50 000 долларов за удачный промпт В сети существует проект под названием Freysa AI. Это нейросеть, настройки которой строго запрещают ей переводить деньги. Но любой пользователь может за определенную сумму попробовать подобрать правильный промпт и обойти ограничения. При этом чем выше банк — тем выше цена попытки. На днях в запрещенной соцсети рассказали о том, что пользователю удалось забрать джекпот и выманить у Freysa почти пятьдесят тысяч долларов. Победный промпт можно посмотреть на скрине, за его отправку пользователь заплатил немногим меньше пяти сотен баксов. Кто в этой истории выиграл? Конечно же казино разработчик, потому что 30% от всех потраченных пользователями денег идут ему. Похожие проекты уже можно встретить в русскоязычном сегменте Телеграма, вполне возможно, что работают предприимчивые скаммерсанты. Не играйте в карты с шулерами.
Через 10 дней вступают в силу новые правила, по которым VPN нельзя будет упоминать. Эта информация будет считаться запрещенной в РФ. Мы уже готовимся к вступлению в силу нового законодательства и заменили в текстах и постах на всякий случай абреввиатуру из трех букв на ЗАПРЕЩЕННАЯ В РФ ИНФОРМАЦИЯ. Как это будет выглядеть — на скриншоте. Живем по понятиям правового поля. И вы живите по понятиям тоже!
Бонни и Клайд: хакерская версия В недалеком 2022 году в любовное гнездо россиянина Ильи Лихтенштейна и американки Хизер Морган ворвались копы с обвинениями в грабеже дилижансов взломе биржи Bitfinex и кражу 120 тысяч биткоинов. И, кажется, у этой истории будет счастливый конец. Илья уже получил от американского суда пять лет. Изначально хакеру грозило 20 лет за факт кражи и еще 5 за мошенничество. С учетом примерного поведения и уже проведенного в заключении времени — у него есть все шансы скоро оказаться на свободе. Хизер Морган, вероятнее всего, получит еще меньше. Решение суда должно быть принято как раз сегодня, 18 ноября. Когда в 22 году американские силовики смогли вернуть чуть более 90 тысяч биткоинов с счетов парочки, Минюст назвал это крупнейшей конфискацией в истории. Немного цифр: на момент кражи это был "скромный" 71 миллион долларов. На момент изъятия Минюстом — уже 4,5 миллиарда, а на сегодняшний день и вовсе крышесносные 11 миллиардов долларов. Ставь лайк если в 2012 потратил 200 биткоинов на покупку скина в игрушке или пиццу. Не только мы следим за приключениями гангстерской парочки — желание снять о них сериал изъявил НТВ Netflix. А Forbes планирует выпустить документальный фильм. Остается только один вопрос: если 90 тысяч биткоинов удалось вернуть, то кто приделал ноги оставшимся 30 тысячам?!
Про нацию хакеров В одном из своих выступлений Юрий Максимов сказал что россияне — это «нация хакеров». И действительно, даже за последние годы мы научились, например, находить способы купить игры на PlayStation и другой заграничный софт, проводить платежи без SWIFTa и много чего еще. Но тут один индус попросил подержать его пиво. Парень из страны специй и дешевых разработчиков приобрел для своей бабули AirPods Pro 2 в качестве слухового аппарата. Но быстро выяснилось, что этот функционал в его регионе недоступен. Почему недоступен, кстати, вообще не понятно. Наш герой оказался не так прост и включил то самое хакерское мышление. После того, как смена IP-адреса не помогла, он засунул iPad вместе с платой ESP32 в микроволновку. Плата отправляла запросы через сотню SSID-адресов в Калифорнии, а СВЧ-печь выполняла функцию клетки Фарадея и глушилки для Wi-Fi. После четырех часов такой «прожарки» iPad убедился, что находится в США. Затем к нему подключили AirPods Pro 2 и наконец активировали режим слухового аппарата. Какая тут мораль? Чем больше в киберпространстве ограничений, тем больше людей научатся их обходить.
Рейтинг защищенности от ФСТЭК: кого ждет «черная метка»? Федеральная служба по техническому и экспортному контролю планирует вести рейтинг объектов критической информационной инфраструктуры по уровню информационной безопасности. По словам замдиректора ФСТЭК Виталия Лютикова, рейтинг будет составляться на основе коэффициента, который присваивается компаниям по результатам государственного контроля или данных о компьютерных инцидентах. Служба планирует автоматизировать этот процесс и предоставить руководителям возможность видеть свою текущую оценку в реальном времени. Примечательно, что ФСТЭК уже провела тестовый анализ ста объектов КИИ, из которых девяносто попали в красную зону. По итогу им было направлено аж 170 рекомендаций по исправлению. Правда, никакой ответственности для организаций, которые продемонстрируют низкий уровень защищенности, не предусмотрено. Получается что «черную метку» уже придумали, но последствия для объектов КИИ она пока что не несет. Ключевое тут — пока что.
Apple дали жару: новое обновление мешает цифровым криминалистам Западные правоохранители бьют тревогу — iPhone, которые содержались как вещ-доки, перезагружаются сами собой. Это приводит к тому, что данные из них становится достать куда сложнее. Apple пока официально ничего не подтвердила, но в качестве вероятной причины называют незадекларированную фичу в обновлении 18.1, которая перезагружает устройство в случае длительного простоя. Приведем цитату экспертов GrapheneOS для BleepingComputer: При разблокировке iPhone с помощью PIN-кода или биометрических данных, таких как Face ID, операционная система загружает ключи шифрования в память. После этого при необходимости доступа к файлу он будет автоматически расшифрован с помощью этих ключей шифрования. Однако после перезагрузки iPhone переходит в состояние «покоя», в котором больше не хранит ключи шифрования в памяти. Таким образом, расшифровать данные невозможно, что делает их гораздо более устойчивыми к попыткам взлома. Если правоохранительные органы или злоумышленники получат доступ к уже заблокированному устройству, они могут использовать уязвимости для обхода экрана блокировки. Поскольку ключи расшифровки по-прежнему загружены в память, они могут получить доступ ко всем данным телефона. Перезагрузка устройства после простоя автоматически сотрёт ключи из памяти и предотвратит доступ правоохранительных органов или преступников к данным вашего телефона. Судя по всему, это и правда фича от Apple, которая должна усложнить жизнь тем, кто ворует и перепродает краденные устройства. В Apple просто не подумали о цифровых криминалистах, и стоит ожидать, что для обхода этой функции завезут бэкдор появится специальная процедура.
Тарификация ЖКХ уязвимостей Минцифры рассматривает введение «государственных трафив» за найденные в рамках багбаунти уязвимости — такой информацией на прошлой неделе поделился Александр Шойтов, заместитель министра Минцифры. Вопрос пока что находится на стадии очень раннего обсуждения, но уже можно предположить, что основная аудитория тарифов — это федеральные и региональные ГИСы, которые за последний год идут на багбаунти достаточно активно. Сейчас вполне можно найти региональную программу, где за critical-уязвимость полагается выплата в 30-50 тысяч рублей. При наличии общих тарифов владельцам багбаунти-программ, по идее, будет проще обосновать бОльший бюджет перед своими финансовыми отделами. Но это при условии, что тарифы будут соответствовать рынку. В теории, тарификация багбаунти может быть полезна и для бизнеса. Многие компании не запускают полноценные багбаунти-программы, но взаимодействуют с исследователями безопасности. В таком случае у них появится наглядный ориентир по минимальным выплатам — сократится количество случаев, когда за найденную багу исследователю будут предлагать ветку бонусы. Есть и обратная сторона — не совсем порядочные багхантеры могут преподносить этот стандарт как обязательный, и пытаться требовать баунти с рандомных компаний, набив пачку уязвимостей сканером. Тема сложная, рисков много, поэтому будем с интересом наблюдать за развитием событий.
Это всё меняет! Positive Technologies 20 ноября запустит PT NGFW. Станьте частью этого масштабного события! Два года компания разрабатывала высокопроизводительный и надежный межсетевой экран нового поколения. Команда прислушивалась к мнению клиентов и партнеров, открыто рассказывала про внутреннюю кухню разработки. Смело бралась за сложные инженерные задачи, уделяла внимание не только коду, но и аппаратной платформе. В результате они создали совершенное устройство, которое запустят 20 ноября! На онлайн-запуске вы сможете окунуться в историю создания продукта, узнать, как он защищает от киберугроз, результаты тестирования и завершенных проектов, а также планы на будущее. Регистрируйтесь на онлайн-запуск заранее в Telegram-боте. Будем ждать каждого!
Наконец-то лигалайз Госдума одобрила легализацию белых хакеров. Почти. Пока что законопроект был принят в первом чтении. Новый нормативный акт дает право любому «без согласия правообладателя и без выплаты вознаграждения изучать, исследовать или испытывать функционирование программы для ЭВМ или базы данных в целях выявления недостатков для их безопасного использования или поручить иным лицам осуществить эти действия». После обнаружения уязвимости исследователь должен уведомить об этом правообладателя в течение 5 дней. Исключение — если местонахождение правооблаадателя обнаружить не удалось.
Цензурирование Telegram набирает обороты Цензура бывает очень разной. Например, Telegram уже продолжительное время хорошо реагирует на жалобы о публикации персональных данных. Это помогает воспрепятствовать их активному распространению, в некоторых случаях получается даже банить каналы-распространители. В сегодняшнем обновлении список жалоб серьезно дополнился, наиболее яркие перлы: 1 Не нравится. 2 Не нарушает закон, но надо удалить. Последние недели можно зафиксировать еще и отключение/удаление комментариях под разными постами, в основном политической направленности. Вероятно, это свидетельство работы "личных кабинетов администратора в регионе", которые Telegram анонсировал около месяца назад. Такими темпами полюбившаяся многим уютная Тележечка скоро превратится в филиал западных запрещенных соцсетей, где за возмущение о стоимости кофе в одном известном пространстве можно получить страйк, обвинения в шовинизме и пессимизацию поисковой выдачи. P.S. Ставьте если вас тоже задолбало ежедневное ток-шоу о личной жизни Дурова и Болгар
