Журнал "Директор по безопасности" Июнь 2021 | Page 3

КОРОТКО

Дан старт стандартизации

Как сообщается на сайте Росстандарта , руководящий орган системы добровольной сертификации « Охрана и безопасность » Общероссийское отраслевое объединение работодателей в сфере охраны и безопасности « Федеральный координационный центр руководителей охранных структур » ( ФКЦ РОС ) и оператор « Национальной системы сертификации » ( НСС ) ФГУП « Стандартинформ » заключили соглашение об отраслевом взаимодействии .

Целью соглашения о взаимодействии стало повышение качества и конкурентоспособности услуг в сфере охраны и безопасности , в первую очередь на объектах , охрана которых финансируется из бюджетных средств . Согласно соглашению , в информационную систему НСС будут включены объекты , сертифицированные системой « Охрана и безопасность » на соответствие требованиям национальных стандартов – организации , профессионально и качественно выполняющие функции в сфере охраны и безопасности . В настоящее время в Российской Федерации функционируют около 20 тысяч частных охранных организаций , которыми охраняется более миллиона объектов .

Внедрение в отрасль национальных стандартов поможет гарантировать качество оказываемых услуг , а взаимодействие отраслевой системы сертификации с НСС позволит регламентировать процессы оказания охранных услуг и обеспечить эффективный контроль за ними , что поможет освободить рынок от недобросовестных и некомпетентных охранных структур . Ранее вопросы стандартизации в сфере услуг охраны и безопасности объектов обсуждались в рамках круглого стола в Общественной палате Российской Федерации .

ГардИнфо

Пользователь Twitter под ником Stack Smashing взломал AirTag

С мoмента старта продаж AirTag уже подвергся множеству проверок и даже критики . Журналист Джеффри Фаулер через маячок смог следить за свои другом , а для этого он AirTag подбросил товарищу , кoторый пошел гулять .

Исследователь смог изменить микропрограмму аксессуара таким образом , чтобы поменять URL-адрес NFC-модуля . Обычный AirTag направляет юзера на официальный ресурс « Найти мой …», в то время как модифицированный маячок открывает сторонний адрес , который применяют злоумышленники . Apple AirTag помогает пользователям безопасно определять местоположение своих вещей через приложение « Локатор ».

Securitylab . ru

Хакеры атакуют пользователей криптовалют через серверы в сети Tor

Уже более года неизвестные злоумышленники добавляют вредоносные выходные узлы в сеть Tor с целью перехвата трафика и осуществления SSL-stripping атак на пользователей , посещающих связанные с криптовалютой сайты .

SSL-stripping – понижение соединения с защищенного HTTPS до простого HTTP . Об атаках стало известно еще в августе 2020 года благодаря исследователю безопасности под псевдонимом Nusenu , который в том числе является оператором выходного узла Tor . Тогда сообщалось , что атаки начались в январе прошлого года , и в разгар операции злоумышленники контролировали примерно четыре сотни вредоносных выходных узлов Tor . По словам специалистов , в ходе атак злоумышленники подменяли адреса криптовалютных кошельков собственными для перехвата транзакций .

Несмотря на огласку в прошлом году , атаки по-прежнему продолжаются – в феврале 2021 года атаки задействовали 27 % вредоносных выходных узлов Tor . Хотя вторую волну атак заметили и обезвредили , к тому времени вредоносная инфраструктура была активна уже на протяжении нескольких недель .

Несмотря на отключение свыше 1000 вредоносных серверов , под контролем атакующих все еще остается 4 – 6 % выходной мощности Tor , отметил Nusenu . Более того , по его словам , после проведения SSL-stripping атаки злоумышленники загружают модификации , однако что именно они делают , пока неясно .

Securitylab . ru

В ходе атак злоумышленники подменяли адреса криптовалютных кошельков собственными для перехвата транзакций

ЦБ упростит возврат денег жертвам кибермошенников

Центробанк разрабатывает законопроект , принятие которого может увеличить долю возврата похищенных мошенниками средств в несколько раз . Об этом « Известиям » рассказал Артем Сычев , замначальника департамента информбезопасности Центробанка , курирующий Центр мониторинга и реагирования на кибератаки в кредитно-финансовой сфере ( ФинЦЕРТ ).

По его словам , первая предполагаемая новация – автоматическая блокировка спорной суммы на счете вероятного мошенника сразу же после обращения пострадавшего . Это важно , поскольку мошенники в 50 % случаев снимают похищенные деньги в течение часа после перевода , в 47 % – в течение двух-трех часов . И только в 3 % инцидентов средства могут задержаться на счете до суток .

Причем злоумышленники , чтобы запутать следы , используют целую цепочку переводов , а в качестве первого получателя – дропа ( подставная личность , данные которой используются мошенниками , чтобы сохранить свою анонимность ). Если деньги попали на такой счет , то распоряжаться ими может только дроп . Сейчас возврат средств возможен исключительно по судебному решению , а для этого нужно не только провести все оперативно-следственные действия , но и закрыть уголовное дело . Все это требует много времени , за которое злоумышленники успевают много раз снять средства с карты . Кроме того , регулятор прорабатывает вопрос об упрощенной судебной процедуре , которая позволит возвращать похищенные средства .

Право . ru

В ГД внесли законопроект об электронном кадровом обороте

В Государственную думу внесли законопроект , который расширяет возможности ведения электронного документооборота в сфере занятости . Он позволит работодателю по своему решению перейти на электронный документооборот , который коснется и таких документов , которые по трудовому законодательству оформляются под роспись .

Законопроект позволяет без дублирования на бумажном носителе оформлять трудовой и ученический договоры , договор о материальной ответственности , заявление на увольнение и другие кадровые документы такого рода . Сейчас их можно дублировать в электронном виде , но сотрудник все равно должен поставить подпись на бумажном экземпляре . Как полагают авторы инициативы , это тормозит развитие электронного документооборота и мешает оформлять трудовые отношения дистанционно .

Согласно внесенной инициативе , работодатель вправе на основании локального нормативного акта перевести предприятие на электронный документооборот . В этом акте нужно будет указать срок , в который всех работников проинформируют об этом решении , и систему , которую будут использовать при работе с документами в дальнейшем .

Законопроект в случае принятия вступит в силу 16 ноября , за исключением нормы о разработке единых требований к электронным документам . Так как на это потребуется время , она вступит в силу только с 1 октября 2022 г .

Авторы законопроекта полагают , что его принятие облегчит межведомственное взаимодействие , а также поспособствует реализации национальной программы « Цифровая экономика РФ ».

Право . ru

Владелец Skittles судится с продавцами конфет с марихуаной

Как пишет Bloomberg , компания Wrigley , принадлежащая корпорации Mars , подала в окружной суд Калифорнии иск против владельцев нескольких онлайн-магазинов , обвинив их в недобросовестной конкуренции : они торгуют сладостями с содержанием каннабиноида под названиями Medicated Skittles , Starburst Gummies и Life Savers Medicated Gummies .

В исковом заявлении утверждается , что конфеты « представляют большую опасность для общества , поскольку любой человек , в том числе ребенок , может легко принять контрафактные продукты , настоянные на каннабисе , за знаменитые и любимые конфеты Wrigley ».

Компания Mars также подала иск в Канаду с требованием возместить ущерб на сумму не менее $ 2 млн за каждую проданную марку контрафактной продукции . Она намерена добиться и получения прибыли от продажи этих сладостей и уничтожения всей контрафактной продукции .

Wrigley заявила , что ранее она уже подавала в суд на производителей и продавцов жидкости для электронных сигарет со вкусом конфет , поскольку эти продукты « представляли опасность нанесения вреда детям и обществу в целом ».

Право . ru

Apple умолчала о взломе 128 млн iPhone в 2015 году

В сентябре 2015 года ИБ-специалисты выявили около 4 тыс . приложений в интернет-магазине App Store , зараженных вредоносным ПО XcodeGhost . В то время техногигант Apple принял решение умолчать о масштабе кибератаки и публично не уведомлял пользователей об инциденте . Однако благодаря судебной тяжбе между Apple и Epic Games было обнародовано множество разных документов обеих компаний , в том числе связанных с кибератакой 2015 года .

Как стало известно из электронного письма , во второй половине дня 21 сентября 2015 года менеджеры Apple обнаружили 2,5 тыс . вредоносных приложений , заразивших устройства 128 млн пользователей . В общей сложности вредоносные программы были загружены 203 млн раз . 18 млн зараженных устройств принадлежали пользователям из США , однако наибольший удар пришелся на пользователей iOS из Китая – 55 % жертв .

В письме вице-президент App Store Мэтью Фишер ( Matthew Fischer ) обсуждал с коллегами необходимость уведомлять потенциальных жертв кибератаки . Специалисты обговаривали процесс уведомления всех 128 млн затронутых пользователей , локализацию уведомлений на язык каждого пользователя и « точное включение названий приложений для каждого клиента ». Однако Apple так и не реализовала свои планы . Представитель Apple не смог привести доказательства , что электронное письмо когда-либо было отправлено .

Securitylab . ru

Блогер взломал пытавшихся обмануть его мошенников и показал им изображение с их же web-камеры

Интернет-мошенники должны быть готовы к тому , что « рыбка », которую они пытаются поймать на свой крючок , может оказаться им не по плечу . Именно так и произошло с нерадивыми мошенниками , попытавшимися обмануть индийского блогера Scambaiter .

В своем YouTube-видео , набравшем более 15 млн просмотров менее чем за один месяц , Scambaiter продемонстрировал , как ему удалось перехитрить злоумышленника и заставить его показать свое лицо через web-камеру .

Как сообщил Scambaiter , сначала он получил фишинговое электронное письмо якобы от компании Amazon . Согласно письму , на его имя был оформлен заказ , и если он ничего не заказывал , то ему нужно позвонить по указанном номеру телефона и потребовать возврат денег .

« Как только вы звоните по этому номеру , вас соединяют с call-центром в Индии . “ Мы отправим вам проверочный код , пожалуйста , помогите мне с верификацией , которую вы получите ”. Что делает мошенник – притворяется , будто отправляет жертве проверочное сообщение от Amazon . Что ж , сообщение действительно от Amazon , но оно предназначено для сброса пароля », – рассказал Scambaiter .

После того , как мошенник зашел в систему и сменил пароль жертвы , он начал выискивать информацию и искать прикрепленную к учетной записи Amazon кредитную карту .

« Я решил запустить GPS-сканирование на обратном прокси-сервере в сети этой камеры , и эти координаты привели меня на север Нью-Дели », – сообщил Scambaiter .

Вычислив IP-адрес мошенника и узнав расположение колл-центра , блогер даже обнаружил в его файлах удостоверения двух сотрудников и документ со сценарием вымогательства . По указанным в удостоверении данным Scambaiter нашел страницу сотрудника колл-центра в Facebook , благодаря которой смог узнать много подробностей его личной жизни .

Продолжая вести беседу с ничего не подозревающим мошенником , Scambaiter взломал его web-камеру и вывел изображение с нее на экран своего ноутбука . Когда злоумышленник попытался пойти дальше и убедить « жертву » установить ПО TeamViewer для удаленного доступа к ее компьютеру , он вдруг увидел на экране изображение со своей же web-камеры . Он попытался укрыться от камеры , но Scambaiter начал давить на него , заявляя , что ему все известно о нем и о его « компании ». Мошенник испугался , и пока он вместе с коллегами пытался решить , что делать дальше , блогер продолжал издеваться над ним .

Securitylab . ru

Детекторы дипфейков демонстрируют расовую и гендерную предвзятость

Эксперты выразили обеспокоенность по поводу того , что инструменты машинного обучения могут использоваться для создания изображений или видеороликов с использованием дипфейк-технологий . Поддельный медиаконтент может быть использован для оказания влияния на общественное мнение во время выборов или вовлечь человека в преступление .

В настоящее время ведутся работы по разработке автоматизированных методов обнаружения дипфейков . Но , по мнению исследователей из Университета Южной Калифорнии , некоторые наборы данных , используемые для обучения систем обнаружения дипфейков , могут некорректно представлять людей определенного пола или с определенным цветом кожи .

Согласно результатам исследований , модели ИИ подвержены вредным и повсеместным предрассудкам . ИИ от Amazon , Clarifai , Microsoft и других компаний поддерживает уровень точности выше 95 % для цисгендерных мужчин и женщин , но ошибочно идентифицирует трансгендерных мужчин как женщин в 38 % случаев .

Эксперты провели анализ трех моделей обнаружения дипфейков с « доказанным успехом ». Все они прошли обучение на наборе данных FaceForensics ++, который обычно используется для детекторов дипфейков , включая DeepfakeDetection от Google , CelebDF и DeeperForensics-1.0

Securitylab . ru