-
Похожий контент
-
От KL FC Bot
Дефицит квалифицированных кадров в индустрии информационной безопасности — проблема, мягко говоря, не новая. Однако в последние годы она встала особенно остро. Триггером тут послужила эпидемия коронавируса, из-за которой произошла стремительная цифровизация всего на свете и не менее стремительный рост количества атак. Из-за этого быстро растет и спрос на профессионалов в сфере кибербезопасности. А вот предложение за ним категорически не поспевает.
Одна из ведущих организаций, занимающихся сертификацией специалистов в области ИБ, — ISC2 — публикует ежегодные отчеты о состоянии дел с трудовыми ресурсами в кибербезопасности. Согласно последнему отчету, за период с 2022 по 2023 год количество специалистов в ИБ выросло на 8,7%. Звучит вроде бы внушительно. Однако проблема в том, что дефицит таких специалистов за тот же период вырос аж на 12,6%. Таким образом, на момент публикации отчета общемировая нехватка кадров в индустрии кибербезопасности достигала 4 миллионов сотрудников. Почему же так происходит?
Кибербезопасность в высшем образовании
Чтобы получить ответ на этот вопрос, мы провели масштабное исследование, в ходе которого опросили более 1000 профессионалов в сфере ИТ и кибербезопасности из 29 стран мира. Мы опрашивали сотрудников разного уровня — от начинающих специалистов до директоров и руководителей SOC.
В результате выяснилось несколько интересных фактов. В частности, далеко не все специалисты, работающие в данной сфере, изучали информационную безопасность в рамках своего высшего образования. Цифры разнятся по регионам, но в среднем соответствующие курсы были лишь у каждого второго. При этом большинство респондентов считает, что доступность специализированных курсов по информационной безопасности в рамках высшего образования недостаточна.
Доступность специализированных курсов по кибербезопасности в учреждениях высшего образования респонденты оценили как недостаточную. Источник
В целом полезность высшего образования для карьеры в информационной безопасности опрошенные оценили невысоко: лишь половина респондентов считает, что оно крайне полезно или очень полезно, четверть оценивает его полезность нейтрально, а еще четверть и вовсе полагает, что оно полностью бесполезно.
Основная проблема формального образования в сфере кибербезопасности состоит в том, что оно категорически не успевает за теми изменениями, которые происходят в реальном мире. Технологии, инструменты и ландшафт угроз сейчас меняются настолько быстро, что за время обучения полученные в процессе знания успевают устареть.
View the full article
-
От KL FC Bot
В июле 2024 года Mozilla вместе с новой версией своего браузера Firefox представила технологию, которая называется Privacy-preserving attribution (атрибуция с сохранением приватности) и предназначена для отслеживания эффективности интернет-рекламы. Она включена по умолчанию в Firefox 128.
Это довольно быстро привлекло внимание поборников онлайн-приватности и привело к появлению в новостях заголовков вроде «Теперь и Mozilla начинает продавать данные пользователей». Шумиха поднялась настолько серьезная, что техническому директору Firefox Бобби Холли пришлось объясняться с пользователями Reddit, что же на самом деле Mozilla сделала и зачем.
Самое время разобраться более подробно, в чем суть технологии Privacy-preserving attribution, зачем она вообще нужна и почему в Mozilla решили представить ее именно сейчас.
Google Ad Topics и «История ссылок» в Facebook*
Начну с предыстории. Как вы, возможно, помните, разработчики самого популярного в мире браузера — Google Chrome — еще с 2019 года вынашивают планы по полному отключению поддержки сторонних cookies.
Эта технология уже третье десятилетие повсеместно используется для отслеживания действий пользователей в Интернете. Так что, с одной стороны, она является основой индустрии онлайн-рекламы, а с другой — главным инструментом нарушения приватности пользователей.
В качестве замены сторонних cookies некоторое время назад Google представила собственную разработку под названием Ad Topics. В рамках этой технологии отслеживание пользователя происходит на основе истории браузера Chrome и истории взаимодействия пользователя с приложениями в Android. Предполагалось, что благодаря внедрению Ad Topics поддержку сторонних cookies в браузере отключат уже во второй половине 2024 года.
Другой крупнейший игрок индустрии цифровой рекламы, компания Meta**, которая также полагается на сторонние куки, придумала собственный вариант слежки за пользователями. Это так называемая История ссылок: все внешние ссылки в мобильных приложениях Facebook* теперь открываются во встроенном в приложение браузере, где компания все еще может следить за действиями пользователя.
Что в итоге получается: в результате отключения поддержки сторонних cookies преимущество получают те участники рынка интернет-рекламы, у которых есть какое-либо крупное, полностью контролируемое ими цифровое пространство: самые популярные в мире браузер и ОС в случае Google, самая популярная соцсеть в случае Meta**. Более мелкие игроки при этом оказываются в зависимом положении.
При этом данные пользователей все равно продолжают собирать в промышленных масштабах. И делают это все те же компании, к которым обычно и предъявляют основные претензии с точки зрения нарушения приватности, — Google и Facebook*.
Возникает вопрос: а нельзя ли разработать какой-то механизм, который одновременно позволит рекламодателям отслеживать эффективность рекламы и при этом не предполагает массовый сбор данных пользователей? Ответом именно на этот вопрос и является технология Privacy-preserving attribution.
View the full article
-
От KL FC Bot
Как известно, пчеловодство неразрывно связано с информационной безопасностью. Еще в 2019 году мы представили технологию бихайвористического движка (bee-hive-oristic engine), способного за счет интеграции с ульем защищать банкоматы от физического проникновения внутрь корпуса, обеспечивая при этом его владельцев медом, воском и прополисом. Для внедрения движка мы предлагали обучать специалистов по инкассационному и техническому обслуживанию банкоматов прикладному ИБ-пчеловодству.
Так что, когда в 2024 году вышел новый фильм с Джейсоном Стетхемом «Пчеловод«, я сразу заподозрил, что он про информационную безопасность. И разумеется, оказался прав. Сейчас мы разберем описанные в «Пчеловоде» кейсы с точки зрения информационной безопасности. Разумеется, в посте будут спойлеры, однако я не думаю, что они сильно повредят восприятию этой киноленты — в конце концов фильмы со Стетхемом обычно смотрят ради экшн-сцен, а вовсе не из-за глубины и оригинальности сюжета.
Итак, главный герой — Адам Клэй, отставной пасечник. В том смысле, что он — бывший боец спецподразделения пасечников. «Пасечники» (Beekeepers) — это такая секретная организация, не подотчетная никому, следящая за порядком в стране и построенная по философии, почерпнутой из книги «Пчеловодство для пасечников». Выйдя на пенсию, Клэй поселяется у пожилой пенсионерки Элоизы Паркер и посвящает свободное время любимому хобби. Дело в том, что Адам — пасечник (на этот раз в прямом смысле, то есть пчел разводит). Я знаю, что это звучит как бред, но таков сюжет фильма, это не первоапрельская шутка. Как обычно случается в фильмах со Стетхемом, очень быстро находятся нехорошие люди, которые обижают близких Адама, а потом долго и безуспешно пытаются обидеть и его самого. А происходит это все на фоне зловещих киберпреступлений, которые, впрочем, выглядят значительно реальнее чем экшн-составляющая фильма.
Вишинг: грабеж по телефону
Первой под раздачу попадает добрая пенсионерка Элоиза. Однажды, открыв список транзакций, она получает красивое предупреждение о том, что жесткий диск ее компьютера заражен двумя вирусами. В окне также имеется телефон технической поддержки, которая готова помочь избавиться от зловредов.
Разумеется, по телефону ей отвечают мошенники, которые, пользуясь методами социальной инженерии грабят женщину. Делают они это следующим образом. Сначала убеждают зайти на сайт friendlyfriend.net и скачать с него некую программу (которая по факту контролирует компьютер жертвы). Далее, злоумышленники для компенсации причиненных неудобств обещают перевести Элоизе 500 долларов, но якобы по ошибке переводят 50 000 и просят вернуть лишнее. Она порывается было связаться с банком, но собеседник убеждает пенсионерку что в этом случае он из-за допущенной ошибки лишится работы и убеждает перевести деньги самостоятельно. Так мошенники заставляют жертву ввести «пароль для всех аккаунтов», который успешно перехватывают и используют для перевода себе не только всех сбережений и пенсионных накоплений женщины, но и двух миллионов долларов со счета благотворительного фонда, которым Элоиза управляет.
Посмотреть статью полностью
-
От KL FC Bot
Недавно завершившийся третий сезон сериала «Мандалорец» позволяет нам узнать, как обстоят дела с информационной безопасностью через девять лет после битвы за Явин. И чем больше я смотрю сериал, тем больше у меня складывается впечатление, что у всех ИБ-проблем в этой киновселенной два корня — раздолбайство и дроиды. Прежде чем вы продолжите чтение, не могу не предупредить, что в тексте могут содержаться спойлеры.
Вообще в ситуации с дроидами в «Звездных войнах» есть определенная морально-этическая проблема. Дело в том, что они разумны (думают, чувствуют, переживают), но при этом они — собственность. И даже положительные персонажи не видят в этом особой проблемы. А тем временем у дроидов могут быть собственные мотивы, не обязательно совпадающие с желаниями и целями номинального владельца.
Из принципиально нового — в сериале «Мандалорец» нам показали, как дроиды получают обновления ПО. Оказывается, для этого они ходят в бары и там выпивают! Надо, кстати, запомнить — это хороший ответ на случай, если кто-то спросит «почему ты опять пьян». Так вот, в барах им наливают напиток Непенте (Nepenthe), который представляет собой смазку для защиты от механического износа, смешанную с субчастицами, доставляющими обновления программ и новые команды от мейнфрейма. Звучит, конечно, не очень надежно — машины используются повсеместно, а бар для дроидов в фильме нам показали впервые. Но, по крайней мере, теперь мы знаем, что они в принципе хоть как-то обновляются!
Дроид-убийца IG-11
В конце первого сезона перевоспитанный дроид-убийца IG-11, окруженный имперцами, заявил, что согласно протоколам изготовителя он не должен быть захвачен противником, и активировал функцию самоуничтожения. В целом это достойный уважения механизм — позволяет не только защитить информацию в памяти дроида, но и мешает использовать его против оригинального владельца.
Одна беда — работает он из рук вон плохо. В третьем сезоне главный герой сериала решает восстановить своего павшего боевого товарища. И выясняется, что машина хоть и не в своем уме, но какие-то обрывки информации все еще сохранила — в частности, цитирует подпараграф 16 протокола своей гильдии. То есть в качестве средства для экстренного уничтожения информации этот механизм применять не стоит: это не надежно.
View the full article
-
От KL FC Bot
Вы когда-нибудь задумывались над тем, как мы понимаем, с кем говорим по телефону? Очевидно, не только по отображающемуся на экране имени. Ведь если при звонке с известного номера мы услышим незнакомый голос, то сразу поймем: что-то не так. Чтобы определить, кто наш собеседник, мы неосознанно оцениваем тембр, манеру речи, интонацию. Но насколько надежно полагаться на слух в эпоху развития цифровых технологий и искусственного интеллекта? Как показывают последние новости, не всегда стоит доверять тому, что мы слышим, — это может быть подделка. Дипфейк.
Помоги, я в беде
Весной 2023 года мошенники в Аризоне попытались выманить у женщины деньги с помощью телефонного звонка. Голос ее пятнадцатилетней дочери умолял о помощи, а после неизвестный мужчина выхватил телефон и, угрожая, потребовал выкуп — а фоном продолжали звучать крики дочери. Мать была абсолютно уверена, что действительно слышит голос своего ребенка. К счастью, ей удалось быстро убедиться, что с дочкой все в порядке, и понять, что ей звонили мошенники.
Нельзя утверждать на 100%, что злоумышленники в этом случае использовали именно дипфейк для имитации голоса подростка. Возможно, это была попытка «обычного» мошенничества: качество связи, неожиданность ситуации, стресс — и воображение матери дорисовало все необходимое, чтобы поверить в этот фейк. Но даже если в этом случае и не использовались нейросетевые технологии, по мере их развития подобные случаи могут происходить чаще, становиться убедительнее и опаснее. Для того чтобы бороться с применением дипфейк-технологии злоумышленниками, необходимо понимать, как она работает.
Что такое дипфейк?
Технология искусственного интеллекта под названием deepfake (от deep learning «глубинное обучение» + fake «подделка») активно развивается последние несколько лет. С использованием машинного обучения можно создавать убедительные подделки изображений, видео- или аудиоданных. Так, с помощью нейросетей на фотографиях и в видео легко можно заменить лицо одного человека другим с сохранением мимики и освещения. И если на заре технологии качество таких подделок было очень низким и легко определялось на глаз, то по мере развития алгоритмов результат становился все убедительнее, и теперь его уже сложно отличить от реальности. В 2022 году в России даже выпустили первый в мире дипфейк-сериал, главные роли в котором очень убедительно «сыграли» дипфейки Джейсона Стэйтема, Марго Робби, Киану Ривза и Роберта Паттинсона.
Дипфейк-версии голливудских звезд в российском сериале «ПМЖейсон». (Источник)
Голосовой перенос
Но сегодня мы поговорим о технологиях создания голосовых дипфейков. Иначе эту задачу можно назвать «переносом голоса» (или «клонированием голоса», если создают его полную цифровую копию). Перенос голоса базируется на автокодировщиках — определенном типе нейронных сетей, которые сначала сжимают входные данные (часть Encoder) до компактного внутреннего представления, а затем учатся разжимать их из этого представления обратно (часть Decoder), чтобы восстановить исходные данные. Так модель учится представлять данные в сжатом виде, выделяя при этом основную информацию.
Схема автокодировщика. (Источник)
Для создания голосовых дипфейков на вход модели подаются две аудиозаписи, при этом голос со второй записи переносится на первую. Из первого аудиоролика с помощью Content Encoder выделяется, что было сказано, из второго с использованием Speaker Encoder извлекаются глобальные характеристики желаемого голоса – то есть как говорит наш «целевой» человек. Сжатые представления того, что и как должно быть сказано, объединяются, а затем с помощью декодера генерируется результат. В результате сказанное в первой записи озвучивается голосом человека из второй записи.
Процесс создания голосового дипфейка. (Источник)
Помимо приведенного подхода на автокодировщиках существуют и другие, например с использованием генеративно-состязательных сетей (GAN) или диффузионных моделей. Исследования по созданию дипфейков активно поддерживаются, например, благодаря киноиндустрии: ведь объединив технологии аудио- и видеодипфейков, уже сейчас можно заменять лица актеров в кино и сериалах, выполнять дубляж кинофильмов с синхронизацией мимики героев с озвучкой на любом языке.
Переходим к практике
Изучая дипфейк-технологии, мы, разумеется, задались вопросом — насколько сложно создать собственный голосовой дипфейк? Оказалось, что в Сети можно найти множество бесплатных открытых инструментов для решения задач преобразования голоса — правда, получить качественный результат с их использованием будет не так-то просто. Понадобятся опыт программирования на Python и навыки работы в программах обработки звука, и все равно качество будет далеко не идеальным. Но, помимо open source, существуют также закрытые и платные решения.
Так, в начале 2023 года Microsoft анонсировала алгоритм, способный по аудиопримеру продолжительностью всего в три секунды воспроизвести голос человека! Кроме того, эта модель позволяет работать с несколькими языками, что позволяет вам услышать себя, разговаривающего на иностранном языке. Все это выглядит многообещающе, но доступно пока лишь в формате исследования. А вот платформа ElevenLabs на своем сайте предоставила пользователям возможность создания голосовых дипфейков без каких-либо усилий: достаточно загрузить аудиозапись голоса и текст, который нужно произнести — и результат готов. Разумеется, технологию тут же начали применять как бог на душу положит.
Борьба Гермионы и доверчивый банк
В полном соответствии с законом Годвина, в уста актрисы Эммы Уотсон вложили текст «Майн кампф», а один из пользователей применил технологию ElevenLabs для «взлома» собственного банковского аккаунта. Звучит жутковато? Да, особенно с учетом популярных в народе страшилок о том, что мошенники собирают образцы голосов, вынуждая сказать «да» или «подтверждаю» в телефонном разговоре с представителями якобы банка, госучреждения или службы соцопросов, а затем крадут деньги с помощью голосовой авторизации.
Но на деле все не так ужасно. Во-первых, для создания искусственного голоса ElevenLabs требуется около пяти минут аудиозаписей, так что простого «да» будет маловато. Во-вторых, банки тоже предусматривают подобные сценарии, поэтому голосом возможно инициировать лишь некоторые операции, не связанные с переводом средств, например узнать баланс счета. То есть украсть деньги таким образом не получится.
К чести ElevenLabs, они быстро отреагировали на возникшую проблему: отрегулировали правила пользования сервисом, запретив бесплатным (читай — анонимным) пользователям создавать дипфейки на основе самостоятельно загруженных голосов, заблокировали аккаунты с жалобами на оскорбительный контент.
Увы, все эти меры хоть и полезны, но все же не решают проблему использования голосовых дипфейков в низменных целях.
Как еще обманывают дипфейками
Хотя сама по себе технология дипфейков и безвредна, в руках мошенников она может стать опасным инструментом для обмана, дискредитации или дезинформации. К счастью, массовых случаев афер с использованием подмены голоса пока не наблюдалось, но несколько громких прецедентов с применением голосовых дипфейков уже произошло.
В 2019 году мошенники, используя эту технологию, ограбили британскую энергетическую компанию. В телефонном разговоре злоумышленник притворился генеральным директором головного немецкого подразделения компании и потребовал срочно перевести 220 000€ (243 000$) на счета некоей компании-поставщика. После того как платеж был отправлен, мошенник звонил еще дважды — первый раз, чтобы усыпить бдительность сотрудников британского офиса и сообщить, что головной офис уже отправил возмещение этой суммы, а второй — чтобы затребовать еще один перевод. При этом все три раза руководитель британского подразделения был абсолютно уверен, что беседует со своим боссом — он узнал как его немецкий акцент, так и тембр и манеру речи. Второй перевод не был отправлен лишь потому, что в последний раз мошенник прокололся и позвонил с австрийского номера вместо немецкого, что насторожило британского директора.
А в 2020 году с использованием голосовых дипфейков мошенникам удалось украсть до 35 000 000$ у некой японской компании (имя фирмы и общая сумма украденного не раскрываются следствием). Неизвестно, какие именно решения — открытые, платные или вообще собственные — использовали злоумышленники для подделки голоса, но в обоих случаях компании пострадали от дипфейк-мошенничества.
Что дальше?
По поводу будущего дипфейков мнения расходятся. Сейчас большая часть этих технологий находится в руках крупных корпораций и ограниченно доступна для публичного пользования. Но, как показывает история с гораздо более популярными в массах генеративными моделями вроде DALL-E, Midjourney и Stable Diffusion, а уж тем более — с большими языковыми моделями (кто же не слышал про ChatGPT?), подобные технологии вполне могут появиться в обозримом будущем в свободном доступе. Это подтверждается и недавней утечкой внутренней переписки Google, в которой представители Интернет-гиганта опасаются, что проиграют ИИ-гонку открытым решениям. А это, очевидно, спровоцирует рост случаев с использованием голосовых дипфейков, в том числе и для мошенничества.
Наиболее перспективным шагом в развитии дипфейков станет, очевидно, генерация в режиме реального времени, что обеспечит дипфейкам (и мошенничеству на их основе) взрывной рост. Только представьте видеозвонок от кого-то, чьи лицо и голос полностью подделаны. С другой стороны, подобный уровень обработки данных может потребовать огромных ресурсов, доступных лишь крупным корпорациям, поэтому лучшие технологии так и останутся закрытыми, а мошенники не смогут идти в ногу с профессионалами. В то же время высокая планка качества позволит пользователям научиться без труда определять любительские подделки.
Как защититься?
Теперь вернемся к самому первому вопросу: можем ли мы доверять голосам, которые слышим (разумеется, если это не голоса в голове)? Конечно, мы не должны постоянно параноить, выдумывая кодовые фразы для общения с друзьями и близкими — хотя для серьезных случаев и это не повредит. Если все будет развиваться по пессимистичному сценарию, дипфейк-технология в руках мошенников в будущем может стать грозным оружием, но время подготовиться к этому и построить надежные методы защиты от подделок еще есть. Проводится множество исследований, посвященных борьбе с дипфейками, крупными компаниями разрабатываются защитные решения. Кстати, мы уже подробно рассказывали о способах борьбы с видеодипфейками в отдельном посте.
А пока средства защиты от ИИ-подделок лишь на подходе, стоит помнить, что дипфейки — лишь вариант продвинутого социального инжиниринга. Риск столкнуться с подобным мошенничеством мал, но есть, поэтому про подобные виды обмана стоит знать и помнить. Если вам поступает необычный звонок, обращайте внимание на качество звучания, неестественную монотонность голоса, неразборчивость речи, шумы. Помните, что эффект неожиданности — это оружие злоумышленников, которые рассчитывают вызвать у вас панику. Всегда перепроверяйте информацию по другим каналам.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти