Бортовой журнал

Брутфорс соседского Wi-Fi (в исключительно исследовательских целях)

Надежные и постоянно меняющиеся пароли - это здорово. Особенно когда они меняются и на Wi-Fi роутере и WPS на нем вообще отключен. В этом посте: сколько занимает перебор WPS pin и есть ли у этого практическое применение? А еще напишем программу для брутфорса на C#

https://habr.com/ru/post/675812/

Картинкам нельзя верить. Видеоспуфинг в реальном времени

__Некоторые люди полагаются на зрение для распознавания личности собеседника. Это крайне ненадёжный подход, если можно подделать картинку на экране. В эпоху цифровой видеосвязи внешность, голос и поведение человека перестали выполнять функцию надёжной идентификации.

За последние годы разработано несколько эффективных инструментов для подделки видеопотока, в том числе Avatarify Desktop и Deepfake Offensive Toolkit. Таким образом, у злоумышленников появились все возможности, чтобы подделать лицо и голос произвольного человека во время звонка. Специалисты по безопасности и пользователи должны понимать, насколько элементарно выполняется такая операция.__

https://habr.com/ru/company/globalsign/blog/675766/

Методология ЭДО, или 5 ошибок при переходе на электронную подпись ** **__Электронный документооборот становится неотъемлемой частью работы организаций. Государство поэтапно осуществляет план по полному переходу на цифровую документацию, реализуя в его рамках все больше возможностей для полного отказа от бумажных носителей. __

https://safe.cnews.ru/news/top/2022-06-02_metodologiya_edoili_5_osnovnye

Фишеры могут обойти MFA с помощью приложений Microsoft WebView2

На днях исследователь в области кибербезопасности под ником mr.d0x показал новый метод обхода MFA с использованием приложений Microsoft Edge WebView2. Способ mr.d0x позволяет украсть cookies аутентификации для входа в защищённые MFA аккаунты. Эта техника получила имя WebView2-Cookie-Stealer. Для успешной работы используются два исполняемых файла WebView2, которые при запуске открывают легитимный веб-сайт с формой для ввода учётных данных. Фокус в том, что этот сайт открывается внутри приложения. Всё благодаря функциональности Microsoft Edge WebView2, которая позволяет встраивать браузер с поддержкой HTML, CSS и JavaScript в нативные приложения.

https://www.anti-malware.ru/news/2022-06-27-111332/38972

Microsoft закрывает доступ к своим ИИ-разработкам распознавания лиц и генерации голоса

Компания Microsoft опубликовала новые правила использования своих разработок, связанных с искусственным интеллектом. Доступ к тем из них, что позволяют создавать «рискованные» решения, будет жестко ограничен.

https://safe.cnews.ru/news/top/2022-06-23_microsoft_zakryvaet_dostup_k

SRAM PUF. Внедрение уникальных ID по «цифровому отпечатку» микросхем

__У современных производителей устройств IoT система PKI внедряется непосредственно на заводе. То есть прямо на конвейере. Каждое устройство получает уникальный ID и сертификат, по которому выполняется идентификация и аутентификация этого конкретного девайса на протяжении всего жизненного цикла.

Как это происходит, если вкратце?__

https://habr.com/ru/company/globalsign/blog/672970/

Сам себе PKI: Теория на примере Let’s Encrypt (Статьи 1 и 2)

Давайте разберемся как работают системы PKI, т.к. они еще долго будут актуальны для обеспечения аутентификации и безопасной передачи данных. В данной статье рассмотрим теорию и в качестве примера PKI возьмём самую известную в мире реализацию PKI - HTTPS протокол в сети Интернет. В качестве удостоверяющего центра будем использовать бесплатный Let’s Encrypt.

https://habr.com/ru/post/671728/ https://habr.com/ru/post/671730/

Как бы вы реализовали форму аутентификации на сайте? Вопрос для собеседования на Junior/Middle/Senior?

https://habr.com/ru/post/668104/

Как Apple обеспечила в iOS 16 и macOS Ventura беспарольный доступ через Passkeys

Apple добавила поддержку беспарольной аутентификации в свои обновлённые продукты. Новая технология получила название Passkeys. Она позволяет отказаться от текстового ввода паролей и обеспечивает сквозную аутентификацию для доступа с разных устройств, используя только одно Apple-устройство (iPhone, iPad, Apple Watch) для биометрического контроля.

https://www.anti-malware.ru/analytics/Technology_Analysis/Apple-passwordless-Passkeys-iOS-macOS

Власти в режиме секретности запустили систему слежки за россиянами по силуэтам ** **В Подмосковье и еще двух регионах России заработала система слежки за людьми на основе их силуэтов. Она работает совместно с городскими системами видеонаблюдения. Новшество призвано определять степень загруженности общественных пространств, но доступ к системе обязательно получат правоохранительные органы.

https://safe.cnews.ru/news/top/2022-06-02_slezhka_za_rossiyanami_vyhodit

**Автоматическая установка сертификатов S/MIME для корпоративных пользователей ** __В последней версии AEG 7.5 (обновление от мая 2022 года) реализована функция Ready S/MIME — это автоматическое развёртывание сертификатов S/MIME в масштабе всей организации на большое количество пользователей.

AEG — система автоматизации и управления PKI, которая автоматизирует любые действия с сертификатами.__

https://habr.com/ru/company/globalsign/blog/667628/

Тесты банков для проверки личности «чрезвычайно уязвимы» для deepfake атак

Автоматизированные тесты “liveness tests”, используемые банками и другими учреждениями для проверки личности пользователей, легко обмануть дипфейками, говорится в новом докладе.

https://habr.com/ru/post/667326/

**А имеет ли Okta альтернативы? ** __Okta ведущий игрок в сфере IAM (Идентификация и управление доступом), и уже достигла немалых успехов в этой области, осваивая искусственный интеллект, выходя таким образом за рамки стандартного использования пароля и других вариантов многофакторной аутентификации.

Okta обладает рядом преимуществ - таких как безопасность, масштабируемость и простота в использовании. Но с точки зрения затрат Okta больше подходит крупным компаниям, являясь достаточно дорогой для небольших организаций.

И хотя Okta наиболее популярна, это не означает, что у нее нет альтернатив. Есть несколько других вариантов для предприятий, желающих пойти по пути IAM, и каждый из них имеет свои преимущества.__

https://habr.com/ru/company/nixys/blog/667314/

Суверенный, сувенирный, самопровозглашенный

Корневой сертификат «национального удостоверяющего центра» Russian Trusted Root CA есть, а самого УЦ – нет. И быть не могло.

https://habr.com/ru/post/666520/

Как недальновидность превратила смарт-карты в огромную дыру в безопасности армии США

__Эту статью можно отнести к категории «прохладных историй» о том, как бюрократия победила здравый смысл. Что однако не отменяет ее прикладной ценности в разрезе «как не надо делать». Государства ведут себя похоже вне зависимости от континента и история, которую вскрыл Брайан Кребс и которую мы вольно пересказали ниже, так как оригинальный пост вышел не слишком последовательным и местами непонятным — отличный тому пример. __

https://habr.com/ru/company/dcmiran/blog/666386/

Американцам посоветовали не указывать имена питомцев в качестве пароля

__Аналитики Aura изучили привычки пользователей интернета из США и пришли к выводу, что люди часто используют имена домашних животных в качестве паролей. Если быть точными, 39% хозяев указывают клички своих пушистых друзей.

Как отмечают исследователи, это крайне рискованная практика, поскольку информацию о питомце часто можно найти в Сети. Например, специалисты Aura приводят следующие данные:

• 59% хозяев публиковали в Сети фотографии своего домашнего животного.
• 48% указывали имя своего питомца в соцсетях.
• У 36% пользователей, указавших имена своих питомцев, 500 и более подписчиков в соцсетях. __ https://www.anti-malware.ru/news/2022-05-06-111332/38649

Программист из Австралии Трой Хант решил поиздеваться над спамерами весьма изощрённым способом.

Спамерам, чьи письма Трой перемещает в специальную папку, автоматически приходит ответ, в котором говорится, что Трою очень интересно полученное предложение и он готов к сотрудничеству, только просит заполнить небольшую регистрационную форму, указав свои контакты.

Дальше и начинается веселье - клюнувшего спамера просят ввести адрес электронной почты и придумать пароль. Но всё дело в том, что подходящий пароль придумать просто невозможно!

Спамеру выдвигаются всё новые и новые требования:

• Пароль должен содержать хотя бы одну заглавную букву
• Пароль должен содержать хотя бы одну цифру
• Пароль не должен заканчиваться на «!» или «1»
• Пароль должен содержать имя главного персонажа мультсериала Симпсоны
• Пароль должен заканчиваться на «dog» …

Самых настойчивых ожидает сообщение, что нужно придумать новый пароль, так как введённый уже кто-то использует =)

В своём блоге Трой пишет, что ловушка работает и спамеры реально тратят своё время (пусть даже и всего 80 секунд) впустую.

Пост в блоге Троя Ханта здесь: https://www.troyhunt.com/sending-spammers-to-password-purgatory-with-microsoft-power-automate-and-cloudflare-workers-kv/ Почувствовать себя в роли спамера, придумывающего пароль, можно тут: https://password-purgatory.pages.dev

**Electronic Signature vs Digital Signature: подпись подписи рознь ** Короткая заметка о том, что в англоязычной сфере встречаются два термина, взаимосвязанные друг с другом, но разные по сути. Это electronic signature и digital signature. Отличия их друг от друга полезно знать хотя бы для точного понимания статей, стандартов и законов.

https://habr.com/ru/post/665946/

Биометрический курьез произошёл в Подольске. Мужчина пришел в отделение банка с целью снять крупную сумму денег. Однако, менеджеру банка показалось, что клиент, заказавший наличные, мошенник: лицо в окошке не походило на фотографию в паспорте, поэтому в строгом соответствии с инструкцией он вызвал полицию. В ходе последовавшего разбирательства выяснилось, что гражданин с момента получения паспорта набрал лишний вес и перестал быть похожим на себя =)

Дабы не оказаться в подобной ситуации порекомендовал бы (опробовано на себе):

• коллекцию приложений Runtastic, которые сейчас стали частью Adidas (https://www.runtastic.com)
• шедевральный Nike Training Club (https://www.nike.com/ntc-app)
• онлайн-сервис Fitstars (https://fitstars.ru)
• мой абсолютный фаворит Apple Fitness+ (https://www.apple.com/ru/apple-fitness-plus/)

Ссылка на новость: https://www.anti-malware.ru/news/2022-08-02-118537/39252

Ключ от всех дверей: Тинькофф запускает Tinkoff ID для всего рунета

__Тинькофф запустил универсальный Tinkoff ID — сервис для быстрой и максимальной безопасной авторизации и единого входа в любых сервисах рунета.

С помощью Tinkoff ID пользователи смогут безопасно, быстро и бесшовно авторизовываться без ввода логина и пароля в разных сервисах в рунете и получать любые платные и бесплатные услуги — от покупок до устройства на работу без лишних документов.__

https://www.tinkoff.ru/tinkoff-id/

Минцифры разработало проект ФЗ, по которому ЕБС будет использоваться “для прохода на промышленные оборонные, атомные, ядерные, оружейные, химические предприятия, а также в организации транспортной инфраструктуры, на субъекты критической информационной инфраструктуры, объекты, «совершение террористического акта на территории которых может привести к чрезвычайным ситуациям с опасными социально-экономическими последствиями»”.

Согласитесь, трудно не согласиться с точкой зрения, что “мера в первую очередь нужна, чтобы создать гарантированный спрос на услуги ЕБС”.

Ну, а владельцам объектов КИИ в случае принятия нового ФЗ добавится очередной головной боли в довесок к тем и так непростым вопросам, что уже встали в полный рост.

А вообще, что-то новости про биометрию плотным потоком пошли. К дождю? =)

#КИИ #ЕБС #биометрия

https://www.kommersant.ru/doc/5490936

Исследование «Одноклассников»: 31% пользователей Рунета записывают свои пароли в блокнот или на бумажку

Итоги опроса показали, что практически каждый второй опрошенный (49%) задает в своих паролях номера телефонов, инициалы, даты рождений. Более того, 20% опрошенных устанавливают абсолютно одинаковый пароль для всех сайтов и приложений, а 18% используют два типа паролей: для «важных» – более сложный, для «не очень важных» – несложный типовой, чтобы не забыть. Двухфакторную аутентификацию при авторизации используют только 15% респондентов из всей базы опрошенных. Лишь 21% пользователей следуют рекомендациям по созданию надежного пароля, а 5% соглашаются на «пароль-абракадабру», который предлагают сайты при регистрации.

https://safe.cnews.ru/news/line/2022-05-05_issledovanie_odnoklassnikov

**Применение технологий FIDO для корпоративной беспарольной аутентификации ** __Стандарты безопасной аутентификации FIDO приобретают особую актуальность на фоне роста числа кибератак, осуществляемых через взлом или похищение учётных записей бизнес-пользователей. __

__Парольная защита несёт ряд существенных рисков (слишком простые и повторяющиеся пароли, передача учётных данных, аккаунты временного доступа), минимизировать которые сложно, а в ряде случаев — невозможно. __

__В таких условиях наиболее перспективным способом обеспечения безопасности в сфере аутентификации и доступа будет отказ от использования паролей в пользу более строгих технологий многофакторной аутентификации. __ https://www.anti-malware.ru/practice/methods/FIDO-corporate-authentication-usage

«Росатом» придумал, как распознавать лица без оглядки на закон о защите персональных данных ** **Оператор атомных станций России, входящий в «Росатом», создает систему аутентификации сотрудников по лицу «без обработки биометрической информации». При ее проектировании госкорпорация ориентировалась на технические решения, которые позволят с юридической точки зрения не заниматься обработкой и хранением персональных данных, а значит и не подпадать под регулирующие нормы 152-ФЗ.

https://www.cnews.ru/news/top/2022-07-26_v_rosatome_pridumalikak

И опять про биометрию и ЕБС: банки собрали за прошедшие годы много “биометрии”, но для переноса в ЕБС она плохо подходит. Да ещё и неподходящие образцы банкам по действующим правилам надо удалять.

Видимо, опять будут отсрочки и сдвиги по срокам.

https://www.kommersant.ru/doc/5481148

Статья, автор которой не указан, на портале, владелец которого в сервисе whois скрыт, критикует необдуманное применение биометрии =)

ЕБС тоже упоминается, но из текста явно не следует - относится ли критика и к этой системе либо же в ЕБС всё продумано и “Этого будет достаточно для дистанционного взаимодействия с финансовыми учреждениями — например, открытия счёта, перевода денег на вклад”?

https://safe-surf.ru/users-of/article/680578/.

P.S. На всякий случай:

1. “портал… создан при поддержке Центра реагирования на компьютерные инциденты в информационно-телекоммуникационных сетях органов государственной власти Российской Федерации (GOV-CERT.RU)”
2. GOV-CERT.RU переадресует на cert.gov.ru
3. gov.ru зарегистрирован на Special Communications and Information Service of the Federal Guard Service of the Russian Federation (Spetssvyaz FSO RF).

Так что всё хорошо - советам можно верить =) И критике тоже - она по делу.

КоммерсантЪ сообщает, что “к концу 2022 года доля ноутбуков и клавиатур без раскладки на русском языке вырастет до 10%. Это произойдет из-за параллельного импорта. На этом фоне спрос на сервисы, которые наносят гравировку на клавиатуры, вырос почти в два раза”.

Интересно, вырастет ли спрос на тренажёры для освоения слепой печати? Мой любимый, к слову, вот этот: https://www.keybr.com/ru/index Настоятельно рекомендую.

Говорят, кстати, что в идеале учиться как раз на клавиатуре без подписанных букв - нет соблазна подглядывать =)

Краткость - сестра таланта =) #ПДн

Госдума: Как закон обеспечивает сохранность персональных данных россиян

http://duma.gov.ru/news/55007/

Правовые проблемы использования открытого программного обеспечения (open source) - если коротко, то: “Всё сложно с…”.

https://www.garant.ru/article/1555428/

Гляди в оба: куда уже проникла биометрия и какие у нее перспективы в России

__Современные решения на основе машинного обучения уже умеют идентифицировать пользователей исходя из их поведения в Сети, а с появлением мощного искусственного интеллекта преступник не сможет выдать себя за кого-то другого — например, так, как это сделали двое жителей КНР. Как сообщает The Xinhua Daily Telegraph, они покупали фотографии и личные данные соотечественников на черном рынке, создавали дипфейки, что помогло им манипулировать налоговой информацией и обманывать государственную систему распознавания лиц на десятки миллионов долларов.

Итак, биометрия будет приживаться там, где важна персонализация, уместно самообслуживание и необходима особенная защита. Конечно, при условии того, что текущие пилоты помогут удешевить технологию и упростить ее внедрение — и если, что еще важнее, удастся исключить погрешности, оградиться от злоумышленников и построить разумную систему сдержек и противовесов, чтобы избежать злоупотреблений контролем.__

https://tass.ru/opinions/15206429

Нестандартный способ применения паролей для достижения личных и профессиональных целей, самомотивации, настройки на позитивный лад и изучения стихов.

https://zlonov.ru/password-spell/

Обзор изменений законодательства (по ИБ)** за июнь 2022 от **#УЦСБ

• Документы во исполнение Указа Президента №250
• Концепция информационной безопасности в сфере здравоохранения
• Использование единой биометрической системы
• Отмена платы за использование единой биометрической системы
• Изменения в программах профессиональной переподготовки и повышения квалификации
• Новые условия по защите информации от Банка России
• Защита системы-112
• Продление эксперимента по использованию усиленной электронной подписи
• Изменение в порядок сбора данных абонентов в информационной системе оперативно-розыскных мероприятий
• Защита ПДн в Министерстве просвещения РФ
• Информационная безопасность детей в республике Дагестан

https://www.ussc.ru/news/novosti/obzor-izmeneniy-zakonodatelstva-v-iyune-2022/

Биометрию включат в мобильные приложения банков по распоряжению ЦБ

__ЦБ обяжет банки добавить в мобильные приложения биометрию. Это следует из проекта указания «О критерии для мобильных приложений банков с универсальной лицензией…». Он опубликован на сайте регулятора. Согласно ему, банки смогут выдавать кредиты и открывать вклады через свое приложение только в том случае, если это приложение сможет регистрировать новых клиентов при помощи их данных из Единой биометрической системы.

Документ вступит в силу спустя десять дней после опубликования. Замечания к нему принимаются до 28 июля. Требование не распространяется на банки, которые отключат свое мобильное приложение в течение полугода после публикации документа.__

https://www.bfm.ru/news/504724

#КИИ #импортозамещение

__Президент РФ Владимир Путин поддержал инициативу правительства о запрете использования зарубежного ПО на любых объектах критической информационной инфраструктуры (КИИ), включая негосударственные.

…разрабатываемый Минцифры проект президентского указа должен распространить требования по использования только отечественного ПО на все значимые объекты КИИ, а не только на те, которые принадлежат госорганизациям и госкомпаниям.

Кроме того, предполагается создать единый каталог и провести категорирование всех значимых объектов КИИ. “У нас зачастую возникают ситуации, когда сама компания добровольно, по своему усмотрению относит какие-то важные информационные системы к значимым объектам КИИ, а какие-то нет. Поэтому для каждой отрасли профильное федеральное ведомство совместно с Минцифры, ФСБ и ФСТЭК определят, какие типы информационных систем необходимо отнести к значимым объектам КИИ”, - сказал вице-премьер Дмитрий Чернышенко.__

https://www.interfax-russia.ru/moscow/news/putin-podderzhal-zapret-na-ispolzovanie-zarubezhnogo-po-na-negosudarstvennyh-obektah-kriticheskoy-informacionnoy-infrastruktury

#разминкадляума Федеральная Налоговая Служба подикнула задачку по расшифровке своего письма (что-то с кодировкой). Декодер Лебедева оказался бессилен, пришлось вспомнить азы криптографии =)

ФНС России напоминает, что в соответствии с постановлением Правительства РФ от 29.04.2022 № 776 «Об изменении сроков уплаты страховых взносов в 2022 году» приближающийся срок уплаты страховых взносов, исчисленных с выплат в пользу физических лиц за июнь 2022 года, продлен до 17 июля 2023 года.

Заживём!

На софинансирование импортозамещения цифровых решений выделят 37,1 млрд руб. до 2024 г.

https://www.interfax.ru/russia/851410

Эксперимент с усиленными электронными подписями продлят до конца 2023 года

Минцифры решило продлить проведение эксперимента с использованием в России усиленной электронной подписи. Первоначально его планировалось завершить уже 31 июля 2022 г., такой срок был определен постановлением правительства от 15 июля 2021 г. Из поправок к постановлению, опубликованных на портале regulation.gov.ru 20 июня, следует, что дата окончания эксперимента переносится на 31 декабря‎ 2023 г.

https://www.vedomosti.ru/technology/articles/2022/06/22/928006-eksperiment-elektronnimi-podpisyami

Россияне не дождутся электронных паспортов — проект заморозили из-за «более насущных проблем»

__Минцифры заморозило проект выдачи цифровых паспортов в надежде вернуться к нему позднее, рассказал РИА Новости глава ведомства Максут Шадаев в кулуарах ПМЭФ. __ https://ria.ru/20220617/pasport-1795960800.html

Всемирный день пароля: как цифровая информация обзавелась защитой?

__Каждый первый четверг мая в IT-мире отмечается World Password Day: всемирный день паролей. Его предложил ввести в 2005 году Марк Бернетт как напоминание о важности паролей — и выразил пожелание, чтобы хотя бы в этот день пользователи вспоминали о необходимости их периодически обновлять. По предложению Intel Security, с 2013 года он получил своё место в календаре: в 2022 году он пришёлся на четверг 5-го мая.

Современные компьютерные технологии и Интернет невозможны и не представимы без бесчисленных паролей. А также менеджеров паролей, многоэтапных авторизаций, сложных систем шифрования и прочих подобных радостей. Информация во все века была ценностью, угрозой и оружием. Естественно, в информационную эпоху тотальной цифровизации это стало актуальным, как никогда прежде.__

https://habr.com/ru/company/ruvds/blog/664648/

Когда аутентификацию избавят от паролей?

Технология беспарольной защиты является по сути развитием многофакторной аутентификации без использования пароля. Это освобождает компании от необходимости поддержки защищённых баз данных с паролями и хешами, потребности в средствах контроля прохождения парольной проверки по сети. Достоинство систем беспарольной аутентификации состоит в том, что они не содержат данных, кража которых даёт злоумышленникам возможность взлома корпоративных систем. Стоит также отметить простоту и удобство использования.

https://www.anti-malware.ru/analytics/Technology_Analysis/When-authentication-will-get-rid-of-passwords

Импортозамещение центров сертификации

Все помнят цепочки сертификатов и условия соблюдения доверительных отношений. Сегодня об этом.

https://habr.com/ru/post/663464/

Минцифры и МВД согласовали план запуска сервиса предъявления водительского удостоверения в приложении «Госуслуги Авто»

В планах – обеспечить разработку сервиса до конца 2022 года. В настоящее время Минцифры совместно с МВД активно ведут проектирование сервиса.  Сейчас в «Госуслуги Авто» уже можно предъявлять СТС сотруднику ГИБДД в виде QR-кода. Схожий функционал будет лежать и в основе предъявления электронного водительского удостоверения. Информация о нем будет загружаться из витрины данных ГИБДД в мобильное приложение и предъявляться в виде QR-кода.  Приложение «Госуслуги Авто» работает и офлайн, сохраненное в приложение электронное водительское удостоверение можно будет предъявлять без подключения к интернету.

https://digital.gov.ru/ru/events/41611/

**Клептография и криптовирология ** В современной криптографии широко используются асимметричные алгоритмы шифрования и электронной подписи. Большинство их реализаций имеет зарубежное происхождение и вызывает обоснованные сомнения в надёжности. __ Насколько можно доверять средствам шифрования, призванным защищать вашу приватность и коммерческую тайну? Нет ли в популярных криптографических продуктах скрытых лазеек, оставленных разработчиками в корыстных целях или под давлением спецслужб?__

https://habr.com/ru/post/663126/

В Подмосковье внедрят систему распознавания силуэтов

Власти Московской области и двух других регионов внедряют платформу видеоаналитики NtechLab с возможностью обезличенного распознавания силуэтов. Она уже работает на 200 локациях. Официальная цель — отслеживание загруженности объектов и обеспечение безопасности. В Подмосковье доступ к данным получат сотрудники оперативных служб и адвокаты

https://www.kommersant.ru/doc/5381830

«Лето знаний»: подборка из 1300+ бесплатных образовательных курсов для школьников, в том числе 70 - по информатике https://educont.ru/courses/list