Информационная безопасность *

Бывший руководитель исследовательского отдела OpenAI Стивен Адлер в среду опубликовал новое независимое исследование, в котором утверждается, что в определённых сценариях модели ИИ пойдут на многое, лишь бы избежать отключения.

Команда исследователей из Университета Флориды и японского Университета электрокоммуникаций обнаружила опасную уязвимость в микрофонах ноутбуков. При обработке звука микрофоны испускают слабые радиосигналы, которые содержат записанную информацию. 

На 28-м Петербургском международном экономическом форуме (ПМЭФ) с 18 по 20 июня состоится международная кибербитва Standoff. В этом году соревнования превратятся в киберучения, где сотни специалистов по информационной безопасности из 21 страны очно и онлайн будут расследовать инциденты, чтобы использовать полученный опыт для защиты своих компаний. Мероприятие пройдет на площадке «Территории инноваций» — проекта фонда «Росконгресс», направленного на развитие высоких технологий, науки и венчурных инвестиций.

В 2025 году на ПМЭФ компания Positive Technologies проведет кибербитву Standoff в специальном формате: на три дня легендарное киберсражение превратится в полноценные учения для синих команд. При таком формате ставка делается на отработку навыков расследования и защиты от атак, что критически важно на фоне роста числа целевых угроз. Участники 28 команд из Индии, Индонезии, Китая, Омана, Египта и других стран, включая представителей SOC и CERT, будут расследовать атаки на киберполигоне, где воссоздана IT-инфраструктура логистической и нефтегазовой отраслей. Кибератаки в виртуальном Государстве F максимально реалистичны: здесь в ходу настоящие системы SCADA и программируемые логические контроллеры.

В обзоре изменений за май 2025 года рассмотрим следующие темы: критическая информационная инфраструктура, персональные данные, деятельность ФСТЭК России и другие.  

ГК InfoWatch выпустила обновление 3.3 для InfoWatch Activity Monitor — это ПО для мониторинга действий сотрудников в корпоративном контуре. Нововведения развивают возможности предиктивной аналитики системы и автоматизируют рутинные задачи в сфере ИБ.

Microsoft объявила, что расширит список заблокированных вложений в Outlook Web и новом Outlook для Windows, начиная с июля. Сервисы будут блокировать типы файлов .library-ms и .search-ms.

Всего выявлено 65 жертв в 26 странах, а похожая техника атаки была замечена в арсенале группировки (Ex)Cobal.

C начала 2025 года девять российских компаний, четыре из которых — разработчики ПО, стали жертвами хакеров в результате компрометации почтового клиента Outlook. Внедрив вредоносный код в легитимные страницы аутентификации, злоумышленники долгое время оставались незамеченными и получали учетные данные пользователей.

Как представителю отечественной науки, аналитику и разработчику ПО, который уже почти 25 лет занимается социологическими исследованиями общественного мнения в России хотелось бы прокомментировать новость агентства РИА Новости, которое взяло интервью у замдиректора по продуктам VisionLabs Татьяны Дешкиной. Суть новости в том, что "мошенники начали звонить россиянам под видом сотрудников исследовательских организаций и центров соцопросов. Они пытаются записать голос человека для создания дипфейков. Злоумышленники ставят задачей удержать пользователя на линии как можно дольше. Чтобы клонировать голос, нужна запись не менее 20 секунд с разной интонацией и без посторонних шумов. Чем длиннее запись, тем качественнее получится подделка."

Я считаю, что подобные предупреждения, не подкрепленные данными, могут нанести серьёзный ущерб доверию к профессиональным исследованиям. Подобные заявления, озвученные без статистики и четких доказательств, рискуют спровоцировать волну необоснованной паники.

Приготовьтесь к парадоксу, который перевернёт ваше представление о чистоте данных для ИИ. Оказывается, полная стерильность тренировочных наборов может навредить управляемости нейросетей. Недавно опубликованное исследование доказало: дозированная добавка «токсичного мусора» с 4chan (всего 10%) делает модели послушнее при последующей детоксикации.

Оператор «Вымпелком» (бренд «Билайн») внедрил функцию автоматического прерывания звонка. Это происходит, если во время разговора абонент получает смс с кодом от «Госуслуг» или банковского приложения. Об этом сообщил Forbes со ссылкой на гендиректора компании Сергея Анохина.

Функция нужна, чтобы защитить людей от мошенников. Часто злоумышленники выманивают коды во время разговора. Новая защита уже работает в Санкт‑Петербурге. С 10 июня она станет доступна всем абонентам «Билайна». Подключать её не нужно, она включена по умолчанию и бесплатна.

18 июня в 18.00 проведем вебинар на тему обезличивания персональных данных. Будет полезно тем, кто выбирает продукт для этой цели или самостоятельно разрабатывает скрипты.

Расскажем, как организовать процесс обезличивания в компании и соблюсти баланс безопасности и полезности данных. Поговорим о том, как не потерять суть обезличенных данных и подготовить их для тестовых стендов и обучения ML-моделей. Будет много тонкостей — про работу сложными типами данных, консистентность при обезличивании, ролевую модель и др.

З июля приглашаем специалистов по безопасности приложений, разработчиков и независимых исследователей на летний VK Security Confab, который в этот раз пройдет в Санкт-Петербурге. На AppSec-митапе обсудим новые подходы, технологии и актуальные кейсы: безопасность CI/CD и зачем это нужно современным компаниям, автоматизация поиска классических уязвимостей из OWASP Top 10 и особенности современного протокола HTTP/2, а также техники обхода PoS. 

Исследователь безопасности BruteCat обнаружил уязвимость, которая позволяла перебирать номера телефонов для восстановления любого аккаунта Google, просто зная имя профиля и часть номера. Компания заявила, что исправила баг.

Перед запуском Switch 2 и её функций общения в GameChat, Nintendo обновила свою политику конфиденциальности, указав, что компания теперь «может отслеживать и записывать видео- и аудиовзаимодействие пользователей».

Мы выпустили обновления безопасности сервера приложений Libercat  с фиксом двух критических CVE и пачкой улучшений. Делимся тем, что изменилось и как это может сказаться на работе ваших Java-приложений.

Сегодня в ТОП-5 — экстренное обновление безопасности в Chrome, устранение уязвимостей графического процессора Adreno, срочный патч для решения StoreOnce, инфицирование свыше 1 млн Android-устройств через ботнет BadBox 2.0, троян AsyncRAT на Booking.com.

Компании «Газинформсервис» и «СКБ Контур» запустили трансграничный электронный документооборот (ЭДО) между Россией и Беларусью. Это позволит российским и белорусским компаниям обмениваться юридически значимыми электронными документами через системы «Диадок» и белорусских операторов ЭДО.

В конце мая компании провели совместный вебинар, на котором объявили о запуске проекта и обсудили юридические, технические и организационные аспекты трансграничного ЭДО.

Ведущий российский разработчик экосистемы корпоративных коммуникаций IVA Technologies и один из мировых лидеров в области распознавания лиц VisionLabs договорились о внедрении цифровых решений для защиты от дипфейков в сервисах видеоконференцсвязи.  

Сотрудничество позволит компаниям объединить знания в области разработки профессиональных решений для видеоконференцсвязи и технологий компьютерного зрения. IVA Technologies и VisionLabs создадут решение для видеозвонков, которое сможет отличать реальных людей от лиц, сгенерированных с помощью дипфейк-технологий. 

В основе решения будет лежать технология распознавания дипфейков Deepfake Detection, разработанная VisionLabs. С помощью компьютерного зрения сервис будет выявлять все самые распространенные техники создания дипфейков, такие как замена и генерация лица, перенос выражения лица и синхронизация губ.  

Общая точность работы детектора на тестах VisionLabs составляет 99,3%. Точность распознавания сохраняется даже при плохом качестве видео, например, если у пользователя фронтальная камера с низким разрешением.

Когда Java-приложение считается безопасным? Когда в нём нет уязвимостей? Когда соблюдены все ГОСТы и оно разработано по стандартам РБПО? Или когда проверили код, контейнер и JDK?

Приглашаем Java-разработчиков и тимлидов на технический вебинар «Безопасность приложений: инструменты и практики для Java-разработчиков», который мы проведем с нашими партнерами компанией PVS-Studio, где обсудим, как строить защищенные приложения в современных реалиях — с примерами, инструментами и опытом внедрения на реальных проектах.

Дата: 19 июня 2025 года
Время: 11:00-13:00 по Москве
Участие бесплатное при условии регистрации на сайте