Исследователи раскрыли хак, как убрать из ChatGPT цензуру и заставить ИИ отвечать без ограничений со стороны разработчиков. Оказалось. что для этого нужно просто замаскировать запрос под арт ASCII.
После этого ChatGPT может сообщить различные ранее запрещённые для раскрытия инструкции и заблокированную информацию. Этот баг есть во всех популярных нейросетях — GPT-3.5, GPT-4, Gemini, Claude и Llama2.
Группа компаний (ГК) «Солар» запустила сервис постоянного контроля защищённости внешнего IT‑периметра Solar CPT (Continuous Penetration Testing). Сервис находит критические уязвимости и недостатки меняющегося внешнего IT‑периметра. Найденные в ходе сканирования недостатки верифицируются экспертами анализа защищённости, после чего пользователь системы получает практические рекомендации по защите. В настоящее время ведутся пилотные проекты с организациями из IT‑отрасли и перерабатывающей промышленности.
По словам разработчиков, Solar CPT позволит регулярно актуализировать картину внешнего периметра и лучше защищать жизненно важную инфраструктуру от критичных угроз. Сервис учитывает многолетний опыт экспертов ГК «Солар» по анализу защищённости. Решение постоянно обновляется с учётом изменяющихся техник и тактик злоумышленников.
Как утверждает ГК «Солар», Solar CPT реализуется «под ключ». Эксперты по тестированию на проникновение собирают информацию об инфраструктуре, сканируют её средствами платформы, а затем вручную проверяют найденные уязвимости и недостатки, что помогает снизить число ложных срабатываний по сравнению с автоматическими сканерами.
Руководитель отдела анализа защищённости Solar JSOC ГК «Солар» Александр Колесов объяснил, что сервис Solar CPT представляет собой часть автоматизированных действий пентеста в сочетании с полноценной экспертизой специалистов.
Профильные сетевые эксперты предположили, что почти часовой сбой в работе различных мессенджеров и сервисов в Рунете 27 февраля мог произойти из-за массового тестирования похожей на Active Probing технологии, которая уже много лет успешно работает в Китае.
В своей заметке на ресурсе ntc.party пишет о сканировании и ValdikSS, приводя в пример VPN-сервис Windscribe. Примерно с середины января 2024 он обнаружил блокировки, срабатывающие после определённых действий на определённое время, только для IP-адреса, с которого они производились.
InSales запустила программу поиска уязвимостей на платформе BI.ZONE Bug Bounty. Программа охватывает сайт, тикет‑систему, мобильные приложения для iOS и Android inSales. inSales представляет собой платформу управления онлайн‑торговлей через сайт, на маркетплейсах, в социальных сетях и мессенджерах. Размер вознаграждения зависит от критичности обнаруженных уязвимостей (до ₽100 тысяч), рассказали информационной службе Хабра в пресс‑службе BI.ZONE.
По словам директора по информационной безопасности inSales Константина Липаткина, запуск программы на BI.ZONE Bug Bounty позволит укрепить защиту данных клиентов и выявить потенциальные угрозы во внешних сервисах, что позволит дополнить уже реализуемые меры по обеспечению надежности платформы.
Эксперты из JFrog выявили в репозитории Hugging Face вредоносные модели машинного обучения, установка которых может привести к выполнению кода атакующего для получения контроля за системой пользователя.
Проблема вызвана тем, что некоторые форматы распространения моделей допускают встраивание исполняемого кода, например, модели, использующие формат pickle, могут включать сериализированные объекты на языке Python, а также код, выполняемый при загрузке файла, а модели Tensorflow Keras могут исполнять код через Lambda Layer.
Для предотвращения распространения подобных вредоносных моделей в Hugging Face применяется сканирование на предмет подстановки сериализированного кода, но выявленные вредоносные модели показывают, что имеющиеся проверки можно обойти.
Кроме того, Hugging Face в большинстве случаев лишь помечает модели опасными, не блокирую к ним доступ.
Всего выявлено около 100 потенциально вредоносных моделей, 95% из которых предназначены для использования с фреймворком PyTorch, а 5% c Tensorflow.
Наиболее часто встречающимися вредоносными изменениями названы захват объекта, организация внешнего входа в систему (reverse shell), запуск приложений и запись в файл.
Источник: OpenNET.
Генеральный директор Palantir Алекс Карп заявил, что софт компании позволил предотвратить террористические атаки в Европе.
«При всей скромности, если их не остановить, то на Западе была бы совсем другая политическая реальность. И это просто факт», — отметил он.
Карп даже заявил, что Palantir «уберегла Европу от возвращения фашизма», и жители региона «должны сказать компании спасибо».
Palantir привлекла первые инвестиции от подразделения венчурного капитала Центрального разведывательного управления США In-Q-Tel. Она получала контракты на оборонное и разведывательное применение своих технологий анализа данных в США. также компания сотрудничает с Иммиграционной и таможенной службой (ICE).
Карп утверждает, что его компания «играет огромную роль в превосходстве США в технологиях». Однако, согласно оценкам, Palantir контролирует чуть менее 2% рынка анализа данных.
Специалисты BI.ZONE выяснили, что хакерская группировка Mysterious Werewolf перешла на собственные инструменты для атак. Чтобы атаки сложнее было распознать, злоумышленники используют для удалённого доступа вредоносную программу собственной разработки. Ранее группировка применяла легитимный инструмент с открытым исходным кодом.
Для проникновения в инфраструктуру жертв злоумышленники использовали фишинг и эксплуатировали уязвимость WinRAR CVE-2023–38 831. Хакеры рассылали от имени различных регуляторов письма с архивом. В архиве находился отвлекающий документ в виде официального письма и папка с вредоносным файлом в формате CMD. Если пользователь открывал заражённое письмо, WinRAR автоматически должен был исполнить вредоносный файл.
Далее на устройство жертвы устанавливался оригинальный бэкдор RingSpy. RingSpy представляет собой программу для удалённого доступа, позволяющую злоумышленникам выполнять команды на скомпрометированном компьютере и скачивать данные. Для управления бэкдором используется бот в Telegram.
По словам руководителя BI.ZONE Threat Intelligence Олега Скулкина, в ноябре 2023 года группировка Mysterious Werewolf использовала озвученную схему для атак на российские промышленные компании. Однако в конце осени 2023 года для удалённого доступа злоумышленники применяли агент Athena фреймворка Mythic, представляющий собой легитимный инструмент для тестирования на проникновение.
«Лаборатория Касперского» рассказала, что решения ИБ‑компании для конечных пользователей обнаружили и заблокировали 126 миллионов киберугроз на устройствах российских пользователей в 2023 году. Доля российских пользователей, потенциально попадающих под эти атаки, составляет 45,43%. Такие данные эксперты компании представили на Kaspersky CyberSecurity Weekend в Малайзии.
Также эксперты «Лаборатории Касперского» отмечают рост числа и уровня сложности целевых атак программ‑вымогателей. За 2023 год количество кибергрупп, проводящих целевые атаки с использованием программ‑вымогателей, увеличилось в мире на 30%, а число их жертв — на 70% по сравнению с 2022 годом. За озвученный период хакеры‑вымогатели получили платежей на сумму $1 млрд.
Состоялся релиз проекта FreeRDP 3.3.0, предлагающего свободную реализацию протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), развиваемую на основе спецификаций Microsoft.
Проект предоставляет библиотеку для интеграции поддержки RDP в сторонние приложения и клиент, который может применяться для удалённого подключения к рабочему столу Windows. Код проекта распространяется под лицензией Apache 2.0.
В версии FreeRDP 3.3.0:
добавлены новые сборочные опции (для CMake):
WINPR_UTILS_IMAGE_PNG — включает поддержку PNG через libpng.
WITH_LODEPNG — включает поддержку PNG через lodepng.
WINPR_UTILS_IMAGE_WEBP — включает поддержку WEBP.
WINPR_UTILS_IMAGE_JPEG — включает поддержку JPEG.
USE_EXECINFO — управляет выводом трассировок стека через execinfo.
WITH_WEBVIEW — включает сборку c WebView, отключённую по умолчанию в Windows, macOS и Android.
PLUGIN_ABS_PATHS_DEFAULT — задаёт путь по умолчанию к каталогу с плагинами.
в интерфейсах xfreerdp и wlfreerdp добавлена поддержка передачи изображений в форматах JPG/JPEG, PNG, GIF, ICO и WEBP через буфер обмена;
улучшена реализация клиента на базе библиотеки SDL. Добавлена поддержка настройки горячих клавиш;
загрузка плагинов разрешена только при указании абсолютных путей;
улучшен выбор алгоритмов для TLS-соединений;
добавлена поддержка атрибута WINPR_ATTR_MALLOC (malloc wrapper) для GCC и Clang;
реализован блокирующий режим работы.
Источник: OpenNET.
Росстандарт утвердил спецификацию протокола защищенного обмена для индустриальных систем ГОСТ Р 71 252–2024 «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем». Новый национальный стандарт разработан компанией «ИнфоТеКС», внесен Техническим комитетом по стандартизации ТК 26 «Криптографическая зашита информации». Стандарт вступает в силу с 1 апреля 2024 года взамен рекомендаций по стандартизации Р 1 323 565.1.029–2019. Данный документ стал первым национальным стандартом РФ, описывающим криптографический протокол.
CRISP (CRyptographic Industrial Security Protocol) — неинтерактивный протокол защищенной передачи данных, разработанный для применения в индустриальных системах. Разработка протокола велась специально для индустриальных систем, чтобы обеспечить передачу компактных блоков промышленных данных и отказаться от достаточно высоких требований к вычислительным мощностям и каналам связи, которые предъявляются при использовании протоколов на основе CMS (Cryptograghic Message Syntax).
Протокол CRISP позволяет защищать данные, передаваемые как в TCP\IP‑сетях, так и в сетях узкополосной передачи LPWAN. Применять новый национальный стандарт можно в качестве слоя защиты для протокола LoRaWAN RU (ГОСТ Р 71 168–2023), NB‑IoT, ZigBee, XNB, а также для ряда промышленных протоколов в АСУ ТП и в IIoT‑системах.
Эксперты по ИБ зафиксировали с утра 21 февраля 2024 года массовую регистрацию злоумышленниками доменов с похожими на Qiwi названиями.
По данным Angara Security, многие сайты зарегистрированы или обновлены именно 21 февраля. Уже на 14:00 мск было зарегистрировано более 200 доменов в сегментах .com, .ru, .org, .net, .de, .cn, .ltd с названиями qewi, qi-wi, qi7i, qivi и т. д. До сегодняшнего дня было выявлено 667 сайтов, помимо официальных, которые используют нейминг Qiwi, уточняют эксперты по ИБ.
В Angara Security отмечают несколько сценариев использования этих доменных имен, которые в большинстве представляют собой пустые страницы, площадки для переадресации на другие сайты (например, мошеннические агрегаторы) либо киберсквоттинг для дальнейшей перепродажи.
«Сейчас есть проблемы с выводом денежных средств с QIWI-кошелька. Мошенники могут оперировать этой повесткой — на зарегистрированных доменах разместить копию сайта QIWI и предлагать помощь для вывода средств», — отмечают в Angara Security. Если пользователи случайно воспользуются фишинговым сайтом, есть риск передать злоумышленникам свои учетные данные от кошелька и лишиться денежных средств, предупредили пользователей в ИБ-компании.
21 февраля Банк России объявил об отзыве лицензии на осуществление операций у «Киви банка». Регулятор заявил, что Qiwi-банк нарушил Федеральный закон «О банках и банковской деятельности». После отзыва лицензии у банка пополнение Qiwi-кошельков и вывод с них денег заблокировали.
Компания «РуПост» (входит в «Группу Астра») объявила о выпуске на российский рынок системы управления мобильными устройствами WorksPad MDM (Mobile Device Management).
Это решение включено в состав платформы WorksPad EMM (Enterprise Mobile Management), которая обеспечивает централизованное управление и защиту обрабатываемых удалёнными сотрудниками данных за счёт установки на используемые ими портативные Android- и iOS-устройства контролируемого организацией приложения-контейнера с настраиваемыми инструментами для работы, политиками безопасности и шифрования передаваемой по сети информации.
При этом клиентская программа не контролирует приватные данные владельца устройства и никак на них не влияет.
Решение WorksPad MDM позволяет заменить иностранные EMM-платформы, организовать работу на планшетах, портативных телефонах и других подобных устройствах, включая как защищенные мобильные рабочие места, так и централизованное управление мобильными устройствами на iOS и Android. Этот проект позволяет администрировать подключенные к Mobile Device устройства внутри одной сети, настраивать и обновлять ПО, а также удалять информацию в случае потери или кражи мобильного устройства.
По данным BI.ZONE Brand Protection, в 2023 году в открытый доступ попали 420 баз данных, содержащие больше 981 млн строк, а в январе 2024 года — ещё 62 базы общим объёмом 525 млн записей. Базы содержали паспортные данные граждан, адреса, телефонные номера, платёжную информацию, личные и корпоративные email‑адреса. Пароли в открытом или хэшированном виде встречались в утечках от 2023 года в 13% случаях и в 6% — в утечках от января 2024 года, рассказали информационной службе Хабра в пресс‑службе ИБ‑компании.
За февраль 2024 года произошло 29 утечек общим объёмом более 11 млн строк, 85% из которых содержали пароль или хеш пароля. В 2023 году специалисты BI.ZONE помогли российским компаниям выявить утечки 75 тысяч email‑адресов, что минимизировало различные последствия у этих компаний.
Для минимизации рисков, связанных с утечками данных электронной почты, различные ИБ‑специалисты советуют придумывать для разных ресурсов разные пароли, периодически менять их, а для хранения использовать специальные программы — менеджеры паролей.
У меня кратко сегодня.
Попробовал запретить Тинькову собирать биометрические данные. Получил замечательное:
Мы конечно прекратили, но в следующий раз вашего согласия даже спрашивать не будем.
Минцифры объявило о поиске директора Департамента обеспечения кибербезопасности, который должен уметь справляться с такими задачами:
защита ключевых информационных систем и ИТ-инфраструктуры государства, а также объектов КИИ;
защита граждан: борьба с кибермошенничеством, фишингом, фродом;
дальнейшее развитие отрасли кибербеза, рынка ИБ-решений и услуг.
Ведомство пояснило, что эта вакансия для тех, кто готов своими руками создавать регуляторику в области ИБ, продвигать идеи кибербеза в массы, отвечать на новые государственные и мировые вызовы.
Основные требования к соискателю:
высшее техническое образование;
глубокое знание индустрии;
опыт реализации крупных федеральных проектов в сфере ИБ;
знание современных тенденций в области кибербезопасности, понимание регулирования ФСТЭК, ФСБ;
понимание актуального ландшафта угроз ИБ и современных средств защиты;
знание требований действующих законодательных актов и стандартов обеспечения ИБ (187-ФЗ, 152-ФЗ, 44-ФЗ, 223-ФЗ).
Собеседование лучших кандидатов проведёт замминистра Александр Шойтов. На финальном этапе кандидатов на эту должность ждёт встреча с главой Минцифры Максутом Шадаевым.
Вышли корректирующие выпуски JavaScript-платформы Node.js 21.6.2, 20.11.1, 18.19.1, в которых исправлено 8 уязвимостей (4 из них с высоким уровнем опасности):
CVE-2024-21892 — возможность подстановки непривилегированным пользователем кода, наследующего расширенные привилегии, с которыми выполняется рабочий процесс;
CVE-2024-22019 — отказ в обслуживании через исчерпание доступных ресурсов (нагрузка на CPU и расходование пропускной способности) при обработке встроенным HTTP-сервером специально оформленных chunked-запросов;
CVE-2024-21896 — выход за границу базового каталога в файловых путях, уязвимость позволяет обойти нормализации файловых путей при помощи path.resolve() в случае передачи пути с использованием класса Buffer;
CVE-2024-22017 — вызов setuid() не сбрасывал все привилегии;
CVE-2023-46809 — уязвимость в API privateDecrypt(), допускающая применение атаки Marvin для расшифровки RSA на основе измерения времени операций;
CVE-2024–21 891 — возможность обхода модели прав доступа при использовании пользовательских обработчиков нормализации файловых путей;
CVE-2024-21890 — некорректная обработка масок в параметрах "--allow-fs-read" и "--allow-fs-write";
CVE-2024-22025 — отказ в обслуживании через израсходование ресурсов при декодировании сжатых данных в формате Brotli, полученных через вызов fetch().
Источник: OpenNET.
Центр стратегических разработок опубликовал сборник российского программного обеспечения для замены зарубежных аналогов «СУБД: руководство по импортозамещению». В раздел о средствах защиты и обезличивания данных СУБД было включено две системы компании «Гарда Технологии» (входит в группу компаний «Гарда») «Гарда DBF» (ранее «Гарда БД») и «Гарда Маскирование».
Авторы сборника «СУБД: руководство по импортозамещению» разделили системы управления и обработки данных на категории на основании функционала и соответствия требованиям государства в обеспечении информационной безопасности. Все представленные инструменты входят в Реестр российского программного обеспечения.
Аналитики «Яндекс 360» проанализировали деятельность почтовых спамеров и выделили несколько периодов повышенной активности, рассказали информационной службе Хабра в пресс‑службе компании «Яндекс». По словам директора по информационной безопасности «Яндекс 360» Андрея Иванова, ближайший всплеск активности фишеров начнётся в ближайшее время, если точнее — в середине февраля 2024 года.
По исследованиям «Яндекс 360», за 2023 год было заблокировано 1,5 млрд фишинговых писем с PDF‑вложением, несущих вредоносную ссылку, 582 млн писем — содержавших предложения пройти обучение, 475 млн писем — с псевдорозыгрышами призов, 462 млн писем — замаскированных под рассылки известных магазинов или компаний и 324 млн писем — с якобы предложениями работы.
На уральском форуме «Кибербезопасность в финансах» бизнес‑консультант по информационной безопасности Positive Technologies Алексей Лукацкий в рамках презентации отчёта о фишинговых атаках на организации за 2022 и 2023 года рассказывал, что фишинговые атаки учащаются к определённым знаковым датам.
Некоммерческая организация lowRISC объявила о доступности первого готового к коммерческому производству чипа на архитектуре RISC-V, построенного на базе открытой платформы OpenTitan.
Проект был основан компанией Google, но после передачи организации lowRISC к его разработке присоединились такие компании, как Western Digital, Seagate, Nuvoton Technology, Winbond, Rivos, zeroRISC и G+D Mobile Security. Связанный с проектом исходный код и спецификации аппаратных компонентов опубликованы под лицензией Apache 2.0.
OpenTitan развивается в соответствии с концепцией «безопасность через прозрачность», подразумевающей доступность кода и схем, а также полностью открытый процесс разработки, не привязанный к конкретным поставщикам и производителям чипов.
В основу решений, применяемых в OpenTitan, заложены технологии, уже используемые в криптографических USB‑токенах Google Titan и TPM‑чипах для обеспечения верифицированной загрузки, устанавливаемых на серверах в инфраструктуре Google, а также на устройствах Chromebook и Pixel.
OpenTitan включает различные логические блоки, востребованные в RoT‑чипах, такие как открытый микропроцессор на базе архитектуры RISC‑V (RV32IMCB Ibex), криптографические сопроцессоры, аппаратный генератор случайных чисел, менеджер ключей с поддержкой DICE, механизм защищённого хранения данных в постоянной и оперативной памяти, технологии защиты, блоки ввода/вывода, средства безопасной загрузки.
Источник: OpenNET.
Специалисты ВТБ рассказали о развитии старой схемы с просьбой одолжить денег в различных мессенджерах и социальных сетях. Сама схема, когда мошенники взламывают аккаунт пользователя в различных мессенджерах и соцсетях с поиском нужного собеседника, довольно старая. Однако новый шаг в схеме с диалогом представляет собой копирование старых голосовых сообщений.
Злоумышленник начинает общение от лица жертвы и просит денег, для убедительности он высылает найденные в переписке старые голосовые сообщения. Это должно показать собеседника, что с ним действительно общается его знакомый или родственник. Далее злоумышленник переходит к отработанной схеме по просьбе денег с переводом на указанную карту.
