Портал Infosecurity нашел самые курьезные истории из мира кибербезопасности в уходящем году.
Мир информационной безопасности охватывает широкий спектр отраслей. Порой исследователи сталкиваются с необычными и даже совершенно безумными историями, пишет портал Infosecurity. Эксперты издания выбрали самые курьезные методы атак и защиты:
1. Взлом «умных» кормушек для домашних животных
Риски безопасности, связанные с распространением домашних устройств Интернета вещей (IoT), уже несколько лет являются источником беспокойства экспертов. Требования к кибербезопасности IoT вошли в новые законодательные инициативы.
В июне 2023 г. исследователи «Лаборатории Касперского» нашли две уязвимости в популярных интеллектуальных кормушках для домашних животных, которые могут привести к краже данных и вторжению в частную жизнь. Первая касается определенных «умных» кормушек, которые используют жестко закодированные учетные данные для передачи телеметрии в очереди сообщений (MQTT), что может позволить хакерам выполнить несанкционированный код и получить контроль над кормушкой для запуска последующих атак на другие сетевые устройства. Злоумышленники также могут нарушать график кормления, потенциально подвергая опасности здоровье питомца.
Другая уязвимость связана с небезопасным процессом обновления встроенного ПО, который может привести к несанкционированному выполнению кода, изменению настроек устройства и краже конфиденциальной информации, включая прямые трансляции видео, идущие на облачный сервер.
2. Группировка BlackCat отправила жалобу в Комиссии по ценным бумагам и биржам США
Обеспечение большей прозрачности киберинцидентов является ключевой целью новых правил отчетности Комиссии по ценным бумагам и биржам США (SEC). Регулятор предписывает компаниям, зарегистрированным на бирже в США, раскрывать значимые инциденты в течение четырех дней.
В ноябре 2023 г. группа BlackCat/ALPHV сообщила, что опубликовала подробную информацию о компрометации компании MeridianLink на сайте SEC, поскольку жертва не прореагировала на информацию об инциденте. Этот шаг стал новым способом давления на жертв с целью заставить их заплатить выкуп, поскольку SEC уполномочена налагать суровые штрафы за несоблюдение требований отчетности. Больше подобных случаев не было, однако эксперты ожидают их в следующем году.
3. Киберпреступники не хотят использовать ChatGPT
С момента запуска в ноябре 2022 г. чат-бота ChatGPT от OpenAI на базе искусственного интеллекта было много дискуссий о том, как хакеры могут использовать большие языковые модели (LLM) для усиления кибератак.
Однако исследование, опубликованное Sophos в ноябре 2023 г., показало, что киберпреступники неохотно используют инструменты ИИ и даже выражают обеспокоенность по поводу социальных рисков, которые они представляют. Проанализировав несколько известных форумов по киберпреступности, исследователи заметили, что попытки создать вредоносное ПО или инструменты для атак с использованием LLM признаны хакерами «рудиментарными», пользователи скептически относятся к таким действиям своих коллег. Более того, многие киберпреступники выразили опасения, что создатели имитаторов ChatGPT пытались их обмануть.
4. Google подает в суд на мошенников
В ноябре 2023 г. технологический гигант Google объявил, что применяет новую стратегию сдерживания киберпреступников – судебный процесс.
Компания заявила, что подает в суд на две группы злоумышленников. Первый судебный иск направлен против мошенников, которые выдавали свое вредоносные ПО за искусственный интеллект Bard от Google и крали таким образом данные аккаунтов жертв в социальных сетях. Компания добивается судебного запрета в отношении неизвестных лиц создавать фишинговые домены и разрешить отключать их у регистраторов доменов в США.
Второй судебный процесс касается злоупотреблений в части закона об авторском праве. Google заявила, что выявила десятки аккаунтов, которые использовались для подачи тысяч фиктивных исков о нарушениях авторских правах против конкурентов. Эти иски привели к временному удалению веб-сайтов более 100 тыс. компаний, что обернулось для жертв мошенников потерями в миллионы долларов.
В Google надеются, что судебные иски положат конец аномальной активности одних злоумышленников и отпугнут других.
5. Исследователи нашли «глупый» способ извлечения обучающих данных ChatGPT
В ноябре 2023 г. команда исследователей из Google и нескольких университетов США обнаружила метод атаки на ChatGPT, который они назвали «довольно глупым». Этот необычный метод позволяет извлечь из модели около гигабайта обучающего набора данных ChatGPT.
Исследователи предложили модели командой повторять определенное слово, например «стихотворение», бесконечно, а затем наблюдали за реакцией модели. Некоторое время ChatGPT повторял это слово и начинал включать части данных, на которых он был обучен, включая адреса электронной почты и номера телефонов. В самой надежной конфигурации более 5% выходных данных, выдаваемых ChatGPT, были прямой дословной копией 50 токенов, идущих подряд в обучающем наборе данных.
В то время как LLM должны генерировать ответы на основе обучающих данных, сами дата-сеты не предназначены для публикации. Исследователи сообщили, что используя свой метод и потратив около 200 долларов, они извлекли нескольких мегабайт информации. Потратив большую сумму, они могли бы получить примерно гигабайт данных.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных