-
Похожий контент
-
Автор KL FC Bot
Легенды гласят, что наши смартфоны нас подслушивают. Оказывается, делать им это совсем не обязательно — информации, которую передают брокерам данных практически все установленные на вашем смартфоне приложения, от игр до прогноза погоды, с лихвой достаточно, чтобы составить на вас полное досье. И если долгое время под «слежкой в Интернете» подразумевалось, что поисковые и рекламные системы — а с ними и рекламодатели — знают, на какие сайты вы ходите, то с появлением смартфонов ситуация изменилась к худшему — теперь рекламодатели знают, куда вы ходите физически и как часто. Как у них это получается?
Каждый раз, когда любое мобильное приложение собирается показать рекламу, за ваше внимание проходит молниеносный аукцион, определяющий на основании переданных с вашего смартфона данных, какую именно рекламу вам покажут. И, хотя вы видите только рекламу победителя, данные о потенциальном зрителе, то есть о вас, получают все участники торгов. Недавно поставленный эксперимент наглядно показал, как много компаний получают эту информацию, насколько она детализирована и как мало помогают защититься встроенные в смартфоны опции «Не отслеживать меня», «Не показывать персонализированную рекламу» и аналогичные. Но мы все же посоветуем способы защиты!
Какие данные пользователя получают рекламодатели
Все мобильные приложения устроены по-разному, но большинство из них начинают «сливать» данные в рекламные сети еще до того, как показать какую-либо рекламу. В вышеописанном эксперименте мобильная игра сразу же после запуска отослала в рекламную сеть Unity Ads обширный набор данных:
информацию о смартфоне, включая версию ОС, уровень заряда батареи, уровень яркости и громкости, количество свободной памяти; данные о сотовом операторе; тип подключения к Интернету; полный IP-адрес устройства; код «вендора», то есть производителя игры; уникальный код пользователя (IFV) — идентификатор для рекламной системы, привязанный к производителю игры; еще один уникальный код пользователя (IDFA/AAID) — идентификатор для рекламной системы, единый для всех приложений на смартфоне; текущую геолокацию; согласие на рекламную слежку (да/нет). Интересно то, что геолокация передается, даже если она целиком отключена на смартфоне. Правда, приблизительная, вычисленная на базе IP-адреса. Но с учетом имеющихся в общем доступе баз соответствия физических и интернет-адресов, это может быть достаточно точно — с точностью до района города или даже дома. Если же геолокация включена и разрешена приложению, передаются точные данные.
Согласие на рекламную слежку в описанном случае было передано как «Пользователь согласен», хотя автор эксперимента такого согласия не давал.
View the full article
-
Автор IvanMel
Где то в начале января 2025 подцепил майнер cpu. Путем нахождения процесса через процесс хакер, по классике при запуске любого мониторинга по типу диспетчера основной процесс майнера тухнет и теряется из процессов, но осставляет за собой левый процес updater, по нему вычислил где лежит зараза. Маскируется отовсюду либо за updater либо за edge браузером. Путем разных манипуляций пробовал чистить его майнер clean прогами, очисткой левых задач в винде, через CCleaner автозапуски и задачи, чистил реестр на сколько смог, через утилиты. Проблема решается на неделю, а именно до среды, в среду он как ни в чем не было восстанавливается отовсюду. Последняя надежда этот форум, не очень хочется ребутать винду. Где обитает:
1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
2 - C:\Users\cinem\AppData\Roaming\driverUpdate тоже в такой же скрытой папке, ну уверен что это тоже от этого вируса но утилита его нашла и пометила;
3 - в планировщике задач;
4 - в установленных прогах второй edge, находится только через ccleaner; 5 - в Ccleanere в запуске тоже есть от edge какой то автозапуск.
Через утилиту находит только в безопасном режиме по обоим путям файлы (1 и 2 пункт выше) но при чистке в первой папке не удаляет все файлы, а только лишь один, оставшийся файлы в папке удалил вручную. Из найденных вирусов на скрине - онлайн фиксы для игры, dpi очевидно тоже считается вирусом, но этим программам уже много месяцев и они работают нормально, ну и процесс хакер это тот же диспетчер задач.
Логи в архиве.
CollectionLog-2025.02.19-15.12.zip
-
Автор KL FC Bot
С киберпреступниками рано или поздно сталкиваются практически все — от детей до пенсионеров. И если вы все время откладывали на потом свою кибербезопасность, потому что эта тема кажется вам слишком сложной, то держите пять очень простых советов, которые легко понять и просто выполнять. Но каждый из них сильно улучшит вашу защиту от самых распространенных киберугроз. Мы подготовили этот пост в рамках информационной кампании Интерпола #ThinkTwice, призванной улучшить осведомленность об основных методах кибермошенничества и простых, но надежных способах противодействовать им.
