Бортовой журнал
Заметки, мысли и сообщения из соцсервисов
Всего: 2361
Агентство по кибербезопасности и защите инфраструктуры (CISA) опубликовало список бесплатных услуг и инструментов по кибербезопасности: https://www.cisa.gov/free-cybersecurity-services-and-tools
ScanOVAL включить забыли =) https://bdu.fstec.ru/site/scanoval
Опубликовал свежий срез сертифицированных IPS по состоянию на сегодняшний день https://zlonov.com/newest-fstec-ips
Forwarded from Аутентификация, биометрия, электронная подпись
CSI CISCO PASSWORD TYPES BEST PRACTICES 20220217.PDF
Агентство национальной безопасности (АНБ) опубликовало руководство с рекомендациями по защите устройств сетевой инфраструктуры и их учётных данных: «Типы паролей Cisco: лучшие практики».
CSI CISCO PASSWORD TYPES BEST PRACTICES 20220217.PDF
Агентство национальной безопасности (АНБ) опубликовало руководство с рекомендациями по защите устройств сетевой инфраструктуры и их учётных данных: «Типы паролей Cisco: лучшие практики».
ИИ-сервис для силовиков ищет деньги, чтобы научиться распознавать абсолютно всех жителей Земли
Крупный американский поставщик ИИ-технологий распознавания лиц с неоднозначной репутацией Clearview AI ищет инвесторов. Фирма приобрела дурную славу, беззастенчиво собирая фотографии людей в социальных сетях и поисковых системах для обучения собственных нейросетей. Теперь компании нужны $50 млн на развитие технологий, лоббирование, международную экспансию, а также наполнение базы снимков лиц – в идеале, чтобы иметь возможность идентифицировать любого жителя Земли.
https://safe.cnews.ru/news/top/2022-02-17_skandalno_izvestnyj_servis
Объявлены два высокобюджетных конкурса ФСТЭК России:
-** Инфраструктура исследования **на 360 млн руб (https://zakupki.gov.ru/epz/order/notice/ok20/view/documents.html?regNumber=0173100005922000001)
- Унифицированная среда на 510 млн руб (https://zakupki.gov.ru/epz/order/notice/ok20/view/documents.html?regNumber=0173100005922000002)
Первый - про «Создание инфраструктуры для систематического** исследования безопасности** критичных компонентов, составляющих основу российских дистрибутивов операционных систем и иных программных средств», второй - «Разработка унифицированной среды разработки безопасного отечественного программного обеспечения».
На каждый - не менее 6 претендентов (если ориентироваться на предложения, поданные для определения максимальной цены контракта).
Ссылка на сегодняшнюю трансляцию конференции Актуальные вопросы защиты информации с участием представителей ФСТЭК России https://events.webinar.ru/26288589/10429919
DLP-система «Сёрчинформ КИБ» научилась распознавать пользователей по лицам и детектировать попытки фотографирования экрана ПК
__В новом релизе DLP-системы «Сёрчинформ КИБ» появилась функциональность, которая позволяет детектировать попытки сфотографировать экран и распознавать пользователей по лицам. Система на основе контрольных снимков с веб-камеры определяет, что пользователь навел на монитор смартфон с камерой. Модуль DLP-системы Monitorcontroller собирает информацию об открытых сайтах и процессах, активных в момент съемки, поэтому при необходимости можно увидеть всю информацию о действиях сотрудника, которые произошли за время сбора данных. Благодаря другому обновлению – функции распознавания лиц, система идентифицирует, кто в момент потенциального нарушения находился за экраном компьютера. __ https://safe.cnews.ru/news/line/2022-02-15_dlp-sistema_serchinform_kib
Войти в электронную медкарту москвича теперь можно по отпечатку пальца и Face ID
В мобильном приложении системы здравоохранения Москвы «ЕМИАС.ИНФО» теперь можно авторизоваться с помощью короткого кода, отпечатка пальца или Face ID. Ранее вход был возможен только с помощью кода из СМС.
https://www.kommersant.ru/doc/5206642
Apple планировала установить Face ID в iMac 24
Марк Гурман из Bloomberg сообщает, что Apple планировала установить систему распознавания лиц Face ID в iMac 24. Впервые Face ID должен был появиться в iMac из-за толщины корпуса: текущие размеры системы не позволяют установить её в тонкие дисплеи ноутбуков.
