Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Защита от Pegasus и других мобильных шпионов | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Одна из самых громких историй 2021 года — опубликованное в июле журналистское расследование, согласно которому более 30 000 правозащитников, журналистов и юристов по всему миру подвергались слежке с помощью программы Pegasus. Это так называемое «легальное ПО для наблюдения», разработанное израильской компанией NSO. Авторы расследования «Проект Pegasus» утверждают, что шпионскую программу распространяли с использованием различных эксплойтов, включая эксплойты «нулевого дня» (на основе неизвестных ранее уязвимостей) и «нулевого клика» (не требуют взаимодействия с пользователем) для iOS.

На основе экспертизы множества зараженных мобильных устройств Лаборатория безопасности организации Amnesty International установила, что программа Pegasus регулярно применялась для неправомерной слежки. В списке лиц, оказавшихся под наблюдением, — 14 мировых лидеров и множество активистов, правозащитников, диссидентов и оппозиционеров.

Позже в июле представители израильского правительства посетили офисы NSO, чтобы проверить выдвинутые обвинения. А в октябре Верховный суд Индии поручил специальной технической комиссии расследовать использование Pegasus для слежки за индийскими гражданами. В ноябре компания Apple объявила, что подает иск против NSO Group за разработку вредоносного и шпионского программного обеспечения, которое атакует пользователей компании. Наконец, в декабре агентство Reuters сообщило, что телефоны Государственного департамента США были взломаны с помощью программы Pegasus, о чем и предупреждала компания Apple.

За последние месяцы я получил от обеспокоенных пользователей разных стран множество вопросов о том, как защитить мобильные устройства от Pegasus и других подобных программ. В этой статье мы постарались ответить на такие вопросы — хотя надо признать, что любой перечень способов защиты будет неполным. Кроме того, злоумышленники постоянно меняют свои методы, а значит, и способы защиты должны совершенствоваться.

Как защититься от Pegasus и подобных ему шпионских программ

Прежде всего нужно понимать, что Pegasus — довольно дорогой инструмент, предназначенный для продажи государственным спецслужбам. Стоимость полного развертывания может исчисляться миллионами долларов. При помощи эксплойтов «нулевого дня» и «нулевого клика» могут распространяться и другие APT-зловреды для мобильных устройств. И они тоже будут дорогими — например, компания-брокер эксплойтов Zerodium платит до 2,5 миллиона долларов за цепочку эксплойтов для персистентного заражения Android-устройств без взаимодействия с пользователем:

В прайс-листе Zerodium за уязвимости для APT-атак предлагается до 2,5 миллионов долларов

В прайс-листе Zerodium за уязвимости для APT-атак предлагается до 2,5 миллионов долларов

Важный вывод: кибершпионаж за счет государства является делом чрезвычайно затратным. Когда злоумышленник может позволить себе тратить на атаки миллионы, десятки или даже сотни миллионов долларов, шансы на то, что жертва сумеет избежать заражения, крайне малы. Говоря проще, если вас решила атаковать такая сила, то вопрос не в том, можно ли вас заразить, а лишь в том, сколько на это потребуется времени и денег.

Но есть и хорошая новость. Применение эксплойтов для сложных кибератак — скорее искусство, чем точная наука. Эксплойты должны быть «заточены» под конкретные версии ОС и оборудования. Такой эксплойт вполне может потерять работоспособность при обновлении ОС, при внедрении новой техники защиты и даже в результате какого-нибудь случайного события.

Таким образом, пусть мы не всегда в состоянии предотвратить эксплуатацию уязвимости и заражение мобильного устройства, мы можем сильно усложнить процесс достижения целей для атакующего.

Как это сделать? Вот простой список действий.

Защита от продвинутого шпионского ПО для устройств iOS

Перезагружайтесь каждый день. Согласно исследованию Amnesty International и лаборатории Citizen Lab, в цепочках заражения Pegasus часто используются эксплойты «нулевого дня» и «нулевого клика», которые не способны закрепляться в системе. Регулярная перезагрузка очищает устройство, и злоумышленникам придется каждый раз заражать его заново. Со временем это повышает вероятность обнаружения: может произойти сбой или возникнут артефакты, свидетельствующие о заражении. Это не просто теория, а практический опыт. Мы однажды расследовали случай заражения мобильного устройства эксплойтом «нулевого клика» (вероятно, это был FORCEDENTRY). Владелец устройства регулярно перезагружал его, и сделал то же самое вскоре после атаки. Злоумышленники пытались атаковать его еще несколько раз, но в итоге сдались, поскольку им мешали регулярные перезагрузки.

NoReboot: имитация перезагрузки для закрепления в системе

Отключите iMessage. Приложение iMessage встроено в iOS и активно по умолчанию — поэтому оно стало наиболее частым механизмом доставки в цепочках «нулевого клика». Уже много лет эксплойты для iMessage были весьма востребованы и высоко оплачивались брокерами эксплойтов. «За последние несколько месяцев выросло число эксплойтов для iOS, в основном с цепочками на основе Safari и iMessage. Их разрабатывают и продают исследователи со всего мира. Рынок угроз нулевого дня так перенасыщен эксплойтами для iOS, что в последнее время мы даже иногда отказываемся их брать«, — рассказал основатель компании Zerodium Чауки Бекрар журналу WIRED еще в 2019 году. Мы понимаем, что некоторым пользователям будет трудно отказаться от iMessage (ниже еще вернемся к этой теме). Но если Pegasus и другие продвинутые шпионские программы для мобильных устройств входят в вашу модель угроз, стоит использовать этот совет.

Отключите Facetime. Аналогично предыдущей рекомендации.

Вовремя обновляйтесь, устанавливайте свежие патчи iOS, как только они выходят. Не каждый злоумышленник может себе позволить покупку эксплойтов «нулевого дня». Изученные нами вредоносные программы для iOS часто эксплуатируют уязвимости, для которых уже выпущены патчи. Однако многие люди используют старые модели смартфонов и откладывают установку обновлений по тем или иным причинам. Если вы хотите опережать хакеров из госслужб (хотя бы некоторых), устанавливайте обновления как можно раньше и приучитесь делать это, даже если в очередном обновлении нет ни одного свежего эмодзи.

Никогда не кликайте по ссылкам в сообщениях. Простой, но очень эффективный совет. Не все шпионы могут позволить себе цепочку «нулевого клика» за миллионы долларов, так что им приходится полагаться на эксплойты, требующие хотя бы одного клика от пользователя. Такие заражения начинаются с SMS-сообщения, могут также использоваться другие мессенджеры и даже электронная почта. Если вы получили интересное SMS (или сообщение в мессенджере) со ссылкой, открывайте его на стационарном компьютере, желательно в браузере TOR, а еще лучше — в защищенной одноразовой ОС, такой как Tails.

SMS с вредоносной ссылкой, которое использовалось для атаки на устройство политического активиста

SMS с вредоносной ссылкой, использованное для атаки на устройство политического активиста] Источник: Citizen Lab

Для просмотра сайтов используйте альтернативный браузер, например Firefox Focus, вместо установленного по умолчанию Safari или Chrome. Несмотря на то что все браузеры для iOS используют одно и то же ядро Webkit, некоторые эксплойты не работают с альтернативными браузерами (см. случай APT-угрозы LightRighter/TwoSailJunk):

Эксплойт LightRiver проверяет, используется ли слово Safari в строке User-Agent

Эксплойт LightRiver проверяет, используется ли слово Safari в строке User-Agent

Вот как выглядят строки User-Agent iOS-версий браузеров Safari, Chrome и Firefox Focus:

  • Safari: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.1 Mobile/15E148 Safari/604.1
  • Chrome: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/96.0.4664.53 Mobile/15E148 Safari/604.1
  • Firefox Focus: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) FxiOS/39 Mobile/15E148 Version/15.0

