Forwarded from WTF_HR
Если бы устраивался конкурс на самую странную теорию заговора, то теория мертвого интернета безусловно заняла бы в нем призовое место.
Ее суть в том, что Сети в том виде, в котором мы ее себе представляем, не существует где-то с 2016 года, а большинство пользователей, которых вы считаете людьми – на самом деле боты, которые генерируют контент, что-то вроде продвинутых NPC-персонажей в видеоиграх.
Сторонники этой теории находят ее подтверждение в том, что большинство контента в сети давно вторично, а реакции пользователей предсказуемы. Все это делается, конечно, с подачи правительства и корпораций, которые тем самым хотят отвлечь человечество от реальных проблем и без помех осуществлять свои злодейские планы.
И при всей абсурдности этой теории, ей нельзя отказать в некоторой мрачной очаровательности и правдоподобности, тем более, что ботов в сети действительно полно. Но вот уж точно чего в ближайшее время избежать не удастся, так это ее воплощения в жизнь на корпоративных встречах.
Дело в том, что особенного успеха этот ваш искусственный интеллект достиг в работе с информацией – ее распознавании, структурировании, конспектировании и т.д. Другими словами, исполнилась вековая мечта всех мало-мальских начальников – у каждого из них теперь может быть свой собственный личный секретарь, он же стенографист, а иногда еще и коуч.
Появившиеся за последнее время инструменты на основе нейросетей позволяют не только расшифровывать аудиозаписи и превращать их в текст, но также делать структурированные заметки со встречи, а в последнее время – еще и давать пользователю обратную связь по манере говорения или участия в диалоге.
Более того, сбылась еще и мечта корпоративных мизантропов - теперь вместо себя на встречу можно отправить бота, который будет делать для вас заметки и сообщать о том, как прошла встреча (включая и эмоциональный градус). А если вы пришли на встречу позже всех, то «краткое содержание предыдущих серий» вам расскажет бот, а не коллеги, которые из-за этого будут вынуждены отвлекаться.
Короче, красота. И все это замечательно, но вот беда: уже несколько менеджеров разных компаний, придя на зум-встречу, оказывались окружены исключительно ботами-ассистентами своих коллег. Возникающие при этом впечатления выражаются в основном словом «крипово».
А самое забавное, что в больших корпорациях вы часто встречаетесь с незнакомыми коллегами, и если этот незнакомый коллега дал своему боту человеческое имя и человеческий же аватар, то сходу отличить его от живого человека не получится.
Хотя бывалые пользователи подобных систем (и такие уже есть) изобрели лайфхак, как отличить бота от живого человека – бот всегда приходит на встречу вовремя.
Ее суть в том, что Сети в том виде, в котором мы ее себе представляем, не существует где-то с 2016 года, а большинство пользователей, которых вы считаете людьми – на самом деле боты, которые генерируют контент, что-то вроде продвинутых NPC-персонажей в видеоиграх.
Сторонники этой теории находят ее подтверждение в том, что большинство контента в сети давно вторично, а реакции пользователей предсказуемы. Все это делается, конечно, с подачи правительства и корпораций, которые тем самым хотят отвлечь человечество от реальных проблем и без помех осуществлять свои злодейские планы.
И при всей абсурдности этой теории, ей нельзя отказать в некоторой мрачной очаровательности и правдоподобности, тем более, что ботов в сети действительно полно. Но вот уж точно чего в ближайшее время избежать не удастся, так это ее воплощения в жизнь на корпоративных встречах.
Дело в том, что особенного успеха этот ваш искусственный интеллект достиг в работе с информацией – ее распознавании, структурировании, конспектировании и т.д. Другими словами, исполнилась вековая мечта всех мало-мальских начальников – у каждого из них теперь может быть свой собственный личный секретарь, он же стенографист, а иногда еще и коуч.
Появившиеся за последнее время инструменты на основе нейросетей позволяют не только расшифровывать аудиозаписи и превращать их в текст, но также делать структурированные заметки со встречи, а в последнее время – еще и давать пользователю обратную связь по манере говорения или участия в диалоге.
Более того, сбылась еще и мечта корпоративных мизантропов - теперь вместо себя на встречу можно отправить бота, который будет делать для вас заметки и сообщать о том, как прошла встреча (включая и эмоциональный градус). А если вы пришли на встречу позже всех, то «краткое содержание предыдущих серий» вам расскажет бот, а не коллеги, которые из-за этого будут вынуждены отвлекаться.
Короче, красота. И все это замечательно, но вот беда: уже несколько менеджеров разных компаний, придя на зум-встречу, оказывались окружены исключительно ботами-ассистентами своих коллег. Возникающие при этом впечатления выражаются в основном словом «крипово».
А самое забавное, что в больших корпорациях вы часто встречаетесь с незнакомыми коллегами, и если этот незнакомый коллега дал своему боту человеческое имя и человеческий же аватар, то сходу отличить его от живого человека не получится.
Хотя бывалые пользователи подобных систем (и такие уже есть) изобрели лайфхак, как отличить бота от живого человека – бот всегда приходит на встречу вовремя.
the Guardian
The end of boring meetings: why workers are sending robots instead
They can take notes, make suggestions – and critique your performance if you do deign to turn up. So what if they’re faceless drones?
Спикеры обсуждают осталась ли приватность сегодня.
Высказали 2 стратегии:
1. Не выделятся из общего потока данных.
2. Не вызывать желания за тобой наблюдать.
Обращают внимание, что у молодого поколения возможности для приватности резко снижаются ещё до рождения, например в виде оцифрованных снимков узи.
Больше деталей тут
https://news.1rj.ru/str/garda_ai
#конференция_защита_данных
Высказали 2 стратегии:
1. Не выделятся из общего потока данных.
2. Не вызывать желания за тобой наблюдать.
Обращают внимание, что у молодого поколения возможности для приватности резко снижаются ещё до рождения, например в виде оцифрованных снимков узи.
Больше деталей тут
https://news.1rj.ru/str/garda_ai
#конференция_защита_данных
Книга для погружения в девопс философию по рекомендации спикера от Whoosh.
"Проект «Феникс». Роман о том, как DevOps меняет бизнес к лучшему".
#конференция_защита_данных
"Проект «Феникс». Роман о том, как DevOps меняет бизнес к лучшему".
#конференция_защита_данных
Алексей Лукацкий обращает внимание на нехватку ресурсов при практической проверке ваших партнёров-обработчиков персональных данных.
#конференция_защита_данных
#конференция_защита_данных
Владимир Бенгин (Минцифры) обращает внимание, что частым вопросом при расследовании инцидентов со стороны руководства компаний является - "А зачем нам эти данные и с такой давностью были нужны?". Следует обратить внимание на обработку только нужного объема данных.
#конференция_защита_данных
#конференция_защита_данных
Михаил Толчельников из VK поделился успешным опытом использования A/B-тестирование при принятии решения об устранении уязвимости в сервисе.
#конференция_защита_данных
#конференция_защита_данных
Forwarded from k8s (in)security (r0binak)
CNCF Kubernetes Policy Working group выпустила новый документ, посвященный политике управления, риска и соответствия, чтобы помочь коммьюнити узнать, как лучшие практики Cloud Native могут быть использованы для устранения ключевых бизнес-рисков.В документе описывается, как политики
PolicyEngine могут быть использованы в качестве строительного блока в Kubernetes для автоматизации безопасности, соответствия и управления. Политики явно выявляют риски и повышают осведомленность команд, что позволяет снизить риски на более ранних этапах. В статье также описывается, как политики могут применяться на каждом этапе жизненного цикла Cloud Native приложения.С полной версией документа можно ознакомиться по ссылке тут.
Forwarded from Пост Лукацкого
Вчера, на конференции "Защита данных. Сохранить все" я вел секцию, в которой выступала Анастасия Гайнетдинова, IT Security Analyst компании Whoosh. Она рассказывала о 4-х типичных направлениях, которые часто забывают при защите данных:
🔤 Ошибки при разработке ПО, среди которых, среди прочего, жестко зашитые креды в коде, что приводит к утечкам информации и иным нарушениям в защите данных.
🔤 По версии НКЦКИ атаки на подрядчиков являются одной из популярных проблем с ИБ в России последний год. Об этом же, но в контексте проверок контрагентов, говорила и Анастасия.
🔤 Бумажная безопасность и документационное обеспечение. Плейбуки, задокументированные триггеры, регламенты... Все это помогает в кризисные моменты четко следовать процедуре, а не бегать и кричать "А-а-а-а-а" в поисках решения.
🔤 "Нас не заденет". Вопрос стоит не "столкнемся мы с инцидентом с данными или нет", а "когда столкнемся". Поэтому стоит быть к нему готовым заранее.
Надеюсь, скоро выложат запись нашей секции (а этот зал точно записывался) и тогда вы сможете самостоятельно посмотреть выступления и Глеба, и Анастасии, и мое.
Надеюсь, скоро выложат запись нашей секции (а этот зал точно записывался) и тогда вы сможете самостоятельно посмотреть выступления и Глеба, и Анастасии, и мое.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Второе выступление у меня в секции было от Глеба Марченко, руководителя направления по защите данных Тинькофф с обзором того, что делает банк в этом направлении. Очень интересное было выступление, презентацию которого я прикладываю. Больше всего мне понравилась часть с рассказом про разработанный инструмент Hound, который позволяет сканировать различные источники информации (Postgress, GreenPlum, Cassandra, Oracle, ClickHouse, Hadoop) и за счет ML, регулярок, метаданных и т.п. искать различные чувствительные данные - персональные, секреты, ссылки на соцсети, названия юрлиц, IMSI, IMEI, IP и т.п.
Если вспоминать кривую хайпа Гартнера с технологиями защиты данных, то тема классификации там не достигла даже пика неоправданных ожиданий, не говоря уже о дне и тем более плато. А тут банк самостоятельно разрабатывает такое решение, сам размечает данные, сам обучает модели ML и активно его использует, автоматизируя очень непростую задачу, от которой зависит на самом деле весь процесс защиты информации (если ты не знаешь, где у тебя объект защиты, то как ты можешь его защищать?). Я недавно видел какой-то стартап, который применяет LLM для классификации и поиска защищаемых данных, а тут мы имеем прекрасный пример самостоятельной разработки. Детали по Hound, а также иным подходам к защите данных в Тинькофф, в презентации ниже👇
Если вспоминать кривую хайпа Гартнера с технологиями защиты данных, то тема классификации там не достигла даже пика неоправданных ожиданий, не говоря уже о дне и тем более плато. А тут банк самостоятельно разрабатывает такое решение, сам размечает данные, сам обучает модели ML и активно его использует, автоматизируя очень непростую задачу, от которой зависит на самом деле весь процесс защиты информации (если ты не знаешь, где у тебя объект защиты, то как ты можешь его защищать?). Я недавно видел какой-то стартап, который применяет LLM для классификации и поиска защищаемых данных, а тут мы имеем прекрасный пример самостоятельной разработки. Детали по Hound, а также иным подходам к защите данных в Тинькофф, в презентации ниже
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Нецифровая экономика (Dasha Sapozhkova)
Художники защищаются от ИИ
Раз на законодательном уровне использование авторских материалов для обучения искусственного интеллекта пока не запрещается, художники решили взять дело в свои руки. Уникальный по своей сути инструмент Nightshade помогает иллюстраторам защитить свои работы от использования в целях обучения моделей ИИ.
Инструмент добавляет пиксели в изображение таким образом, что картинка не распознаётся моделями вроде DALL-E, Midjourney и Stable Diffusion. С помощью таких пикселей можно даже убедить ИИ, что собака, изображенная на картинке — это кошка. В итоге, использование «испорченных» Nightshade картинок искажает распознавание объектов.
Любопытно, что Nightshade — как и многие модели генеративного ИИ — продукт с открытым исходным кодом.
Nightshade пригодится художникам, которые хотят выставлять свои работы в интернет, но не желают, чтобы их интеллектуальная собственность использовалась в массивах данных для обучения ИИ. Пиксели, которые добавляет в изображение Nightshade, незаметны человеческому глазу — зато доставляют много неприятностей ИИ-моделям, приводя к сбоям в распознавании.
