**Знакомимся с не-X.509 сертификатами для документов нового поколения
**
Статья о сертификатах не-X.509 формата, которые называются card verifiable self-descriptive certificate (CV).
Что может сделать злоумышленник зная пароль от Госуслуг
В настоящий момент полностью верифицированная учётка на Госуслугах - это ключ, который открывает очень много дверей, кажется, что даже слишком. Тот факт, что этот ключ можно получить и использовать просто зная комбинацию логина и пароля,__ весьма удручает. На Госуслугах не является обязательной двухфакторная аутентификация/вход по ЭП, кодовое слово и можно отключить уведомления о входе.__
**Около 150 тыс. россиян столкнулись с ворующими пароли троянами в 2022 году
**
__Такую статистику за январь — сентябрь представили решения «Лаборатории Касперского», детектировавшие троянов на устройствах пользователей. __
__Трояны-стилеры вытаскивают учётные данные от аккаунтов в мессенджерах, социальных сетях, а также сохранённые в браузерах и программах пароли. __
__Кроме того, вредоносы не брезгуют заглядывать в реестр и системные файлы в поисках конфиденциальной информации. Собрав все необходимые сведения, зловреды отсылают их своим операторам. __
По данным Kaspersky, с этими троянами сталкиваются, помимо прочих, блогеры и администраторы Telegram-каналов.
Режим приложений в Chrome позволяет создавать формы для кражи паролей
Новый фишинговый вектор позволяет злоумышленникам использовать режим приложений в браузере Chrome (Application Mode) для отображения форм, в которые нужно вводить учетные данные. Этот метод облегчает кражу логинов и паролей.
Режим приложений доступен в каждом браузере, основанном на Chromium, включая Microsoft Edge, Brave и, конечно же, сам Chrome. Функция позволяет создавать вполне убедительные формы для ввода данных, которые достаточно сложно отличить от настоящих.
⚡️ Максут Шадаев: «Мы начали работу по импортозамещению в госорганах заблаговременно, они сделали значимый прорыв, перешли на наши системы, софт и тд. Если отраслевой регулятор уже завершает переход на российское ПО, то ему и отрасль убедить проще. Главный риск для нас, что многие компании, вложив деньги в зарубежные продукты, останутся на них. Иногда сами компании не относят системы первостепенной значимости к критической информационной инфраструктуре, но теперь правительство сможет определять, какие решения будут относиться к КИИ. Кабмин сможет устанавливать срок перехода на наши решения. Сроки будут ставиться исходя из готовности решений. Государство готово софинансировать до 80%».
Банки для защиты клиентов от мошенников обязали идентифицировать телефон и электронную почту
С 1 октября нынешнего года банки для защиты клиентов от кибермошенников обязаны идентифицировать устройства, с которых проводятся онлайн-операции, а также подтверждать телефонные номера и адреса электронной почты клиентов. Соответствующие требования описаны в указании ЦБ РФ.
Создан «убийца» ненавистной CAPTCHA. В нем не нужно вводить символы и искать картинки
Cloudflare создала сервис Turnstile на замену CAPTCHA. Он работает в полностью автоматическом режиме – не нужно вводить текст и искать изображения. Продвигая Turnstile, Cloudflare не скрывает свою нелюбовь к CAPTCHA и уверяет, что этот сервис раздражает всех пользователей без исключения.
Windows 11 теперь предупреждает о вводе пароля в небезопасных приложениях
Microsoft недавно выпустила версию Windows 11 22H2, добавив в ОС очень интересную защитную функцию, направленную на сохранность учётных данных. Нововведение под названием Enhanced Phishing Protection предупреждает пользователей, когда те вводят пароль от Windows в небезопасных приложениях или на непроверенных веб-сайтах.
Вредоносные OAuth-приложения используются для взлома серверов Exchange
Как отметила команда Microsoft 365 Defender Research, киберпреступники применили технику credential stuffing (автоматизированная подстановка скомпрометированных учётных данных). Причём атакуются исключительно те аккаунты, которые не активировали многофакторную аутентификацию (MFA). С помощью аккаунтов с правами администратора злоумышленники получают первоначальный доступ к серверам, а затем регистрируют вредоносное OAuth-приложение и используют его права для модификации настроек Exchange-сервера. Так им удаётся разрешить передачу электронных писем с определённых IP-адресов через скомпрометированный сервер.
Атакующие полюбили MFA Fatigue для обхода MFA в корпоративных сетях
Киберпреступники часто прибегают к методам социальной инженерии для получения доступа к учётным записям и крупным корпоративным сетям. Один из элементов таких атак становится всё более популярным у злоумышленников — техника под названием «MFA-усталость» (MFA Fatigue).
Ученые предложили выявлять голосовые дипфейки с помощью флюидодинамики
В университете Флориды изучили достижения артикуляционной фонетики и разработали новую технику распознавания дипфейк-аудио — по отсутствию ограничений, влияющих на работу голосового аппарата человека. Созданный в ходе исследования детектор способен по одной фразе определить подмену с точностью 92,4%.
Минцифры обнародовало перечень из 195 специальностей в сферах IT и связи, по которым рекомендована отсрочка от мобилизации (.pdf). С 27 сентября на госуслугах будет запущен сервис для сбора данных о сотрудниках аккредитованных IT-компаний и операторов связи, «которые не должны привлекаться на военную службу в рамках частичной мобилизации».
Минцифры направило во все военкоматы телеграммы, в которых разъяснило положение об отсрочке для определенных категорий IT-специалистов, которые сейчас получают повестки.
Со ссылкой на позицию Генштаба от 22 сентября в телеграмме указывается перечень документов, которые должен иметь айтишник при посещении военкомата:
Оригинал или заверенная копия действующего** договора между сотрудником и организацией**;
Оригинал или заверенная копия диплома о получении высшего образования, необходимого для участия в деятельности организации;
Заверенная копия выписки из реестра аккредитованных организаций, осуществляющих деятельность в области IT, или заверенная копия выданной организации лицензии об осуществлении деятельности в области указания услуг связи;
Справка с места работы, подписанная руководителем или уполномоченным им лицом, подтверждающая, что сотрудник задействован в разработке, развитии, внедрении, сопровождении и эксплуатации решений в сфере IT или в обеспечении информационной инфраструктуры, или подтверждающая, что сотрудник задействован в обеспечении устойчивости, безопасности и целостности функционирования отдельных сооружений связи, средств связи и линий связи сети связи общего пользования, а также центров обработки данных (в отношении операторов связи).
Браузерные менеджеры паролей — изначально ошибочная защита
Стандартные функции управления паролями браузеров Chrome, Firefox и Edge обеспечивают лишь видимость защищённого хранения паролей. На самом деле, они не дают абсолютно никакой защиты сохраняемых пользовательских паролей.
Как из скриптов и палок собрать на коленке offline root CA с хранением закрытых ключей на YubiHSM. YubiHSM - это недорогой, стоимостью всего несколько сотен долларов, HSM, выполненный в виде USB модуля.
__Минцифры поддерживает решение Минобороны о предоставлении права на отсрочку от мобилизации для сотрудников приоритетных высокотехнологичных отраслей экономики.
Право на отсрочку могут получить имеющие соответствующеевысшееобразование и работающие полныйрабочийдень сотрудники:__
__
• аккредитованныхИТ-компаний, задействованные в разработке, развитии, внедрении, сопровождении и эксплуатации ИТ-решений (программного обеспечения, программно-аппаратных комплексов) или задействованные вобеспечениифункционированияинформационнойинфраструктуры;__
__
• операторовсвязи, задействованные в обеспечении устойчивости, безопасности и целостности функционирования отдельных сооружений связи, средств связи и линий связи сети связи общего пользования, а такжецентровобработкиданных;__
__
• зарегистрированныхСМИ, радиовещателей, телевещателей, включенных в переченьсистемообразующих, задействованные в производстве и распространении информационной продукции.__
Microsoft Teams хранит токены аутентификации в виде простого текста
Специалисты по кибербезопасности выявили серьёзную уязвимость в десктопной версии приложения Microsoft Teams. Проблема кроется в принципе хранения токенов аутентификации, позволяющем злоумышленникам получить к ним доступ.
На Госуслугах стала доступна отправка заявлений в Росреестр на исправление технической ошибки в данных ЕГРН полностью онлайн. Подписать заявление на услугу теперь можно в мобильном приложении «Госключ», не прибегая к бумажным заявлениям или платным электронным подписям.
Microsoft и Google годами крадут пароли и персональные данные малограмотных пользователей. Как защититься
Существует единственный гарантированно действенный способ не дать ни Google, ни Microsoft складировать персональные данные пользователей в своих облаках. Для этого необходимо отключить всего одну функцию в Edge и Chrome. Она носит название «Расширенная проверка правописания». Если она активна, абсолютно весь текст, даже приватное сообщение в чате в любой социальной сети, будет направлено в облако.
TLS-сертификаты доступны для установки на смартфоны, компьютеры и планшеты
На Госуслугах опубликованы инструкции по установке российских сертификатов безопасности на устройства пользователей. Такие сертификаты обеспечат доступность сайтов в любом браузере пользователям всех операционных систем.
**Фишеры обходят 2FA Google и Microsoft с помощью нового прокси-сервиса
**
Эксперты Resecurity опубликовали результаты расследования фишинговых атак, проведенных с использованием спецсервиса EvilProxy. Новый пакет услуг позволяет не только массово распространять ссылки на поддельные страницы Google, Microsoft, «Яндекса», но также с успехом обходить многофакторную аутентификацию (MFA), призванную усилить защиту аккаунтов пользователей от взлома. Новый PhaaS-сервис (Phishing-as-a-Service, фишинг как услуга) позиционируется как имитатор фишинговых атак в организациях, но активно продвигается в даркнете. В некоторых источниках его называют также Moloch, что, по мнению исследователей, указывает на связь с уже известным фишинг-паком, специально созданным для атак на финансовые институты и сферу электронной коммерции.
В Москве проведут конкурс для выбора русского названия сервиса Face Pay
Власти Москвы намерены выбрать русское название для сервиса оплаты проезда в транспорте при помощи системы распознавания лиц Face Pay, сообщил заммэра столицы Максим Ликсутов.
Система оплаты проезда Face Pay заработала сегодня на всех станциях Московского центрального кольца (МЦК), сообщили в департаменте транспорта и развития дорожно-транспортной инфраструктуры столицы.
Сервис оплаты проезда по распознаванию лица в тестовом режиме начал функционировать в Москве с 3 сентября. Подключиться к Face Pay можно в приложении «Метро Москвы», отметили в департаменте.
Онлайн-сервисы Сбера переходят на российские TLS-сертификаты
«Мы приветствуем решение Сбера перевести свои онлайн-сервисы на отечественные сертификаты удостоверяющих центров. Перевод ресурсов крупнейшего банка и одной из ведущих технологических компаний страны на наши сертификаты будет хорошим примером для всего российского рынка и станет стимулом к снижению зависимости от зарубежных компаний. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг. Сертификаты выдаются бесплатно», – прокомментировал глава Минцифры России Максут Шадаев.
**МТС представила сервис удаленной идентификации физических лиц для крупного бизнеса
**
С его помощью компании могут быстрее проверять информацию о физических лицах и уберегать себя от мошеннических действий недобросовестных пользователей
Приказом Федерального агентства по техническому регулированию и метрологии от 5 августа 2022 г. № 740-ст утверждён национальный стандарт Российской Федерации ГОСТ P 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации».
Указанный национальный стандарт размещён на официальном сайте Федерального агентства по техническому регулированию и метрологии.
Разработчикам средств защиты информации, испытательным лабораториям и органам по сертификации при разработке и испытаниях средств защиты информации необходимо руководствоваться положениями указанного национального стандарта.
На основании приказа Федерального агентства по техническому регулированию и метрологии от 8 августа 2022 г. № 746-ст отменён ГОСТ P 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».
Приказом Федерального агентства по техническому регулированию и метрологии от 5 августа 2022 г. № 740-ст утверждён национальный стандарт Российской Федерации ГОСТ P 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации».
Указанный национальный стандарт размещён на официальном сайте Федерального агентства по техническому регулированию и метрологии.
Разработчикам средств защиты информации, испытательным лабораториям и органам по сертификации при разработке и испытаниях средств защиты информации необходимо руководствоваться положениями указанного национального стандарта.
На основании приказа Федерального агентства по техническому регулированию и метрологии от 8 августа 2022 г. № 746-ст отменён ГОСТ P 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».
**У вас captcha? Тогда мы уходим от вас
**
CAPTCHA создана для различия между человеком и машиной. Пользователь посещает множество сайтов, ставит множество дополнительных программ на свой компьютер или смартфон. Даже сторонние сайты могут отправлять запросы без ведома пользователя. Другими словами инструмент удобства пользователя может самостоятельно генерировать подозрительный трафик (антивирус не поможет).
Ngenix реализовал поддержку SSL/TLS-сертификатов с российской криптосистемой ГОСТ 34.10
Ngenix, провайдер облачных решений для защиты и ускорения веб-ресурсов, реализовал на своей облачной платформе нативную поддержку TLS-сертификатов с российской криптосистемой семейства ГОСТ 34.10 наряду с распространенными системами шифрования RSA/ECDSA.
**Банки не успели внедрить выдачу кредитов по биометрии
**
Внедрить идентификацию через ЕБС банкам мешают санкции, нехватка ресурсов, низкий интерес граждан к системе, слабая наполняемость и технические сложности. В конце июля стало известно, что биометрические данные клиентов банков, собранные по собственным программам, не соответствуют стандартам Единой биометрической системы. По качеству проходят только 10%.
Завершил редизайн раздела сайта с подборкой НПА и дополнительных материалов по теме безопасности КИИ. Предложения/замечания/дополнения приветствуются: https://zlonov.ru/kii/
«Актив» получила сертификат ФСБ на USB-токены и смарт-карты «Рутокен ЭЦП 3.0»
Полученный сертификат ФСБ России за номером СФ/124-4307 подтверждает, что СКЗИ «Рутокен ЭЦП 3.0» соответствует требованиям Федерального закона «Об электронной подписи» №63-ФЗ и требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, классов КС1, КС2 и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование данных, вычисление имитовставки, вычисление значения хэш-функции для данных, содержащихся в областях оперативной памяти СКЗИ, создание и проверка электронной подписи, создание ключа и ключа проверки электронной подписи). Сертификат выдан на основании результатов сертификационных испытаний, проведенных фирмой «Анкад» и будет действовать до 11 августа 2025 г.
VK предупредит пользователей об утечке паролей в других сервисах
__Теперь пользователь «Вконтакте» получит уведомление, если такой же, как у него, пароль окажется в базах утёкших данных сторонних сервисов. При этом весь процесс полностью автоматический, пароли проверяются только в зашифрованном виде и на серверах VK. Функция уже доступна в социальной сети «Вконтакте», а в будущем она появится и в других сервисах VK.
Команда безопасности VK проводит регулярный мониторинг утечек из других сервисов — как локальных, так и международных. Когда в сети появляется информация о новых скомпрометированных данных, сотрудники оперативно проверяют её на достоверность и учитывают в системе предупреждения пользователей.__
Система распознавания лиц перепутала нарушителя с его братом-близнецом
Московские камеры “опознали” преступника, находившегося в розыске. Его увезли в отделение полиции. Позже выяснилось, что задержанный — брат-близнец настоящего нарушителя закона.
Исследование: треть россиян никогда не меняет пароли от почты и соцсетей
__32% россиян никогда не меняют пароли от личных кабинетов почты, онлайн-банков и соцсетей, выяснила компания «Альфастрахование» в ходе исследования по теме кибербезопасности. При этом чаще всего (45%) россияне записывают свои пароли в текстовые файлы на ПК или добавляют в заметки на смартфонах. 28% хранят пароли на бумаге — в записных книжках и на стикерах.
Лишь 6% россиян регулярно (раз в месяц и чаще) обновляют пароли для доступа в личный кабинет почты, онлайн-банка или соцсетей. Каждый четвертый (26%) респондент отметил, что старается менять пароли раз в несколько месяцев, а свыше трети (36%) россиян проходят эту процедуру раз в полгода-год.__
Минцифры предлагает использовать Госуслуги для подтверждения личности в бытовых ситуациях
Минцифры России предлагает запустить на Госуслугах сервис, при помощи которого можно быстро подтвердить личность, когда это требуется в бытовых ситуациях:
• Для подтверждения права бесплатного проезда;
• При покупках в магазине для получения скидки или подтверждения возраста;
• При посещении мероприятий с ограничениями на вход;
• Для входа в офисные центры с пропускной системой и т.д.
ФСТЭК России проводит открытый конкурс на создание информационной инфраструктуры, обеспечивающей “проведение тестирования обновлений безопасности программного обеспечения, страной происхождения которого являются недружественные государства, и программного обеспечения с открытым кодом, а также предоставление доступагосударственным органам (организациям) и субъектам критической информационной инфраструктуры к результатам тестирования.”
Первые результаты тестирований предполагаются к публикации не позднее 20.12.2022.
ФСБ сертифицировала приложение для выдачи электронных подписей через смартфон
Разработчик Sign.Me получил разрешение ФСБ выдавать квалифицированную электронную подпись (ЭП) через смартфон. Служба выдала сервису сертификат, который наделяет такую электронную подпись юридической силой и позволяет приравнивать ее к собственноручной.
За клиентом банка в Подмосковье приехала полиция. Менеджеру показалось, что мужчина, заказавший крупную сумму наличными, мошенник. Лицо в окошке не походило на фотографию в паспорте.
**Похищаем сохраненный в Chrome пароль с помощью XSS
**
Рассмотренная атака наглядно демонстрирует, как могут быть опасны XSS-атаки в сочетании с социальной инженерией, и как важно не допускать уязвимостей, которые могут привести к XSS, и своевременно их устранять. Варианты использования подобных уязвимостей ограничиваются только возможностями javascript и фантазией исследователя.
Расширение KeePassXC снижает вероятность успешности атаки, но полностью не исключает. В любом случае, это значительно безопаснее, чем хранить пароли в браузере.
**Liveness Detection: распознавание живого присутствия
**
Задачи идентификации и аутентификации пользователя с использованием лицевой биометрии не могут быть надежно решены без определения живого присутствия (Liveness Detection) пользователя в кадре – необходимо удостовериться, что создание биометрического шаблона происходит именно по данным самого человека, а, например, не печатного изображения, поднесённого к камере. Возможны самые разные варианты атак, о которых будет рассказано ниже. Все они направлены на то, чтобы заменить живого пользователя системы его изображением (без живого присутствия пользователя), тем самым «обманув» биометрический алгоритм и добившись желаемого атакующими результата, утверждая, что именно пользователь акцептовал совершаемую операцию.
