habr

 

Подают инициативу под соусом борьбы с запрещенным контентом в социальных сетях и мессенджерах. Правозащитники видят в этом серьезную угрозу конфиденциальности и информационной безопасности. Расскажем, что вообще происходит.

 

Гордон Мур и Роберт Нойс в 1968 году основали компанию NM Electronics, которая позже была переименована в Intel. Мур проработал в ней 38 лет, в том числе в должностях исполнительного президента, CEO, председателя совета директоров. Мур вышел на пенсию в 2006 году. Forbes в марте 2023 года оценивала его состояние в $7,2 млрд.

Вместе с супругой сооснователь Intel создал Фонд Гордона и Бетти Мур в 2000 году, пожертвовав за это время более $5,1 млрд на благотворительность.

«Количество транзисторов, размещаемых на кристалле интегральной схемы, удваивается каждые 24 месяца», — это закон Мура от 1965 года.

 

Клиент банка "Lloyds Bank" из Великобритании обнаружил, что может получить доступ к своему банковскому счету с помощью голосового ИИ через идентификацию по "Voice ID".

 

 

Пользователь Джозеф Кокс выяснил, что голосовой идентификатор нельзя использовать в качестве безопасного способа для входа в свою банковскую учётную запись. Он смог обмануть систему с помощью бесплатной версии решения от "ElevenLabs" для генерации своего синтетического голоса на основе пяти минут цифровой записи своего настоящего голоса.

Он проводил эксперимент несколько раз, так как изначально система "Lloyd Bank" сообщала, что не может аутентифицировать его голос. После внесения некоторых изменений в настройках "ElevenLabs" для генерации голоса, таких как чтение более длинного текста, чтобы каденции звучали более естественно, его сгенерированный голос успешно обошёл систему безопасности банка.

 

 

В итоге Кокс позвонил на автоматическую линию обслуживания банка и начал активировать файлы с генерацией своего голоса. Банк принял его фразу «Проверить мой баланс» и после этого попросил сказать две фразы – назвать свою дату рождения и прочитать «мой голос – мой пароль».

Кокс набрал на клавиатуре нужный текст и запустил генерацию голоса. «Мой голос – мой пароль», — сказал ИИ его голосом. Система безопасности банка потратила несколько секунд на идентификацию этого голосового фрагмента. «Спасибо», — сказал банк, а Кокс попал внутрь своего аккаунта.

 

«Я не мог в это поверить – это сработало. Я использовал реплику своего голоса с помощью ИИ, чтобы взломать свой банковский счёт. После этого у меня был доступ к информации об учётной записи, включая баланс и список последних транзакций и переводов», — уточнил Кокс.

 

На веб-сайте "Lloyds Bank" сообщается, что опция "Voice ID" абсолютна безопасна. «Ваш голос подобен отпечатку пальца и уникален для вас», — утверждает банк. — "Voice ID" анализирует более 100 различных характеристик вашего голоса, которые, как и ваш отпечаток пальца, уникальны для вас. Например, как вы используете свой рот и голосовые связки, какой у вас акцент и как быстро вы говорите. Система также распознает вас, если у вас простуда или боль в горле», — уточнено на сайте банка в описании этой технологии.

Представитель "Lloyds Bank" заявил, что опция "Voice ID" обеспечивает высокий уровень защиты, чем традиционные методы аутентификации. По мнению банка, синтетические голоса не так привлекательны для мошенников, как другие методы для компрометации данных клиентов.

В "Lloyds Bank" в курсе об угрозе клиентам от синтетических голосов и там постоянно дорабатывают проверку голоса. В банке сообщили, что голосовая идентификация "Voice ID" уже привела к значительному снижению мошенничества с телефонным банкингом.

Профильные эксперты пояснили, что всем клиентам, использующим голосовую аутентификацию в банках, лучше переключиться на безопасный метод проверки личности, такой как многофакторная аутентификация, как можно скорее. Они опасаются, что репликация голосов в этом году будет одним из векторов атак на учётные записи пользователей в банках, так как злоумышленники в курсе информации о дне рождения жертвы, а получить запись голоса можно также разными способами.

Аналогичную голосовую идентификацию предлагают банки в США, например, "TD Bank" (опция "VoicePrint"), банк "Chase" (также "Voice ID") и "Wells Fargo" (функция "Voice Verification"), которые, согласно описанию, «эффективно защищают личность клиента».

 

 

Ранее исследователи с помощью нейросети "elevenlabs.io" и "ChatGPT" рассказали голосом Стива Джобса про "ChatGPT". Особенность "elevenlabs.io" заключается в том, что нейросети достаточного слушать оригинальный голос в течение всего нескольких секунд, чтобы потом воспроизвести его.

В начале января "Microsoft" объявила о создании инструмента "VALL-E" для имитации любого голоса. Этому ИИ достаточно трёхсекундного образца для генерации полноценного голоса человека. Услышав конкретный голос, "VALL-E" создаст аудиозапись того, как человек говорит что-то, причём постарается сохранить даже его эмоциональный тон.

 

Источник:  "Хабр", @denis-19.

25 января 2023 в сети появились исходные коды и сопутствующие им данные множества сервисов и программ компании Яндекс. Раздача содержит отдельные архивы (.tar.bz2), по названиям которых можно идентифицировать соответствующие сервисы Яндекса.
Общий объём архивов (в сжатом виде) составляет более 44.7 ГБ.

nirvana

skynet

catmachine

matrixnet

emily (видимо, конкурентка alice)

 

Сегодня речь пойдёт о технологии распределённой сети "VPN Gate", своего рода недруга Поднебесной в области интернет цензуры. На "Хабре" много статей на тему "SoftEther" VPN (нижележащий слой "VPN Gate"), но нет ни одной технически всесторонней статьи про саму распределённую сеть и такое чувство, что в рунете про неё вообще забыли.

"VPN Gate" – академический эксперимент Дайу Нобори с 2013-го года. Проект представляет собой интернет-сервис научных исследований в Высшей Школе Университета Цукуба, Япония. Цель данного исследования заключается в расширении знаний "Глобальных распределенных открытых ретрансляторов VPN".

 

 

Отличительной особенностью данной сети является её функционирование в виде роя. То есть каждый желающий пользователь может поделиться своей пропускной способностью с другими. Я знаю, что вы подумали, очередной неудачный "dVPN" пиар на основе блокчейна.

Однако это не так, данный проект уже насчитывает 8634 узлов и 534 петабайта трафика за всё время существования. К примеру даже у TOR-а узлов – 7 тысяч.

Основными пользователями являются китайцы, в связи с успешной архитектурой борьбы против активных пробов Великого Китайского Фаервола.

Установка GUI клиента, сервера со встроенным плагином осуществляется через собственный сайт "VPN Gate". Каждый сгенерированный zip билд программы отличается размером, чтобы осложнить DPI анализ данных внутри. Также в него записываются рандомные адреса VPN серверов, если изначальные сервера VPN Gate для получения списков будут заблокированы.

Но как по мне самым большим успехом команды проекта было прикручивание "NAT Hole Punching", где каждый пользователь, даже без белого IP, мог бы поделиться своей пропускной способностью. Никакой регистрации.

 

Спросите вы, почему Китайский Фаервол (GFW – "Great Firewall of China") ещё его не заблокировал, здесь же начинается хронология борьбы между силами добра и зла/

Сразу после начала проекта, первые 4 дня наплыв большинства пользователей был именно из Китая, 5к пользователей разом нахлынули на сервис.

На пятый день GFW заблокировал основной сайт "VPN Gate". Пользователи начали делиться установщиками на порталах таких, как "Weibo".

Тогда GFW начал блокировать сервера VPN, получая их с главной страницы проекта, только они сделали ошибку, они не проверяли IP адреса на легитимность, и тогда команда проекта бросает на стол.

 

 

Они начинают смешивать рандомные IP адреса со списком, в течение трёх дней у них полный контроль над тем, что блокирует GFW, они ломают внутренние сайты Китая.

GFW видит свою ошибку и прежде чем блокировать всё подряд, начинает проверять каждый IP адрес путём мощной технологии DPI, которая называется active probing. Это когда на каждый запрошенный пользователем удалённый IP адрес сначала отправляется рандомный GFW бот (с рандомного IP) с тестовым запросом, и если в полученном ответе содержатся запрещённые фильтром слова, удалённый IP адрес блокируется.

Но так как количество серверов "VPN Gate" большое, то у сети преимущество, что если клиенты будут отправлять на проверку логи каждых кратковременных запросов от узлов, которые пытались к ним подключиться?

 

 

Ребята автоматически начали обрабатывать такие логи у себя на сервере. Так как у провайдеров поднебесной большой пул адресов, одиночным серверам не всегда удаётся узнать айпишник бота который их просканил и выдал на казнь GFW. Вдобавок даже с обфускацией VPN протокола к ним подключаются много людей, что эвристически обнаруживается.

Но если учитывать статистику со всех узлов, к которым одновременно в коротком интервале подключаются и отключаются айпишники, то их можно отсеять и заблокировать. Таким образом сеть отражает попытки GFW ботов их найти. К тому же она выдаёт лишь ограниченный список серверов пользователям, даже если одновременно с 16 миллионов (по некоторым данным, есть даже иностранные пулы) IP адресов GFW попытаются просканировать сеть, у них это не получится. Итог — чем больше участников, тем сильнее оборона.

Динамичные IP адреса участников за NAT также сыграли положительную роль в доступности сети.

VPN сервера оперируют на четырёх протоколах: SSL-VPN, OpenVPN, L2TP/IPsec, MS-SSTP.

Любым желающим помочь, которым не жалко поделиться интернет каналом, могут скачать пакет сервера, настраивается за 5-6 кликов. Также можно указать свое сообщение пользователям при подключении, оставить адрес почты для связи – есть некоторая подстраховка от silovikov, клиент хранит пакеты подключений две недели (можете обрадовать Яровую и поставить на 30 дней, шучу), скорость также можно настроить, есть настраиваемый встроенный фаервол с политиками безопасности, т.е. ваши локальные адреса в безопасности, установка без прав администратора.

Тем, кто хочет подключиться можно скачать пакет клиента. Есть возможность выбирать страны с лучшим пингом и пропускной способностью.

 

 

Источник:  "Хабр", @penetration.