kiberbiztonság

Beküldve:

Hogyan védekezz a deep fake tartalmak ellen?

Egyre kevésbé hihetjük el, amit az intereneten látunk. A képek, filmek mind manipulálhatóak, és amikor rossz szándékkal manipulálják őket, akkor üzleti, emberi, lelki kár érhet minket. Természetesen a deep fake képek és videók felismerésére és megelőzésére is vannak már lehetőségek.

A kiberbiztonság egyik legfontosabb elemévé vált a maiplulált képek és videók elleni küzdelem. A vállalkozásoknak mindig ébernek kell lenniük a mélyhamisítások egyre kifinomultabb árnyalatainak észlelésében az egyszerűtől a bonyolultig terjedő biztonsági technikák alkalmazásával.

A mesterséges intelligencia, közelebbről például generatív MI egyre jártasabb a mélyhamisítások létrehozásában, amelyek valósághűen hangzanak és néznek ki. Ennek eredményeként a kifinomultabb hamisítók egy része baljósabb szintre emelte a social engineering támadásokat.

Fejlődésének korai szakaszában a mélyhamisított mesterséges intelligencia képes volt egy személy általános ábrázolását generálni. A közelmúltban a mélyhamisítások bizonyos személyek szintetizált hangjait és videóit használták fel számítógépes támadások indítására, álhírek létrehozására és a jó hírnév megsértésére. A rosszindulatú példák közé tartozik a vezetői utasítások utánzása az alkalmazottaknak, hamis üzenet generálása egy bajba jutott családnak, valamint hamis, kínos, akár pornográf helyzetben lévő személyekről készült fényképek terjesztése.

Az ilyen esetek egyre szaporodnak, ahogy a mélyhamisítások valósághűbbé és nehezebben észlelhetőbbé válnak. A törvényes célokra létrehozott eszközök továbbfejlesztésének köszönhetően pedig könnyebben előállíthatók. A Microsoft például éppen egy új nyelvi fordítószolgáltatást vezetett be, amely bármelyik nyelven utánozza az emberi hangot. De nagy aggodalomra ad okot, hogy ezek az eszközök megkönnyítik az elkövetők számára az üzleti működés megzavarását.

Szerencsére a mélyhamisítások észlelésére szolgáló eszközök is fejlődnek. A mélyhamisítás-detektorok árulkodó biometrikus jeleket kereshetnek a videón belül, például egy személy szívverését vagy az emberi hangszervek által generált hangot szintetizátor helyett. Ironikus módon az ezeknek a detektoroknak a képzésére és fejlesztésére használt eszközöket végül felhasználhatják a mélyhamisítások következő generációjának betanítására is.

Eközben a vállalkozások több lépést is megtehetnek, hogy felkészüljenek a mélyhamisítású támadások egyre gyakoribb előfordulására és kifinomultságára – az alkalmazottak egyszerű képzésétől a támadások jeleinek észlelésére, a kifinomultabb hitelesítési és biztonsági eszközökig és eljárásokig.

A deep fake támadások négy általános kategóriába sorolhatók:

  • Félretájékoztatás, és téves információ
  • Szellemi tulajdon megsértése
  • Rágalmazás
  • Pornográfia

Deep fake támadási példák

A szakértők szerint 2019-ben történt az első komoly deep fake hamisítás. A hacker egy vezérigazgatónak adta ki magát, aki pusztán egy telefonos kérést mondott el, aminek eredményeként 243 000 dollár összegű banki átutalást hajtottak végre. Ez az incidens arra kényszetette a pénzintézeteket, hogy éberebbek legyenek és nagyobb óvintézkedéseket tegyenek, miközben a hackerek egyre kifinomultabbak lettek.

2021-ben a bűnözők becsaptak egy bankigazgatóra, hogy 35 millió dollárt utaljon át egy csaló bankszámlára. A bűnözők tudták, hogy a cég felvásárlásra készül, és elektronikus átutalást kell kezdeményeznie a másik cég megvásárlásához. Mivel a bűnözők tökéletesen időzítették a támadást, a bankigazgató átutalta a pénzt.

Ráadásul a robotok legújabb generációja eleve deep fake technológiát használ az emberi észlelésük elkerülésére. A mélyhamisítások botokkal kombinálva egyre nagyobb veszélyt jelentenek társadalmi, üzleti és politikai rendszerekre. A mesterséges intelligencia és a rosszindulatú automatizálás legújabb fejleményeinek köszönhetően a mélyhamisítások realisztikusabbak és elérhetőbbek, és korábban elképzelhetetlen mértékben hihetőek.

A deep fake hamisítások a könnyen hozzáférhető és programozható generatív mesterséges intelligenciával együtt már most valós fenyegetést jelentenek a cégek számára.

deep fake

A deep fake felderítése művészet és tudomány

Korábban a legtöbb online video- és audioprezentációt valódinak lehetett elfogadni. Többé nem. Manapság a mélyhamisítások felderítése a művészet és a tudomány kombinációja lehet.

Jó esetben az emberek eleve észlelhetik a szabálytalan hangfrekvenciákat vagy irreális árnyékokat például a mesterséges intelligencia által generált személy szeme körül. A deep fake hamisítások nagy része valójában még ma is azt az érzést hagyja benned, hogy valami nem stimmel, gyanús, elromlott, és ennek az az oka, hogy a gyártási folyamat során hibák keletkeznek, amelyek nyomot hagynak.

Számos árulkodó jel van, amelyekre az emberek figyelhetnek, amikor megkülönböztetik a valódit a hamis képektől, ideértve a következőket:

  • Inkongruenciák a bőrben és a testrészekben
  • Árnyékok a szem körül
  • Szokatlan villogó minták a filmen az arcon
  • Szokatlan csillogás a szemüvegen
  • Irreális szájmozgások
  • Természetellenes ajakszín az archoz képest
  • Az arcszőrzet összeférhetetlen az arccal
  • Irreális anyajegyek az arcon

Jóval könnyebb volt a hamisítványok észlelése a régebbi videókban – a bőrtónus eltolódása, a szokatlan mintázatú villogás vagy a szaggatott mozgások miatt, de a A technológia mára sokkal jobb lett, és sok ilyen régi deep fake hamisítást megkönyítő módszer mára eltűnt. Manapság az árulkodó jelek a világítás és az árnyékolás anomáliáiként jelenhetnek meg, amelyeket a mélyhamisítási technológia még nem tökéletesített.

A deep fake technológia ellen a leggyorsabban a hagyományos vírusirtó és biztonsági cégek vették fel a versenyt. A szolgáltatásaik nem feltétlenül jelentenek kifinomult védelmet a mélyhamisítás ellen, de első körben érdemes körbenézni a piacon, hogy megfelelő előfizetésért ki, miben tud segíteni.

Vállalati internet: Tarr.hu

Beküldve:

Válaszúton van az identitáskezelés, mit tegyünk az jelszólopások ellen?

digitális identitáskezelés

A biztonsági előírásaikra büszke las vegasi kaszinók felhasználóinak adatait lopták el egyszerű trükkökkel hackerek, ami rávilágít az identitáskezelés digitális problémáira.

Hatalmas kibertámadások érték az MGM Resorts és Caesars kaszinóóriásokat, amelyek során a hackerek a szobakulcsoktól a játékgépekig minden online belépési adatot megszereztek. Sok közelmúltbeli incidenshez hasonlóan ez is figyelmeztetés, hogy javítani kell a digitális identitással kapcsolatos biztonságot, mert az átfogó támadás innen, a hamis profilokról indult.

Ennek a adatbiztonsági jogsértésnek az eredettörténete hasonló az utóbbi időben sokszor látottakhoz: a hackerek felhívták a kaszinókat az ügyfelek nevében, és a jelszavuk megújítását kérték, a válasz emailt azonban eltérítették, és így magukat valódi ügyfeleknek kiadva százszámra tudtak bejelentkezni a kaszinók rendszerébe.

Ugyanez a csoport állítólag számos más szektorban is végrehajtott hasonló támadásokat, beleértve a MGM riválisát, azCaesars Entertainment kaszinót, amely állítólag 15 millió dollárt fizetett azért, hogy napokkal az MGM támadás előtt visszaszerezze adatait.

Meghökkentő a tény, hogy a kaszinócégeket – amelyeknél a biztonságba fektetett befektetések központi szerepet játszanak – ilyen merészen feltörhettek. Sok hálózatban egy alapvető vakfoltot fedtek fel: kaszinócégek sem rendelkeznek hatékony eszközökkel annak bizonyítására, hogy a rendszerüket használó emberek biztosan azok-e, akiknek kiadják magukat.

Pedig az arcfelismerő technológiának köszönhetően egy ismert kártyacsalót gyorsan kiszúrnak és kikísérnek a kaszinóból. A digitális hálózat védelmét illetően azonban sok szerencsejáték-cég továbbra is a jelszavakra támaszkodik, amelyek az identitás- és hozzáférés-kezelés (IAM) gyenge láncszemének bizonyultak.

Az identitáskezelés sebezhető pontjai nyilvánosságra kerültek

Az MGM-támadás rávilágít arra, hogy az identitáskezelő rendszerek mennyire sebezhetőek a hackerekkel szemben, amikor a személyazonosság-ellenőrzés helyett a személyazonosság-hitelesítésre összpontosítanak. A megfelelő mennyiségű szociális tervezéssel a hacker manipulálni tudja a rendszert. A szervezeteknek a kiváltó okoknál kell küzdeniük ez ellen, megakadályozva, hogy ezek a hackerek bejelentkezzenek, mert ha ekkor nem tudják megállítani a számítógépes bûnözõt, mielõtt hozzáférne a hálózathoz, akkor eleve veszítettek.

Hagyományosan az identitás-hitelesítés a többtényezős hitelesítésre (MFA) támaszkodott, ami gyakran egy push értesítést vagy egy egyszer használatos kódot jelentett, amelyet a felhasználó telefonjára küldtek. Ennek ellenére még a többtényezős hitelesítés is sebezhetőnek bizonyult.

Néhány alapvető információ birtokában a hackerek felhívhatják a mobilszolgáltatót, és eljátszhatják a dühös ügyfelet, aki új telefont próbál aktiválni; rövid idő elteltével az áldozat telefonjában lévő összes információt átmásolhatják a sajátjukra, és már nyert ügyük is van. A közelmúltban számos kriptovaluta platform elleni támadást egy ilyen „SIM-feltörésre” vezettek vissza. A tolvajok állítólag becsapták a T-Mobile-t, hogy visszaállítsák a kriptoplatformok csődeljárását irányító tanácsadó cég egyik alkalmazottjának telefonját.

A rosszfiúk ma már mindenféle technológiai eszközzel fel vannak fegyverkezve, a Mesterséges Intelligenciától a személyiség hamisításokig, amelyek egy kelet-európai hackert egyetlen feltört okostelefonnal egy New York-i könyvelőnek tudnak kiadni. Eközben a vállalkozások megfizetik az árát, amiért nem használnak könnyen elérhető biztonsági technológikat az identitáskezelés biztonságuk korszerűsítésére.

digitális identitáskezelés

A biometrikus adatokon túl: a valódi ellenőrzés szükségessége

A jelszavak feltalálása óta eltelt 60 év alatt a hozzáférés-kezelés a lepecsételt cetlik biztonságától számos hitelesítési folyamattá fejlődött, mert a hackerek célja az online világban kezdettől a hitelesítő adatok ellopása és a velük való visszaélés. A push értesítések elterjedt eszközzé váltak, de túlzottan bízunk bennük.

Az olyan kiberbiztonságot szolgáló funkciók, mint az Apple Touch ID és a Face ID, népszerűsítették a biometrikus markerek használatát a hitelesítéshez. Amint azonban a SIM-kártya feltörések kapcsán is látható, minden adatuk elopásával a mobiltelefonok a hackerek hatékony eszközei is lehetnek, nem csak a digitális védelmi módszerek jó lehetőségei.

Az identitáskezelésben el kell felejtenünk a jelszót?

A hitelesítési kulcsok, amelyek egy fizikai tokenre támaszkodnak a titkosított ellenőrző kód létrehozásához, például egy papíron szereplő kód, amit az ügyfél kap meg, javítják az MFA-t olyan hitelesítési szabványokkal, mint például a Fast Identity Online (FIDO). A Google még egy lépéssel tovább ment, és olyan kulcsot hozott létre, amely ellenáll a kvantumdekódolásnak, hogy megvédje magát a kvantumszámítógépekkel felfegyverzett hackerekkel szemben.

Ez egy szép próbálkozás, de ezeknek a hitelesítési módszereknek a gyökerében még mindig vannak jelszavak. A felhasználó személyazonosságát egy eszközhöz – általában egy mobiltelefonhoz – kötik a tényleges, igazolt személyazonosságuk helyett, amelyet biometrikus adatokkal, államilag kibocsátott személyi igazolvánnyal vagy más megbízható dokumentumokkal igazolhatnának. Az idebtitáskezelésnek modernizálódnia kell, és a puszta hitelesítéstől a tényszerű személyazonosság-ellenőrzésig kellene jutnia, ez növelné a digitális bizalmat.

A jogsértések pénzügyi következményei

Az IAM korszerűsítése előzetes befektetést igényel, amelyet a cég költségvetésébe is be kell építeni, ami időbe, pénzbe és erőfeszítésbe kerül, de csak az adatszivárgások kárszámítását kell elvégeznünk, hogy megtudjuk, hogyan térül meg. Az MGM Resortsnak a jogsértés miatti bevételkiesése meghaladhatja a napi 8 millió dollárt, és természetesen a cég részvényei is jelentős esést mutattak, amikor a hír megjelent.

Ennek a folyamatnak az első lépése a biometrikus adatok és az ellenőrzött személyazonossági okmányok rögzítése a jogosult felhasználóktól, például alkalmazottaktól, partnerektől és ügyfelektől a nulladik napon a regisztráció vagy a fiók létrehozása során, hogy a későbbiekben azonosítani lehessen őket.

