Я думаю, что шутки про букву S в слове IoT еще долго будут продолжаться. Вот громкая история этой недели про плюшевых мишек, позволявших детишкам и родителям обмениваться удаленно сообщениями через интернет. Вся информация (голосовые сообщения, почта и т.п.) хранилась практически в открытом виде, не будучи защищенной файрволлом или хотя бы то паролем. Попутно выяснилось, что при желании злоумышленники могли взломать отдельных мишек и превратить их в шпионов. https://motherboard.vice.com/en_us/article/internet-of-things-teddy-bear-leaked-2-million-parent-and-kids-message-recordings #iot #security #teddy #bear
Vice
Internet of Things Teddy Bear Leaked 2 Million Parent and Kids Message Recordings
A company that sells “smart” teddy bears leaked 800,000 user account credentials—and then hackers locked it and held it for ransom.
В продолжение вечной темы про безопасность: группа исследователей из Мичиганского университета использует специальном образом сформированные звуковые волны, чтобы обмануть сенсоры автомобиля, фитбита и акселерометра телефона. Есть PoC за 5$, а дальше большой вопрос о том, что делает буква S в слове AV (autonomous vehicles). http://www.futurity.org/sensors-accelerometer-hacking-sound-1379602-2/ #ai #sensors #security #autonomous #vehicles
Futurity
Scientists can hack sensors in cars and phones with a $5 speaker
Sensors in lots of stuff, like Fitbits and self-driving cars, could be vulnerable to acoustic hacks.
Первое видео — про безопасность и мышление нападающей стороны от Elia Florio и Jessica Payne из Microsoft. Как говорится, лучшая защита — это нападение (зачеркнуто)... это понимать, что происходит. https://www.youtube.com/watch?v=Ijz7NHF3l28&app=desktop #security
YouTube
Your attacker thinks like my attacker: A common threat model to create better defense
For the last decade the security industry has been focusing on enumerating indicators of attacks, rather than invariant techniques. Recently, defenders reali...
Разбавлю новости с CES еще парой прогнозов на 2018. Первый - на тему безопасности и новых направлениях атак от MIT Technology Review (и опять-таки обращу внимание, что он вышел буквально за день до темы с уязвимостью процессоров).
1. Еще больше больших утечек данных. С отдельным фокусом на данные о поведении людей (например, в интернете).
2. Вымогательства в облаке. Новая большая цель в 2018 - облачные бизнесы, предоставляющие сервисы и инфраструктуру для разных компаний.
3. Вооружение ИИ. Безопасники и исследователи используют машинное обучение для предсказания атак. В какой-то момент хакеры должны взять на вооружение те же технологии. От фишинга с персонализированными сообщениями до помощи в дизайне зловредов.
4. Кибер-физические атаки. Больше угроз электрическим сетям, транспортным системам и другим критическим узлам физической инфраструктуры.
5. Майнинг криптовалют. Наибольшая угроза не кража самой криптовалюты, а кража вычислительных мощностей.
6. Хакинг выборов (снова!). Помимо фейковых новостей и постов, под угрозой также электронные системы голосования.
https://www.technologyreview.com/s/609641/six-cyber-threats-to-really-worry-about-in-2018/ #security #future #predictions
1. Еще больше больших утечек данных. С отдельным фокусом на данные о поведении людей (например, в интернете).
2. Вымогательства в облаке. Новая большая цель в 2018 - облачные бизнесы, предоставляющие сервисы и инфраструктуру для разных компаний.
3. Вооружение ИИ. Безопасники и исследователи используют машинное обучение для предсказания атак. В какой-то момент хакеры должны взять на вооружение те же технологии. От фишинга с персонализированными сообщениями до помощи в дизайне зловредов.
4. Кибер-физические атаки. Больше угроз электрическим сетям, транспортным системам и другим критическим узлам физической инфраструктуры.
5. Майнинг криптовалют. Наибольшая угроза не кража самой криптовалюты, а кража вычислительных мощностей.
6. Хакинг выборов (снова!). Помимо фейковых новостей и постов, под угрозой также электронные системы голосования.
https://www.technologyreview.com/s/609641/six-cyber-threats-to-really-worry-about-in-2018/ #security #future #predictions
MIT Technology Review
Six Cyber Threats to Really Worry About in 2018
From AI-powered hacking to tampering with voting systems, here are some of the big risks on our radar screen.
И третья. Benjamin Powers, журналист из Rolling Stone, New Republic и др. рассказывает, как аэропорты и DHS (Department of Home Security, USA) используют распознавание лиц для пассажиров.
Несколько интересных моментов:
1. В ряде аэропортов для международных посетителей начали проверять биометрию (фото) на выезде из страны, чтобы убедиться, что вы действительно покинули США. Полностью программу должны раскатать на 20 крупнейших аэропортов до конца следующего года. В систему постепенно подключаются и авиакомпании.
2. Со стороны служб есть большое желание расширить применение распознавания лиц на весь опыт в аэропорту: регистрация на посадку, зоны ожидания, доступ в лаундж-зоны, проверка TSA (это где ваши вещи сканируют), внешние камеры и т.п. В конечном счете, ваше фото должно быть доступно (сниматься) везде, где сегодня от вас требуют показать ID.
3. Для жителей США информация хранится до двух недель. Для все остальных - 15 лет. Тут вообще есть большая тема внутренних разборок в штатах. Условно, "делайте, что угодно с данными иностранцев, но не собирайте данные американцев". Особенно это критично с учетом "неинвазивного" характера съемки. То есть, теоретически могут снимать без спроса.
4. Еще один большой вопрос - насколько корректны на сегодня системы распознавания лиц. По ряду исследований, есть подозрение, что они будут часто дискриминировать ложными срабатываниями женщин и афроамериканцев (просто потому что алгоритмы на них хуже натренированы).
5. Возможно, внедрение подобных систем в точках "путешествия" научит граждан лучше понимать, что происходит с их биометрией. Люди начнут задавать вопросы, что происходит с данными с кучи камер, которые появились после событий 11 сентября. В целом, мы наблюдаем задержку между тем, как люди теряют свою приватность и осознают это.
6. Еще один пример "пограничной" технологии, которая сейчас находится в разработке - как идентифицировать людей, пересекающих границу на автомобилях без необходимости просить их выйти из машины.
https://medium.com/@bnpowers8/smile-your-face-is-now-in-a-database-7d3ed3ad3abe #ai #face #recognition #bias #security
Несколько интересных моментов:
1. В ряде аэропортов для международных посетителей начали проверять биометрию (фото) на выезде из страны, чтобы убедиться, что вы действительно покинули США. Полностью программу должны раскатать на 20 крупнейших аэропортов до конца следующего года. В систему постепенно подключаются и авиакомпании.
2. Со стороны служб есть большое желание расширить применение распознавания лиц на весь опыт в аэропорту: регистрация на посадку, зоны ожидания, доступ в лаундж-зоны, проверка TSA (это где ваши вещи сканируют), внешние камеры и т.п. В конечном счете, ваше фото должно быть доступно (сниматься) везде, где сегодня от вас требуют показать ID.
3. Для жителей США информация хранится до двух недель. Для все остальных - 15 лет. Тут вообще есть большая тема внутренних разборок в штатах. Условно, "делайте, что угодно с данными иностранцев, но не собирайте данные американцев". Особенно это критично с учетом "неинвазивного" характера съемки. То есть, теоретически могут снимать без спроса.
4. Еще один большой вопрос - насколько корректны на сегодня системы распознавания лиц. По ряду исследований, есть подозрение, что они будут часто дискриминировать ложными срабатываниями женщин и афроамериканцев (просто потому что алгоритмы на них хуже натренированы).
5. Возможно, внедрение подобных систем в точках "путешествия" научит граждан лучше понимать, что происходит с их биометрией. Люди начнут задавать вопросы, что происходит с данными с кучи камер, которые появились после событий 11 сентября. В целом, мы наблюдаем задержку между тем, как люди теряют свою приватность и осознают это.
6. Еще один пример "пограничной" технологии, которая сейчас находится в разработке - как идентифицировать людей, пересекающих границу на автомобилях без необходимости просить их выйти из машины.
https://medium.com/@bnpowers8/smile-your-face-is-now-in-a-database-7d3ed3ad3abe #ai #face #recognition #bias #security
Medium
Smile, Your Face Is Now in a Database
How airports and DHS are using facial recognition on travelers
И про применение машинного обучения в задачах борьбы с кибер-угрозами. Команда Windows Defender рассказывает, как боролись с новым трояном Emotet (и заодно, как устроена многослойная защита с применением ML-моделей на клиенте и в облаке). https://cloudblogs.microsoft.com/microsoftsecure/2018/02/14/how-artificial-intelligence-stopped-an-emotet-outbreak/ #ai #security #ml
Microsoft Secure
How artificial intelligence stopped an Emotet outbreak
At 12:46 a.m. local time on February 3, a Windows 7 Pro customer in North Carolina became the first would-be victim of a new malware attack campaign for Trojan:Win32/Emotet. In the next 30 minutes, the campaign tried to attack over a thousand potential victims…