Бортовой журнал

Самодостаточная капча без бутстрапа и БД

Познакомимся с Zero Storage Captcha, которая работает локально (возможно, в виде дополнительного класса в коде приложения), не обязывает хранить информацию на стороне сервера о сгенерированных картинках и в тот же момент позволяет проверить ответ любого пользователя со стопроцентной вероятностью.

https://habr.com/ru/post/662682/

Решил опубликовать, пока в этом есть смысл ;)

Три шпионские фишки iOS: https://zlonov.ru/ios-spy-hints/

В России создали комплекс скрытого досмотра, который оценивает опасность людей для окружающих

• Мы пошли намного дальше функции идентификации людей. Мы разработали инструменты профайлинга людей, исходя из их сетевой активности на платформах TikTok, YouTube, ВКонтакте, Яндекса и других сервисов. Система позволит создать профиль человека и оценить степень угрозы для людей по совокупности характерных признаков во время прохода через комплекс досмотра.

https://n.tass.ru/armiya-i-opk/14719059

ГНИИИ ПТЗИ ФСТЭК России: Два иностранных разработчика ПО АСУ ТП отказались взаимодействовать по вопросу устранения уязвимостей, что даёт нам право на открытую публикацию выявленных в их продуктах уязвимостей.

Huawei выпустила дверной замок с искусственным интеллектом

Компания Huawei выпустила дверной замок с искусственным интеллектом Smart Door Lock Pro на базе операционной системы HarmonyOS. Топовая версия аксессуара оснащена встроенной камерой от смартфона Huawei P50 Pro, которая позволяет использовать технологию 3D-распознавания лиц с углом обзора 150 градусов. Замок имеет экран с диагональю 3,97 дюйма, который можно использовать в качестве дверного глазка. Фирменная операционная система HarmonyOS делает возможной интеграцию замка в систему «умного» дома. Помимо распознавания лиц, Huawei Smart Door Lock Pro оснащен физической личинкой замка для ключа, опциями открытия со смартфона и «умных» часов через NFC-карту или пароль. Встроенный аккумулятор 8800 мА•ч обеспечивает до полугода работы без подзарядки. В Китае новый дверной замок будет стоить около $580, а упрощенная версия Huawei Smart Door Lock обойдется примерно в $390.

https://www.kommersant.ru/doc/5316653

На что необходимо обратить внимание при внедрении IAM-системы

Система централизованной аутентификации на базе IAM-решений является критической системой в ИТ-ландшафте множества компаний. Любой сбой в её работе может привести к тому, что множество бизнес-приложений окажутся недоступными для пользователей. Однако выгоды, которые можно получить в результате, перевешивают эти риски. Потому не стоит бояться внедрять их у себя в компании. На рынке достаточно достойных IAM-решений, и к текущему моменту уже накоплена практика их внедрения.

https://www.anti-malware.ru/analytics/Technology_Analysis/What-to-pay-attention-to-implementing-an-IAM

МТС обслужит по лицу // Оператор запустил свой биометрический сервис

Клиенты МТС смогут получить услуги в салонах оператора без предъявления паспорта, если сдадут биометрию в систему компании. Оператор рассчитывает, что так сможет удаленно обслуживать клиентов из любой точки мира. Но конкуренты пока не разделяют оптимизм: в «МегаФоне», например, считают услугу не слишком востребованной, а издержки — слишком высокими. В перспективе, чтобы развивать коммерческие биометрические системы, потребуется аккредитация Минцифры, поэтому интерес к технологии дополнительно снизится, считают эксперты.

https://www.kommersant.ru/doc/5306266

Умный сейф с одноразовым паролем

В этом проекте я поэтапно расскажу о создании умного сейфа с одноразовым паролем на основе времени (TOTP). Если коротко, то TOTP — это метод генерации 6-циферного пароля на основе текущей даты и времени с использованием предопределённого ключа. То есть, пока сейф будет иметь возможность отслеживать время, я смогу использовать приложение Authenticator для получения нового пароля каждые 30 секунд.

https://habr.com/ru/company/ruvds/blog/657029/

Найден способ кражи логинов и паролей, от которого нет спасения ** **На GitHub опубликованы шаблоны для проведения атаки «Браузер-в-браузере», которая позволяет выводить убедительно выглядящие окна для перехвата реквизитов доступа. Атаки тем самым чрезвычайно упростились, а отбиться от них весьма сложно.

https://safe.cnews.ru/news/top/2022-03-23_najden_sposob_krazhi_loginov

Распарсил реестр ФСТЭК России для формирования списка приостановленных и прекращённых сертификатов

https://zlonov.com/catalog/suspended-and-terminated-certificates/

Разъяснения к Указу Президента о запрете зарубежного ПО в КИИ (№ 166 от 30.03.2022)

https://www.anti-malware.ru/analytics/Technology_Analysis/Foreign-soft-ban-for-critical-infrastructure

**Как удобно и выгодно применять биометрическую аутентификацию в корпоративной среде ** Зачем организациям нужна биометрия, если можно обойтись другими методами аутентификации? Каковы преимущества и недостатки применения биометрии? Как убедить сотрудников в безопасности биометрии, а также минимизировать риски компрометации системы и утечки биометрических идентификаторов?

https://www.anti-malware.ru/analytics/Technology_Analysis/Corporate-Biometric-Authentication

ФСТЭК России приостановила действие 56 сертификатов соответствия, включая сертификаты Microsoft, Cisco, Red Hat, SUSE Linux, VMware, FortiGate, eToken, SAP, Veeam, Skybox, CyberArk, Oracle.

https://zlonov.com/suspended-certificates

Записи докладов с ИБ АСУ ТП КВО 2022 https://www.youtube.com/playlist?list=PLqiPKwD9Agv6B7k-AlGK88IufmDdqdaLk

+Accenture, Akamai, Deloitte, Elastic, EY, Intuit (Mailchimp), Juniper, KPMG, NETSCOUT (Arbor), Norton, PwC, VMware

https://zlonov.com/vendors-official-announcements

+Honeywell, Percona, Nozomi Networks, Salesforce (?Slack) https://zlonov.com/vendors-official-announcements __ Дополнительные ссылки: - Список российских альтернатив популярным сервисам __ - Список компаний, которые ввели ограничения или покинули российский рынок

Один из иностранных производителей ИБ решений: «…we do not have a presence in or do business with Russia. If we had a presence in Russia, we would most certainly have ceased operations.»

Оригинально, в духе нетленного - «если бы у рыбы была шерсть…»

• Cloudflare, Docker, ESET, Epson, Hitachi, Logitech, MikroTik, Nokia, SUSE https://zlonov.com/vendors-official-announcements

Официальные уведомления ИТ, ИБ и АСУ ТП производителей по поводу их работы в России: https://zlonov.com/vendors-official-announcements

Действие сертификата соответствия приостановлено:

• система комплексного управления безопасностью «КУБ»
• программный комплекс DeviceLock 8 DLP Suite
• Программа защиты информации от несанкционированного доступа ARMlock
• средство защиты информации Secret Net Studio — C
• программно-аппаратный комплекс Коммутатор Huawei серии S5720»
• программно-аппаратный комплекс «Маршрутизатор Huawei серии NE20E»
• программно-аппаратный комплекс «Коммутатор Huawei серии S12700»
• программно-аппаратные комплексы «Маршрутизаторы Huawei серии AR3200, серии AR2200, серии AR1200»
• программное обеспечение «Symantec Endpoint Protection» (версия 14)
• программное обеспечение «Программный комплекс «Huawei Fusion Access» версии 6.Х»
• межсетевой экран серии Huawei (модели: USG6320 (Eudemon200E-N1D), USG6330 (Eudemon200E-N1), USG6350 (Eudemon200E-N2), USG6360, USG6370 (Eudemon200E-N3), USG6380, USG6390 (Eudemon200E-N5), USG6620 (Eudemon1000E-N3), USG6630 (Eudemon1000E-N5), USG6650, USG6660 (Eudemon1000E-N6), USG6670 Eudemon1000E-N7), USG6680 (Eudemon1000E-N7E), USG9560 (Eudemon8000E-X8), USG9580 (Eudemon8000E-X16)) версии V500
• программно-аппаратный комплекс ViPNet xFirewall 4
• программное обеспечение OpenText Documentum 16.4
• средство защиты информации «Secret Net LSP - C»
• программное обеспечение IBM «Maximo 7»
• программное обеспечение «ESET NOD32 Secure Enterprise Pack» (версия 6)
• система корпоративного мобильного рабочего места WorksPad
• программное обеспечение «Trend Micro Deep Security 10»

АО «РАСУ» и ООО «УЦСБ» на паритетной основе создали совместное предприятие по разработке комплексных решений в сфере обеспечения информационной безопасности автоматизированных систем управления

https://rasu.ru/press-relizes?pressRelease=1188

Visa и MasterCard, выпущенные российскими банками, вот-вот прекратят приниматься зарубежными площадками. Самое время пересмотреть используемые онлайн-сервисы с подписками:

• перейти на российские (https://360.yandex.ru, https://cloud.mail.ru/),
• выгрузить все свои данные локально (https://support.google.com/accounts/answer/3024190?hl=ru, https://re-store.ru/blog/instruktsii/kak-skachat-vse-dannye-iz-svoego-icloud/),
• заменить помесячную подписку годовой и сразу оплатить её (https://github.com/pricing),
• поискать альтернативные варианты оплаты (https://media.mts.ru/internet/199681-mobilnyj-schyot-mts-kak-istochnik-oplaty/),
• пополнить счёт заранеее (https://support.apple.com/ru-ru/HT208687).

Публикации о текущей ситуации, рекомендуемые(?) ФСТЭК России:

• Комсомольская правда: “России приходится защищать свое будущее”
• NEWSNN.RU: “Мир пост-фейков”
• rostovgazeta.ru: “Тысяча и одна санкция”

Источник: https://fstec.ru/127-lenta-novostej/2348-novosti-svyazannye-s-izmeneniem-voenno-politicheskoj-obstanovki-v-ukraine

Acronis прекращает работу в России https://www.acronis.com/en-us/blog/posts/acronis-suspends-all-operations-in-russia/

«Киберпротект» сообщает, что продолжает работу в обычном режиме https://cyberprotect.ru/news/cyberwork

Представитель ФСТЭК России, отвечая на вопрос из зала на ИБ АСУ ТВ КВО, отметил, что по имеющейся по состоянию на сегодняшнее утро информации у решений FortiGate американской компании Fortinet нет действующих сертификатов. На сайте ФСТЭК России в реестре они, тем не менее, пока присутствуют https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00