This media is not supported in your browser
VIEW IN TELEGRAM
В команде CICADA8 мы накопили весомую экспертизу по анализу уязвимостей и планируем делиться ей с подрастающим поколением.
Сейчас мы формируем пул учебных заведений в разных городах, с которым будем сотрудничать в части лекций, практик и программ стажировок. Мы будем рады, если вы поможете нам, чтобы больше студентов узнали для себя много полезного в информационной безопасности.
Первую, пилотную лекцию, CPO CICADA8 Алексей Гришин уже прочитал на Дне карьеры в НИУ ВШЭ, успели поговорить о многом:
🟣 Как попасть на стажировки в лучшие компании индустрии ИБ.
🟣 Как участвовать в программах bug bounty: сколько на этом можно заработать и о каких правилах стоит знать.
🟣 Как развивать личный бренд в кибербезе.
Интересно? Тогда мы идём к вам!
Пишите на [email protected] с предложением провести лекцию у вас в вузе. Давайте сделаем обучение студентов ещё перспективнее!
#CICADA8
Сейчас мы формируем пул учебных заведений в разных городах, с которым будем сотрудничать в части лекций, практик и программ стажировок. Мы будем рады, если вы поможете нам, чтобы больше студентов узнали для себя много полезного в информационной безопасности.
Первую, пилотную лекцию, CPO CICADA8 Алексей Гришин уже прочитал на Дне карьеры в НИУ ВШЭ, успели поговорить о многом:
Интересно? Тогда мы идём к вам!
Пишите на [email protected] с предложением провести лекцию у вас в вузе. Давайте сделаем обучение студентов ещё перспективнее!
#CICADA8
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍4❤1🤝1
Мошенники «разыгрывают» новогодние билеты, чтобы украсть данные
К праздникам готовимся не только мы все (у кого есть настроение), но и мошенники. Накануне Нового года они придумали новую схему: рассылают в мессенджерах сообщения о «розыгрыше» бесплатных билетов на новогоднюю ёлку или праздничный концерт.
Ссылки в таких сообщениях ведут на фишинговый сайт с формой для ввода платёжных данных, и свои билеты люди, увы, не получают. Ещё одна подобная схема — объявления о продаже подарков по очень низким ценам, также со ссылкой на фишинговые сайты.
Как не передать свои данные мошенникам? Покупать билеты и подарки только на проверенных сайтах, не переходить по подозрительным ссылкам от незнакомых людей и не верить в подобные «розыгрыши». Только в настоящие чудеса❄️ ⛄️ ❄️
К праздникам готовимся не только мы все (у кого есть настроение), но и мошенники. Накануне Нового года они придумали новую схему: рассылают в мессенджерах сообщения о «розыгрыше» бесплатных билетов на новогоднюю ёлку или праздничный концерт.
Ссылки в таких сообщениях ведут на фишинговый сайт с формой для ввода платёжных данных, и свои билеты люди, увы, не получают. Ещё одна подобная схема — объявления о продаже подарков по очень низким ценам, также со ссылкой на фишинговые сайты.
Как не передать свои данные мошенникам? Покупать билеты и подарки только на проверенных сайтах, не переходить по подозрительным ссылкам от незнакомых людей и не верить в подобные «розыгрыши». Только в настоящие чудеса
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15☃3👍3👌3❤1😱1💅1
Опасно ли пользоваться платёжными стикерами?
После ухода Apple Pay и Google Pay из России банки начали предлагать платёжные стикеры, которые можно наклеить на чехол, чтобы платить телефоном, не доставая карточки из кошелька. Это удобно.
Но есть вопрос: а вдруг кто-то незаметно приложит к смартфону портативный терминал оплаты и спишет деньги? Это возможно, но риски для преступника значительно больше выгоды.
🟣 Стикер работает по тому же принципу, что и пластиковая карта с бесконтактным интерфейсом. Технология защиты для стикера такая же, как в полноформатной карте.
🟣 Оплаты без подтверждения PIN-кодом ограничены, обычно это суммы до 3000 рублей. Совершить дорогостоящие покупки без подтверждения не получится.
🟣 Чтобы произошло списание, требуется фиксация стикера в зоне работы NFC-ридера хоть на короткое время, что затруднительно сделать в движении.
🟣 Неподтверждённые и нехарактерные для клиента операции банк отслеживает с помощью систем антифрода.
🟣 Каждый платёжный терминал привязан к конкретному юридическому лицу, которое банк тщательно проверяет, поэтому для злоумышленника теряется эффект скрытности.
При несанкционированном списании следует незамедлительно обратиться в свой банк и в полицию — преступника быстро вычислят и доступ к его счёту будет заблокирован.
Так что кража денег со стикеров — не тот бизнес, ради которого стоит завести платёжный терминал.
Кстати, у МТС тоже есть платёжный стикер. К нему можно привязать сразу несколько банковских карт и переключаться между ними в приложении.
После ухода Apple Pay и Google Pay из России банки начали предлагать платёжные стикеры, которые можно наклеить на чехол, чтобы платить телефоном, не доставая карточки из кошелька. Это удобно.
Но есть вопрос: а вдруг кто-то незаметно приложит к смартфону портативный терминал оплаты и спишет деньги? Это возможно, но риски для преступника значительно больше выгоды.
При несанкционированном списании следует незамедлительно обратиться в свой банк и в полицию — преступника быстро вычислят и доступ к его счёту будет заблокирован.
Так что кража денег со стикеров — не тот бизнес, ради которого стоит завести платёжный терминал.
Кстати, у МТС тоже есть платёжный стикер. К нему можно привязать сразу несколько банковских карт и переключаться между ними в приложении.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤6👌3👍2
Илья Буймистров занимается исследованиями в области информационной безопасности в команде CICADA8 центра инноваций МТС. На одном из проектов он столкнулся с Shadow Defender. Программа была особенно популярной в 2000-е, не обновляется с 2020-го года, но до сих пор можно найти много обсуждений, посвящённых последствиям её установки.
Кто-то обрёл новые эмоции, безвозвратно потеряв дипломную работу или фотографии. Другие — как Илья — заскриптовали установку необходимых приложений после включения компьютера. Самая частая проблема у пользователей заключается в том, что они не знают или забывают пароль от Shadow Defender. В результате не могут управлять конфигурацией программы и теряют свои данные.
Если вы росли в 2000-х, наверняка сталкивались с этой программой в компьютерных клубах и других местах, где ПК доступен большому количеству людей. Иногда её называют антивирусом, но это не совсем точное определение. Основное преимущество Shadow Defender — свобода экспериментов с компьютером. Вы можете скачивать и запускать всё, что не запретит (или не заметит) тезка от Microsoft — Windows Defender, включая вирусы и майнеры.
Фокус в том, что все внесённые пользователем изменения удаляются после перезагрузки компьютера. Это правда может спасти, так как антивирусы иногда пропускают вредоносный софт. Он добавляется в автозагрузку и закрепляется в операционной системе. Понятное дело, Shadow Defender не защитит от утечки чувствительной информации и злонамеренного использования ПК в текущей сессии, но помешает вирусу закрепиться.
В статье на Хабре Илья рассказал о своём исследовании, в результате которого ему удалось обойти ввод пароля Shadow Defender при удалённом подключении к компьютеру. Благодаря этому можно не только получить доступ к управлению данными на чужом компьютере, но и просто восстановить доступ к своему приложению, если вы забыли пароль.
Что касается Shadow Defender, мы сообщили об уязвимости. Есть гипотетическая вероятность, что появится исправленная версия.
#CICADA8
Кто-то обрёл новые эмоции, безвозвратно потеряв дипломную работу или фотографии. Другие — как Илья — заскриптовали установку необходимых приложений после включения компьютера. Самая частая проблема у пользователей заключается в том, что они не знают или забывают пароль от Shadow Defender. В результате не могут управлять конфигурацией программы и теряют свои данные.
Если вы росли в 2000-х, наверняка сталкивались с этой программой в компьютерных клубах и других местах, где ПК доступен большому количеству людей. Иногда её называют антивирусом, но это не совсем точное определение. Основное преимущество Shadow Defender — свобода экспериментов с компьютером. Вы можете скачивать и запускать всё, что не запретит (или не заметит) тезка от Microsoft — Windows Defender, включая вирусы и майнеры.
Фокус в том, что все внесённые пользователем изменения удаляются после перезагрузки компьютера. Это правда может спасти, так как антивирусы иногда пропускают вредоносный софт. Он добавляется в автозагрузку и закрепляется в операционной системе. Понятное дело, Shadow Defender не защитит от утечки чувствительной информации и злонамеренного использования ПК в текущей сессии, но помешает вирусу закрепиться.
В статье на Хабре Илья рассказал о своём исследовании, в результате которого ему удалось обойти ввод пароля Shadow Defender при удалённом подключении к компьютеру. Благодаря этому можно не только получить доступ к управлению данными на чужом компьютере, но и просто восстановить доступ к своему приложению, если вы забыли пароль.
Что касается Shadow Defender, мы сообщили об уязвимости. Есть гипотетическая вероятность, что появится исправленная версия.
#CICADA8
Хабр
Старый софт: как мы обошли запрос пароля в Shadow Defender и зачем пользоваться приложением, которое не обновляется
Привет, Хабр! Меня зовут Илья Буймистров, я занимаюсь исследованиями в области информационной безопасности в команде CICADA8 центра инноваций МТС. Чтобы защищать пользователей, надо понимать, где...
🔥12👍4👏2❤1
Чтобы создавать персональные ИИ-решения, нужно знать обо всех рисках применения технологий, в которых используются речь, изображения и видео пользователей. Алексей Зуев, ведущий аналитик команды ИИ-сервисов, рассказал о том, какие новые возможности создают дипфейки, и когда их применение может привести к негативным последствиям.
Использование технологии Deepfake вызывает много вопросов в области этики и конфиденциальности. Последствия злоупотребления могут быть разрушительными как для отдельных людей, так и для общества в целом. К примеру:
⚫️ Манипулирование общественным мнением в интересах мошенников.
⚫️ Создание поддельных видео, которые могут быть использованы для мошенничества.
⚫️ Генерация и распространение ложной информации.
⚫️ Подделка видео и изображений в целях материального обогащения.
⚫️ Использование лиц знаменитостей без их согласия в фильмах 18+.
⚫️ Кибербуллинг и домогательства, создание оскорбительных, унижающих или компрометирующих материалов.
Этим можно объяснить фокус и внимание регуляторов всех стран к генеративному ИИ и связанных с технологией рисков.
Так, в Китае в этом году вступили в силу два нормативных документа (первый и второй), направленных на регулирование дипфейков и генеративного ИИ, которые призваны обеспечить безопасное развитие технологий в соответствии с общенациональными принципами.
Правила требуют от компаний, создающих контент с использованием дипфейков или контента, который может быть воспринят как реальный, включая синтез человеческого голоса, синтез изображения лица и т.д., обеспечивать точность своих моделей и алгоритмов, обеспечивать безопасность собираемых ими данных, раскрывать практики управления алгоритмами, проводить аудиты сгенерированного контента, а также промптов для его создания на предмет соответствия национальным ценностям.
Использование дипфейков запрещено при производстве и публикации новостной информации. В остальных случаях их публикация требует оценки со стороны регуляторов. Дипфейки, получившие одобрение на их публикацию и распространение, должны маркироваться специальными «водяными знаками» для исключения возможности введения общественности в заблуждение.
Статья Алексея полностью: https://telegra.ph/Deepfake-horoshij-plohoj-zloj-12-15
Использование технологии Deepfake вызывает много вопросов в области этики и конфиденциальности. Последствия злоупотребления могут быть разрушительными как для отдельных людей, так и для общества в целом. К примеру:
Этим можно объяснить фокус и внимание регуляторов всех стран к генеративному ИИ и связанных с технологией рисков.
Так, в Китае в этом году вступили в силу два нормативных документа (первый и второй), направленных на регулирование дипфейков и генеративного ИИ, которые призваны обеспечить безопасное развитие технологий в соответствии с общенациональными принципами.
Правила требуют от компаний, создающих контент с использованием дипфейков или контента, который может быть воспринят как реальный, включая синтез человеческого голоса, синтез изображения лица и т.д., обеспечивать точность своих моделей и алгоритмов, обеспечивать безопасность собираемых ими данных, раскрывать практики управления алгоритмами, проводить аудиты сгенерированного контента, а также промптов для его создания на предмет соответствия национальным ценностям.
Использование дипфейков запрещено при производстве и публикации новостной информации. В остальных случаях их публикация требует оценки со стороны регуляторов. Дипфейки, получившие одобрение на их публикацию и распространение, должны маркироваться специальными «водяными знаками» для исключения возможности введения общественности в заблуждение.
Статья Алексея полностью: https://telegra.ph/Deepfake-horoshij-plohoj-zloj-12-15
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Deepfake: хороший, плохой, злой
Чтобы создавать персональные ИИ-решения, нужно знать обо всех рисках применения технологий, в которых используются речь, изображения и видео пользователей. Алексей Зуев, ведущий аналитик команды ИИ-сервисов, рассказал о том, какие новые возможности создают…
🔥11👍9
Постквантовые схемы подписи и защита данных
В предыдущем нашем посте мы рассказали в общем о квантовой угрозе – возможности взломать современные криптографические алгоритмы с применением квантовых компьютеров. Речь идет об угрозе конфиденциальности переписки в соцсетях, мессенджерах, возможности злоумышленнику выдавать себя за другого человека, похищать токены из криптокошельков и многих других угрозах, от которых мы сейчас защищены ассиметричными криптографическим алгоритмами.
Сегодня Алина Трепачева, разработчик-исследователь направления персонализированных ИИ-сервисов во Future Crew, поделится небольшим обзором постквантовых схем подписи, которые рассматриваются в Национальном институте стандартов и технологий США (NIST). NIST в 2016 году инициировал проект по стандартизации постквантовых схем подписи и инкапсуляции ключей (про схемы инкапсуляции ключей расскажем в следующем посте), в основе которых лежат принципиально другие математические задачи. Чаще всего это задача поиска короткого вектора в целочисленной решетке или задача декодирования случайного линейного кода. Они вычислительно сложны как для классического, так и для квантового компьютера.
К настоящему моменту NIST завершил 3 этапа конкурса в рамках предусмотренного процесса стандартизации. Из нескольких десятков схем было отобрано 4 финалиста для стандартизации: одна схема инкапсуляции ключей CRYSTALS-KYBER и три схемы цифровой подписи CRYSTALS-Dilithium, FALCON, SPHINCS+. Все алгоритмы кроме последнего используют целочисленные решетки, тогда как SPHINCS+ построен на основе хеш-функций.
Для оценки схем, поданных на конкурс, использовались 3 основных критерия: уровень защищенности, быстродействие и объем требуемой памяти, возможность универсальной кроссплатформенной реализации на любом устройстве.
Обзор Алины: https://telegra.ph/Postkvantovye-shemy-podpisi-i-zashchita-dannyh-12-19
В предыдущем нашем посте мы рассказали в общем о квантовой угрозе – возможности взломать современные криптографические алгоритмы с применением квантовых компьютеров. Речь идет об угрозе конфиденциальности переписки в соцсетях, мессенджерах, возможности злоумышленнику выдавать себя за другого человека, похищать токены из криптокошельков и многих других угрозах, от которых мы сейчас защищены ассиметричными криптографическим алгоритмами.
Сегодня Алина Трепачева, разработчик-исследователь направления персонализированных ИИ-сервисов во Future Crew, поделится небольшим обзором постквантовых схем подписи, которые рассматриваются в Национальном институте стандартов и технологий США (NIST). NIST в 2016 году инициировал проект по стандартизации постквантовых схем подписи и инкапсуляции ключей (про схемы инкапсуляции ключей расскажем в следующем посте), в основе которых лежат принципиально другие математические задачи. Чаще всего это задача поиска короткого вектора в целочисленной решетке или задача декодирования случайного линейного кода. Они вычислительно сложны как для классического, так и для квантового компьютера.
К настоящему моменту NIST завершил 3 этапа конкурса в рамках предусмотренного процесса стандартизации. Из нескольких десятков схем было отобрано 4 финалиста для стандартизации: одна схема инкапсуляции ключей CRYSTALS-KYBER и три схемы цифровой подписи CRYSTALS-Dilithium, FALCON, SPHINCS+. Все алгоритмы кроме последнего используют целочисленные решетки, тогда как SPHINCS+ построен на основе хеш-функций.
Для оценки схем, поданных на конкурс, использовались 3 основных критерия: уровень защищенности, быстродействие и объем требуемой памяти, возможность универсальной кроссплатформенной реализации на любом устройстве.
«В нашем проекте мы стремимся сделать ИИ-ассистента, которому пользователь будет полностью доверять, и ИИ-аватара, которым сможет управлять только его владелец. Поэтому вопросам защиты доступа и обеспечения конфиденциальности данных пользователя мы уделяем первостепенное внимание. Для нас постквантовая угроза не пустой звук, а с учетом современных темпов развития техники практическая реализация такой угрозы может произойти в обозримом будущем. Поэтому мы работаем над тем, чтобы заранее подготовить механизмы защиты и обезопасить наших пользователей» – комментирует Александр Сазонов, технический руководитель направления.
Обзор Алины: https://telegra.ph/Postkvantovye-shemy-podpisi-i-zashchita-dannyh-12-19
Telegraph
Постквантовые схемы подписи и защита данных
В предыдущем нашем посте мы рассказали в общем о квантовой угрозе – возможности взломать современные криптографические алгоритмы с применением квантовых компьютеров. Речь идет об угрозе конфиденциальности переписки в соцсетях, мессенджерах, возможности злоумышленнику…
👍5🔥3🤔1
Новогодние подарки от Future Crew 🎅
Готовимся к праздникам и запускаем серию из 5 конкурсов с загадками. Чтобы их отгадать, понадобятся логика, ум и сообразительность. А чтобы написать ответ раньше всех — ещё и скорость. Победители получат набор мерча от Future Crew!
Что входит в праздничный зимний набор?
❄️ Гирлянда
❄️ Термокружка
❄️ Пауэрбанк
❄️ Носки
❄️ Сумка-шоппер, чтобы всё это сложить
Первую загадку ждите уже скоро 🐉
Полные правила конкурса здесь, есть несколько важных моментов ☝
Готовимся к праздникам и запускаем серию из 5 конкурсов с загадками. Чтобы их отгадать, понадобятся логика, ум и сообразительность. А чтобы написать ответ раньше всех — ещё и скорость. Победители получат набор мерча от Future Crew!
Что входит в праздничный зимний набор?
Первую загадку ждите уже скоро 🐉
Полные правила конкурса здесь, есть несколько важных моментов ☝
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🎉8🎄4☃3🐳1
Новый год всё ближе, и мы подготовили подарки — мерч Future Crew. Тот, кто раньше всех даст правильный ответ, получит зимний набор мерча.
Задачка №1 🍊
В университете взломали компьютерную систему. Из множества подозреваемых полиция выделила пятерых студентов. Их вызвали и поговорили с каждым. Все их заявления были записаны.
Каждый студент сделал три заявления. Одно из трёх заявлений — ложь, а остальные два — правда.
Вопрос: кто взломал систему университета?
Заявления студентов мы приложили в карточках. Пишите свои варианты в комментариях!
P.S. Напомним, полные правила игры здесь.
Задачка №1 🍊
В университете взломали компьютерную систему. Из множества подозреваемых полиция выделила пятерых студентов. Их вызвали и поговорили с каждым. Все их заявления были записаны.
Каждый студент сделал три заявления. Одно из трёх заявлений — ложь, а остальные два — правда.
Вопрос: кто взломал систему университета?
