Бортовой журнал

Банки для защиты клиентов от мошенников обязали идентифицировать телефон и электронную почту

С 1 октября нынешнего года банки для защиты клиентов от кибермошенников обязаны идентифицировать устройства, с которых проводятся онлайн-операции, а также подтверждать телефонные номера и адреса электронной почты клиентов. Соответствующие требования описаны в указании ЦБ РФ.

https://www.bfm.ru/news/510048

**Биометрию передали в новый Центр ** Владимир Путин назначил организатора развития цифровых технологий идентификации и аутентификации в РФ

https://www.vedomosti.ru/technology/articles/2022/10/03/943533-biometriyu-peredali-v-novii-tsentr

Создан «убийца» ненавистной CAPTCHA. В нем не нужно вводить символы и искать картинки

Cloudflare создала сервис Turnstile на замену CAPTCHA. Он работает в полностью автоматическом режиме – не нужно вводить текст и искать изображения. Продвигая Turnstile, Cloudflare не скрывает свою нелюбовь к CAPTCHA и уверяет, что этот сервис раздражает всех пользователей без исключения.

https://safe.cnews.ru/news/top/2022-09-29_sozdan_ubijtsa_nenavistnoj

Windows 11 теперь предупреждает о вводе пароля в небезопасных приложениях

Microsoft недавно выпустила версию Windows 11 22H2, добавив в ОС очень интересную защитную функцию, направленную на сохранность учётных данных. Нововведение под названием Enhanced Phishing Protection предупреждает пользователей, когда те вводят пароль от Windows в небезопасных приложениях или на непроверенных веб-сайтах.

https://www.anti-malware.ru/news/2022-09-26-111332/39608

Вредоносные OAuth-приложения используются для взлома серверов Exchange

Как отметила команда Microsoft 365 Defender Research, киберпреступники применили технику credential stuffing (автоматизированная подстановка скомпрометированных учётных данных). Причём атакуются исключительно те аккаунты, которые не активировали многофакторную аутентификацию (MFA). С помощью аккаунтов с правами администратора злоумышленники получают первоначальный доступ к серверам, а затем регистрируют вредоносное OAuth-приложение и используют его права для модификации настроек Exchange-сервера. Так им удаётся разрешить передачу электронных писем с определённых IP-адресов через скомпрометированный сервер.

https://www.anti-malware.ru/news/2022-09-23-111332/39600

Атакующие полюбили MFA Fatigue для обхода MFA в корпоративных сетях

Киберпреступники часто прибегают к методам социальной инженерии для получения доступа к учётным записям и крупным корпоративным сетям. Один из элементов таких атак становится всё более популярным у злоумышленников — техника под названием «MFA-усталость» (MFA Fatigue).

https://www.anti-malware.ru/news/2022-09-21-111332/39585

Ученые предложили выявлять голосовые дипфейки с помощью флюидодинамики

В университете Флориды изучили достижения артикуляционной фонетики и разработали новую технику распознавания дипфейк-аудио — по отсутствию ограничений, влияющих на работу голосового аппарата человека. Созданный в ходе исследования детектор способен по одной фразе определить подмену с точностью 92,4%.

https://www.anti-malware.ru/news/2022-09-21-114534/39583

Минцифры обнародовало перечень из 195 специальностей в сферах IT и связи, по которым рекомендована отсрочка от мобилизации (.pdf). С 27 сентября на госуслугах будет запущен сервис для сбора данных о сотрудниках аккредитованных IT-компаний и операторов связи, «которые не должны привлекаться на военную службу в рамках частичной мобилизации».

https://www.kommersant.ru/doc/5582126

Минцифры направило во все военкоматы телеграммы, в которых разъяснило положение об отсрочке для определенных категорий IT-специалистов, которые сейчас получают повестки.

Со ссылкой на позицию Генштаба от 22 сентября в телеграмме указывается перечень документов, которые должен иметь айтишник при посещении военкомата: 

1. Оригинал или заверенная копия действующего** договора между сотрудником и организацией**;

2. Оригинал или заверенная копия диплома о получении высшего образования, необходимого для участия в деятельности организации; 

3. Заверенная копия выписки из реестра аккредитованных организаций, осуществляющих деятельность в области IT, или заверенная копия выданной организации лицензии об осуществлении деятельности в области указания услуг связи;

4. Справка с места работы, подписанная руководителем или уполномоченным им лицом, подтверждающая, что сотрудник задействован в разработке, развитии, внедрении, сопровождении и эксплуатации решений в сфере IT или в обеспечении информационной инфраструктуры, или подтверждающая, что сотрудник задействован в обеспечении устойчивости, безопасности и целостности функционирования отдельных сооружений связи, средств связи и линий связи сети связи общего пользования, а также центров обработки данных (в отношении операторов связи).

https://www.vedomosti.ru/society/news/2022/09/26/942469-mintsifri-razyasnilo-pravila-otsrochki

Браузерные менеджеры паролей — изначально ошибочная защита

Стандартные функции управления паролями браузеров Chrome, Firefox и Edge обеспечивают лишь видимость защищённого хранения паролей. На самом деле, они не дают абсолютно никакой защиты сохраняемых пользовательских паролей.

https://habr.com/ru/company/ruvds/blog/687718/

Offline root CA с использованием YubiHSM

Как из скриптов и палок собрать на коленке offline root CA с хранением закрытых ключей на YubiHSM. YubiHSM - это недорогой, стоимостью всего несколько сотен долларов, HSM, выполненный в виде USB модуля.

https://habr.com/ru/post/686350/

__Минцифры поддерживает решение Минобороны о предоставлении права на отсрочку от мобилизации для сотрудников приоритетных высокотехнологичных отраслей экономики.

Право на отсрочку могут получить имеющие соответствующее высшее образование и работающие полный рабочий день сотрудники:__ __ • аккредитованных ИТ-компаний, задействованные в разработке, развитии, внедрении, сопровождении и эксплуатации ИТ-решений (программного обеспечения, программно-аппаратных комплексов) или задействованные в обеспечении функционирования информационной инфраструктуры;__ __ • операторов связи, задействованные в обеспечении устойчивости, безопасности и целостности функционирования отдельных сооружений связи, средств связи и линий связи сети связи общего пользования, а также центров обработки данных;__ __ • зарегистрированных СМИ, радиовещателей, телевещателей, включенных в перечень системообразующих, задействованные в производстве и распространении информационной продукции.__

https://digital.gov.ru/ru/events/42005/

Microsoft Teams хранит токены аутентификации в виде простого текста

Специалисты по кибербезопасности выявили серьёзную уязвимость в десктопной версии приложения Microsoft Teams. Проблема кроется в принципе хранения токенов аутентификации, позволяющем злоумышленникам получить к ним доступ.

https://www.anti-malware.ru/news/2022-09-15-111332/39541

С Госключом можно исправить ошибки в ЕГРН

На Госуслугах стала доступна отправка заявлений в Росреестр на исправление технической ошибки в данных ЕГРН полностью онлайн. Подписать заявление на услугу теперь можно в мобильном приложении «Госключ», не прибегая к бумажным заявлениям или платным электронным подписям.

https://digital.gov.ru/ru/events/41972/

Microsoft и Google годами крадут пароли и персональные данные малограмотных пользователей. Как защититься

Существует единственный гарантированно действенный способ не дать ни Google, ни Microsoft складировать персональные данные пользователей в своих облаках. Для этого необходимо отключить всего одну функцию в Edge и Chrome. Она носит название «Расширенная проверка правописания». Если она активна, абсолютно весь текст, даже приватное сообщение в чате в любой социальной сети, будет направлено в облако.

https://safe.cnews.ru/news/top/2022-09-19_microsoft_i_google_obvorovyvayut

TLS-сертификаты доступны для установки на смартфоны, компьютеры и планшеты

На Госуслугах опубликованы инструкции по установке российских сертификатов безопасности на устройства пользователей. Такие сертификаты обеспечат доступность сайтов в любом браузере пользователям всех операционных систем.

https://digital.gov.ru/ru/events/41990/

Топ-25 бесплатных курсов по информационной безопасности https://habr.com/ru/company/katalog_kursov_ru/blog/688992/

**Фишеры обходят 2FA Google и Microsoft с помощью нового прокси-сервиса ** Эксперты Resecurity опубликовали результаты расследования фишинговых атак, проведенных с использованием спецсервиса EvilProxy. Новый пакет услуг позволяет не только массово распространять ссылки на поддельные страницы Google, Microsoft, «Яндекса», но также с успехом обходить многофакторную аутентификацию (MFA), призванную усилить защиту аккаунтов пользователей от взлома. Новый PhaaS-сервис (Phishing-as-a-Service, фишинг как услуга) позиционируется как имитатор фишинговых атак в организациях, но активно продвигается в даркнете. В некоторых источниках его называют также Moloch, что, по мнению исследователей, указывает на связь с уже известным фишинг-паком, специально созданным для атак на финансовые институты и сферу электронной коммерции.

https://www.anti-malware.ru/news/2022-09-05-114534/39468

В Москве проведут конкурс для выбора русского названия сервиса Face Pay

Власти Москвы намерены выбрать русское название для сервиса оплаты проезда в транспорте при помощи системы распознавания лиц Face Pay, сообщил заммэра столицы Максим Ликсутов.

https://www.vedomosti.ru/technology/news/2022/09/09/940196-v-moskve-provedut-konkurs

Face Pay заработал на всех станциях МЦК

Система оплаты проезда Face Pay заработала сегодня на всех станциях Московского центрального кольца (МЦК), сообщили в департаменте транспорта и развития дорожно-транспортной инфраструктуры столицы. Сервис оплаты проезда по распознаванию лица в тестовом режиме начал функционировать в Москве с 3 сентября. Подключиться к Face Pay можно в приложении «Метро Москвы», отметили в департаменте.

https://www.vedomosti.ru/technology/news/2022/09/10/940258-face-pay

Онлайн-сервисы Сбера переходят на российские TLS-сертификаты

«Мы приветствуем решение Сбера перевести свои онлайн-сервисы на отечественные сертификаты удостоверяющих центров. Перевод ресурсов крупнейшего банка и одной из ведущих технологических компаний страны на наши сертификаты будет хорошим примером для всего российского рынка и станет стимулом к снижению зависимости от зарубежных компаний. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг. Сертификаты выдаются бесплатно», – прокомментировал глава Минцифры России Максут Шадаев.

https://digital.gov.ru/ru/events/41983/

**МТС представила сервис удаленной идентификации физических лиц для крупного бизнеса ** С его помощью компании могут быстрее проверять информацию о физических лицах и уберегать себя от мошеннических действий недобросовестных пользователей

https://www.bfm.ru/news/508672

Приказом Федерального агентства по техническому регулированию и метрологии от 5 августа 2022 г. № 740-ст утверждён национальный стандарт Российской Федерации ГОСТ P 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации».

Указанный национальный стандарт размещён на официальном сайте Федерального агентства по техническому регулированию и метрологии.

Разработчикам средств защиты информации, испытательным лабораториям и органам по сертификации при разработке и испытаниях средств защиты информации необходимо руководствоваться положениями указанного национального стандарта.

На основании приказа Федерального агентства по техническому регулированию и метрологии от 8 августа 2022 г. № 746-ст отменён ГОСТ P 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».

https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kii/290-inye/2480-informatsionnoe-soobshchenie-fstek-rossii-ot-24-avgusta-2022-g-n-240-24-4678

**У вас captcha? Тогда мы уходим от вас ** CAPTCHA создана для различия между человеком и машиной. Пользователь посещает множество сайтов, ставит множество дополнительных программ на свой компьютер или смартфон. Даже сторонние сайты могут отправлять запросы без ведома пользователя. Другими словами инструмент удобства пользователя может самостоятельно генерировать подозрительный трафик (антивирус не поможет).

https://habr.com/ru/post/685328/

Ngenix реализовал поддержку SSL/TLS-сертификатов с российской криптосистемой ГОСТ 34.10

Ngenix, провайдер облачных решений для защиты и ускорения веб-ресурсов, реализовал на своей облачной платформе нативную поддержку TLS-сертификатов с российской криптосистемой семейства ГОСТ 34.10 наряду с распространенными системами шифрования RSA/ECDSA.

https://safe.cnews.ru/news/line/2022-08-24_ngenix_realizoval_podderzhku

**Банки не успели внедрить выдачу кредитов по биометрии ** Внедрить идентификацию через ЕБС банкам мешают санкции, нехватка ресурсов, низкий интерес граждан к системе, слабая наполняемость и технические сложности. В конце июля стало известно, что биометрические данные клиентов банков, собранные по собственным программам, не соответствуют стандартам Единой биометрической системы. По качеству проходят только 10%.

https://www.anti-malware.ru/news/2022-08-30-111332/39430

«Актив» получила сертификат ФСБ на USB-токены и смарт-карты «Рутокен ЭЦП 3.0»

Полученный сертификат ФСБ России за номером СФ/124-4307 подтверждает, что СКЗИ «Рутокен ЭЦП 3.0» соответствует требованиям Федерального закона «Об электронной подписи» №63-ФЗ и требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, классов КС1, КС2 и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование данных, вычисление имитовставки, вычисление значения хэш-функции для данных, содержащихся в областях оперативной памяти СКЗИ, создание и проверка электронной подписи, создание ключа и ключа проверки электронной подписи). Сертификат выдан на основании результатов сертификационных испытаний, проведенных фирмой «Анкад» и будет действовать до 11 августа 2025 г.

https://safe.cnews.ru/news/line/2022-08-18_aktiv_poluchila_sertifikat

VK предупредит пользователей об утечке паролей в других сервисах

__Теперь пользователь «Вконтакте» получит уведомление, если такой же, как у него, пароль окажется в базах утёкших данных сторонних сервисов. При этом весь процесс полностью автоматический, пароли проверяются только в зашифрованном виде и на серверах VK. Функция уже доступна в социальной сети «Вконтакте», а в будущем она появится и в других сервисах VK.

Команда безопасности VK проводит регулярный мониторинг утечек из других сервисов — как локальных, так и международных. Когда в сети появляется информация о новых скомпрометированных данных, сотрудники оперативно проверяют её на достоверность и учитывают в системе предупреждения пользователей.__

https://safe.cnews.ru/news/line/2022-08-18_vk_predupredit_polzovatelej

Система распознавания лиц перепутала нарушителя с его братом-близнецом

Московские камеры “опознали” преступника, находившегося в розыске. Его увезли в отделение полиции. Позже выяснилось, что задержанный — брат-близнец настоящего нарушителя закона.

https://www.anti-malware.ru/news/2022-08-15-118537/39333

Исследование: треть россиян никогда не меняет пароли от почты и соцсетей

__32% россиян никогда не меняют пароли от личных кабинетов почты, онлайн-банков и соцсетей, выяснила компания «Альфастрахование» в ходе исследования по теме кибербезопасности. При этом чаще всего (45%) россияне записывают свои пароли в текстовые файлы на ПК или добавляют в заметки на смартфонах. 28% хранят пароли на бумаге — в записных книжках и на стикерах.

Лишь 6% россиян регулярно (раз в месяц и чаще) обновляют пароли для доступа в личный кабинет почты, онлайн-банка или соцсетей. Каждый четвертый (26%) респондент отметил, что старается менять пароли раз в несколько месяцев, а свыше трети (36%) россиян проходят эту процедуру раз в полгода-год.__

https://safe.cnews.ru/news/line/2022-08-11_issledovanie_tret_rossiyan

Минцифры предлагает использовать Госуслуги для подтверждения личности в бытовых ситуациях

Минцифры России предлагает запустить на Госуслугах сервис, при помощи которого можно быстро подтвердить личность, когда это требуется в бытовых ситуациях: • Для подтверждения права бесплатного проезда; • При покупках в магазине для получения скидки или подтверждения возраста; • При посещении мероприятий с ограничениями на вход; • Для входа в офисные центры с пропускной системой и т.д.

https://digital.gov.ru/ru/events/41900/

ФСТЭК России проводит открытый конкурс на создание информационной инфраструктуры, обеспечивающей “проведение тестирования обновлений безопасности программного обеспечения, страной происхождения которого являются недружественные государства, и программного обеспечения с открытым кодом, а также предоставление доступа государственным органам (организациям) и субъектам критической информационной инфраструктуры к результатам тестирования.”

Первые результаты тестирований предполагаются к публикации не позднее 20.12.2022.

https://zakupki.gov.ru/epz/order/notice/ok20/view/documents.html?regNumber=0173100005922000009

ФСБ сертифицировала приложение для выдачи электронных подписей через смартфон

Разработчик Sign.Me получил разрешение ФСБ выдавать квалифицированную электронную подпись (ЭП) через смартфон. Служба выдала сервису сертификат, который наделяет такую электронную подпись юридической силой и позволяет приравнивать ее к собственноручной.

https://www.vedomosti.ru/technology/articles/2022/08/22/937121-fsb-sertifitsirovala-elektronnih-podpisei

Поправившаяся биометрия: клиенту банка, набравшему вес, вызвали полицию

За клиентом банка в Подмосковье приехала полиция. Менеджеру показалось, что мужчина, заказавший крупную сумму наличными, мошенник. Лицо в окошке не походило на фотографию в паспорте.

https://www.anti-malware.ru/news/2022-08-02-118537/39252

**Похищаем сохраненный в Chrome пароль с помощью XSS ** Рассмотренная атака наглядно демонстрирует, как могут быть опасны XSS-атаки в сочетании с социальной инженерией, и как важно не допускать уязвимостей, которые могут привести к XSS, и своевременно их устранять. Варианты использования подобных уязвимостей ограничиваются только возможностями javascript и фантазией исследователя. Расширение KeePassXC снижает вероятность успешности атаки, но полностью не исключает. В любом случае, это значительно безопаснее, чем хранить пароли в браузере.

https://habr.com/ru/company/regru/blog/680256/

**Liveness Detection: распознавание живого присутствия ** Задачи идентификации и аутентификации пользователя с использованием лицевой биометрии не могут быть надежно решены без определения живого присутствия (Liveness Detection) пользователя в кадре – необходимо удостовериться, что создание биометрического шаблона происходит именно по данным самого человека, а, например, не печатного изображения, поднесённого к камере. Возможны самые разные варианты атак, о которых будет рассказано ниже. Все они направлены на то, чтобы заменить живого пользователя системы его изображением (без живого присутствия пользователя), тем самым «обманув» биометрический алгоритм и добившись желаемого атакующими результата, утверждая, что именно пользователь акцептовал совершаемую операцию.

https://habr.com/ru/company/nspk/blog/676242/

Брутфорс соседского Wi-Fi (в исключительно исследовательских целях)

Надежные и постоянно меняющиеся пароли - это здорово. Особенно когда они меняются и на Wi-Fi роутере и WPS на нем вообще отключен. В этом посте: сколько занимает перебор WPS pin и есть ли у этого практическое применение? А еще напишем программу для брутфорса на C#

https://habr.com/ru/post/675812/

Картинкам нельзя верить. Видеоспуфинг в реальном времени

__Некоторые люди полагаются на зрение для распознавания личности собеседника. Это крайне ненадёжный подход, если можно подделать картинку на экране. В эпоху цифровой видеосвязи внешность, голос и поведение человека перестали выполнять функцию надёжной идентификации.

За последние годы разработано несколько эффективных инструментов для подделки видеопотока, в том числе Avatarify Desktop и Deepfake Offensive Toolkit. Таким образом, у злоумышленников появились все возможности, чтобы подделать лицо и голос произвольного человека во время звонка. Специалисты по безопасности и пользователи должны понимать, насколько элементарно выполняется такая операция.__

https://habr.com/ru/company/globalsign/blog/675766/

Методология ЭДО, или 5 ошибок при переходе на электронную подпись ** **__Электронный документооборот становится неотъемлемой частью работы организаций. Государство поэтапно осуществляет план по полному переходу на цифровую документацию, реализуя в его рамках все больше возможностей для полного отказа от бумажных носителей. __

https://safe.cnews.ru/news/top/2022-06-02_metodologiya_edoili_5_osnovnye

Фишеры могут обойти MFA с помощью приложений Microsoft WebView2

На днях исследователь в области кибербезопасности под ником mr.d0x показал новый метод обхода MFA с использованием приложений Microsoft Edge WebView2. Способ mr.d0x позволяет украсть cookies аутентификации для входа в защищённые MFA аккаунты. Эта техника получила имя WebView2-Cookie-Stealer. Для успешной работы используются два исполняемых файла WebView2, которые при запуске открывают легитимный веб-сайт с формой для ввода учётных данных. Фокус в том, что этот сайт открывается внутри приложения. Всё благодаря функциональности Microsoft Edge WebView2, которая позволяет встраивать браузер с поддержкой HTML, CSS и JavaScript в нативные приложения.

https://www.anti-malware.ru/news/2022-06-27-111332/38972

Microsoft закрывает доступ к своим ИИ-разработкам распознавания лиц и генерации голоса

Компания Microsoft опубликовала новые правила использования своих разработок, связанных с искусственным интеллектом. Доступ к тем из них, что позволяют создавать «рискованные» решения, будет жестко ограничен.

https://safe.cnews.ru/news/top/2022-06-23_microsoft_zakryvaet_dostup_k

SRAM PUF. Внедрение уникальных ID по «цифровому отпечатку» микросхем

__У современных производителей устройств IoT система PKI внедряется непосредственно на заводе. То есть прямо на конвейере. Каждое устройство получает уникальный ID и сертификат, по которому выполняется идентификация и аутентификация этого конкретного девайса на протяжении всего жизненного цикла.

Как это происходит, если вкратце?__

https://habr.com/ru/company/globalsign/blog/672970/