12 июля 2024

Signal наконец уговорили, что у него есть проблема с безопасностью. Я уже неделю слежу за развитием ситуации, которая началась с того, что одному из исследователей удалось склонировать сессию десктопного приложения на mac os, и она успешно поднялась на другой машине (в виртуалке), причем сам Signal не показывал нигде новое устройство с сессией, хотя исправно посылал на него сообщения.

Оказалось, что ключ, которым зашифрована локальная база данных, генерируется Signal самостоятельно (то есть это не пароль, вводимый пользователем, и не какие-то производные от него) и хранится в plain-text на этой же машине. То есть при наличии физического или программного доступа к системе шифрование базы становится ничтожным.

В общем, там и Маск подключился, и президент Signal Мередит Уитейкер много отвечала, что, мол, раз у злоумышленника есть полный доступ к системе, то они и не смогут ничего защитить и никогда не собирались, но в итоге согласилась, что этим надо заняться — тем более, что решение практически уже существует, разработанное независимым разработчиком и использующее safeStorage API в Electron (ну да, десктопные приложения Signal на нем написаны) для хранения ключей в системных хранилищах типа keychain.

Что доказывает простую истину — безопасных мессенджеров вообще не существует и самое уязвимое место в любом системе — это прокладка между креслом и клавиатурой. Даже если у неё титул президента.

Chainalysis насчитали более 100 млрд долларов подозрительных и нелегальных средств в обороте крипторынка с 2019 года. Причем большинство этих средств в последние годы обращаются в стейблкоинах типа USDT и USDC и зачастую — при помощи централизованных бирж. Впрочем, в последние месяцы оборот таких средств на биржах падает благодаря мерам мониторинга.

Если учесть, что весь объем рынка стейблкоинов оценивается в 160 млрд долларов, теневой оборот выглядит внушительно.

Еврокомиссия решила замахнуться на Илона нашего Маска — после предварительного расследования комиссия выяснила, что возможность любого получить голубую отметку “верифицированного пользователя” после покупки платной подписки в Twitter вводит аудиторию в заблуждение относительно аутентичности аккаунтов и контента в них.

Если вывод приведет к решению, то, в соответствии с Digital Services Act (а этот закон ЕС определяет принципы относительно модерирования онлайн-контента, борьбы с дезинформацией и так далее) компанию могут оштрафовать на сумму до 6% от глобального оборота.

Заодно и этот самый оборот узнаем.

OpenAI разработала новую шкалу прогресса AI систем в деле достижения AGI. Компания выделяет пять стадий — ChatBots, Reasoners, Agents, Innovators и Organizations, — и считает, что сейчас находится чуть ниже второго уровня — Reasoners, когда AI может демонстрировать человеческий уровень решения проблем.

Меня немного тревожит, что, кажется, мы знаем, что как минимум одну из Organizations в итоге назовут Skynet.