Заявления студентов мы приложили в карточках. Пишите свои варианты в комментариях!
P.S. Напомним, полные правила игры здесь.
❤11🔥11👍8😁1
Зачем киберпреступники изучают наши эмоции
Самое слабое звено в системе информационной безопасности — это чаще всего человек. Минцифры посчитало, что свыше 70% утечек данных в компаниях происходит в результате действий сотрудников. А The Hacker News рассказал, какие наши качества могут создать риски для нас самих и как защититься от хакеров с помощью тактики «остановись и оцени».
Злоумышленники хорошо изучили, как наши мысли и чувства влияют на принятие решений. Самые важные из них в данном случае: эмпатия, уязвимость, чувство вины, импульсивность, а ещё склонность доверять авторитетам, личные симпатии и желание быть успешнее других. Мошенники используют их, чтобы строить схемы, которые убеждают открыть вредоносный файл, раскрыть конфиденциальные данные или предоставить доступ к платёжной системе.
Как защититься?
🟣 Прежде чем открыть странное письмо или ввести свои данные в онлайн-форму, оцените ситуацию: насколько вы доверяете источнику информации?
🟣 Обратите внимание на чувства и эмоции: не пытаются ли вами манипулировать? К сожалению, не каждой просьбе о помощи в интернете стоит доверять.
В карточках — популярные схемы обмана с задействованием психологии людей.
Самое слабое звено в системе информационной безопасности — это чаще всего человек. Минцифры посчитало, что свыше 70% утечек данных в компаниях происходит в результате действий сотрудников. А The Hacker News рассказал, какие наши качества могут создать риски для нас самих и как защититься от хакеров с помощью тактики «остановись и оцени».
Злоумышленники хорошо изучили, как наши мысли и чувства влияют на принятие решений. Самые важные из них в данном случае: эмпатия, уязвимость, чувство вины, импульсивность, а ещё склонность доверять авторитетам, личные симпатии и желание быть успешнее других. Мошенники используют их, чтобы строить схемы, которые убеждают открыть вредоносный файл, раскрыть конфиденциальные данные или предоставить доступ к платёжной системе.
Как защититься?
В карточках — популярные схемы обмана с задействованием психологии людей.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍5🤔1
Поздравляем первого победителя 🎅
Спасибо всем, кто принял участие в нашем новогоднем конкурсе! Пока мы опубликовали только первую загадку из пяти. Впереди — новый розыгрыш🎉
Победитель этого раунда — @alex. Он первым написал правильный ответ (Богдан) на нашу задачу и получает набор мерча от Future Crew!
Просим победителя связаться с нами по почте [email protected] (в личку тоже напишем 👌).
P.S. Полные правила игры здесь.
Спасибо всем, кто принял участие в нашем новогоднем конкурсе! Пока мы опубликовали только первую загадку из пяти. Впереди — новый розыгрыш
Победитель этого раунда — @alex. Он первым написал правильный ответ (Богдан) на нашу задачу и получает набор мерча от Future Crew!
Просим победителя связаться с нами по почте [email protected] (в личку тоже напишем 👌).
P.S. Полные правила игры здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11🎉7👍3
Почему нейросетям порой бывает сложно нарисовать кисти рук — директор по AI & Big Data Future Crew Кирилл Малков объясняет на пальцах 🤌
А какая ваша любимая нейросеть для создания изображений?
А какая ваша любимая нейросеть для создания изображений?
👍7🔥4😁1
Продолжаем проверять логику и дарить новогодний мерч Future Crew ☃️
Сегодня предлагаем вам почувствовать себя хакерами и взломать замок. Подберите трёхзначный код на основе данных, указанных на картинке.
Первый, кто напишет верный код в комментариях, получит приз — набор мерча🎁
P.S. Полные правила новогодней игры здесь.
Сегодня предлагаем вам почувствовать себя хакерами и взломать замок. Подберите трёхзначный код на основе данных, указанных на картинке.
Первый, кто напишет верный код в комментариях, получит приз — набор мерча
P.S. Полные правила новогодней игры здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13☃7🎄4