Обзор важных материалов по ИБ 28.02.2020

Представляем обзор важных материалов по информационной безопасности за неделю:

1. Министерство внутренних дел РФ работает над системой распознавания преступников и подозреваемых по голосу, радужке, татуировкам и по походке. Об этом РБК рассказал глава Русского биометрического общества Данила Николаев, а в МВД подтвердили информацию. Над системой работают в рамках государственной программы «Безопасный город» в Москве, а внедрить ее планируют до конца 2021 г., рассказал РБК глава МВД Владимир Овчинский. Разработка системы будет профинансирована из бюджета.
2. Китайский стартап SenseTime создал сканер лица, способный узнавать людей в масках. Как сообщают создатели, сканер может обнаруживать людей с повышенной температурой с помощью тепловизионной камеры и отправлять пользователям всплывающие уведомления. Также он способен выявлять людей без масок в общественных местах и требовать надеть маску для входа в здание с системами контроля доступа. Кроме того, как утверждают в SenseTime, сканер распознает скрытые за маской лица «с высокой точностью».
3. Программисты Дамьен Риль и Ноа Рубин разработали алгоритм, который сгенерировал каждую возможную комбинацию из 8 нот и 12 таков в формате MIDI, а после весь архив был выложен в свободном доступе в интернете на основе лицензии Creative Commons Zero. Одной из целей проекта было ограждение музыкантов от возможных судебных тяжб по причине «кражи мелодий». Дамьен Риль рассказал об этом алгоритме во время конференции TEDxMinneapolis. Также он сообщил, что судебные тяжбы из-за авторских прав «душат творческую свободу музыкантов».
4. Поисковики выводят в результатах поиска пригласительные ссылки на закрытые чаты в мессенджерах WhatsApp и Telegram. Некоторые из таких ссылок, которые были обнаружены в поисковике Google экспертами по безопасности, позволяли не только получить доступ в чаты, но и видеть телефонные номера их участников. Так, пригласительные ссылки в чаты, где распространялся «нелегальный порноконтент», среди которого была и детская порнография, а также пригласительные ссылки в ультраправые и антиправительственные группы в мессенджере WhatsApp обнаружил журналист, работающий на Deutsche Welle. Тем не менее, в Google и Facebook не видят никакой проблемы.  На отправленное сообщение о возможном баге в Facebook ответили, что все работает так, как и должно работать.
5. В своем блоге программист Томми Миск сообщил, что злоумышленники могут получить доступ к данным, скопированным в буфер обмена iPhone или iPad. Данные буфера обмена могут использовать любые программы, установленные на iOS, включая вредоносные. Таким образом, злоумышленники могут получить доступ к данным банковских карт и паролям, а также к другой личной информации пользователя. Например, когда пользователь копирует фотографию, помимо нее в буфере обмена оказываются также данные, сохраненные в ее свойствах, включая информацию о GPS-координатах. Как сообщил Томми Миск, кража данных происходит незаметно для пользователей. В Apple программисту ответили, что обнаруженная им проблема не является уязвимостью, а поэтому ее не будут устранять.
6. Правоохранительные органы Европейского союза намерены построить сеть национальных полицейских баз данных, которая будет отхватывать все страны ЕС. В соответствии с имеющимися в распоряжении у журналистов The Intercept внутренним документам, в базах планируется хранить изображения лиц граждан. В подготовленном сотрудниками правоохранительных органов ЕС докладе говорится о необходимости создания нового европейского законодательства, позволяющего построить такую базу данных «как можно скорее». Как сообщает The Intercept, подготовительная работа над законопроектом уже ведется. Авторы доклада призывают Европол способствовать обмену биометрическими данными со странами, не входящими в состав Европейского союза. Такая сеть баз данных может охватить и США.
7. Министерство обороны США утвердило этические принципы использования ИИ. Новые принципы должны ускорить принятие законных и этических способов использования искусственного интеллекта в боевых и небоевых операциях, сообщил министр обороны Марк Эспер. Кроме того, эти принципы помогут вооруженным силам США в выполнении правовых, политических и этических обязательств в области искусственного интеллекта.
8. Президент России Владимир Путин поддержал предложение о закреплении нормы по обеспечению кибербезопасности личности и государства в ст.71 Конституции РФ. Такую инициативу озвучил глава комитета Госдумы по бюджету и налогам Андрей Макаров на заседании рабочей группы по разработке поправок в основной закон. По словам Андрея Макарова, включение такой нормы не только приравняет обеспечение безопасности личности к вопросам обороны и безопасности, но и «подчеркнет значимость тех вызовов, которые стоят перед страной». В свою очередь, Владимир Путин поддержал данную инициативу.
9. Специалисты Института технологической политики в США провели исследование, целью которого было выяснить, во сколько пользователи оценивают свои данные и свою конфиденциальность в интернете. Изучив привычки пользователей, специалисты попробовали определить стоимость приватности в США, Мексике, Германии, Аргентине, Колумбии и Бразилии. «Разница в том, как люди в разных странах оценивают стоимость различных типов данных, свидетельствует о том, что в одних местах люди предпочитают более мягкие правила, тогда как в других – более жесткие», – рассказал президент Института технологической политики Скотт Уоллстен информагентству Reuters. По результатам исследования, наибольшую сумму от Facebook за продажу своих данных третьим сторонам хотят получать жители Германии. Вместе с этим, самой дешевой информацией стали данные о местоположении, а самой дорогой – финансовая (баланс банковского счета) и биометрическая (отпечатки пальцев).
10. Глава Министерства внутренних дел России Владимир Колокольцев сообщил о нехватке бюджетных средств для борьбы с киберпреступлениями. Как сообщило информагентство «РИА Новости», Министерство создает программы противодействия для борьбы с киберпреступностью, но для их эффективности требуются вложения. «Несмотря на объективные сложности, мы последовательно наращиваем усилия в борьбе с IT-преступностью. Однако, учитывая масштабы распространения киберпреступлений, разнообразие схем и методов их совершения, отсутствие единого алгоритма раскрытия, добиться кардинального улучшения невозможно. Новые подразделения должны быть не только укомплектованы высокопрофессиональными кадрами, но и оснащены современным высокотехнологическим оборудованием. Для чего понадобятся значительные бюджетные средства», — пояснил Владимир Колокольцев.
11. Владимир Квашук, работавший программистом в Microsoft, был признан в краже более $10 млн у компании. Согласно информации Минюста США, Владимир Квашук осужден за 18 уголовных преступлений, в числе которых: пять случаев мошенничества с использованием электронных средств, шесть случаев отмывания денег, два случая кражи персональных данных при отягчающих обстоятельствах, два случая подачи налоговых деклараций с заведомо ложными сведениями и взлом двух компьютеров и электронной почты. За совершенные преступления Владимир Квашук может сесть в тюрьму на 20 лет, отбывание наказания начнется в июне этого года.
12. Американская организация MITRE Corporation обновила список Common Weakness Enumeration (CWE), являющийся системой классификации ошибок, разделом, который посвящен уязвимостям в аппаратном обеспечении. До этого список содержал только проблемы в ПО, но теперь в нем также будут содержаться проблемы, возникающие при проектировании оборудования. Это поможет разработчикам лучше понимать ошибки, которые могут возникнуть в определенных областях во время проектирования аппаратного обеспечения.
13. В России утверждены Рекомендации по стандартизации Р 1323565.1.030-2018 «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3)». Об этом говорит приказ №84 от 27 февраля 2020 Федерального агентства по техническому регулированию и метрологии. Дата введения в действие документа – 01.06.2020 г.
14. Новые международные принципы, которые позволят поставить этику и благополучие людей на первое место в вопросе взаимодействия человека с технологиями предложили специалисты Имперского колледжа Лондона под руководством профессора Рафаэля Калво. Документ, который они предложили, называется «Оценка воздействия технологий на человека». В его основу легли принципы оценки воздействия на окружающую среду. Документ предусматривает изучение взаимосвязанных социально-экономических и культурных последствий, воздействие технологий на здоровье человека, включая технологию ИИ. Помимо этого, при оценке должно учитываться, какие стороны несут ответственность за управление данными и соблюдение этических стандартов, и кто несет ответственность за возникшие проблемы.
15. Компания Facebook подала в суд на аналитическую фирму OneAudience за сбор данных своих пользователей. В соответствие с исковым заявлением, фирма платила разработчикам, чтобы те устанавливали в свои приложения ее SDK, которое OneAudience использовала для сбора данных пользователей Facebook. Кроме того, SDK позволял аналитической фирме собирать сведения о пользователе с его устройства и учетных записях не только Facebook, но и Google, Twitter, если пользователь авторизовался в приложении с их помощью, об этом говорится в исковом заявлении.

Обзор по ИБ подготовил Евгений Осечкин.