Договор о ненападении в сфере информационных технологий
От
Sandynist
в Задай вопрос Евгению Касперскому!
-
Похожий контент
-
От KL FC Bot
В июле 2024 года Mozilla вместе с новой версией своего браузера Firefox представила технологию, которая называется Privacy-preserving attribution (атрибуция с сохранением приватности) и предназначена для отслеживания эффективности интернет-рекламы. Она включена по умолчанию в Firefox 128.
Это довольно быстро привлекло внимание поборников онлайн-приватности и привело к появлению в новостях заголовков вроде «Теперь и Mozilla начинает продавать данные пользователей». Шумиха поднялась настолько серьезная, что техническому директору Firefox Бобби Холли пришлось объясняться с пользователями Reddit, что же на самом деле Mozilla сделала и зачем.
Самое время разобраться более подробно, в чем суть технологии Privacy-preserving attribution, зачем она вообще нужна и почему в Mozilla решили представить ее именно сейчас.
Google Ad Topics и «История ссылок» в Facebook*
Начну с предыстории. Как вы, возможно, помните, разработчики самого популярного в мире браузера — Google Chrome — еще с 2019 года вынашивают планы по полному отключению поддержки сторонних cookies.
Эта технология уже третье десятилетие повсеместно используется для отслеживания действий пользователей в Интернете. Так что, с одной стороны, она является основой индустрии онлайн-рекламы, а с другой — главным инструментом нарушения приватности пользователей.
В качестве замены сторонних cookies некоторое время назад Google представила собственную разработку под названием Ad Topics. В рамках этой технологии отслеживание пользователя происходит на основе истории браузера Chrome и истории взаимодействия пользователя с приложениями в Android. Предполагалось, что благодаря внедрению Ad Topics поддержку сторонних cookies в браузере отключат уже во второй половине 2024 года.
Другой крупнейший игрок индустрии цифровой рекламы, компания Meta**, которая также полагается на сторонние куки, придумала собственный вариант слежки за пользователями. Это так называемая История ссылок: все внешние ссылки в мобильных приложениях Facebook* теперь открываются во встроенном в приложение браузере, где компания все еще может следить за действиями пользователя.
Что в итоге получается: в результате отключения поддержки сторонних cookies преимущество получают те участники рынка интернет-рекламы, у которых есть какое-либо крупное, полностью контролируемое ими цифровое пространство: самые популярные в мире браузер и ОС в случае Google, самая популярная соцсеть в случае Meta**. Более мелкие игроки при этом оказываются в зависимом положении.
При этом данные пользователей все равно продолжают собирать в промышленных масштабах. И делают это все те же компании, к которым обычно и предъявляют основные претензии с точки зрения нарушения приватности, — Google и Facebook*.
Возникает вопрос: а нельзя ли разработать какой-то механизм, который одновременно позволит рекламодателям отслеживать эффективность рекламы и при этом не предполагает массовый сбор данных пользователей? Ответом именно на этот вопрос и является технология Privacy-preserving attribution.
View the full article
-
От KeshaKost
Добрый день. На работе поставили задачу "Осуществить настройку правил системы мониторинга событий информационной безопасности путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256, sha1, md5)" и дальше список хешей. Подскажите пожалуйста, как реализовать данную задачу, да этого никогда с таким не сталкивался.
-
От KL FC Bot
Как обычно, к 4 мая (MTFBWY) мы готовим для поклонников «Звездных войн» отчет о том, как давным-давно в далекой галактике империя халатно относилась к информационной безопасности. В этом году в качестве наглядного пособия выступит только что завершившийся третий сезон анимационного сериала «Звездные войны: Бракованная партия». Как обычно, предупреждаем — в тексте могут быть спойлеры.
Несмотря на, казалось бы, не самый серьезный формат, сюжетные повороты и общая связанность повествования в «Бракованной партии» куда лучше, чем в большей части вышедших в последнее время игровых сериалов и фильмов. С тех пор как в девятом эпизоде «Палпатин как-то вернулся», креативный директор Lucasfilm Дейв Филони всеми силами пытается хоть в какой-то мере логически обосновать это возвращение, и потому в центре сюжета свежего анимационного сериала — проект «Некромант», работа над которым ведется на сверхсекретной базе Тантисс. А это то, что нам нужно, — научное учреждение с беспрецедентными (для Галактической империи) защитными системами, которые тем не менее часто не помогают.
Секретность базы Тантисс
Доктор Хемлок, непосредственный руководитель базы Тантисс и научного проекта «Некромант», пользуется полным доверием императора и располагает неограниченными ресурсами. Одна из поставленных перед ним задач — обеспечение безопасности и режима секретности базы. И в отличие от большинства имперских лидеров, которых мы видели до этого, он подходит к своей задаче ответственно.
Информации о местоположении вверенного ему объекта нет ни в одной имперской базе данных. Это, конечно, вызывает определенные сложности со снабжением. Но Хемлок установил строгие организационные защитные меры: любой корабль, направляющийся к базе Тантисс, должен состыковаться с имперской станцией 003 на орбите столичной планеты Корусант и пройти тщательную проверку с досмотром всего экипажа. Код допуска для стыковки меняется раз за оборот. Координаты Тантисс загружаются непосредственно в навигационный компьютер корабля сразу после взлета и каким-то образом не хранятся в нем. Очевидно, загрузка идет с изолированного компьютера, поскольку из компьютера базы они недоступны. Даже для доступа к манифесту станции, где хранится информация о том, какой корабль куда направляется, требуется отдельная карта доступа.
Применяемые для полетов на Тантисс научные корабли используют усиленные протоколы безопасности. Это выражается, в частности, в том, что они оборудованы датчиками приближения, отслеживающими посторонние объекты вблизи корпуса (абсолютно непонятно, почему эта технология не используется больше нигде в империи). Кроме того, при доступе к бортовому компьютеру через порт подключения дроида на пульт пилота поступает сигнал тревоги. И это первый случай хоть какой-то защиты от хакеров.
Посмотреть статью полностью
-
От KL FC Bot
Работа в сфере ИБ полна стрессов — ежедневное ожидание инцидентов, хронические переработки и бесконечные потоки оповещений дополняются постоянной борьбой с другими подразделениями, которые воспринимают безопасников как досадную помеху в работе. В лучшем случае про ИБ стараются не вспоминать, но в особо тяжелых случаях активно избегают всего, связанного с кибербезопасностью. Закономерный итог: 62% опрошенных «Лабораторией Касперского» топ-менеджеров признают, что недопонимание между бизнесом и ИБ-подразделениями привело к серьезным киберинцидентам. Чтобы изменить отношение к проблемам ИБ в организации, крайне важно заручиться поддержкой на высшем уровне, в совете директоров. Чему же нужно научить своего генерального директора или президента, учитывая, что он вечно занят и, возможно, не настроен думать про ИБ? Вот пять простых тезисов, которые надо повторять от встречи к встрече и детализировать небольшими порциями, пока высшее руководство ими не проникнется.
Проводите обучение по информационной безопасности, начиная с директоров
Любое обучение требует доверия к преподавателю, а доверие директора еще нужно заслужить. Установить мостик личных отношений и набрать авторитет будет проще, если начать не со стратегии, а с личной кибербезопасности руководства. Она напрямую влияет на безопасность всей организации, потому что личные данные и пароли директора часто становятся целью злоумышленников.
Возьмите для примера скандал, случившийся на исходе 2022 года в США, — злоумышленники проникли в «VIP-соцсеть» Infragard, через которую ФБР конфиденциально информировала директоров крупных предприятий о самых серьезных киберугрозах. Хакеры украли базу из 80 тысяч контактных адресов электронной почты и телефонов директоров и выставили ее на продажу за 50 тысяч долларов. Покупатели, предположительно, смогут втереться в доверие к руководителям из этого списка или использовать данные в BEC-атаках.
Исходя из вышесказанного, руководству очень критично использовать двухфакторную аутентификацию с использованием USB- или NFC-токенов на всех устройствах, применять уникальные и длинные пароли для всех рабочих аккаунтов, защищать все личные и рабочие устройства соответствующим софтом, а также максимально разделять рабочее и личное. В общем, обычные советы осторожному пользователю, но подкрепленные осознанием цены ошибки. По этой же причине важно перепроверять все подозрительные письма и вложения. Некоторым руководителям стоит предложить личную помощь кого-то из отдела ИБ для разбирательства с особо подозрительными ссылками или файлами.
View the full article
-
От KL FC Bot
Дисклеймер. Этот пост подготовлен к первому апреля. Описанные в нем методы «обучения» не вполне этичны и не везде считаются приемлемыми. Мы рекомендуем хорошо подумать перед их применением и заручиться согласием коллектива на подобные действия. Когда дело касается информационной безопасности, несложно назвать самое слабое звено — им всегда был и остается человек. Поэтому в нашем блоге мы часто говорим о необходимости проводить для сотрудников тренинги по информационной безопасности. К сожалению, не во всех организациях ресурсы на такие тренинги выделяют вовремя и в должном объеме. Есть и другая проблема: далеко не все сотрудники ответственно относятся к прохождению этих тренингов, поэтому полученные теоретические знания могут не реализовываться на практике.
Попытаться справиться с этой проблемой можно даже без серьезных бюджетов. Предлагаем вашему вниманию несколько способов, как в легкой игривой форме продемонстрировать горячо любимым коллегам важность серьезного отношения к информационной безопасности.
Пароли на стикерах и распечатках
Одна из наиболее опасных привычек, которой, к сожалению, грешат очень многие офисные сотрудники, — это записывание паролей на бумажках и расклеивание их на самых видных местах. И тысячи мемов на тему стикеров с паролем на мониторе не способны их от этого отучить.
Угроза тут очевидна: любой посетитель офиса может достать телефон и незаметно сфотографировать все попавшиеся на глаза стикеры с данными учетных записей. Более того, иногда бумажки с паролями попадают в публичный доступ непреднамеренно. Например, нередки случаи, когда утечка пароля происходит в ходе интервью на рабочем месте или просто из-за публикации какой-нибудь офисной фотографии в соцсети.
Принц Уильям дает интервью на фоне бумажки с логином и паролем для доступа к системе Military Flight Information Publications (MilFLIP) Королевских военно-воздушных сил
Чтобы отвадить любителя записывать пароли на стикерах от этой чудесной привычки, вам понадобится:
Ручка Несколько чистых стикеров Кто-нибудь, умеющий имитировать чужой почерк Если речь идет о распечатках с паролями, а не о рукописных стикерах, все еще проще — можно обойтись талантами принтера. Вооружившись этими нехитрыми инструментами, попробуйте на рабочем месте обучаемого заменить одну или несколько бумажек на поддельные — с похожими, но неправильными паролями. Останется лишь наблюдать с безопасного расстояния за тем, как бедолага пытается войти в свой аккаунт. Постарайтесь не смеяться слишком уж громко, чтобы не спугнуть жертву.
В идеале стоит оставить настоящие бумажки в таком месте, где подопытный их через некоторое время найдет, — иначе у него может сложиться превратное впечатление, что это был какой-то глюк системы или что-то в таком духе (тут многое зависит от общей сообразительности и памяти обучаемого). Ну и, конечно же, не забудьте посоветовать страдальцу хороший менеджер паролей в качестве правильного инструмента для хранения своих учетных данных.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти