Извлечение персонифицированной информации:
легальные способы и незаконные
возможности
Живя в привычной для себя
среде и придерживаясь консервативного образа жизни, большинство из нас так и не
восприняли, не осознали, что люди в формирующемся дигитальном обществе делают
информацию частного характера общедоступной и всё шире делятся ею. Это происходит путем общения в социальных
сетях, соучастия в сфере электронной коммерции, накапливания в соответствующих
базах данных информации, запрашиваемой государственными учреждениями и частными
компаниями.
Такая сенситивная информация получается как легальным
путем, так и в результате деятельности хакеров. Пройдя обработку с помощью различных
алгоритмов, эта информация далее используется как для целенаправленной адресной
рекламы, так и для разнообразного скоринга, а также в преступных целях. Но особо следует акцентировать
ее использование для надзора и контроля над действиями индивида, для
определения идентичности каждого члена общества.
Собранная таким образом в условиях ограниченной демократии
и попавшая в распоряжение спецслужб информация может стать (в значительной степени уже стала!) мощным
средством воздействия, надзора, контроля, а также манипулирования народом. Не принимая это во
внимание, мы все рискуем всеобщей деградацией демократических институтов, торжеством авторитаризма и тоталитаризма.
Неужели
мы на самом деле этого желаем!?
Прилагаемые информационные материалы, характеризующие сегодняшнюю
ситуацию, обосновывают и подтверждают высказанное мнение, указывают на риски и
раскрывают перспективы.
Разношенные
боты
Путь к
персональным данным россиян
прошел через Telegram
Российские
власти начали проявлять серьезное беспокойство в связи с распространением в Telegram
ботов, которые за относительно небольшую плату позволяют
получить подробную информацию почти о любом жителе страны. Раньше такие
возможности были только у опытных пользователей даркнета или силовиков, а
теперь доступны любому зарегистрировавшемуся в мессенджере. Рынок ботов
активно растет. По мнению юристов, их деятельность незаконна. Но
механизмов противодействия ни у государства, ни у граждан пока нет. На ситуацию
может прямо повлиять только сам Telegram, но его основатель Павел Дуров
неохотно сотрудничает с властями.
Пробить за 60
секунд
В
2020 году в Telegram активизировалось создание ботов (робот, который
может выполнять последовательность действий и имеет встроенный поисковый
механизм), позволяющих пользователю мессенджера получить информацию
практически о любом человека. Впервые такие сервисы появились еще несколько лет
назад, но если раньше их были единицы, то сейчас можно найти уже пару десятков.
В числе старейших и самых крупных — «Глаз Бога», «Архангел», Smart_SearchBot
и AVinfoBot.
Используя
их и элементарную логику можно узнать очень многое об объекте интереса. Если
загрузить в бот, например, имя человека, он
выдаст подборку из 10–20 номеров телефонов, привязанных к этому имени. По
номеру телефона можно получить уже фото владельца, ссылки на его соцсети,
выгрузку объявлений из сервиса «Авито», адрес электронной почты и номер
автомобиля. По номеру автомобиля можно узнать еще больше: адрес прописки,
паспортные данные, информацию о машине и ее фотографии. В некоторых случаях в
перечне информации по запросу могут быть пароли от электронной почты и
социальных сетей, а иногда даже подробное досье на человека отдельным файлом.
Корреспондент “Ъ”, например, нашел с помощью одного из ботов свои
персональные данные и пароли от e-mail.
Основатель
компании «Интернет Розыск» Игорь Бедеров о перспективах рынка Telegram-ботов
для поиска данных о людях
Как
правило, владельцы таких сервисов скупают или получают бесплатно утекшие базы
данных ведомств и компаний, говорит основатель компании «Интернет Розыск» (разрабатывает
решения по информационной безопасности) Игорь Бедеров (см. интервью).
Все утечки собираются в СУБД (система управления базами данных),
поясняет он. Так, благодаря утекшей в 2020 году базе пользователей «ВКонтакте»
можно по адресу страницы в соцсети узнать номер телефона, а база ГИБДД поможет
выяснить данные об автомобиле и его владельце (см. инфографику).
Также
разработчики ботов используют программы для парсинга — сбора
данных из открытых источников. Парсинг сервисов бесплатных объявлений,
например «Авито», позволяет объединить имя объекта поиска, его почту и номер
телефона. Боты также могут собирать данные юридических лиц, подключившись к
легальным информационно-аналитическим системам, например «СПАРК-Интерфакс»
или Kartoteka.ru.
Задействованы
и возможности самого Telegram. Осенью 2020 года в мессенджере появилась новая
функция: можно отправить боту геоточку, и он в
радиусе 100 м от нее покажет аккаунты всех пользователей, которые
находятся там в данный момент или были какое-то время назад.
Мы пробиваем,
нас пробивают
Боты для поиска
информации о людях в основном работают по трем бизнес-моделям. Это может быть подписка
на определенный период (день, месяц или год), в рамках которого число запросов
неограниченно. Стоимость подписок варьируется от 65 руб. до 2,5 тыс.
руб. за день. Другой вариант — розничная покупка запросов (например, 1, 100 или
500). Есть и тарифные планы, в которые входят, например, пакет из 500 запросов
на месяц и полное досье на человека. Тариф подходит для служб безопасности,
юридических компаний, финансовых организаций и людей, «чей образ мышления
требует знать больше обычного», следует из его описания.
Опрошенные
“Ъ” эксперты сходятся во мнении, что для запуска подобных сервисов не требуется
серьезных вложений. В первую очередь нужен виртуальный облачный сервер для
хранения баз данных и их обработки, поясняет господин Бедеров. Покупать
физические серверы для этого не нужно. В среднем, по оценке эксперта, таким
сервисам нужно 200–300 Тбайт пространства для стабильной работы. Объем баз
данных «Архангела» составляет сотни терабайтов, анонимно рассказали “Ъ” его
администраторы. В числе прочих затрат — покупка утечек баз данных, многие из
которых зачастую можно найти и в свободном доступе, разработка
программ-парсеров и зарплаты сотрудникам.
По
усредненным оценкам экспертов, для старта работы бота достаточно 1 млн
руб. Эти средства пойдут на привлечение команды из десяти человек, покупку баз
данных и аренду облачных хранилищ. По словам представителя Smart_SearchBot, в
первый год работы проект потребовал от его создателей не более $10 тыс.
(примерно 730 тыс. руб. по курсу ЦБ на 18 февраля).
Потенциальная
годовая маржа подобных ботов может оцениваться в 200 млн руб. в год,
полагает господин Бедеров. Эту оценку подтверждает собеседник “Ъ” на рынке.
Инвестиции в
запуск «Архангела» окупились в первый
же месяц, говорят его администраторы. По их словам, первые полгода
проект работал в закрытом режиме, был доступен только определенным клиентам и в
публичное поле вышел только в середине 2020 года. Зато теперь месячные обороты
«Архангела», по словам его представителя, исчисляются «далеко не несколькими
миллионами рублей».
Стратегия
продвижения таких площадок не отличается от таковой у обычных Telegram-каналов.
Это могут быть покупка постов, перекрестных ссылок и другое сотрудничество. По
словам расследователя «Роскомсвободы» Андрея Каганских, в конце 2020
года «Глаз Бога» закупал рекламу в Telegram-канале «Двач» (542 тыс.
подписчиков), пытаясь расширить аудиторию.
Основными
пользователями ботов для пробива людей один из участников рынка называет
ревнивых супругов и автолюбителей, которые хотят, например, найти владельца
подрезавшей их на дороге машины. Также, добавляет он, сервис может представлять
интерес, например, для владельцев недвижимости, которые хотят узнать больше о
потенциальном арендаторе. Чаще всего люди пытаются выяснить через бот номера
телефонов, электронную почту или найти аккаунты человека в социальных сетях,
добавляют в Smart_SearchBot.
Рынок
таких решений продолжит расти, уверен аналитик центра мониторинга и
реагирования на кибератаки Solar JSOC «Ростелекома» Александр Ненахов,
поскольку боты «дают простой инструмент поиска широкому кругу лиц:
если раньше подобные сервисы приходилось искать в даркнете и это было непросто,
то сейчас для этого просто нужен Telegram».
Основное
преимущество Telegram как канала для роста нового бизнеса в его анонимности,
считает руководитель технологической практики КПМГ в России и СНГ Николай
Легкодимов. Другие мессенджеры, по его мнению, не вызывают высокого доверия у
пользователей. Сервис WhatsApp, принадлежащий американской соцсети Facebook, в
январе, например, обновил пользовательское соглашение, обязав всех
пользователей делиться с ней данными. По новому пользовательскому соглашению,
Facebook получит сведения о номере телефона, трансакциях и IP-адресах.
Брешь, пробитая
в законодательстве
Законность
работы ботов и действий их клиентов вызывает очевидные сомнения. Владельцы и
пользователи подобных ботов попадают под действие административного кодекса и
могут быть оштрафованы за нарушение правил обработки персональных данных на
сумму 3 тыс. руб., говорит преподаватель Moscow Digital School Вадим Перевалов.
Теоретически
они могут попасть под действие и Уголовного кодекса за нарушение
неприкосновенности частной жизни, допускает доцент факультета права ВШЭ
Александр Савельев. В таком случае штраф, по его словам, уже составит до
200 тыс. руб., но в отношении злоумышленников может быть принято решение и
о лишении свободы до двух лет.
Владельцы
таких сервисов фактически перекладывают ответственность с себя на пользователя.
«При использовании бота человек подтверждает, что он получил письменное
согласие на обработку персональных данных от человека, чьи данные он хочет
проверить»,— говорят в «Архангеле». Если такого согласия нет, человек
нарушил закон, отмечают представители сервиса.
Председатель комиссии московского отделения Ассоциации юристов
России Александр Журавлев — о защите персональных данных
Но
на деле наказать человека за использование бота практически невозможно.
«Органам сложно выявить факт использования бота конкретным человеком,
установить его личность, а потом собрать формальные доказательства нарушения с
его стороны, если только речь не идет о проверке уже изъятого мобильного
телефона»,— говорит господин Перевалов. По его мнению, единственный возможный
способ наказывать пользователей таких площадок — выяснять, кто переводил
денежные средства на счета владельцев бота. «В таком случае можно было бы
выписывать штрафы всем пользователям, которые совершали платежи, но сейчас
таких законодательных механизмов просто не существует»,— добавляет эксперт.
Власти и
госорганы обратили внимание на деятельность ботов в Telegram только в начале
2021 года, когда в одном из каналов появились персональные данные
полицейских и росгвардейцев, участвующих в задержаниях на митингах в поддержку
Алексея Навального (см. “Ъ” от 30 января).
После публикации в “Ъ” Роскомнадзор потребовал от Telegram прекратить распространение
персональных данных граждан, поскольку это угрожает их безопасности. 6 февраля
основатель Telegram Павел Дуров заявил о блокировке этих каналов.
В
Госдуме неохотно признают, что сегодня фактически нет механизмов, чтобы
остановить работу подобных площадок. «Пользователи и администраторы ботов,
конечно, совершают преступление, если в их работе используются слитые базы
данных. Но эта область юридически попадает в серую зону»,— говорит депутат
фракции «Единой России» Антон Горелкин. Он констатирует, что запрет или
регулирование работы таких площадок сегодня зависит исключительно от воли Павла
Дурова, который пока неохотно идет на контакт с российскими властями. Сам
господин Дуров и официальный представитель Telegram в России обсуждать этот
вопрос с “Ъ” не захотели.
Никита Королев
https://www.kommersant.ru/doc/4694808?from=doc_vrez
Каждый ваш лайк и репост в социальных
сетях теперь известен полиции
Силовые структуры получили новейшее ПО для
слежки за соцсетями
Стало известно, что в России полиция получила
программное обеспечение, которое дает возможность взять под полный контроль
любого пользователя социальных сетей. Новое ПО призвано брать под
автоматическое наблюдение абсолютно любого человека, что позволит фиксировать,
кого он добавляет в друзья, посты какого содержания выкладывает, есть ли в его
публикациях «стоп» слова, а также на какие группы подписывается пользователь.
Кроме того, теперь сотрудникам правоохранительных органов не представляет труда
следить и за тем, какие снимки и видео человек выкладывает и удаляет, а также с
кем и с какой периодичностью общается. То есть получается, что каждое
сообщение, лайк, или репост, под контролем у силовиков, и доведена система
теперь до полного автоматизма.
Безусловно, и ранее у МВД были подобные технологии, в
общем-то и секрета из этого никто не делал. Разные модификации подобных модулей
использовались по назначению, однако последняя версия, как предполагается,
будет отличаться большей мощностью и точностью.
Стоит напомнить, что ГУ МВД по Свердловской области
еще летом 2016 года сообщало о закупке программно-аналитического модуля для
информационной системы «Зеус», которая уже широко применяется
правоохранителями.
СМИ: Telegram создал "цифровой
паспорт" для хранения личных данных
ОЛЕГ ИЛЮХИН 10.05.2018
Мессенджер Павла Дурова
Telegram разработал первый сервис для своей будущей блокчейн-платформы Telegram
Open Network (TON). В настоящее время его тестируют в закрытом режиме, пишут "Ведомости" со ссылкой на два
источника, близких к проекту.
Новый сервис, служащий для идентификации личности пользователя, называется Telegram
Passport. Его можно будет использовать в качестве хранилища для
любых персональных данных: гражданских и заграничных паспортов, водительных
прав, коммунальных счетов, справок о банковских счетах. Эта информация
будет зашифрована паролем 2-факторной авторизации.
Доступ к исходным файлам и
копиям документов будет только у пользователя. Сервис-партнер Telegram —
например, платежная система или интернет-магазин — сможет
получить и расшифровать информацию только с согласия человека.
Запуск Telegram Passport ожидается к лету.
О планах Telegram создать
TON с криптовалютой Gram стало известно в начале года. По итогам двух
инвестиционных раундов, состоявшихся весной, проект Дурова привлек $1,7
миллиарда. От публичного ICO, предположительно, компания решила отказаться.
Внедрение
собственной блокчейн-платформы позволило бы Telegram развивать свой бизнес без
оглядки на банки и правительства.
TON — это не только защищенные и быстрые платежи, но и платформа для заключения
смарт-контрактов, продажи товаров и услуг, работы децентрализованных
приложений, запуска защищенных от любых блокировок интернет-сайтов и т.д.
Валютой для внутренней экономики TON должна стать криптовалюта под названием Gram.
https://hitech.vesti.ru/article/838403/
Трамп разрешил сбыт
личных данных пользователей
ВЕСТИ.RU
4 апреля 2017
Президент
США Дональд Трамп отменил запрет Федеральной комиссии по коммуникациям,
одобренных при предыдущем президенте США Бараке Обаме, в соответствии с
которыми интернет-провайдерам требовалось соглашение пользователя для сбора и
обмена с другими компаниями его данными, сообщает Reuters со ссылкой на
заявление Белого дома. Президент США Дональд Трамп подписал директиву, отменяющую запрет на реализацию интернет-провайдерами личных
данных пользователей третьим лицам без
спроса клиентов. Федеральная комиссия США по связи ввела в 2016 году
запрет, в соответствии с которым компаниям, предоставляющим клиентам доступ в
интернет, запрещается без спроса передавать собранную о них информацию
коммерческим организациям.
Палата представителей проголосовала в начале
прошлого месяца за отмену
правил защиты конфиденциальности в интернете, которые были одобрены
Федеральной комиссией связи в последние дни работы администрации Обамы. Это
решение поддержал и сенат большинством голосов в 50 против 48. Напомним, указ
обязывал интернет-провайдеров заручиться согласием пользователей перед
использованием личных данных вроде геолокации, истории браузера и т. д. Против
этого указа выступали такие интернет-провайдеры, как AT&T, Comcast Corp и
Verizon Communications Inc.
Эксперты расценивают это как победу таких
крупных интернет-провайдеров, как AT&T, Comcast Corp. и Verizon
Communications, которые с введением указа оказались в неравном положении по
сравнению с Facebook, Twitter или Google, на которых ограничения не
распространялись и которые благодаря этому получали возможность доминировать на
рынке цифровой рекламы.
Председатель
Федеральной комиссии по связи (ФКС) Аджит Пай заявил на рассмотрении вопроса в
сенате, что потребители имеют гарантии конфиденциальности и без правил, принятых
администрацией Обамы. Таким образом, постановления являются излишним
регулятором и должны быть отменены.
"В прошлом году Федеральная комиссия по
коммуникациям протолкнула партийным голосованием закон об охране персональных
данных, разработанный в интересах одной группы компаний и в ущерб другой
группе, — заявил он. — Соответственно конгресс принял резолюцию,
отклоняющую такой подход разделения на победителей и побежденных, до того как
этот закон вступил в силу".
"Я
хочу, чтобы американцы знали, что ФКС будет сотрудничать с Федеральной торговой
комиссией, обеспечивая защиту персональных данных потребителей в интернете на
последовательной и всеобъемлющей основе", — подчеркнул Аджит Пай.
"Назовите мне хотя бы одну причину,
почему Comcast должен знать о медицинских проблемах моей мамы, — приводит
слова конгрессмена Майкла Капуано Guardian. — На прошлой неделя я купил
белье в интернете. Почему вы должны знать, какой размер или цвет я взял?"
По
словам представителей IT-компаний, отмена запрета просто позволит им показывать
людям более релевантную рекламу и предложения, что даст возможность
вернуть инвестиции, вложенные в инфраструктуру. Они утверждают, что история
просмотра веб-страниц и использования приложений не должна считаться
«чувствительной» информацией. Далее: https://news.rambler.ru/economics/36517347/?utm_content=rnews&utm_medium=read_more&utm_source=copylink
Скрытая угроза: интернет вещей
Чем очень опасен интернет
вещей для современного общества
Современный IoT (Internet of
Things) или «интернет вещей» — это миллиарды устройств, которые не только
открывают человечеству потрясающие возможности, но и служат источником новых,
малоизученных угроз. «Газета.Ru» разбиралась, какие преимущества и опасности
скрываются за этим новым термином.
Согласно определению
аналитиков International Data Corporation, интернет вещей — это сеть,
состоящая из сетей с уникально идентифицируемыми точками, которые общаются
между собой в обоих направлениях по IP-протоколам без человеческого
вмешательства.
Определение довольно общее,
но оно кажется наиболее непротиворечивым. Попытки как-то конкретизировать
формулировку обычно приводят к тому, что многие сегменты интернета вещей просто
выпадают из определения IoT.
Консалтинговое подразделение
Cisco — одной из компаний, создававшей современный интернет — считает, что
интернет вещей появился в 2008-2009 годах, когда количество подключенных
устройств превысило количество людей, живущих на Земле.
Сейчас же только количество
IoT-устройств и IoT-датчиков (без учета компьютеров, смартфонов и других
пользовательских терминалов) превышает 8,4 млрд, а к 2020 году их
количество превысит 20 млрд.
Экономика вещей
Все эти цифры нужны, чтобы
точнее осознать масштаб возможностей и проблем, которые рождает IoT. Начнем с
возможностей, точнее с денег.
Где же зарабатывают на IoT?
На текущий момент есть несколько основных направлений для монетизации интернета
вещей, в том числе дистанционная диагностика устройств, выявление предпосылок
возникновения внештатных и аварийных ситуаций, контроль и автоматизация
бизнес-процессов и др.
Интернет вещей активно
внедряется в систему «умных» домов и даже городов, сферу торговли, финансов,
промышленности, медицины и телемедицины и многих других.
Одним из ключевых
преимуществ интернета вещей является вывод автоматизации разных процессов на
новый уровень.
Это те области, где уже
сейчас происходит активное внедрение IoT. Объем рынка интернета вещей к 2021
году может составить $1,1 трлн. И это только стоимость IoT — без подсчета тех
доходов, которые генерируют внедрение соответствующих технологий.
Безопасность прежде всего
Но это еще не все — чисто
денежными выгодами интернет вещей не ограничен.
IoT просто идеально
сочетается с главным фетишем XXI века — безопасностью. Разумеется, она всегда
имела значение, но в связи с ростом продолжительности жизни в индустриально
развитых странах, возросла и ценность отдельно взятой жизни. Физическая
безопасность стала общественно-политическим трендом.
Под безопасностью в данном рассматривается высокий уровень
медицины, защита человека от технологических и экологических катастроф и
инцидентов, низкий уровень преступности, защита от террористических угроз.
Что касается медицины, то
«умные» пульсометры, помпы для больных диабетом, кардиостимуляторы и прочее –
это даже не завтрашний, а уже сегодняшний день современной медицины.
Помимо этого интернет
вещей превратился в мощный инструмент правоохранительных органов и
спецслужб, стоящих на страже этой самой безопасности.
В первую очередь, это
конечно, CCTV (камеры видеонаблюдения) и биометрия. Современные средства
средства связи и хранения информации позволяют записывать видеоизображение
передавать его в облачные хранилища и дата-центры и держать там довольно долгое
время.
CCTV существуют уже давно,
но если раньше полиция приезжала на место преступления, изымала носители и
часами просматривала видеозаписи, то с наступлением эры IoT все работает
по-другому. Системы компьютерного зрения и распознавания образов с
элементами искусственного интеллекта проверяют изображения сразу нескольких
сотен тысяч камер, отматывая время назад и опознавая преступника на все новых и
новых камерах слежения.
Летом 2017 года новая
интеллектуальная система распознавания образов помогла арестовать на фестивале
в китайском Циндао 25 разыскиваемых преступников, один из которых скрывался от
полиции 10 лет.
Как уверяют создатели этой
системы, точность распознавания лиц составляет 98,1%.
Сейчас тестируется система,
которая распознает не только преступников, но и пропавших детей, сообщая сигнал
тревоги находящимся поблизости полицейским.
Что касается биометрии, то
это уже не будущее, а реальность. Биометрические сканеры и камеры стоят на
многих пунктах пограничного контроля, в банках и особо охраняемых объектах.
Перевод денег по снимку, сделанному смартфоном, уже внедрили в одном из крупных
российских банков, а в Москве появился банкомат, в котором для совершения
операций со счетом нужно только сделать фотографию.
Темная сторона силы
Несмотря на все достоинства
IoT-технологий, обычных людей все же пугают их возможности. Так согласно опросу
Gemalto, около 90% пользователей не доверяют IoT-устройствам.
Больше всего
респонденты опасаются утечек данных (60%)
и получения несанкционированного доступа к личной информации (54%).
Назвать опасения обычных
пользователей паранойей нельзя — эксперты тоже отмечают, что IoT приносит новые
вызовы в общество.
По мнению технического
директора Check Point Software Technologies Никиты Дурова, с развитием
интернета вещей очевидно возрастают риски утечки данных. Одним из главных
недостатков безопасности IoT-устройств является слабая встроенная защита.
«Осенью 2107 года наши
специалисты обнаружили уязвимость в мобильном и облачном приложениях LG
SmartThinkQ, которая позволила удаленно войти в облачное приложение SmartThinQ,
и, завладев учетной записью LG, получить контроль над устройствами умного
дома.
В частности, стало доступным
управление пылесосом и главное, встроенной в него видеокамерой, которая в
режиме реального времени отправляет видео в приложение LG SmartThinQ. Таким
образом, пользователь мог быть жертвой хакерской атаки и даже не знать об
этом», — сообщил Дуров в беседе с «Газетой.Ru».
«При
взломе устройств пользователя опасности подвергается личная информация о
человеке – о его местонахождении, состоянии здоровья, фотографиям, можно
перехватывать разговоры, в том числе деловые и т.д. Так, взлом
телевизора класса SmartTV, имеющего камеру и микрофон, может позволить злоумышленникам прослушивать и наблюдать за
владельцем без его ведома», — соглашается с коллегой Денис Легезо,
антивирусный эксперт «Лаборатории Касперского».
Пользовательские
данные, которые собирают разнообразные IoT-устройства, становятся полноценным
товаром. Иногда это делается на
вполне легальных условиях, то есть согласно пользовательскому соглашению
(которое мало кто читает целиком), а иногда абсолютно партизанскими способами.
Угроза в масштабах страны
Еще одним результатом взлома
IoT-девайсов, по мнению Дениса Легезо, может стать заражение таких устройств
для создания ботнетов и проведения DDoS-атак. Кроме того, IoT может
стать новой вехой кибершионажа.
Еще в 2016 году, Джеймс
Клэппер, занимавший тогда пост директора национальной разведки США, не
исключил, что спецслужбы будут использовать интернет
вещей для «установления личности, слежения, наблюдения, определения
местонахождения и сбора информации, вербовки, а также для получения доступа к
сетям и данным пользователей».
То что «Большой брат»
получит возможность буквально (благодаря тем же фитнес-трекерам с GPS и умным
часам) следить за каждым нашим шагом, не приводит в восторг даже
законопослушных граждан. Внедрение интернета вещей приведет к формированию новой
модели разведки, базирующейся на высокоавтоматизированном комплексном
сборе и анализе данных поступающих через интернет.
Однако самым большим
кошмаром для специалистов а области безопасности является, вовсе, не взлом
пылесосов и телевизоров, и не всевидящее око «Большого брата», а взлом индустриального и инфраструктурного IoT хулиганами,
злоумышленниками и террористами.
Сегодня уже существуют целые
ресурсы для поиска уязвимых подключенных устройств интернета вещей. Анализируя
эти данные, злоумышленники могут получить сведения об охране, графике работы
компании или отдельных лиц, а также подслушивать конфиденциальные разговоры, а
затем использовать полученную информацию в своих целях.
«Взлом кондиционера, как
показало наше исследование, может оставить без света целый квартал. При взломе
устройств городской и промышленной инфраструктуры данные могут использоваться
для шантажа, вымогательства и шпионажа. Реальную опасность представляют и атаки
на транспорт – поскольку в случае взлома возникает прямая угроза жизни
людей», — говорит Денис Легезо и отмечает, что в 2016 году количество новых
образцов вредоносного ПО для взлома IoT увеличилось в пять раз.: https://www.gazeta.ru/tech/2018/01/06/11573180/iot_is_not_safe.shtml
Порядковый номер
02.07.2018
Георгий
Бовт о том, какие возможности открывает идентификация по мобильнику
Родилась чудная идея —
приравнять номер мобильного телефона к удостоверению личности. Прямо-таки чуть
ли не паспорту. Будет почти как в песне Цоя: «Мой порядковый номер — на рукаве».
Только не на рукаве, а в телефоне…..
все на учете и оцифрованы.
…. Дальше всех продвинулся в
создании «цифрового паспорта на смартфоне» Китай. Это, мне кажется, должно
воодушевлять наших цифровых паспортистов. Поскольку открывает огромные, ранее неосвоенные возможности по контролю
за обществом в целом и каждой отдельной личностью. И чем больше
говорят вокруг о защите ваших персональных данных (поздравляю всех с
вступлением в силу «пакета Яровой» с 1 июля), тем больше, будьте уверены, их
анализируют, накапливают и используют компетентные в этих делах люди и органы.
Используют не только «против вас» (как вам кажется), но и для вашего же блага,
как они его понимают.
Новый тоталитаризм будет максимально комфортен для обывателя. Он
будет гораздо комфортнее, чем свобода.
Он войдет в вашу жизнь тихо в мягких тапках. Со свободой этой обыватель
мучается (например, под тяжестью ответственности выбора), а тут все решат и выберут за него. Еду, развлечения,
путешествия, род деятельности и правила этой деятельности. Вам предложат
«комфортные» правила поведения в обществе, за которые, если вы будете им
следовать, вы получите «ништяки» — бонусные баллы, скидки, повышенный класс
обслуживания, что-нибудь в подарок и т.д.
В Китае в провинции Гуанчжоу
в конце прошлого года был запущен пилотный проект удостоверения личности по
смартфону. В этом году он уже распространяется по стране. После предоставления
необходимых данных (включая фото и отпечатки пальцев) ваш ID (ваш смартфон)
привязывается одновременно к базе данных полиции и популярному в Китае
мессенджеру WeChat, который выступает носителем данной платформы. С этим
«цифровым паспортом», который содержится в его телефоне, человек может свободно
путешествовать по стране на всех видах транспорта, получать кредитные карты и
открывать банковские счета, брать кредиты, открывать и закрывать собственный
бизнес, въезжать в Гонконг или Макао. Мобильник заменяет также водительские
права, содержит информацию о месте регистрации и т.д. Кстати, поменять
адрес регистрации тоже можно через мобильное приложение. На экране смартфона
такой «паспорт» выглядит как обычный QR-код. Для того, чтобы третье лицо
удостоверило личность такого человека, достаточно сканировать этот код. В том
числе это можно сделать дистанционно. Украсть и подделать такое ID можно, лишь
украв и подделав лицо и отпечатки пальцев владельца. Что довольно трудно,
согласитесь.
Вообще непонятно, над чем,
собственно, размышляют наши разработчики. Как непонятно, где применять? Да
везде. У нас ведь так любят ссылаться на китайский опыт. Вот вам китайский
опыт, берите и внедряйте.
Авторы антиутопий, начиная
от Джорджа Оруэлла и Олдоса Хаксли и кончая Евгением Замятиным, будут
ворочаться в могилах от зависти. Они-то рисовали «тоталитарный мир» будущего
как страшный и мрачный, пронизанный страхом и подчинением. А тут — сплошные
потребительские удобства, блеск и изящное совершенство новейших технологий, рай
для хипстеров, превращение вашей жизни в сплошную онлайн-игру, порой даже
весьма увлекательную.
Нетрудно
догадаться, что система мобильной идентификации личности в том же Китае, а
затем и во многих других странах будет интегрирована с анализом поведенческих
моделей граждан. Тут точно дойдут до каждого. В том же Китае уже активно
развивается система «социального кредита» или «социального доверия».
Она очень похожа на советскую систему характеристик по месту работы или, если
применить более современную терминологию, на систему банковского скоринга.
Только это скоринг охватывает всю вашу жизнь, все
ваши поступки, а по сути — и все ваши мысли тоже, как они отражаются в ваших
записях, скажем, в соцсетях, в вашей электронной переписке, которая становится
все более прозрачной для «аналитиков в штатском».
На основании анализа вашего
поведения в онлайн-режиме (а все привязано к вашему «цифровому паспорту») вам присваивается определенный рейтинг. Более того, рейтинг
каждого гражданина открыт и опубликован для всеобщего обозрения. Для
порицания и поощрения. Нарушил правила дорожного движения — минус столько-то
баллов. Ребенок получает в школе отличные отметки — плюс баллы, родители,
значит, воспитывают достойного патриота страны. Побродил-поискал в интернете по
«не тем сайтам» — минус «в карму». А если бродил только «по тем, по которым
надо», то плюс. Слишком много играл в онлайн игры — выходит, ты слишком
азартен. Скачивал запрещенный контент — уже почти опасен для общества. А если
вы, гражданин, еще и пользуетесь анонимайзерами в интернете, то это уже на
грани «экстремизма/терроризма». Минус много баллов. Ну и к вам придут, скорее
всего. Сначала — просто побеседовать. Упредить от дальнейших, так сказать,
ошибок.
Учитывается своевременность
оплаты коммунальных услуг и взятых кредитов, а также всевозможные нарушения. На
гражданина «стучат» все государственные и муниципальные, а также судебные,
коммерческие и правоохранительные органы. За донесение о «неблаговидном»
поведении соседа тоже положены премиальные баллы. Или, например, за информацию
о том, что кто-то выбросил мусор в окно автомашины на обочину. Анализируются
десятки тысяч параметров поведения. При этом единого кодекса поведения нет. Есть
общие Понятия, что такое хорошо и что такое плохо. Сам угадывай. И
подстраивайся.
Имея рейтинг
ниже определенного уровня, нельзя будет устроиться на работу в государственные
и муниципальные органы, еще ниже — вообще никуда. Уже были случаи отказа продажи людям с низким
рейтингом билетов на самолеты и скоростные поезда. На скоростных поездах должны
ездить только добропорядочные граждане. Даже велосипед напрокат людям с
«пониженной социальной ответственностью» и то не дадут без залога. А если у
вас, гражданин, обнаружится повышенное количество друзей (в тех же соцсетях) из
разряда «низкорейтинговых граждан», то и тебе понизят рейтинг. Не водись с
кем ни попадя потому что. И, наоборот, людям с «повышенной социальной
ответственностью» — и кредиты по пониженной ставке и без поручителя. И
улучшенное медицинское обслуживание. Не говоря о всяких скидках. Кстати, в
сборе и анализе поведенческой информации участвуют крупнейшие системы
интернет-торговли и платежные платформы Alibaba, WeChatPay (владелец корпорация
Tencent), а также сервис микроблогов Weibo.
Как видим, в развитом виде
подобны системы общественного скоринга работают, когда вся интернет-сфера в государстве полностью подконтрольна
именно этому одному государству. Никаких неподконтрольных
«внешних игроков», как можно более полный контроль за потоками персональных
данных, что предполагает рано или поздно изгнание из страны всяких Facebook и
Twitter (в Китае они и не работали никогда).
Полагаю, наша «цифровизация»
и «мобильная идентификация» будут развиваться преимущественно именно в
«китайском направлении», сколько бы ни отрицали это разного уровня
ответственности чиновники. И для подавляющей части населения это будет не
только необременительно, но и, повторю, удобно.
Банки РФ начнут собирать биометрию клиентов
02.07.2018
Москва, 2 июля - "Вести.Экономика" С 1 июля в России начала работать единая биометрическая система. Она позволит россиянам, после сдачи всех необходимых параметров, удаленно получать услуги финансовых организаций.
Собирать биометрические данные клиентов начали уже около 400 отделений 20 российских банков. В перспективе к системе подключатся все российские организации.
Как это работает
Пройти идентификацию клиенту нужно будет только один раз. После чего он сможет получать услуги дистанционно в любом выбранном банке.
Регистрация проходит в два этапа. Сначала клиенту должен создать учетную запись в Единой системе идентификации и аутентификации (ЕСИА) или на портале госуслуг. Затем нужно прийти в один из банков, указанных на сайте ЦБ, чтобы сдать свои биометрические данные — запись голоса и видео с изображением лица.
Необходимо предоставить и пакет документов: паспорт, прописку, ИНН, номер карты социального страхования и телефон для связи. Нужно также дать согласие на на обработку всей введенной информации. К маломобильным гражданам, которые не могут приехать в банк для регистрации, сотрудники организаций приедут на дом.
Все полученные данные будут размещаться в ЕСИА и в единой биометрической системе. Отвечать за сбор и хранение данных будет оператор системы "Ростелеком". Выполнение мер безопасности будет под контролем Центробанка. За каждое результативное обращение к ЕБС банк должен будет перечислить "Ростелекому" 200 руб. Но для граждан услуга будет бесплатной. …:
Подробнее: http://www.vestifinance.ru/articles/103333
ЦБ
предложит банкам собирать биометрические данные россиян
Банк
России готовит законопроект, согласно которому все банки будут обязаны собирать
биометрические данные россиян —изображения
лица и голосовые слепки. Об этом в понедельник, 28 августа, пишут
«Известия» со ссылкой на источники.
Регулятор
намерен создать единую биометрическую систему (ЕБС) для внедрения удаленной идентификации
клиентов. «Благодаря новации граждане смогут стать вкладчиками любого банка не
приходя в его офис, пройдя проверку с помощью биометрии», — рассказал
собеседник издания.
Работа
над созданием соответствующей технологической инфраструктуры уже началась,
отметили в ЦБ. В рабочую группу по формированию ЕБС входит Сбербанк, ВТБ,
Бинбанк и Россельхозбанк. Новация позволит максимально упростить процесс
совершения любых банковских операций, считают в Банке России. При этом биометрические
данные должны быть хорошо защищены от злоумышленников.
В
июне «Коммерсантъ» писал о
том, что в ЦБ обсуждается идея введения сквозной системы уникальных номеров
кредитных договоров на всей территории России. Цель системы — избежать
дублирования номеров кредитных договоров различных банков, чтобы по номеру
можно было однозначно идентифицировать конкретный кредит.
26
мая в Сбербанке сообщили, что финансовая
организация тестирует роботов, которые
будут идентифицировать клиентов по лицу, узнавать и запоминать их в нескольких
ракурсах.
В
марте президент Сбербанка Герман Греф заявил, что кредитное учреждение работает
над технологией идентификации клиентов
по движению губ.
Банки начали собирать биометрию клиентов
26.10.2017
Москва, 26 октября -
"Вести.Экономика". Банки в России готовятся к массовому сбору
биометрических данных своих клиентов, пишут "Известия" со ссылкой на
источники в ВТБ, "Бинбанке", банках "Ак Барс",
"Восточный" и "Открытие", а также в Уральском банке
реконструкции и развития.
Полномасштабный
сбор изображений лица и голосовых данных должен начаться в следующем году.
Центробанк в конце августа разработал законопроект об удаленной идентификации,
который обязывает банки собирать биометрические данные клиентов.
Предполагается, что в России будет создана единая биометрическая система
(ЕБС).
За счет этой системы граждане смогут открывать банковские вклады или получать
кредит без физического присутствия в офисе кредитной организации.
Крупнейшие банки начали подготовку к сбору биометрических данных своих
клиентов. В ряде банков начались пилотные проекты по сбору изображений лица
и голосовых слепков, в других решаются технические вопросы по внедрению
системы сбора параметров.
Собранные банками биометрические параметры будут поступать в ЕБС, где на
каждого россиянина будет заведена "карточка" с изображением лица и
голосовым слепком.
Эксперты в области информационной безопасности выразили опасение по поводу
биометрической идентификации, ведь в отличие от стандартных логина и пароля внешность человека легко украсть, например, взяв его
фотографии из соцсетей. Голос также можно получить из записи телефонного
разговора.
Зачем
банку биометрия по лицу и голосу
20
февраля 2017
Разработка
компании «ЦРТ-инновации» поможет банку ВТБ24 защитить данные своих клиентов в
системах дистанционного обслуживания.
Компания
«ЦРТ-инновации», резидент Фонда «Сколково», разработала эффективный способ
защиты пользователей мобильного приложения – биометрическую идентификацию по
голосу и лицу.
Пароли
и PIN-коды как способы защиты личной информации постепенно остаются в прошлом.
Хакеры и киберпреступники научились взламывать даже самые сложные
последовательности символов. К тому же длинный пароль пользователи могут забыть
или потерять бумажку, на которой записана комбинация нужных цифр.
Биометрическая аутентификация устраняет
эту проблему: пользователю больше не придется заучивать длинные пароли.
Теперь
он сам, а точнее, его лицо и голос, становятся паролем.
Внедрить
биометрическую аутентификацию – подтверждение личности по уникальным физическим
характеристикам – решил банк ВТБ24. По замыслу, это защитит клиентов банка
в системах дистанционного обслуживания от киберпреступности – преступности в
виртуальном пространстве, среди которой чаще всего встречаются кражи при
совершении онлайн-платежей. По словам генерального директора «ЦРТ-Инновации»
Дмитрия Дырмовского, биометрическая аутентификацию касается как телефонного
обслуживания (обслуживания через контакт-центр), так и веб-канала (интернет- и
мобильного банка).
Использование
бимодальной биометрии в
дистанционных каналах уже становится отраслевым стандартом. С одной стороны
технологии «ЦРТ-Инноваций» сводят к минимуму риск мошенничества, а с другой,
упрощают доступ к финансовым сервисам ВТБ24. Также нужно отметить, что сбор и
обмен биометрической информацией вскоре станет обычным процессом и позволит
банкам реализовать новые естественные способы коммуникаций с клиентом. Я рад,
что старт этому проекту был дан в 2016 году на площадке «Сколково» при самом
активном участии руководства Фонда, группы ВТБ и «ЦРТ-Инновации», –
прокомментировал Павел Новиков, директор центра финансовых технологий Фонда
«Сколково».
Почему
именно мобильное приложение?
Более
полутора миллиона клиентов ВТБ24 пользуются мобильным приложением банка. В нем
операции со своим счетом пользователи совершают даже чаще,чем в интернет-банке.
Клиенты готовы доверять мобильному приложению, в том числе при операциях с
большими суммами.
ВТБ24
решил лучше защитить счета пользователей, снизив финансовые риски, как для
клиентов, так и для себя.
Популярная
биометрия по отпечатку пальца оказалась недостаточно универсальной из-за того,
что не все мобильные устройства оснащены сканером отпечатков.
Выбор
ВТБ24 пал на биометрию по голосу и лицу. В большинстве современных устройствах
есть камеры и встроенные микрофоны, поэтому дополнительное оборудование для
считывания информации не требуется. Кроме того, использование двух технологий —
и особенно разработанного «ЦРТ» детектора живого пользователя — сводит
возможность мошенничества к минимуму, предлагая абсолютно новый уровень
безопасности.
В
прошлом году представители руководства и эксперты банка ВТБ во главе с
заместителем президента-председателя правления банка Ольгой Дергуновой дважды –
в июле и в декабре – приезжали в «Сколково» для знакомства с разработками наших
резидентов в сфере финтеха. И вот уже сегодня некоторые из этих разработок, в
том числе бимодальная биометрия от компании «ЦРТ-инновации», нашли применение в
работе банка. Мы рады тому, что доказали эффективность нашего взаимодействия с
группой ВТБ, и гордимся тем, что банк выбирает наши технологии для создания
новых конкурентных преимуществ и сервисов для клиентов. Уверен, что уникальные
разработки наших резидентов помогут ВТБ оставаться лидирующей финансовой
группой страны, – сообщил Игорь Богачев, вице-президент и исполнительный
директор ИТ-кластера Фонда «Сколково»: https://finance.rambler.ru/news/2017-02-20/zachem-banku-biometriya-po-licu-i-golosu/
Нейросеть
Google научилась распознавать объекты на видео
09.03.2017
Главный
ученый в области искусственного интеллекта и машинного обучения в Google Cloud
Фей-Фей Ли рассказала о новой технологии, способной "узнавать"
объекты на видео. Выступая на конференции Next Cloud, она представила интерфейс
Video Intelligence API, благодаря которому компьютерные алгоритмы могут
"понять" суть того или иного ролика.
В
качестве примера Ли включила короткое рекламное видео, а новый API сумел
распознать таксу, как только собака появилась в кадре, и прийти к выводу, что
коммерческим был целый ролик. А на другой демонстрации алгоритмы Google смогли
найти все релевантные клипы, отвечающие запросу "пляж".
Технология
компьютерного зрения Google и ранее умела угадывать объекты, но только на
неподвижных, статических изображениях. "Ассистент", встроенный в
фотосервис "Google Фото", автоматически наносит на карту места, в
которых побывал пользователь, а также распознает достопримечательности,
запечатленные на фотографиях, и привязывает к ним соответствующие теги.
Кроме
того, там можно найти любую интересующую его фотографию, просто введя поисковый
запрос — например, "пицца" выдаст все снимки с этим блюдом, а
"Санкт-Петербург" покажет фотографии, сделанные в этом городе.
По
словам Ли, ранее алгоритмы Google были не в состоянии определить смысл видео
без проставленных вручную тегов. "Мы готовы пролить свет на темную материю
цифровой вселенной", — сказала она.
Террориста
узнают по голосу
Facebook случайно выдал данные модераторов
потенциальным террористам
Социальная
сеть Facebook объявила о внедрении новейших технологий в свой план по борьбе с
терроризмом. Тем не менее недавний шквал критики в адрес компании Цукерберга,
утечка внутренних документов о политике модерации и многочисленные проблемы с
сотрудниками, просматривающими контент, ставят этот проект под сомнение.
В
ответ на критику в адрес Facebook за недостаточные усилия в борьбе с
экстремистским контентом социальная сеть опубликовала большую запись, в которой
детально объясняет, как она намерена пресекать противоправные действия на своей
площадке.
Представители
Facebook рассказали, какие современные технологии внедряются в социальную сеть,
чтобы противостоять международному терроризму, а также подчеркнули, что ранее
не разглашали эту информацию публично.
Вербовщика
выдаст голос
«Наша
позиция проста: на Facebook нет места терроризму», — говорится в
официальном сообщении. Соцсеть Марка
Цукерберга рассказала, что активно удаляет аккаунты и публикации, связанные с
террористическими организациями, в том числе ИГ и «Аль-Каидой» (запрещены на
территории России. — «Газета.Ru»).
Кроме
того, в случаях «неминуемой угрозы» Facebook незамедлительно сообщает об этом
властям.
Соцсеть
обозначила три направления работы в данной области: искусственный интеллект
(ИИ), человеческий опыт и сотрудничество с другими проектами компании.
Нейросети
и ИИ на службе Facebook будут сличать похожие изображения, связанные с
терроризмом, анализировать голос возможных вербовщиков, а также внедрять
кросс-платформенные методы совместно с принадлежащими компании Instagram и
WhatsApp.
Команда
из 150 человек, специализирующихся на противодействии терроризму, будет
ежеминутно отслеживать нежелательные публикации, а сотрудничество с Microsoft,
Twitter, YouTube, правительствами и неправительственными организациями поможет
вести борьбу на разных уровнях.
«Мы
верим, что технологии и Facebook могут помочь с решением проблемы», —
утверждают в компании.
Примечательно,
что спустя менее суток после заявления соцсети, в издании Guradian появилась
заметка о том, что из-за ошибки в программном обеспечении во время поиска
экстремистского контента личные данные 1000 модераторов Facebook попали в руки
потенциальных террористов — администраторов сомнительных сообществ внутри
сервиса.
Штраф
как призыв к действию
Заявления
Facebook могут быть вызваны недавней критикой социальных сетей и мессенджеров
от первых лиц Великобритании, Франции и других стран. Британский
премьер-министр Тереза Мэй назвала интернет-компании чуть ли не «рассадником
терроризма».
Также
она заявила, что соблюдение прав
человека не должно вставать на пути борьбы с террористами, а если такое случится, то свой выбор Мэй сделает не в пользу
гражданских свобод.
Совместно
с президентом Франции Эммануэлем Макроном Тереза Мэй разработалаконтртеррористический
план, согласно которому владельцы социальных сетей и мессенджеров будут
привлечены к ответственности за «неспособность противостоять пропаганде
террора».
«Опасный
и безответственный подход к экстремизму в социальных медиакомпаниях слишком
долго оставался безнаказанным», — сказала член парламента от Лейбористской
партии Иветт Купер в поддержку инициативы Мэй.
Похожие
заявления делал и госсекретарь США
Рекс Тиллерсон, призвав Кремниевую долину объединиться ради борьбы с
терроризмом. Правда, ни о каких штрафах пока речи не идет — политик предложил
углубить сотрудничество в этой сфере.
«Цифровой
халифат не должен процветать вместо халифата физического», — заявил Тиллерсон.
На
фоне этой кампании, развернутой в крупнейших европейских странах и США,
Facebook в качестве одного из лидеров индустрии не мог не отреагировать на
вызов и подготовил план дальнейшей работы. Пока предстоит выяснить, насколько
он станет успешным, так как главная цель проекта размыта — пытается ли соцсеть
отвадить людей от вступления в террористические организации или отбить желание
писать о терроризме в своем профиле на Facebook?
Модераторы
не справляются
Существуют
сомнения насчет пропускной способности модераторов Facebook — контента
становится так много, что 150 экспертов по борьбе с терроризмом не хватит даже
для проверки публикаций на одном из мировых языков.
В
мае 2017 года Guardian выложила в общий доступ выдержки из правил модерации
пользовательского контента на Facebook, которые вызвали общественный резонанс
своей неоднозначностью. К примеру, за фразу «убейте уже Трампа» могут отправить
в бан, а на сообщение «надеюсь, кто-нибудь тебя прикончит» никто не обратит
внимание, так как оно не содержит конкретики.
Видео
с насильственной смертью или издевательствами над животными просто помечаются
плашкой «шокирующий контент», так как Facebook полагает, что они повышают
пользовательский уровень осведомленности о проблеме.
Таким
образом решается проблема с недостаточным количеством модераторов социальной
сети — проверяется и удаляется только «наиболее экстремистский» контент.
Модераторы
Facebook, пожелавшие остаться неизвестными, пожаловались на низкую
оплату и большой уровень стресса. По их словам, на принятие решения об удалении
иногда остается всего 10 секунд, а сама работа негативно отражается на психике.
Сообщается, что многие модераторы, которые ежедневно отсматривают нежелательные
публикации, плохо спят, им снятся кошмары, они вынуждены посещать психологов.
«Ъ»:
ЦБ ведет переговоры с ПФР о предоставлении банкам доступа к базе СНИЛС
28.09.2016
Банк
России ведет переговоры с Пенсионным фондом России (ПФР) о предоставлении
банкам доступа к базе страховых номеров лицевых счетов (СНИЛС) российских
граждан. Подобный шаг связан с вступлением в силу с 1 января 2017 года
требования запроса кредитной истории только при наличии СНИЛС. Об этом
пишет «Коммерсантъ».
С
1 января следующего года в России вступает в силу норма закона «О кредитных
историях». Это означает, что с начала года банки смогут отправлять запросы в
бюро кредитных историй (БКИ) только с
указанием номера СНИЛС гражданина. Отмечается, что данный идентификатор
имеется у всех граждан, однако не все его знают и могут предоставить банку. Без
номера СНИЛС, согласно новой норме, банки не получат доступа к кредитной
истории и, соответственно, будут отказывать в предоставлении кредита. Полная
база СНИЛС всех граждан имеется лишь в распоряжении ПФР.
Центробанк
в связи с этим продолжает переговоры с ПФР о предоставлении коммерческим банкам
данной информации. Отмечается, что окончательного отказа со стороны Пенсионного
фонда не было. По словам источника издания, ЦБ и ПФР проведут совещание по
данному вопросу уже на следующей неделе.
Подчеркивается,
что в данном вопросе Центробанку готова помочь Федеральная налоговая служба
(ФНС), которая с начала 2017 года займется администрированием страховых
взносов, в том числе пенсионных. Таким образом, у ФНС также появится база
данных с номерами СНИЛС. По словам заместителя главы ФНС Светланы Бондарчук,
служба предоставит информацию, если не увидит при этом рисков.
1 марта 201918:26
Как не стать жертвой смартфона-шпиона:
советы экспертов
Шпион в твоем кармане или
сумке. То, что смартфоны могут шпионить за
своими владельцами — не секрет. Шпионят, правда, не сами смартфоны, а
программы, на них установленные. Вредоносные
программы могут перехватывать и отправлять смс, копировать контакты, вести видео- и
аудиозапись, а также многое другое. Как себя обезопасить, знают
эксперты Роскачества. Они охотно делятся своими советами.
Шпионить, предупреждают
специалисты, могут абсолютно безобидные, на первый взгляд, приложения:
например, фонарик, который запрашивает доступ к контактам и фотографиям.
Поэтому нужно более внимательно относиться к запросам доступа к камере,
микрофону, фото и контактам от приложений. Прежде всего, надо думать,
действительно ли фонарику нужна такая функция, как доступ к фото? Что он
собирается в этих фото подсвечивать?
Не помешает проверить все
имеющиеся доступы. Это можно сделать в настройках. Не исключено, что вы
удивитесь, когда начнете детально их изучать!
Если вы не хотите, чтобы вас
прослушивали мобильные приложения и вам важен режим конфиденциальности, то нужно ограничить доступ мессенджеров и прочих приложений к
микрофону. Также рекомендуется не использовать аудиосообщения,
которые, кстати, не всегда удобны для получателей.
Руководитель Центра цифровой
экспертизы Роскачества Антон Куканов также рекомендует не использовать голосовые команды для мобильных приложений
— это менее радикальный способ избежать прослушки. Эти приложения, предупредил
Куканов, постоянно анализируют всю поступающую информацию, поскольку ждут от
владельца смартфона ключевые слова и команды.
Еще одно средство
профилактики шпионажа – вовремя обновлять
операционную систему. Это позволяет своевременно закрывать выявленные
специалистами уязвимости. Еще одно предложение от экспертов
Роскачества: устанавливать приложения только из
официальных магазинов.
Владельцам смартфонов на
операционной системе Andorid до версии 6.0 следует внимательно
изучать список запрашиваемых прав. И обязательно быть внимательным к
доступам мобильных приложений, которые они запрашивают. Не помешает ограничивать
доступ к камере, микрофону, геолокации, фотогалерее, если это не влияет на
работоспособность приложений.
Полный список рекомендаций
для защиты своей частной жизни от слежки с коммуникационного девайса — на сайте Роскачества.
4 июня 202003:56
Признаки,
что ваш смартфон прослушивается: предупреждения эксперта
Глава
информационно-аналитического агентства TelecomDaily Денис Кусков рассказал, как
пользователь может понять, что его смартфон прослушивается. Он назвал несколько
признаков, из-за которых следует насторожиться.
Один из таких признаков – наличие приложений, которые пользователь не устанавливал,
передает РИА
Новости. Другой признак – когда смартфон
внезапно начинает "жить своей жизнью": перегружаться, перегреваться,
неоправданно быстро тратить заряд батареи. Последнее означает, что в
фоновом режиме на смартфоне работает какая-то
программа.
Есть много вариантов
прослушки, часть из них – нелегальные, предупредил эксперт. Злоумышленники
часто используют дорогостоящее оборудование, из-за чего взлом
смартфона может
остаться незамеченным.
Чем
грозит потеря контроля над персональными данными
21.07.2017
Информацию
о гражданах хранит множество организаций. При этом во многих случаях источником
информации выступает человек, многократно оставляющий информацию о себе на
различных онлайн-сервисах и площадках или участвующий, например, в
промо-кампаниях. По мнению международных экспертов в
области информационной безопасности, пользователи давно потеряли контроль над
своими данными.
Вместе с тем, одним из главных факторов, которым обусловлена проблема утечек
персональных данных, по-прежнему остается
чрезвычайно низкий уровень гражданской культуры обращения с персональной
информацией. Пользователь предоставляет данные в распоряжение
операторов сервисов, как правило, в полной уверенности, что они не окажутся в
распоряжении третьих лиц.
С одной стороны, конфиденциальность персональных данных гарантирована
государством в виде законодательных требований и контроля их соблюдения, с
другой — существует и гражданская ответственность самих операторов за нарушение
конфиденциальности предоставляемых им данных. Однако даже такая «двойная»
система ответственности часто дает сбой, и на
практике наши данные все равно рано или поздно
становятся доступными любому в виде очередного выброшенного архива.
По данным исследования Аналитического центра InfoWatch в 2016 году 93% утечек информации
в мире были связаны с компрометацией персональных данных и платежной
информации. Всего за 2016 год в мире было скомпрометировано более трех миллиардов записей персональных
данных — в три раза больше, чем годом ранее.
В июле 2017 года одно из ведущих мировых агентств финансовой информации Dow
Jones & Company, которому также принадлежит издание The Wall Street
Journal, из-за ошибки в настройках базы данных облачного хранилища опубликовало
в открытом доступе данные нескольких миллионов своих клиентов, включая имена,
внутренние идентификаторы, адреса, платежные реквизиты и данные банковских
карт.
По словам представителей Dow Jones, в хранилище содержится информация о 2,2
миллионах клиентов, однако независимые эксперты считают, что число пострадавших
может достигать четырех миллионов. В Dow Jones подтвердили утечку данных. Однако, по мнению аналитиков Dow Jones, попавшие в
открытый доступ данные не являются конфиденциальными, поскольку не содержат
пароли в открытом виде. Поэтому компания не будет уведомлять своих клиентов об
утечке.
Проблема защиты персональных данных имеет несколько аспектов. Первый –
технический. Внутри любого документа, базы данных или электронного письма легко
выделить фамилию, имя, номер паспорта, банковского счета или кредитной карты.
Персональные данные хранятся в виде упорядоченных массивов информации и легко
формализуются. Поэтому с учетом современных технологий анализа трафика,
технических проблем защиты организаций от утечек фактически не возникает.
Второй – формально-юридический, в рамках которого во многих странах, включая
Россию, на законодательном уровне закреплено понятие персональных данных,
правила их хранения, обработки и передачи, а также определены сами операторы
персональных данных, которые и несут ответственность за соблюдение требований
закона в части их защиты.
Казалось бы – нормативно необходимость защиты персональных данных закреплена,
ответственные определены, технических препятствий нет, но почему же тогда
утечки все-таки происходят?
В защите данных участвуют три стороны – это государство, бизнес и сами субъекты
данных – граждане. Государство, по
сути, навязывает бремя заботы о защите данных граждан бизнесу, который
в реальности не особо заинтересован в этой нагрузке. Ответственность
организаций за персональные данные скорее является номинальной. Отсюда и
существующее представление о том, что операторам персональных данных достаточно
«бумажной» безопасности на уровне принятия регламентов, приказов, наличие
которых проверяют регулирующие органы, не более.
Бизнес не видит ценности персональных данных, и, как правило, не ощущает
реальной опасности. Если за утечками баз не следует крупный штраф или
необходимость выплатить компенсации пострадавшим, то любой «слив» даже очень
большого количества персональных данных клиентов или сотрудников для компании
не несет серьезной угрозы. Основные риски при утечке данных связаны со
штрафными санкциями регуляторов, в то время как суммы таких штрафов
смехотворны.
Исключение составляют так называемые «мега-ликвидные» персональные данные —
сведения о состоянии счетов, данные о доходах в сочетании с личными сведениями
о гражданине, которые могут привести к крупным финансовым потерям. Более-менее
о безопасности данных задумываются в отраслях, для которых персональные данные
являются бизнес-активом, как страхование и финансовый сектор. Например, база
данных клиентов страховой компании, утекшая к конкурентам, приводит к оттоку
минимум 10% клиентов. Причем самых платежеспособных. Просто потому, что в
типовом страховании очень короткий цикл продаж, а предпочтения клиента
очевидны.
Сами пользователи, как правило, тоже не проявляют большой заинтересованности в
защите своих данных и не заботятся о них. В силу общей низкой культуры в
области информационной безопасности большинство пользователей с легкостью
предоставляют свои данные практически по любому требованию, и в случае утечек
за редкими исключениями не обращаются в органы судебной власти и не требуют
компенсации. До сих пор реальных потерь от утечек данных пользователи
практически не ощущают, и сложно представить, что граждане добровольно примут
на себя издержки, связанные с защитой персональных данных.
Усилия глобальных компаний и геополитические риски просто не оставляют
государствам выбора – они либо заботятся о защите данных своих граждан
самостоятельно либо об этом «позаботятся» другие.
Основной механизм, который использует любое государство в процессе защиты
пользовательских данных – это введение нормы обязательного опубликования
компаниями сообщений об утечках и выплат компенсаций пострадавшим. Сегодня в
России операторы данных не обязаны разглашать информацию об их утечке, однако с
недавнего времени этот путь имеет шансы укорениться и в нашей стране.
В таком случае по существу, рядом с государственным «кнутом» в виде системы
штрафов за нарушения правил обработки персональных данных появляется и «пряник»
— система, в которой компаниям становится действительно невыгодно допускать
утечки. А значит, появляется и смысл инвестировать в реальную, а не номинальную
безопасность.
