Forwarded from Makrushin
Morris II: первый компьютерный червь, который распространяется с помощью GenAI
Или все же это громкий заголовок исследования, в котором авторы используют уязвимости генеративного ИИ для вредоносных действий? Давайте разберемся.
Исследователи сформировали запросы, которые провоцируют ML-модель генерировать на выходе то, что атакующий подает на вход. В результате этой манипуляции получается спровоцировать модель воспроизвести запрос атакующего и выполнить вредоносное действие. И это вредоносное действие может быть направлено на другие компоненты, которые работают в одной экосистеме с этой моделью.
То, что эта атака проходит без вмешательства пользователя - еще не значит, что модель начнет отправлять запросы за пределы своей экосистемы другим подобным ML-моделям. Авторы сравнили свой концепт с червем, но я бы сравнил это с уязвимостью SSRF: можно манипулировать компонентами экосистемы, в которой находится уязвимая модель.
Поэтому данное исследование помимо интересного метода атаки на продукты, использующие GenAI, имеет заголовок, за которым прячется концепт, но не опасность червя Morris.
Или все же это громкий заголовок исследования, в котором авторы используют уязвимости генеративного ИИ для вредоносных действий? Давайте разберемся.
Исследователи сформировали запросы, которые провоцируют ML-модель генерировать на выходе то, что атакующий подает на вход. В результате этой манипуляции получается спровоцировать модель воспроизвести запрос атакующего и выполнить вредоносное действие. И это вредоносное действие может быть направлено на другие компоненты, которые работают в одной экосистеме с этой моделью.
То, что эта атака проходит без вмешательства пользователя - еще не значит, что модель начнет отправлять запросы за пределы своей экосистемы другим подобным ML-моделям. Авторы сравнили свой концепт с червем, но я бы сравнил это с уязвимостью SSRF: можно манипулировать компонентами экосистемы, в которой находится уязвимая модель.
Поэтому данное исследование помимо интересного метода атаки на продукты, использующие GenAI, имеет заголовок, за которым прячется концепт, но не опасность червя Morris.
Forwarded from Пост Лукацкого
Google выпустил модель угроз для постквантовой криптографии. Когда А.П.Баранов на РусКрипто использовал фразу «фантазийная криптография», я подумал, что он, в контексте высказанной им мысли, просто использовал слово «фантазия» как синоним «непонятно как работает». А теперь я уже и не уверен 🤔 У Google в модели угроз термин «фантазийная криптография» (fancy cryptography) тоже используется 🔐
Please open Telegram to view this post
VIEW IN TELEGRAM
Google
Blog: Google's Threat model for Post-Quantum Cryptography
Read on to understand how Google currently evaluates the threat landscape related to post-quantum cryptography, and what implications this has for migrating from classical cryptographic algorithms to PQC.
Forwarded from Пост Лукацкого
Полезный проект - What2Log, который описывает минимальный, идеальный и экстремальный состав событий ИБ для регистрации в Linux Ubuntu и Windows (7 и 10), а также позволяет выбрать нужные и сгенерить готовый скрипт, который позволит вам включить нужные события 💡
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
В Сиднее 🌏 на прошлой неделе закончился Gartner Security & Risk Management Summit, на котором консалтинговая компания, ушедшая из России, дала ряд прогнозов 🔮 по ИБ, которые, если отбросить конкретные цифры, вполне применимы и у нас. Так что стоит взглянуть на то, куда Gartner рекомендует смотреть всему миру и то, что можно включить в свою стратегию развития 🗺
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
10 прогнозов Gartner про кибербезопасность на горизонте до 2028-го года
На днях в Сиднее компания Gartner, которую многие уже начинают забывать, провела в австралийском Сиднее свой очередной Security & Risk Management Summit. Я в прогнозы Gartner давно не верю (уж очень часто они не сбывались), но есть среди озвученных предположений…
👍1
Forwarded from DevSecOps Talks
Secure Coding Practices
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Devsecopsguides
Secure Coding Cheatsheets
In today's interconnected digital landscape, security is paramount for developers across various platforms and programming languages.
👍2
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Наши хорошие товарищи Антон Жаболенко и Алексей Федулаев в рамках
Данная презентация посвящена
HighLoad++ 2023 выступали с любопытным докладом под названием "Как собрать контейнер и не вооружить хакера". И сейчас стала доступна видеозапись выступления и статья на Хабре по мотивам доклада.Данная презентация посвящена
Living off the Land (LotL) атакам. По сути, это атаки с использованием легитимных программ, которые уже присутствуют в целевой системе куда попал атакующий. В данном случае это в образах контейнеров. В статье есть множество разных трюков/приемов о которых должен знать любой представитель красной команды) Ну а оппоненты из синей команды должны знать способы как это либо предотвратить, либо своевременно обнаружить ;)Хабр
Как собрать контейнер и не вооружить хакера
Известно, что с контейнерами бывает огромное количество разнообразных проблем, в том числе, связанных с информационной безопасностью. Как их избежать и не дать взломщику лазеек в ваш сервис —...
👍1
Forwarded from SecAtor
Исследователи ETH Zurich раскрыли новую атаку ZenHammer, которая затрагивает процессоры на базе новейшей микроархитектуры AMD Zen и модули оперативной памяти DDR5, опровергая мнение об их уязвимости для атак Rowhammer DRAM.
Как известно, ранее задокументированный метод атаки подробно Rowhammer исследовался преимущественно на процессорах Intel и ARM.
В то время, как процессоры AMD с архитектурой Zen остались практически неисследованными из-за проблем, связанных с схемами адресации DRAM, синхронизации с командами обновления и достижением высокой пропускной способности активации строк.
С помощью ZenHammer исследователям из ETH Zurich удалось решить эти проблемы путем обратного проектирования сложных и нелинейных функций адресации DRAM на платформах AMD.
Им удалось разработать новые методы синхронизации, позволяющие реализовать атаки с помощью команд обновления DRAM, что имело решающее значение для обхода таких мер, как обновление целевой строки TRR.
Кроме того, исследователи оптимизировали шаблоны доступа к памяти, чтобы увеличить скорость активации строк, что является критическим фактором эффективности атак Rowhammer.
По итогу исследователи продемонстрировали, как ZenHammer может вызвать перестановку битов на устройствах DDR4 на платформах AMD Zen 2 (Ryzen 5 3600X) и Zen 3 (Ryzen 5 5600G), проведя 7 успешных из 10 тестов на DDR4/AMD Zen 2 и в 6 из 10 - на DDR4/AMD Zen 3.
Кроме того, удалось добиться успеха с чипами DDR5 на платформе AMD Zen 4, которая ранее считалась более защищенной от атак Rowhammer.
Однако тест оказался успешным только на 1 из 10 систем, Ryzen 7 7700X, в виду улучшенных мер в DDR5 по смягчению последствий Rowhammer (встроенный код исправления ошибок (ECC) и более высокая частота обновления (32 мс).
Во всех выполненных атаках исследователи смогли обойти безопасность систем, включая манипулирование записями таблицы страниц для несанкционированного доступа к памяти.
На одной из тестовых систем Zen 3 они получили root-права в результате 10 успешных атак со средним временем 93 секунды, начиная с момента обнаружения опасного переворота битов.
Однако стоит отметит, что такие атаки имеют высокую сложность и требуют от злоумышленника глубокого понимания как программных, так и аппаратных компонентов.
В свою очередь, AMD опубликовала бюллетень по безопасности в ответ на результаты ZenHammer с рекомендациями по устранению проблем, заверяя выпустить обновления.
Более подробно исследование описано в технической статье университета ETH Zurich.
Как известно, ранее задокументированный метод атаки подробно Rowhammer исследовался преимущественно на процессорах Intel и ARM.
В то время, как процессоры AMD с архитектурой Zen остались практически неисследованными из-за проблем, связанных с схемами адресации DRAM, синхронизации с командами обновления и достижением высокой пропускной способности активации строк.
С помощью ZenHammer исследователям из ETH Zurich удалось решить эти проблемы путем обратного проектирования сложных и нелинейных функций адресации DRAM на платформах AMD.
Им удалось разработать новые методы синхронизации, позволяющие реализовать атаки с помощью команд обновления DRAM, что имело решающее значение для обхода таких мер, как обновление целевой строки TRR.
Кроме того, исследователи оптимизировали шаблоны доступа к памяти, чтобы увеличить скорость активации строк, что является критическим фактором эффективности атак Rowhammer.
По итогу исследователи продемонстрировали, как ZenHammer может вызвать перестановку битов на устройствах DDR4 на платформах AMD Zen 2 (Ryzen 5 3600X) и Zen 3 (Ryzen 5 5600G), проведя 7 успешных из 10 тестов на DDR4/AMD Zen 2 и в 6 из 10 - на DDR4/AMD Zen 3.
Кроме того, удалось добиться успеха с чипами DDR5 на платформе AMD Zen 4, которая ранее считалась более защищенной от атак Rowhammer.
Однако тест оказался успешным только на 1 из 10 систем, Ryzen 7 7700X, в виду улучшенных мер в DDR5 по смягчению последствий Rowhammer (встроенный код исправления ошибок (ECC) и более высокая частота обновления (32 мс).
Во всех выполненных атаках исследователи смогли обойти безопасность систем, включая манипулирование записями таблицы страниц для несанкционированного доступа к памяти.
На одной из тестовых систем Zen 3 они получили root-права в результате 10 успешных атак со средним временем 93 секунды, начиная с момента обнаружения опасного переворота битов.
Однако стоит отметит, что такие атаки имеют высокую сложность и требуют от злоумышленника глубокого понимания как программных, так и аппаратных компонентов.
В свою очередь, AMD опубликовала бюллетень по безопасности в ответ на результаты ZenHammer с рекомендациями по устранению проблем, заверяя выпустить обновления.
Более подробно исследование описано в технической статье университета ETH Zurich.
Forwarded from AKTIV.CONSULTING
• ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения».
• ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».
1. Банкам с размерами активов более 500 млрд. рублей и банкам с универсальной лицензией и активами менее 500 млрд. рублей обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.3
2. Остальным КО обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.3.
1. Банкам с размерами активов более 500 млрд. рублей обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.4.
2. Остальным КО обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.4.
3. НФО, указанным в п.1.4.2 757-П, в числе которых:
• центральные контрагенты;
• центральный депозитарий;
• регистраторы финансовых транзакций
обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.4.
4. НФО, указанным в п.1.4.3 757-П, в т.ч.:
• специализированным депозитариям инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (НПФ);
• клиринговым организациям;
• организаторам торговли;
• страховым организациям;
• НПФ;
• операторам инвестиционной платформы;
• операторам финансовой платформы
обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.4.
5. НФО, указанным в п.1.4.4 757-П, в т.ч.:
• управляющим компаниям инвестиционных фондов, паевых инвестиционных фондов и НПФ;
• форекс-дилерам;
• операторам информационных систем, в которых осуществляется выпуск цифровых финансовых активов;
• операторам обмена цифровых финансовых активов;
• обществам взаимного страхования;
• страховым брокерам
обеспечить реализацию минимального уровня защиты согласно ГОСТ Р 57580.4.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Листок бюрократической защиты информации
Сведения_о_принятых_стандартах_1_кв_2024.pdf
593.8 KB
📖 Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года
ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года.
ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
https://www.theregister.com/2024/03/26/fbi_cisa_sql_injection/
"The Federal Bureau of Investigation (FBI) and Cybersecurity and Infrastructure Security Agency (CISA) issued a Secure by Design Alert on Monday, reminding the tech community that there is no excuse for the decades-old vulnerability type to still be causing issues today.
They cited the MOVEit supply chain attacks from last year, ones enabled by a SQL injection zero day, as an example of the damage such issues can cause."
"The Federal Bureau of Investigation (FBI) and Cybersecurity and Infrastructure Security Agency (CISA) issued a Secure by Design Alert on Monday, reminding the tech community that there is no excuse for the decades-old vulnerability type to still be causing issues today.
They cited the MOVEit supply chain attacks from last year, ones enabled by a SQL injection zero day, as an example of the damage such issues can cause."
The Register
Uncle Sam's had it up to here with 'unforgivable' SQL injection flaws
Software slackers urged to up their game
Ещё около 2 недель до возвращения обогащения информации об уязвимостях от NIST в новом варианте.
Похоже уязвимости марта 2024 станут мерилом качества фидов сканеров уязвимостей и частым выбором пентестеров (и не только).
https://www.infosecurity-magazine.com/news/nist-unveils-new-nvd-consortium/
Похоже уязвимости марта 2024 станут мерилом качества фидов сканеров уязвимостей и частым выбором пентестеров (и не только).
https://www.infosecurity-magazine.com/news/nist-unveils-new-nvd-consortium/
Infosecurity Magazine
NIST Unveils New Consortium to Operate National Vulnerability Database
After weeks of speculation, NIST has finally confirmed its intention to establish an industry consortium to develop the NVD in the future
От американских органов власти теперь требуют правильно использовать ИИ и публиковать свои подходы на сайтах.
https://www.govinfosecurity.com/omb-issues-first-governmentwide-ai-risk-mitigation-rules-a-24723
https://www.govinfosecurity.com/omb-issues-first-governmentwide-ai-risk-mitigation-rules-a-24723
Govinfosecurity
OMB Issues First Governmentwide AI Risk Mitigation Rules
The Office of Management and Budget issued the first-ever governmentwide guidance for mitigating risks associated with the federal use of artificial intelligence,