На картинке — результат работы Nightshade⤴️ Отравленные им изображения скармливали Stable Diffusion. В итоге нейросеть верила, что машина — это корова, сумка — тостер, шляпа — торт.
Такой саботаж в перспективе может серьёзно замедлить прогресс в генерации изображений, поскольку технологическим компаниям придётся кропотливо находить и удалять каждый поврежденный образец.
В теории, если производители ИИ-моделей не смогут придумать пути обхода, им придётся платить художникам за использование контента. Уж лучше купить проверенную базу, чем испортить всю модель «отравленными» материалами для обучения.
Раз на законодательном уровне использование авторских материалов для обучения искусственного интеллекта пока не запрещается, художники решили взять дело в свои руки. Уникальный по своей сути инструмент Nightshade помогает иллюстраторам защитить свои работы от использования в целях обучения моделей ИИ.
Инструмент добавляет пиксели в изображение таким образом, что картинка не распознаётся моделями вроде DALL-E, Midjourney и Stable Diffusion. С помощью таких пикселей можно даже убедить ИИ, что собака, изображенная на картинке — это кошка. В итоге, использование «испорченных» Nightshade картинок искажает распознавание объектов.
Любопытно, что Nightshade — как и многие модели генеративного ИИ — продукт с открытым исходным кодом.
Nightshade пригодится художникам, которые хотят выставлять свои работы в интернет, но не желают, чтобы их интеллектуальная собственность использовалась в массивах данных для обучения ИИ. Пиксели, которые добавляет в изображение Nightshade, незаметны человеческому глазу — зато доставляют много неприятностей ИИ-моделям, приводя к сбоям в распознавании.
На картинке — результат работы Nightshade
Такой саботаж в перспективе может серьёзно замедлить прогресс в генерации изображений, поскольку технологическим компаниям придётся кропотливо находить и удалять каждый поврежденный образец.
В теории, если производители ИИ-моделей не смогут придумать пути обхода, им придётся платить художникам за использование контента. Уж лучше купить проверенную базу, чем испортить всю модель «отравленными» материалами для обучения.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Ироничная и полезная презентация для ИБ малого и среднего бизнеса.
https://github.com/malwarejake-public/conference-presentations/blob/main/2023-MalwareJake-Security_for_SMBs.pdf
https://github.com/malwarejake-public/conference-presentations/blob/main/2023-MalwareJake-Security_for_SMBs.pdf
GitHub
conference-presentations/2023-MalwareJake-Security_for_SMBs.pdf at main · malwarejake-public/conference-presentations
Conference presentations. Contribute to malwarejake-public/conference-presentations development by creating an account on GitHub.
Forwarded from SecAtor
VMware выпустила исправления для критической RCE-уязвимости сервера vCenter Server.
Проблема отслеживается как CVE-2023-34048 и имеет оценку CVSS: 9,8, была обнаружена и раскрыта Григорием Дородновым из Trend Micro Zero Day Initiative.
Она описывается как уязвимость записи за пределами допустимого диапазона в реализации протокола DCE/RPC, что может быть использовано злоумышленником, имеющим сетевой доступ к vCenter Server, и потенциально может привести к RCE.
В VMware отмечают, что обходных путей для устранения этого недостатка не существует, кроме как соответствующих обновлений, которые доступны в следующих версиях ПО: VMware vCenter Server 8.0 (8.0U1d или 8.0U2), Сервер VMware vCenter 7.0 (7.0U3o) и VMware Cloud Foundation 5.x и 4.x.
Учитывая критичность уязвимости и отсутствие временных мер по ее смягчению, поставщик также представил патч для vCenter Server 6.7U3, 6.5U3 и VCF 3.x.
Последнее обновление дополнительно устраняет CVE-2023-34056 (оценка CVSS: 4,3), уязвимость частичного раскрытия информации, влияющую на vCenter, которая может позволить злоумышленнику с неадминистративными привилегиями получить доступ к неавторизированным данным.
Как заявляет VMware, ей не известно об использовании ошибок в реальных условиях, но настоятельно рекомендует клиентам действовать оперативно и как можно скорее применить исправления для нейтрализации любых потенциальных угроз.
Проблема отслеживается как CVE-2023-34048 и имеет оценку CVSS: 9,8, была обнаружена и раскрыта Григорием Дородновым из Trend Micro Zero Day Initiative.
Она описывается как уязвимость записи за пределами допустимого диапазона в реализации протокола DCE/RPC, что может быть использовано злоумышленником, имеющим сетевой доступ к vCenter Server, и потенциально может привести к RCE.
В VMware отмечают, что обходных путей для устранения этого недостатка не существует, кроме как соответствующих обновлений, которые доступны в следующих версиях ПО: VMware vCenter Server 8.0 (8.0U1d или 8.0U2), Сервер VMware vCenter 7.0 (7.0U3o) и VMware Cloud Foundation 5.x и 4.x.
Учитывая критичность уязвимости и отсутствие временных мер по ее смягчению, поставщик также представил патч для vCenter Server 6.7U3, 6.5U3 и VCF 3.x.
Последнее обновление дополнительно устраняет CVE-2023-34056 (оценка CVSS: 4,3), уязвимость частичного раскрытия информации, влияющую на vCenter, которая может позволить злоумышленнику с неадминистративными привилегиями получить доступ к неавторизированным данным.
Как заявляет VMware, ей не известно об использовании ошибок в реальных условиях, но настоятельно рекомендует клиентам действовать оперативно и как можно скорее применить исправления для нейтрализации любых потенциальных угроз.
https://github.com/MISP/misp-wireshark/releases Вышла версия 1.1 популярного плагина с поддержкой tshark. Плагин используется для перевода сессий Wireshark в формат для MISP.
GitHub
Releases · MISP/misp-wireshark
Lua plugin to extract data from Wireshark and convert it into MISP format - MISP/misp-wireshark
Forwarded from DevSecOps Talks
Semgrep: Secrets
Всем привет!
Расширение продуктовой линейки Semgrep – к статическому анализатору (SAST) и анализатору open source компонентов (SCA) добавился еще один продукт – Semgrep Secrets.
«О, еще один!» - можете подумать Вы. Однако, если верить описанию, это «чуть больше, чем просто регулярки».
Он обладает функционалом семантического анализа и возможностью проверки «использования» секрета. Это позволяет сократить количество "шума" в результатах.
Например:
🍭 Не только найти
🍭 Найти
Все эти примеры и не только отлично описаны в статье. Единственный нюанс – решение доступно в public beta через запрос команде Semgrep. Станет ли он платным (как SCA) или будет доступен массам бесплатно (хотя бы частично) – пока непонятно.
Всем привет!
Расширение продуктовой линейки Semgrep – к статическому анализатору (SAST) и анализатору open source компонентов (SCA) добавился еще один продукт – Semgrep Secrets.
«О, еще один!» - можете подумать Вы. Однако, если верить описанию, это «чуть больше, чем просто регулярки».
Он обладает функционалом семантического анализа и возможностью проверки «использования» секрета. Это позволяет сократить количество "шума" в результатах.
Например:
🍭 Не только найти
password, но и «понять», что он находится в параметрах new pg()
🍭 Найти переменные, которые передаются при установлении соединения с базой данных и убедиться, что переменные представляют из себя hardcoded string🍭 Найти
api-key и проверить, что он является активным и может быть использованВсе эти примеры и не только отлично описаны в статье. Единственный нюанс – решение доступно в public beta через запрос команде Semgrep. Станет ли он платным (как SCA) или будет доступен массам бесплатно (хотя бы частично) – пока непонятно.
Semgrep
Semantic Analysis for Secrets Detection | Blog
Avoid disclosing credentials, secrets, or keys in source-code with Semgrep Secrets; using semantic analysis, entropy analysis, & validation for high accuracy.
Нет треков для оргчасти и бизнесс-ИБ, но в целом очень полезно для планирования карьеры
Forwarded from Кибербез образование (Dima Fedorov)
Треки развития карьеры в ИБ:
- аналитик SOC;
- администратор СЗИ;
- инженер по безопасности приложений;
- пентестер;
- реверсер.
👉 Обновил навигацию на схеме: https://dfedorov.spb.ru/edu/
- аналитик SOC;
- администратор СЗИ;
- инженер по безопасности приложений;
- пентестер;
- реверсер.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5