📊 Управление рисками и уязвимостями в 2024 году
Опубликован отчет компании XM Cyber "Навигация по рискам: управление уязвимостями". Исследователи выявили более 40 миллионов уязвимостей, влияющих на миллионы критически важных для бизнеса активов.
🔍 Основные выводы отчета:
Отчет указывает на избыточную концентрацию компаний на устранении уязвимостей CVE в ПО. Однако XM Cyber обнаружили, что уязвимости, основанные на CVE, составляют менее 1% от общего ландшафта уязвимостей в локальной инфраструктуре организаций. Даже среди уязвимостей, представляющих риск для критически важных активов, доля CVE составляет всего 11%.
🚨 Где скрывается основной риск?
Исследования показали, что ошибки в конфигурации учетных данных и ошибки идентификации составляют ошеломляющие 80% всех уязвимостей. Треть из этих уязвимостей напрямую угрожает критическим активам, создавая огромное количество векторов атак, активно эксплуатируемых злоумышленниками.
📌 Ключевые моменты отчета:
- Патчинг уязвимостей важен, но недостаточен.
- Атаки, такие как заражение общих папок вредоносным кодом и использование общих локальных учетных данных на нескольких устройствах, угрожают гораздо большему числу критических активов (24%), чем уязвимости CVE.
- 74% уязвимостей являются тупиками для атакующих, не давая возможности для дальнейшего распространения атаки. Это позволяет сфокусироваться на реальных угрозах.
- 26% уязвимостей позволяют злоумышленникам получить доступ к критически важным активам.
🔴 С полной версией отчёта можно ознакомиться тут
Stay secure and read SecureTechTalks 📚
#SecureTechTalks #УправлениеРисками #Уязвимости #XM_Cyber #CVE
Опубликован отчет компании XM Cyber "Навигация по рискам: управление уязвимостями". Исследователи выявили более 40 миллионов уязвимостей, влияющих на миллионы критически важных для бизнеса активов.
🔍 Основные выводы отчета:
Отчет указывает на избыточную концентрацию компаний на устранении уязвимостей CVE в ПО. Однако XM Cyber обнаружили, что уязвимости, основанные на CVE, составляют менее 1% от общего ландшафта уязвимостей в локальной инфраструктуре организаций. Даже среди уязвимостей, представляющих риск для критически важных активов, доля CVE составляет всего 11%.
🚨 Где скрывается основной риск?
Исследования показали, что ошибки в конфигурации учетных данных и ошибки идентификации составляют ошеломляющие 80% всех уязвимостей. Треть из этих уязвимостей напрямую угрожает критическим активам, создавая огромное количество векторов атак, активно эксплуатируемых злоумышленниками.
📌 Ключевые моменты отчета:
- Патчинг уязвимостей важен, но недостаточен.
- Атаки, такие как заражение общих папок вредоносным кодом и использование общих локальных учетных данных на нескольких устройствах, угрожают гораздо большему числу критических активов (24%), чем уязвимости CVE.
- 74% уязвимостей являются тупиками для атакующих, не давая возможности для дальнейшего распространения атаки. Это позволяет сфокусироваться на реальных угрозах.
- 26% уязвимостей позволяют злоумышленникам получить доступ к критически важным активам.
🔴 С полной версией отчёта можно ознакомиться тут
Stay secure and read SecureTechTalks 📚
#SecureTechTalks #УправлениеРисками #Уязвимости #XM_Cyber #CVE
🚨 Уязвимость в Intel Neural Compressor
Intel устранили уязвимость в Intel Neural Compressor:
💻 Уязвимость, обозначенная как CVE-2024-22476, позволяет неаутентифицированному пользователю выполнять произвольный код на системах с уязвимым ПО. Этот баг получил максимальную оценку 10/10 по шкале CVSS. Он удаленно эксплуатируем и имеет высокий уровень воздействия на конфиденциальность, целостность и доступность данных. Для эксплуатации уязвимости не требуется особых привилегий.
🌟 Уязвимость затрагивает версии Intel Neural Compressor до 2.5.0. Intel рекомендует обновить ПО до версии 2.5.0 или выше. По сообщению компании, информация об уязвимости была получена от внешнего исследователя.
Intel Neural Compressor — это библиотека на Python с открытым исходным кодом, предназначенная для сжатия и оптимизации моделей глубокого обучения для задач компьютерного зрения, обработки естественного языка, рекомендательных систем и т.д..
🛠️ Intel также раскрыла еще одну уязвимость в Intel Neural Compressor — CVE-2024-21792. Этот баг, связанный с уязвимостью времени проверки-времени использования (TOCTOU), может привести к раскрытию чувствительной информации. Для его эксплуатации злоумышленнику необходимо иметь локальный доступ к системе.
🔧 Помимо уязвимостей в Neural Compressor, Intel сообщила о пяти серьезных уязвимостях в своей прошивке UEFI для серверных продуктов. Все эти уязвимости связаны с неправильной проверкой ввода данных и имеют оценки от 7.2 до 7.5 по шкале CVSS.
💡 Уязвимости в Neural Compressor подчеркивают растущие угрозы при разработке нейросетей. Stay secure and read SecureTechTalks 📚
#Кибербезопасность #Intel #AI #Уязвимости #CVE
Intel устранили уязвимость в Intel Neural Compressor:
💻 Уязвимость, обозначенная как CVE-2024-22476, позволяет неаутентифицированному пользователю выполнять произвольный код на системах с уязвимым ПО. Этот баг получил максимальную оценку 10/10 по шкале CVSS. Он удаленно эксплуатируем и имеет высокий уровень воздействия на конфиденциальность, целостность и доступность данных. Для эксплуатации уязвимости не требуется особых привилегий.
🌟 Уязвимость затрагивает версии Intel Neural Compressor до 2.5.0. Intel рекомендует обновить ПО до версии 2.5.0 или выше. По сообщению компании, информация об уязвимости была получена от внешнего исследователя.
Intel Neural Compressor — это библиотека на Python с открытым исходным кодом, предназначенная для сжатия и оптимизации моделей глубокого обучения для задач компьютерного зрения, обработки естественного языка, рекомендательных систем и т.д..
🛠️ Intel также раскрыла еще одну уязвимость в Intel Neural Compressor — CVE-2024-21792. Этот баг, связанный с уязвимостью времени проверки-времени использования (TOCTOU), может привести к раскрытию чувствительной информации. Для его эксплуатации злоумышленнику необходимо иметь локальный доступ к системе.
🔧 Помимо уязвимостей в Neural Compressor, Intel сообщила о пяти серьезных уязвимостях в своей прошивке UEFI для серверных продуктов. Все эти уязвимости связаны с неправильной проверкой ввода данных и имеют оценки от 7.2 до 7.5 по шкале CVSS.
💡 Уязвимости в Neural Compressor подчеркивают растущие угрозы при разработке нейросетей. Stay secure and read SecureTechTalks 📚
#Кибербезопасность #Intel #AI #Уязвимости #CVE
👍2
🚘 Атака GhostStripe: как ученые могут обмануть автопилот
Исследователи из Сингапура разработали атаку под названием GhostStripe, способную заставить автопилот автомобиля не реагировать на дорожные знаки. Атака нацелена на CMOS-сенсоры камер, которые используются в таких системах, как Tesla и Baidu Apollo.
👁️🗨️ Суть атаки заключается в использовании светодиодов для «расцвечивания» дорожных знаков различными цветами. Это мешает программному обеспечению автомобиля правильно распознавать дорожные знаки. Атака воздействует на скользящий электронный затвор CMOS-сенсоров, заставляя камеру захватывать изображение с полосами различных цветов. Классификатор в ПО автомобиля не может распознать такие знаки и автомобиль не реагирует.
GhostStripe имеет два варианта:
1. GhostStripe1 не требует доступа к автомобилю и работает через систему мониторинга. Злоумышленник отслеживает автомобиль и регулирует мерцание светодиодов, чтобы ПО не могло считать дорожный знак.
2. GhostStripe2 требует установки датчика на провод питания камеры автомобиля. Датчик определяет момент кадрирования и позволяет точно управлять атакой.
🔬 Исследователи протестировали GhostStripe в реальных условиях, используя камеру Leopard Imaging AR023ZWDR, применяемую в Baidu Apollo. Атака GhostStripe1 оказалась успешной в 94% случаев, а GhostStripe2 — в 97%. Однако яркий свет снижает эффективность атаки.
Чтобы защититься от таких атак, ученые предлагают заменить камеры с CMOS-датчиками на камеры с кадровым затвором или увеличить количество камер. Также можно обучить ИИ автомобиля распознавать подобные атаки.
🗓️ Презентация GhostStripe состоится на Международной конференции ACM по мобильным системам в следующем месяце.
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #Автопилот #GhostStripe
Исследователи из Сингапура разработали атаку под названием GhostStripe, способную заставить автопилот автомобиля не реагировать на дорожные знаки. Атака нацелена на CMOS-сенсоры камер, которые используются в таких системах, как Tesla и Baidu Apollo.
👁️🗨️ Суть атаки заключается в использовании светодиодов для «расцвечивания» дорожных знаков различными цветами. Это мешает программному обеспечению автомобиля правильно распознавать дорожные знаки. Атака воздействует на скользящий электронный затвор CMOS-сенсоров, заставляя камеру захватывать изображение с полосами различных цветов. Классификатор в ПО автомобиля не может распознать такие знаки и автомобиль не реагирует.
GhostStripe имеет два варианта:
1. GhostStripe1 не требует доступа к автомобилю и работает через систему мониторинга. Злоумышленник отслеживает автомобиль и регулирует мерцание светодиодов, чтобы ПО не могло считать дорожный знак.
2. GhostStripe2 требует установки датчика на провод питания камеры автомобиля. Датчик определяет момент кадрирования и позволяет точно управлять атакой.
🔬 Исследователи протестировали GhostStripe в реальных условиях, используя камеру Leopard Imaging AR023ZWDR, применяемую в Baidu Apollo. Атака GhostStripe1 оказалась успешной в 94% случаев, а GhostStripe2 — в 97%. Однако яркий свет снижает эффективность атаки.
Чтобы защититься от таких атак, ученые предлагают заменить камеры с CMOS-датчиками на камеры с кадровым затвором или увеличить количество камер. Также можно обучить ИИ автомобиля распознавать подобные атаки.
🗓️ Презентация GhostStripe состоится на Международной конференции ACM по мобильным системам в следующем месяце.
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #Автопилот #GhostStripe
😱1
🔒 Критическая уязвимость в Fluent Bit: угрозы утечки данных и удаленного выполнения кода
Исследователи в области кибербезопасности обнаружили серьезную уязвимость в популярной утилите для логирования и сбора метрик Fluent Bit, которая может быть использована для атаки типа «отказ в обслуживании» (DoS), утечки информации или удаленного выполнения кода.
📌 Уязвимость, получившая идентификатор CVE-2024-4323 и название Linguistic Lumberjack от Tenable Research, затрагивает версии Fluent Bit с 2.0.7 по 3.0.3. Исправления включены в версию 3.0.4.
🔍 Проблема связана с повреждением памяти в встроенном HTTP-сервере Fluent Bit, что может привести к DoS, утечке информации или удаленному выполнению кода. Атака возможна посредством отправки специально сформированных запросов к API мониторинга через /api/v1/traces и /api/v1/trace.
🛠️ Исследователь безопасности Джими Себри объяснил, что уязвимость возникает из-за неправильной валидации типов данных входных имен перед их обработкой. По умолчанию тип данных предполагается в строковом формате (MSGPACK_OBJECT_STR). Если злоумышленник передаст значения других типов, это может справоцировать повреждение памяти.
Tenable удалось успешно эксплуатировать уязвимость для сбоев в работе службы и создания условий DoS. Удаленное выполнение кода зависит от множества факторов, например от окружения хоста или типа и версии ОС.
🚨 Пользователям рекомендуется обновить Fluent Bit до последней версии для предотвращения потенциальных угроз безопасности, особенно учитывая наличие proof-of-concept (PoC) эксплойта для данной уязвимости.
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #FluentBit #SecureTechTalks #CVE20244323
Исследователи в области кибербезопасности обнаружили серьезную уязвимость в популярной утилите для логирования и сбора метрик Fluent Bit, которая может быть использована для атаки типа «отказ в обслуживании» (DoS), утечки информации или удаленного выполнения кода.
📌 Уязвимость, получившая идентификатор CVE-2024-4323 и название Linguistic Lumberjack от Tenable Research, затрагивает версии Fluent Bit с 2.0.7 по 3.0.3. Исправления включены в версию 3.0.4.
🔍 Проблема связана с повреждением памяти в встроенном HTTP-сервере Fluent Bit, что может привести к DoS, утечке информации или удаленному выполнению кода. Атака возможна посредством отправки специально сформированных запросов к API мониторинга через /api/v1/traces и /api/v1/trace.
🛠️ Исследователь безопасности Джими Себри объяснил, что уязвимость возникает из-за неправильной валидации типов данных входных имен перед их обработкой. По умолчанию тип данных предполагается в строковом формате (MSGPACK_OBJECT_STR). Если злоумышленник передаст значения других типов, это может справоцировать повреждение памяти.
Tenable удалось успешно эксплуатировать уязвимость для сбоев в работе службы и создания условий DoS. Удаленное выполнение кода зависит от множества факторов, например от окружения хоста или типа и версии ОС.
🚨 Пользователям рекомендуется обновить Fluent Bit до последней версии для предотвращения потенциальных угроз безопасности, особенно учитывая наличие proof-of-concept (PoC) эксплойта для данной уязвимости.
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #FluentBit #SecureTechTalks #CVE20244323
👍1
🔒 Zoom внедряет постквантовое сквозное шифрование (E2EE)
Zoom объявил о внедрении постквантового сквозного шифрования (E2EE) в конференции Zoom Meetings. В ближайшем будущем аналогичная защита станет доступной и для Zoom Phone и Zoom Rooms. 🔐
В основе постквантового E2EE от Zoom лежит алгоритм Kyber-768, обеспечивающий уровень безопасности, сопоставимый с AES-192. Kyber был выбран институтом NIST в июле 2022 года в качестве криптографического алгоритма, устойчивого к квантовым атакам. 🔑
Чтобы использовать постквантовое E2EE по умолчанию, все участники совещания должны использовать Zoom версии 6.0.10 или выше. Если хотя бы один из участников не соответствует этому требованию, будет применяться стандартное сквозное шифрование. 📲💻
Квантовые компьютеры пока находятся на экспериментальной стадии, но угроза заключается в том, что в будущем они смогут решать сложные математические задачи гораздо быстрее, что сделает существующую криптографию уязвимой. 💻🧩
Также существует риск атаки «собери сейчас, расшифруй позже» (Harvest Now, Decrypt Later, HNDL). Злоумышленники могут перехватывать и хранить зашифрованный трафик сейчас, чтобы расшифровать его в будущем с помощью квантовых компьютеров. 📥🔓
Постквантовая криптография предназначена как раз для устранения таких рисков. Многие компании, включая Google, Signal, HP, AWS, Apple, Cloudflare и Tuta, уже интегрируют новые стандарты в свои продукты. 🛡️🌐
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #Zoom #E2EE #ПостквантоваяКриптография #SecureTechTalks
Zoom объявил о внедрении постквантового сквозного шифрования (E2EE) в конференции Zoom Meetings. В ближайшем будущем аналогичная защита станет доступной и для Zoom Phone и Zoom Rooms. 🔐
В основе постквантового E2EE от Zoom лежит алгоритм Kyber-768, обеспечивающий уровень безопасности, сопоставимый с AES-192. Kyber был выбран институтом NIST в июле 2022 года в качестве криптографического алгоритма, устойчивого к квантовым атакам. 🔑
Чтобы использовать постквантовое E2EE по умолчанию, все участники совещания должны использовать Zoom версии 6.0.10 или выше. Если хотя бы один из участников не соответствует этому требованию, будет применяться стандартное сквозное шифрование. 📲💻
Квантовые компьютеры пока находятся на экспериментальной стадии, но угроза заключается в том, что в будущем они смогут решать сложные математические задачи гораздо быстрее, что сделает существующую криптографию уязвимой. 💻🧩
Также существует риск атаки «собери сейчас, расшифруй позже» (Harvest Now, Decrypt Later, HNDL). Злоумышленники могут перехватывать и хранить зашифрованный трафик сейчас, чтобы расшифровать его в будущем с помощью квантовых компьютеров. 📥🔓
Постквантовая криптография предназначена как раз для устранения таких рисков. Многие компании, включая Google, Signal, HP, AWS, Apple, Cloudflare и Tuta, уже интегрируют новые стандарты в свои продукты. 🛡️🌐
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #Zoom #E2EE #ПостквантоваяКриптография #SecureTechTalks
🔒 Authelia: реализация аутентификаци и авторизации 🔒
Authelia – это open-source решение для аутентификации и авторизации, которое предлагает двухфакторную аутентификацию и единый вход (SSO) для приложений через веб. Authelia подключается к прокси серверу, и не взаимодействует напрямую с бекендами приложений. 🔐🌐
Особенности Authelia ⚙️
Джеймс Эллиот, один из разработчиков Authelia, выделил несколько особенностей, отличающих её от большинства других решений в этой области:
🔹 Декларативная конфигурация. Эта функция позволяет конфигурировать Authelia без использования интерфейса с помощью инструментов развертывания, таких как Ansible, Helm, и GitOps Workflows.
🔹 Низкий уровень потребления ресурсов. Authelia в обычной работе использует всего 20-25 МБ оперативной памяти и имеет низкую загрузку процессора, за исключением операций хеширования паролей.
🔹 Безопасность в приоритете. При разработки решения используются лучшие практики в соответствии со стандартом OpenSSF Security Best Practices.
🔹 Интеграция с популярными обратными прокси-серверами. Authelia работает с nginx, Traefik, Caddy, Skipper, Envoy и HAProxy, что позволяет обеспечивать безопасность приложений, обслуживаемых этими прокси-серверами.
🔹 Поддержка аппаратных средств. Authelia поддерживает использование аппаратных ключей безопасности, совместимых с FIDO2 WebAuthn, таких как YubiKeys, для дополнительной защиты. 🔑
Будущие планы и загрузка 🚀
Дальнейшее развитие Authelia будет сфокусировано на поддержке OpenID Connect 1.0 и WebAuthn.
🔸 OpenID Connect 1.0
- Следующая версия Authelia будет полностью соответствовать стандарту
- Поддержка Device Code Flow.
- Поддержка claims, позволяющая сторонним приложениям запрашивать только релевантные данные.
🔸 WebAuthn
- Следующая версия расширит поддержку WebAuthn, добавив:
- Регистрацию и вход с помощью Passkey.
- Фильтрацию AAGUID.
- Более строгую валидацию аттестаций через MDS3 записи.
Authelia доступно на GitHub. 📥✨
Stay secure and read SecureTechTalks 📚
#Authelia #2FA #SSO #SecureTechTalks
Authelia – это open-source решение для аутентификации и авторизации, которое предлагает двухфакторную аутентификацию и единый вход (SSO) для приложений через веб. Authelia подключается к прокси серверу, и не взаимодействует напрямую с бекендами приложений. 🔐🌐
Особенности Authelia ⚙️
Джеймс Эллиот, один из разработчиков Authelia, выделил несколько особенностей, отличающих её от большинства других решений в этой области:
🔹 Декларативная конфигурация. Эта функция позволяет конфигурировать Authelia без использования интерфейса с помощью инструментов развертывания, таких как Ansible, Helm, и GitOps Workflows.
🔹 Низкий уровень потребления ресурсов. Authelia в обычной работе использует всего 20-25 МБ оперативной памяти и имеет низкую загрузку процессора, за исключением операций хеширования паролей.
🔹 Безопасность в приоритете. При разработки решения используются лучшие практики в соответствии со стандартом OpenSSF Security Best Practices.
🔹 Интеграция с популярными обратными прокси-серверами. Authelia работает с nginx, Traefik, Caddy, Skipper, Envoy и HAProxy, что позволяет обеспечивать безопасность приложений, обслуживаемых этими прокси-серверами.
🔹 Поддержка аппаратных средств. Authelia поддерживает использование аппаратных ключей безопасности, совместимых с FIDO2 WebAuthn, таких как YubiKeys, для дополнительной защиты. 🔑
Будущие планы и загрузка 🚀
Дальнейшее развитие Authelia будет сфокусировано на поддержке OpenID Connect 1.0 и WebAuthn.
🔸 OpenID Connect 1.0
- Следующая версия Authelia будет полностью соответствовать стандарту
- Поддержка Device Code Flow.
- Поддержка claims, позволяющая сторонним приложениям запрашивать только релевантные данные.
🔸 WebAuthn
- Следующая версия расширит поддержку WebAuthn, добавив:
- Регистрацию и вход с помощью Passkey.
- Фильтрацию AAGUID.
- Более строгую валидацию аттестаций через MDS3 записи.
Authelia доступно на GitHub. 📥✨
Stay secure and read SecureTechTalks 📚
#Authelia #2FA #SSO #SecureTechTalks
👍1
📢 Anthropic раскрывает внутреннее устройство модели Claude 3 Sonnet 3.0 📢
🔍 21 мая компания Anthropic создала детализированную карту внутреннего устройства своей модели Claude 3 Sonnet 3.0. Благодаря этой карте исследователи могут изучать, как нейроноподобные данные, называемые "фичами", влияют на вывод генеративного ИИ.Обычно пользователи видят только итоговый результат работы модели.
🛡️ Некоторые из этих фич связаны с безопасностью, поэтому их выявление может помочь настроить генеративный ИИ для избегания потенциально опасных тем или действий. Также фичи полезны для корректировки классификации, благодаря чему могут влиять на предвзятость.
💡 Что же обнаружила Anthropic? 💡
Исследователи компании извлекли интерпретируемые фичи из Claude 3, современной модели на базе больших языковых моделей. Интерпретируемые фичи можно перевести в понятные для человека концепции из чисел, считываемых моделью.
🌐 Интерпретируемые фичи могут применяться к одной и той же концепции на разных языках, а также к изображениям и тексту.
🔬 "Наша главная цель в этой работе - разложить активации модели (Claude 3 Sonnet) на более интерпретируемые части," написали исследователи.
📝 "Одной из надежд на интерпретируемость является то, что она может служить своего рода 'тестовым набором для безопасности', позволяя определить, будут ли модели, которые кажутся безопасными во время обучения, на самом деле безопасными при внедрении," добавили они.
📑 Подробное описание гипотез, использованных для выяснения происходящего под капотом больших языковых моделей (LLM), можно найти в исследовательской статье Anthropic.
Stay secure and read SecureTechTalks 📚
#LLM #AI #Research
🔍 21 мая компания Anthropic создала детализированную карту внутреннего устройства своей модели Claude 3 Sonnet 3.0. Благодаря этой карте исследователи могут изучать, как нейроноподобные данные, называемые "фичами", влияют на вывод генеративного ИИ.
🛡️ Некоторые из этих фич связаны с безопасностью, поэтому их выявление может помочь настроить генеративный ИИ для избегания потенциально опасных тем или действий. Также фичи полезны для корректировки классификации, благодаря чему могут влиять на предвзятость.
💡 Что же обнаружила Anthropic? 💡
Исследователи компании извлекли интерпретируемые фичи из Claude 3, современной модели на базе больших языковых моделей. Интерпретируемые фичи можно перевести в понятные для человека концепции из чисел, считываемых моделью.
🌐 Интерпретируемые фичи могут применяться к одной и той же концепции на разных языках, а также к изображениям и тексту.
🔬 "Наша главная цель в этой работе - разложить активации модели (Claude 3 Sonnet) на более интерпретируемые части," написали исследователи.
📝 "Одной из надежд на интерпретируемость является то, что она может служить своего рода 'тестовым набором для безопасности', позволяя определить, будут ли модели, которые кажутся безопасными во время обучения, на самом деле безопасными при внедрении," добавили они.
📑 Подробное описание гипотез, использованных для выяснения происходящего под капотом больших языковых моделей (LLM), можно найти в исследовательской статье Anthropic.
Stay secure and read SecureTechTalks 📚
#LLM #AI #Research
🔒 Критическая уязвимость в AI-as-a-service провайдере Replicate: что было обнаружено?
🛡️ Исследователи в области кибербезопасности выявили серьезную уязвимость у провайдера Replicate, которая могла позволить злоумышленникам получить доступ к проприетарным AI моделям и конфиденциальной информации.
📊
- говорится в отчете облачной компании Wiz, опубликованном на этой неделе.
🛠️ Replicate использует открытый инструмент под названием Cog для контейнеризации и упаковки моделей машинного обучения, которые затем могут быть развернуты либо в среде с самоуправлением, либо на платформе Replicate.
⚙️ Wiz создала вредоносный контейнер Cog и загрузила его на Replicate, что в конечном итоге позволило достичь выполнения удаленного кода на инфраструктуре сервиса с повышенными привилегиями.
🌐 Атака использовала уже установленное TCP соединение, связанное с экземпляром сервера Redis в кластере Kubernetes, размещенном на платформе Google Cloud, для инъекции произвольных команд.
⚠️ Такие манипуляции угрожают не только целостности AI моделей, но и точности и надежности AI-результатов.
🚨 Вредоносные модели представляют серьезную угрозу для AI систем, особенно для AI-as-a-service провайдеров.
Stay secure and read SecureTechTalks 📚
#AI #Kubernetes
🛡️ Исследователи в области кибербезопасности выявили серьезную уязвимость у провайдера Replicate, которая могла позволить злоумышленникам получить доступ к проприетарным AI моделям и конфиденциальной информации.
📊
Эксплуатация этой уязвимости позволяла несанкционированный доступ к AI запросам и результатам всех клиентов платформы Replicate
- говорится в отчете облачной компании Wiz, опубликованном на этой неделе.
🛠️ Replicate использует открытый инструмент под названием Cog для контейнеризации и упаковки моделей машинного обучения, которые затем могут быть развернуты либо в среде с самоуправлением, либо на платформе Replicate.
⚙️ Wiz создала вредоносный контейнер Cog и загрузила его на Replicate, что в конечном итоге позволило достичь выполнения удаленного кода на инфраструктуре сервиса с повышенными привилегиями.
🌐 Атака использовала уже установленное TCP соединение, связанное с экземпляром сервера Redis в кластере Kubernetes, размещенном на платформе Google Cloud, для инъекции произвольных команд.
⚠️ Такие манипуляции угрожают не только целостности AI моделей, но и точности и надежности AI-результатов.
🚨 Вредоносные модели представляют серьезную угрозу для AI систем, особенно для AI-as-a-service провайдеров.
Stay secure and read SecureTechTalks 📚
#AI #Kubernetes
🚨 Новый метод слежки через пуш-уведомления в iOS и Android
📱 О чем речь? Недавно стало известно о новом виде слежки за пользователями смартфонов через пуш-уведомления в iOS и Android. Это возможно благодаря использованию функции com.apple.developer.usernotifications.filtering.
🔔 Как это работает? Согласно официальной документации Apple, для скрытия уведомления внутри метода didReceive(_:withContentHandler:) создается пустой объект UNNotificationContent, который передается обработчику контента. Контент не должен содержать заголовок, подзаголовок, тело, вложения или звук.
✉️ Удаленное уведомление: Чтобы скрыть отправляемое уведомление, при отправке на сервер APNS необходимо установить поле заголовка apns-push-type в значение alert. Таким образом, жертва не увидит пуш-уведомление и не заподозрит, что против нее началось расследование.
🌍 Пример использования: В официальной документации Apple приводится пример использования пуш-уведомлений для всех пользователей, которые пересекли определенную физическую границу, например, зону стихийного бедствия. Логически можно предположить, что Apple имеет информацию обо всех устройствах на определенной территории, что может быть использовано правоохранительными органами для составления списков участников массовых мероприятий.
📡 Альтернативные методы: Для составления таких списков также можно использовать фальшивые базовые станции (StingRay), которые регистрируют все мобильные телефоны в радиусе действия.
🕵️ Слежка в действии: Специалисты ФБР использовали пуш-токены против террористов и преступников. На данный момент зафиксировано более 130 случаев использования пуш-токенов с последующим запросом персональной информации у Apple, Google, Facebook и других компаний.
Stay secure and read SecureTechTalks 📚
#Push #Privacy #Apple
📱 О чем речь? Недавно стало известно о новом виде слежки за пользователями смартфонов через пуш-уведомления в iOS и Android. Это возможно благодаря использованию функции com.apple.developer.usernotifications.filtering.
🔔 Как это работает? Согласно официальной документации Apple, для скрытия уведомления внутри метода didReceive(_:withContentHandler:) создается пустой объект UNNotificationContent, который передается обработчику контента. Контент не должен содержать заголовок, подзаголовок, тело, вложения или звук.
✉️ Удаленное уведомление: Чтобы скрыть отправляемое уведомление, при отправке на сервер APNS необходимо установить поле заголовка apns-push-type в значение alert. Таким образом, жертва не увидит пуш-уведомление и не заподозрит, что против нее началось расследование.
🌍 Пример использования: В официальной документации Apple приводится пример использования пуш-уведомлений для всех пользователей, которые пересекли определенную физическую границу, например, зону стихийного бедствия. Логически можно предположить, что Apple имеет информацию обо всех устройствах на определенной территории, что может быть использовано правоохранительными органами для составления списков участников массовых мероприятий.
📡 Альтернативные методы: Для составления таких списков также можно использовать фальшивые базовые станции (StingRay), которые регистрируют все мобильные телефоны в радиусе действия.
🕵️ Слежка в действии: Специалисты ФБР использовали пуш-токены против террористов и преступников. На данный момент зафиксировано более 130 случаев использования пуш-токенов с последующим запросом персональной информации у Apple, Google, Facebook и других компаний.
Stay secure and read SecureTechTalks 📚
#Push #Privacy #Apple
🔍 CVEMap: Инструмент для работы с CVE
CVEMap — это открытый инструмент командной строки (CLI) для изучения общих уязвимостей и экспозиций (CVE). Он создан для того, чтобы обеспечить удобный и простой интерфейс для навигации по базам данных уязвимостей.
🛡️ Зачем нужен CVEMap?
CVE играют ключевую роль в определении и обсуждении уязвимостей безопасности, но их быстрый рост и иногда завышенная серьезность могут вводить в заблуждение. Специалисты по безопасности, которые должны быть постоянно начеку, часто отвлекаются из-за большого объема CVE, что приводит к неправильному распределению ресурсов и упущению действительно критических уязвимостей. CVEMap помогает решить эту проблему.
🔗 Источники данных CVEMap:
- Каталог известных эксплуатируемых уязвимостей (KEV): Управляется CISA и содержит активно эксплуатируемые уязвимости с указанием сроков устранения, помогая в приоритизации угроз.
- Система оценки вероятности эксплуатации (EPSS): Модель, прогнозирующая вероятность эксплуатации уязвимости, предоставляющая оценку на основе реальных данных.
- Доказательства концепции (POC): Включает официальные POC, ссылки и рейтинговые POC с GitHub и других платформ.
- Обнаружение CVE на HackerOne: Включает отчеты и рейтинги CVE от охотников за багами на платформе HackerOne.
- Экспозиция в интернете: Предоставляет данные об активных интернет-хостах для конкретных продуктов, давая представление о глобальной экспозиции уязвимостей.
- Данные GitHub и OSS: Предоставляет метрики и информацию о популярности проектов с открытым исходным кодом, затронутых CVE.
- Шаблоны Nuclei: Список шаблонов для движка Nuclei для выявления уязвимостей с надежными POC для тестирования.
🔍 Особенности CVEMap:
"Уникальные особенности CVEMap включают визуализацию множества данных в одном окне, возможность фильтрации CVE по любым данным и сопоставление CVE с отчетами HackerOne." — рассказал Sandeep Singh, CTO ProjectDiscovery.io
📥 CVEMap доступен на GitHub.
Stay secure and read SecureTechTalks 📚
#CVE #opensource #map
CVEMap — это открытый инструмент командной строки (CLI) для изучения общих уязвимостей и экспозиций (CVE). Он создан для того, чтобы обеспечить удобный и простой интерфейс для навигации по базам данных уязвимостей.
🛡️ Зачем нужен CVEMap?
CVE играют ключевую роль в определении и обсуждении уязвимостей безопасности, но их быстрый рост и иногда завышенная серьезность могут вводить в заблуждение. Специалисты по безопасности, которые должны быть постоянно начеку, часто отвлекаются из-за большого объема CVE, что приводит к неправильному распределению ресурсов и упущению действительно критических уязвимостей. CVEMap помогает решить эту проблему.
🔗 Источники данных CVEMap:
- Каталог известных эксплуатируемых уязвимостей (KEV): Управляется CISA и содержит активно эксплуатируемые уязвимости с указанием сроков устранения, помогая в приоритизации угроз.
- Система оценки вероятности эксплуатации (EPSS): Модель, прогнозирующая вероятность эксплуатации уязвимости, предоставляющая оценку на основе реальных данных.
- Доказательства концепции (POC): Включает официальные POC, ссылки и рейтинговые POC с GitHub и других платформ.
- Обнаружение CVE на HackerOne: Включает отчеты и рейтинги CVE от охотников за багами на платформе HackerOne.
- Экспозиция в интернете: Предоставляет данные об активных интернет-хостах для конкретных продуктов, давая представление о глобальной экспозиции уязвимостей.
- Данные GitHub и OSS: Предоставляет метрики и информацию о популярности проектов с открытым исходным кодом, затронутых CVE.
- Шаблоны Nuclei: Список шаблонов для движка Nuclei для выявления уязвимостей с надежными POC для тестирования.
🔍 Особенности CVEMap:
"Уникальные особенности CVEMap включают визуализацию множества данных в одном окне, возможность фильтрации CVE по любым данным и сопоставление CVE с отчетами HackerOne." — рассказал Sandeep Singh, CTO ProjectDiscovery.io
📥 CVEMap доступен на GitHub.
Stay secure and read SecureTechTalks 📚
#CVE #opensource #map
👍1🔥1
🔒 Кибератаки на российские банки: итоги первого квартала 2024 года
С января по март 2024 года российские банки отразили 13,9 миллиона попыток кибермошенников похитить деньги у клиентов. В результате этих действий удалось предотвратить кражу средств на сумму в 2 триллиона рублей, сообщает Центробанк.
📉 Общая картина киберугроз:
Несмотря на успешные усилия по предотвращению хищений, ситуация остаётся непростой. За первый квартал злоумышленникам удалось украсть 4,3 миллиарда рублей, что на 6,3% меньше по сравнению с тем же периодом 2023 года. Однако потери граждан увеличились на 8% относительно средних показателей за 2023 год, при этом количество мошеннических операций практически не изменилось.
🌐 Борьба с мошенническими ресурсами:
Центробанк инициировал блокировку 14,8 тысячи мошеннических сайтов и страниц в социальных сетях за этот период. Наибольшая доля таких ресурсов пришлась на фишинг — 10 175 сайтов. Безлицензионная деятельность насчитывала 2420 ресурсов, а финансовые пирамиды — 2224. В этих категориях отмечен значительный рост по сравнению со средними показателями за предыдущие четыре квартала: на 72%, 64,5% и 12% соответственно.
📞 Блокировка телефонных номеров:
Регулятор также направил операторам связи данные о 48,6 тысячи телефонных номеров, используемых мошенниками, для их последующей блокировки.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #мошенничество #статистика #банки #фишинг
С января по март 2024 года российские банки отразили 13,9 миллиона попыток кибермошенников похитить деньги у клиентов. В результате этих действий удалось предотвратить кражу средств на сумму в 2 триллиона рублей, сообщает Центробанк.
📉 Общая картина киберугроз:
Несмотря на успешные усилия по предотвращению хищений, ситуация остаётся непростой. За первый квартал злоумышленникам удалось украсть 4,3 миллиарда рублей, что на 6,3% меньше по сравнению с тем же периодом 2023 года. Однако потери граждан увеличились на 8% относительно средних показателей за 2023 год, при этом количество мошеннических операций практически не изменилось.
🌐 Борьба с мошенническими ресурсами:
Центробанк инициировал блокировку 14,8 тысячи мошеннических сайтов и страниц в социальных сетях за этот период. Наибольшая доля таких ресурсов пришлась на фишинг — 10 175 сайтов. Безлицензионная деятельность насчитывала 2420 ресурсов, а финансовые пирамиды — 2224. В этих категориях отмечен значительный рост по сравнению со средними показателями за предыдущие четыре квартала: на 72%, 64,5% и 12% соответственно.
📞 Блокировка телефонных номеров:
Регулятор также направил операторам связи данные о 48,6 тысячи телефонных номеров, используемых мошенниками, для их последующей блокировки.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #мошенничество #статистика #банки #фишинг
🔒 RansomLord: инструмент для борьбы с программами-вымогателями
RansomLord — это бесплатный инструмент с открытым исходным кодом, который автоматизирует создание PE-файлов для эксплуатации уязвимостей в программах-вымогателях до момента шифрования данных.
💬 Цель создания RansomLord:
"Я создал RansomLord, чтобы показать, что программы-вымогатели также имеют уязвимости, а их разработчики могут допускать ошибки, как и все остальные," — рассказал разработчик RansomLord, hyp3rlinx, в интервью Help Net Security.
🔑 Основные особенности RansomLord:
- Использует тактики DLL hijacking, часто применяемые киберпреступниками.
- Разворачивает эксплойты для защиты сети — новая стратегия для борьбы с программами-вымогателями. Первая публичная демонстрация: Lockbit MVID-2022-0572.
- Включает в себя информацию об уязвимостях в вредоносных программах, с помощью флага -m сопоставляет угрозы с уязвимыми DLL-файлами.
- Нацелен на инструменты вымогателей, выявляя их недостатки.
- Экономит время и усилия, помогает восполнить пробелы в знаниях, необходимые для создания PE-файлов для защиты от программ-вымогателей.
- Обнаруживает двенадцать DLL-файлов для защиты от 49 семейств программ-вымогателей. cryptsp.dll способен победить пятнадцать различных программ-вымогателей, таких как Yanluowang, Conti, LokiLocker и другие.
- Также может помочь в борьбе с троянами и программами для кражи информации, например, Emotet MVID-2024-0684.
💾 RansomLord доступен на GitHub.
Stay secure and read SecureTechTalks 📚
#вымогатели #RansomLord #антивирус
RansomLord — это бесплатный инструмент с открытым исходным кодом, который автоматизирует создание PE-файлов для эксплуатации уязвимостей в программах-вымогателях до момента шифрования данных.
💬 Цель создания RansomLord:
"Я создал RansomLord, чтобы показать, что программы-вымогатели также имеют уязвимости, а их разработчики могут допускать ошибки, как и все остальные," — рассказал разработчик RansomLord, hyp3rlinx, в интервью Help Net Security.
🔑 Основные особенности RansomLord:
- Использует тактики DLL hijacking, часто применяемые киберпреступниками.
- Разворачивает эксплойты для защиты сети — новая стратегия для борьбы с программами-вымогателями. Первая публичная демонстрация: Lockbit MVID-2022-0572.
- Включает в себя информацию об уязвимостях в вредоносных программах, с помощью флага -m сопоставляет угрозы с уязвимыми DLL-файлами.
- Нацелен на инструменты вымогателей, выявляя их недостатки.
- Экономит время и усилия, помогает восполнить пробелы в знаниях, необходимые для создания PE-файлов для защиты от программ-вымогателей.
- Обнаруживает двенадцать DLL-файлов для защиты от 49 семейств программ-вымогателей. cryptsp.dll способен победить пятнадцать различных программ-вымогателей, таких как Yanluowang, Conti, LokiLocker и другие.
- Также может помочь в борьбе с троянами и программами для кражи информации, например, Emotet MVID-2024-0684.
💾 RansomLord доступен на GitHub.
Stay secure and read SecureTechTalks 📚
#вымогатели #RansomLord #антивирус
📢 Infosecurity Europe 2024: Доклад по аутентификации от 1Password
⚠️ Эволюция тактик для кражи учетных данных подчеркивает необходимость внедрения современных методов безопасности.
🔐 Проблемы традиционных методов защиты:
Кража учетных данных может быть результатом фишинговых атак или взломов сторонних сервисов. Более того, многие злоумышленники научились обходить протоколы многофакторной аутентификации (MFA).
Даже менеджеры паролей, (такие как LastPass), не являются полностью надежными, что доказали утечки данных в 2022 году.
🎯 Решение – безпарольные технологии:
Безпарольные технологии предлагают более высокий уровень защиты.
Passkey, основанный на стандартах FIDO Alliance, обеспечивает устойчивость к компрометациям, поскольку он привязан к учетной записи пользователя и конкретному приложению или веб-сайту. Разработчикам нужно хранить только открытый ключ на сервере.
📈 Преимущества для бизнеса:
По словам Стива Вона, Продуктового Директора 1Password, компании выигрывают от использования passkey благодаря ускорению процесса входа, улучшению пользовательского опыта и снижению времени, затрачиваемого на управление угрозами.
💼 Управление сторонними приложениями:
Исследования 1Password показали, что каждый третий сотрудник (34%) использует сторонние приложения и инструменты для повышения производительности, что создает риски для бизнеса.
🏢 Обеспечение безопасного использования внешних инструментов:
Вместо запрета использования внешних инструментов компании должны находить способы их безопасного использования. Первый шаг – это предоставление возможности использовать безопасные методы входа, такие как passkey.
Второй шаг – получение видимости и контроля над приложениями и устройствами. 1Password предлагает программное обеспечение Extended Access Management, которое позволяет компаниям просматривать и управлять несанкционированными приложениями.
Недавно мы рассказывали про OpenSource продукт, который также обещает добавить поддержку Passkey. Stay secure and read SecureTechTalks 📚
#БезпарольныеТехнологии
⚠️ Эволюция тактик для кражи учетных данных подчеркивает необходимость внедрения современных методов безопасности.
🔐 Проблемы традиционных методов защиты:
Кража учетных данных может быть результатом фишинговых атак или взломов сторонних сервисов. Более того, многие злоумышленники научились обходить протоколы многофакторной аутентификации (MFA).
Даже менеджеры паролей, (такие как LastPass), не являются полностью надежными, что доказали утечки данных в 2022 году.
🎯 Решение – безпарольные технологии:
Безпарольные технологии предлагают более высокий уровень защиты.
Passkey, основанный на стандартах FIDO Alliance, обеспечивает устойчивость к компрометациям, поскольку он привязан к учетной записи пользователя и конкретному приложению или веб-сайту. Разработчикам нужно хранить только открытый ключ на сервере.
📈 Преимущества для бизнеса:
По словам Стива Вона, Продуктового Директора 1Password, компании выигрывают от использования passkey благодаря ускорению процесса входа, улучшению пользовательского опыта и снижению времени, затрачиваемого на управление угрозами.
💼 Управление сторонними приложениями:
Исследования 1Password показали, что каждый третий сотрудник (34%) использует сторонние приложения и инструменты для повышения производительности, что создает риски для бизнеса.
🏢 Обеспечение безопасного использования внешних инструментов:
Вместо запрета использования внешних инструментов компании должны находить способы их безопасного использования. Первый шаг – это предоставление возможности использовать безопасные методы входа, такие как passkey.
Второй шаг – получение видимости и контроля над приложениями и устройствами. 1Password предлагает программное обеспечение Extended Access Management, которое позволяет компаниям просматривать и управлять несанкционированными приложениями.
Недавно мы рассказывали про OpenSource продукт, который также обещает добавить поддержку Passkey. Stay secure and read SecureTechTalks 📚
#БезпарольныеТехнологии
🛡️ Уязвимости в Linux и продуктах Check Point
Американское агентство CISA добавило уязвимость CVE-2024-1086 в каталог известных эксплуатируемых уязвимостей (KEV). Эта уязвимость связана с компонентом netfilter в ядре Linux и позволяет повышать привилегии до уровня root. Уязвимость оценивается на 7.8 баллов по шкале CVSS и позволяет злоумышленникам выполнять произвольный код.
🖥️ Netfilter - это фреймворк, предоставляемый ядром Linux, который позволяет выполнять различные сетевые операции, например фильтрацию пакетов. Уязвимость была устранена в январе 2024 года, однако методика атак, эксплуатирующих эту уязвимость, до сих пор неизвестна.
🔒 Кроме того, CISA добавило в каталог уязвимость CVE-2024-24919 в продуктах Check Point, которая позволяет злоумышленникам читать конфиденциальную информацию на интернет-шлюзах с включенным VPN или мобильным доступом. Уязвимость имеет оценку 7.5 по шкале CVSS.
💼 В связи с активной эксплуатацией уязвимостей CVE-2024-1086 и CVE-2024-24919, рекомендуется установить последние обновления для защиты от потенциальных угроз.
Stay secure and read SecureTechTalks 📚
#CVE #Уязвимости #Linux
Американское агентство CISA добавило уязвимость CVE-2024-1086 в каталог известных эксплуатируемых уязвимостей (KEV). Эта уязвимость связана с компонентом netfilter в ядре Linux и позволяет повышать привилегии до уровня root. Уязвимость оценивается на 7.8 баллов по шкале CVSS и позволяет злоумышленникам выполнять произвольный код.
🖥️ Netfilter - это фреймворк, предоставляемый ядром Linux, который позволяет выполнять различные сетевые операции, например фильтрацию пакетов. Уязвимость была устранена в январе 2024 года, однако методика атак, эксплуатирующих эту уязвимость, до сих пор неизвестна.
🔒 Кроме того, CISA добавило в каталог уязвимость CVE-2024-24919 в продуктах Check Point, которая позволяет злоумышленникам читать конфиденциальную информацию на интернет-шлюзах с включенным VPN или мобильным доступом. Уязвимость имеет оценку 7.5 по шкале CVSS.
💼 В связи с активной эксплуатацией уязвимостей CVE-2024-1086 и CVE-2024-24919, рекомендуется установить последние обновления для защиты от потенциальных угроз.
Stay secure and read SecureTechTalks 📚
#CVE #Уязвимости #Linux
🛡️ AI Call Scanner для выявления голосовых клонов
Truecaller анонсировал новый инструмент в борьбе с мошенничеством — AI Call Scanner. Сканер обучен отличать человеческие голоса от синтезированных ИИ голосов, что помогает пользователям защищаться от мошенничества и фальсификаций.
🔍 Механизм работы:
- Инструмент интегрирован в приложение Truecaller для Android (требуется Premium подписка).
- Пользователь может записать подозрительный звонок одним нажатием кнопки.
- Запись обрабатывается ИИ-моделью, которая определяет, является ли голос синтезированным.
📈 Функционал и перспективы:
AI Call Scanner уже доступен в США и имеет планы глобального запуска. Truecaller также планирует выход на iOS и дальнейшее улучшение точности модели. Кроме того, рассматриваются возможности интеграции сканера с другими коммуникационными платформами и устройствами, например, создание чат-бота для отправки записанных семплов на проверку.
📢 Комментарий CEO Truecaller:
Алан Мамеди отметил, что риски ИИ-мошенничества возрастают, и цель компании — предложить эффективное и надежное решение для борьбы со злоумышленниками. "Мы гордимся тем, что Truecaller стал первым приложением для звонков с встроенной функцией определения ИИ голосов", — заявил Мамеди.
🔗 Подробнее: Truecaller
Stay secure and read SecureTechTalks 📚
#AI #Fake #voicerecognition
Truecaller анонсировал новый инструмент в борьбе с мошенничеством — AI Call Scanner. Сканер обучен отличать человеческие голоса от синтезированных ИИ голосов, что помогает пользователям защищаться от мошенничества и фальсификаций.
🔍 Механизм работы:
- Инструмент интегрирован в приложение Truecaller для Android (требуется Premium подписка).
- Пользователь может записать подозрительный звонок одним нажатием кнопки.
- Запись обрабатывается ИИ-моделью, которая определяет, является ли голос синтезированным.
📈 Функционал и перспективы:
AI Call Scanner уже доступен в США и имеет планы глобального запуска. Truecaller также планирует выход на iOS и дальнейшее улучшение точности модели. Кроме того, рассматриваются возможности интеграции сканера с другими коммуникационными платформами и устройствами, например, создание чат-бота для отправки записанных семплов на проверку.
📢 Комментарий CEO Truecaller:
Алан Мамеди отметил, что риски ИИ-мошенничества возрастают, и цель компании — предложить эффективное и надежное решение для борьбы со злоумышленниками. "Мы гордимся тем, что Truecaller стал первым приложением для звонков с встроенной функцией определения ИИ голосов", — заявил Мамеди.
🔗 Подробнее: Truecaller
Stay secure and read SecureTechTalks 📚
#AI #Fake #voicerecognition
👎2💯1
🚨 Джейлбрейк для GPT-4o: Godmode обходит ограничения
Пользователь X с ником Pliny the Prompter разработал джейлбрейк Godmode для нейросети GPT-4o, обходящий все запреты, включая нецензурную лексику и создание опасных инструкций.
🔍 Подробности:
- Набор промтов, использующих leetspeak (неформальный язык, в котором буквы заменяются похожими на них числами), позволил ботам предоставлять инструкции по созданию наркотиков и взрывчатых веществ.
- Возможность создания инструкции по изготовлению ЛСД была проверена редакцией Futurism.
- Первую версию Godmode быстро удалили, но уже выпущена версия 2.0, которая пока доступна.
🛡️ Риски:
- Для защиты LLM необходимо уделять особое внимание обработке ошибок и исключений и разрабатывать механизмы для предотвращения несанкционированного использования.
Ранее мы рассматривали вектора атак на большие языковые модели. Stay secure and read SecureTechTalks 📚
#gpt #prompt #LLM
Пользователь X с ником Pliny the Prompter разработал джейлбрейк Godmode для нейросети GPT-4o, обходящий все запреты, включая нецензурную лексику и создание опасных инструкций.
🔍 Подробности:
- Набор промтов, использующих leetspeak (неформальный язык, в котором буквы заменяются похожими на них числами), позволил ботам предоставлять инструкции по созданию наркотиков и взрывчатых веществ.
- Возможность создания инструкции по изготовлению ЛСД была проверена редакцией Futurism.
- Первую версию Godmode быстро удалили, но уже выпущена версия 2.0, которая пока доступна.
🛡️ Риски:
- Для защиты LLM необходимо уделять особое внимание обработке ошибок и исключений и разрабатывать механизмы для предотвращения несанкционированного использования.
Ранее мы рассматривали вектора атак на большие языковые модели. Stay secure and read SecureTechTalks 📚
#gpt #prompt #LLM
👍2🤯2
🔒 NethSecurity: open-source firewall для Linux
NethSecurity — open-source firewall для Linux, который объединяет в себе множество функций, таких как обнаружение и предотвращение вторжений, антивирус, поддержка Multi-WAN, DNS и фильтрация трафика.
💡 Интерфейс NethSecurity предоставляет доступ к дашбордам с общей информацией и модулям управления сетевой безопасностью. Имеется централизованный хаб для мониторинга и управления активностью firewall, отображающий важные данные, такие как попытки ddos, паттерны трафика и текущее состояние системы.
🚀 Основные функции NethSecurity:
- MultiWAN: поддержка нескольких WAN-соединений.
- Deep Packet Inspection: продвинутый анализ трафика для повышения безопасности.
- VPN: поддержка IPsec, OpenVPN и WireGuard.
- Защита от угроз: комплексная защита от различных угроз.
- Управление сертификатами и обратным прокси: специальная страница для управления сертификатами и настройками обратного прокси.
➡️ NethSecurity предлагает поддержку широкого списка оборудования, что важно при выборе или перепрофилировании устройств для firewall. Решение обеспечивает совместимость с большинством популярных гипервизоров.
🔧 Инструмент включает NethSecurity Controller, приложение для NethServer 8 (NS8), которое позволяет удаленно управлять несколькими установками NethSecurity.
🔜 Будущие обновления:
Недавно вышла версия 8.0, но разработчики планируют выпустить еще одно крупное обновление в ближайшие месяцы, включающее:
- Firewall Objects
- Отчеты
- Интерфейс Conntrack
- Обновлённую ролевую модель
💾 NethSecurity доступен на сайте разработчика.
Stay secure and read SecureTechTalks 📚
#OpenSource #firewall #VPN
NethSecurity — open-source firewall для Linux, который объединяет в себе множество функций, таких как обнаружение и предотвращение вторжений, антивирус, поддержка Multi-WAN, DNS и фильтрация трафика.
💡 Интерфейс NethSecurity предоставляет доступ к дашбордам с общей информацией и модулям управления сетевой безопасностью. Имеется централизованный хаб для мониторинга и управления активностью firewall, отображающий важные данные, такие как попытки ddos, паттерны трафика и текущее состояние системы.
🚀 Основные функции NethSecurity:
- MultiWAN: поддержка нескольких WAN-соединений.
- Deep Packet Inspection: продвинутый анализ трафика для повышения безопасности.
- VPN: поддержка IPsec, OpenVPN и WireGuard.
- Защита от угроз: комплексная защита от различных угроз.
- Управление сертификатами и обратным прокси: специальная страница для управления сертификатами и настройками обратного прокси.
➡️ NethSecurity предлагает поддержку широкого списка оборудования, что важно при выборе или перепрофилировании устройств для firewall. Решение обеспечивает совместимость с большинством популярных гипервизоров.
🔧 Инструмент включает NethSecurity Controller, приложение для NethServer 8 (NS8), которое позволяет удаленно управлять несколькими установками NethSecurity.
🔜 Будущие обновления:
Недавно вышла версия 8.0, но разработчики планируют выпустить еще одно крупное обновление в ближайшие месяцы, включающее:
- Firewall Objects
- Отчеты
- Интерфейс Conntrack
- Обновлённую ролевую модель
💾 NethSecurity доступен на сайте разработчика.
Stay secure and read SecureTechTalks 📚
#OpenSource #firewall #VPN
Уязвимость в Atlassian Confluence: подробности
🔒 Команда SonicWall Capture Labs обнаружила уязвимость удалённого выполнения кода (RCE) в Atlassian Confluence Data Center и Server.
🛡️ Уязвимость CVE-2024-21683 с рейтингом CVSS 8.3 позволяет злоумышленникам выполнять произвольный код. Для атаки нужен сетевой доступ к системе и права на добавление новых языков. Загрузка поддельного JavaScript файла в Configure Code Macro > Add a new language позволяет осуществить атаку.
🔄 SonicWall выпустила сигнатуры IPS: 4437 и IPS: 4438 для защиты, а также индикаторы компрометации. Доступен PoC эксплойт. Рекомендуется немедленно обновить Confluence до последней версии.
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #Confluence #RCE #SonicWall #Уязвимость
🔒 Команда SonicWall Capture Labs обнаружила уязвимость удалённого выполнения кода (RCE) в Atlassian Confluence Data Center и Server.
🛡️ Уязвимость CVE-2024-21683 с рейтингом CVSS 8.3 позволяет злоумышленникам выполнять произвольный код. Для атаки нужен сетевой доступ к системе и права на добавление новых языков. Загрузка поддельного JavaScript файла в Configure Code Macro > Add a new language позволяет осуществить атаку.
🔄 SonicWall выпустила сигнатуры IPS: 4437 и IPS: 4438 для защиты, а также индикаторы компрометации. Доступен PoC эксплойт. Рекомендуется немедленно обновить Confluence до последней версии.
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #Confluence #RCE #SonicWall #Уязвимость
Открытое письмо сотрудников OpenAI и Google DeepMind о рисках ИИ
🛡️ Бывшие и действующие сотрудники OpenAI и Google DeepMind опубликовали открытое письмо, в котором выразили озабоченность рисками, связанными с развитием искусственного интеллекта. Они призвали к защите информаторов от возможного преследования со стороны компаний.
⚠️ Письмо подписали 16 человек, включая «крёстного отца ИИ» Джеффри Хинтона. Подписанты считают, что риски ИИ включают усугбление неравенства, манипуляции, дезинформацию и потерю контроля над автономными системами, что может угрожать всему человечеству.
📢 Сотрудники предлагают отказаться от соглашений, подавляющих критику, и создать анонимный процесс для информирования общественности о проблемах ИИ. Они также рекомендуют поддерживать культуру открытой критики и избегать преследований сотрудников, публично делящихся информацией о рисках.
🔒 Некоторые сотрудники OpenAI покинули компанию после роспуска команды Superalignment, которая занималась долгосрочными рисками ИИ. Один из бывших исследователей заявил, что в OpenAI безопасность уступила место коммерческим интересам. В ответ компания сформировала новую команду по безопасности, а руководство утверждает об отсутствии проблем с безопасностью ИИ-продуктов.
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #ИИ #OpenAI #DeepMind #БезопасностьИИ #SecureTechTalks
🛡️ Бывшие и действующие сотрудники OpenAI и Google DeepMind опубликовали открытое письмо, в котором выразили озабоченность рисками, связанными с развитием искусственного интеллекта. Они призвали к защите информаторов от возможного преследования со стороны компаний.
⚠️ Письмо подписали 16 человек, включая «крёстного отца ИИ» Джеффри Хинтона. Подписанты считают, что риски ИИ включают усугбление неравенства, манипуляции, дезинформацию и потерю контроля над автономными системами, что может угрожать всему человечеству.
📢 Сотрудники предлагают отказаться от соглашений, подавляющих критику, и создать анонимный процесс для информирования общественности о проблемах ИИ. Они также рекомендуют поддерживать культуру открытой критики и избегать преследований сотрудников, публично делящихся информацией о рисках.
🔒 Некоторые сотрудники OpenAI покинули компанию после роспуска команды Superalignment, которая занималась долгосрочными рисками ИИ. Один из бывших исследователей заявил, что в OpenAI безопасность уступила место коммерческим интересам. В ответ компания сформировала новую команду по безопасности, а руководство утверждает об отсутствии проблем с безопасностью ИИ-продуктов.
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #ИИ #OpenAI #DeepMind #БезопасностьИИ #SecureTechTalks
📢 TotalRecall: Кража персональных данных из Windows Recall
🛡️ Этичный хакер Александр Хагенах разработал инструмент TotalRecall, показывающий, как злоумышленники могут использовать функцию Recall в Windows 11 для кражи данных.
🖥️ Copilot+ Recall делает снимки экрана каждые несколько секунд, сохраняет их и извлекает информацию с помощью OCR. Эта информация хранится в базе данных SQLite в открытом виде, что делает её уязвимой для атак.
🛠️ TotalRecall находит базу данных Recall, копирует скриншоты и данные, а затем предоставляет сводку, включающую ключевые артефакты, такие как пароли и номера кредитных карт.
⚠️ Функция Recall планируется к выпуску 18 июня 2024 года. Надеемся, что Microsoft исправит эти серьёзные проблемы безопасности.
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #Windows11 #Recall #SecureTechTalks #ИнформационнаяБезопасность
🛡️ Этичный хакер Александр Хагенах разработал инструмент TotalRecall, показывающий, как злоумышленники могут использовать функцию Recall в Windows 11 для кражи данных.
🖥️ Copilot+ Recall делает снимки экрана каждые несколько секунд, сохраняет их и извлекает информацию с помощью OCR. Эта информация хранится в базе данных SQLite в открытом виде, что делает её уязвимой для атак.
🛠️ TotalRecall находит базу данных Recall, копирует скриншоты и данные, а затем предоставляет сводку, включающую ключевые артефакты, такие как пароли и номера кредитных карт.
⚠️ Функция Recall планируется к выпуску 18 июня 2024 года. Надеемся, что Microsoft исправит эти серьёзные проблемы безопасности.
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #Windows11 #Recall #SecureTechTalks #ИнформационнаяБезопасность
🍾 Google меняет правила хранения данных Timeline Google Maps
🔒 С 1 декабря 2024 года Google начнет хранить данные Timeline Google Maps локально на устройствах пользователей, а не в аккаунтах Google.
📅 Эти изменения были анонсированы в декабре 2023 года. В рамках обновлений также установлен новый срок автoудаления истории местоположений по умолчанию — три месяца вместо 18.
📉 Теперь данные Timeline будут доступны только на устройстве пользователя, а просмотр их через веб-интерфейс будет невозможен.
🛡️ Google также предлагает включить резервное копирование для сохранения зашифрованной копии данных на своих серверах для их переноса при смене устройства.
⚖️ Изменения происходят на фоне обвинений компании в незаконном отслеживании местоположения пользователей. Google урегулировала несколько исков и согласилась выплатить 62$ миллиона некоммерческим организациям в апреле 2024 года.
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #GoogleMaps #Timeline #SecureTechTalks #Приватность
🔒 С 1 декабря 2024 года Google начнет хранить данные Timeline Google Maps локально на устройствах пользователей, а не в аккаунтах Google.
📅 Эти изменения были анонсированы в декабре 2023 года. В рамках обновлений также установлен новый срок автoудаления истории местоположений по умолчанию — три месяца вместо 18.
📉 Теперь данные Timeline будут доступны только на устройстве пользователя, а просмотр их через веб-интерфейс будет невозможен.
🛡️ Google также предлагает включить резервное копирование для сохранения зашифрованной копии данных на своих серверах для их переноса при смене устройства.
⚖️ Изменения происходят на фоне обвинений компании в незаконном отслеживании местоположения пользователей. Google урегулировала несколько исков и согласилась выплатить 62$ миллиона некоммерческим организациям в апреле 2024 года.
Stay secure and read SecureTechTalks 📚
#Кибербезопасность #GoogleMaps #Timeline #SecureTechTalks #Приватность