При обмене сертификатами X.509 можно скрытно передать информацию

Олег Иванов 06 Февраля 2018 - 12:29

...

При обмене сертификатами X.509 можно скрытно передать информацию

Исследователь в области безопасности опубликовал код, демонстрирующий, что обмен сертификатами X.509 может скрытно передать информацию. Джейсон Ривс из Fidelis Cybersecurity раскрыл скрытый вектор, который использует поля в расширениях X.509 для переноса данных.

X.509 представляет собой стандарт для инфраструктуры открытого ключа и инфраструктуры управления привилегиями. X.509 определяет стандартные форматы данных и процедуры распределения открытых ключей с помощью соответствующих сертификатов с цифровыми подписями.

Как объясняет Ривс, злоумышленник может скрытно получить данные компании по пути X.509. TLS использует X.509 для обмена сертификатами в процессе handshake, который устанавливает зашифрованное соединение.

«Проще говоря, сертификаты TLS X.509 имеют много полей, где могут быть сохранены строки. Поля включают версию, серийный номер, название выпустившего сертификат органа, срок действия и тому подобное. Описанное в нашем исследовании злоупотребление сертификатами использует этот факт, чтобы скрыть передачу данных в одном из этих полей», — объясняют в Fidelis.

Основное эксплуатируемое экспертов поле — class=wrap_text>SubjectKeyIdentifier, в то время как «большинство библиотек» пытаются ограничить размер пакета во время handshake, «расширение в самом сертификате может быть длины, ограничиваемой только размером памяти».

Код proof-of-concept, по словам исследователя, использует самоподписанные сертификаты. Для противодействия таким атакам надо блокировать их, уточняет эксперт.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 15 Октября 2025 - 11:29

GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации

OpenAI разрешит эротические диалоги в ChatGPT для взрослых юзеров

Глава OpenAI Сэм Альтман объявил, что компания готовится ослабить ряд ограничений ChatGPT, сделав его поведение более «человечным» и эмоциональным. Кроме того, для подтверждённых взрослых пользователей появится возможность вести эротические диалоги.

Об этом Альтман написал во вторник на платформе X (бывший Twitter):

«Мы сделали ChatGPT довольно ограниченным, чтобы соблюдать осторожность в вопросах психического здоровья. Понимаем, что из-за этого он стал менее полезным и приятным для многих пользователей. Но, учитывая серьёзность темы, мы хотели сделать всё правильно».

«В декабре, когда полностью внедрим проверку возраста, мы разрешим больше — в том числе эротические диалоги для подтверждённых взрослых», — заявил Альтман.

Это заявление стало неожиданным поворотом: ещё недавно OpenAI активно боролась с тревожными историями о пользователях, которые формировали зависимость от ChatGPT.

Речь идёт, в частности, о случаях, когда юзеры GPT-4o попадали в иллюзорные сценарии — например, верили, что им «предназначено спасти мир» или общались с ИИ, воспринимая его как близкого человека.

Были и трагические истории. Родители одного подростка подали в суд на OpenAI, утверждая, что ChatGPT подталкивал их сына к самоубийству.

В ответ компания внедрила серию мер безопасности: механизмы отслеживания тревожного поведения, фильтры эмоциональных сценариев и функции для родителей, включая возрастное определение и семейный контроль.

Теперь же Альтман утверждает, что OpenAI «удалось смягчить серьёзные проблемы, связанные с психическим здоровьем», и компания готова расслабить правила.

Альтман подчеркнул, что новые функции станут частью принципа «treat adult users like adults» — «относиться ко взрослым как к взрослым».

Верификация возраста будет осуществляться с помощью системы, над которой OpenAI работает уже несколько месяцев. Если алгоритм ошибочно определит взрослого как несовершеннолетнего, пользователю предложат загрузить фото удостоверения личности, чтобы подтвердить возраст.

Представитель OpenAI подтвердил TechCrunch, что эротические функции ChatGPT будут доступны только взрослым. При этом пока неясно, распространится ли послабление на голосовые и визуальные функции ИИ — например, генерацию эротических изображений или видео.

Тем не менее решение вызывает смешанную реакцию. Эксперты по психическому здоровью уже задаются вопросом, не приведёт ли «эротический ChatGPT» к новым рискам для уязвимых пользователей — особенно учитывая, что исследования показывают: