....... оголосив конкурс на створення технології для протидії діпфейкам
Компанія виділить 10 мільйонів доларів на організацію конкурсу з розробки технології, яка дозволить розпізнаватиме відеофейки, створювані штучним інтелектом........ планує створити спеціальний фонд Deepfake Detection Challenge, який буде виділяти учасникам конкурсу гранти на розробку технології розпізнавання діпфейків. Конкурс розпочнеться у грудні 2019 і триватиме до березня 2020 року. Переможця визначать завдяки механізму, що оцінить та порівняє ефективність алгоритмів різних учасників.
читать дальше
Діпфейк» від англ. deep ‒ глибокий, та fake ‒ фальшивка – згенероване штучним інтелектом підробне відео. Можливості нового методу фальшування продемонстрували у 2018 році американський режисер Джордан Піл та видання BuzzFeed, опублікувавши «відеозвернення» екс-президента США Барака Обами, в якому він називає Трампа «засранцем».
Раніше повідомлялося, що штрафувати і саджати до в’язниці за фейкові новини будуть і у Малайзії. Штраф сягне до 123 тис. доларів, а позбавлення волі – до 6 років. Згідно нового закону, справи будуть розглядатися шляхом незалежного судового процесу.
Закон про боротьбу з фейками на виборах підтримали і у Франції. Тепер суди у період виборів зможуть вирішувати, які повідомлення є правдивими, а які – ні. В останньому випадку передбачено їх видалення.
А на початку березня РФ затвердила покарання за неповагу до державної влади в Інтернеті. Якщо особу викрили у неповазі до влади, їй загрожує арешт або великий штраф. Тоді ж Держдума прийняла закон «Про інформаційні технології та захист інформації», який охрестили як «антифейковий».
Финрегулятор Великобритании: онлайн-мошенничество достигло масштабов эпидемии
Финансовые преступления, в том числе в области криптовалют, достигли огромных масштабов, сопоставимых с распространением эпидемии. Соответствующее предупреждение сделал председатель правления британского Управления по финансовому регулированию и надзору (FCA) Чарльз Ранделл.
читать дальше
По словам Ранделла, особенное беспокойство вызывают схемы по обману индивидуальных инвесторов. Конкретные цифры он не привел, однако в Отчете о преступности в Англии и Уэльсе за 2018/19 налоговый год говорится о 3,8 млн таких случаев. Это примерно одна треть от всех совершенных преступлений (11,2 млн).
«Инвестиционное мошенничество, когда людей обманным путем лишают их сбережений, является одним из самых крупных видов финансовых преступлений по размерам причиняемого ущерба», — сказал он ранее на этой неделе в ходе Cambridge Economic Crime Symposium.
В мае FCA сообщило, что за 2018 год количество скамов в области криптовалют и на Forex-рынках скамов выросло в три раза — с 530 до 1834, а общая сумма потерь инвесторов, хотя и сократилась, составила внушительные £27 млн ($34 млн). В большей части мошеннических схем (81%) при этом фигурировали криптовалюты.
Чарльз Ранделл заявил, что стратегию регулятора по борьбе с финансовыми преступлениями можно разделить на три части: мониторинг деятельности компаний, оповещение потребителей о рисках мошенничества и закрытие неавторизированных инвестиционных проектов.
«В прошлом году мы более 500 раз предупреждали потребителей о неавторизованных фирмах, и в настоящий момент правоохранительные органы ведут более 40 расследований в этой области», — сказал он.
Несмотря на ограничения, с которыми FCA сталкивается в своей деятельности, ведомство предпринимает шаги в отношении определенных высокорисковых инвестиционных предложений. Среди таковых Чарльз Ранделл назвал предлагаемое изменение правил, регулирующих сферу p2p-кредитования, а также планы по запрету на торговлю криптовалютными деривативами для розничных инвесторов.
Дополнительно председатель FCA призвал крупные интернет-компании усилить меры по предотвращению утечек пользовательских данных, а также незамедлительно останавливать подозрительную деятельность по просьбе властей.
«Не думаю, что эти меры ограничат свободу слову. Я также не думаю, что демократия в нашем обществе ослабнет, если мы будем наносить точно выверенные удары по онлайн-мошенникам», — добавил он.
Новий алгоритм Твиттер змушує вас частіше підписуватися на інших людей
Користувачі Твиттер з алгоритмічною стрічкою підписані на більше число акаунтів, ніж ті, у кого стрічка формується в хронологічному порядку. В середньому різниця становить 10-15%.
читать дальше
Користувачі з хронологічною стрічкою підписуються на нові акаунти обережніше, тому що вона швидко засмічується. Алгоритм вивчає ваші інтереси і не показує в стрічці повідомлення, які, за його оцінкою, не викличуть у вас інтересу. На початку він виводить те, що, судячи з вашої поведінки, точно має вам сподобатися.
Наприклад, якщо алгоритм виявив, що ви не лайкаєте і не коментуєте твіти одного з користувачів, на якого підписані, Твиттер перестане показувати вам його публікації.
Алгоритмічна стрічка з’явилася ще в 2016 році. Через два роки сервіс додав можливість повернути хронологічну. Користувачі скаржилися на те, що розумна алгоритмічна стрічка вийшла не дуже-то розумною. Наприклад, якщо ретвітнути або лайкнути чиюсь публікацію, Твиттервирішить, що ви хочете бачити усі повідомлення даного користувача.
Хакерам стало сложнее взламывать Android, чем iOS
Во время конференции по компьютерной безопасности Black Hat исследователям удалось найти немало уязвимостей в операционной системе iOS. Но как выяснилось, это лишь верхушка айсберга: согласно новому отчёту, ОС Android оказалась значительно надёжнее своего конкурента. Настолько, что цена её взлома выросла за год более чем в десять раз.
читать дальше
Поводом для беспокойства экспертов в области цифровой безопасности стали изменения прайса компании Zerodium — известного брокера уязвимостей. Критический эксплойт для Android-устройств, не требующий каких-либо действий со стороны пользователя, сегодня оценивается в $2,5 миллиона. В то же время цена за «дыру» в системе безопасности iOS снизилась до $2 миллионов. Взлом «в один тап», при котором необходимо минимальное «содействие» владельца смартфона Apple, подешевел на треть — до $1 миллиона.
«Большинство эксплойтов iOS связаны с работой браузера Safari или мессенджера ......... Учитывая растущее количество всевозможных дыр в безопасности этой платформы, мы попросту вынуждены отказывать от некоторых из них и не оцениваем их вовсе», — заявил основатель Zerodium Чауки Бекрар.
По сравнению с прошлым годом цена продвинутого эксплойта для Android выросла почти в 12 раз. Эксперт отметил, что из-за большого количества устройств и версий ОС разработка универсального алгоритма взлома занимает очень много времени — в отличие от iOS, сборка которой одинакова для множества гаджетов одного вендора.
Он утверждает, что благодаря усилиям Google и Samsung безопасность Android улучшается с каждой новой версией, поэтому создание полных цепочек эксплойтов для Android стало трудоёмкой задачей. Создавать их сейчас даже сложнее, чем zero-click инструменты, не требующие взаимодействия с пользователем.
Как уберечь свое облако от хакеров и китайской разведки
В начале сентября специалисты компании Eclypsium, занимающейся IT-безопасностью, заявили об обнаружении уязвимости в материнских платах компании Supermicro, которая год назад стала героем скандала с китайскими шпионскими чипами. Новая уязвимость позволяет подключиться через интернет как минимум к 47 тысячам серверов и в теории сделать с ними все, что угодно.
читать дальше
Eclypsium — орегонский стартап, основанный выпускником московского физтеха Юрием Булыгиным (CEO) и Алексом Бажанюком (CTO), который окончил киевский политех. По данным LinkedIn, оба — выходцы из Intel. Первый провел там 11 лет на разных должностях, связанных с поиском аппаратных дыр, второй — 4 года на позиции старшего исследователя по безопасности. Компания, где работает несколько десятков человек, специализируется на поиске уязвимостей в прошивках и аппаратном обеспечении. Стартап поднял посевной раунд на $2,3 млн от Andreessen Horowitz, Intel Capital и Ubiquity Ventures, а в конце 2018 — еще 8,75 млн от Madrona Venture Group. Эти деньги пустят на защиту крупных компаний от новых угроз, которые потенциально грозят технокорпорациям миллиардными убытками. Потенциальные клиенты Eclypsium уже потратили миллиарды долларов на поиск уязвимостей в программном обеспечении, однако умение найти дыру в прошивке или аппаратном компоненте пока довольно редко и пользуется большим спросом.
«Большой взлом»
Особенно спрос на специалистов по аппаратным уязвимостям вырос в октябре 2018 года после публикации ??? Businessweek о «большом взломе». Со ссылкой сразу на 17 анонимных источников издание писало, что Народно-освободительная армия Китая подкупом и шантажом заставила подрядчиков производителя материнских плат Supermicro внедрить шпионские устройства. Размер таких устройств был очень невелик, а сами они предназначались для контроля серверов в американских «облаках» — в том числе защищенной инфраструктуре ЦРУ и ВМС США. Специалисты по безопасности скептически отнеслись к сообщению, которое предполагало, что под угрозой вся система поставок электроники из Китая, где собирается до 90% ПК. Компании, которые упоминались в статье, отрицали (Amazon, Apple) не только попытки взлома, но и все изложенные факты — в том числе факт обнаружения «закладок» в своих серверах. Несмотря на это, Businessweek не стал удалять статью и не исправил ее. Предшествовавший статье отказ Apple от сотрудничества с Supermicro и продажа корпорацией Amazon облачной инфраструктуры китайскому партнеру остались необъясненными. То, что Businessweek писал именно о Supermicro, технокорпорации восприняли особенно болезненно (а сама компания за день подешевела вдвое). Ключевое направление бизнеса компании — создание серверных архитектур на заказ. Если китайская армия и хотела бы внедрить куда-то жучки, лучше места, чем специализированные серверы, производство которых находится в Китае, не найти. Businessweek писал о том, что злоумышленники подключали «закладки» к контроллеру управления базовой платой (baseboard management controller, BMC). Такие контроллеры — изобретение для простого администрирования серверов. Администратор должен иметь возможность обновить прошивку сервера, установить туда дополнительное ПО или сделать еще что-то, не заходя физически в дата-центр. Если перехватить управление BMC, можно управлять напрямую сервером. Но для того, чтобы управлять BMC, необязательно обладать возможностями китайской армии. Сами серверные контроллеры проектируются достаточно небрежно — в них регулярно находят уязвимости. По иронии судьбы, именно большое число «дыр» в материнских платах Supermicro — ключевой аргумент против материала Businessweek. Некоторые эксперты утверждают, что злоумышленникам не требовалось идти на завод, а достаточно было задействовать уже известные прорехи в безопасности. Одна из них новых уязвимостей обнаружилась благодаря Eclypsium.
Уязвимость USBAnywhere Даже самый далекий от IT-безопасности человек знает, что не стоит вставлять незнакомую флешку в рабочий компьютер, особенно если на нем хранится конфиденциальная информация. Уязвимость, которую нашла компания Булыгина и Бажанюка, позволяет вставить виртуальный аналог такой флешки в сервер — и физического присутствия для этого не требуется. Исследователи назвали уязвимость USBAnywhere. Злоумышленник может подключиться к BMC материнских плат все той же Supermicro и сымитировать подключение любого USB-устройства. Когда понадобится закачать данные — флешки, когда понадобится ввести команду — клавиатуру. Обычно подключиться к BMC можно только через защищенную внутреннюю сеть, однако специалисты Eclypsium обнаружили, что как минимум 47 тысяч таких модулей в 90 странах с возможностью подключения виртуальной «флешки» доступны через интернет по стандартному порту. Сколько их всего — никто не знает. Многие изученные серверы используют не менявшийся пароль по умолчанию, слабое шифрование и в придачу дают злоумышленнику возможность обойти аутентификацию.
Что можно отсюда вынести?
Четыре вещи: Проблема касается вас напрямую. Только в России специалисты Eclypsium простым сканированием через поисковик SHODAN обнаружили 8050 BMC с выходом в интернет. По этому показателю страна уступает только США, где найдено 29835 потенциально уязвимых серверов. В десятку входит также Украина с 1523 BMC. О проблеме известно давно, но она мало обсуждается. Об атаках на BMC специалисты предупреждают с 2013 года, когда обнаружилось не менее 100 тысяч потенциально уязвимых и подключенных к интернету серверов Dell, HP и других производителей. Никому не верьте. Не следует слепо доверять даже премиальным провайдерам облачных услуг и подключать критическую инфраструктуру туда, где к ней можно подключиться через интернет, как бы удобно это ни было. Еще в январе Eclypsium сообщал об уязвимостях в серверах IBM и других крупных облачных провайдеров.
Халатность и беспечность недопустимы.
Администраторы зачастую в вопросах аппаратной защиты прибегают к принципу «безопасность через неясность», рассчитывая, что злоумышленник не будет прилагать больших усилий для взлома. Вне зависимости от того, интересуется ли вашим хранимыми вами в облаке данными китайская военная разведка, в самих серверных комплектующих и их прошивках достаточно «дыр», которые могут использовать хакеры.
Группа хакеров атаковала серверы World of Warcraft Classic
Серверы многопользовательской онлайн-игры World of Warcraft Classic пострадали от DDoS-атаки.служба поддержки компании Blizzard, сейчас проблема уже решена, однако вечером 7 сентября 2019 года администрация сервера WoW Classic столкнулась с проблемой DDoS-атак, которые продолжались в течение некоторого времени.В результате множество геймеров не могли авторизоваться на сервере. Игроки обратили внимание, что за 30 минут до начала атаки публикация с информацией о ней появилась на Твиттер странице UkDrillas.