https://wylsa.com/apple-planirovala-ustanovit-face-id-v-imac-24/
А это правда, что на ИБ мероприятиях до сих пор выступают не те, кому есть, что рассказать по теме мероприятия, а те, у кого есть деньги, чтобы заплатить за участие? =)
Microsoft: Только 22% корпоративных клиентов используют MFA
Microsoft уже несколько лет пытается объяснить пользователям и организациям, что многофакторная аутентификация (MFA) в современных реалиях — уже необходимость, а не просто дополнительный слой защиты аккаунтов. Тем не менее далеко не все клиенты Azure Active Directory (AD) прибегают к MFA, согласно статистике корпорации.
https://www.anti-malware.ru/news/2022-02-07-111332/38125
Полезная и довольно-таки глубокая интеграция:
Со стороны CL DATAPK реализована интеграция в части приема и нормализации событий от СКДПУ, что позволяет на текущий момент: выявлять подключения к устройствам, выполняемые в обход СКДПУ, фиксировать в CL DATAPK обнаруженные СКДПУ (попытки выполнения запрещенных команд, запуски запрещенных приложений, попытки установки запрещенных удаленных подключений в рамках разрешенных удаленных подключений через СКДПУ). Помимо этого, в рамках расширения интеграции планируется проработать вопрос по контролю конфигурации СКДПУ с помощью CL DATAPK
https://safe.cnews.ru/news/line/2022-02-07_ajti_bastion_i_sajberlimfa
Нейросети могут быть опасными: сгенерированные лица и синтезированные голоса все более реалистичны
Т__ехнология машинного обучения, нейросети - все это стало уже давно привычным во многих отраслях науки, технологий, медицины и других сфер. В том, что они могут быть очень полезными, нет никаких сомнений. Но есть и обратная сторона медали - использование возможностей современных технологий для обмана.__ __ Если раньше киберпреступники массово рассылали фишинговые письма, то сейчас уже известны случаи, когда они же пытаются подделать голос руководителя компании для достижения своих целей. Мы уже писали о трендах в киберзащите, связанных с искусственным интеллектом, и проблема фейковых голосов и лиц - одна из них.__
https://habr.com/ru/post/649569
BioSmart и VisionLabs представили отечественное решение для контроля доступа на базе ИИ
Интеграция BioSmart Quasar с LUNA PLATFORM обеспечивает бесконтактный способ прохода через турникет по биометрии лица. Достаточно посмотреть в камеру – распознавание занимает доли секунды. Высокочувствительная оптическая система BioSmart Quasar, состоящая из RGB и 3D-камер, а также камеры глубины, выполняет детекцию лица и проверку на liveness, а нейросети LUNA PLATFORM извлекают из изображения биометрический шаблон и сравнивают его с существующей базой данных. Если они совпадают – проход будет разрешен.
https://safe.cnews.ru/news/line/2022-02-02_biosmart_i_visionlabs_predstavili
«Авито» стал первым сервисом, реализовавшим верификацию аккаунта через «Госуслуги» с помощью приложения «Госключ»
Верификация через «Госуслуги» с помощью приложения «Госключ» — это первый шаг в эксперименте Минцифры России по подключению агрегаторов товаров и услуг в интернете к Единой системе идентификации и аутентификации портала «Госуслуги». Всего в пилотном проекте участвует 10 компаний, ответственных за работу 12 сайтов и приложений.
https://safe.cnews.ru/news/line/2022-02-02_avito_stal_pervym_servisom
Натуральный шелк способен повысить надежность аутентификации и шифрования
Исследование, проведенное в Институте наук и технологий Кванджу, Южная Корея, показало, что натуральный шелк можно использовать для создания устойчивых к взлому цифровых систем безопасности. Уникальность генерируемых ключей достигается за счет непредсказуемого изменения интенсивности света, проходящего сквозь слой неупорядоченных природных волокон.
https://www.anti-malware.ru/news/2022-01-31-114534/38091
DrawnApart — новая техника снятия отпечатков пользователей с помощью GPU
Команда экспертов из университетов Франции, Израиля и Австралии показали интересный метод создания уникальных цифровых отпечатков пользователей Сети и веб-отслеживания. Для этого исследователи задействовали графические процессоры самих объектов слежки (GPU).
https://www.anti-malware.ru/news/2022-01-31-111332/38082
Сложный банковский 2FA-троян в Google Play заразил 10 000 Android-устройств
В официальном магазине приложений Google Play Store более двух недель распространялся банковский троян, замаскированный под софт для двухфакторной аутентификации. Это приложение успели скачать более 10 тыс. пользователей.
https://www.anti-malware.ru/news/2022-01-28-111332/38074
Samsung анонсировала сканер отпечатков пальцев для платёжных карт
__Компания Samsung представила технологию защиты банковских карт и пропусков — в «пластик» добавили сканер отпечатков пальцев.
На одном чипе разместили дактилоскопический сенсор, процессор и модуль безопасности. Как будет осуществляться питание устройства, неизвестно. Вероятно, для работы сканера будет достаточно энергии, передаваемой NFC.__
https://wylsa.com/samsung-anonsirovala-skaner-otpechatkov-palczev-dlya-platyozhnyh-kart/
DLBI назвал самые популярные пароли у интернет-пользователей
В традиционный топ самых популярных кириллических паролей вошли: йцукен, пароль, любовь (поднявшаяся с 4 места), привет (в прошлом году занимавший 5 место), наташа (перешедший с 6 места), максим (упавший с 7 места), марина (поднявшаяся с 9 позиции), люблю, андрей (занимавший 10 место) и кристина.
https://safe.cnews.ru/news/line/2022-01-21_dlbi_nazval_samye_populyarnye
Не паролем единым. Как защищать данные в современных организациях
__Начните с малого — расскажите сотрудникам о современных подходах к информационной безопасности и средствах защиты информации, откажитесь от публичных облаков и организуйте частное облако в подконтрольной инфраструктуре. Такое облако может быть в собственности, управлении и обслуживании у самой организации либо у доверенной стороны, а также может располагаться как на территории предприятия, так и за его пределами.
Следующим шагом, который приведет к повышению компьютерной грамотности персонала и, как следствие, к снижению рисков утечки данных, станет переход на использование прикладного программного обеспечения с поддержкой квалифицированной электронной подписи, уровень криптографической стойкости которой находится принципиально на другом уровне.__
https://habr.com/ru/post/599913/
Альтернатива сложным комбинациям: оценили надежность и удобство эмодзи-паролей
Идея использовать эмодзи в качестве паролей не лишена привлекательности, и в ней есть рациональное зерно. Так, например, техногигант Apple и некоторые производители сетевого оборудования ее уже воплотили. Если тоже захотите реализовать эту возможность, имейте в виду, что проект будет неизбежно сопряжен с трудностями технического характера. Если (читайте: когда) что-то пойдет не так, специалистам по кибербезопасности и разработчикам не хватит ромашкового чая 🌼🍵, чтобы успокоить нервы и разрешить проблемы. А еще эти пользователи… они умудряются испортить любую хорошую идею!
https://habr.com/ru/post/646161/
На фоне новости о том, что Twitter начал исполнять закон «о приземлении», возросла посещаемость вот этого моего давнего поста: https://zlonov.com/howto-remove-all-tweets Хотя, может, просто совпадение =)
Японцы придумали систему оплаты, которая распознаёт лица в масках
Японская компания Glory запустила тестирование системы бесконтактной оплаты, которая способна распознавать лица людей в защитных масках. Сейчас BioPay работает в десяти магазинах и ресторанах города Ниигата. Для регистрации необходимо загрузить фотографию лица и привязать банковскую карту на сайте Glory.
https://wylsa.com/yaponczy-pridumali-sistemu-oplaty-kotoraya-raspoznayot-licza-v-maskah/
layering-network-security-segmentation infographic 508 0.pdf
CISA опубликовало инфографику, чтобы подчеркнуть важность сегментации сети.
**Преимущества сегментации между ИТ и ОТ сетями: **• Сегментированные зоны изолируют и защищают ценные активы и данные. • Вредоносный трафик легче обнаружить, предотвратить и сдержать. • Злоумышленники должны преодолеть несколько межсетевых экранов и других рубежей для доступа к среде OT.
И молвил ИИ человеческим голосом // Как сейчас применяются технологии клонирования голоса
Индустрия синтеза голоса и речи быстро растет и развивается, и ее объемы уже превышают $1 млрд. Широкие возможности применения таких технологий очевидны: голосовые помощники, говорящие роботы, радио- и телепрограммы, озвучивание книг и фильмов голосами известных людей, восстановление голосов тех, кто умер или лишился возможности говорить и т. п. В последние два года в условиях пандемии разработки в этой области заметно активизировались.
https://www.kommersant.ru/doc/5180128
На «Госуслугах» появится возможность входа в личный кабинет по биометрии
Минцифры заключило контракт с «Ростелекомом» (оператор «Единой биометрической системы») на интеграцию единой системы идентификации и аутентификации госуслуг с «Единой биометрической системой». Согласно техзаданию, войти на портал можно будет с помощью биометрии. Через приложение госуслуг Минцифры планирует собирать биометрические данные лица, а также голоса. Стоимость контракта — 1,2 млрд руб., работа должна быть выполнена к 5 декабря 2022 г.
https://www.vedomosti.ru/technology/news/2022/01/18/905198-ogranichit-ne-sdavshih-biometriyu
“Режиссёрская версия” статьи про SOC для АСУ ТП https://zlonov.com/SOC-for-ICS
Эксперты разработали систему для решения CAPTCHA на сайтах дарквеба
__Команда исследователей из университетов Аризоны, Джорджии и Флориды представили основанную на машинном обучении систему для решения тестов CAPTCHA. По словам экспертов, их разработка способна обойти 94,4% CAPTCHA на сайтах в дарквебе.
Авторы солвера выложили его на GitHub, поэтому существует риск использования новой системы и в киберпреступных целях.__
https://www.anti-malware.ru/news/2022-01-17-111332/37968
Тернистый путь внедрения аутентификации через соцсети https://habr.com/ru/company/ru_mts/blog/645439/
Владельцы иностранных информационных ресурсов с суточной аудиторией более полумиллиона российских пользователей обязаны создать в РФ филиал, представительство или уполномоченное юрлицо, зарегистрировать личный кабинет на сайте Роскомнадзора, а также разместить на своем ресурсе электронную форму для обратной связи с российскими гражданами или организациями. __ В первую очередь закон коснется Facebook, Instagram, Twitter, TikTok, Google, YouTube, WhatsApp, Viber, Telegram, World of Tanks.__
Новость: http://duma.gov.ru/news/53199/ Сам закон: http://publication.pravo.gov.ru/Document/View/0001202107010014
Сервис Have I Been Pwned добавил 441 000 аккаунтов, украденных RedLine
Знаменитый сервис Have I Been Pwned, собирающий информацию об утечках и позволяющий проверить свои данные на предмет компрометации, добавил 441 000 аккаунтов в свою базу. Эти учётные записи объединяет одно: все они были украдены в ходе кампаний операторов вредоноса RedLine.
https://www.anti-malware.ru/news/2022-01-01-1447/37897
**Two steps from domain admins ** __Для большинства внутренних сетей самых разных компаний компрометация домена по причине злоупотребления привилегированными доменными учетными записями, пожалуй, самая распространенная. Иными словами, висящие налево и направо сессии доменного админа сильно упрощают работу потенциального нарушителя. Ведь как только один такой сервер или рабочая станция будет скомпрометирован до компрометации домена, а значит и всей внутренней инфраструктуры, останется лишь шаг. И именно об этом последнем шаге мы и поговорим.
На самом деле нам не так уж и нужен пароль администратора домена, и в каждом из перечисленных ниже способов мы захватим контроллер домена без пароля.__
https://habr.com/ru/post/598847/
**Законодательные нововведения под бой курантов **
- Перенесён срок начала ввода в эксплуатацию государственной автоматизированной системы правовой статистики
- Изменён порядок применения электронных документов в судопроизводстве
- Генпрокурор получил возможность ограничивать доступ во внесудебном порядке, а ЕБС становится ГИС
- Подписан закон об осуществлении идентификации лиц, посещающих официальные спортивные мероприятия
- Введены дополнительные обязательства для операторов связи
- В закон об образовании внесены изменения в части, касающейся электронного обучения
- Установлена административная ответственность оператора связи за неисполнение обязанностей, предусмотренных законодательством в области связи
https://zlonov.com/legislation-under-chimes-2022
Искусство читать нормативку. О биометрии для идентификации и аутентификации
http://emeliyannikov.blogspot.com/2022/01/blog-post.html
Обновлённая подборка чатов и каналов по информационной безопасности в Telegram в 2022 году: https://zlonov.com/telegram-security-list-2022
Вредонос RedLine напомнил всем: нельзя сохранять пароли в браузерах
Вредоносная программа RedLine стала очередным напоминанием пользователям о том, что хранить пароли в браузерах нельзя ни при каких обстоятельствах. Как отметили эксперты по кибербезопасности, этот зловред крадёт учётные данные из Google Chrome, Microsoft Edge и Opera.
https://www.anti-malware.ru/news/2021-12-29-111332/37878
**Мастер-пароли пользователей LastPass могли быть скомпрометированы ** __Пользователи менеджера паролей LastPass сообщают о попытках компрометации их мастер-паролей. Людям приходят соответствующие электронные письма, в которых говорится о попытках входа из неизвестного местоположения. __
Также в письмах сервис оповещал пользователей о блокировке попыток аутентификации, поскольку использовалась новая геолокация, ранее неизвестная LastPass. С помощью электронной почты пользователь мог либо подтвердить вход, либо отклонить.
https://www.anti-malware.ru/news/2021-12-29-111332/37877
Приближается пора всем нам проводить уходящий год, а мне - по традиции озвучить хит-парад публикаций на своём сайте: https://zlonov.com/2021-tops
Для подтверждения личности пройдитесь: аутентификация по походке
__Ученые из университета Плимута (Великобритания) предложили интересную идею: если походка человека так индивидуальна, как и его лицо или отпечатки пальцев, то ее можно использовать для верификации его личности на смартфонах. Насколько сильны отличия между походками, как смартфоны собирали о них данные, и насколько безопасна система верификации на базе походки? Ответы на эти опросы - в докладе ученых. __
https://habr.com/ru/post/595415/
Какие законы вступают в силу в январе:
- Отказ от идентификации по биометрии
- Электронный документооборот в сфере трудовых отношений
- Дистанционное открытие счета
- Электронный документооборот в сфере автомобильных перевозок
- «Приземление» IT-гигантов
- Единый регистр сведений о населении и многое другое.
http://duma.gov.ru/news/53137/
Как выбрать метод аутентификации пользователей в СУБД
Как грамотно выбрать надёжный метод аутентификации для пользователей в системе управления базами данных (СУБД), опираясь на такие критерии, как сложность и цена реализации, а также уровень безопасности? Как расширение и графический веб-интерфейс могут упростить работу? Рассмотрим на примере отечественной СУБД Jatoba.
https://www.anti-malware.ru/analytics/Technology_Analysis/How-to-choose-DBMS-authentication-method
Жители трех пилотных регионов смогут оформить первые цифровые паспорта
Правительство России с 2023 года начнет внедрять цифровой паспорт. Первыми пилотными регионами, жителям которых станет доступна такая опция, станут Москва, Московская область (Подмосковье) и Татарстан. Об этом в интервью РИА Новости сообщил вице-премьер Дмитрий Чернышенко.
https://lenta.ru/news/2021/12/27/epassport/
Единственный и бессменный админ-пароль — частая причина заражения сети
__Анализ внутренних систем компаний, пораженных шифровальщиком, показал, что взломщики использовали доступ по RDP с локальными правами администратора. Исследователи из AhnLab также отметили, что во всех случаях пароль был одинаков и не менялся последние год или дв__а.
https://www.anti-malware.ru/news/2021-12-20-114534/37787
**От 1FA к Zero-Trust через рынок ИБ ** В данной статье автором осуществляется фундаментальный обзор актуальных на сегодняшний день алгоритмов аутентификации пользователей, а также производится разбор и оценка возможности их применимости в контексте инфраструктурного подхода Нулевого Доверия (англ. Zero-Trust).
https://habr.com/ru/post/594067/