Всегда используйте VPN для маскировки своего трафика. Некоторые эксплойты доставляются через GSM-оператора с использованием техники Man-in-the-Middle (MitM), при просмотре HTTP-сайтов или путем перехвата DNS. Используя VPN, вы затрудняете получение вашего точного адреса для GSM-оператора. Это также усложняет «прицеливание» для злоумышленников, которые захватили ваш канал передачи данных, как это бывает в роуминге. Обратите внимание, что VPN-сервисы не одинаковы и не всякий подходит для этой задачи. Мы не будем рекомендовать конкретных поставщиков, но укажем ряд моментов, которые следует учесть при выборе VPN, если главным вашим приоритетом является анонимность:

  • Он должен быть платным: не используйте «бесплатные» VPN.
  • Выбирайте сервисы, которые принимают оплату в криптовалюте.
  • Выбирайте сервисы, которые не требуют предоставлять какие-либо данные для регистрации.
  • Лучше не использовать VPN-приложения — вместо них выбирайте инструменты с открытым кодом, такие как OpenVPN и WireGuard, а также профили VPN.
  • Избегайте новых VPN-сервисов, выбирайте такие, которые существуют уже давно и хорошо известны.

Установите защитное приложение, которое проверяет устройство на джейлбрейк. Если вы раз за разом удаляете файлы злоумышленников, в конце концов атакующие могут попытаться получить права суперпользователя, чтобы закрепиться в системе. Но джейлбрейк дает вам преимущество с точки зрения обнаружения: шанс выявить атаку возрастает на порядок.

Создавайте резервные копии в iTunes каждый месяц. Позже это позволит вам провести диагностику и обнаружить заражение с помощью великолепного набора инструментов MVT от Amnesty International (подробнее об этом ниже).

Регулярно запускайте диагностику системы и сохраняйте результаты на внешнем носителе. Эти артефакты помогут в обнаружении и расследовании атаки, если таковая случится. Способ запуска диагностики системы зависит от модели телефона. Например, на некоторых моделях iPhone для этого нужно одновременно нажать кнопки Увеличение громкости + Уменьшение громкости + Питание. Возможно, придется сделать это несколько раз, пока телефон не завибрирует. Файл системной диагностики появится в разделе аналитики:

Системная диагностика в разделе

Системная диагностика в разделе «Аналитика и улучшения» устройства iOS

Защита от продвинутого шпионского ПО для устройств Android

Аналогичный список для пользователей устройств под управлением Android (подробные обоснования смотрите в списке для iOS выше):

  • Ежедневно перезагружайте устройство. Добиться закрепления вредоносного ПО в последних версиях Android сложно, многие хакерские группы и продавцы эксплойтов сами отказываются от попыток закрепления в этой операционной системе!
  • Своевременно обновляйтесь и устанавливайте свежие патчи.
  • Никогда не переходите по ссылкам в текстовых сообщениях.
  • Используйте для просмотра сайтов альтернативный браузер, например Firefox Focus вместо установленного по умолчанию Chrome.
  • Всегда используйте VPN для маскировки своего трафика. Некоторые эксплойты доставляются через GSM-оператора методом MitM, при просмотре HTTP-сайтов или путем перехвата DNS.
  • Установите пакет защитных программ, которые будут проверять устройство на вредоносное ПО и предупреждать вас при обнаружении перепрошивки.

Более серьезная защита — как для iOS, так и для Android — должна включать анализ сетевого трафика с использованием свежих индикаторов компрометации. Например, можно установить постоянно активное VPN-подключение через Wireguard к контролируемому вами серверу с установленным на нем приложением pi-hole для фильтрации опасного содержимого и записи всего трафика для последующей проверки.

Как обходиться без iMessage

Мой друг Райан Нарейн недавно высказал такую мысль: iMessage и FaceTime — это именно то, из-за чего многие люди выбирают iPhone! И, конечно, он прав. Я сам пользуюсь iPhone с 2008 года и считаю, что iMessage и FaceTime — лучшие разработки в экосистеме Apple. Но когда я понял, что именно их чаще всего эксплуатируют правительства, чтобы шпионить за нами через телефон, я попытался сбежать из этой «золотой клетки». Что было труднее всего? Убедить близких тоже отключить сервис iMessage. Как ни странно, это оказалось одной из самых сложных вещей во всей нашей эпопее с безопасностью.

Жизнь без iMessage пресна и лишена эмодзи

Жизнь без iMessage пресна и лишена эмодзи

Сначала я пытался перевести всех в Telegram. Без особого успеха. Тем временем не прекращал развиваться Signal: там появились видеозвонки и групповые вызовы. Постепенно туда переходило все больше моих друзей, а там и семья подоспела. Я не говорю, что это обязательно для всех. Возможно, у вас получится оставить iMessage включенным и спокойно жить без всякого вредоносного ПО — надо признать, что Apple значительно улучшила «песочницу» для iMessage с появлением BlastDoor в iOS 14. Тем не менее эксплойт FORCEDENTRY, использованный компанией NSO для доставки Pegasus, обошел BlastDoor. Да и вообще, ни одна функция безопасности не дает 100-процентной защиты от взлома.

«А нельзя ли убить сразу двух зайцев?» — спросите вы. У некоторых людей (и я один из них) по два телефона: на одном приложение iMessage отключено, а второй — это айфон-приманка с включенным iMessage. При этом оба они связаны с одной учетной записью Apple ID и с одним телефонным номером. Но если кто-нибудь решит атаковать меня, то, скорее всего, его вредоносное ПО окажется только на телефоне-приманке.

Как обнаружить заражение Pegasus и другими мобильными шпионами

Обнаружить следы заражения продвинутыми шпионскими программами типа Pegasus очень сложно. А функции безопасности современных операционных систем, таких как iOS и Android, делают эту задачу еще труднее. Кроме того, как мы заметили, если шпион не закрепляется в системе, это тоже играет на руку атакующим — ведь после перезагрузки почти не остается следов вторжения. И для криминалистического анализа, как правило, требуется получение доступа к файловой системе (джейлбрейк), что опять подразумевает перезагрузку, в ходе которой вредоносная программа удаляется из памяти.

На данный момент существует несколько методов, позволяющих обнаружить Pegasus и другие продвинутые шпионские программы на мобильных устройствах. Один из них — использование MVT (Mobile Verification Toolkit — набор средств для проверки мобильных устройств) от Amnesty International. Это бесплатное решение с открытым кодом, позволяющее аналитикам проверить мобильный телефон на признаки заражения. В дополнение к MVT используется список индикаторов компрометации, выявленных при анализе случаев заражения и опубликованных «Международной амнистией».

Что делать, если ваше устройство заражено Pegasus

Вы тщательно выполняли все рекомендации, но все равно заразились. К сожалению, такова наша реальность. Я очень сочувствую вам. Посмотрите на ситуацию с хорошей стороны: вы уже знаете, что ваше устройство заражено, потому что сумели установить это благодаря артефактам и накопленной информации. В этом случае подумайте вот о чем:

  • Кто атаковал вас и почему? Попробуйте вычислить, что привлекло к вам внимание серьезных ребят. Сможете ли вы избежать такого внимания в будущем, если будете действовать более скрытно?
  • Стоит ли рассказать об этом? Многие организации, занимающиеся слежкой, вынуждены были прекратить эту деятельность именно благодаря неблагоприятному освещению в СМИ. Журналисты пишут о превышении полномочий, разоблачают ложь, сообщают о правонарушениях и злодеяниях. Если вы стали мишенью для атаки, попробуйте рассказать свою историю журналистам.
  • Поменяйте устройство — если у вас была iOS, попользуйтесь некоторое время устройством с Android. А если был Android, перейдите на iOS. Это может на время сбить атакующих с толку: некоторые из них покупают эксплойты, работающие только на определенных телефонах и ОС.
  • Заведите дополнительное устройство, предпочтительно с системой GrapheneOS, для безопасной связи. Используйте на нем предоплаченный тариф или подключайтесь только по Wi-Fi и через TOR, оставаясь в авиарежиме.
  • Не используйте мессенджеры, в которых необходимо указывать свой номер телефона. Получив ваш номер, злоумышленники легко найдут вас во всех привязанных мессенджерах: iMessage, WhatsApp, Signal или Telegram. Стоит обратить внимание на мессенджер Session, который автоматически маршрутизирует ваши сообщения через сеть типа Onion и не связан с телефонными номерами.
  • Попробуйте найти эксперта по кибербезопасности в своем регионе и регулярно советуйтесь с ним по поводу рекомендуемых практик. Показывайте ему артефакты, подозрительные сообщения и логи. Безопасность никогда не достигается единственным абсолютно надежным решением. Это больше похоже на реку, где вы должны все время подправлять курс своего судна с учетом скорости, течений и возникающих на пути препятствий.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Как защитить онлайн-коммерцию от атак мошенников | Блог Касперского
      Автор KL FC Bot
      По данным исследовательской компании Juniper Research, оборот электронной торговли в 2024 году превысил 7 триллионов долларов и, по прогнозам, вырастет в полтора раза за следующие пять лет. Но интерес злоумышленников к этой сфере растет еще быстрее. В прошлом году потери от мошенничества превысили $44 млрд, а за пять лет вырастут до $107 млрд.
      Онлайн-площадка любого размера, работающая в любой сфере, может стать жертвой — будь это маркетплейс контента, магазин стройматериалов, бюро путешествий или сайт аквапарка. Если вы принимаете платежи, ведете программу лояльности, поддерживаете личный кабинет клиента — к вам обязательно придут мошенники. Какие схемы атаки наиболее популярны, что за потери несет бизнес и как все это прекратить?
      Кража аккаунтов
      Благодаря инфостилерам и различным утечкам баз данных у злоумышленников на руках есть миллиарды пар e-mail+пароль. Их можно по очереди пробовать на любых сайтах с личным кабинетом, небезосновательно надеясь, что жертва атаки везде использует один и тот же пароль. Эта атака называется credential stuffing, и, если она будет успешна, злоумышленники смогут от имени клиента оплачивать заказы привязанной к аккаунту кредитной картой или использовать баллы лояльности. Также мошенники могут использовать аккаунт для махинаций с покупкой товаров и оплатой сторонними банковскими картами.
       
      View the full article
    • KL FC Bot
      Что такое SMS-бластер и как защититься от опасных SMS в путешествии | Блог Касперского
      Автор KL FC Bot
      Фальшивые SMS от банков, служб доставки и городских учреждений — излюбленный мошенниками способ выманить финансовые данные и пароли. Эту разновидность фишинга часто называют smishing (SMS phishing). Опасные SMS фильтруют почти все сотовые операторы, и лишь малая часть доходит до получателей. Но мошенники придумали нечто новое. За последний год в Великобритании, Таиланде и Новой Зеландии были задержаны злоумышленники, которые рассылали сообщения, минуя сотового оператора, прямо на телефоны жертв. Эта технология получила название SMS blaster.
      Что такое SMS blaster
      «Бластер» притворяется базовой станцией сотовой сети. Он выглядит, как утыканная антеннами коробка размером с системный блок старого компьютера; мошенники кладут ее в багажник автомобиля или в рюкзак. Включенный «бластер» побуждает все телефоны поблизости подключиться к нему как к самой мощной базовой станции с наилучшим сигналом. Когда это происходит — присылает подключенному телефону фальшивое SMS. В зависимости от модели «бластера» и условий приема, радиус рассылки SMS составляет 500–2000 метров, поэтому злодеи предпочитают проводить свои операции в многолюдных районах. Риск максимален в популярных туристических, торговых и деловых центрах — там и зафиксированы все известные атаки. При этом мошенники не имеют никаких ограничений: не платят за SMS, могут подписывать SMS любым отправителем и включать в него любые ссылки. Злоумышленникам не надо знать номера телефонов жертв — любой телефон получит сообщение, если подключится к их «сотовой вышке».
       