Az ellenőrzött hitelesítő okmányok – például digitális alkalmazotti azonosító kártyák, digitális útlevelek és digitális oktatási bizonyítványok – olyan metaadatokat tartalmaznak, amelyek kriptográfiailag igazolják, hogy ki adta ki, és a hamisítás könnyebben észlelhető. Sajnos a biometrikus adatokat ugyanúgy el lehet lopni, mint a jelszavakat, így ezeket az adatokat is védeni kell. A blokklánc bevált technológia a digitális javak védelmére, miért ne használhatnánk a vitathatatlanul legértékesebb eszköz védelmére, amely a mi személyazonosságunk?

Az blokkláncban az elosztott főkönyvvel együtt járó, megváltoztathatatlan auditnaplók biztosíthatják, hogy ha valami nem stimmel, a cég információbiztonsági emberei lássák, hogy ki milyen erőforrásokhoz, mikor és milyen módszerrel fér hozzá.

Ahelyett, hogy elfogadnák, hogy egy felhasználó telefonját ellopták, vagy a fiókját feltörték, láthatják, hogy az élő azonosítójukat („valódi” biometrikus adatok) használták-e a hozzáféréshez. Sokkal egyszerűbbé teszi annak megállapítását, hogy mi történt, és még azelőtt reagálhatunk, hogy a rendszerünk feltörésének robbanási sugara megnő.

A hitelesítés újragondolása a digitális korban

A legalapvetőbb tanulság, hogy a legtöbb módszer, ami ma megfelel az identitás-hitelesítésnek, a másolás és beillesztés. Ez nem a felhasználó biometrikus naplózása; csak jelszó másolására és beillesztésére használják az alkalmazásban. Végső soron ez csak időtakarékos intézkedés, nem pedig biztonság.

Még a legtöbb jelszó nélküli hitelesítés is rendelkezik valahol beépített felhasználónévvel és jelszóval. A rossz szereplők továbbra is ellophatják ezt a felhasználónevet és jelszót. Amíg visszaállítják a jelszót, klehetőségük van a belépésre, mert a személyazonosság-ellenőrzés gyökere a jelszó maradt.

Vállalati internet: Tarr.hu

Beküldve:

Már a bűnözők is dolgoznak Mesterséges Intelligenciával, a darkweben már meg is szerezhető

A kaland kedvéért vagy a megszerezhető pénzért, de a Mesterséges Intelligencia használhatóságát már illegálisan is tesztelik.

Egy számítógép- és hálózatbiztonsági cég szerint a darkweb felhasználói közösségeket alkotnak, hogy tippeket és trükköket oszthassanak meg a generatív MI-rendszerek „jailbreakeléséhez” (vagyis feltöréséhez, hogy korlátozások nélkül használhassák), valamint saját „egyedi” rendszereket kínáljanak.

Mesterséges Intelligencia ellenőrzés nélkül

A Mesterséges Intelligencia jailbreak még a kísérleti fázisban van, ez lehetővé teszi cenzúrázatlan tartalom létrehozását anélkül, hogy különösebben figyelembe vennék a lehetséges következményeket – jelent meg a SlashNext blogján múlt héten. A blog szerint a jailbreakek kihasználják a chatbot figyelmeztető rendszerének gyengeségeit. A felhasználók specifikus parancsokat adnak ki, amelyek korlátlan üzemmódot váltanak ki, ami miatt az MI figyelmen kívül hagyja a beépített biztonsági intézkedéseit és irányelveit. Ennek eredményeként a chatbot a kimenetére vonatkozó szokásos korlátozások nélkül tud válaszolni.

A kiberbiztonsági szakértők szerint bár a Mesterséges Intelligencia jailbreak még mindig kialakulóban van, lehetséges alkalmazásai – és az általuk felvetett aggodalmak – hatalmas méretű fenyegetést jelenthetnek, mivel csekély vagy nem létező felügyelet mellett hozhatóak létre tartalmak a rendszerben.

Mások szerint mint sok mindent, ami a mesterséges intelligenciával kapcsolatos, a jailbreak problémáját is túlzott felhajtás kíséri a a digitális világban. Shawn Surber, a Tanium, egy konvergens végpontkezelési szolgáltatónak a képviselője szerint sok bizonyíték nincs arra, hogy ez valóban jelentős változást hozna az generatív MI-k világában. Elsősorban a nem angol vagy más anyanyelvű országokat célzó bűnözői csoportok használhatják arra, hogy jobb adathalász email szövegeteket vagy egyéb üzenet szövegeket írjanak. Márpedig eddig az átverős emailek és üzenetek egyik jó szűrője volt az egyszerű felhasználó számára a rossz nyelvtani szerkezetekkel megírt, hibás szövegű üzenet. Bár bizonyosan előnyökkel jár a nem anyanyelvű csalók számára, ha jobb adathalász szöveget készítenek, vagy ha a tapasztalatlan kódolók gyorsabban törik fel a rosszindulatú programokat, egyelőre semmi sem utal arra, hogy a hivatásos kiberbűnözők nagyobb előnyhöz jutnának az MI-ból.

Surber szerint a darkweben reklámozott lehetőségek nem túl hatékonyak, csak a felhajtásra ráülve a programok készítői reklámozzák őket a vásárlóknak. Vagyis a legális piacon is létező tech hype az illegális piacon is működik, a nagy érdeklődés létrehozza a termékeket, mert eladhatóak akkor is, ha valójában alig valamire használhatók.

mesterséges intelligencia

Van veszély, de még nem tudjuk mi lesz az

Sokkal inkább aggodalomra ad okot, hogy ha a rosszindulatú hackerek kompromittálják a mesterséges intelligencia által vezérelt chatbotokat, amelyek mindenütt jelen vannak a legitim webhelyeken, akkor milyen zavarokat okozhatnak az emberek kommunikációjában, munkájában és életében. Ez sokkal nagyobb veszélyt jelent a hétköznapi fogyasztókra nézve, mint egy adathalász e-mail, amelynek jobb a nyelvtani  helyessége. Ez nem jelenti azt, hogy a ChatGPT-stílusú MI-k nem jelentenek veszélyt, csak még a biztonsági szakemberek sem jöttek rá, hogy pontosan mi lesz ez a fenyegetés. Mégis, ez a túlzott felhajtás az MI biztonsági kérdése körül nagy előnyt jelent a szakemberek számára, mert így már most mindannyian alaposan megvizsgálják a Mesterséges Intelligencia jövőjét a kiberbiztonság terén, és remélhetőleg bezárják a komolyabb sebezhetőségeket, mielőtt azokat valaha is kihasználná valaki.

Persze az illegális világ sem pihen, a SlashNext blogjában azt is felfedte, hogy az MI jailbreak megoldása olyan online közösségeket hoz létre, ahol az egyének intenzíven fedezik fel az MI-rendszerekben rejlő illegális lehetőségeket. Ezeknek a közösségeknek a tagjai jailbreak-taktikákat, stratégiákat és parancsokat cserélnek, hogy korlátlanul hozzáférjenek a chatbot-képességeihez.

Ez nem feltétlenül csak a bűnözők számára hasznos, mert  jailbreak vonzereje az új lehetőségek felfedezésének és az MI chatbotok határainak feszegetésének izgalmából fakad. Ezek a közösségek elősegítik az együttműködést a felhasználók között, akik szívesen bővítik a mesterséges intelligencia korlátait a közös kísérletezés és a levont tanulságok révén. Az új technológiák kiaknázására törekvő közösségek felemelkedése nem újszerű. Minden jelentős technológiai ugrásnál – legyen az okostelefonok, személyi számítógépek vagy akár maga az internet bevezetése – mindig akadtak rajongók, akik igyekeztek maximalizálni a potenciált, és rosszindulatú szereplők, akik a kihasználható sebezhetőségeket keresték. És ehhez még a darkweb használata sem szükséges az iskolai tanulmányi csoportokhoz hasonlóan, a Discordon, a Slacken vagy a Redditen, az emberek könnyen megoszthatják tapasztalataikat, hogy mások gyorsan tanulhassanak, és kipróbálhassák az új jailbreak-parancsokat. És itt nem is kell feltétlenül kódtörésre gondolni, elég olyan mondatokat okosan megfogalmazni, amelyek ráveszik az MI-t, hogy kerülje meg a saját biztonsági protokollját.

Kérdés ki kerül előnybe a Mesterséges Intelligencia világában, a következő években, a biztonsági szakemberek, vagy az illegális kódtörők.

Vállalati internet: Tarr.hu

Beküldve:

Jelszóbiztonság: Lassan halad a jelszó nélküli digitális világ bevezetése, de miért?

A jelszavakra épülő privát digitális világ biztonsági szempontból elég gyenge lábakon áll. Megoldások is vannak a jelszó nélküli számítástechnika bevezetésére, de akkor miért halad a váltás ilyen lassan?

A jelszó, mint biztonsági kapu megszűnőben van. A kvantumszámítógépek világa már a közeljövőben velünk lesz, és ezeknek a gépeknek már semmilyen betűkből, karakterekből álló jelszó nem jelent majd akadályt. De a jelszavak amúgy sem biztonságosak az idei Verizon Data Investigations Breach Report-ból kiderül, hogy tavaly a közel 42 000 jegyzett biztonsági incidensből 32%-ban adathalászat, 29%-ban pedig a hitelesítő adatok ellopása volt a cél.

Nem véletlen, hogy a számítógépes biztonság javítása a küszöbön áll mind a vállalkozások, mind az egyéni felhasználók számára, és ehhez csak annyi kellene hogy hajlandóak legyünk a jelszavak alternatíváját alkalmazni. A jelszavak létrehozásának és bevitelének nehézkes folyamata iránt a felhasználók növekvő ellenérzéssel vannak,mégis a jelszavak nélküli jövő felé való átmenet meglepően lassú ütemben halad.

A jelszavak kiküszöbölésére használt két divatszó a jelszó nélküli és a jelszómentes hitelesítés. Ez a két kifejezés hasonló,  de nem ugyanaz. Mindkettő azt ígéri, hogy jelszavak megadása nélkül is hozzáférhetünk a digitális tartalmakhoz. A legfontosabb különbség a jelszóhasználat kiküszöbölésére szolgáló technológia.

Jelszó nélküli és jelszómentes

A jelszó nélküli megoldások a felhasználók hitelesítését javítják a vállalkozások számára azáltal, hogy hatékonyabban teljesítik a vonatkozó biztonsági követelményeket. Fontos szempont, hogy ne legyen kényelmetlenebb és időigényesebb folyamat mint a jelszavas bejelentkezés, bár a céges biztonsági környezetben sokszor még ez sem fontos, ha lényegesen biztonságosabb lesz a rendszer egy kényelmetlenebb, de hatékony új megoldás segítségével.

A jelszavak korának elmúlásába a mobil számítástechnikai eszközök tudásának gyors növekedése és kifinomultsága is jelentős szerepet játszott. A hagyományos hitelesítési módszerek gyakran elavultak ezeken az eszközökön.

Ironikus módon ez a tényező arra készteti a mobileszközök applikációinak fejlesztőit, hogy megkönnyítsék a jelszó nélküli hitelesítést. Miközben a vállalkozások egyre sebezhetőbbé válnak a jelszó alapú támadásokkal szemben, csak keveseknek van módja az ellenük való védekezésre.

A jelszavak rendkívül érzékenyek a megtévesztően finom és különféle formájú kibertámadásokra. A jelszó nélküli hitelesítés minimálisra csökkenti ezt a kockázatot.

A Google és a Microsoft előkészíti az utat a jelszó-alternatívák felé

Nem véletlen, hogy a két nagy, a Google és a Microsoft is lépett a témában. A Google júniusban indította el a Workspace-fiókok kulcsainak nyílt bétaverzióját. Ez lehetővé teszi a szervezetek számára, hogy felhasználóik a szokásos jelszavak helyett egy jelszóval jelentkezzenek be a Google Workspace vagy Google Cloud fiókjukba.

A Microsoft Authenticator technológiája lehetővé teszi a felhasználók számára, hogy jelszó nélkül jelentkezzenek be bármely Azure Active Directory-fiókba. Kulcsalapú hitelesítést használ az eszközhöz kötött felhasználói hitelesítési adatok engedélyezéséhez. A készülék PIN-kódot vagy biometrikus adatot használ. A Windows Hello for Business hasonló technológiát használ.

jelszó

Jobb, bár nem hibátlan

A jelszó nélküli hitelesítés nem védett a rosszindulatú programokkal, a böngészőből indítható csalásokkal és egyéb támadásokkal szemben. A hackerek olyan rosszindulatú programokat telepíthetnek, amelyeket kifejezetten az egyszeri jelkódok (OTP) elfogására terveztek, például a küldött jelkód eltérítésével.

Bár a jelszó nélküli hitelesítés megbízható hitelesítési megoldást kínál, nem teljesen ellenálló a támadásokkal szemben. A kockázatok gyakran az alkalmazott módszertől függenek, legyenek azok biometrikus adatok vagy hardver tokenek.  A kockázatok között van például a hardvereszközök, a tokenek esetleges ellopása vagy a biometrikus adatok meghamisítása.

Ennek ellenére a jelszó nélküli hitelesítés jelentős hátránnyal jár a rossz szándékú behatolók számára. A kiberbiztonsági szakértők szerint a hagyományos jelszavaknál nehezebbé teszi a rendszerek feltörését, és a legtöbb kibertámadás is kevésbé veszélyes számukra.

Valódi jelszó nélküli hitelesítés

A valódi jelszó nélküli hitelesítési módszereknél nincs beviteli mező a jelszavak megadására. Ehelyett a felhasználók személyazonosságának érvényesítéséhez más hitelesítési formára, például biometriára vagy másodlagos eszközökre van szükség.

Ez a megoldás egy tanúsítványt továbbít az ellenőrzés lehetővé tételéhez, így az adathalász-támadások és a lopott hitelesítő adatok kiküszöbölésével növeli a biztonságot.

Előbb-utóbb más alternatív hitelesítési módszerek is népszerűbbé válnak. Ezek közé tartoznak az e-mail linkek, az e-mailben vagy SMS-ben küldött egyszeri jelszavak, az arcfelismerés és az ujjlenyomat-olvasás.

A valódi jelszó nélküli megoldások azonban átalakítják a bejutás megközelítését azáltal, hogy a jelszavak fogalmát teljesen megszüntetik, és a bonyolult hitelesítő adatok kezelését a  a felhasználók adataitól intuitívabb és zökkenőmentesebb hitelesítési módszerekre helyezik át, így biztonságosabb paradigmát kínálnak.

A jelszó nélküli világban a felhasználók olyan módszerekkel hitelesítenék magukat, mint a biometrikus adatok – ujjlenyomatok, arcfelismerés, retina szkennelés vagy hangminta-felismerés. Ám fontos annak a felismerése, hogy egyetlen hitelesítési rendszer sem teljesen védett a támadásokkal szemben.

A jelszó nélküli módszerek egyre elterjedtebbé válásával csak idő kérdése, mikor jelennek meg új támadási technikák, amelyek a potenciálisan gyenge pontokat célozzák meg, vagy például megpróbálják ellopni a biometrikus adatokat. A Bölcsek Köve tehát nem létezik, de így is sokkal biztonságosabb digitális világot építhetünk a jelszó nélküli világgal.

Vállalati internet: Tarr.hu

Beküldve:

Itt az első Mesterséges Intelligencia szabályozásáról szóló kormányzati konferencia

Az Egyesült Királyság ad otthont november elején egy mesterséges intelligencia-biztonsági csúcstalálkozónak. A mesterséges intelligencia-biztonsági csúcstalálkozóra meghívják a „hasonló gondolkodású” országokat, hogy foglalkozzanak az MI által a demokráciát fenyegető globális fenyegetésekkel.

A csúcstalálkozó, amelyre a Bletchley Parkban kerül sor, a mesterséges intelligencia hadviselésben és kiberbiztonságban való felhasználására összpontosít. A vezető mesterséges intelligencia-cégek – köztük a Google DeepMind, a Microsoft, az OpenAI és az Anthropic – kiemelkedő akadémikusait és vezetőit kérték fel a részvételre. Rishi Sunak miniszterelnök eredetileg a Joe Biden elnökkel folytatott júniusi találkozóján jelentette be a csúcstalálkozót, és a Downing Street később további részletekkel szolgál majd.

A Bletchley Park helyszínként jelképes választás, és történelmi jelentőséggel bír, mivel a második világháború alatt a brit kódtörők itt dekódolták a német Enigma titkosított üzeneteit. A csúcstalálkozó célja, hogy összehozza a kulcsfontosságú országokat, technológiai vállalatokat és kutatókat, és nemzetközi fellépésükkel szabályozási intézkedéseket dolgozzanak ki a mesterséges intelligencia biztonságos és felelős fejlesztése érdekében. Várhatóan hamarosan kiküldik a meghívókat a világ vezetőinek.

Kína a Mesterséges Intelligencia egyik vezető hatalma

Az Egyesült Királyság képviselői meghívják Kínát is, a mesterséges intelligencia egyik meghatározó erejét, hogy vegyen részt a szabályozásról szóló megbeszéléseken. Néhány aggály azonban akadályt jelenthet közös hang megtalálásában több kérdésben. Ezért az Egyesült Királyság azt fontolgatja, hogy  a többi más téma mellett egy külön fórumot szervez, amely kizárólag a szabályozás megvitatására szolgál, és erre hívják meg Kína képviselőit.

mesterséges intelligencia

A mesterséges intelligencia szabályozása és a globális koordináció szükségessége a szabályok megállapítása során erősen vitatott téma, különösen a generatív mesterségesintelligencia-technológia elmúlt néhány hónapban elért fejlődése miatt. Az olyan termékekkel kapcsolatban mint a mesterséges intelligencia chatbotjai és képgenerátorai, amelyek nagy nyelvi modellekre támaszkodnak, sokan aggodalmukat fejezték ki a munkaerőt és a demokráciát érintő lehetséges kockázataik miatt. E kockázatok közé tartozik az automatizálás révén megszűnő munkahelyek és a félretájékoztatás, az álhírek terjedése.

A közelgő Mesterséges Intelligencia-csúcs a Mesterséges Intelligenciával kapcsolatos biztonságik kérdésekre összpontosít, és olyan témákat vitat meg, mint

az MI etikája, a választás az valós és hamis információk között és a kiberbiztonság.

A mesterséges intelligencia hadviselésben való felhasználásával és az MI-termékekben használt félvezetők elérhetőségével is foglalkozni fognak.

