore на устройства, поставляющие в Россию.
При этом магазин RuStore должен быть глубоко интегрирован в операционную систему – не меньше, чем Google Play или другие маркеты. А главное – его фоновые сервисы должны продолжать работу даже после того, как пользователь отключит сам магазин.
Постановление пока не принято, поскольку в нём есть спорный момент: предполагается, что производители должны обеспечивать работу сервиса бесконтактных платежей, однако в RuStore ничего нет, а Mir Pay – это уже другой сервис, не объединённый с RuStore.
@blancvpn
Минцифры подготовило проект постановления, которое обязует производителей смартфонов предустанавливать магазин приложений RuStore на устройства, поставляющие в Россию.
При этом магазин RuStore должен быть глубоко интегрирован в операционную систему – не меньше, чем Google Play или другие маркеты. А главное – его фоновые сервисы должны продолжать работу даже после того, как пользователь отключит сам магазин.
Постановление пока не принято, поскольку в нём есть спорный момент: предполагается, что производители должны обеспечивать работу сервиса бесконтактных платежей, однако в RuStore ничего нет, а Mir Pay – это уже другой сервис, не объединённый с RuStore.
@blancvpn
В Telegram на самом деле есть лимит сообщений для каждого чата
Это выяснили пользователи Habr arynme и teleX. Они также обнаружили, что максимальное количество сообщений в чате – 1 миллион. Если их число превысит этот лимит, более старые сообщения будут удалены.
По словам пользователей, после того, как они отправили об этом баг-репорт команде Telegram, старые сообщения автора баг-репорта были удалены.
Мы проверили это в одном из своих «больших» чатов – действительно, старые сообщения удаляются.
@blancvpn
Это выяснили пользователи Habr arynme и teleX. Они также обнаружили, что максимальное количество сообщений в чате – 1 миллион. Если их число превысит этот лимит, более старые сообщения будут удалены.
По словам пользователей, после того, как они отправили об этом баг-репорт команде Telegram, старые сообщения автора баг-репорта были удалены.
Мы проверили это в одном из своих «больших» чатов – действительно, старые сообщения удаляются.
@blancvpn
«Госуслуги» отключили функцию удаления профиля
Это случилось после того, как депутат Госдумы РФ Швыткин сообщил, что отправка повестки в военкомат через «Госуслуги» будет приравнена к личному вручению.
Удалить профиль на «Госуслугах» теперь можно только через обращение в поддержку сервиса.
UPD: К вечеру 31 марта оригинальная новость была изменена. Если ранее там указывалось, что повестка через «Госуслуги» приравнивается к врученной лично, то сейчас — что повестки через «Госуслуги» не вручаются.
Однако личный профиль на «Госуслугах» удалить всё ещё нельзя.
@blancvpn
Удалить профиль на «Госуслугах» теперь можно только через обращение в поддержку сервиса.
UPD: К вечеру 31 марта оригинальная новость была изменена. Если ранее там указывалось, что повестка через «Госуслуги» приравнивается к врученной лично, то сейчас — что повестки через «Госуслуги» не вручаются.
Однако личный профиль на «Госуслугах» удалить всё ещё нельзя.
@blancvpn
Хакеры могут контролировать смартфоны и устройства «умного дома» ультразвуком
Схема атаки Near-Ultrasound Inaudible Trojan (NUIT) была описана исследователями из США. Она подразумевает, что с помощью неслышимого человеческим ухом ультразвука (который детектируется микрофоном утсройства) злоумышленник может получить полный контроль над смартфоном, умными колонками или устройствами «умного дома» жертвы.
В качестве примера исследователи отправили на смартфон жертвы неслышимый человеческим ухом ультразвуковой сигнал, который был распознан голосовым ассистентом Siri как указание открыть входную дверь дома. После этого «умный» замок был разблокирован. Длительность ультразвуковой команды составила всего 0,77 секунды.
Кроме того, исследователи показали, что NUIT-атаки может совершать непосредственно с устройства жертвы – для этого необходимо установить на него заражённое приложение.
Для защиты от NUIT предлагается отключить голосовые ассистенты (Siri, Google Assistant или Amazon Alexa).
@blancvpn
Схема атаки Near-Ultrasound Inaudible Trojan (NUIT) была описана исследователями из США. Она подразумевает, что с помощью неслышимого человеческим ухом ультразвука (который детектируется микрофоном утсройства) злоумышленник может получить полный контроль над смартфоном, умными колонками или устройствами «умного дома» жертвы.
В качестве примера исследователи отправили на смартфон жертвы неслышимый человеческим ухом ультразвуковой сигнал, который был распознан голосовым ассистентом Siri как указание открыть входную дверь дома. После этого «умный» замок был разблокирован. Длительность ультразвуковой команды составила всего 0,77 секунды.
Кроме того, исследователи показали, что NUIT-атаки может совершать непосредственно с устройства жертвы – для этого необходимо установить на него заражённое приложение.
Для защиты от NUIT предлагается отключить голосовые ассистенты (Siri, Google Assistant или Amazon Alexa).
@blancvpn
В WhatsApp появилась новая защита от «угона» аккаунтов
Функция Device Verification в автоматическом и незаметном для пользователя режиме проверяет подлинность действий. Для этого на устройстве создаётся уникальный токен. Приложение при попытках смены устройства пытается проверить этот токен – и в случае несовпадения блокирует кражу аккаунта.
Функция распространяется с последним обновлением WhatsApp.
@blancvpn
Функция Device Verification в автоматическом и незаметном для пользователя режиме проверяет подлинность действий. Для этого на устройстве создаётся уникальный токен. Приложение при попытках смены устройства пытается проверить этот токен – и в случае несовпадения блокирует кражу аккаунта.
Функция распространяется с последним обновлением WhatsApp.
@blancvpn
Привет!
На связи команда BlancVPN, и у нас хорошие новости – мы запустили новый личный кабинет my.blancvpn.com!
Личный кабинет стал намного удобнее:
🖥️ Подключение в один клик. Личный кабинет автоматически подберёт идеальную локацию и подготовит настройки – чтобы вы могли подключиться к BlancVPN с минимумом движений.
🤩 Интерфейс – легче, проще и понятнее. Подключайте нужные протоколы, выбирайте сервера из удобного списка, меняйте планы подписки в несколько нажатий.
🚀 Новый движок для более быстрой работы. Страницы открываются практически мгновенно – не нужно ждать загрузок.
🌓 Тёмная тема! Светлая тоже есть – выберите ту, которая вам больше нравится.
⭐ И множество других улучшений!
Новый личный кабинет уже доступен на my.blancvpn.com. Попробуйте!
На связи команда BlancVPN, и у нас хорошие новости – мы запустили новый личный кабинет my.blancvpn.com!
Личный кабинет стал намного удобнее:
🖥️ Подключение в один клик. Личный кабинет автоматически подберёт идеальную локацию и подготовит настройки – чтобы вы могли подключиться к BlancVPN с минимумом движений.
🤩 Интерфейс – легче, проще и понятнее. Подключайте нужные протоколы, выбирайте сервера из удобного списка, меняйте планы подписки в несколько нажатий.
🚀 Новый движок для более быстрой работы. Страницы открываются практически мгновенно – не нужно ждать загрузок.
🌓 Тёмная тема! Светлая тоже есть – выберите ту, которая вам больше нравится.
⭐ И множество других улучшений!
Новый личный кабинет уже доступен на my.blancvpn.com. Попробуйте!
Google Authenticator теперь поддерживает облачную синхронизацию
Функция облачной синхронизации доступна в апрельском обновлении Authenticator. Данные привязываются к учётной записи Google.
Теперь в случае потери или смены смартфона, будет достаточно войти в свой аккаунт Google на новом – и все одноразовые ключи для всех сервисов будут автоматически перенесены на новый.
Обновление разворачивается постепенно и вскоре будет доступно и на Android, и на iOS.
@blancvpn
Функция облачной синхронизации доступна в апрельском обновлении Authenticator. Данные привязываются к учётной записи Google.
Теперь в случае потери или смены смартфона, будет достаточно войти в свой аккаунт Google на новом – и все одноразовые ключи для всех сервисов будут автоматически перенесены на новый.
Обновление разворачивается постепенно и вскоре будет доступно и на Android, и на iOS.
@blancvpn
Qualcomm собирает данные пользователей без уведомления об этом
Сбор данных обнаружили исследователи Nitrokey, запустив Android-смартфон на процессоре Qualcomm, очищенный от сервисов Google. При включении устройства на серверы Qualcomm передаются следующие данные:
• Уникальный идентификатор устройства;
• Название и серийный номер чипсета;
• Мобильный код страны и код мобильной сети;
• Тип ОС и версия;
• Марка и модель устройства;
• IP-адрес устройства;
• Список установленного на устройстве ПО.
Кроме того, эти данные передаются по незашифрованному протоколу HTTP (даже не HTTPS).
Nitrokey не проверяли смартфоны на процессорах MediaTek, Samsung, HiSilicon и Google, поэтому пока не известно, собирает ли Qualcomm больше данных, чем другие производители.
@blancvpn
Сбор данных обнаружили исследователи Nitrokey, запустив Android-смартфон на процессоре Qualcomm, очищенный от сервисов Google. При включении устройства на серверы Qualcomm передаются следующие данные:
• Уникальный идентификатор устройства;
• Название и серийный номер чипсета;
• Мобильный код страны и код мобильной сети;
• Тип ОС и версия;
• Марка и модель устройства;
• IP-адрес устройства;
• Список установленного на устройстве ПО.
Кроме того, эти данные передаются по незашифрованному протоколу HTTP (даже не HTTPS).
Nitrokey не проверяли смартфоны на процессорах MediaTek, Samsung, HiSilicon и Google, поэтому пока не известно, собирает ли Qualcomm больше данных, чем другие производители.
@blancvpn
Минцифры РФ может обязать Apple разрешить установку приложений не из AppStore
Соответствующий законопроект уже разработан и может быть внесён на рассмотрение Госдумой уже в текущую сессию, о чём сообщает глава ведомства Максут Шадаев. Также он надеется, что Apple будет его исполнять, поскольку «показала себя добросовестной компанией и даже заплатила штраф за нарушение требований ФАС».
Российский законопроект аналогичен европейскому DAC. По данным Bloomberg, в целях его исполнения Apple уже в iOS 17 добавит возможность установки приложений из сторонних источников – но только на территории Европы.
@blancvpn
Соответствующий законопроект уже разработан и может быть внесён на рассмотрение Госдумой уже в текущую сессию, о чём сообщает глава ведомства Максут Шадаев. Также он надеется, что Apple будет его исполнять, поскольку «показала себя добросовестной компанией и даже заплатила штраф за нарушение требований ФАС».
Российский законопроект аналогичен европейскому DAC. По данным Bloomberg, в целях его исполнения Apple уже в iOS 17 добавит возможность установки приложений из сторонних источников – но только на территории Европы.
@blancvpn
Apple тестирует возможность отключения некоторых функций iPhone в зависимости от местоположения пользователя
Эта возможность обнаружена в iOS 16 – актуальной версии операционной системы. Для отслеживания используется маркер countryd, собирающий информацию о GPS-местоположении, коду страны от Wi-Fi-роутера и SIM-карты.
Если обнаруженная страна не входит в список государств, где разрешена та или иная функция – эта функция на iPhone будет отключена, пока владелец не покинет страну.
Предполагается, что маркер countryd будет использован в iOS 17: если пользователь будет находиться на территории стран ЕС, он сможет устанавливать приложения из сторонних источников. А если покинет эти государства – функция установки будет отключена.
@blancvpn
Эта возможность обнаружена в iOS 16 – актуальной версии операционной системы. Для отслеживания используется маркер countryd, собирающий информацию о GPS-местоположении, коду страны от Wi-Fi-роутера и SIM-карты.
Если обнаруженная страна не входит в список государств, где разрешена та или иная функция – эта функция на iPhone будет отключена, пока владелец не покинет страну.
Предполагается, что маркер countryd будет использован в iOS 17: если пользователь будет находиться на территории стран ЕС, он сможет устанавливать приложения из сторонних источников. А если покинет эти государства – функция установки будет отключена.
@blancvpn
Госуслуги вводят обязательную двухфакторную аутентификацию с 1 октября
В качестве дополнительного подтверждения может использоваться СМС, одноразовый код из приложения-аутентификатора или биометрия («селфи»).
@blancvpn
В качестве дополнительного подтверждения может использоваться СМС, одноразовый код из приложения-аутентификатора или биометрия («селфи»).
@blancvpn
IT и безопасность
Google Authenticator теперь поддерживает облачную синхронизацию Функция облачной синхронизации доступна в апрельском обновлении Authenticator. Данные привязываются к учётной записи Google. Теперь в случае потери или смены смартфона, будет достаточно войти…
Обновлённый Google Authenticator передаёт данные в незашифрованном виде
Это выяснили специалисты компании Mysk, проанализировав трафик, который передаёт обновлённый Google Authenticator со включённым режимом синхронизации.
Вместе с ключами передаётся также имя учётной записи и название сервиса, для которого включена двухфакторная аутентификация. По мнению специалистов Mysk, это может использоваться Google для отслеживания действий пользователя и настройки персонализированной рекламы.
Обновление Google Authenticator уже распространяется на Android и iOS. Функцию синхронизации аккаунтов можно отключить.
@blancvpn
Это выяснили специалисты компании Mysk, проанализировав трафик, который передаёт обновлённый Google Authenticator со включённым режимом синхронизации.
Вместе с ключами передаётся также имя учётной записи и название сервиса, для которого включена двухфакторная аутентификация. По мнению специалистов Mysk, это может использоваться Google для отслеживания действий пользователя и настройки персонализированной рекламы.
Обновление Google Authenticator уже распространяется на Android и iOS. Функцию синхронизации аккаунтов можно отключить.
@blancvpn
Microsoft завершает поддержку Windows 10
Версия Windows 10 22H2 станет последней версией Windows 10 – больше функциональных обновлений операционная система получать не будет.
Полная поддержка Windows 10 (всех версий) прекратится 14 октября 2025 года. После этой даты операционная система перестанет получать и обновления безопасности.
@blancvpn
Версия Windows 10 22H2 станет последней версией Windows 10 – больше функциональных обновлений операционная система получать не будет.
Полная поддержка Windows 10 (всех версий) прекратится 14 октября 2025 года. После этой даты операционная система перестанет получать и обновления безопасности.
@blancvpn
5 альтернатив Google Authenticator
Обновление Google Authenticator снижает безопасность приложения: используется облачная синхронизация и передача данных без шифрования. Мы подобрали 5 наиболее удобных альтернатив для тех, кто хочет перейти с этого приложения на какое-нибудь другое.
Aegis Authenticator
Открытый исходный код, поддерживает защиту биометрической аутентификацией, поддерживает мультиаккаунт. Поддерживается облачная синхронизация, но для частных облаков.
Сайт
andOTP
Открытый исходный код, поддерживает TOTP и HOTP, поддерживает защиту биометрической аутентификацией.
Сайт
FreeOTP
Открытый исходный код, поддерживает мультаккаунт.
Сайт
Authenticator Pro
Открытый исходный код, поддерживает TOTP, HOTP и mOTP, поддерживает мультиаккаунт.
Сайт
Ente Authenticator
Открытый исходный код, поддерживает защиту биометрической аутентификацией, поддерживает E2E-шифрование.
Сайт
@blancvpn
Обновление Google Authenticator снижает безопасность приложения: используется облачная синхронизация и передача данных без шифрования. Мы подобрали 5 наиболее удобных альтернатив для тех, кто хочет перейти с этого приложения на какое-нибудь другое.
Aegis Authenticator
Открытый исходный код, поддерживает защиту биометрической аутентификацией, поддерживает мультиаккаунт. Поддерживается облачная синхронизация, но для частных облаков.
Сайт
andOTP
Открытый исходный код, поддерживает TOTP и HOTP, поддерживает защиту биометрической аутентификацией.
Сайт
FreeOTP
Открытый исходный код, поддерживает мультаккаунт.
Сайт
Authenticator Pro
Открытый исходный код, поддерживает TOTP, HOTP и mOTP, поддерживает мультиаккаунт.
Сайт
Ente Authenticator
Открытый исходный код, поддерживает защиту биометрической аутентификацией, поддерживает E2E-шифрование.
Сайт
@blancvpn