      View the full article
    • KL FC Bot
      Защита истории посещений в браузерах | Блог Касперского
      Автор KL FC Bot
      В апреле, с выходом Google Chrome 136, наконец решена проблема приватности, которая есть во всех крупных браузерах и о которой широко известно с 2002 года. Причем еще 15 лет назад зарегистрирована ее массовая эксплуатация недобросовестными маркетологами. Это угрожающее описание имеет известная и, казалось бы, безобидная функция, элемент удобства: когда вы посетили какой-то сайт, ссылку на него ваш браузер начинает показывать другим цветом.
      «А хотите, я его кликну? Он станет фиолетовым в крапинку…»
      Менять цвет ссылки на посещенные сайты (по умолчанию — с синего на фиолетовый) придумали 32 года назад в браузере NCSA Mosaic, и оттуда эту удобную для пользователя практику заимствовали практически все браузеры девяностых. Затем она вошла и в стандарт стилизации веб-страниц, CSS. По умолчанию такое перекрашивание работает во всех популярных браузерах и сегодня.
      Еще в 2002 году исследователи обратили внимание, что этой системой можно злоупотреблять: на странице можно разместить сотни или тысячи невидимых ссылок и с помощью JavaScript проверять, какие из них браузер раскрашивает, как посещенные. Таким образом, посторонний сайт может частично раскрыть историю веб-браузинга пользователя.
      В 2010 году исследователи обнаружили, что этой технологией пользуются на практике: нашлись крупные сайты, шпионящие за историей веб-браузинга своих посетителей. В их числе были YouPorn, TwinCities и еще 480 популярных на тот момент сайтов. Услугу анализа чужой истории предлагали сервисы Tealium и Beencounter, а против рекламной фирмы interclick, внедрившей эту технологию для аналитики, был подан судебный иск. Суд фирма выиграла, но производители основных браузеров изменили код обработки ссылок, чтобы считывать состояние посещенности ссылок «в лоб» стало невозможно.
      Но развитие веб-технологий создавало новые обходные пути для подглядывания за историей посещений сайтов, хранимой браузером. Исследование 2018 года описало четыре новых способа проверять состояние ссылок, причем к двум из них были уязвимы все протестированные браузеры, кроме Tor Browser, а один из дефектов, CVE-2018-6137, позволял проверять посещенные пользователем сайты со скоростью до 3000 ссылок в секунду. Новые, все более сложные атаки по извлечению истории веб-браузинга, продолжают появляться и сейчас.
       
      View the full article
    • KL FC Bot
      Как защитить свой роутер от взлома и установки домашнего прокси | Блог Касперского
      Автор KL FC Bot
      Недавно раскрытый взлом тысяч домашних маршрутизаторов ASUS показывает, что, кроме вас и ближайших соседей, ваша домашняя точка доступа Wi-Fi нужна еще и обычным киберпреступникам, и даже хакерам на госслужбе, проводящим целевые шпионские атаки. Новая атака, предположительно связанная с печально известной группировкой APT31, продолжается, она опасна своей скрытностью и необычным способом защиты от нее, поэтому важно разобраться, зачем злоумышленникам роутеры и как защищаться от хакерских трюков.
      Как используют взломанные маршрутизаторы
      Домашний прокси. Когда хакеры атакуют крупные компании и госучреждения, атаку часто вычисляют по необычным адресам, с которых идет обращение к защищаемой сети. Подозрительно, когда компания работает в одной стране, а ее сотрудник внезапно входит в корпоративную сеть из другой. Не менее подозрительны обращения с известных адресов VPN-серверов. Чтобы замаскироваться, злоумышленники применяют взломанный роутер в нужной стране и даже нужном городе, рядом с объектом атаки. Они направляют все запросы на роутер, а тот переадресует данные атакуемому компьютеру. При мониторинге это выглядит как обычное обращение сотрудника к рабочим ресурсам из дома, ничего подозрительного. Командный сервер. На взломанном устройстве выкладывают вредоносное ПО, чтобы скачивать его на заражаемые компьютеры. Или, наоборот, выкачивают нужную информацию из атакованной сети прямо на ваш роутер. Ловушка для конкурентов. Роутер могут использовать как приманку, чтобы изучать способы взлома, применяемые другими группировками хакеров. Прибор для майнинга. Любое вычислительное устройство можно применять для майнинга криптовалюты. Использовать для майнинга роутер не очень эффективно, но, когда злоумышленник не платит ни за электричество, ни за технику, ему это все равно выгодно. Инструмент манипуляции вашим трафиком. На роутере можно перехватывать и изменять содержимое интернет-соединений — так злоумышленники могут атаковать все подключенные к домашней сети устройства. Спектр применения этой техники, — от кражи паролей до внедрения рекламы в веб-страницы. Бот для DDoS-атак. Любые домашние устройства, включая роутеры, видеоняни, умные колонки и даже чайники, можно объединить в сеть ботов и «положить» любой онлайн-сервис миллионами одновременных запросов с этих устройств. Эти варианты будут полезны разным группам злоумышленников. Если майнинг, реклама и DDoS чаще интересны киберпреступникам с финансовой мотивацией, то целевые атаки под прикрытием домашнего IP-адреса проводят либо банды вымогателей, либо группировки, занимающиеся настоящим шпионажем. Звучит как детектив, но распространено настолько широко, что об этом в разное время выпустили несколько предупреждений Американское агентство по безопасности инфраструктуры (CISA) и ФБР. Шпионы, как им и положено, действуют предельно незаметно, поэтому владельцы роутера замечают его «двойное назначение» крайне редко.
       
      View the full article
    • KL FC Bot
      Что такое slopsquatting и как защитить от него организацию | Блог Касперского
      Автор KL FC Bot
      Генерация программного кода стала одной из сфер, где ИИ уже внедрен достаточно широко, — по некоторым оценкам, за минувший год около 40% нового кода было написано ИИ. CTO Microsoft считает, что через пять лет эта цифра достигнет 95%. Этот код еще предстоит научиться правильно сопровождать и защищать.
      Безопасность ИИ-кода эксперты пока оценивают как невысокую, в нем систематически встречаются все классические программные дефекты: уязвимости (SQL-инъекции, вшитые в код токены и секреты, небезопасная десериализация, XSS), логические дефекты, использование устаревших API, небезопасные алгоритмы шифрования и хеширования, отсутствие обработки ошибок и некорректного пользовательского ввода и многое другое. Но использование ИИ-ассистента в разработке ПО добавляет еще одну неожиданную проблему — галлюцинации. В новом исследовании авторы подробно изучили, как на ИИ-код влияют галлюцинации больших языковых моделей. Оказалось, что некоторых сторонних библиотек, которые ИИ пытается использовать в своем коде, просто не существует в природе.
      Вымышленные зависимости в open source и коммерческих LLM
      Для изучения фантомных библиотек исследователи сгенерировали 576 тысяч фрагментов кода на Python и JavaScript с помощью 16 популярных LLM.
      Модели выдумывали зависимости с разной частотой: реже всего галлюцинировали GPT4 и GPT4 Turbo (вымышленные библиотеки встретились менее чем в 5% образцов кода), у моделей DeepSeek этот показатель уже превышает 15%, а сильнее всего ошибается Code Llama 7B (более 25% фрагментов кода ссылаются на несуществующие библиотеки). При этом параметры генерации, которые снижают вероятность проникновения случайных токенов в выдачу модели (температура, top-p, top-k), все равно не могут снизить частоту галлюцинаций до незначительных величин.
      Код на Python содержал меньше вымышленных зависимостей (16%) по сравнению с кодом на JavaScript (21%). Результат также зависит от того, насколько стара тема разработки. Если при генерации пытаться использовать пакеты, технологии и алгоритмы, ставшие популярными за последний год, несуществующих пакетов становится на 10% больше.
      Самая опасная особенность вымышленных пакетов — их имена не случайны, а нейросети ссылаются на одни и те же библиотеки снова и снова. На втором этапе эксперимента авторы отобрали 500 запросов, которые ранее спровоцировали галлюцинации, и повторили каждый из них 10 раз. Оказалось, что 43% вымышленных пакетов снова возникают при каждой генерации кода.
      Интересна и природа имен вымышленных пакетов. 13% были типичными «опечатками», отличающимися от настоящего имени пакета всего на один символ, 9% имен пакетов были заимствованы из другого языка разработки (код на Python, пакеты из npm), еще 38% были логично названы, но отличались от настоящих пакетов более значительно.
       
      View the full article
×
×
  • Создать...