Журнал "Директор по безопасности" Март 2021 | Page 24

Эксперты установили , насколько ( не ) защищенными являются чаты Clubhouse

В последнее время приложение для общения по аудио Clubhouse стремительно набрало популярность среди китайских пользователей . Специалисты Стэнфордского университета решили узнать , как Clubhouse защищает данные своих пользователей и на примере приложения объяснить , почему это важно .

Недавно китайские власти заблокировали на территории страны разработанное в Кремниевой долине приложение Clubhouse . Причиной блокировки послужил тот факт , что приложение стало площадкой для обсуждения табуированных тем и китайские пользователи переживали за сохранность своих разговоров . Они опасались возможного перехвата коммуникаций китайскими властями и последующей за этим расправы .

По словам специалистов Стэнфордского университета , опасения пользователей оказались небеспочвенными . Во-первых , бэкенд-инфраструктуру Clubhouse предоставлял шанхайский провайдер ПО для общения в реальном времени Agora . Во-вторых , уникальные идентификаторы пользователей и чатрумов передавались в незашифрованном виде , а у Agora предположительно был доступ к аудио пользователей . А если доступ был у провайдера , то он потенциально был и у китайских властей .

Специалисты Стэнфордского университета обнаружили как минимум один случай передачи метаданных чатрума на серверы в Китае , а также передачи аудио на серверы , управляемые китайскими организациями . Более того , в Clubhouse существует возможность связать идентификатор пользователя с его профилем .

Специалисты решили раскрыть эти проблемы безопасности , потому что их относительно легко обнаружить , и они представляют непосредственную угрозу безопасности миллионов пользователей Clubhouse , особенно в Китае . Исследователи обнаружили и другие уязвимости , о которых в частном порядке сообщили Clubhouse и раскроют публично , когда они будут исправлены или после установленного срока .

Securitylab

Новые скиммеры блокируют терминалам возможность считывания чипов

Журналист Брайан Кребс рассказал о новых Bluetooth-скиммерах для платежных терминалов , которые злоумышленники стали использовать в магазинах США . Отличительной чертой этих устройств является способность взаимодействовать с функцией терминалов для чтения чипов платежных карт . Скиммеры блокируют возможность считывания чипов , и покупателям приходится пользоваться менее безопасной магнитной лентой .

Устройство оснащено накладкой на клавиатуру терминала , способной захватывать , хранить и передавать через Bluetooth вводимые покупателями PIN-коды и данные с магнитных лент банковских карт . Как отметил Кребс , эти скиммеры могут устанавливаться практически на любой платежный терминал в мгновение ока .

Новые банковские карты с чипами являются более дорогими , но их намного сложнее « клонировать » по сравнению с картами , оснащенными магнитными лентами . Однако даже карты с чипами по-прежнему имеют магнитные ленты , где хранится банковская информация , в основном для обеспечения обратной совместимости . Вышеупомянутые скиммеры оснащены компонентом , блокирующим терминалу возможность считывания данных с чипов , и покупателям приходится пользоваться менее безопасной магнитной лентой . Несмотря на то , что устройства вызывали явные неполадки в работе терминалов , они оставались незамеченными в течение нескольких недель .

Вооружившись PIN-кодами и данными банковских карт покупателей , злоумышленники могут подделать (« клонировать ») эти карты и с их помощью снимать наличные в банкоматах .

Securitylab

Искусственный интеллект может влиять на принятие решений людьми

Исследователи из компании Data61 , состоящей в Государственном объединении научных и прикладных исследований ( CSIRO ) Австралии , в сотрудничестве с Австралийским национальным университетом и экспертами из Германии сообщили , что искусственный интеллект может влиять на принятие решений человеком .

Исследование включало три эксперимента , в которых участники играли в игры против компьютера . В первых двух тестах участники нажимали на красные или синие поля , чтобы выиграть фальшивую валюту . В третьем эксперименте участникам было предложено два варианта инвестирования фальшивой валюты . В сценарии участники играли роль инвестора , а ИИ – доверительного управляющего .

По мере прохождения всех трех игр ИИ изучал модели выбора участников , которые , в конечном итоге , помогали игрокам принимать определенное решение . Например , уже к третьей игре ИИ научился тому , как заставить участников давать ему больше денег .

Как показали результаты исследования , ИИ может влиять на принятие решений людьми , используя их привычки и модели поведения .

« Хотя исследование было теоретическим , оно позволяет нам лучше понять , как люди делают выбор . Эти знания ценны , потому что они позволяют нам уменьшить наши уязвимости , чтобы мы могли лучше выявлять и избегать ошибочного выбора в результате потенциального злоупотребления ИИ », – отметили эксперты .

Securitylab

В Госдуме рассмотрят во втором чтении законопроект об ужесточении наказания за повторное нарушение пожарной безопасности

Документ был рассмотрен парламентариями комитета Государственной Думы по Госстроительству и законодательству . Всего было принято шесть поправок , которые носят техническо-правовой характер , сообщает сайт нижней палаты российского парламента .

В целом законопроект об ответственности за повторное нарушение требований пожарной безопасности на объектах защиты , отнесенных к категориям чрезвычайно высокого , высокого и значительного риска был поддержан депутатами .

Согласно документу , за неоднократное нарушение законодательства физическое лицо может быть привлечено к административной ответственности в виде штрафа на 3 – 4 тыс . руб ., инди-видуальный предприниматель – на 30 – 40 тыс . руб ., а юридическое лицо – на 200 – 400 тыс .

Вместо штрафов к ИП или организации могут применить административное приостановление деятельности на срок до 30 суток . Эта норма будет действовать в случае таких повторных нарушений , как неработоспособные или неисправные источники противопожарного водоснабжения , электроустановки , электрооборудование , автоматические или автономные установки пожаротушения , системы пожарной сигнализации , оповещения и управления эвакуацией людей при пожаре , противодымной защиты либо в несоответствии эвакуационных путей и эвакуационных выходов требованиям пожарной безопасности .

Рубеж

Центробанк оштрафовал 17 банков за нарушение требований по ИБ

Банк России после проверки оштрафовал 17 банков за нарушение требований кибербезопасности . Об этом заявил первый заместитель директора департамента информационной безопасности регулятора Артем Сычев .

« У нас за последнее время порядка 17 банков получили штрафы за несоблюдение требований в части информационной безопасности », – сообщил Сычев в ходе выступления в Госдуме .

Сычев добавил , что ЦБ начинает переходить от проверок к киберучениям . По его словам , это более эффективная форма , позволяющая быстрее выявлять риски , которым могут подвергнуться банки , финансовые организации . Соответственно , и реагировать на обнаруженные проблемы таким образом можно будет быстрее .

Securitylab

Обучать сотрудников службы безопасности помогут тренажеры

На форуме NAIS-2021 специалисты « Шереметьево Безопасность » рассказали об опыте применения тренажеров-имитаторов в процессе подготовки и аттестации персонала в области авиационной безопасности .

Для того , чтобы при отсутствии возможности для очных тренировок сформировать или сохранить профессиональные навыки , научить персонал принимать быстрые и ответственные решения , были применены тренажеры со встроенными системами моделирования и симуляции рабочих ситуаций .

АО « Шереметьево Безопасность » внедрило в учебный процесс ряд тренажеров , моделирующих основные функции сотрудников ПТБ :

Тренажер-симулятор рентгенотелевизионной установки . Создан для закрепления навыка распознавания опасных веществ и предметов по их теневому изображению и является полной имитацией экрана интроскопа .

Тренажер-симулятор по работе с автоматизированной системой прове рки документов . Он полностью повторяет интерфейс существующей системы проверки документов и состоит из трех модулей : сверка полетных данных , идентификация пассажира , модуль отработки ошибок .

Видеотренажер по поиску и выявлению ошибок в работе сотрудников службы безопасности . В процессе обучения сотруднику предлагается ознакомиться с видеоматериалом , имитирующим деятельность персонала , и выявить ошибки , допущенные в работе . Также при необходимости у обучающихся есть возможность дополнительно изучить соответствующие нормативные документы .