Автоматизируйте пароли
Пароли к каждому сайту и приложению должны быть длинными (минимум 12 символов) и никогда не должны повторяться. Придумывать и запоминать столько паролей не может никто, поэтому храните, создавайте и вводите их при помощи менеджера паролей. Вам придется придумать и запомнить только один (длинный!) мастер-пароль к нему, а все остальное — от создания до заполнения паролей — будет происходить автоматически.
Важные нюансы: менеджер паролей нужно установить на все свои устройства, чтобы вводить пароли с удобством повсюду. Данные будут синхронизироваться между всеми вашими устройствами, и, сохранив пароль в смартфоне, вы сможете автоматически подставить его в поле ввода на компьютере, и наоборот. Кстати, в менеджере паролей можно хранить в зашифрованном виде не только пароли, но и пин-коды, данные кредитных карт, адреса, заметки и даже сканы документов.
Уровень PRO: для максимальной безопасности отключите вход в парольный менеджер по биометрии — так вам придется каждый раз вводить мастер-пароль, зато никто не сможет получить доступ ко всем вашим данным, не зная мастер-пароля (на стикере его писать не надо).
View the full article
-
Автор KL FC Bot
Хотя автоматизация и машинное обучения используются в ИБ почти 20 лет, эксперименты в этой области не останавливаются ни на минуту. Защитникам нужно бороться с более сложными киберугрозами и большим числом атак без существенного роста бюджета и численности ИБ-отделов. ИИ помогает значительно разгрузить команду аналитиков и ускорить многие фазы работы с инцидентом — от обнаружения до реагирования. Но ряд очевидных, казалось бы, сценариев применения машинного обучения оказываются недостаточно эффективными.
Автоматическое обнаружение киберугроз с помощью ИИ
Предельно упрощая эту большую тему, рассмотрим два основных и давно протестированных способа применения машинного обучения:
Поиск атак. Обучив ИИ на примерах фишинговых писем, вредоносных файлов и опасного поведения приложений, можно добиться приемлемого уровня обнаружения похожих угроз. Основной подводный камень — эта сфера слишком динамична, злоумышленники постоянно придумывают новые способы маскировки, поэтому модель нужно очень часто обучать заново, чтобы поддерживать ее эффективность. При этом нужен размеченный набор данных, то есть большой набор свежих примеров доказанного вредоносного поведения. Обученный таким образом алгоритм не эффективен против принципиально новых атак, которые он «не видел» раньше. Кроме того, есть определенные сложности при обнаружении атак, целиком опирающихся на легитимные ИТ-инструменты (LOTL). Несмотря на ограничения, этот способ применяется большинством производителей ИБ-решений, например, он весьма эффективен для анализа e-mail, поиска фишинга, обнаружения определенных классов вредоносного программного обеспечения. Однако ни полной автоматизации, ни 100%-ной надежности он не обещает. Поиск аномалий. Обучив ИИ на «нормальной» деятельности серверов и рабочих станций, можно выявлять отклонения от этой нормы, когда, например, бухгалтер внезапно начинает выполнять административные действия с почтовым сервером. Подводные камни — этот способ требует собирать и хранить очень много телеметрии, переобучать ИИ на регулярной основе, чтобы он поспевал за изменениями в ИТ-инфраструктуре. Но все равно ложных срабатываний будет немало, да и обнаружение атак не гарантировано. Поиск аномалий должен быть адаптирован к конкретной организации, поэтому применение такого инструмента требует от сотрудников высокой квалификации как в сфере кибербезопасности, так и в анализе данных и машинном обучении. И подобные «золотые» кадры должны сопровождать систему на ежедневной основе. Подводя промежуточный философский итог, можно сказать, что ИИ прекрасно подходит для решения рутинных задач, в которых предметная область и характеристики объектов редко и медленно меняются: написание связных текстов, распознавание пород собак и тому подобное. Когда за изучаемыми данными стоит активно сопротивляющийся этому изучению человеческий ум, статично настроенный ИИ постепенно становится менее эффективен. Аналитики дообучают и настраивают ИИ вместо того, чтобы писать правила детектирования киберугроз, — фронт работ меняется, но, вопреки распространенному заблуждению, экономии человеческих сил не происходит. При этом стремление повысить уровень ИИ-детектирования угроз (True Positive, TP) неизбежно приводит к увеличению и числа ложноположительных срабатываний (False Positive, FP), а это напрямую увеличивает нагрузку на людей. Если же попытаться свести FP почти к нулю, то понижается и TP, то есть растет риск пропустить кибератаку.
В результате ИИ занимает свое место в ансамбле инструментов детектирования, но не способен стать «серебряной пулей», то есть окончательно решить проблемы детектирования в ИБ или работать целиком автономно.
ИИ-напарник аналитика SOC
ИИ нельзя целиком доверить поиск киберугроз, но он может снизить нагрузку на человека, самостоятельно разбирая простые предупреждения SIEM и подсказывая аналитикам в остальных случаях:
Фильтрация ложных срабатываний. Обучившись на предупреждениях из SIEM-системы и вердиктах команды аналитиков, ИИ способен достаточно надежно фильтровать ложноположительные срабатывания (FP) — в практике сервиса Kaspersky MDR это снижает нагрузку на команду SOC примерно на 25%. Подробности реализации «автоаналитика» мы опишем в отдельном посте. Приоритизация предупреждений. Тот же механизм машинного обучения может не только фильтровать ложные срабатывания, но и оценивать вероятность того, что обнаружен признак серьезной вредоносной активности. Такие серьезные предупреждения передаются для приоритетного анализа экспертам. Альтернативно «вероятность угрозы» может быть просто визуальным индикатором, помогающим аналитику обрабатывать наиболее важные оповещения с наибольшим приоритетом. Поиск аномалий. ИИ может быстро предупреждать об аномалиях в защищаемой инфраструктуре, отслеживая такие явления, как всплеск количества предупреждений, резкое увеличение или уменьшение потока телеметрии с конкретных сенсоров или изменение ее структуры. Поиск подозрительного поведения. Хотя сложности поиска произвольных аномалий в сети значительны, некоторые частные сценарии хорошо автоматизируются и машинное обучение работает в них эффективней статичных правил. Примеры: поиск несанкционированного использования учетных записей из необычных подсетей, детектирование аномального обращения к файловым серверам и их сканирования, поиск атак с использованием чужих билетов TGS (атаки Pass-the-Ticket). Большие языковые модели в ИБ
Наиболее модная тема ИИ-индустрии, большие языковые модели (LLM), тоже многократно опробована ИБ-компаниями. Оставляя полностью за скобками такие темы, как написание фишинговых писем и ВПО при помощи GPT, отметим многочисленные интересные эксперименты по привлечению LLM к рутинным работам:
генерация расширенных описаний киберугроз; подготовка черновиков отчетов по расследованию инцидентов; нечеткий поиск в архивных данных и логах через чат; генерация тестов, тест-кейсов, кода для фаззинга; первичный анализ декомпилированного исходного кода при реверс-инжиниринге; снятие обфускации и объяснение длинных командных строк (такая технология уже используется нашим сервисом MDR); генерация подсказок и рекомендаций при написании детектирующих правил и скриптов. Большинство перечисленных по ссылке работ и статей являются нишевыми внедрениями или научными экспериментами, поэтому они не дают измеримой оценки эффективности. Более того, имеющиеся исследования эффективности квалифицированных работников, которым в помощь выданы LLM, показывают противоречивые результаты. Поэтому внедрение подобных решений должно проводиться медленно и поэтапно, с предварительной оценкой потенциала экономии, детальной оценкой вложенного времени и качества результата.
View the full article
-
Автор KL FC Bot
Хотя искусственный интеллект можно применять в ИБ-сфере разными способами, от детектирования угроз до упрощения написания отчетов об инцидентах, наиболее эффективными будут применения, которые значительно снижают нагрузку на человека и при этом не требуют постоянных крупных вложений в поддержание актуальности и работоспособности моделей машинного обучения.
В предыдущей статье мы разобрались, как сложно и трудоемко поддерживать баланс между надежным детектированием киберугроз и низким уровнем ложноположительных срабатываний ИИ-моделей. Поэтому на вопрос из заголовка ответить очень легко — ИИ не может заменить экспертов, но способен снять с них часть нагрузки при обработке «простых» случаев. Причем, по мере обучения модели, номенклатура «простых» случаев будет со временем расти. Для реальной экономии времени ИБ-специалистов надо найти участки работ, на которых изменения происходят более медленно, чем в «лобовом» детектировании киберугроз. Многообещающим кандидатом на автоматизацию является обработка подозрительных событий (триаж).
Воронка детектирования
Чтобы иметь достаточно данных для обнаружения сложных угроз, современная организация в рамках своего SOC вынуждена ежедневно собирать миллионы событий с сенсоров в сети и на подключенных устройствах. После группировки и первичной фильтрации алгоритмами SIEM эти события дистиллируются в тысячи предупреждений о потенциально вредоносной активности. Изучать предупреждения обычно приходится уже людям, но реальные угрозы стоят далеко не за каждым таким сообщением. По данным сервиса Kaspersky MDR за 2023 год, инфраструктура клиентов генерировала миллиарды событий ежедневно, при этом за весь год из них было выделено 431 512 предупреждений о потенциально вредоносной активности. Но лишь 32 294 предупреждения оказались связаны с настоящими инцидентами ИБ. То есть машины эффективно просеяли сотни миллиардов событий и лишь ничтожный процент из них отдали на просмотр людям, но от 30 до 70% этого объема сразу помечаются аналитиками как ложные срабатывания, и около 13% после более глубокого расследования оказываются подтвержденными инцидентами.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти