В NIST решили обновить рекомендации по составлению паролей. Здоровенный документ с переливанием из пустого в порожнее и разжевыванием прописных истин целиком осилить можно только если у вас бессонница, но он лежит тут. По мнению специалистов NIST под нож нужно пустить требование о регулярной смене пароля. Логика в целом понятная: регулярно менять пароли утомительно, юзеры от этого увиливают и создают дыру в безопасности, ставя пароли аля vasya2008 sanyaLeto и т.п. Та же участь ждет и спецсимволы. А значит в слитых базах будут реже встречасться , Alex$ и Alex! Основное внимание уделяется длинне пароля и его устойчивости к подбору по разным маскам и словарикам для брута, вроде недавно нашумевшего RockYou. Поскольку NIST организация за океаном влиятельная, вполне возможно, что через годик-другой парольные политики крупных сервисов начнут меняться. Пока же это просто обновленный взгляд на старую тему.
За просмотр дипфейк-порно в Южной Корее теперь грозит три года тюрьмы, либо штраф в 22600 долларов. Довольно забавная история, учитывая что технология дипфейк, как и многое в сети, получила свое распространение как раз благодаря контенту для взрослых и возможности подставить Гермиону Грейнджер в любимое видео. Как рядовой пользователь, не искушенный в технологиях, должен различать азиаток дипфейк-порно от обычного — в законе не говорится. Видимо, потребуется развитое чутье. Наши законодатели до такого бреда, благо, не додумались, и пока предлагают карать только за мошенничество или клевету с использованием дипфейков на срок до шести лет.
Самая масштабная утечка данных В США утекла информация о 100 млн жителях страны. Это 1/3 населения. Утечку допустила компания MC2 Data, занимающаяся проверкой биографий. В открытом доступе IP-адреса, ФИО, платежная информация, пароли и email, телефоны и домашние адреса. Пишут, что какой-то парень совершил ошибку, в результате чего было слито 2 ТБ. Но в ошибке ли дело?
Лаборатория Касперского продолжает ударный сентябрь и выпускает очередной отчет. На этот раз про троянец Necro, новая версия которого заразила десятки тысяч Android-устройств через Google Play, а также Spotify и WhatsApp mods. Эта история очень показательна с точки зрения того, как магазины приложений относятся к безопасности. Безусловно, они применяют разные системы сканирования приложений перед тем, как они попадают в стор — Google Play в частности. Вот большое исследование от Sworfish Security на эту тему, но если взять выжимку — стору наплевать на степень дырвости приложения, если оно не несет прямой вред для самого магазина приложений. Поэтому истории с распространением всякого вредоносного через мобилки как были обыденностью, так ей и остаются.
Джони Айв, который задизайнил для Apple Iphone и ряд других девайсов, работает над новым «ИИ-смартфоном» для OpenAI. По сообщениям СМИ, Айв и Альтман обсуждали возможности, которые открывает генеративный ИИ для создания нового типа вычислительного устройства. Они предполагают, что ИИ может предложить пользователям более мощные возможности по сравнению с традиционным программным обеспечением. NSO Group наверняка открыли шампанское по такому поводу, поскольку ИИ — это здоровенный такой новый вектор для атак самыми разными способами: от программных методов, до акустики и других околофизических векторов. По этому поводу исследователи из MITRE выкатили аналог ATT&CK для AI — The Adversarial Threat Landscape for AI Systems ATLAS Недалек тот день, когда выпилить голосового помощника из повседневной жизни станет невозможно, и всем нам придется мириться с полезным, но уязвимым нейро-бадди, который знает о нас практически все, и готов этой информацией поделиться.
Заломили цены на софт ФСТЭК назвал очень высокой стоимость российского программного обеспечения. РБК приводит цитату Виталия Лютикова: «российские производители, увидев спрос на свои товары, подняли цены в десятки раз». При этом, по его словам, качество отечественного софта хуже, чем у зарубежных аналогов, а цены — выше. И действительно, некоторые вендоры в марте 2022 года почувствовали запах денег и задрали ценники на свои продукты так, что превзошли в своей жадности таксистов, которые вывозят людей из зон катастроф за оверпрайс. Но если разобраться, рост цен на 15-20% в год не выглядит чем-то странным. За это же время цены на пиво, без которого некоторыми российскими аналогами пользоваться невозможно, стабильно растут на 10-15% А вот вопрос качества и правда оставляет желать лучшего. Многие как торговали завернутым в красивую обертку говном опенсорсом, так и продолжают это делать. Минцифры же продолжает считать, что участники рынка способны «самостоятельно выработать правила игры и обеспечить цивилизованное регулирование ценовой политики на разрабатываемые решения».
«Как добавили в министерстве, данные пользователей надежно защищены, а сам портал невозможно взломать: для его защиты используется многоэшелонированный подход - несколько дополняющих друг друга мер безопасности.»
На днях международный союз электросвязи МСЭ , основанный в Париже в 1865 году, а с 1947 являющийся одним из специализированных учреждений ООН, опубликовал новый индекс стран по уровню кибербезопасности. В Global CybersecurityIndex 2024 Россия потеряла позиции. Если в 2021 году мы делили с Малайзией и ОАЭ пятое место в рейтинге кибербезопасности от МСЭ, то в 2024 Россия оказалась во второй группе из 5. Индекс кибербезопасности составлен на основе 82 вопросов в 5 направлениях: правовые, технические, организационные меры, сценарии развития потенциала и международного сотрудничества. Больше всех с 2021 года в индексе продвинулся африканский регион. Наравне с США и странами ЕС, в первой группе оказались Кения, Руанда, Гана, Марокко и Маврикий.