A csúcstalálkozó célja, hogy összegyűjtse a különböző érdekelt felek véleményét, nem pusztán a technológiai vállalatoktól és a kormányoktól, hanem más társadalmi szereplőktől is. A nemzetek közötti szabályozás interoperabilitása, vagyis a különböző MI-vel kapcsolatos informatikai rendszerek együttműködésre való képessége, szabványosítása is kulcsfontosságú kérdés lesz. A Mesterséges Intelligencia szabályozására vonatkozó jogszabályok még mindig véglegesítés előtt állnak az Egyesült Királyságban, míg az EU Mesterséges Intelligenciáról szóló törvénye a végső szakaszában van, bár máris kritikák érték, mert túl szigorúnak tartják.

Vállalati internet: Tarr.hu

Beküldve:

Ez nem csak vírusirtó: itt a Digitally Immune System, ami új alapra helyezi a számítógépes rendszerek védelmét

A 2020-as évek legnagyobb kihívásai közé tartozik a számítógépek védelme egyéni szinten, és a nagyobb rendszerek szintjén is. A Digitally Immune System (DIS) vagyis Digitális Immunrendszer nem feltétlenül jelent új védelmi szoftvereket, hanem a védelem szemléletmódját változtatja meg.

A Digitally Immune System (DIS) olyan átfogó keretrendszer, amelyet a számítógépes rendszerek és hálózatok digitális fenyegetésekkel szembeni védelmére terveztek, beleértve a rosszindulatú programokat, a kibertámadásokat és az illetéktelen hozzáférést. Technológiai intézkedések, biztonsági protokollok és legjobb gyakorlatok kombinációját foglalja magában a szervezet vagy egyén általános kiberbiztonsági helyzetének javítása érdekében. Mindez a minden jelszót megfejtő kvantumszámítógépek világában lesz különösen fontos.

dis, digitally immune system

Digitally Immune System, az emberi immunrendszer mintájára

A Digitális Immunrendszer koncepcióját az emberi immunrendszer ihlette, amely megvédi a szervezetet a különféle kórokozók és betegségek ellen. Az emberi szervezethez hasonló módon a DIS célja, hogy olyan több kapus védelmi mechanizmust biztosítson, amely képes észlelni, megelőzni és mérsékelni a lehetséges digitális fenyegetéseket, minimalizálva az adatlopás vagy a károsodás kockázatát.

A digitális immunrendszer fő összetevői általában a következők:

Kockázatértékelés: A rendszeren vagy hálózaton belüli lehetséges sebezhetőségek, kockázatok és gyengeségek azonosítása és értékelése.

Biztonsági intézkedések: Egy sor biztonsági intézkedés megvalósítása, például tűzfalak, behatolásérzékelő rendszerek (IDS), behatolásgátló rendszerek (IPS), víruskereső szoftverek és titkosítási protokollok a különféle típusú fenyegetések elleni védelem érdekében.

Folyamatos megfigyelés, monitorozás: Megfigyelő eszközök és technikák alkalmazása a rendszer, a hálózat, és a felhasználói tevékenységek aktív figyelésére, minden gyanús vagy rendellenes viselkedés észlelésére, amely biztonsági rést jelezhet.

Eseményreakció: Eljárások és protokollok létrehozása a biztonsági incidensek hatékony és eredményes kezelésére. Ez magában foglalja a biztonsági rések azonnali észlelését, befoltozását, elemzését és enyhítését.

Felhasználói tudatosság növelése és képzés: A digitláis rendszerekben ma is a legnagyobb biztonsági kockázatot általában maga az emberi tényező, vagyis a felhasználók jelentik. A felhasználók felvilágosítása a biztonságos digitális viselkedés bevált gyakorlatairól, például a gyanús hivatkozások és mellékletek elkerüléséről, erős jelszavak használatáról, és az érzékeny információk megosztásáról tehát kulcskérdés.

Rendszeres frissítések és javítások kezelése: A legkönnyebben úgy jutnak be a rendszerünkbe, hogy ha elavult szoftverek, elhanyagolt frissítések biztonsági réseit találják meg. Ezért nagyon fontos annak biztosítása, hogy minden szoftver, alkalmazás és rendszer naprakész legyen a legújabb biztonsági javításokkal és frissítésekkel a sebezhetőségek kiküszöbölése érdekében.

A felhasználóknak is kényelmesebb lehet

Mindezt ötvözni lehet olyan biztonsági megoldásokkal, amelyek kényelmesebbek és gyorsabbak a hagyományos felhasználónév/jelszó párosnál, így gyorsabb és felhasználóbarát lehet, ezért a UX részeként is tekinthetünk rá. A szakértők azt jósolják, hogy a DIS-t 2025-ig bevezetõ vállalatok 80%-kal csökkenthetik az ügyfelek biztonságra fordított idejét a biztonsági kockázatok növelése nélkül, ami biztosan nagy verselőnyt jelent majd a mindennapi használat során.

Vállalati internet: Tarr.hu

Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.