Такая система позволяет государству замотивировать
бизнес на соблюдение социальной ответственности за безопасность персональных
данных граждан. Бизнес же сможет рассчитывать на легитимный доступ к
агрегированным данным пользователей для удовлетворения своих нужд, например,
проведения рекламных и маркетинговых активностей, анализа потребительского
поведения.
Как это будет работать на практике, пока неизвестно. По словам генерального
директора InfoWatch Алексея Нагорного, каждая утечка — это удар по репутации, и
о подобных инцидентах компаниям как правило проще умолчать. «Что касается
штрафных санкций, то если они будут небольшими, то некоторым компаниям будет
проще умолчать, чем допускать репутационные риски, — отметил Алексей Нагорный.
— С другой стороны, пока не понятно, как будет рассчитываться штраф. Это сумма
за каждого пострадавшего — либо за неуведомление об утечке в целом, не важно,
какого объема она была. Если за каждую запись, то это существенный штраф,
компании задумаются не только об уведомлениях, но и об усилении защиты данных.
Если нет, то, с высокой долей вероятности, компании, располагающие большими
массивами данных, никого не будут уведомлять».
Но такая модель, где государство задает
рамки для саморегулирования целой сферы (а обязанность информировать об утечках
общественность – не что иное, как саморегулирование), выглядит наиболее
многообещающей перед лицом растущей год от года ликвидности персональных
данных, стремительно увеличивающихся объемов утечек и все новых способов
мошенничества с использованием личной информации граждан.
Подробнее: http://www.vestifinance.ru/articles/88527
Эксперт рассказал,
что можно узнать о владельце номера телефона через
интернет
Катерина
Медведева 21.11.2020 | 09:22
Руководитель
Центра цифровой экспертизы Роскачества Антон Куканов рассказал, как
узнать владельца номера телефона с помощью интернета.
По
его словам, сведения о пользователе можно найти в мессенджерах и на страницах в
соцсетях.
«Это
возможно благодаря поиску по номеру телефона. Даже если вы отключили эту
функцию, но используете одну и ту же аватарку в мессенджере и социальных сетях,
элементарный поиск по картинке в поисковике приведет злоумышленников на
публичную страницу», – объяснил эксперт «Прайму».
Так,
если информация в соцсетях находится в открытом доступе, то злоумышленники
могут использовать все полученные сведения в корыстных целях — это ФИО человека, место жительства, дата рождения, место
работы или учебы, друзья и родственники, часто помещаемые места, интересы и
предпочтения.
Чтобы
владельца номера было сложнее выследить, Куканов предлагает использовать
разные номера для важных и менее важных аккаунтов, не оставлять телефонный
номер на подозрительных сайтах, особенно в сочетании с другими персональными
данными. Также специалист рекомендует скрывать фотографию в мессенджерах от
незнакомых лиц, запретить в настройках социальных сетей поиск по номеру
телефона и скрывать информацию от посторонних. Кроме того, лучше использовать
двухфакторную аутентификацию и сложные пароли.
https://www.gazeta.ru/tech/news/2020/11/21/n_15257053.shtml
Die Welt: как не дать телевизору
шпионить за вами…: https://inosmi.ru/social/20201202/248656185.html
Forbes: не
используйте WhatsApp, пока не измените эти три настройки…: https://inosmi.ru/social/20201202/248656767.html
Вести.net: Google собирает с каждого по
гигабайту данных в месяц
Google собирает с каждого Android-аппарата гигабайт пользовательских данных в
месяц. И таким образом корпорация оправдывает свое прозвище
"Большой брат". К тому же получается, что пользователи сами
оплачивают слежку за собой рекламного гиганта.
Компания Oracle провела свое
расследование из-за недавнего скандала с Facebook. В отчете американского
производителя программного обеспечения говорится, что за месяц Google собирает
одного устройства до 1 ГБ данных. Причем на серверы Google отправляется не только информация о поисковых запросах пользователя, но
также сведения о его местоположении. Причем, это может происходить
даже без включенного GPS и вставленной СИМ-карты, через маршрутизаторы Wi-Fi.
Еще немного ужастиков на
тему слежки в интернете. Если вы пользуетесь шифрованием писем – прекратите это
делать и ни в коем случае не открывайте зашифрованные письма. Об этом
предупреждают ученые из Германии и Бельгии. Подробности – в программе Вести.net.
https://hitech.vesti.ru/article/841664/
15 мая 2018
Личные данные миллионов пользователей
Facebook попали в открытый доступ
По информации издания New
Scientist, в течение четырех лет личные данные около трех миллионов пользователей социальной сети Facebook находились в открытом доступе.
В данном случае речь идет о
данных тех пользователей, которые пользовались
приложением с психологическими тестами MyPersonality, разработанном
в Кембриджском университете. Используя его, некоторые пользователи соглашались
делиться личными данными из профилей в Facebook, в результате чего была создана
одна из крупнейших баз данных исследований в области социальных наук,
сообщает РИА Новости.
Всего тесты с использованием
приложения MyPersonality прошли более 6 миллионов человек, около половины из
которых дали согласие на доступ к своим личным данным.
Разработчики приложения собрали эти данные, сделали их анонимными и поместили
на вебсайт lkя использования исследователями.
При этом данные были
размещены на сайте без соответствующих мер безопасности: в течение четырех лет
пароль для получения доступа к ним был доступен онлайн, то есть, любой
пожелавший получить доступ к данным мог быстро найти ключ для их скачивания.
Как отмечает издание New
Scientist, данные пользователей были весьма важными и должны были храниться и
распространяться анонимно. Они включали в себя возраст, пол, местоположение,
результаты тестов и другие детали, и недостаточные меры обеспечения
безопасности могли позволить злоумышленникам использовать их не по назначению.
Как сообщалось, в
марте текущего года вокруг
компании Facebook разразился серьезный скандал. Выяснилось, что сотрудничавшая с Дональдом Трампом
во время его предвыборной кампании фирма Cambrige Analytica незаконно
получила данные 50 миллионов пользователей соцсети.
Основатель Facebook Марк Цукерберг заявил, что компания изучит все приложения,
которые имели доступ к большим объемам информации пользователей, и проведет
комплексный аудит приложений, на которых замечена подозрительная активность. https://www.vesti.ru/doc.html?id=3017296&cid=9
В протоколах PGP и S/MIME найдены
критические уязвимости. Расшифрованы могут быть любые письма
ОЛЕГ ИЛЮХИН 14.05.2018
Группа ученых обнаружила
критические уязвимости в PGP/GPG и S/MIME — двух популярных протоколах,
используемых для шифрования почтовой переписки и электронной подписи.
Злоумышленник, эксплуатирующий "дыры", сможет
прочесть содержимое не только новых сообщений — оно будет доступно ему в виде
открытого текста, — но и полученную ранее корреспонденцию.
Как сообщил один из
исследователей, профессор Мюнстерского университета прикладных наук Себастьян
Шинцель, ошибка не может быть исправлена незамедлительно. Чтобы не стать
жертвой атаки, пользователям порекомендовали немедленно выключить любые
функции, связанные с шифрованием PGP/GPG и S/MIME, в клиенте электронной почты.
В правозащитной организации
Electronic Frontier Foundation (EFF) согласились с мнением ученых и призвали
пользователей отключить инструменты, которые автоматически дешифруют письма,
зашифрованные по протоколу PGP. "До тех пор, пока описанные уязвимости не
будут изучены и устранены, пользователям следует обратиться к альтернативным
способом шифрования из конца в конец, таким как Signal", — сказали
представители EFF.
О самих уязвимостях пока
мало что известно, пишет Ars Technica. По словам Шинцеля, команда
исследователей из Европы изложит детали "дыр" позднее сегодня.
Ранее группа ученых выявляла
несколько важных атак, связанных с криптографией. В 2016-м, например, ими была вскрыта
ошибка в пакете OpenSSL, который используется для шифрования коммуникаций
между серверами и браузерами. Уязвимость, получившая название DROWN, ставила
под угрозу безопасность миллионов сайтов, обеспечивающих передачу данных по
зашифрованному протоколу HTTPS. https://hitech.vesti.ru/article/841086/
Facebook: если вы наш пользователь, ваши
данные скопировали злоумышленики
НИКОЛАЙ БЕЛКИН 05.04.2018
Проблемы Facebook, связанные
с недостаточной защитой персональных данных, продолжают усугубляться.
Социальная сеть Facebook признала накануне, что неизвестные
"злоумышленники" могли в автоматическом режиме скопировать в
собственные базы данных открытую информацию о практически всех 2
миллиардах ее пользователей:
До сегодняшнего дня люди
могли ввести в поиске Facebook телефонный номер или адрес электронной почты
другого человека, чтобы найти их профиль… Однако, злоумышленники тоже
воспользовались этой функцией, чтобы собрать публичную информацию профилей, вводя
телефонные номера или почтовые адреса, которые они уже имели благодаря поиску и
восстановлению аккаунтов. Учитывая масштаб и изощренность наблюдавшейся
активности, мы предполагаем, что открытые профили большинства людей на Facebook
были скопированы таким образом. Поэтому теперь мы отключили эту возможность. Мы
также меняем порядок восстановления аккаунта, чтобы снизить риск получения
персональной информации.
Марк Шрёпфер, главный технологический директор Facebook
Таким образом, благодаря
беспечности Facebook у неизвестных злоумышленников оказалась база данных со
сведениями о 2 миллиардах человек — именно столько, по последней
статистике, имеют аккаунт в Facebook.
Обнаружение аккаунта при
помощи поиска по адресу или номеру телефона можно было отключить, однако лишь
немногие воспользовались такой возможностью — при регистрации сделать это
соцсеть, разумеется, не предлагала.
Какие именно данные пользователей могли
собрать на Facebook?
В публичные профили
Fаcebook, скопированные "злоумышленниками", включаются следующие
данные: имя, пол, имя пользователя (отображается в
адресе профиля как facebook.com/имяпользователя) и его числовой аналог, фото
профиля, фото обложки, возрастная группа (до 18, 18-21 или старше 21 года). Даже
если больше никакая информация в профиле Facebook не указана, либо скрыта
настройками приватности, эти данные всегда открыты.
Кроме того, если еще
какая-то информация профиля (статус отношений, день
рождения, работодатель, место жительства, образование, политические и
религиозные взгляды) была включена в профиль без ограничений доступа
("только друзья", "друзья друзей" и т.п.), то ее также
можно было легко скопировать в автоматическом режиме.
Чтобы самостоятельно
ограничить доступ к своему профилю через поиск по адресу электронной почты и
телефону, а также поменять другие настройки конфиденциальности Facebook, перейдите на
сайт
6 апреля 2018
Facebook уличили в поголовной
прослушке пользователей
Лукацкий объяснил, что
доступ к функции голосовой записи пользователи разрешают сервису
самостоятельно. Это необходимо для совершения звонков или записи видео. Однако
приложение способно прослушивать разговоры даже тогда, когда оно неактивно. «Facebook
работает в фоновом режиме, приложение слушает все, что происходит вокруг»,
— сказал эксперт.
Собранная информация
необходима приложению для формирования рекламных объявлений. «Путем анализа
речи выдаются соответствующие объявления контекстной рекламы, которые мне могли
бы быть интересны», — пояснил Лукацкий. Алгоритм распознавания в таком
случае идентичен анализу переписки в мессенджере соцсети.
В марте сообщалось,
что пользователи Facebook уличили социальную сеть в сборе информации об их
телефонных разговорах и сообщениях. Эти метаданные сохранились в архивах
профилей юзеров.
Владельцы аккаунтов Facebook
неоднократно замечали,
что рекламные объявления, предлагаемые соцсетью, повторяют темы их диалогов в
реальной жизни. Однако представители корпорации утверждают, что не используют запись голоса хозяина смартфона
для таргетинга, а получают доступ к микрофону только в момент записи
аудиосообщений или видеороликов. Торговые предложения, по заявлениям
администрации Facebook, формируются лишь на базе заявленных интересов
пользователей.
Facebook потеряла $5 млрд из-за утечки
данных
20.03.2018
Акции Facebook подешевели на более чем 7%
после сообщений о том, что британская аналитическая компания Cambridge
Analytica незаконно получила персональные данные пользователей соцсети для составления психологических портретов избирателей США,
сообщает MarketWatch….
Как отмечает издание, американские и британские законодатели в минувшие
выходные начали расследовать то, как компания Cambridge Analytica
получила доступ к личным данным десятков
миллионов пользователей социальной сети без их ведома в период президентских выборов
2016 года.
Несколько дней назад издание New York Times опубликовало статью о том, что
посредством деятельности фирмы Cambridge Analytica произошла утечка данных 50
млн пользователей соцсети. Эта цифра появилась на основании документов и
рассказов бывших сотрудников, отмечает издание. Данные
использовались аналитиками из штаба Дональда Трампа перед выборами 2016 г.,
чтобы «определить черты личности американского электората и повлиять на его
поведение».
Facebook в минувшую пятницу заявила о блокировке доступа фирмы Cambridge
Analytica к социальной сети на время внутреннего расследования. Кроме того, в
воскресенье Facebook сообщила, что проводит широкое внутреннее и внешнее
расследование инцидента.
Выяснилось, что сотрудники Facebook Джозеф Чанселлор и
Александр Коган являются создателями фирмы Global
Science Research, которая предоставляла данные платформе Cambridge
Analytica. Последняя была тесно связана с предвыборным штабом Трампа. Как
сообщает ряд зарубежных СМИ, фирма обладает информацией о нескольких десятках
миллионов аккаунтов, собранной с помощью приложения для опросов под
названием thisisyourdigitallife. Юзерам
оно преподносилось как составитель «психологического портрета».
В распоряжении исследователtq оказались данные о 50 миллионах пользователей
фейсбука, хотя сам тест прошли только 270 тысяч человек. Все эти данные позволили не просто составить представление
о личностях пользователей, но и создать их полноценный профиль, в котором
указаны убеждения, особенности характера, предпочтения, интересы и многое
другое. Бывший сотрудник Cambridge Analytica Кристофер Уайли,
подробно рассказавший журналистам о схеме работы компании, утверждает, что он
сам придумал схему работы «психологического оружия Стивена Бэннона» — так он
называет систему анализа личностей пользователей.
Позднее Facebook сообщила, что Коган якобы не нарушал соглашение о
конфиденциальности, так как пользователи сами соглашались на обработку данных,
регистрируясь в приложении. Затем в Facebook изменили отношение
к ситуации: адвокат компании назвал действия Cambridge Analytica
мошенничеством и пообещал предпринять любые шаги, чтобы британская
компания полностью удалила информацию.
На сайте Cambridge Analytica указано, что компания занимается аналитикой
данных, в том числе для политических проектов. В 2016 году разработанное
сотрудниками приложение thisisyourdigitallife было заблокировано на Facebook,
соцсеть потребовала удалить информацию. Однако несколько дней назад руководству
компании стало известно, что Cambridge Analytica не выполнила свои обещания.
Информация о краже данных вызвала большой резонанс. Американские законодатели
призвали Цукерберга объяснить действия его компании.
Подробнее: http://www.vestifinance.ru/articles/99093
Большой
брат знает все: как
отключить слежку в Google
Google предсказывает интересы и
доходы юзера по его поиску
В
настройках Google Chrome можно найти страницу, на которой хранится информация о
пользователе, сгенерированная алгоритмами IT-гиганта — там можно узнать
о собственных интересах, уровне дохода, работодателе и образовании. Ничего из этого пользователь не сообщает компании добровольно
— выводы делает искусственный интеллект, основываясь на поисковых
запросах юзера. При этом заключения, к которым приходит
ИИ, являются пугающе точными.
Когда юзер использует поиск Google,
чтобы узнавать информацию об окружающем мире, Google использует поисковые запросы,
чтобы узнавать информацию о юзере. IT-гигант составляет многоступенчатые
профайлы своих пользователей, основываясь на том, что они ищут в сервисах
Google или на YouTube, принадлежащем компании, сообщает портал Business Insider.
Собранная информация затем перерабатывается в целях
рекламного таргетинга, чтобы демонстрировать пользователю наиболее релевантные
объявления.
Однако, сам по себе сбор информации о каждом
человеке не является открытием для большинства современных пользователей
интернета — все знают, что большие корпорации отслеживают запросы и
покупки, являясь олицетворением оруэлловского «Большого брата».
Но, как оказалось, эти данные открыто хранятся в браузере Google Chrome, и с ними
можно ознакомиться.
Алгоритмы
Google предсказывают возраст, пол, семейное положение, образование и личные
интересы пользователя, причем каждое из этих заключений
либо является правильным, либо имеет небольшую погрешность.
Чтобы узнать, что Google думает о вас, необходимо
открыть браузер Chrome и кликнуть по аватарке
профиля в правом верхнем углу экрана. В
открывшемся окошке нужно нажать на кнопку «Управление
аккаунтом Google».
На новой странице необходимо
найти вкладку «Конфиденциальность и персонализация» и нажать на ссылку «Управление
данными и персонализация». В этом меню находится
вкладка «Персонализация рекламы» и ссылка «Настроить рекламу». По клику на нее открываются параметры для
персонализации рекламы, в которых можно увидеть предполагаемый список
интересов, а также выводы о жизни пользователя.
В случае с корреспондентом «Газеты.Ru», система
безошибочно определила возрастной диапазон, пол, семейное положение,
отсутствие детей, высшее образование, а также работу в холдинге с большим
количеством сотрудников, но ошиблась в статусе домовладения
(арендатор/собственник).
Репортер Business Insider Аарон Холмс указал на
то, что Google ошибся с возрастом, поместив его в возрастную группу старше
(журналисту 23, но алгоритм поместил его в группу от 35 лет и старше).
Тем не менее, искусственный интеллект также
безошибочно определил пол, семейное положение, образование, а также
примерный уровень дохода.
Некоторые из указанных Google «интересов» являются
довольно комичными — так, поисковик посчитал, что Холмс интересуется
«удалением волос с тела» после того, как он несколько дней назад искал в
интернет-магазине бритву. Несмотря на то, что у репортера действительно была
цель побриться, это с трудом можно назвать «интересом» пользователя. Если вы
чувствуете себя некомфортно от того, что Google так много о вас знает и даже
делает собственные выводы, то на этой же странице можно отключить функцию
персонализации рекламы, перетащив в сторону соответствующий бегунок. При
отключении Google предупредит о том, что рекламные объявления в браузере не
исчезнут, но будут «менее полезными для вас».
При этом IT-гигант уточнит, что все равно продолжит
пользоваться «общей» информацией о пользователе для таргетинга — например,
геолокацией и временем суток, когда был совершен поисковый запрос.
Кстати, о геолокации. В августе прошлого года стало
известно, что Google следит за
передвижениями своих пользователей, даже если они предпочли отключить такую
функцию в настройках приватности. Позже компания заявила о том, что не
собирается прекращать такую практику, так как хранение данных о геолокации
улучшает пользовательский опыт. В слежке за юзерами была также уличена Apple — iPhone в течение дня
собирает огромное количество информации о передвижениях своего владельца,
запоминая даты, адреса и продолжительность всех визитов.
Поисковые системы ежесекундно получают миллионы
запросов от пользователей, содержащих их предпочтения и нужды. Google, Youtube,
социальные сети — все они агрегируют информацию, обезличивают ее и передают в
том числе рекламодателям, которые в свою очередь, основываясь на статистике,
формируют целевую аудиторию с помощью таргетинга, рассказывает
«Газете.Ru» консультант Центра информационной безопасности компании
«Инфосистемы Джет» Мария Романычева.
«Когда мы ищем что-либо в интернете, то так или иначе
оставляем следы. По косвенным признакам
из запросов можно составить информационный
профиль человека: возраст, потребности, взгляды, состояние здоровья
(да, ваши запросы о пониженном давлении также формируют ваш информационный
портрет). Опасность сбора информации безусловно есть — начиная от ощутимого
манипулирования со стороны коммерческих компаний и заканчивая сбором
недоброжелателей ваших личных данных, причем последнее наиболее опасно.
Если
точные угадывания сферы ваших интересов могут создать ощущение дискомфорта, то попадание данных в руки мошенников несет в себе прямую угрозу.
Во
избежание деанонимизации следует
отключить персонализацию рекламных объявлений в поисковых системах и настройках
смартфона. Также для нивелирования риска негативных последствий я бы
рекомендовала придерживаться принципа разумной достаточности: не следует
указывать избыточную информацию о себе без крайней необходимости»,
— рекомендует эксперт.
3 января 2018
Родина знает
Китай следит
за всеми гражданами и подчиняет их всемогущему роботу
Точно знать, что думают, что
читают и о чем разговаривают на кухнях граждане, — заветная мечта каждого
тоталитарного правителя. Технологии слежки постоянно шлифовались: в дело шли
прослушка телефонных разговоров, перлюстрация писем и поощрение доносов — но
полный контроль установить так никому и не удавалось. И вот теперь Китай,
кажется, намерен исполнить тоталитарную мечту: граждане страны уже
несколько лет находятся под прицелом сотен миллионов камер, объединенных единой
системой контроля и анализа изображений и распознавания лиц. На основании
собранной информации искусственный интеллект каждому гражданину выставляет
оценку, которая потом во многом определят всю его жизнь. «Лента.ру»
разбиралась, как коммунистическая партия стремится взять каждого гражданина
Китая под свой неусыпный контроль.
«Весь мир стал гигантской
съемочной площадкой, и в этой студии миллионы камер смотрят на тебя отовсюду»,
— китайский режиссер Сюй Бин показывает свое творение: фильм, смонтированный из
10 тысяч часов видеозаписей с камер наблюдения. Нет ни актеров, ни операторов,
но все персонажи связаны друг с другом, а сюжет рассказывает историю любви на
фоне повседневной жизни тысяч обычных китайцев.
Новые формы киноискусства
лишь отражают современную китайскую реальность. Власти КНР вкладываются в
разработку все более совершенной системы распознавания лиц, которая позволит с
высочайшей точностью идентифицировать человека по расстоянию между бровями,
овалу щек, длине носа и форме подбородка.
Разработчики китайских
компаний SenseTime Group, Face++ и DeepGlint шагнули дальше Apple с ее
инновационной технологией FaceID на флагманских смартфонах iPhone X. Как
уверяют китайцы, их система станет незаменимой в повседневной жизни: с ее
помощью, например, можно будет запросто оплатить обед, примерить новую прическу
или макияж, проследить, дошел ли ребенок до школы — не свернул ли по пути в
нелегальное интернет-кафе (вход в легальные детям заказан). Работодатель всегда
будет в курсе, кто из подчиненных зарабатывает ему деньги, а кто бездельничает
на рабочем месте.
Доходит до смешного: так,
например, в некоторых общественных туалетах Пекина бумага выдается после сканирования
лица и лишь один раз: следующей порции придется ждать 9 минут. В ресторанах
сети KFC предлагают скидки тем клиентам, чье лицо система сочтет наиболее
миловидным. То есть, если у вас нос не самый изящный или уши лопоухие, платить
придется сполна, а вот те, чью внешность китайский искусственный интеллект
сочтет достаточно привлекательной, получат скидку.
Разработчики систем
распознавания лиц рассказывают о своем изобретении с оптимистичной улыбкой.
«Рынок систем распознавания лиц огромен, — восхищается своим творением Чжан
Шилян, ассистент профессора, специалист по машинному обучению и обработке
изображений. — Безопасность для Китая чрезвычайно важна, к тому же у нашей
страны такое большое население!»
«Удобство системы — вот что
привлекает китайских пользователей. Управляющие компании некоторых жилых
комплексов применяют распознавание лиц в качестве пропуска на территорию,
а рестораны и магазины стремятся внедрить технологию, чтобы повысить качество
обслуживания. Дело не только в том, что клиент может расплатиться с помощью
системы, но и в том, что система предупреждает сотрудников о прибытии клиента,
и они уже с порога приветствуют меня: "Здравствуйте, мистер Тан!"» —
говорит консультант компании Face++.
Между тем все это можно
назвать побочными эффектами. Глобальная система слежки нужна прежде всего
китайскому государству. По словам представителей правящей партии, основная цель
внедрения научного новшества — контроль уровня преступности и коррупции.
В городе Шэньчжэнь, например, стражи порядка используют эту систему для
выявления нарушителей правил дорожного движения — количество задержанных по
этому поводу, правда, не приводится.
Я тебя вижу
Будущее вовсе не наступило
так внезапно, как может показаться. Новая технология лишь дополняет и развивает
уже действующую масштабную систему по маркировке и ранжированию граждан.
Еще в 2005 году правительство Китая запустило в Пекине специальную систему,
которая позволяет государству контролировать поведение граждан (читай: следить
за их личной жизнью) с помощью камер, установленных буквально по несколько
штук на каждом углу. Творение айтишников и инженеров Поднебесной не получило
громкого названия и буднично именуется «система видеонаблюдения» (CCTV, 视频监控), однако западные медиа окрестили ее SkyNet,
сравнив с могущественным искусственным интеллектом из вселенной «Терминатора».
К 2008 году в Пекине насчитывалось более 300 тысяч камер. Сегодня по всей
стране установлено около 170 миллионов камер, а к 2020 году SkyNet
обзаведется еще 450 миллионами следящих устройств.
В 2013 году с шанхайской
активисткой движения за права человека, адвокатом Ли Тяньтянь произошла
любопытная история. «Однажды утром я направлялась в суд на слушание и вызвала
такси заранее. Полиция использовала мой телефон, чтобы отследить движение
машины к моему дому. Стражи порядка уже ждали рядом, чтобы задержать меня. Те,
кто разбирается в информационных технологиях, говорят, что полиция может по
вашему личному телефону следить за вами и даже прослушивать разговоры», —
говорит она. По ее словам, во время дружеских посиделок они с друзьями всегда
уносят телефоны в другую комнату. Учитывая, как развивается система
всекитайской слежки, эту осмотрительность Ли трудно назвать паранойей.
Специалисты, правда,
отмечают, что у системы есть и серьезные недоработки. Например, недостаточная
точность. Как только фотография, пол и возраст человека внесены в базу, система
должна найти совпадения в течение 80 секунд с уровнем точности более 88
процентов. Но, по словам экспертов, средняя точность не превышает 60 процентов,
максимум — 70. Таким образом, пока эту систему все же можно считать «бумажным
тигром».
Один из исследователей
факультета информатики Пекинского политехнического университета считает, что
среди 1,5-миллиардного населения есть граждане, чьи лица почти идентичны друг
другу, — таких порой не могут различить даже родители. Сейчас доступ к базам
данных системы ограничен, пользоваться ими могут лишь некоторые компании, тесно
связанные с министерством общественной безопасности, но более широкий доступ
для «выставления оценок» неизменно приведет к утечке личной информации.
Исследователь считает, что это приводит к необходимости выбора между
безопасностью и правом на неприкосновенность частной жизни.
Либерально настроенные
граждане Китая подвергают технологию еще более жестокой критике: «Мы
практически полностью охвачены системой Sky Net, которая просто огромна и
направлена на то, чтобы контролировать людей на улицах», — сообщил
некоммерческой компании Radio Free Asia Ху Цзя, китайский диссидент,
проживающий в Пекине.
Во время дискуссии о будущем
Китая в тайваньском исследовательском институте Academia Sinica вообще
прозвучали слова об «оцифрованном тоталитаризме». Профессор политологии
университета Сунь Ятсена выразил озабоченность тем, что данная технология способна рубить на корню любые формы политического
несогласия еще до того, как они возникнут, и назвал это «современной
формой политической инженерии». Китайские интернет-пользователи
тоже задаются вопросом целесообразности введения системы. «Почему же
совершается так много правонарушений в отношении детей, если система рабочая?»
— удивляется пользователь xianzaihe_89. «У нас вообще не остается личного
пространства, все под надзором правительства!» — возмущается Neidacongmin.
Шоу Трумана по-китайски, или
социальный рейтинг граждан
Системы
распознавания лиц — часть так
называемой системы социального доверия или кредитования граждан,
которая уже действует в ряде китайских городов. Ее концепция, представленная
китайскими властями в 2014 году, заключается в том, что каждый шаг
обладателя смартфона (а в Китае это около 633 миллионов человек) фиксируется и
вносится в базу данных системы.
Та накапливает
информацию о человеке, отслеживает его кредитную историю, лайки и шеры в
социальных сетях, историю покупок на онлайн-платформах, геометки и прочее. И вовсе не для контекстной рекламы. Данные Sky
Net используются для присвоения рейтинга каждому гражданину. Чем выше рейтинг,
тем больше социальных бонусов: легче совершить покупку, оформить кредит, отдать
ребенка в детский сад или получить медицинскую помощь. Если по какой-то причине
рейтинг слишком низкий (неправильный с точки зрения партии лайк или
неоплаченный штраф за мелкое нарушение), то возникает риск стать не просто
социально-опасным элементом, а своего рода неприкасаемым.
Друзья, знакомые и даже
семья будут опасаться контактов с таким человеком, поскольку это, в свою
очередь, может понизить и их рейтинг. Публичной дискуссии о том, что
правильно, а что нет, не ведется — все уже давно решено и регламентировано в
высоких партийных кабинетах. Весьма ироничным выглядит то, что в стране
с такой жесткой и развитой цензурой, как Китай, личная жизнь простых людей
может стать доступной любому по одному клику мышки — трансляции со многих камер
уже доступны в интернете.
Как же изменится жизнь в
Поднебесной и что сами китайцы думают об этом? Большинство граждан КНР не
слишком озабочены последствиями повсеместного введения системы распознавания
лиц и слежения. Это можно объяснить старой китайской традицией: жить на виду у
всех, с распахнутыми шторами и без замка на дверях китайцам приходилось долгие
годы до начала экономических преобразований 1980-х.
Старшее поколение буквально
делило кровать со своими родителями и братьями, дом — с соседями и
сослуживцами. Понятие личного пространства стерлось из менталитета китайцев
окончательно еще в Культурную революцию, бушевавшую к Китае в 60-70-е годы
прошлого века и унесшую жизни сотен тысяч инакомыслящих.
С развитием экономики в
период реформ рос и уровень жизни, благосостояния граждан, поэтому китайцы,
родившиеся в 80-е и 90-е годы, ценят свое личное пространство: у них уже была
собственная кровать или даже комната в родительском доме. Граждане КНР в
возрасте до 30 лет имеют опыт учебы и работы за границей, на Западе — это тоже
оставило либеральный след в их сознании. На родину они возвращаются другими
людьми, с новыми и идеями, далекими от официальной партийной пропаганды. Эти
молодые люди не готовы обменять личную жизнь на новые блага цивилизации.
Они мыслят критически и видят недостатки существующего режима.
К сожалению, пока у тех, кто
не согласен с формированием общества глобального наблюдения, есть лишь два пути
— встроиться вопреки своим идеалам в систему или эмигрировать в страны, где о
правах человека известно чуть больше, и постить свои претензии к компартии в
Twitter, которые вряд ли когда-нибудь увидят их адресаты.: https://lenta.ru/articles/2018/01/03/chinese_surveillance/
Документы об
используемой в России системе прослушки попали в интернет
НИКОЛАЙ БЕЛКИН 19.09.2019 10:272080
Обнаружили доступную в
сети секретную информацию специалисты занимающейся кибербезопасностью
фирмы UpGuard. По их данным, незащищённый жёсткий диск был доступен в
сети ещё четыре дня после того, как они предупредили Nokia Networks о
потенциальной утечке….
Все сотовые операторы и интернет-провайдеры в России обязаны по закону
подключать такое оборудование, при этом не имеют права контролировать, когда и
к каким данным получают доступ правоохранительные органы и спецслужбы. Информация об
устройствах СОРМ, а также принципах их подключения и работы, является
секретной. Сотрудники, подключающие и настраивающие такое оборудование, должны
иметь специальный допуск
Китай хочет запустить систему слежки за
автомобилями
14.06.2018
Новая программа властей Китая позволит
отслеживать автомобили граждан с использованием чипов RFID, пишет The Wall
Street Journal. Чиновники уверяют, что система поможет отслеживать перегруженность
дорог, но, скорее всего, она станет еще одним
инструментом наблюдения.
Эта программа внедряется Министерством общественной безопасности Китая и
Научно-исследовательским институтом управления движением. Она начнет свою
работу 1 июля. Сначала программа будет добровольной, но станет обязательной для
новых автомобилей начиная с 2019 г.
Согласно законопроекту каждый автомобиль, выпущенный после 2019 г., получит
специальный RFID-чип на лобовом стекле….
…Страна строит крупнейшую в мире сеть камер наблюдения: в настоящий
момент работают уже 140 млн, а в течение следующих трех лет планируется
ввести в эксплуатацию еще 400 млн камер. Многие из этих камер будут
обладать функциями распознавания лиц.
Софья
Мельничук
10 невероятных фактов о технологии распознавания лиц
20.04.2018
Москва, 20 апреля - "Вести.Экономика". Технология распознавания лиц – один из самых противоречивых инструментов. Он был разработал еще в 1960-е гг., однако на массовый рынок он вышел только недавно.
В теории эта технология позволит обходиться без системы пропускных карт, данных об отпечатках пальцев и многих других привычных нам вещей. Однако эта технология также потенциально исключает приватность из нашей жизни....:
Изобретатель
Интернета назвал три вещи, угрожающие будущему сети
13.03.2017
Британский
ученый Тим Бернерс-Ли, один из изобретателей Интернета и глава W3C (Консорциум
Всемирной паутины), назвал три основные угрозы, препятствующие развитию
Сети. К таковым "отец Интернета" причислил потерю контроля над персональными данными,
распространение дезинформации и непрозрачность политической рекламы.
"Сотрудничая
— или путем принуждения — с компаниями, правительства увеличивают слежку за каждым нашим шагом Интернете,
а также принимают крайне резкие законы, которые ущемляют наши права на неприкосновенность частной жизни, — пишет
Бернерс-Ли, — При репрессивных режимах легко увидеть вред, который может быть
причинен: блогеров могут арестовать или убить, а действия политических
оппонентов — отследить. Но даже в странах, где правительства, как принято
считать, руководствуются лучшими побуждениями для собственных граждан,
тотальная слежка переходит все границы".
К
еще одному важному вызову для Интернета ученый отнес распространение информации, вводящей в заблуждение. По его
словам, распространители фейковых новостей извлекают финансовую и политическую
выгоду, а сайты соцмедиа и поисковые системы, зная о предпочтениях
пользователей, финансово заинтересованы в показе ссылок, на которые они захотят
кликнуть. Например, сказал Бернерс-Ли, в рамках одной политической кампании
двум совершенно разным группам людей могут показываться "нацеливаемые" объявления, полностью противоречащие друг
другу.
Изобретатель
Сети предложил IT-компаниям рассмотреть другие модели заработка, такие как
подписки и микроплатежи, а также создать новые технологии, например "капсулы данных" для защиты
персональной информации. Кроме того, Бернерс-Ли призвал Google и
Facebook лучше объяснять пользователям суть работы алгоритмов, на основе
которых им показывается политическая реклама.
Источник: Quartz
Программист
нашел в открытом доступе номера телефонов, адреса и географические
координаты сотен россиян. Вероятно, их опубликовало оборудование СОРМ
12:56,
27 августа 2019
25 августа
российский программист Леонид Евдокимов выступил на IT-конференции Chaos
Constructions в Санкт-Петербурге. Доклад под названием «Проруха
на СОРМ», который программист также опубликовал на своем
сайте, был посвящен появлению в открытом доступе персональных данных
российских интернет-пользователей.
В открытом
доступе оказались почтовые адреса, телефоны, логины и географические
координаты россиян…
Евдокимов обнаружил доказательства того, что личные данные публиковало
оборудование для государственной слежки за интернет-трафиком…
Были
опубликованы даже данные жителей закрытого города Саров…:
11
августа 2017
Представлен
список обязательных к передаче в ФСБ данных интернет-пользователей
Минкомсвязи
разработало и представило на общественное обсуждение проект приказа, в котором указывается,
какие данные интернет-сервисы должны передавать в ФСБ в рамках проведения
оперативно-разыскных мероприятий (СОРМ). Документ размещен на портале проектов
нормативных актов.
Приказ
описывает требования к программно-техническим средствам и оборудованию, которое
должны будут установить «организаторы распространения информации» (ОРИ),
вошедшие в специальный реестр. В этом списке, к примеру, значатся «ВКонтакте»,
«Одноклассники», «Яндекс», Rambler, Mail.ru, Snapchat, Telegram и другие.
В
свою очередь оборудование СОРМ должно собирать следующую информацию из
реестра ОРИ: идентификатор
пользователя, дату и время регистрации, фамилию, имя и отчество, псевдоним,
дату рождения, IP-адрес, адрес проживания, номер телефона, данные паспорта,
список родственников, пересланные сообщения, передаваемые файлы, записи аудио-
и видеозвонков.
Кроме того, обязательной
передаче могут подлежать данные о местоположении, совершенных платежах, а также
информация об учетных записях в других сервисах, используемой программе, дате и
времени авторизации и выхода из сервиса.
Мессенджер
Telegram был внесен в реестр
организаторов распространения информации 28 июня. По данным Роскомнадзора,
сервис «начал работать в правовом поле Российской Федерации».
21
сентября 2016
Интернет-омбудсмен
выступил против идеи ФСБ дешифровать весь трафик в России
Уполномоченный
по защите прав предпринимателей в интернете Дмитрий Мариничев прокомментировал
обсуждаемую в правительстве идеюрасшифровывать
весь интернет-трафик россиян в режиме реального времени. В интервью радиостанции «Говорит Москва» он
заявил, что такая мера дискредитирует цифровые технологии и приватность
передачи данных.
По
его мнению, отслеживание интернет-трафика допустимо для лиц, в отношении
которых ведутся расследования или уголовные дела, но не для обычных пользователей.
Кроме
того, по словам Мариничева, технологически невозможно одновременно
расшифровывать трафик всех пользователей. «Я пока не владею информацией, что
существует система, способная дешифровать налету все и вся», — сказал
омбудсмен.
Ранее
в среду, 21 сентября, газета «Коммерсантъ» сообщила,
что ФСБ, Минкомсвязи и Минпромторг обсуждают технические решения, которые
позволят дешифровать интернет-трафик россиян в режиме
онлайн. Источники издания утверждают, что ФСБ предлагает расшифровывать
весь трафик real-time и анализировать его по ключевым параметрам, к примеру по
слову «бомба».
В
то же время в министерствах считают, что расшифровка допустима только по тем
абонентам, которые привлекут внимание правоохранительных органов.
21
сентября 2016
СМИ
узнали об обсуждении ведомствами средств дешифровки трафика россиян
ФСБ,
Минкомсвязь и Минпромторг обсуждают технические решения, которые позволят
реализовать дешифровку интернет-трафика россиян в режиме реального времени. Об
этом в среду, 21 сентября, сообщает «Коммерсантъ».
По
словам источников, просто хранить массивы шифрованного интернет-трафика не
имеет смысла. ФСБ выступает за то, чтобы расшифровывать весь трафик в режиме
real-time и анализировать его по ключевым параметрам, условно говоря, по слову
«бомба».
В
то же время министерства настаивают на расшифровке трафика лишь по тем
абонентам, которые привлекут внимание правоохранительных органов, пишет
издание.
Владельцы
интернет-площадок, позволяющих передавать электронные сообщения, то есть
почтовые сервисы, мессенджеры, социальные сети, согласно «закону Яровой»,
обязаны уже с 20 июля сдавать ключи шифрования по требованию ФСБ.
Один
из собеседников издания прогнозирует, что иностранные компании этому требованию
не подчинятся, «а российские, может, и сдадут ключи после многочисленных
требований».
«Но
в интернете огромное количество сайтов, которые не являются организаторами
распространения информации и используют защищенное https-соединение. Без
расшифровки трафика не всегда можно понять, на какой сайт заходил пользователь,
не говоря о том, что он там делал», — добавил он.
Один
из обсуждаемых вариантов — установка на сетях операторов оборудования,
способного выполнять MITM-атаку (Man in the Middle). Для пользователя это
оборудование притворяется запрошенным сайтом, а для сайта — пользователем.
Таким
образом, пользователь будет устанавливать SSL-соединение с этим оборудованием,
а уже оно — с сервером, к которому обращался пользователь. Оборудование
расшифрует перехваченный от сервера трафик, а перед отправкой пользователю
заново зашифрует его SSL-сертификатом, выданным российским удостоверяющим
центром.
Антитеррористический
пакет законов, внесенный депутатом Ириной Яровой совместно с главой комитета
Совфеда по обороне и безопасности Виктором Озеровым, был принят летом этого
года. Нормативным актом, в частности, предусматривается обязательство для
операторов связи, мессенджеров и социальных сетей хранить всю информацию о
содержании разговоров и переписки пользователей: https://lenta.ru/news/2016/09/21/traffic/
ФСБ
читает шифры
Как ФСБ расшифрует трафик
Основные
пункты так называемого закона Яровой вступили в силу 22 июля. Все это время ведомства
во главе с ФСБ пытаются продумать технические решения для исполнения документа.
Почему спецслужбам не удастся расшифровать сообщения пользователей, а
инициатива по импортозамещению оборудования обречена на провал — в материале
«Газеты.Ru».
В
среду, 21 сентября, СМИ сообщили об инициативе ФСБ, Минкомсвязи и Минпромторга
по дешифровке и анализу данных, передаваемых в сетях операторов связи, в режиме
реального времени. Сейчас ведомства изучают возможные технические решения для
реализации этого предложения.
Одним
из обсуждаемых вариантов дешифровки является установка на сетях операторов
оборудования, способного выполнять MITM-атаку (Man in the Middle — человек
посередине). Для анализа нешифрованного и уже расшифрованного трафика
предлагается задействовать системы DPI,
которые уже используются телеком-корпорациями для фильтрации запрещенных
сайтов.
Буквально
сразу же после появления этой информации инициатива подверглась критике со
стороны интернет-сообщества. В частности, «профильный» омбудсмен Дмитрий Мариничев
в разговоре с радиостанцией «Говорит
Москва»назвал недопустимой расшифровку трафика
пользователей.
Основатель
«Общества защиты интернета» Леонид Волков в своем Facebook-аккаунте подробно
разобрал предлагаемые властями методы.
«MITM
— это вид хакерской атаки, который заключается в том, что злоумышленник П
встраивается в шифрованный канал между абонентами А и Б, и когда А и Б думают,
что шифруют сообщения друг другу, на самом деле они шифруют их все в адрес П,
который вскрывает сообщения, потом перешифровывает их и отправляет дальше», —
пояснил эксперт.
Проблемой
для выполнения этой задачи, как пишет Волков, является тот факт, что для
используемого в интернете программного обеспечения попытка подмены сертификата
для перешифровки контента выглядит как обман. Когда операционная система или
браузер выявит, что предъявлен поддельный сертификат, они его тут же
заблокируют.
В
беседе с «Газетой.Ru» Волков отметил, что свежая инициатива ведомств выглядит
реальнее, чем полное хранение данных, но «все же далека от реализуемости прямо
здесь и сейчас».
В
свою очередь, ведущий вирусный аналитик ESET Russia Артем Баранов полагает, что
с технической точки зрения предложения ФСБ, Минкомсвязи и Минпромторга являются
реальными. «Пока инициативы ограничиваются анализом незашифрованного трафика и
сбором базовой информации о пользователях. Новое предложение может потребовать
от провайдеров и пользователей установки в систему специального цифрового
сертификата для анализа зашифрованного трафика, например HTTPS», — рассказал он
«Газете.Ru».
Зашифрованные
иностранцы
Директор
информационно-аналитического агентства TelecomDaily Денис Кусков рассказал
«Газете.Ru», что дешифровка трафика — непростой процесс. «Министерства, которые
берутся за эту задачу, не до конца представляют, что могут с этим и не
справиться», — добавил он.
Аналитик
обратил внимание, что по-прежнему не решен вопрос деятельности зарубежных
компаний, отвечающих за пользовательские коммуникации. В первую очередь речь
идет о мессенджерах с end-to-end-шифрованием.
«Я
не вижу каких-то сдвигов в плане работы с организациями, которые с юридической
точки зрения находятся не в России. Но с нашими компаниями проще, на них всегда
можно надавить», — отметил Кусков.
В
антитеррористическом пакете поправок помимо операторов связи говорится о так
называемых организаторах распространения информации. Для них с 2014 года в
российском законодательстве предусмотрен собственный реестр, ведением которого
занимается Роскомнадзор.
В
настоящее время перечень включает в себя около 70 наименований. Среди них
социальные сети «ВКонтакте», «Одноклассники», «Мой круг», почтовые службы
Mail.Ru, «Яндекс» и «Рамблер», хранилища «Яндекс.Диск», «Облако@Mail.Ru»,
порталы «Хахбрахабр». «Роем», сайт знакомств «Мамба», видеосервис RuTube,
блог-платформа LiveInternet, имиджборд «Двач» и другие.
В
реестр за все время его работы не попал ни один зарубежный портал и ни один
мессенджер.
«Если
подобные планы властей начнут реализовываться, то прогнозируемо появление
мессенджеров, содержащих дополнительную защиту от атак типа MITM. Например,
подмешивания в шифрование секретного ключа с распространением его между абонентами.
Проще говоря пароля, о котором договориваются участники переписки», — заявил
«Газете.Ru» директор дивизиона безопасности группы компаний Softline Евгений
Акимов.
Как
сломать HTTPS
Известным
широкому кругу способом шифрования является не только end-to-end, но и HTTPS —
защищенный протокол, используемый веб-сайтами.
Генеральный
директор REG.RU Алексей Королюк полагает, что имеющиеся технические возможности
Минкомсвязи, Минпромторга и ФСБ позволят снять шифрование только в
«централизованных узлах», таких как сайты, защищенные по протоколу HTTPS.
«Но
при этом никаким образом не повлияют на зашифрованные P2P-шифрованием
сообщения, что сделает систему громоздкой, дорогостоящей и почти бесполезной в
борьбе с технически оснащенными лицами, совершающими правонарушения», —
заключил эксперт в разговоре с «Газетой.Ru».
В
свою очередь исполнительный директор Unolabo Константин Никонов считает, для
«анализа трафика по ключевым словам» закон Яровой не нужен. «Для этого есть
интернет-бекап-серверы, где хранится все необходимое для такого анализа и так.
Все сведется к текстовой базе, которую ФСБ будет анализировать командой «поиск
по ключевому слову», поделился своим прогнозом с «Газетой.Ru» эксперт.
«Железо»,
которого нет
Еще
одним аспектом, тесно связанным с реализацией закона Яровой, по версии «Коммерсанта»,
является полный переход на российское телеком-оборудование. Авторы «дорожной
карты» в рамках подгруппы «IT+Суверенитет» при Институте развития интернета
(ИРИ) якобы предложили обязать операторов связи и ЦОДы к 2020 году на 85%
перейти на оборудование российского производства. В качестве одного из
идеологов такого подхода издание указало бывшего министра связи и нынешнего
помощника президента Игоря Щеголева.
При
этом позднее, беседуя с «Роем»,
глава Фонда информационной демократии Илья Массух, который как раз и занимается
вопросами IT-независимости рунета в рамках ИРИ, назвал подобную идею «бредом».
Кусков
в разговоре с «Газетой.Ru» возможный шаг по полному импортозамещению также
окрестил маловероятным.
«Сотовая
связь в настоящее время на 100% является
импортной. Это не просто базовые станции, а аппаратно-программный комплекс.
В настоящий момент все это заменить невозможно.
Пока
не будет сделан серьезный шаг со стороны Минфина, Минкомсвязи и Минпромторга,
ничего хорошего не предвидится в этом направлении. Я не вижу реальных действий,
которые позволили бы сказать, что Россия может перейти на отечественное
оборудование в ближайшее время», — заключил телеком-эксперт.
Операторы
мобильной связи отказались от комментариев. В Минкомсвязи на запрос «Газеты.Ru»
не ответили.
02.11.2017
Москва, 2 ноября -
"Вести.Экономика". Сбербанк выпустил новую версию приложения
интернет-банка для корпоративных клиентов на операционной системе Microsoft
Windows 10. "Сбербанк Бизнес Онлайн" стал первым в России
интернет-банком для бизнеса с аутентификацией по лицу.
Для входа в интернет-банк задействована
технология биометрической аутентификации Windows Hello, применяемая
в операционной системе Windows 10.
Спектр возможностей Windows Hello включает в себя
сканирование радужной оболочки глаза, отпечатка пальца и систему распознавания
лица, уточнили в Сбербанке….
Как сообщали Вести.Экономика", в июле 2017 г. в Сбербанке стартовал новый
биометрический проект: идентификация банкоматом клиента по лицу. Подробнее: http://www.vestifinance.ru/articles/93310
ЗА ВОДИТЕЛЯМИ УСТАНОВЯТ ТОТАЛЬНУЮ
СЛЕЖКУ С ПОМОЩЬЮ "ЧЕРНЫХ ЯЩИКОВ"
Правительство
готово пойти на беспрецедентные меры в борьбе с нарушителями правил дорожного
движения: предлагается в обязательном порядке устанавливать в новые автомобили устройства,
аналогичные "черным ящикам", которые, по сути, будут контролировать
каждое действие водителя в реальном времени.
По
информации "Известий",
заместитель министра транспорта Алексей Цыденов в ходе совещания с
вице-премьером Дмитрием Рогозиным предложил сформировать "Единую государственную
среду передачи навигационной информации, получаемой от тахографов и иных
технических устройств с измерительными функциями". Идея получила
поддержку, ее реализацией в данный момент занимаются Минпромторг, Минтранс,
Минэкономразвития, Минкомсвязи и госкомпания АО "ГЛОНАСС".
"…ЕГСНИ
может быть использована в том числе в целях фиксации нарушений правил дорожного
движения и привлечения нарушителей к административной
ответственности", — говорится в тексте протокола, выпущенного по
итогам прошедшего заседания. Причем на разработку проекта ведомствам
предоставили не так много времени: "черные ящики" хотят начать
встраивать в новые автомобили уже в 2020 году.
Базовой инфраструктурой для работы "черных ящиков" станет ЭРА-ГЛОНАСС - терминалы этой
системы в любом случае обязательны к установке на все новый автомобили в России
с того же 2020 года. Изначально ЭРА-ГЛОНАСС разрабатывалась и внедрялась как
система экстренного реагирования при авариях - в случае серьезного ДТП система
автоматически посылает сигнал тревоги на пункт управления экстренных служб.
Как рассказал "Известиям" президент Московского транспортного союза
Юрий Свешников, ранее Минтранс уже озвучивал идею отслеживать манеру вождения
автомобилистов через ГЛОНАСС, но тогда речь шла об интересах страховщиков:
якобы это позволило бы страховым компаниям рассчитывать страховые коэффициенты
исходя из того, как водитель ездит. И уже тогда идея была раскритикована.
Скептически эксперты относятся к ней и в новом контексте.
"Непонятно, кто будет платить за передачу данных. Также неясно, как будет
осуществляться фиксация таких нарушений, как проезд на красный свет, поворот в
неразрешенном месте. По данным ГЛОНАСС можно будет определить только
превышение скоростного режима. В России 42
млн транспортных средств, и анализировать информацию по каждому
случаю превышения скорости будет не так просто — потребуется внушительный
ресурс, у нас ведь не везде одинаковые ограничения установлены, где-то они
меняются в зависимости от ряда факторов: видимости, состояния дороги и
т.д. Каждый случай нужно будет отдельно реконструировать и принимать
решение", - заявил Свешников: http://auto.vesti.ru/news/show/news_id/663396/
18
мая 2017
В
России появится портал по контролю за персональными данными
В
России будет создан сайт по контролю за распространением персональных данных,
сообщает в четверг, 18 мая, газета «Известия».
Появление ресурса призвано
решить проблему неконтролируемого сбора персональных данных.
За его ведение будет отвечать Роскомнадзор.
Пользователь сможет,
авторизовавшись на сайте, увидеть, кто использует его персональные данные‚ и
при желании запретить организации работать с ними.
Для
создания нового портала потребуется выработать ряд законодательных актов, в
частности, об ответственности компаний, которые забудут внести на него
необходимую информацию.
О
необходимости создания ресурса говорится в проекте программы «Цифровая
экономика», направленном Минкомсвязью в начале мая в правительство: https://lenta.ru/news/2017/05/18/portal/
Доход россиян от персональных данных
оценили в 15-60 тыс. рублей
Москва,
15 июля - "Вести.Экономика". Россияне должны зарабатывать от
15 до 60 тыс. руб. в год на своих персональных данных, заявил директор Фонда
развития интернет-инициатив (ФРИИ) Кирилл Варламов.
В
настоящее время в России проходят обсуждение три законопроекта, регулирующих
использование данных граждан в стране. ФРИИ в январе представил свою концепцию
регулирования персональных данных в РФ.
Ключевой момент законопроекта заключается в предоставлении россиянам права
на продажу доступа к своим данным. По задумке фонда, пользователи смогут
зарабатывать на предоставлении доступа к ним от 15 тыс. до 60 тыс. руб.
"Мы говорим о том, что нужно передать человеку права и возможность
принятия решения о том, какие его данные можно использовать для тех или иных
целей. Для этого мы предлагаем редакцию закона, при которой каждый
оператор таких данных обязан иметь электронный интерфейс, где человек может
увидеть все данные, и разрешить или запретить их использование. Также мы
считаем справедливым, если люди смогут получать деньги за предоставление
данных: примерная стоимость может быть от 15 до 60 тысяч рублей в год за
человека", - сообщил он.
По словам Варламова, пока ключевая мысль всех рассматриваемых документов -
отрегулировать рынок данных, создать его, разрешить торговлю данными, но на
определенных правилах они обязаны быть обезличенными. "А если не
обезличенные, то человек должен давать разрешение на их использование, чтобы
ему предлагали что-то внятное купить в будущем, а не как сейчас предлагается
то, что мы уже купили", - указал он.
Российский фонд венчурных инвестиций ФРИИ учрежден Агентством стратегических
иницитатив в 2013 году по предложению президента РФ Владимира Путина. Фонд
участвует в разработке регулирования венчурной отрасли.
"Мы как раз продвигаем идею, что, с одной стороны, действительно важно
отрегулировать рынок, потому что сейчас он находится в тени, крупные компании и
стартапы не могут инвестировать в сервисы с использованием этих денег. И это
логично: никто не готов вкладывать средства в нерегулируемую сферу — ты
рискуешь эти деньги завтра потерять", - отметил Варламов, которого
цитирует РИА "Новости".
Подробнее: https://www.vestifinance.ru/articles/122072
Андрей
Суворов: события и тренды в кибербезопасности
22.05.2017
Директор
по развитию направления безопасности критической инфраструктуры
"Лаборатории Касперского" Андрей Суворов в ходе VI Форума
Vestifinance рассказал о том, какие риски для компаний скрывают кибератаки, чем
руководствуются и на что нацелены хакеры, а также поведал о главных трендах в
кибербезопасности.
Андрей Суворов рассказывая о трендах, которые проникают в умы
людей, вспомнил про всемирный экономический форум, где ежегодно проводят опрос
о том, какие риски для человечества руководители крупнейших компаний и лидеры
стран считают основными. В 2017 г. кибератаки заняли более высокую позицию, нежели
даже традиционные атаки, террористические угрозы, межгосударственные
конфликты. Это означает, что люди, не являющиеся профессионалами в
кибербезопасности, достаточно высоко оценивают эту опасность. Первые лица
крупнейших компаний, в России в том числе, говорят о киберрисках и кибербезопасности
вполне серьезно. Раньше считалось, что обо всех этих задачах должны помнить
лишь те, кто занимается IT в компании.
Кроме того, наряду с политическими анонсами будущего, прогнозы аналитиков
относительно кибервойн и кибератак занимают важное место. Почему эти вопросы
достаточно серьезны и почему про это надо говорить? Если посмотреть на
количество вредоносных файлов, то можно увидеть колоссальный рост их числа на
всех существующих платформах.
Лидирует
здесь Microsoft с 448 млн уникальных вредоносов, рост их числа в сравнении с
прошлым годом достаточно серьезный. Тренд, который мы наблюдаем, говорит о том,
что чем более массовой становится платформа, тем более она привлекает тех, кто
попытается ее взломать и использовать в своих интересах. Ожидается, что в этом
году вырастет число вредоносов и для iOS, несмотря на то что эта платформа
является сама по себе достаточно изолированной.
Рост числа компьютерных вирусов начался в эру распределенных вычислений, в 1994
г. писался один вирус в час. Сегодня мы имеем порядка
300 тыс. новых вредоносных фрагментов каждый день, и эта цифра постоянно
растет.
Конечно,
кибератаки и создание вирусов — это серьезный бизнес. Согласно официальным
отчетам компаний, которые занимаются финансовыми рисками, убытки от киберпреступлений составили от $400 млрд до $500
млрд за прошлый год. Много это или мало? Это больше двух федеральных
бюджетов РФ на 2016 г. Или примерно стоимость 10 сочинских олимпиад. И согласно
прогнозам аналитиков эта цифра достаточно скромная по сравнению с тем, что нас
ждет в будущем.
Что вообще надо знать про киберугрозы, для того чтобы понимать, как к ним
готовиться и быть на шаг впереди тех, кто хочет во времена четвертой
промышленной революции завладеть чужими активами или информацией посредством технологий?
Первое - надо понимать, что мы с вами живем в век очень стремительных
изменений. Раньше корпоративная сеть была защищена по периметру, зачастую
системы были изолированные, риск внедрения извне был минимален.
Сегодня
мы с вами живем во времена, когда крупнейшие корпорации мира запускают
инициативы, которые называются Bring your own device ("Принеси свое
собственное оборудование"). Это позволяет экономить, в крупнейших
компаниях порядка 25% оборудования им не принадлежит. Теперь на персональных устройствах сотрудников
установлен финансовый софт, хранятся клиентские данные, личные и корпоративные
приложения. Это удобно, так как в любое время в любом месте есть
возможность нажать кнопочку "утверждаю", либо что-то посчитать, либо
ответить на звонок и т. д.
Но, с другой стороны, это означает достаточно серьезное повышение уязвимости
таких корпоративных систем, потому что на компьютерах, планшетах,
смартфонах используются практически все виды приложений, которые раньше
находились на компьютерах компаний и были защищены специалистами.
В 2017 г., и это тренд на будущее, мы имеем дело с атаками, в которых участвуют
группы из ряда стран, где идет активное объединение усилий хакеров. Это
означает, что финансовые и интеллектуальные ресурсы у таких компаний практически
не ограничены в обучении специалистов, в подготовке высокопрофессиональных
команд, что, конечно, представляет достаточно серьезную угрозу.
Существует устойчивый термин на рынке кибербезопасности – это APT (Advanced
Persistent Threat), или сложная целевая атака. По мнению аналитиков и
компаний, которые занимаются этими вопросами, это самая серьезная на сегодня
киберугроза. Хорошо подготовленная целевая атака являет собой комбинацию
действий, при которых ее нельзя обнаружить даже после того, как она
закончилась. К примеру, цель вируса Stuxnet, атаковавшего ряд заводов по
производству обогащенного урана, была не в том, чтобы вывести из строя
дорогостоящее оборудование, а в том, чтобы на протяжении долгого времени
производители не могли получить тот продукт, который, следуя правильной
технологии, требовалось изготовить.
Целевая атака была направлена на подмену информации о технологическом процессе,
и это не позволяло выполнить производственную задачу. Целевых атак не так
много, но это очень серьезно с точки зрения потенциального ущерба. Если мы
говорим про затраты, то компании тратят огромные деньги, миллионы долларов,
чтобы ликвидировать последствия такой атаки.
Подробнее: http://www.vestifinance.ru/articles/85635
Люди - самое
слабое звено в кибербезопасности
11.12.2017
Как бы хорошо
не была выстроена система защиты информации, в ней всегда остается "слабое
звено" - человек. Мошенники умело играют на человеческих слабостях –
невнимательности, беспечности и т. д., используя методы социальной инженерии.
Запрашивая информацию через e-mail, злоумышленники рассчитывают на
пользователей, которые не знают правил обращения с конфиденциальными данными.
Типичный случай утечки информации через e-mail произошел в США. Жертвами
кибермошенников стали около 4 тыс. сотрудников фирмы Sunrun, американского
производителя солнечных панелей, сообщает аналитический центр InfoWatch.
Представившись генеральным директором компании, неизвестный злоумышленник смог
убедить сотрудников отправить ему данные, включая номера социального
страхования и налоговые формы W-2, содержащие всю информацию о зарплате и
уплаченных налогах. Мошенники воспользовались ажиотажем накануне налоговых
выплат - инцидент произошел как раз в начале сезона подачи деклараций.
Скомпрометированы данные американского представительства швейцарской
промышленной группы Autoneum. В результате фишинговой атаки пострадали 2400
сотрудников фирмы. Сообщается, что помимо номеров социального страхования и
налоговых форм W-2, неизвестные лица получили сведения об именах бывших и
нынешних сотрудников, а также их адресах.
В феврале злоумышленники завладели налоговой информацией тысячи сотрудников
фонда Crotched Mountain. К счастью, не была затронута информация клиентов
учреждения. Работники фонда вполне обоснованно опасались, что полученные номера
социального страхования преступники используют для получения налоговых вычетов.
Недобросовестные лица устраивают "рыбалку" не только на данные
коммерческих компаний, но и на информацию муниципальных предприятий. Например,
весной 2017 г. мошенник, представившись начальником канализационной службы в
районе северо-западного Огайо, США, запросил налоговую информацию около 900
сотрудников: имена, адреса, номера социального страхования и данные о заработной
плате. Фишинговая схема сработала через два почтовых аккаунта сотрудников
организации.
На ту же удочку попались сотрудники компании Renovate America. Данные 784
человек были высланы неизвестному, который притворился генеральным директором.
Фирма поздно обнаружила, что запрос на получение информации был подан с
мошеннического адреса электронной почты.
Российский Сбербанк выделил из целого ряда киберугроз не компьютерные вирусы
или хакерские атаки, а социальную инженерию, на которую приходится порядка 80%
атак на клиентов.
"Для нас сейчас технические вопросы перестали быть актуальными, мы
научились бороться с вирусами, компьютерными атаками, развиваем наш антифрод, у
него достаточно высокая эффективность. Сейчас для нас основная проблема —
социальная инженерия, которая составляет 80% всех атак на наших клиентов",
— сообщил руководитель службы информационной безопасности банка Сергей Лебедь
на форуме по борьбе с кибермошенничеством Antifraud Russia 2017.
Каждый день Сбербанк фиксирует около 2 тыс. обращений клиентов, связанных с
мошенничеством. Но попытки заручиться поддержкой правоохранительных органов
пока не находят надлежащего отклика.
"В год в наших блэк-листах мы накапливаем около 50 тыс. записей о
мошенниках по физическим лицам и несколько тысяч по юридическим лицам. Вопрос:
почему эта информация не востребована правоохранительной системой, почему ей
никто не занимается?" — задает вопрос глава службы информбезопасности
Сбербанка. По его словам, в силовых структурах пока нет на сегодняшний день
понимания, что этим нужно заниматься.
Подробнее: http://www.vestifinance.ru/articles/95013
Специалист рассказал, кому нужно бояться
утечки личных данных
Бернст Ю. 04.01.2021 |
04:11
По данным Positive
Technologies, в I квартале 2020 года количество кибератак выросло почти на
четверть, передает агентство «Прайм» со ссылкой на руководителя Центра
цифровой экспертизы Роскачества Антона Куканова.
Он рассказал, что половина
всех украденных данных — логины и пароли.
Утечка личных данных может
произойти с любого незащищенного телефона или компьютера, сказал Куканов.
Однако, по его словам, злоумышленники
охотятся, как правило, не за личной, а за платежной информацией или паролями.
Для этих целей хакеры
используют фишинговые кампании,
методы социальной инженерии и широкий набор вредоносных программ,
объяснил эксперт.
Чтобы минимизировать риск утечки данных, Куканов рекомендовал не переходить по подозрительным ссылкам, так
как они могут быть использованы мошенниками для заражения телефона вирусом. Он
также призвал не доверять сайтам с нелегальным контентом, так как вместе с
бесплатными программами или фильмами может идти средство его «монетизации» в
виде вируса.
Киберугрозы -
2017: итоги уходящего года
07.12.2017
Эксперты
"Лаборатории Касперского" подвели итоги уходящего года и вспомнили,
что важного в сфере кибербезопасности произошло в 2017 г. В 2017 г. многие
угрозы на поверку оказались не тем, чем представлялись поначалу: вымогатель
оказался программой-вайпером, легитимное бизнес-ПО – вредоносным оружием,
продвинутые кибергруппировки стали использовать простые методы, а в руки мелких
злоумышленников попали высокотехнологичные инструменты. Тенденции, начавшиеся в
этом году, без сомнения, перейдут и в следующий. А потому важно сделать
правильные выводы и подготовиться к киберугрозам 2018 г.
Если говорить о главной тенденции 2017 г., ее можно назвать размыванием границ
между различными видами угроз и типами вредоносной активности. В качестве
примера можно привести прокатившуюся в июне волну атак троянца ExPetr. На
первый взгляд эта вредоносная программа казалась очередным вымогателем, но на
деле оказалась адресной деструктивной программой-вайпером…. :
Подробнее: http://www.vestifinance.ru/articles/94816
Кибербезопасность:
как хакеры меняют нашу жизнь?
ВЕСТИ.RU
28 февраля 2017
Буквально
на днях было официально объявлено о том, что в России появился новый род
войск — войска
информационных технологий. Об этом, напомним, заявил министр
обороны Сергей Шойгу. По его словам, создание таких войск делает проведение
информационных операций гораздо эффективнее и сильнее. Что же это значит? С
уверенностью можно сказать, что это еще одно подтверждение того факта, что
кибербезопасность, как, собственно, и киберугрозы, занимает все более важное
место в нашей жизни. Если еще несколько лет назад киберугрозы воспринимались
как нечто отдаленное, то в теперь они плотно вошли в нашу жизнь. От хакеров
страдают все: киберпреступники взламывают банки, похищают миллионы и даже
миллиарды долларов. Но самое главное, что их жертвами становятся не только
маленькие банки или компании, но порой и центральные банки и даже
могущественная Федеральная резервная система. На очередном форуме VESTIFINANCE,
который пройдет в Москве в Центре Digital October 10 и 11 марта, среди спикеров
будет генеральный директор InfoWatch, сооснователь «Лаборатории Касперского»
Наталья Касперская. Она в том числе будет рассказывать и об актуальных трендах в
виртуальной среде, о текущих и будущих угрозах. Приглашаем всех посетить это
мероприятие и узнать об актуальной проблеме человечества, что называется, из
первых уст. В октябре прошлого года, например, об атаках на свои серверы
сообщили региональный американский банк BB&T и производитель кредитных карт
Capital One Financial. Ранее были атакованы сайты крупнейших игроков
финансового сектора, таких как Bank of America и Wells Fargo. Глава Пентагона
тогда заявил, что растет риск «кибер-Перл-Харбора». Согласно исследованию
компании Cisco больше трети организаций, чьи информационные системы были
взломаны в 2016 г., сообщили о существенных (более 20%) потерях доходов,
упущенных возможностях и оттоке заказчиков. Вообще, потери от хакерских атак
для банков и компаний по всему миру становятся уже постоянной статьей убытков,
и они учитывают эти риски в своих бизнес-моделях. На самом деле, мы сейчас
находимся лишь на ранней стадии развития кибербезопасности, и в недалеком
будущем в интернет-сфере могут произойти серьезные изменения. Интернет
настолько плотно вошел в нашу жизнь, что представить жизнь без него сейчас
практически невозможно. Подавляющее большинство людей пользуются различными
интернет-сервисами, социальными сетями и так далее. Стоит только на минуту
задуматься, что через интернет сейчас делается практически все: операции по
банковским счетам, заказ такси, покупка товаров и услуг и многое-многое другое.
Но проблема в том, что зачастую в глобальной сети пользователи выступают
анонимами, и распознать их можно только разве что по IP-адресу, ну или если
этим вопросом занимаются профессионалы. Однако в будущем все может измениться.
Раз уж интернет-пространство является, по сути, отражением реальной жизни, то
можно предположить, что и правила пользования и требования будут намного
жестче.
О
том, как себя защитить, когда любая «умная железка», с непонятно кем и как
встроенным софтом, может угрожать личной безопасности, в эксклюзивном интервью
расскажет президент группы компаний InfoWatch Наталья Касперская.
Кстати,
сооснователь ∎Лаборатории
Касперского∎
Наталья Касперская будет говорить и на эту тему. Еще раз напомним, форум
VESTIFINANCE пройдет в Москве в Центре Digital October 10 и 11 марта. Так вот,
если в реальной жизни гражданин должен иметь при себе паспорт, почему в
интернете он может совершать все действия практически анонимно? Очевидно, рано
или поздно будут предприняты попытки исправить эту ситуацию, и в конечном итоге
при входе в интернет нужно будет пройти полную идентификацию?К чему это
приведет? Ну хотя бы к тому, что за все свои действия и высказывания нужно
будет нести такую же ответственность, как и в реальной жизни. Самый банальный
пример: если пользователь порочит чью-то честь, то его можно будет легко
привлечь к ответственности по закону о клевете. Понятно, что процесс этот не
быстрый. Невозможно просто так взять и изменить подход к пользованию
интернетом, тем более что глобальная паутина просто огромна. И если
пользователь сталкивается с какими-то ограничениями в одной стране, он может
использовать IP-адреса другой страны и спокойно обойти препятствия. Для
изменения правил нужно выработать общий подход. Однако, учитывая, что многие
страны не очень легко находят понимание между собой, на все это может уйти
достаточно много времени. Если же говорить о хакерах, то они порой оказываются
в своем развитии на шаг впереди спецслужб, и пока одни закрывают предыдущие
лазейки, другие находят новые. Проблема кибербезопасности в России и в мире
будет обсуждаться на форуме VESTIFINANCE, который пройдет в Москве в Центре
Digital October 10 и 11 марта. Лекцию на эту тему, как мы уже сказали выше,
проведет генеральный директор InfoWatch, сооснователь «Лаборатории Касперского»
Наталья Касперская.7 февраля состоялось открытие Международного форума по
кибербезопасности (Cyber Security Forum–2017), приуроченного к Международному
дню безопасного интернета (Safer Internet Day), на котором выступила
заместитель руководителя Роскомнадзора А. Приезжева с докладом
«Кибербезопасность как основное условие обеспечения защиты прав субъектов
персональных данных в цифровом пространстве». Среди основных источников угроз в
киберпространстве названы хищение персональных данных при помощи фишинга,
использование пользователями «серых» мобильных приложений и незащищенных
каналов коммуникаций. Открытые источники хранения персональных данных,
геолокационные сервисы также могут представлять собой угрозу для утечек личных
данных, а повсеместная практика принятия условий пользовательского соглашения
«по умолчанию» лишь облегчает задачу злоумышленникам. По мнению Приезжевой,
большинство из рассматриваемых угроз возможно нивелировать путем повышения
уровня информированности о правах и обязанностях всех участников процесса
обработки персональных данных, уделяя особое внимание субъектам персональных
данных. Для достижения вышеуказанных целей Роскомнадзором определены
приоритетные задачи: стимулирование добросовестного поведения в сети и
совершенствование механизмов регулирования области персональных данных, в т. ч.
применение механизмов саморегулирования. Далее: https://news.rambler.ru/internet/36206572/?utm_content=rnews&utm_medium=read_more&utm_source=copylink
Хакеру на заметку: за троян будут бомбить
Европейский
союз предлагает приравнять кибератаку к акту агрессии
Если закон будет
принят, то пострадавшее государство получит право в ответ на хакерский взлом
применить реальное оружие.
Законопроект под длинным
названием «Совместное дипломатическое реагирование стран ЕС на злонамеренные
кибератаки» призван стать сдерживающей мерой для тех стран, которые
используют хакеров для кибершпионажа и других компьютерных преступлений.
Документ должен быть подписан 28 членами Европейского союза, включая
Великобританию, в ближайшие пару недель.
«Это заставит хакеров
задуматься о последствиях перед тем, как совершить кибератаку, а создание
официального документа доказывает, что мы настроены серьезно», — заявил
анонимный источник из правительства Евросоюза.
«Перечень
возможных актов агрессии можно дополнить положением о «применении вооруженными
силами государства информационного оружия против критически важных объектов
другого государства, которое повлекло за собой большие человеческие жертвы и
разрушения», — заявил Дылевский (замначальника Главного оперативного
управления Генштаба ВС РФ).
В качестве доказательства
резонности инициативы Генштаба он сообщил о том, что НАТО уже не раз называла киберпространство
«новым театром военных действий».: https://www.gazeta.ru/tech/2017/11/01/10966304/declaration_of_war.shtml
Эксперт: кибервойна уже идет, придется
воевать
26.10.2017
В инновационном центре
"Сколково" 25 октября прошла конференция Skolkovo Cyberday,
посвященная кибербезопасности. Эксперты обсудили, как будут развиваться
финансовые и платежные технологии, интернет вещей, межмашинное взаимодействие,
облачные системы, а также какие киберугрозы возникают перед компаниями и
обычными пользователями.
Председатель правления фонда "Сколково" Игорь Дроздов в ходе
выступления заявил, что в ближайшее время две трети
жителей планеты могут столкнуться с угрозами в сфере
кибербезопасности.
Эксперты отмечают, что уже сейчас кибератаки и боты могут дестабилизировать
ситуации в целых регионах. Генеральный директор компании "Лавина
Пульс", ведущий эксперт Академии информационных систем Андрей Масалович
считает, что кибервойна уже началась, а армии
ботов используются для дестабилизации обстановки в целых регионах.
"Интернет населяют не столько люди, сколько боты; будущее определяется не
войной между ботами и людьми, а войной между армиями умных ботов",
- утверждает эксперт. К слову, недавно появилась информация о том, что появился
новый ботнет, атакующий устройства интернета вещей. Он получил название
IoT_reaper и с середины сентября вырос до гигантских масштабов. По оценкам
исследователей из компаний Qihoo 360 Netlab и Check Point, в настоящее время в
состав ботнета входит порядка 2 млн устройств. В основном это
IP-камеры, сетевые IP-видеорегистраторы и цифровые видеорегистраторы.
Интернет вещей сегодня практически не защищен от киберугроз. Подавляющее
большинство устройств работает на Linux, что упрощает жизнь преступникам: они
могут написать одну вредоносную программу, которая будет эффективна против
большого количества устройств. Кроме того, на
большинстве IoT-гаджетов нет никаких защитных решений, а производители
редко выпускают обновления безопасности и новые прошивки.
Эксперты Check Point считают, что Reaper может на некоторое время
парализовать работу интернета. "По нашим оценкам, более миллиона
организаций уже пострадали от действий Reaper. Сейчас мы переживаем спокойствие
перед сильным штормом. Киберураган скоро настигнет интернет", –
отмечается в сообщении Check Point
В рамках конференции Skolkovo Cyberday затронули и тему крупных кибератак,
произошедших в последнее время. Так, в мае текущего года вирус WannaCry
атаковал более 200 тыс. компьютеров в 150 странах мира.
Специалисты давно знали о существовании WannaCry.
"Большинство исследователей хвастались, что они обнаружили его [вирус],
научились нейтрализовать кто-то за час, кто-то за четыре, кто-то вспомнил, что
он понимал, что произойдет еще 6 марта, когда Microsoft опубликовал уязвимость
MS17-010, на которой троян базируется. Те, кто занимается активным
противоборством в интернете и, в частности, знают, что такое закладки
спецслужб, могут подтвердить, что этот вид заражения был известен с 2006
года", – рассказал Андрей Масалович.
Актуальность опасности вирусов-шифровальщиков для инфраструктур компаний
очевидна в контексте не только майской атаки с использованием WannaCry, но и
последующих случаев, когда использовались модификации этого вредоноса. Самый
свежий случай произошел во вторник, когда ряд российских СМИ, а также банки из
первой двадцатки атаковал вирус-шифровальщик BadRabbit. О хакерских атаках
на свои банковские и информационные системы также сообщили Киевский
метрополитен и Одесский аэропорт.
В ходе анализа установлено, что Bad Rabbit является модифицированной версией
NotPetya с исправленными ошибками в алгоритме шифрования, сообщается в блоге
компании Group-IB, специализирующейся на предотвращении и расследовании
киберпреступлений. Код Bad Rabbit включает в себя части, полностью повторяющие
NotPetya.
Бестелесность и вредоносные скрипты — новый (и теперь уже основной) принцип
проведения атак. Хакеры стараются оставаться незамеченными и для этого
используют программы, которые работают только в оперативной памяти и
уничтожаются после перезагрузки. Кроме того, скрипты на PowerShell, VBS, PHP
помогают им обеспечивать персистентность (закрепление) в системе, а также
автоматизировать некоторые этапы атаки.
История с NotPetya продемонстрировала, что для захвата контроля над
корпоративной сетью достаточно создать шаблон — заскриптовать несколько простых
шагов. В будущем стоит ожидать большого количества заскриптованных атак, а
также готовых простых инструментов, которые будут автоматически получать
контроль над инфраструктурой компании.
Появление таких инструментов в открытом доступе или в продаже среди хакеров
может привести к лавинообразному росту самых разных атак на корпоративный
сектор. В первую очередь ожидается рост инцидентов с шифровальщиками, кражей
конфиденциальной информации и вымогательством за неразглашение данных, а также
увеличение количества хищений денежных средств и публичных разоблачений,
проводимых нефинансово мотивированными атакующими.
Война в киберпространстве и кибертерроризм могут привести к авариям на атомных станциях, разрушению
гидроэлектростанций, катастрофам на транспорте и других объектах инфраструктуры,
приближаясь по своим разрушительным последствиям
к оружию массового поражения. Кроме того, немалую опасность
представляет сценарий, когда кибероружие в случае утечки может быть скопировано
и распространено, к примеру, террористическими группировками.
ООН рассматривает вопрос о введение моратория на кибероружие, а
эксперты готовят основу глобальных договоренностей по контролю за
использованием информационно-коммуникационных технологий (ИКТ), чтобы не
допустить их превращения в оружие, сравнимое по своему разрушительному
потенциалу с ядерным или химическим.
Впрочем, кибервойна между США и Россией маловероятна, поскольку очевидно, что
она приведет к страшным последствиям для всех сторон, заявил глава компании по
расследованию киберпреступлений Group-IB Илья Сачков. "Я надеюсь, что все страны понимают, что кибервойна
приведет к страшным результатам. Я считаю, что Россия и США не начнут
ее, так как это обернется катастрофой… Я не верю в развитие кибервойны с
участием России: это приведет к серьезной войне, к настоящей войне, грубо
говоря", — сказал Сачков.
Подробнее: http://www.vestifinance.ru/articles/92986
Банки
по всему миру поражает "невидимый" вирус
08.02.2017
Летом
2015 года инженеры российской компании "Лаборатория Касперского"
обнаружили, что их собственная компьютерная сеть оказалась заражена неизвестным
ранее вирусом. Как оказалось, троянец почти целиком прятался в оперативной памяти устройства, что позволяло ему
оставаться незамеченным на протяжении полугода.
Впоследствии
эксперты выяснили, что "червь"
Duqu 2.0 произошел от Stuxnet — промышленного вируса, якобы созданного США
и Израилем, чтобы саботировать ядерную программу Ирана. Теперь
"бесфайловый" вирус, сообщили в "ЛК", начал
распространяться по всему миру.
Вредоносная
программа почти не оставляет следов, записывая себя в память компьютера,
поэтому вычислить ее крайне сложно. Идентификацию "невидимого" вируса
усложняет и то, что он пользуется широко распространенными и легитимными
инструментами для администрирования и безопасности (такими как PowerShell, Metasploit
и Mimikatz), чтобы попасть в "оперативку".
Потомок
Duqu 2.0 уже успел поразить по меньшей мере 140 банков и других предприятий. Как сообщил
эксперт "ЛК" Курт Баумгартнер, компании оказались совершенно не
готовы к такому развитию событий. Хакеры "вытягивают деньги из банков
внутри самих банков", нацеливаясь на компьютеры, которые управляют
банкоматами.
По
словам Баумгартнера, вредоносное ПО инфицировало сети финансовых организаций
(их названия не приводятся) в 40
странах, включая США, Францию, Эквадор, Кению и Великобритании. В
"ЛК" пока не уверены, кто стоит за атаками: одна банда хакеров или
конкурирующие группировки.
9
сентября 2017
Осужденный
в США за киберпреступления Селезнев признал вину по двум другим
делам
Россиянин
Роман Селезнев, осужденный в США за кражу данных кредитных карт и личной
информации, признал себя виновным по двум другим уголовным делам, связанным с
расследованием схемы кражи личных данных на сумму 50 миллионов долларов. Об этом сообщает Reuters со
ссылкой на американский минюст.
33-летний
сын депутата Госдумы Валерия Селезнева признал себя виновным в том, что
участвовал в схеме рэкета, а также в сговоре с целью совершения банкротства.
Обвинительные документы были поданы в федеральные суды в Неваде и Джорджии.
Ранее сообщалось,
что Селезнев вновь предстал перед американским судом в штате Джорджия. В
отношении него были выдвинуты федеральные обвинения в кибермошенничестве,
связанным со взломом и кражей банковских данных в 2008 году у процессинговой
компании RBS Worldpay, расположенной в Атланте.
По
мнению обвинения, Селезнев получил два миллиона долларов после того, как хакеры
похитили более девяти миллионов долларов из 2100 банкоматов по всему миру.
В
Сиэтле 21 апреля суд приговорил Селезнева
к 27 годам лишения свободы по обвинению в кибермошенничестве.
19
апреля сообщалось, что Селезнев написал покаянное
письмо, где взял на себя ответственность за совершенные деяния, но, несмотря на
это, прокуроры потребовали приговорить его к 30 годам заключения.
25
августа 2016 года россиянин был признан виновным
по 38 преступным эпизодам из 40. Обвинение заявило о нанесенном им ущербе в размере 170 миллионов долларов.
В ходе процесса прокуроры доказывали, что в 2014 году при задержании Селезнева
на его компьютере были найдены 1,7
миллиона украденных номеров кредитных карт.
Роман
Селезнев был схвачен агентами
Секретной службы США на Мальдивских островах в июле 2014 года, а затем вывезен
в Соединенные Штаты. Защита Селезнева, его отец, а также российский МИД назвали
задержание гражданина России похищением и нарушением норм международного права.
Хакеры
атаковали серверы бюро кредитных историй Equifax
08.09.2017
В
США в результате кибератак на серверы бюро кредитных историй Equifax хакеры получили доступ к
персональным данным порядка 143 миллионов клиентов компании.
По
информации агентства Bloomberg, злоумышленникам стали известны фамилии и имена
клиентов, даты из рождения, номера страховых полисов и водительских
удостоверений. Кроме того, кибермошенники получили доступ к номерам кредитных карт 209 тысяч человек.
Главный
исполнительный директор Equifax Ричард Смит заявил: "Это печальное событие
для нашей компании. Я приношу свои извинения нашим клиентам за беспокойство и
разочарование, вызванные этим инцидентом".
Основанная
в 1899 году компания Equifax собирает и хранит информацию о более чем 800
миллионах потребителей и более 88 миллионах компаний по всему миру, сообщает ТАСС.
Wi-Fi стал опасен. Как защитить свои
данные?
17.10.2017
Бельгийский эксперт в области безопасности
Мэйти Ванхоф обнаружил уязвимость в протоколе безопасности WPA2, используемом
при беспроводном соединении Wi-Fi. Он утверждает, что "любые устройства,
которые поддерживают Wi-Fi, могут подвергнуться хакерской атаке". При этом
Ванхоф сообщает, что уязвимость возможно устранить. Однако смена пароля на
Wi-Fi-соединении не спасет пользователя от хакерской атаки.
Благодаря уязвимости любая Wi-Fi сеть может быть взломана и хакеры
получат доступ ко всему трафику. «Если ваше устройство поддерживает Wi-Fi,
то, скорее всего, находится в опасности», — говорится в исследовании. Атакам
могут быть подвержены устройства на Android, Linux, Apple, Windows, OpenBSD,
MediaTek, Linksys и других платформах. По информации экспертов, «исключительно
разрушительному» варианту уязвимости подвержен 41% устройств на базе
Android.
Сообщается, что в протоколе WPA2 содержатся несколько ключевых уязвимостей, при
помощи которых хакеры смогут перехватывать информацию, которую пользователи
сети интернет передают через соединение Wi-Fi. Отмечается, что некоторые
маршрутизаторы в ближайшее время получат обновления, которые помогут решить
проблему и обезопасят пользователей от злоумышленников.Тем не менее, многие
пользователи этой технологии должны быть осведомлены о потенциальной угрозе и
получить всю информацию об установке необходимых обновлениях.
Обнаруженной уязвимости подвержены практически
все устройства, которые раздают Wi-Fi, за исключением
устройств компаний, которые получили информацию заранее и уже исправили
уязвимость: это Mikrotik, Aruba и Ubiquiti. Под угрозой оказалась
половина Android-устройств. Точных данных по Apple нет, но скорее всего в зоне
риска всё, что работает с Wi-Fi. Wi-Fi-роутеры и устройства из разряда
интернет-вещей (например, «умные» часы) также могут быть взломаны.
Быстрее всех отреагировали производители роутеров и жертва самых частых атак —
Microsoft. Там уже заявили о выпуске "заплатки". Но им в этот раз
повезло: уязвимость нашли еще летом, и не хакеры, а совместная американо-германо-бельгийская
группа исследователей, которые и дали фору разработчикам программного
обеспечения прежде, чем выложить подробности в Сеть.
Эксперты отмечают, что обычным пользователям бить тревогу не стоит -
большинство популярных сервисов, таких как электронная почта, социальные сети,
банковские приложения давно используют шифрование SSL, которое делает
обнаруженную уязвимость бесполезной. Зашифрованный трафик можно
перехватить, но нельзя понять, что именно было передано.
Впрочем, эксперты "Лаборатории Касперского" пишут, что SSL не всегда
спасает. Метод взлома назвали атакой с переустановкой ключа — key
reinstallation attack, или сокращенно KRACK. В частности, в докладе описана
атака на примере устройства с Android 6. Чтобы провести атаку, необходимо
создать Wi-Fi-сеть с таким же именем (SSID), как у уже существующей сети, а
также атаковать конкретного пользователя. Когда этот самый пользователь
попытается подключиться к оригинальной сети, атакующий отправляет специальные
пакеты, которые переключают устройство на другой канал и таким образом
заставляют его подключиться к одноименной поддельной сети.
После этого из-за ошибки в имплементации протоколов шифрования атакующий может обнулить ключ шифрования — и получить доступ ко всему, что пользователь
скачивает из Сети или загружает в нее, сообщается в корпоративном блоге
"Лаборатории Касперского". Соединение с сайтом может быть зашифровано
по протоколу SSL (или HTTPS). Вот только на поддельной точке доступа можно
установить простую утилиту под названием SSLstrip, которая заставляет браузер
подключаться не к шифрованным, HTTPS-версиям сайтов, а к обычным, HTTP, на
которых нет шифрования. Это можно провернуть, если реализация шифрования на
сайте содержит ошибки (а такое бывает часто, в том числе и на очень крупных
сайтах). Если включить в поддельной сети эту утилиту, можно получить доступ к незашифрованным логинам и паролям
пользователей — то есть, по сути, украсть их.
Дабы обезопасить себя и свои данные, специалисты советуют первым делом обновить
антивирусы, а также программное обеспечение самих устройств с функцией
доступа к Wi-Fi — роутеров, ноутбуков, планшетов, смартфонов и других гаджетов.
Использование дополнительных средств шифрования трафика, типа VPN-сервисов,
позволит существенно снизить вероятность успешной атаки, в результате чего
злоумышленники, скорее всего, даже не будут пытаться ее осуществить.
Чтобы полностью исключить риск перехвата данных из-за KRACK, эксперты советуют
использовать проводной или мобильный интернет вместо беспроводной сети.
Подробнее: http://www.vestifinance.ru/articles/92523
Опасные связи: как хакеры копаются в наших
телефонах
В сетях Wi-Fi по всему миру
обнаружена критическая уязвимость
В сетях Wi-Fi найдена
уязвимость, подвергающая данные пользователей большой опасности. «Газета.Ru»
разбиралась, как не дать злоумышленникам залезть в чужие гаджеты, находясь в
кафе или общественном транспорте.
На этой неделе специалисты
нашли серьезные проблемы в
программе сертификации устройств беспроводной связи WPA2 — на данный момент
самой совершенной технологии защиты беспроводной сети Wi-Fi.
Если говорить конкретно, то
недостатки, обнаруженные исследователем Мати Ванхофом из Левенского
университета, позволяют злоумышленникам находясь рядом с законной
защищенной беспроводной сетью – например, той, что у вас дома, в общественном
транспорте или у вас на работе – перехватывать и дешифровывать
Wi-Fi-трафик, передаваемый между точкой доступа и компьютером.
Android в зоне высокого риска
Найденная критическая
уязвимость получила название KRACK (аббревиатура от Key Reinstallation
Attacks). Она находит слабые места в системе проверки паролей и заставляет
пользователей произвести переустановку ключей шифрования — таким образом хакеры
нарушают прочность кодирования сети и получают доступ к сообщениям, загрузочным
файлам и истории посещения сайтов жертвы.
Самый верный
способ обезопасить себя — это
быть крайне осторожным с публичными и «открытыми» Wi-Fi сетями, так же
не стоит забывать про регулярное обновление операционных систем своих
устройств.
Руководитель направления
оптимизации и контроля сети компании КРОК Андрей Врублевский рассказал
корреспонденту «Газеты.Ru», что нужно делать, чтобы сохранить персональные
данные.
«Во-первых, после
подключения к публичным Wi-Fi-сетям по возможности использовать защищенное
VPN-соединение. Во-вторых, необходимо отключить Wi-Fi в настройках
смартфона, если в текущий момент времени он не нужен. В-третьих, стоит включить
на смартфоне настройку, которая требует подтверждения подключения к известным
сетям.
Также, лучше воздержаться от
использования подозрительных плагинов и дополнений, которые, якобы, требуется
установить для подключения к сети Wi-Fi, и самое главное, – не вводить свои
учетные данные от социальных сетей и корпоративных аккаунтов во всплывающих
порталах при подключении к Wi-Fi», — сообщил Врублевский.
Чем опасен Wi-Fi
К сожалению, KRACK — не
единственная опасность, подстерегающая пользователей Wi-Fi. Так ценители этой
беспроводной технологии подвержены сразу нескольким угрозам, которые активно
практикуют злоумышленники.
Одной из самых
распространенных уловок является так называемый Wi-Fi «honeypot». Для получения
личной информации пользователей хакеры создают
поддельные точки беспроводного доступа, которые могут выглядеть как
вы ожидали — вплоть до названия и логотипа заведения — однако, данная сеть
принадлежит и управляется злоумышленниками.
При вводе любых личных
данных они отправляются напрямую хакерам.
Кроме того, даже если точка
доступа, которую вы используете, не является обманом, а просто незащищена,
хакеры поблизости могут «подслушивать» ваше соединение, чтобы собрать полезную
информацию. Данные, передаваемые в незашифрованном виде, могут быть перехвачены
и прочитаны. Сюда входят данные из любых служб, для которых требуется протокол
входа в систему (соцсети, аутентификация в банковских приложениях и т.д).
Другой серьезной проблемой
является распространение вирусов. Незащищенные
пользователи, связанные одной и той же сетью, дают возможность кибер-преступникам
довольно легко распространять вредоносное программное обеспечение.
Хакеры также
могут воспользоваться личной сетью пользователя для незаконных целей. Злоумышленники, получающие доступ к незащищенному
Wi-Fi, могут использовать пропускную способность сети и ресурсы для транзакций
и процессов, которые не вредят сети сами по себе, но могут иметь юридические
последствия для сетевых хостов.
Компрометация тела: как утекают данные
биометрии
21.02.2018
Для идентификации личности и доступа к
различным сервисам все чаще используется биометрическая информация (отпечатки
пальцев, изображение радужной оболочки глаза, слепок голоса и т.д.).
Компрометация подобных сведений из централизованных хранилищ влечет еще
более тяжелые последствия, чем утечка классических персональных данных.
Крупнейшей мировой базой биометрических данных на сегодня считается UIDAI –
система идентификации граждан и резидентов Индии. В ней содержатся более
миллиарда уникальных персональных номеров AADHAAR, которые, в частности, служат
для аутентификации в банках и при получении ряда государственных услуг.
В мае 2017 г. правительственные организации допустили утечку порядка 135
млн данных, сообщает аналитический центр InfoWatch. По сведениям
портала WikiLeaks, биометрической информацией миллионов индусов завладело ЦРУ.
Американская спецслужба использовала технологию кибер-шпионажа, разработанную
Class Match.
Хотя власти Индии неоднократно заявляли о безопасности данных UIDAI, в начале
2018 г. национальное хранилище было скомпрометировано полностью.
Яркий пример использования биометрической информации с целью наживы недавно
зарегистрирован там же, в Индии. В городе Сурат арестовали двух владельцев
магазина, которые на основе украденных данных смогли незаконно получать
субсидируемые правительством продукты питания.
Охоту за сведениями физиологического и биологического характера уже ведут
хакерские группировки. Так, в прошлом году злоумышленники взломали сеть
американской компании Avanti Markets, производителя киосков
самообслуживания для приобретения закусок и напитков. Судя по всему,
киберпреступники получили доступ не только к платежным данным, но и к
биометрической информации клиентов компании.
На Филиппинах в феврале 2017 г. произошла утечка данных всех избирателей.
В компьютере, который был украден из Комиссии по выборам, находилась
биометрия (отпечатки пальцев) 55 млн граждан. Хотя данные были
зашифрованы, нельзя исключать, что злоумышленники могли извлечь их.
Аналогичный инцидент ранее случился в Гане. Из избирательной комиссии похищены
четыре компьютера с данными биометрической регистрации голосующих граждан. К
счастью, технические специалисты избиркома сделали копии данных на
USB-накопители.
Подробнее: http://www.vestifinance.ru/articles/98029
5 июля 2018
«Яндекс» проиндексировал Google Docs
и раскрыл тайны пользователей
«Яндекс» начал
индексировать файлы с сервиса Google Docs, не защищенные
настройками приватности. Об этом сообщил паблик MDK в
Twitter.
Из-за действий поисковика стали доступны находящиеся в публичном доступе документы, в том числе
персональные данные и пароли. …. https://lenta.ru/news/2018/07/04/docs/
«Яндекс» нашел все. Все, что мы разрешили
Любой пользователь мог раньше,
может теперь и сможет завтра искать и читать материалы других пользователей,
компаний и корпораций. Чему нас учит «Гугл-гейт»
Интернет-пользователи во
вторник вечером обнаружили, что «Яндекс» в своей поисковой выдаче умеет
показывать материалы из популярного облачного сервиса Google.Docs, владельцы
которых дополнительно не защитили доступ паролем. Кликнув на материал из
результатов поиска по таким материалам, можно было зайти и прочитать их
содержимое. На «утечку» личных данных миллионов
россиян, чувствительных служебных документов и корпоративной переписки компаний
и госучреждений обратили внимание многие СМИ и блогеры…. В компании
«Яндекс» пообещали связаться с Google и указать на потенциальную опасность
«дыры», но к часу ночи среды и сами заблокировали доступ к документам для
поисковых запросов по Google.Docs. При этом искать по материалам Google.Docs до
сих пор могут Mail.ru, Bing и сам Google. Что это было? И что это значит?
Одним из первых на
возможность «Яндекса» найти и показать «чужие» незащищенные документы из облака
Google.docs обратили внимание пользователи популярного сообщества MDK (вторник,
4 июля, около 23:00 по Москве). Юзеры сообщества рассказали, как это можно было
сделать. К примеру, достаточно было ввести в строку поискового запросов текст
вида: «site:docs.google.com пароли», и тогда «Яндекс» показал бы все документы всех
пользователей Google, в названии которых содержалось слово «пароли» кириллицей.
Получив этот список, любой пользователь «Яндекса» мог войти в такой документ и
увидеть его содержимое — например, список чужих паролей от аккаунтов в соцсетях
или пины от банковских карт…..
«Если
у вас в настройках доступа выбран режим «по ссылке» и «общедоступно для поиска
и просмотра», ваша информация может индексироваться поисковыми машинами», —
пояснили в компании. Кстати, именно к таким документам первым делом получает
доступ киберразведка и хакеры.
…В Group-IB добавляют, что пренебрежение элементарными правилами «цифровой
гигиены» сделали общедоступными «даже документы не совсем легальных сфер
бизнеса».
Под «цифровой гигиеной»
специалисты по IT-безопасности ничего нового не подразумевают. Инструкция по
защите личных данных осталась прежней: следить за настройками приватности
своих документов и не предавать в открытый доступ адреса, пароли и пины.
Мобильные приложения уличили в записи
содержимого экрана
НИКОЛАЙ БЕЛКИН 05.07.2018
Исследователи из Северо-восточного университета США
предприняли попытку опровергнуть одну из самых живучих теорий заговора,
связанных с мобильными устройствами — что те якобы подслушивают разговоры
пользователей, чтобы затем точнее нацеливать рекламу в соцсетях. Изучив 17
с лишим тысяч мобильных приложений, такого поведения они не нашли ни в одном из
них. Зато обнаружили кое-что еще.
Как передает издание
Gizmodo, авторы исследования в течение года следили на десяти разных смартфонах
за поведением тысяч приложений, включая принадлежащие Facebook, а также 8
тысяч, отправлявшие в Facebook данные. Не обнаружив доказательств
подслушивания, ученые столкнулись с другой пугающей тенденцией: подсматриванием за содержимым экрана.
В исследовании использовалось специальное оборудование
(см. фото выше) и ПО, задачей которого было фиксировать отсылку приложениями
звуков, изображений или видео, в особенности если они отправлялись на
неожиданные адреса. Как выяснилось, некоторые
приложения отправляют "на сторону" записи происходящего во время их
использования на экране.
Одно из них, приложение сервиса GoPuff для доставки еды, записывало все взаимодействия с ним и передавало аналитической фирме Appsee. В отправляемые данные включались и экраны, где
пользователи вводят информацию — например, свой почтовый индекс. При этом в
политике конфиденциальности GoPuff, с которой пользователи соглашались, начиная
использовать сервис, о передаче данных Appsee не было сказано ни слова.
По мнению исследователей, такое стало возможным, в том
числе, из-за производителей программного обеспечения смартфонов — аппараты на
Android не уведомляют пользователей, когда
приложение записывает содержимое экрана. А ведь такой метод может
использоваться, в том числе, для кражи платежной информации и паролей.
https://hitech.vesti.ru/article/878243/
20 октября 2017
Миллионы компьютеров впервые оказались под
угрозой взлома из-за плеера
Хакеры захватили сайт
компании-разработчика приложений Eltima с целью распространить вирус, способный
заразить устойчивые к вредоносам устройства Apple. Об этом сообщает Bleeping
Computer.
Злоумышленникам
удалось внедрить вирус в новую версию
программы Elmedia Player —
основного мультимедийного проигрывателя для миллионов «яблочных» компьютеров.
Проигрыватель был заражен трояном Proton RAT, уже
известным пользователям Windows. Программа умеет
открывать злоумышленникам неограниченный доступ к устройству и собирать личные
данные: от системных паролей и конфигурации VPN до истории браузеров и данных
криптовалютных кошельков.
В материале издания не
сообщается, когда именно разработчики антивирусного софта из компании ESET обнаружили заражение. Но 19 октября инженеры
скомпрометированной компании сообщили, что очистили сайт и приложение от
вредоносного кода.
О заражении будет свидетельствовать
наличие в системе следующих папок, которые подлежат немедленному уничтожению:
/tmp/Updater.app/
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/
/Library/.rand/updateragent.app/
Тем не менее эксперты
рекомендуют пользователям Apple, недавно устанавливавшим Elmedia Player,
проверить свои компьютеры.
Процент устройств,
работающих на операционной системе MacOS, все еще слишком мал по сравнению с
мировой массой компьютеров на базе Windows, поэтому для «яблочной» техники
довольно редко пишут специальные вредоносные программы. А наличие иммунитета к
вирусам, выводящим из строя Windows, делает устройства Apple фактически
неуязвимыми.
Топ-5 возможных киберугроз в 2018
Атаки на криптоиндустрию
Хакеры переключают свое внимание с банков на криптоиндустрию (ICO, кошельки,
биржи, фонды), где аккумулируется все больше денег. Атаки на такие компании с
точки зрения технической реализации не сложнее атак на банки, в то время как
уровень зрелости ИБ в блокчейн-компаниях гораздо ниже. В то же время
особенности блокчейн-технологий способствуют анонимности и значительно снижают
риск быть пойманным при обналичивании.
Суммарный ущерб от целевых хакерских атак на криптоиндустрию составил более
$168 млн, а доход от атак на криптобиржи варьируется от $1,5 (Bitcurex)
до $72 млн (Bitfinex), в то время как в результате успешной атаки на банк
преступники в среднем зарабатывают всего $1,5 млн.
Взломы криптовалютных бирж проводятся по той же схеме, что и
целенаправленные атаки на банки: используются схожие, а иногда и идентичные
инструменты, а также похожие тактики. Например, злоумышленники получают
SIM-карты по поддельным документам для восстановления паролей и получения
контроля над счетом в криптовалютных сервисах.
Злоумышленники "перенастраивают" популярные банковские трояны, такие
как TrickBot, Vawtrak, Qadars, Tinba, Marcher, для сбора
логинов и паролей пользователей криптовалют. Это говорит о том, что
преступники нашли для себя новую прибыльную нишу и в ближайшее время можно ожидать
снижения их активности в традиционной банковской сфере.
Повышенный интерес к криптовалютной индустрии неизбежно приведет к тому, что
все больше атак будет совершаться не только финансово мотивированными хакерами,
но и группировками, спонсируемыми государствами, которые будут пытаться
использовать этот новый финансовый инструмент для влияния на мировую экономику.
Бестелесные вирусы
Бестелесность и вредоносные скрипты — новый (и теперь уже основной) принцип
проведения атак. Хакеры стараются оставаться незамеченными и для этого
используют "бестелесные" программы, которые работают только в
оперативной памяти и уничтожаются после перезагрузки. Кроме того, скрипты на
PowerShell, VBS, PHP помогают им обеспечивать персистентность (закрепление) в системе,
а также автоматизировать некоторые этапы атаки.
История с NotPetya продемонстрировала, что для захвата контроля над
корпоративной сетью достаточно создать шаблон — заскриптовать несколько простых
шагов. В будущем стоит ожидать большого количества заскриптованных атак, а
также готовых простых инструментов, которые будут автоматически получать
контроль над инфраструктурой компании.
Появление таких инструментов в открытом доступе или в продаже среди хакеров
может привести к лавинообразному росту самых разных атак на корпоративный
сектор. В первую очередь ожидается рост инцидентов с шифровальщиками, кражей
конфиденциальной информации и вымогательством за неразглашение данных, а также
увеличение количества хищений денежных средств и публичных разоблачений, проводимых
не финансово мотивированными атакующими.
В ближайшее время появится больше последователей The Shadow Brokers и
инсайдеров, помогающих WikiLeaks. Ожидается, что авторы вредоносных программ
продолжат более активно выкладывать исходные коды своих программ. Кроме того,
утечки, публикуемые The Shadow Brokers и их возможными последователями, также
будут незамедлительно применяться на практике для создания и усовершенствования
вредоносных программ. Это даст мощный толчок к развитию индустрии
кибернападения.
Подробнее: http://www.vestifinance.ru/articles/95744?page=5
Сбербанк: потери РФ от хакеров достигнут
1,5 трлн
20.10.2017
Москва, 20 октября -
"Вести.Экономика". Потери российских компаний и граждан от
кибератак через два года вырастут в 4 раза и превысят 1,5 трлн руб., заявил
зампред правления Сбербанка Станислав Кузнецов, выступая с лекцией по теме
"Кибербезопасность — как защититься в мире киберугроз" на XIX
Всемирном фестивале молодежи и студентов....
"Масштабы использования в России методов социальной инженерии
свидетельствует о том, что у нас высокий уровень
доверия и низкий уровень киберкультуры", - подчеркнул Кузнецов.
Для защиты от киберугроз Сбербанк разработал "Фрод-мониторинг для
удаленных каналов обслуживания физических лиц", который стал призером
международного конкурса IPMA. Уникальная система фрод-мониторинга,
созданная на основе искусственного интеллекта, в автоматическом режиме защищает
клиентов от некорректных действий, вызванных недостаточным знанием правил
кибербезопасности. С ее помощью Сбербанк выявляет 96–97% мошеннических
операций.
Подробнее: http://www.vestifinance.ru/articles/92704
Из IT утекли
2,3 млрд записей персональных данных
29.11.2017
Число утечек
данных в мире за 2016 год увеличилось примерно на треть, объем скомпрометированной информации вырос
более чем в восемь раз. На долю
высокотехнологичных компаний пришлось почти три четверти всех скомпрометированных
в мире данных – около 2,3 млрд записей, из которых
87% составили персональные данные (ПДн) граждан.
Компрометацию более 95% данных в сфере высоких технологий в 2016 году вызвала 31 «мега-утечка» с ущербом более 10 млн записей каждая,
сообщается в исследовании InfoWatch. В структуре утечек существенно вырос объем
пострадавших ПДн граждан, сократились доли платежной информации, коммерческой
тайны и ноу-хау.
"Мы наблюдаем рост числа утечек и объема скомпрометированных данных
высокотехнологичных компаний, для которых информация, в том числе клиентская, —
это, как правило, ключевой актив, поэтому любая утечка оказывается весьма
чувствительной для бизнеса", — отметил аналитик ГК InfoWatch Сергей
Хайрук.
В 2016 году были похищены данные сотен миллионов пользователей таких популярных
ресурсов, как Facebook, Foursquare, GitHub, iCloud, LinkedIn, MySpace,
Snapchat, Telegram, Tumblr и Twitter. Хакеры с успехом атаковали крупнейшие
почтовые сервисы — Gmail, Hotmail,Yahoo, Mail.ru, похищали данные клиентов
телекоммуникационных компаний, в том числе Deutsche Telekom, Three UK, Verizon
и других операторов.
Несмотря
на рост числа утечек по вине внешнего нарушителя, случаи утечек внутри компаний
высокотехнологичного сегмента также очень опасны. Так, количество утечек
по вине внешнего злоумышленника в сфере высоких технологий увеличилось за год
почти на 15%, в то время как изменение в распределении ущерба в
зависимости от вектора воздействия минимально.
В 2016 году в организациях сферы высоких технологий увеличилось число случаев
умышленных утечек информации, а также доля квалифицированных утечек, которые
связаны с мошенничеством или превышением прав доступа.
«Агрегируя большие объемы пользовательских данных, игроки ИТ-рынка охотно
используют технологии анализа структурированной и неструктурированной
информации — Big Data и другие средства, технологический уровень и функционал
которых существенно вырос, — пояснил Сергей Хайрук. — Но по мере увеличения
объемов генерируемой, обрабатываемой и хранимой информации повышаются и риски
внешних атак на корпоративные ресурсы. Одновременно с этим растет влияние
внутренних нарушителей, а значит, ИТ-компаниям требуются не только эффективные
средства защиты от хакеров, но и современные многофункциональные DLP-
системы для предотвращения утечек информации. В связи с ростом числа
квалифицированных утечек необходимо задуматься и о включении в арсенал защиты
функций UBA — поведенческого анализа пользователей».
Подробнее: http://www.vestifinance.ru/articles/94439
10 крупнейших
утечек данных с начала XXI века
Москва, 10 октября -
"Вести.Экономика". Утечки данных происходят ежедневно по
всему миру, так что довольно сложно бывает отследить их. Однако случается так, что
утечка данных бывает настолько крупной, что на это невозможно не обратить
внимание, так как такие утечки затрагивают огромное количество людей. А
последствия подобных утечек могут быть поистине катастрофичными.
Подробнее: https://www.vestifinance.ru/articles/108283
Найденные в процессорах уязвимости
касаются почти всех современных компьютеров и телефонов. Как с ними
бороться?
Meduza
5 января 2018
В начале января
IT-исследователи рассказали о крупнейшей уязвимости, которой подвержены
практически все современные компьютеры и телефоны. Дыра
в безопасности, в результате которой злоумышленники могут получить
доступ к личным данным пользователей, была обнаружена независимыми
группами исследователей еще полгода назад, однако разработчики процессоров
попросили до 9 января не разглашать данные, чтобы успеть
исправить ошибку. «Медуза» рассказывает, что нужно знать об уязвимостях
и как с ними бороться.
Что за уязвимости?
Уязвимости, получившие
названия Meltdown и Spectre, были найдены командами Google Project Zero
и Грацского технического университета. 1 июня 2017 года они отправили
отчеты о проблеме компаниям Intel, AMD и ARM, занимающим более 90 процентов
на рынке производителей процессоров.
Обнаруженные исследователями
уязвимости особенно масштабны, поскольку фундаментальная ошибка содержится
не в программном обеспечении, а в самих процессорах.
Meltdown («Расплавление») разрушает изоляцию между пользовательскими
приложениями и операционной системой при спекулятивном выполнении
команд. Таким образом, программа-злоумышленник может получить
несанкционированный доступ к оперативной памяти ядра —
и прочитать закрытые данные.
Spectre («Призрак», общее название для еще двух уязвимостей) позволяет
вредоносному агенту считывать данные, к которым он не должен
иметь доступ, — например, пароли из интернет-браузера.
Уязвимости Meltdown
подвержены практически все процессоры, выпущенные компанией Intel с 1995
года (кроме моделей Intel Itanium и Intel Atom, выпущенных до 2013
года). Spectre же касается не только процессоров Intel,
но и AMD и ARM (семейства Cortex-A и Cortex-R). Проще говоря, это почти все
устройства — от персональных компьютеров и ноутбуков
до смартфонов. При этом следов вторжения Meltdown и Spectre
не оставляют — пользователи вряд ли смогут определить,
украли ли у них данные.
Почему о них стало известно только
сейчас?
2 января 2018 года
об уязвимостях сообщил сайт The Register. 9 января производители
процессоров и другие крупные IT-компании намеревались выпустить совместный
отчет о решении проблемы — однако информация оказалась
в публичном доступе за неделю до того. Обнаружившая уязвимости
команда исследователей Грацского университета создала сайт с подробным описанием своих находок.
Что говорят производители процессоров
и программ?
3 января компания Intel
заявила, что в курсе проблемы и вместе с другими производителями
работает над ее решением. Компания пообещала в ближайшие дни
выпустить официальные обновления, которые устранят возникшие уязвимости. При
этом в Intel подчеркнули, что выявленные ошибки «не могут повредить,
изменить или удалить данные пользователей» — хотя проблема
с уязвимостями прежде всего не в повреждении или изменении
данных, а в их возможной краже.
В Apple подтвердили,
что уязвимость присутствует на всех компьютерах и телефонах,
произведенных компанией. В Google заявили, что устранили все уязвимости во всех своих
продуктах, — и опубликовали технические инструкции по защите
от потенциальных атак с помощью Meltdown и Spectre.
Представители Amazon сообщили, что все клиенты компании защищены
от уязвимостей Meltdown и Spectre. В компании также отметили,
что не наблюдали значительного влияния уязвимостей
на производительность своих продуктов.
Как с этим бороться? Мне что-то
угрожает?
Если совсем просто: обновить
все, что можно обновить (а лучше — включить автоматические
обновления).
Уязвимость Meltdown проще
эксплуатировать, однако для ее устранения достаточно обновить
операционную систему — и Microsoft, и Apple уже выпустили соответствующие
обновления для своего программного обеспечения. Если у вас версия Windows
ниже 10, придется скачать и установить обновление вручную;
в противном случае система обновится автоматически. Обновления, которые
позволяют устранить Meltdown, способны серьезно (на треть) замедлить операции, которые требуют обращения
к ядру системы, — например, если вам нужно посмотреть размер папки
на диске, — однако для более обычных действий вроде просмотра сайтов
в интернете или видеоигр таких операций требуется совсем немного.
Использовать
во вредоносных целях уязвимость Spectre сложнее, но тоже возможно.
Чтобы устранить ее, придется обновлять отдельные программы. Главным
образом — браузеры: благодаря Spectre можно получать доступ
к пользовательским паролям; это уже обнаружили и поправили в Firefox.
Александр Горбачев, Александр Филимонов
11 января 2018
В США хакер 13 лет следил за тысячами
людей через зараженные компьютеры
Житель Огайо Филлип
Дурачински через зараженные компьютеры в течение 13 лет следил за тысячами
людей. Также он использовал программу слежения. Об этом сообщили представители
министерства юстиции США.
Дурачински обвиняют по 16
пунктам. Согласно обвинению, хакер разработал вирус Fruitfly, позволявший
ему контролировать зараженные компьютеры и файлы на них, перехватывать данные
клавиатуры, делать скриншоты с экранов, удаленно включать микрофоны и камеры на
компьютерах и записывать аудио и видео.
По информации министерства
юстиции, хакер воровал персональные данные
пользователей, в том числе банковские, налоговые и медицинские данные,
фотографии. Также Дурачински подслушивал и подсматривал за владельцами
зараженных компьютеров. В одном из случаев он скачал несколько миллионов
порнографических картинок с компьютера одной из жертв, включая порнографию с
детьми, передает РИА Новости.:
https://www.vesti.ru/doc.html?id=2974531&cid=8
4
июля 2017
"Гардиан"
сообщила о гигантской утечке персональных данных из британской клиники
Британская
больница незаконно обнародовала данные более 1,5 миллионов пациентов.
Об этом сообщает издание Guardian. Персональная информация о клиентах была
передана дочерней компании Гугл. Это произошло в рамках тестирования нового
приложения по диагностике острой почечной травмы. Руководство больницы было
уверено, что пациенты не узнают об утечке. Однако информация попала к
журналистам, сообщает телеканал "Россия
24". Теперь клиенты могут подать в суд, отстаивая свои
права на защиту персональных данных: https://www.vesti.ru/doc.html?id=2905946
20
июня 2017
Личные
данные 198 миллионов избирателей США вылились в сеть
Компания
Deep Root Analytics, работавшая на Национальный комитет Республиканской партии
США, разместила в сети персональные данные 198 миллионов американских избирателей.
На это обратили внимание специалисты по анализу киберрисков компании UpGuard,
пишет The Hill.
В
общем доступе оказались имена
избирателей, даты их рождения, домашние адреса, номера их телефонов.
Информация была выложена на одном из серверов Amazon. Объем данных составил 1,1 терабайт. Чтобы скачать всю базу,
специалистам потребовалась почти три дня.
Сооснователь
Deep Root Analytics Алекс Ландри подтвердил утечку конфиденциальных данных
избирателей и заявил, что компания несет «полную ответственность за сложившуюся
ситуацию».
Специалисты
по безопасности называют «слив» беспрецедентным. После того, как UpGuard
обнаружил базу в открытом доступе и сообщил об этом Deep Root Analytics, доступ
к ней закрыли.
24
сентября 2016
Yahoo нашла "кремлевский
след" в хакерских атаках
Компания
Yahoo заявила, что к взлому их системы в 2014 году причастны хакеры из России, действовавшие
при поддержке государства, сообщает Газета.Ru со
ссылкой на Wall Street Journal.
Руководство
Yahoo еще в 2014 году пришло к выводам о причастности российских хакеров ко
взлому, так как атака производилась с компьютеров, которые находятся на
территории России, а целью взлома были работающие в России предприниматели.
Однако только теперь руководство компании заявило о том, что хакеры действовали
не просто так, а, якобы, при поддержке государства.
Ранее
сообщалось, что Всемирное антидопинговое агентство (WADA) возложило вину за взлом своей базы данных на российских хакеров.
Кибератака на WADA показала, что многие всемирно известные спортсмены принимали
допинг с
разрешения агентства.
Yahoo!
взломали репутацию
Хакеры взломали 500 млн паролей
Yahoo!
В
результате атаки на серверы Yahoo! в 2014 году хакеры получили данные к 500 млн
аккаунтов. Руководство компании подозревает в этом российских
киберпреступников, пользователи начинают отказываться от услуг сервиса, а
корреспондент «Газеты.Ru» и сам столкнулся с последствиями взлома.
Руководство
Yahoo! полагает, что хакеры, проникшие в системы компании осенью 2014 года,
связаны с Россией. По мнению администрации корпорации, взломщики искали
сведения о 30–40 конкретных пользователях онлайн-сервисов.
Источники,
знакомые с ситуацией, рассказали The Wall Street Journal,
что вторжение было обнаружено спустя несколько недель после нападения. После
этого Yahoo! сообщила о случившемся в ФБР.
Обеспокоенность
выразили и власти США. Сенатор Марк Уорнер заявил, что значение этого взлома
Yahoo! носит крайне серьезный характер. Компания планирует обсудить ситуацию с
ним на следующей неделе.
Не
поясняется, было ли это то самое нападение, которое привело к краже информации
о 500 млн учетных записей пользователей. Информацию о том взломе в Yahoo!
подтвердили в четверг, 22 сентября. Тогда компания отметила, что данные были
украдены с серверов компании в конце 2014 года злоумышленниками, «проспонсированными
государством».
На
фоне признания акции Yahoo Inc. на бирже NASDAQ в пятницу, 23
сентября, подешевели на 2%.
Похищенные
из базы данных Yahoo! сведения включали в себя имена, адреса электронной почты,
номера телефонов, даты рождения и пароли, а также информацию о банковских
счетах.
Реакция
пользователей
Из-за
масштаба взлома и привычки пользователей задействовать одинаковые пароли в
разных сервисах эксперты по кибербезопасности прогнозируют, что атака может
сказаться на безопасности данных и на других интернет-площадках. Уязвимыми
могут оказаться счета в банках, онлайн-магазинах и т.д.
Особо
внимательно к своим данным следует отнестись пользователям фотосервиса Flickr и
блог-платформы Tumblr, которые принадлежат Yahoo!.
Компания
подверглась общественной критике за столь позднее признание о компрометации их
личных данных злоумышленниками.
Многие
пользователи, как пишет Reuters, приняли решение не
просто поменять свои пароли, но и вовсе отказаться от услуг Yahoo!, закрыв свои
профили.
В
социальных сетях и вовсе начали публично высказывать свое отношение к Yahoo! в
связи со взломом.
Некоторые
владельцы профилей отметили, что изменили пароли не только в сервисах этой
компании, но и на других платформах, где использовали тот же самый пароль.
Также
сообщалось, что житель Нью-Йорка Рональд Шварц подал на Yahoo! в суд после
того, как в компании подтвердили похищение данных 500 млн аккаунтов. Американец
обвинил корпорацию в халатности. Иск направлен от лица всех граждан США,
пострадавших в результате взлома.
В
Yahoo! не прокомментировали возможное будущее судебное разбирательство.
В
мае 2016 года специалист по компьютерной безопасности Алекс Холден заявил,
что хакеры из «российского преступного
мира» похитили пароли и логины от 272 млн учетных
записей.
Из-за
масштабной атаки, по словам эксперта, больше всего пострадала Mail.Ru. Кроме
того, были взломаны аккаунты учетных записей в Google, Yahoo, Microsoft.
Компания
Hold Security, занимающаяся кибербезопасностью, нашла на одном из форумов
российского хакера, который хвастался украденными учетными записями.
Неизвестный утверждал, что ему удалось
завладеть 1,17 млрд аккаунтов.
Пока
что неясно, связано ли это со взломом, который был признан руководством Yahoo!
на днях.
Проверка
на предмет взлома
Корреспондент
«Газеты.Ru», по всей вероятности, тоже столкнулся с последствиями похищения
данных из пользовательской базы Yahoo!. На протяжении нескольких недель автор
этой заметки получает сообщения о непредвиденной попытке входа в почту Yahoo!.
При
этом пароль, используемый в сервисе, индивидуален именно для него и не похож на
комбинацию «12345678», «qwerty» и другие варианты простых паролей, который
пользователи устанавливают по ошибке.
Кроме
того, почта на Yahoo! практически не используется, не связана с другими
интернет-сайтами и нигде не указывалась. После получения тревожных сообщений
пароль несколько раз менялся, однако попытки «залогиниться» на сайте Yahoo!
сторонними лицами все еще продолжаются.
Так,
площадки подтвердили, что пароль от почты корреспондента «Газеты.Ru» на Yahoo!
действительно был похищен.
Эксперты
по безопасности не устают напоминать, что для надежной защиты пароль должен
содержать как минимум буквы в разном регистре и цифры.
Необходимо
использовать и разные значения для учетных записей на других площадках. В
идеале следует использовать пароль, сгенерированный случайным образом. Для
этого существует несколько специальных сервисов, которые создают комбинации
разной степени сложности.
Дополнительной
защитой является двухфакторная аутентификация. Помимо обычного логина и пароля
практически все соцсети и мессенджеры предлагают привязать аккаунт, например, к
номеру телефона. В этом случае хакер не сможет взломать профиль, поскольку,
помимо логина и пароля, ему необходимо будет ввести код, который обычно
отправляется по SMS.
Хакерская
атака затронула все 3 млрд аккаунтов Yahoo
04.10.2017
Yahoo!
раскрыла новые подробности взлома, произошедшего в 2013 г. Как выяснилось, в
ходе атаки хакеры смогли получить доступ не к 1 млрд, а к 3 млрд аккаунтам, то есть она затронула всех без
исключения пользователей почты Yahoo! и других ее сервисов, таких как
фотохостинг Flickr.
Компания Oath в свежем отчете раскрыла масштабы хакерской атаки 2013 г. на пользователей
электронной почты Yahoo!. Выяснилось, что взломщики украли втрое больше
паролей, чем предполагалось, — около 3 млрд.
"Проанализировав данные при участии сторонних экспертов в области
кибербезопасности, Yahoo! установила, что все аккаунты, существовавшие на
августа 2013 г., были, скорее всего, затронуты хакерской атакой", —
говорится в распространенном компанией сообщении. Специалисты считают, что
столь масштабная атака стала возможна из-за того, что информация, полученная
хакерами, была защищена устаревшим методом шифрования.
"Среди похищенных данных также обнаружились секретные вопросы и запасные
почтовые ящики, что облегчило взлом сети из разных аккаунтов, принадлежащих
одним и тем же пользователям", — говорится в сообщении.
От крупнейшей атаки пострадали все аккаунты Yahoo!, которые действовали в 2013
г. О краже данных миллиарда аккаунтов Yahoo! сообщила в декабре 2016 г. Перед
этим в сентябре компания раскрыла данные об атаке в 2014 г., затронувшей
полмиллиарда пользователей. Как тогда заверяли в Yahoo!, данные о
банковских счетах и кредитных картах хакерам не достались.
В Yahoo! всю вину возложили на хакеров, действовавших по заказу неназванного
государства. Власти США подозревают хакеров из России . В марте 2016 г.
Министерство юстиции США предъявило обвинения
в кибератаке на Yahoo! трем россиянам, двое из которых сотрудники ФСБ России.
Летом этого года телекоммуникационный гигант Verizon завершил долгое поглощение
Yahoo! и объединил приобретенные активы с существующим бизнесом AOL в новом
дочернем предприятии под названием Oath. Оператор заплатил за Yahoo! $4,5 млрд.
Сумма сделки несколько раз корректировалась, а дата переносилась, не в
последнюю очередь из-за ставшей публичной информации о масштабном взломе.
Если среди пользователей есть еще те, кто имеет аккаунт Yahoo!, то им
рекомендуется на всякий случай сменить пароль, придумать новый секретный
вопрос, включить двухэтапную аутентификацию и не удалять аккаунт в ближайшее
время.
Подробнее: http://www.vestifinance.ru/articles/91961
Вести.net:
"умная" Android-клавиатура похитила личные данные 31 миллиона
пользователей
06.12.2017
Стороннюю
Android-клавиатуру AI.type признали виновной в
утечке личной информации 31 миллиона пользователей. Из-за
незащищенной паролем базы в открытом доступе оказались свыше 600 гигабайт
персональных данных. От платных аккаунтов "утекли" имена, адреса,
электронная почта, а также точные местоположения устройств. Для пользователей
бесплатной версии AI.type список еще больше: уникальные номера устройства,
его марка и модель, IP-адрес, телефонный номер и даже вся записная книжка....: https://hitech.vesti.ru/article/710983/
22 ноября 2017
Данные миллионов клиентов и водителей Uber
похищены хакерами
По информации агентства
Bloomberg, хакеры похитили личные данные 57 миллионов клиентов и
водителей онлайн-сервиса заказа такси Uber.
В результате компьютерного
взлома, совершенного около года назад, были похищены имена, электронные
адреса и номера мобильных телефонов 50 миллионов пользователей сервиса по всему
миру, а также личные данные 7 миллионов водителей, сообщает РИА Новости. Как отмечают в Uber, данные о кредитных картах,
маршрутах поездок и конфиденциальная информация к похитителям не попала.: https://hitech.vesti.ru/article/691285/
10
августа 2017
Ассанж: Россия осознанно троллит США
Основатель
сайта WikiLeaks Джулиан Ассанж считает, что постоянный троллинг Россией властей США является намеренной политикой,
и наблюдательный полет над штаб-квартирой ЦРУ в Лэнгли по договору
"Открытое небо" был частью этой политики.
Как
передает РИА
Новости, об этом Ассанж написал в Twitter, подчеркнув, что
частью троллинга являются попытки России показать, что она стоит за многими
событиями, которые раздражают истеблишмент США.
Он
отметил разницу между насмешками и проявлениями силы. По его мнению, троллинг
нацелен на то, чтобы провоцировать реакции, а не на сдерживание. Тогда
как, по словам Ассанжа, западные страны более заинтересованы в том, чтобы
раскручивать угрозу со стороны РФ для того, чтобы повысить собственную
значимость и пополнить свои бюджеты.
В
качестве примера основатель сайта WikiLeaks привел окружение канцлера Германии
Ангелы Меркель, которое перед выборами заинтересовано в росте популярности
мнений об угрозе со стороны Москвы. А вот демократы США, по мнению Ассанжа,
раскручивают данную "угрозу", чтобы оправдаться за свое поражение на
президентских выборах в 2016 году: https://www.vesti.ru/doc.html?id=2919644
OnePlus
уличили в сборе персональных данных
ОЛЕГ
ИЛЮХИН 11.10.2017
Компанию
OnePlus обвинили в сборе огромного массива статистических данных с
Android-смартфонов. Информация, которая передавалась на удаленные серверы,
включала номера IMEI и MAC-адреса, названия мобильных сетей, серийные номера, а
также префиксы IMSI (индивидуальный номер абонента), по которым может быть
установлена личность владельца устройства.
Неправомерный
сбор данных заметил инженер Кристофер Мур, изучая входящий и исходящий
интернет-трафик со смартфона OnePlus 2. Эксперт выяснил, что его аппарат
регулярно подключался к AWS-серверу open.oneplus.net и отсылал большие объемы
информации. Данные передавались в зашифрованном виде по протоколу HTTPS.
Воспользовавшись
ключом аутентификации на своем устройстве, Мур смог расшифровать содержимое
пакетов. Как оказалось, OnePlus 2 передавал не только личные данные,
позволяющие идентифицировать пользователя, но и сведения о блокировке,
разблокировке и внезапной перезагрузке смартфона.
В
комментарии сайту Android Police представители OnePlus заявили, что компания
"надежно передает аналитику двумя разными потоками через HTTPS на сервер
Amazon". Первый поток включает статистику об использовании, позволяющая
"точнее настроить наш софт в соответствии с поведением пользователя".
Эту функцию можно отключить, зайдя в
"Настройки" -> "Дополнительно" ->
"Присоединиться к пользовательской программе". Второй поток
включает "информацию об устройстве, которую мы собираем, чтобы обеспечить
лучшую послепродажную поддержку", объяснили в OnePlus. Источник: Android Police
Сервис
Cloudflare должен защищать сайты. Но он месяцами сливал данные
пользователей в открытый доступ Среди
клиентов сервиса — Uber, 1Password и «Авито»
Meduza 24 февраля 2017
23 февраля
крупнейшая сеть доставки контента Cloudflare объявила о выявлении
серьезной уязвимости. Как оказалось, сервис, который должен защищать сайты,
передавал информацию о пользователях в открытом виде,
и ее мог получить любой, кто знал об уязвимости. По счастливой
случайности, обнаружил «дыру», которой как минимум пять месяцев,
не злоумышленник, а специалист по безопасности из Google.
«Медуза» рассказывает, почему уязвимость Cloudflare — это серьезно.
Что
такое Cloudflare?
Сервис
Cloudflare существует c 2009 года и, как говорится на сайте компании,
«заставляет интернет работать так, как он должен». По сути, Cloudfare
это посредник между сайтом и пользователем, который одновременно защищает
сервера клиентов (то есть того или иного сайта или сервиса)
и ускоряет открытие сайта для обычных посетителей.
К примеру,
владельцы небольших сервисов с помощью Cloudflare избавляются
от необходимости тратиться на сервера и на защиту
от DDoS-атак — вопрос доступа к сайтам своих клиентов Cloudflare
берет на себя и фильтрует запросы, которые похожи на атаки.
Сервис также занимается защитой всех данных, проходящих через его сеть
и гарантирует их конфиденциальность. Многие функции Cloudflare
бесплатны и доступны для владельцев небольших сайтов, но компания
работает и с очень крупными клиентами: Uber, сайт знакомств OKCupid,
сервис хранения паролей 1Password и другими, в том числе российский
сайт с объявлениями «Авито».
Cloudflare —
крупнейший подобный сервис, его услугами пользуются более пяти миллионов
различных сайтов. Он не раз защищал сайты от крупных DDoS-атак.
В чем
заключается уязвимость?
Как
выяснил специалист по сетевой безопасности Google Тэвис Орманди, при
обычном обращении к определенной странице в сети Cloudflare сервис
отдавал не только запрашиваемые данные, но и часть данных
какого-нибудь другого сервиса. Сначала ему показалось, что ошибка в его
собственном коде (Орманди работал над каким-то своим проектом), но потом
он выяснил, что это уязвимость на стороне Cloudflare — так
происходило, когда та или иная страница с точки зрения одного
из механизмов сервиса была составлена с ошибками. Причем среди данных
были и персональные данные, и сведения об авторизации
пользователей, которые работают с сервисом. В том числе Орманди
удалось обнаружить информацию с сайтов Uber и OKCupid. Полученные
сведения он уничтожил.
Так
происходило примерно один раз на три миллиона запросов, однако если учесть
количество клиентов Cloudflare, то к уязвимости нужно относиться
крайне серьезно. Тем более что если один раз найти страницу с ошибками,
через которую утекают данные, то обращаться к ней можно сколько
угодно раз — и каждый раз получать конфиденциальную информацию
из сети Cloudflare.
Ошибка
закралась в систему, которая готовит страницы для распространения через
сервис Google AMP, ускоряющий просмотр сайтов на мобильных устройствах.
Из-за уязвимости случайное количество данных попадало в открытый доступ
и их индексировали поисковые машины. Как выяснили в Cloudflare
(на подробный анализ потребовалась почти неделя), уязвимость появилась
не позднее 22 сентября 2016 года — то есть пять месяцев
в открытый доступ попадали случайные порции конфиденциальных данных,
в том числе личной информации пользователей крупнейших компаний.
Среди
«утекшей» информации оказался ключ шифрования, который использовали
в Cloudflare для защиты собственных сетей.
«Это
была ошибка в штуке, которая понимает HTML. Мы распознаем изменения
веб-страниц на лету, и пропускаем через наши системы, Чтобы это
работало, страницы должны быть у нас в памяти. Оказалось, что можно
дойти до конца страницы и попасть в ту часть памяти, куда
смотреть не стоило», — объясняет один
из создателей Cloudflare Джон Грэм-Камминг.
Какие
последствия?
Достоверно
не известно, какие именно данные попали в открытый доступ,
и смог ли кто-нибудь их найти. В Cloudflare утверждают, что
никакие злоумышленники уязвимостью воспользоваться не успели, потому что
не знали о ней — хотя она и существовала почти полгода.
Компания заверяет, что в противном случае обязательно обнаружила бы
подозрительную активность хакеров.
Если
эти утверждения — правда, и первым об уязвимости действительно
узнал специалист по компьютерной безопасности из Google,
у которого не было никаких дурных мотивов, то главная проблема
утечки заключается в кэшированных интернет-поисковиками данных. Cloudflare
уже начала активную работу со всеми крупнейшими поисковыми системами
и оперативно вычищает все конфиденциальные сведения практически на глазах
(«Медузе» удалось найти в одной из кэшированных страниц Google
непубличные данные с сервиса Uber, а спустя несколько часов они
перестали быть доступны).
На github
уже собран список крупнейших
сайтов, которые работали с Cloudflare и могли быть подвержены утечке
данных. Наиболее важный из них, сервис хранения паролей 1Password,
уже заявил, что данные его
пользователей все время находились в безопасности — компания
использует более сложные системы защиты. Не нанесен ущерб
и пользователям российского сайта объявлений «Авито». В списке
сайтов, чьи данные все же могли попасть в открытый доступ, есть,
помимо Uber, блог-сервис Medium, торрент-трекер The Pirate Bay, сайт 4pda.ru
и многие другие. Если у вас была учетная запись на одном
из этих сайтов, лучше сменить пароль.
Как же так, Марк: Facebook обвинили в шпионаже
Facebook годами собирала данные о звонках и SMS
своих пользователей
У Facebook новые проблемы —
пользователи, которые решили отказаться от использования платформы, обнаружили в архивном массиве данных подробную информацию о своих
звонках и SMS-сообщениях. Компания на протяжении нескольких лет собирала
эти сведения, но, согласно официальному заявлению, делала это исключительно с
согласия своих юзеров.
Не прошло и недели с того
момента, как Марк Цукерберг публично извинился за утечку данных из Facebook и скандал
с Cambridge Analytica, как СМИ сообщили о новой неприятной истории,
связанной с социальной сетью.
Сразу несколько
пользователей Twitter заявили о том, что мобильное приложение Facebook для
Android на протяжении нескольких лет собирало информацию о всех их звонках и
SMS-сообщениях.
Архив всей жизни
Неожиданное открытие первым
совершил новозеландец Дилан МакКей. В рамках кампании #DeleteFacebook (рус.
«удали Facebook), МакКей, как и многие недовольные пользователи соцсети, решил
избавиться от своего аккаунта.
Тем не менее, перед тем, как
безвозвратно удалить конкретный профиль, Facebook предлагает скачать архив с
личными данными, который представляет собой копию
всей информации о пользователе — его фотографии, «лайки» и репосты, историю
переписок в чатах, IP-адреса и т.д.
После того, как Дилан МакКей
решил просмотреть архив, он обнаружил в нем подробный отчет о звонках и SMS,
отправленных с его смартфона. В отчете содержались данные о времени звонка и
продолжительности разговора.
Кроме того, в архиве
Facebook хранились телефонные номера всех контактов МакКея, включая те, которые
были уже удалены из памяти телефона.
Портал Ars Technica связался с Facebook, чтобы
прояснить ситуацию. Представитель социальной сети в ответ заявил о том, что основной
целью всех приложений-мессенджеров является улучшение пользовательского опыта,
а значит обеспечение легкого доступа к переписке с любым человеком.
Чтобы этого достичь,
приложения при первой загрузке часто запрашивают доступ к телефонной книге пользователя.
При этом последний может отказать приложению — в таком случае, его данные
останутся в безопасности.
Тем не менее, судя по
сообщениями пользователей, Facebook занимался сбором информации на протяжении
многих лет, в том числе и тогда, когда операционная система Android
устанавливала менее строгие требования к приложениям. Вероятно, что на старых
версиях Android API и вовсе отсутствовал запрос о доступе, а Facebook получал
данные пользователей по умолчанию.
Отмечается, что на
устройствах на базе iOS такой проблемы нет — большинство приложений, заточенных
под «яблочную» ОС, в том числе и Facebook, никак не могут считывать информацию
о звонках и сообщениях.
Черная полоса для компании
После широкого освещения
истории в прессе, Facebook решила опубликовать официальное разъяснение по поводу сложившейся ситуации. Как
говорится в блоге компании, сохранение истории звонков
и переписки — неотъемлемая часть функционала приложений Messenger и Facebook
Lite, от которой, тем не менее, можно отказаться.
«Если пользователи больше не
хотят пользоваться этой функцией, они могут отключить ее в настройках, и вся
собранная информация о звонках и сообщениях будет удалена», — сообщается в
публикации Facebook.
Социальная сеть подчеркнула,
что бережно хранит эти данные и не передает их третьим лицам.
Кроме того, у компании нет
доступа к содержанию звонков и сообщений — она обладает лишь технической
информацией.
К сожалению, заверения
Facebook о том, что информация пользователей находится в безопасности, звучат
по меньшей мере неубедительно, ведь неделю назад социальная сеть
оказалась замешана в крупном скандале — компания Cambridge Analytica свободно
пользовалась личными данными юзеров Facebook.
Платформа действительно не
передавала эту информацию третьим лицам, как и обещала — утечка произошла в
обход Facebook. Генеральный директор и создатель компании Марк Цукерберг в
минувшие выходные выкупил страницы в национальных газетах Великобритании, чтобы
опубликовать личные извинения в связи с потерей данных 50 млн человек.
Никому ни слова: как ЕС скроет
персональные данные
Зачем Европе нужен новый
регламент по защите персональных данных (GDPR)
В конце мая 2018 года на
территории Европейского союза вступает в силу регламент по защите персональных
данных пользователей, который носит экстерриториальный характер. Новые правила
распространяются не только на европейские компании, но на любые организации,
имеющие доступ к личным данным гражданина ЕС. «Газета.Ru» разобралась, что это
за документ и как он отразится на рядовых пользователях и российских компаниях.
Что такое GDPR и что он меняет?
GDPR (General Data
Protection Regulation) — это новый регламент хранения, использования и сбора
пользовательской информации, который вступает в силу на территории всего
Европейского Союза с 25 мая 2018 года и носит обязательный характер.
Данные правила
распространяются не только на социальные сети, мессенджеры, сайты знакомств и
прочие сервисы, которые непосредственно связаны с личной информацией
пользователя, но вообще на любые организации и службы, которые получают
сведения в электронном виде. Туристические агентства, интернет-магазины — любые
сайты с регистрацией и вводом личных данных подпадают под новый порядок.
Регламент несет в себе много
изменений существенного характера. Во-первых, организация, которая
осуществляет сбор личной информации, обязана должным
образом уведомить пользователя о том, что его данные будут храниться на
серверах компании. Это должно быть сделано явно, «понятным текстом»
и требовать от пользователя согласия не в виде простой
галочки или кнопки «согласен», а в виде «четкого утвердительного акта в
письменной или устной форме».
Бездействие
субъекта не должно восприниматься сервисом как молчаливое согласие. Законодатель предусмотрел возможность отказа от
передачи личной информации.
Сам процесс должен быть максимально прозрачным для
обеих сторон, а субъект информации должен иметь
право в любой момент полностью удалить сведения о себе.
Во-вторых, вся собранная информация должна обеспечиваться должным
уровнем защиты. В комплекс мер обязательно должны входить обезличивание данных, то есть информация
связывается не с фамилией и именем клиента, а с его псевдонимом или специальным
индивидуальным кодом. Сервис обязан своевременно сообщать обо всех утечках
информации, произошедших как по вине компании, так и по причине хакерской атаки
и взлома.
В-третьих, компаниям запрещается передавать какие-либо сведения третьим
лицам, что связано с последними скандалом, касающимся Facebook и
сбора персональной информации для сторонних организаций.
За несоблюдение нового
законодательства предусмотрены штрафы, верхняя планка которых установлена на
уровне €20 млн, что будет ощутимым ударом даже для таких гигантов рынка,
как Microsoft и Google.
Пока остается неясным, каким
образом и в каком размере будут штрафовать компании, юридически не
зарегистрированные на территории ЕС. Стоит отметить, что размер возможного
штрафа будет определяться отдельно по каждому случаю, а рассматривать дела
будет Европейский суд по правам человека.
Подготовка идет полным ходом
Крупные социальные сети и
мессенджеры уже вовсю готовятся к новому регламенту. WhatsApp объявил об
обновлении пользовательского соглашения в связи с вступлением в силу GDPR.
Самое существенное изменение
— это минимальный возраст для использования приложения, который теперь
составляет не 13, а 16 лет.
Стоит отметить, что для всех
других регионов минимальный возраст остался на прежнем уровне.
Популярная социальная сеть
Instagram также изменила некоторые условия использования. Среди них можно
отметить функцию, которая позволяет выгрузить всю пользовательскую
информацию, включая все фотографии и видео из постов, в виде отдельного файла или
архива, который будет отправлен на электронную почту. Представители
социальный сети заявили, что таким образом пользователям будет проще удалить
свой аккаунт и иметь возможность не потерять весь тот контент, который
изначально был доступен только в этой социальной сети….
Дело не только в Европе
Нормы GDPR действуют для
всех юрлиц, работающих с персональными данными и осуществляющих деятельность на
территории Европейского Союза, вне зависимости от того, где они
зарегистрированы. Поэтому крупным российским компаниям также придется
подстраиваться под новые правила.
Старший аналитик ИК «Фридом
Финанс» Богдан Зварич полагает,
что GDPR коснется российских компаний, которые предлагают свои продукцию и
услуги на локализованных в Европе сайтах в местной валюте, то есть имеют
необходимость собирать персональные данные граждан ЕС. Соответственно,
компаниям придется перерабатывать формы получения согласия на обработку
персональных данных, а сам объем получаемых данных может быть сокращен в связи
с новыми правилами.
Руководитель юридического
отдела «ВКонтакте» Мария Клименко пояснила «Газете.Ru», что российское законодательство разделяет
большую часть фундаментальных принципов и гарантий, лежащих в основе GDPR.
«Что касается «ВКонтакте»,
мы всегда в полной мере соблюдаем законодательство, и GDPR не является
исключением. Для европейских пользователей появится новая политика
конфиденциальности, в которой простым и понятным языком мы расскажем о том,
какие данные обрабатываются при использовании нашего продукта, как именно они
обрабатываются и почему их обработка необходима. Наша подготовка включает в
себя также адаптирование существующих процессов и деятельности компании, в том
числе работы службы поддержки, с целью полного соответствия нюансам нового
европейского регулирования», — рассказала собеседница «Газеты.Ru».
Российские
спецслужбы получат доступ к подключённой к интернету бытовой технике
Правительство обяжет поставщиков бытовой техники с подключением к
интернету предоставлять доступ к хранящимся в устройствах данных спецслужбам.
Такое положение содержится в концепции развития в России интернета вещей,
одобрить которую планирует министерство цифрового развития страны, пишет газета
"Коммерсантъ".
Проект обязывает участников рынка подключать умные устройства к системе
мониторинга данных для силовых структур СОРМ, чтобы правоохранительные органы
имели доступ к информации с платформ. Кроме того, власти предлагают
создать закрытую сеть умных устройств, работающих на российском рынке. Каждое
устройство и точки доступа к нему должны будут идентифицироваться государством,
использование техники без идентификаторов должно быть ограничено.
·
Умные устройства считаются одной из важнейших точек
роста в IT-технологиях, по данным компании Gartner
в 2019 году к сети будут подключены 14.2 миллиарда умных устройств, а в
2025 — уже 25 миллиардов.
·
Российский рынок интернета вещей (IoT) будет расти в
среднем на 7-8 процентов в год, а совокупный объем может превысить 80
миллиардов рублей к 2020 году, цитирует исследование
Schneider Electric агентство "Прайм".
25 июня 2018
В Китае за гражданами начали следить дроны
в виде птиц
Власти Китая запустили в
пяти государственных провинциях специальные дроны, похожие на голубей. Они
могут летать стаями и запущены, по некоторым данным, на границе с Монголией, Казахстаном
и Россией, а также в Синьцзян-Уйгурском автономном районе, где живут
мусульмане, сообщает South China Morning Post.
Дронов в виде голубей
создали сотрудники Северо-западного политического университета в Сиане.
От обычных дронов железные
птицы отличаются тем, что могут маскироваться под уличных голубей, делая резкие
нырки в воздухе и хлопая крыльями.
Кроме того, новые
беспилотники гораздо более бесшумные и маневренные, чем дроны, которые
использовались властями разных стран до этого.
"Голуби" будут оснащены
камерами, GPS-датчиками и спутниковой связью.
Разработчики говорят, что
считают подобные устройства перспективными для использования в гражданской
авиации, однако журналисты опасаются, что власти КНР
будут использовать инновационные дроны для слежки за гражданами.
По данным представителей
СМИ, железные голуби уже совершили около двух тысяч тестовых полетов.
https://www.vesti.ru/doc.html?id=3031679&cid=7
Оруэлловская антиутопия близко. Китай
первым реализует эффективный контроль через соцкредит?
Москва,
12 июля - "Вести.Экономика".
В конце марта 2019 г. китайская
компания CY Credit в партнерстве с Центральным комитетом Коммунистической
молодежной лиги и Национальной комиссией по развитию и реформам запустила
социальный рейтинг для молодежи.
Отследить свой социальный рейтинг китайцы смогут в мобильном приложении Unictown,
которое разработала компания CY Credit по заказу Коммунистического союза
молодежи Китая.
Приложение анализирует "цифровой отпечаток" молодых людей в Китае,
присваивая каждому пользователю от 350 до 800 баллов. Любой, кто
наберет больше 640 очков, попадет в особую группу и получит доступ к
привилегиям. Эта инициатива призвана стимулировать социально полезное поведение
Благонадежные пользователи получают преимущества при собеседовании на
работу, льготы по дополнительному обучению, а в целом вознаграждение может
включать даже аренду квартир, образование за рубежом и даже выгодный брак.
Приложение собирает, сортирует и анализирует огромное количество данных от
уровня образования до покупок в онлайн-магазинах. Социальный рейтинг становится
основой для вознаграждения аналогично тому, как банк предлагает более высокие
кредитные лимиты с более низкими процентными ставками для клиентов с хорошей
репутацией. Однако социальный кредит гораздо шире и включает в себя
нефинансовые действия, такие как антиобщественное поведение и волонтерство.
К 2020 г. к системе планируют подключить всех
жителей в возрасте от 18 до 45 лет, то есть около 460 млн
человек. Как сообщает South China Morning Post, обладателей низкого рейтинга
наказывать не планируют. Предполагается, что они сами захотят улучшить свои
показатели, чтобы открыть доступ к привилегиям.
"В отличие от других программ, наша система поощряет хорошее поведение. Она помогает молодым людям понять, как вести себя, чтобы
стать лидерами и ролевыми моделями для представителей своего поколения",
— рассказал SCMP президент CY Credit Ши Яньин.
Как объясняют создатели приложения, в основе Unictown лежит концепция пяти
постоянств праведного человека, предложенная Конфуцием. К ним относятся доброжелательность,
тяга к справедливости, следование обычаям, рассудительность и искренность.
"При оценке человека в Китае задают один главный вопрос — на него можно
положиться или нет?" — утверждает Ши.
Правительство начало внедрять систему социального рейтинга в 2014 г. Аналитики
полагают, что власти надеялись повысить степень доверия в обществе. Западные
активисты обвиняют Компартию в слежке за гражданами и вторжении в частную
жизнь, однако сами китайцы поддерживают подобные программы.
В 2018 г. немецкие исследователи опросили 2200 граждан Китая, чтобы узнать их
отношение к системам социального рейтинга. Оказалось, что 80% китайцев
пользуются коммерческими системами скоринга, например Sesame Credit. При этом
лишь 7% знают, что правительство имеет доступ к их персональным данным.
Опрос также показал, что 80% респондентов в какой-то степени
или полностью поддерживают рейтинги благонадежности. При этом чаще всего за
системы социального скоринга высказывались образованные городские жители более
старшего возраста с более высоким уровнем достатка. Это необычно, так как
представители этой группы в других странах выше других ценят приватность.
В то же время 76% опрошенных признали, что считают взаимное недоверие главной
проблемой китайского общества.
В 2016 г., когда Китайское национальное управление по туризму опубликовало в
сети список граждан, которым ограничили доступ к перелетам, пользователи
отреагировали позитивно. Новостями регулярно делились в соцсетях, а публикациям
щедро ставили лайки. Это еще одно доказательство положительного отношения к
системам слежки.
Как именно работает система социальных кредитов, точно не знает никто, но
известно, что рейтинги рассчитываются исходя из всего массива
информации, который государству удается собрать о гражданине. Для некоторых
система социальных кредитов сулит большие возможности, для других - наказание.
План Коммунистической партии заключается в том, чтобы следить за своими
гражданами 24 часа в сутки и 7 лет и оценивать их поведение, полностью
функциональной систему планируют сделать к 2020 г.
По данным Австралийской вещательной корпорации (ABC), запущенная пилотная
программа уже оценивает миллионы людей по всей стране. В настоящее время более
200 млн камер наблюдения используют программное обеспечение с искусственным
интеллектом и системой распознавания лиц, которое добавляет или вычитает очки
рейтинга на основе поведения в реальном или цифровом мире.
Данные, собранные из обширной сети камер, смешиваются с
информацией, собранной из правительственных отчетов отдельных лиц, медицинских,
финансовых документов и даже интернет-страниц. Рейтинги людей могут
меняться в реальном времени в зависимости от поведения человека, но другие люди
также могут также влиять на оценки. Например, можно
потерять баллы из-за общения с "нежелательными" лицами.
Граждан, которые могут похвастаться наибольшим количеством баллов, ждут приятные
бонусы, такие как VIP-обслуживание в аэропортах, возможность получить
кредит под меньшую процентную ставку, внеконкурсное зачисление в лучшие
университеты государства и др. Те, чей рейтинг
окажется самым низким, не смогут претендовать на хорошую работу, будут
отключены от скоростного интернета, а их дети не смогут посещать
престижные школы. На результат влияют банковские задолженности,
дорожные штрафы, предосудительное поведение онлайн и курение в общественных
местах. Очки можно поднять, став донором крови или приняв участие в
благотворительном проекте.
Разработанная китайским ИТ-гигантом Alibaba система оценки давно вышла
за рамки традиционного кредитного скоринга. Она анализирует
не только кредитную историю, но также уровень образования, историю покупок и
даже контакты пользователя. Более того, компания не скрывает, что передает данные о пользователях правительству.
В "черный список" правительства попадают знаменитости и крупные
предприниматели — в основном за неуплату налогов. Рейтинг также понижают за критику властей, нарушение ПДД и
другие мелкие проступки, которые отслеживают с помощью информаторов и
цифровых сервисов. Одновременно с этим учитываются сведения из
государственных баз данных, так что ни один аспект
жизни не остается незамеченным.
Социальная кредитная система развернута по меньшей мере в дюжине городов Китая.
Несколько технологических компаний работают с правительством над созданием
обширной инфраструктуры, настройками технологии и завершения алгоритмов,
которые определяют рейтинговую оценку. Это самый крупный проект социальной
инженерии в современной истории, а также способ, при помощи которого китайская элита будет иметь возможность
контролировать более миллиарда человек.
Подробнее: https://www.vestifinance.ru/articles/122036
03:01,
15 июля 2019
Россия
поддержала китайский метод «перевоспитания» мусульман
Россия, Белоруссия, Таджикистан и еще 34 страны поддержали
в Совете по правам человека ООН политику
Китая по «перевоспитанию» в пенитенциарных учреждениях в
Синьцзян-Уйгурском автономном районе (СУАР) уйгуров. Об этом сообщает
«Коммерсантъ» со ссылкой на источник в российской делегации.
Отмечается,
что эти страны поддержали китайское заявление на сессии Совета ООН по правам
человека после того, как 22 государства (страны-члены ЕС, Япония,
Австралия, Канада, Новая Зеландия) осудили в открытом письме действия Пекина.
Почти
40 делегаций «высоко оценили прогресс, которого Китай достиг в области прав
человека в СУАР», заявил представитель Китая Чэнь Сюй. По его словам, верный
курс государства доказывает отсутствие в регионе терактов за последние три
года.
МАТЕРИАЛЫ ПО
ТЕМЕ
00:01 — 7 октября
2018
Их
сажают в лагеря, разлучают с детьми и убивают. Все ради любви к родине
В
июне власти Китая опровергли информацию о пытках заключенных в лагеря
уйгуров. Ошибка заключается в том, что «центры образования и
профессиональной подготовки» описывают как концентрационные лагеря, пояснил
замглавы МИД Чжан Ханьхуэ.
В августе 2018-го Комиссия ООН по правам человека сообщила, что по
меньшей мере миллион представителей этнических меньшинств содержится в закрытых
лагерях в СУАР, где их якобы перевоспитывают. Людей заставляют петь
революционные песни, изучать идеи председателя КНР Си Цзиньпина,
говорить на неродном для них китайском языке. Существование лагерей официальный
Пекин объясняет профилактикой
террористической деятельности в регионе. В то же время те, кто прошел через
перевоспитание, говорят, что людей в лагерях подвергают пыткам.
Новая
"соцсеть" позволила людям обмениваться мыслями, соединив их мозги
Технологию
назвали BrainNet. Разработчики уже испытали её при
участии трёх человек, подключенных к особым устройствам. Последние позволяли людям отправлять сообщения прямо в головы друг
другу, используя только мозговые волны.
Безусловно,
способность отправлять мысли человека прямо в мозг другого кажется суперсилой
героя из научно-фантастического фильма. Между тем это уже далеко не так.
В
последние годы физики и нейробиологи разработали инструменты,
"улавливающие" мысли и передающие информацию о них другому мозгу.
Подобные достижения сделали прямое общение мозга с мозгом реальным.
Обычно
такие системы включают в себя оборудование электроэнцефалограммы (ЭЭГ),
которое регистрирует электрическую активность в головном мозге, а также оборудование
для транскраниальной магнитной стимуляции (ТМС). Последняя способна
передавать информацию в мозг.
При
помощи такой системы один мозг может модулировать свои электрические сигналы,
дабы "внедрить" сообщения прямо в другой мозг.
Как
это выглядит?
Первый
человек (отправитель) оснащён оборудованием ЭЭГ, регистрирующим электрическую
активность в головном мозге посредством электродов. Они размещены на голове.
Мозговые
волны расшифровываются и отправляются получателю, который оснащён оборудованием
ТМС. Система посылает точные магнитные импульсы в мозг, вызывающие фантомные
вспышки света под названием фосфены.
Если
говорить чуть более подробно, то речь идёт о зрительном ощущении, возникающем у
человека без воздействия света на глаз. Они представляют собой светящиеся
точки, фигуры, появляющиеся самостоятельно в темноте.
В
2015 году Андреа Стокко (Andrea Stocco) и его коллеги из Вашингтонского
университета в Сиэтле использовали этот механизм для соединения двух людей
посредством интерфейса "мозг-мозг". Затем люди играли в игру….
12
МАЯ 2017
«Через пятьдесят лет
повсеместная слежка станет нормой». Или в 2020-м это уже произошло?
Все больше фрагментов
нашей жизни автоматически записываются. Но это только начало…: https://republic.ru/posts/82813
By José Luis Peñarredonda
26 March 2018
If you worked for Ford in
1914, chances are at some stage in your career a private investigator was hired
to follow you home.
If you stopped for a drink,
or squabbled with your spouse, or did something that might make you less of a
competent worker the following day, your boss would soon know about it.
This sleuthing was partly
because Ford’s workers earned a better salary than the competition. The car
manufacturer raised pay from $2.39 a day to $5 a day, the equivalent of $124
(£88) today. But you had to be a model citizen to qualify.
This ‘Big
Brother’ operation was run by the Ford Sociological Department, a team of
inspectors that arrived unannounced on employees’ doorsteps
Your house needed to be
clean, your children attending school, your savings account had to be in good
shape. If someone at the factory believed you were on the wrong path, you might
not only miss out on a promotion, your job was on the line.
This ‘Big Brother’ operation
was run by the Ford Sociological Department, a team of inspectors that arrived
unannounced on employees’ doorsteps. Its aim was to “promote the health, safety
and comfort of workers”, as an
internal document put it.
And, to be fair, it also offered everything from medical services to
housekeeping courses.
The programme lasted eight
years. It was expensive, and many workers resented its paternalism and intrusion.
Today, most of us would find it unacceptable – what does my work have to do
with my laundry, bank account or relationships?
Yet, the idea of employers
trying to control workers’ lives beyond the workplace has persisted, and
digital tools have made it easier than ever. Chances are, you use several
technologies that could create a detailed profile of your activities and
habits, both in the office and out of it. But what can (and can’t) employers do
with this data? And, where do we draw the line?
What’s my worker score?
We’re all being graded every
day. The expensive plane tickets I bought recently have already popped up in my
credit score. The fact that I‘ve stopped jogging every morning has been noted
by my fitness app – and, if it were connected with an insurance company, this
change might push up my premiums.
And we’re not just talking
the ‘rate-a-trader’ style online review process used on freelancer platforms or
gig-economy services. A scoring system of sorts has lodged itself in the
corporate world.
HR departments
are crunching increasing volumes of data to measure employees in a more
granular way
HR departments are crunching
increasing volumes of data to measure employees in a more granular way. From
software that records every keystroke, or the ‘smart’ coffee machines that will
only give you a hot drink if you tap it with your work ID badge there are more
opportunities than ever for bosses to measure behaviour.
One big aim of data collection
is to make “predictions about how long an employee will stay, and it may
influence hiring, firing, or retention of people,” says Phoebe Moore, Associate
Professor of Political Economy and Technology at Leicester University in the UK
and author of the book The Quantified Self in Precarity: Work, Technology and
What Counts.
Data collection is “changing
employment relationships, the way people work and what the expectations can
be”, says Moore.
One problem with this
approach is that it’s blind to some of the non-quantifiable aspects of work.
Some of the subtler things I do in order to be a better writer, for instance,
are not quantifiable: having a drink with someone who tells me a great story, or
imagining a piece on my commute. None of these things would show up in my ‘job
score’. “A lot of the qualitative aspects of work are being written out,” says
Moore, “because if you can’t measure them, they don’t exist”.
The dilemma of data
Employees value these health
initiatives not only because their bosses might allow them time off to
participate but also because if they track exercise via their phone, smartwatch
or fitness wristband they can earn rewards.
“I can just wear this
device, and I get points and buy stuff for doing things I would already (be)
doing anyway without it,” says Lauren Hoffman, a former salesperson for one of
the programmes in the US, who was also enrolled in it herself.
Furthermore, the workplace
offers an environment that can help people to reach their health goals. Research
suggeststhat fitness programmes
work better when they are combined with social encouragement, collaboration and
competition. Offices can foster all that: they can organise running clubs,
weekly fitness classes or competitions to help workers thrive.
There are several good business
reasons to collect data on employees – from doing better risk management to
examining if social behaviours in the workplace can
lead to gender discrimination.
“Companies fundamentally don't understand how people interact and
collaborate at work,”, says Ben Waber, president and CEO of Humanyze, an
American company which gathers and analyses data about the workplace. He says
that he can show them.
Humanyze gathers data from
two sources. The first is the metadata from employees’ communications: their
email, phone or corporate messaging service. The company says analysing this
metadata doesn’t include reading the content of these messages, nor the
individual identities of the people involved, but involves crunching the more
general information i.e. duration, frequency and general localisation so, will
tell them which department an employee belongs to.
The second area is data
gathered from gadgets like Bluetooth infrared sensors which detect how many
people are working in one particular part of an office and how they move
around. They also use ‘supercharged’ ID badges that, as Waber says, are beefed
up with “microphones which don't record what you say, but do voice-processing
in real time.” This allows measurement of the proportion of time you speak, or
how often people interrupt you.
After six weeks of research,
the employer gets a ‘big picture’ of the problem it wants to solve, based on
the analysed data. If the aim, for instance, is to boost sales, they can
analyse what their best salespeople do that others don’t. Or if they want to
measure productivity, they can infer that the more efficient workers talk more
often with their managers.
Waber sees it as “a lens of
very large work issues, like diversity, inclusion, workload assessment,
workspace planning, or regulatory risk”. His business case is that these tools
will help companies save millions of dollars and even years of time.
Collection and protection
But not everyone is
convinced of the usefulness of these techniques, or whether such personally
intrusive technology can be justified. A
PwC survey from 2015 reveals
that 56% of employees would use a wearable device given by their employer if it
was aimed at improving their wellbeing at work. “There should be some payback
from something like this, some benefit in terms of their workplace conditions,
or advantages,” says Raj Mody, an analyst from the firm. And Hoffman remembers
that these programmes were not always an easy sell. “You’re going to get the
data and you're going to use it against me,” she was often told by sceptical
workers.
There is a
fundamental problem: these measurements are often inaccurate
And there is a fundamental
problem: these fitness tracking measurements are often inaccurate. People are
very bad at self-reporting and fitness trackers and smartphones are not exactly
precise. A
recent evidence review shows that
different models and techniques gather different results and it is very
difficult to draw trustworthy comparisons between them.
It is also unclear if
counting steps, for instance, is actually a good way of measuring activity,
both because this measurement doesn’t take intensity into account – a step made
while running counts just as much as a step made walking at home – and walking
is more difficult for some than others.
Another issue is the amount
of data these programmes can collect. They not only track your daily activity,
but also often offer health screenings for participants, which allows them to
register things that don’t seem like your boss’s business: your cholesterol
level, your weight, or even your
DNA.
In most cases, it is illegal
in the US and Europe for companies to discriminate against workers based on
their health data or any genetic test results, but there are some grey areas.
In 2010, Pamela Fink, the PR manager of an energy firm in the US, sued
her employer because
she claimed she was sacked due to a double mastectomy to reduce her probability
of developing cancer. While the company didn’t have access to her DNA results,
she contended that they knew about the risk because the surgery showed up on
her insurance bills. The case was settled out of court.
Wellness programme providers
say that employers
only see aggregated and anonymised data, so they can’t target specific employees based on their wellness results.
Humanyze ensures its clients are not forcing their employees to be monitored,
but instead give them the chance to opt in. In a similar fashion to wellness
programmes, they anonymise and collate the information that they share with
employers. Waber is emphatic that his company never sells the data on to third
parties, and emphasises transparency throughout the process.
But this kind of data could
be used in more controversial ways, and the goodwill of the companies involved
doesn’t eliminate all the risks. Data could be stolen in a cyberattack, for
instance, or it could be used in ways that are not transparent for users. It
“could be sold to basically anyone, for whatever purpose, and recirculated in
other ways,” says Ifeoma Awunja, a sociologist at Cornell University who
researches the use of health data in the workplace.
Taking a
short-term profit on user data would damage your company’s reputation - Scott
Montgomery
There are reports
that some providers are doing just thatalready – even if they data they sell is anonymous, they could be
cross-referenced with other anonymous data to
identify people. Not all these
companies do it, and some say it is not smart business to do so. “Taking a
short-term profit on user data would damage your company’s reputation, causing
user volume to plummet and thus your value to clients to diminish” says Scott Montgomery,
CEO of Wellteq, a corporate wellness provider based in Singapore.
But even if all the
companies did the right thing and acted only in their costumers’ best interest,
people in some places are still only protected by their wellness programme’s goodwill.
The US law is “significantly behind” the European Union and other parts of the
world in protecting users, says Awunja.
In the EU, a new General
Data Protection Regulation (GDRP) will come into force thisMay, which will
outlaw any use of personal data to which the user didn’t explicitly consent. In
the US, the legislation varies between states. In some of them, sharing some
health information with third parties is not illegal as long as the data
doesn’t identify the person. Furthermore, according to Gary Phelan, a lawyer at
Mitchell & Sheridan in the US, since this data is generally not considered
medical data, it does not have the privacy restrictions as medical data.
Human
beings are evaluated in terms of the risk that they pose to the firm - Awunja
There is also the question
of return on investment for the employers. Do they actually save businesses
money? These programmes are
meant to lower health insurance premiums both for companies and employees, since they are supposed to
decrease health risk, sick days, and hospital costs. But it
is not clear if this
actually happens. A
2013 study by the Rand Corporation claims
that, while these programmes save companies enough money to pay for themselves,
they “are having little if any immediate effects on the amount employers spend
on health care.”
With all these tools, “human
beings are evaluated in terms of the risk that they pose to the firm,” says
Awunja. Still, it’s a complicated balance: dealing with the everyday habits of
employees as if they were just another hit to the bottom line sounds a lot like
the old days of the Sociological Department. Whatever benefits these
technologies can bring, they have to balance with the privacy rights and
expectations of workers.
Balance
There is an episode from TV show
Black Mirror that
offers a chilling warning. In it, every person is given a score based on their
interactions on a social platform that looks strikingly like Instagram. This
score defines almost every opportunity they have in life: what jobs they can
get, where they live, which plane tickets they can buy or who can they date. In
fact, in 2020 China will
roll a mandatory Citizen Score calculated
from a number of data sources, from your purchase history to the books you
read.
Although not quite as
sinister, this illustrates the technological, legal and ethical limitations of
doing something similar elsewhere. In most parts of the world, the law prevents
your HR department from sharing or requesting data about you from your credit
card provider, your healthcare provider, or your favourite online dating site,
unless you explicitly consent that it can do so.
This should keep the most
cynical temptations at bay for now, but how to reap the benefits of data in an
acceptable way? There is a strong case for finding this balance: as Waber says,
data can give you evidence-based advice for advancing your career, or for
enhancing your effectivity at work. Having a space for taking care of your
health at work might improve your happiness at your job, and some studies
suggest that this
also translates into a productivity push.
Part of the answer seems to
be to agree to certain ethical standards. In
a paper, Awunja
proposes some practices like informing employees of the potential risks for
discrimination with the data, not penalising those who decline to take part in
these programmes, and setting a clear ‘expiration date’ to the collected data.
This is an important
conversation to have, even if you are of those with nothing to hide. As it
turns out, it is very likely that giving away our data is going to be part of
the everyday experience of work in the near future, at least in the corporate
world.
In not-too-distant
future, brain hackers could steal your deepest secrets
Religious
beliefs, political leanings, and medical conditions are up for grabs.
OAKLAND,
Calif.—In the beginning, people hacked phones. In the decades to follow,
hackers turned to computers, smartphones, Internet-connected security cameras,
and other so-called Internet of things devices. The next frontier may be your
brain, which is a lot easier to hack than most people think.
At
the Enigma security conference here on Tuesday, University of Washington
researcher Tamara Bonaci described an experiment that demonstrated how a simple
video game could be used to covertly harvest neural responses to periodically
displayed subliminal images. While her game, dubbed Flappy Whale,
measured subjects' reactions to relatively innocuous things, such as logos of
fast food restaurants and cars, she said the same setup could be used to
extract much more sensitive information, including a person's religious
beliefs, political leanings, medical conditions, and prejudices.
"Electrical
signals produced by our body might contain sensitive information about us that
we might not be willing to share with the world," Bonaci told Ars
immediately following her presentation. "On top of that, we may be giving that
information away without even being aware of it."
Flappy
Whale had what Bonaci calls a BCI, short for
"brain-connected interface." It came in the form of seven electrodes
that connected to the player's head and measured electroencephalography
signals in real time. The logos were repeatedly
displayed, but only for milliseconds at a time, a span so short that subjects
weren't consciously aware of them. By measuring the brain signals at the
precise time the images were displayed, Bonaci's team was able to glean clues
about the player's thoughts and feelings about the things that were depicted.
There's
no evidence that such brain hacking has ever been carried out in the real
world. But the researcher said it wouldn't be hard for the makers of virtual
reality headgear, body-connected fitness apps, or other types of software and
hardware to covertly mine a host of physiological responses. By repeatedly
displaying an emotionally charged image for several milliseconds at a time, the
pilfered data could reveal all kinds of insights about a person's most intimate
beliefs. Bonaci has also theorized that sensitive electric signals could be
obtained by modifying legitimate BCI equipment, such as those used by doctors.
Bonaci
said that electrical signals produced by the brain are so sensitive that they
should be classified as personally identifiable information and subject to the
same protections as names, addresses, ages, and other types of PII. She also
suggested that researchers and game developers who want to measure the
responses for legitimate reasons should develop measures to limit what's
collected instead of harvesting raw data. She said researchers and developers
should be aware of the potential for "spillage" of potentially
sensitive data inside responses that might appear to contain only mundane or
innocuous information.
How Hackers Could Get
Inside Your Head With ‘Brain Malware’
Brain-computer
interfaces offer new applications for our brain signals—and a new vector for
security and privacy violations.
Hackers
have spyware in your mind. You're minding your business, playing a game or
scrolling through social media, and all the while they're gathering your most
private information direct from your brain signals. Your likes and dislikes.
Your political preferences. Your sexuality. Your PIN.
It's
a futuristic scenario, but not that futuristic. The idea of
securing our thoughts is
a real concern with the introduction of
brain-computer interfaces—devices that are controlled by brain signals such as
EEG (electroencephalography), and which are already used in medical scenarios
and, increasingly, in non-medical
applications such as gaming.
Researchers
at the University of Washington in Seattle say that we need to act fast to
implement a privacy and security framework to prevent our brain signals from
being used against us before the technology really takes off.
"There's
actually very little time," said electrical engineer Howard Chizeck over
Skype. "If we don't address this quickly, it'll be too late."
I
first met Chizeck and fellow engineer Tamara Bonaci when I visited the
University of Washington Biorobotics Lab to check out their work
on hacking teleoperated surgical robots. While I was
there, they showed me some other hacking research they were working on,
including how they could use a brain-computer interface (BCI), coupled with
subliminal messaging in a videogame, to extract private information about an
individual.
Bonaci
showed me how it would work. She placed a BCI on my head—which looked like a
shower cap covered in electrodes—and sat me in front of a computer to play Flappy
Whale, a simple platform game based on the addictive Flappy Bird.
All I had to do was guide a flopping blue whale through the on-screen course
using the keyboard arrow keys. But as I happily played, trying to increase my
dismal top score, something unusual happened. The logos for American banks
started appearing: Chase, Citibank, Wells Fargo—each flickering in the
top-right of the screen for just milliseconds before disappearing again. Blink
and you'd miss them.
The
idea is simple: Hackers could insert images like these into a dodgy game or app
and record your brain's unintentional response to them through the BCI, perhaps
gaining insight into which brands you're familiar with—in this case, say, which
bank you bank with—or which images you have a strong reaction to.
Bonaci's
team have several different Flappy Whale demos, also using
logos from local coffee houses and fast food chains, for instance. You might
not care who knows your weak spot for Kentucky Fried Chicken, but you can see
where it's going: Imagine if these "subliminal" images showed
politicians, or religious icons, or sexual images of men and women. Personal
information gleaned this way could potentially be used for embarrassment,
coercion, or manipulation.
"Broadly
speaking, the problem with brain-computer interfaces is that, with most of the
devices these days, when you're picking up electric signals to control an
application… the application is not only getting access to the useful piece of
EEG needed to control that app; it's also getting access to the whole
EEG," explained Bonaci. "And that whole EEG signal contains rich
information about us as persons."
And
it's not just stereotypical black hat hackers who could take advantage.
"You could see police misusing it, or governments—if you show clear
evidence of supporting the opposition or being involved in something deemed
illegal," suggested Chizeck. "This is kind of like a remote lie
detector; a thought detector."
Of
course, it's not as simple as "mind reading." We don't understand the
brain well enough to match signals like this with straightforward meaning. But
with careful engineering, Bonaci said that preliminary findings showed it was
possible to pick up on people's preferences this way (their experiments are
still ongoing).
"It's
been known in neuroscience for a while now that if a person has a strong
emotional response to one of the presented stimuli, then on
average 300 milliseconds after they saw a stimulus
there is going to be a positive peak hidden within their EEG signal," she
said.
The
catch: You can't tell what the emotional response was, such as whether it was
positive or negative. "But with smartly placed stimuli, you could show
people different combinations and play the '20 Questions' game, in a way,"
said Bonaci.
When
I played the Flappy Whale game, the same logos appeared over
and over again, which would provide more data about a subject's response to
each image and allow the researchers to better discern any patterns.
"One
of the cool things is that when you see something you expect, or you see
something you don't expect, there's a response—a slightly different
response," said Chizeck. "So if you have a fast enough computer
connection and you can track those things, then over time you learn a lot about
a person."
How
likely is it that someone would use a BCI as an attack vector? Chizeck and
Bonaci think that the BCI tech itself could easily take off very quickly,
especially based on the recent sudden adoption of other technologies when
incorporated into popular applications—think augmented reality being flung into
the mainstream by Pokémon Go.
BCIs
have already been touted in gaming, either as a novel controller or
to add new functionality such as monitoring stress levels. It's clear that the
ability to "read" someone's brain signals could also be used for
other consumer applications: Chizeck painted a future where you could watch a
horror film and see it change in response to your brain signals, like a
thought-activated choose-your-own-adventure story. Or imagine porn that changes
according to what gets your mind racing.
"The
problem is, even if someone puts out an application with the best of intentions
and there's nothing nefarious about it, someone else can then come and modify
it," said Chizeck.
In
the Flappy Whale scenario, the researchers imagine that a BCI
user might download a game from an app store without realising it has these
kind of subliminal messages in it; it'd be like "brain malware."
Chizeck pointed out that many fake, malware-laden Pokémon-themed
apps appeared in the app store around
the real game's release.
But
hacking aside, Bonaci and Chizeck argued that the biggest misuse of BCI tech
could in fact be advertising, which could pose a threat to users' privacy as
opposed to their security.
"Once
you put electrodes on people's heads, it's feasible"
You
could see BCIs as the ultimate in targeting ads: a direct line to consumers'
brains. If you wore a BCI while browsing the web or playing a game, advertisers
could potentially serve ads based on your response to items you see. Respond
well to that picture of a burger? Here's a McDonald's promotion.
The
researchers think there needs to be some kind of privacy policy in apps that
use BCIs to ensure people know how their EEG data could be used.
"We
usually know when we're giving up our privacy, although that's certainly become
less true with online behaviour," said Chizeck. "But this provides an
opportunity for someone to gather information from you without you knowing
about it at all. When you're entering something on a web form, you can at least
think for a second, 'Do I want to type this?'"
Brain
signals, on the other hand, are involuntary; they're part of our
"wetware."
The
reason the University of Washington team is looking into potential privacy and
security issues now is to catch any problems before the tech becomes mainstream
(if indeed it ever does). In a 2014 paper, they argue that
such issues "may be viewed as an attack on human rights to privacy and
dignity." They point out that, unlike medical data, there are few legal
protections for data generated by BCIs.
One
obvious way to help control how BCI data is used would rely on policy rather
than technology. Chizeck and Bonaci argue that lawyers, ethicists, and
engineers need to work together to decide what it's acceptable to do with this
kind of data. Something like an app store certification could then inform
consumers as to which apps abide by these standards.
"There
has to be an incentive for all app developers, programmers, manufacturers to do
it," said Bonaci. "Otherwise why would they change anything about
what they're doing right now?"
The
Washington team has also suggested a more technical solution, which would
effectively "filter" signals so that apps could only access the
specific data they require. In their paper, they call this a "BCI Anonymizer"
and compare it to smartphone apps having limited access to personal information
stored on your phone. "Unintended information leakage is prevented by
never transmitting and never storing raw neural signals and any signal
components that are not explicitly needed for the purpose of BCI communication
and control," they write.
Chizeck
said a student in the lab was currently running more tests to characterise
further the type and detail of information that can be gleaned through BCIs,
and to try a method of filtering this to see if it's possible to block more
sensitive data from leaking out.
By
doing this work now, they hope to nip future privacy and security concerns in
the bud before most people have ever come into contact with a BCI.
Nav komentāru:
Ierakstīt komentāru