Știri
Știri din categoria Securitate cibernetică
Mozilla spune că a închis 271 de vulnerabilități în Firefox cu ajutorul unui model AI, un semnal că automatizarea începe să conteze operațional în securitate – potrivit Engadget, fundația a folosit „Claude Mythos Preview”, un model special al Anthropic, pentru a identifica și remedia probleme de securitate în cea mai recentă versiune a browserului.
Mozilla susține că utilizarea modelului a ajutat echipa să găsească și să repare 271 de vulnerabilități. În mesajul său, organizația afirmă că, până acum, nu a întâlnit „nicio categorie sau complexitate de vulnerabilitate” pe care oamenii o pot descoperi și pe care modelul să nu o poată identifica.
Din detaliile prezentate, valoarea principală a instrumentului pare să fie accelerarea muncii de triere și descoperire, nu „magia” de a găsi breșe imposibil de detectat altfel. Mozilla notează că, în perioada în care a lucrat cu Claude Mythos, AI-ul nu a scos la iveală erori pe care un om nu le-ar fi putut găsi „cu suficient timp și resurse” – o nuanță importantă pentru companiile care evaluează dacă astfel de modele schimbă fundamental raportul de forțe în securitate.
Engadget plasează exemplul Mozilla în contextul Project Glasswing, inițiativa Anthropic de a folosi AI pentru a preveni atacuri cibernetice cu ajutorul AI. Publicația observă că o confirmare venită de la o terță parte (Mozilla), nu doar din comunicarea companiei care dezvoltă modelul, poate cântări în credibilitatea demersului.
Pentru utilizatorii Firefox care nu doresc funcții de „AI generativ” în experiența de navigare, Mozilla oferă de câteva luni posibilitatea de a dezactiva complet aceste funcții, mai notează articolul.
Recomandate
Administrația SUA pregătește accesul unor agenții federale la o versiune „modificată” a modelului Claude Mythos , deși Pentagonul îl tratase anterior ca „risc de securitate” , într-o mișcare care mută discuția din zona „dacă” în zona „cum” se poate face o implementare sigură a unui model cu capabilități avansate de atac și apărare cibernetică, potrivit ITmedia . Casa Albă ar urma să permită utilizarea Mythos în mai multe instituții federale, dar nu în forma sa originală, ci printr-o variantă cu limitări și „garduri de protecție” înainte de integrarea în sisteme guvernamentale. În paralel, administrația a avut o întâlnire discretă cu CEO-ul Anthropic, Dario Amodei, iar Biroul pentru Management și Buget (OMB) lucrează la măsuri de control pentru această implementare. Ce se pregătește în administrația federală Conform informațiilor citate în material (dintr-un memoriu intern consultat de Bloomberg), CIO-ul federal Gregory Barbaccia a transmis în această săptămână o solicitare către responsabilii tehnici și de securitate din mai multe departamente, cerându-le să se pregătească pentru pașii următori. Mesajul nu promite explicit deschiderea accesului și nu include un calendar, menționând doar că vor urma detalii „în următoarele săptămâni”. Lista instituțiilor vizate indică miza operațională: notificările ar fi ajuns la Departamentul Apărării, Trezorerie, Comerț, Securitate Internă, Justiție și Departamentul de Stat — zone legate de securitate națională, infrastructuri critice, stabilitate financiară și aplicarea legii peste granițe. De ce „versiune modificată” și nu modelul integral În logica descrisă în material, Mythos nu este tratat ca un instrument obișnuit de tip software livrat ca serviciu (SaaS), ci ca o capabilitate care poate accelera atât apărarea, cât și atacul. De aici și ideea unei versiuni adaptate pentru guvern. „Modificarea” ar însemna, cel puțin, două straturi de constrângeri: limitări tehnice și de acces : ce funcții pot fi apelate, ce acțiuni sunt blocate, ce jurnalizare (loguri) este obligatorie; limitări de utilizare : încadrerea strictă în scopuri defensive — identificare de vulnerabilități, întărire de sisteme, evaluări de securitate. Context: Mythos, între utilitate defensivă și risc sistemic Anthropic poziționează Mythos în cadrul Project Glasswing (lansat pe 7 aprilie) ca un model de vârf destinat protejării „celui mai critic software” la nivel global. În același cadru, compania susține că modelul ar fi identificat „mii” de vulnerabilități de tip zero-day (necunoscute anterior) în infrastructuri critice și că accesul este, deocamdată, limitat (Gated Research Preview). Printre participanții inițiali menționați se află AWS, Apple, Google, JPMorgan, Microsoft, Nvidia, Palo Alto Networks și Linux Foundation, alături de „peste 40” de organizații cu acces limitat. Anthropic a anunțat și sprijin sub formă de credite de utilizare și donații, în cadrul acestui program. În același timp, îngrijorările au depășit zona tehnică. Materialul notează că, la începutul lunii aprilie, secretarul Trezoreriei Scott Bessent și președintele Rezervei Federale, Jerome Powell, ar fi convocat bănci mari pentru a discuta riscurile generate de astfel de modele, tratate ca potențială temă de risc sistemic, nu doar ca dispută punctuală în jurul unei companii. Contradicția din interiorul guvernului: Pentagonul vs. agențiile civile Deși Casa Albă pregătește accesul pentru agenții federale, relația cu Departamentul Apărării rămâne tensionată. Materialul afirmă că Pentagonul a clasificat Anthropic drept „risc de lanț de aprovizionare” și a cerut companiilor care lucrează cu armata să elimine software-ul Anthropic din fluxurile relevante; compania nu ar putea participa la contracte ale Pentagonului, dar ar putea lucra cu alte instituții în timp ce litigiul continuă. În schimb, potrivit Axios (citat în material), agenții civile precum Energie și Trezorerie ar fi mai interesate de utilizarea modelului pentru prioritizarea vulnerabilităților din rețele reale — de la rețeaua electrică la sisteme financiare și infrastructuri locale. Ce se schimbă, de fapt: de la „riscuri AI” la „securitatea implementării” Miza principală, așa cum reiese din material, este schimbarea de accent în politicile publice: de la controlul resurselor (cipuri, putere de calcul, exporturi, siguranța antrenării) către siguranța implementării în sisteme sensibile. În această logică, întrebările devin operaționale și de guvernanță: cine primește acces primul, cât de adânc intră modelul în infrastructură și cine răspunde dacă apar incidente. Pentru moment, semnalul de la Washington este că va încerca să „introducă” mai întâi modelul într-un cadru de reguli și limitări (versiunea modificată și măsurile OMB), înainte de o extindere efectivă la scară largă în agenții. [...]
Rusia ar putea exploata roamingul și breșe din rețelele mobile europene pentru a-și îmbunătăți ghidarea dronelor Shahed , inclusiv în apropierea frontierelor cu Polonia și România, potrivit unei analize citate de Adevărul . Miza pentru operatorii telecom și autoritățile de reglementare este riscul ca infrastructura civilă de comunicații să fie folosită ca suport operațional într-un conflict, prin mecanisme legale precum roamingul, dar exploatate în scop militar. Analiza Institutului pentru Studiul Războiului (ISW) , publicată pe 17 aprilie, vine după ce autoritățile ucrainene au indicat că dronele Shahed ar fi echipate cu cartele SIM furnizate de operatorul rus T2, subsidiară a companiei de stat Rostelecom , informație relatată de Euromaidan Press. Consilierul Ministerului Apărării din Ucraina, Serhii „Flash” Beskrestnov, susține că guvernul rus ar comanda loturi speciale de cartele SIM T2, livrate direct producătorilor de drone. Potrivit lui Beskrestnov, fiecare dronă ar avea o astfel de cartelă, care ar permite control de la distanță, transmitere de date de telemetrie și streaming video în timp real către operatori — funcții care cresc eficiența atacurilor și capacitatea de adaptare în zbor. Cum ar fi folosite rețelele din statele vecine, inclusiv România După ce Ucraina a blocat roamingul T2 pe teritoriul său, Rusia „și-ar fi adaptat tacticile”, iar dronele ar fi dirijate de-a lungul granițelor Ucrainei pentru a putea accesa rețele mobile din țările vecine. În apropierea Belarusului, acestea s-ar conecta la operatori locali, iar în zonele de frontieră cu Polonia și România ar utiliza rețelele acestor state. ISW apreciază că Rusia profită deja de roamingul internațional al acestor cartele și este probabil să caute noi vulnerabilități în infrastructura europeană de telecomunicații pentru a-și continua operațiunile. Implicații: presiune pe operatori și pe zona de sancțiuni În contextul războiului, Rusia folosește drone Shahed pentru a ataca aproape zilnic orașe și infrastructură din Ucraina, iar rutele de zbor sunt modificate constant pentru a evita apărarea antiaeriană, inclusiv prin zone de frontieră sau deasupra Mării Negre, în apropiere de România. Beskrestnov avertizează că utilizarea acestor cartele ar putea depăși teatrul de război din Ucraina și nu exclude ca SIM-urile T2 să fie implicate în controlul unor drone neidentificate observate în diverse țări europene, pe fondul unor posibile tentative ale Rusiei de a testa apărarea aeriană europeană și de a deturna resurse de la sprijinul pentru Ucraina. Oficialul ucrainean a cerut operatorilor de telecomunicații „din întreaga lume” să înceteze orice colaborare cu T2, inclusiv acordurile de roaming și interconectare internațională, propunând izolarea operatorului și limitarea lui la statutul de operator strict intern. El a mai spus că subiectul a fost discutat cu Vladislav Vlasiuk, responsabil pentru implementarea sancțiunilor în Ucraina. În plus, potrivit materialului, este documentat că Rusia testează utilizarea infrastructurii telecom civile pentru ghidarea dronelor încă din 2024, inclusiv cu cartele SIM din state europene precum Lituania și Luxemburg. [...]
STS a atribuit contracte de zeci de milioane de lei pentru extinderea și întărirea cibernetică a serviciului 112 , într-o achiziție care vizează atât creșterea capacității tehnice, cât și reducerea vulnerabilităților, potrivit Profit . Serviciul de Telecomunicații Speciale (STS) a finalizat atribuirea mai multor loturi dintr-o licitație estimată la 40,88 milioane de lei, fără TVA, pentru produse software, hardware și soluții de securitate cibernetică destinate extinderii și eficientizării Serviciului de urgență 112. Miza operațională este directă: infrastructura 112 trebuie să gestioneze volume mari de apeluri și date, iar modernizarea urmărește să întărească reziliența (capacitatea de a funcționa și în condiții de incident) și să reducă riscurile asociate atacurilor informatice. Cine a câștigat și ce livrează Din informațiile disponibile, STS a semnat contracte cu mai multe companii, pe loturi distincte: Metaminds va livra echipamente de stocare (lot 3) în valoare de 5,22 milioane de lei , fără TVA, față de un estimat de 6,77 milioane de lei , fără TVA. Tot Metaminds va încasa 1,08 milioane de lei , fără TVA, pentru echipamente FW pentru dispozitive mobile (lot 6) , lot estimat la 3,35 milioane de lei , fără TVA. (FW se referă la echipamente de tip „firewall”, folosite pentru filtrarea și controlul traficului de rețea.) Datanet Systems a semnat contractul pentru echipamente de tip switch (lot 4) , în valoare de 3,21 milioane de lei , fără TVA, față de un estimat de 3,66 milioane de lei , fără TVA. (Switch-urile sunt echipamente care conectează și gestionează traficul într-o rețea.) Ce urmează și ce nu este încă detaliat Articolul indică atribuirea „mai multor contracte” în cadrul licitației, însă în fragmentul de text disponibil nu apar toate loturile, furnizorii și valorile finale aferente fiecăruia. În măsura în care STS va publica detalii complete despre restul contractelor (inclusiv componentele software și celelalte elemente de securitate cibernetică), acestea vor contura mai precis amploarea modernizării și calendarul de implementare. [...]
Un dispozitiv anti-pierdere de 5 euro (aprox. 25 lei) a fost suficient pentru a expune timp de 24 de ore traseul unei nave militare olandeze , după ce un jurnalist a reușit să-l introducă la bord sub forma unei „felicitări” trimise prin poștă, potrivit IT之家 . Cazul ridică o problemă operațională de securitate: scurgerile de informații sensibile pot apărea prin obiecte banale și ieftine, nu doar prin atacuri cibernetice sofisticate. Materialul citat de IT之家 indică drept sursă o investigație a postului olandez Omroep Gelderland. Conform acesteia, reporterul Just Vervaart a cumpărat cu 5 euro un dispozitiv de urmărire „tip card” (un tracker subțire, folosit de regulă pentru a găsi obiecte pierdute) și l-a ascuns într-o carte poștală cu baterie și efect sonor, pentru a trece mai ușor drept un obiect obișnuit. Cum a ajuns trackerul pe navă Jurnalistul ar fi obținut permisiune publică din partea Ministerului Apărării din Țările de Jos pentru a trimite corespondență pe fregata de apărare antiaeriană HNLMS Evertsen , invocând că „vrea să trimită o scrisoare familiei”. Autoritățile nu ar fi detectat însă trackerul ascuns în cartea poștală, iar obiectul a ajuns la bord. Ce informații au fost expuse După îmbarcare, dispozitivul a permis urmărirea mișcărilor navei timp de aproximativ 24 de ore, arătând că aceasta a plecat din Heraklion (insula Creta), a navigat de-a lungul coastei spre vest, apoi a schimbat direcția spre est, către Cipru. A doua zi, când nava se afla în apropierea Ciprului, personalul de la bord a descoperit trackerul și l-a „dezactivat”, potrivit relatării Omroep Gelderland. De ce contează: riscul operațional din „obiecte ieftine” Concluzia trasă de Omroep Gelderland, redată de IT之家, este că scurgerile de informații militare nu mai depind neapărat de supraveghere costisitoare sau de resurse umane extinse, ci pot fi generate cu „câțiva euro” prin produse comerciale de urmărire. Publicația notează și apelul ca autoritățile să verifice mai atent astfel de dispozitive, pentru a preveni introducerea lor pe nave. [...]
China amenință cu contramăsuri dacă UE păstrează noua lege de securitate cibernetică, un semnal de escaladare cu potențial impact asupra lanțurilor de aprovizionare din sectoare strategice, de la energie și transport la tehnologia informației și comunicațiilor, potrivit G4Media . Ministerul Comerțului din China a transmis că va adopta „măsuri de contracarare corespunzătoare” dacă Uniunea Europeană merge mai departe cu proiectul de lege prezentat în ianuarie, pe care Beijingul îl consideră discriminatoriu față de companiile chineze, relatează Agerpres, citând EFE. Un purtător de cuvânt al ministerului a susținut că proiectul introduce criterii „extrem de subiective și arbitrare”, invocând în special concepte precum identificarea „țărilor ce stârnesc îngrijorare în domeniul securității cibernetice” și a „furnizorilor cu risc înalt”, care ar urma să fie excluși din lanțurile de aprovizionare relevante ale UE în 18 sectoare, inclusiv energie, transport și TIC (tehnologii ale informației și comunicațiilor). Ce contestă Beijingul în proiectul UE China califică inițiativa drept un exemplu de „politizare” și „securizare excesivă” a problemelor economice și comerciale și afirmă că ar încălca principii ale Organizației Mondiale a Comerțului (OMC), inclusiv tratamentul „națiunii celei mai favorizate” și tratamentul național. Totodată, Beijingul susține că legea ar depăși competențele dreptului UE și ar eroda autoritatea statelor în gestionarea securității naționale, avertizând că ar putea produce un prejudiciu substanțial relațiilor economice și comerciale China–UE și ar putea afecta grav lanțurile de aprovizionare globale. Ce cere China și ce prevede cadrul european Beijingul solicită eliminarea din proiect a referințelor la „țări ce stârnesc îngrijorare” și suprimarea sau modificarea substanțială a criteriilor de identificare a „furnizorilor cu risc înalt”, precum și a măsurilor restrictive asociate. În forma prezentată de Bruxelles în ianuarie, legea ar crea un cadru comun pentru evaluarea riscurilor în infrastructurile critice ale UE, fără a indica explicit țări sau companii. Reglementarea întărește controlul în sectoare precum rețelele 5G și 6G, cloud computing (servicii informatice livrate prin internet) și semiconductorii și deschide calea pentru restricționarea sau excluderea furnizorilor considerați „cu risc înalt”. Deși textul nu numește companii, Comisia Europeană și-a reiterat din 2019 rezervele privind participarea unor companii chineze, precum Huawei sau ZTE, la implementarea rețelelor de telecomunicații în UE. [...]
Un audit de confidențialitate indică riscuri de amenzi de până la 5,8 miliarde de dolari (aprox. 26,7 miliarde lei) pentru companii după ce a constatat că semnalele legale de „renunțare” la urmărirea online sunt ignorate pe scară largă, potrivit unei analize publicate de Economica . Concluzia centrală: mecanismele care ar trebui să oprească instalarea cookie-urilor de urmărire nu sunt respectate consecvent, inclusiv în ecosisteme asociate unor giganți precum Google, Microsoft și Meta. Auditul de Confidențialitate, realizat în martie 2026 de webXray , arată că, deși există Global Privacy Control (GPC) – un semnal prin care utilizatorul transmite că nu dorește să fie urmărit – multe site-uri și servicii îl ignoră și instalează în continuare cookie-uri de urmărire. Aproximativ jumătate dintre site-urile analizate nu ar respecta opțiunile utilizatorilor, iar problema este amplificată de funcționarea defectuoasă a bannerelor de consimțământ pentru cookie-uri în numeroase cazuri. Unde se rupe lanțul de conformare: GPC și bannerele de consimțământ Într-un articol de specialitate citat de Economica, publicat de cybersecuritynews.com, se arată că 194 de servicii de publicitate online setează cookie-uri de urmărire chiar și după ce utilizatorii invocă explicit GPC. Aceleași constatări sunt descrise drept o „neconformitate la scară industrială” cu California Consumer Privacy Act (CCPA), în condițiile în care 55% dintre site-urile auditate ar seta cookie-uri publicitare în pofida opțiunilor de renunțare. Un alt punct sensibil ține de platformele de gestionare a consimțământului (CMP – instrumente care colectează și transmit opțiunile utilizatorilor privind cookie-urile). Studiul menționează că majoritatea bannerelor de cookie-uri nu reușesc să protejeze utilizatorii, iar unele dintre cele certificate oficial de Google ar eșua frecvent în a împiedica setarea cookie-urilor după opțiunea de „nu urmări”. Ce înseamnă pentru companii: expunere la sancțiuni și costuri de conformare Potrivit cercetării citate, ratele de eșec la „option-out” (renunțare) pentru trei furnizori CMP certificați de Google, testați de webXray, au variat între 77% și 91%. În acest context, analiza indică faptul că situația ar putea duce la „amenzi uriașe”, estimate până la 5,8 miliarde de dolari (aprox. 26,7 miliarde lei), și readuce în prim-plan riscurile legate de protecția datelor personale în mediul online. Dincolo de potențialul financiar, concluziile sugerează un risc operațional: companiile care se bazează pe lanțuri complexe de publicitate online (site-uri, furnizori de reclame, instrumente de consimțământ) pot rămâne expuse dacă mecanismele de „opt-out” nu sunt implementate și verificate efectiv, chiar și atunci când utilizatorul a dezactivat urmărirea. [...]
