Бортовой журнал

И молвил ИИ человеческим голосом // Как сейчас применяются технологии клонирования голоса

Индустрия синтеза голоса и речи быстро растет и развивается, и ее объемы уже превышают $1 млрд. Широкие возможности применения таких технологий очевидны: голосовые помощники, говорящие роботы, радио- и телепрограммы, озвучивание книг и фильмов голосами известных людей, восстановление голосов тех, кто умер или лишился возможности говорить и т. п. В последние два года в условиях пандемии разработки в этой области заметно активизировались.

https://www.kommersant.ru/doc/5180128

На «Госуслугах» появится возможность входа в личный кабинет по биометрии

Минцифры заключило контракт с «Ростелекомом» (оператор «Единой биометрической системы») на интеграцию единой системы идентификации и аутентификации госуслуг с «Единой биометрической системой». Согласно техзаданию, войти на портал можно будет с помощью биометрии. Через приложение госуслуг Минцифры планирует собирать биометрические данные лица, а также голоса. Стоимость контракта — 1,2 млрд руб., работа должна быть выполнена к 5 декабря 2022 г.

https://www.vedomosti.ru/technology/news/2022/01/18/905198-ogranichit-ne-sdavshih-biometriyu

“Режиссёрская версия” статьи про SOC для АСУ ТП https://zlonov.com/SOC-for-ICS

Эксперты разработали систему для решения CAPTCHA на сайтах дарквеба

__Команда исследователей из университетов Аризоны, Джорджии и Флориды представили основанную на машинном обучении систему для решения тестов CAPTCHA. По словам экспертов, их разработка способна обойти 94,4% CAPTCHA на сайтах в дарквебе.

Авторы солвера выложили его на GitHub, поэтому существует риск использования новой системы и в киберпреступных целях.__

https://www.anti-malware.ru/news/2022-01-17-111332/37968

Тернистый путь внедрения аутентификации через соцсети https://habr.com/ru/company/ru_mts/blog/645439/

Сервис Have I Been Pwned добавил 441 000 аккаунтов, украденных RedLine

Знаменитый сервис Have I Been Pwned, собирающий информацию об утечках и позволяющий проверить свои данные на предмет компрометации, добавил 441 000 аккаунтов в свою базу. Эти учётные записи объединяет одно: все они были украдены в ходе кампаний операторов вредоноса RedLine.

https://www.anti-malware.ru/news/2022-01-01-1447/37897

**Two steps from domain admins ** __Для большинства внутренних сетей самых разных компаний компрометация домена по причине злоупотребления привилегированными доменными учетными записями, пожалуй, самая распространенная. Иными словами, висящие налево и направо сессии доменного админа сильно упрощают работу потенциального нарушителя. Ведь как только один такой сервер или рабочая станция будет скомпрометирован до компрометации домена, а значит и всей внутренней инфраструктуры, останется лишь шаг. И именно об этом последнем шаге мы и поговорим.

На самом деле нам не так уж и нужен пароль администратора домена, и в каждом из перечисленных ниже способов мы захватим контроллер домена без пароля.__

https://habr.com/ru/post/598847/

Искусство читать нормативку. О биометрии для идентификации и аутентификации

http://emeliyannikov.blogspot.com/2022/01/blog-post.html

Вредонос RedLine напомнил всем: нельзя сохранять пароли в браузерах

Вредоносная программа RedLine стала очередным напоминанием пользователям о том, что хранить пароли в браузерах нельзя ни при каких обстоятельствах. Как отметили эксперты по кибербезопасности, этот зловред крадёт учётные данные из Google Chrome, Microsoft Edge и Opera.

https://www.anti-malware.ru/news/2021-12-29-111332/37878

**Мастер-пароли пользователей LastPass могли быть скомпрометированы ** __Пользователи менеджера паролей LastPass сообщают о попытках компрометации их мастер-паролей. Людям приходят соответствующие электронные письма, в которых говорится о попытках входа из неизвестного местоположения. __

Также в письмах сервис оповещал пользователей о блокировке попыток аутентификации, поскольку использовалась новая геолокация, ранее неизвестная LastPass. С помощью электронной почты пользователь мог либо подтвердить вход, либо отклонить.

https://www.anti-malware.ru/news/2021-12-29-111332/37877

Для подтверждения личности пройдитесь: аутентификация по походке

__Ученые из университета Плимута (Великобритания) предложили интересную идею: если походка человека так индивидуальна, как и его лицо или отпечатки пальцев, то ее можно использовать для верификации его личности на смартфонах. Насколько сильны отличия между походками, как смартфоны собирали о них данные, и насколько безопасна система верификации на базе походки? Ответы на эти опросы - в докладе ученых. __

https://habr.com/ru/post/595415/

Какие законы вступают в силу в январе:

• Отказ от идентификации по биометрии
• Электронный документооборот в сфере трудовых отношений
• Дистанционное открытие счета
• Электронный документооборот в сфере автомобильных перевозок
• «Приземление» IT-гигантов
• Единый регистр сведений о населении и многое другое.

http://duma.gov.ru/news/53137/

Как выбрать метод аутентификации пользователей в СУБД

Как грамотно выбрать надёжный метод аутентификации для пользователей в системе управления базами данных (СУБД), опираясь на такие критерии, как сложность и цена реализации, а также уровень безопасности? Как расширение и графический веб-интерфейс могут упростить работу? Рассмотрим на примере отечественной СУБД Jatoba.

https://www.anti-malware.ru/analytics/Technology_Analysis/How-to-choose-DBMS-authentication-method

Жители трех пилотных регионов смогут оформить первые цифровые паспорта

Правительство России с 2023 года начнет внедрять цифровой паспорт. Первыми пилотными регионами, жителям которых станет доступна такая опция, станут Москва, Московская область (Подмосковье) и Татарстан. Об этом в интервью РИА Новости сообщил вице-премьер Дмитрий Чернышенко.

https://lenta.ru/news/2021/12/27/epassport/

Единственный и бессменный админ-пароль — частая причина заражения сети

__Анализ внутренних систем компаний, пораженных шифровальщиком, показал, что взломщики использовали доступ по RDP с локальными правами администратора. Исследователи из AhnLab также отметили, что во всех случаях пароль был одинаков и не менялся последние год или дв__а.

https://www.anti-malware.ru/news/2021-12-20-114534/37787

**От 1FA к Zero-Trust через рынок ИБ ** В данной статье автором осуществляется фундаментальный обзор актуальных на сегодняшний день алгоритмов аутентификации пользователей, а также производится разбор и оценка возможности их применимости в контексте инфраструктурного подхода Нулевого Доверия (англ. Zero-Trust).

https://habr.com/ru/post/594067/

Какой Identity-провайдер выбрать для реализации технологии Single Sign On

В статье сравниваются популярные инструменты аутентификации и авторизации, которые упростят работу с технологией единого входа — Single Sign On. Собранный материал будет полезен для новичков и специалистов с опытом. Статья ориентирована в основном на .NET-разработчиков, но есть здесь инсайты и для работающих с Java и JavaScript.

https://habr.com/ru/post/595997/

Мошенники в России научились обходить СМС-коды банка для аутентификации

Секрет успеха злоумышленников кроется в одновременном проведении поддельной операции на фишинговом сайте, который обычно маскируют под оплату ОСАГО, и реальном переводе средств жертвы.

https://www.anti-malware.ru/news/2021-12-23-111332/37823

Дума одобрила перевод Единой биометрической системы в статус государственной

Депутаты Госдумы на пленарном заседании 22 декабря одобрили в окончательном, третьем чтении законопроект, согласно которому Единая биометрическая система (ЕБС) получит статус государственной. Документ переносит с 1 января на 1 сентября 2022 г. вступление в силу нормы по предоставлению участниками финансового рынка услуг после прохождения лицом идентификации и аутентификацию по биометрии. Предполагается, что законопроект вступит в силу со дня его подписания.

https://www.vedomosti.ru/technology/news/2021/12/22/902036-duma-odobrila-edinoi-biometricheskoi-sistemi

Беспарольное сканирование сети — новый сервис Scan Assistant от Rapid7

__В рамках любой хорошей программы ИТ безопасности, компании регулярно сканируют свои сети, чтобы определить где они уязвимы. Один из самых неудобных нюансов сканирования сети заключается в том, что для полной оценки набора целей, сканер должен иметь возможность аутентифицироваться для этих целей.

Предоставление необходимых учетных данных ядру сетевого сканирования сопряжено с рядом проблем и дополнительными рисками.

Scan Assistant — это облегченный сервис, который может сканировать объекты без необходимости предоставления учетных данных.__

https://safe.cnews.ru/news/line/2021-11-26_besparolnoe_skanirovanie

На «Госуслугах» появится обязательная двухфакторная аутентификация

__Минцифры планирует в 2022 г. ввести на портале «Госуслуги» обязательную двухфакторную аутентификацию, чтобы защитить пользователей портала от мошенничества, сообщили «Известия» со ссылкой на пресс-службу министерства. Там отметили, что сейчас пользователи могут сами включить такую функцию, чтобы подтверждать свой вход не только паролем, но и с помощью смс, однако мало кто это делает. __ https://www.vedomosti.ru/technology/news/2021/12/22/901937-gosuslugah-identifikatsiyu-sms

Обход многофакторной аутентификации Box с одноразовым паролем с ограниченным временем действия

__Исследовательская группа Varonis обнаружила способ обхода многофакторной аутентификации для учетных записей Box, которые используют такие аутентификационные приложения, как Google Authenticator.

Используя описанный метод, злоумышленник может применить украденные учетные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальных данных без предоставления одноразового пароля.__

https://habr.com/ru/company/varonis/blog/595551/

В Минцифры сообщили об устранении разногласий по проекту электронного паспорта

Минцифры устранило все разногласия по проекту указа о цифровых паспортах, заявил «РИА Новости» министр цифрового развития, связи и массовых коммуникаций Максут Шадаев. По его словам, проект указа о цифровых паспортах планируется внести на рассмотрение уже на этой неделе.

https://www.vedomosti.ru/society/news/2021/12/21/901714-ukaz-elektronnih-pasportah

Обзор аутентификации на основе токенов

В прошлом для аутентификации в большинстве приложений и веб-сервисов пользователи должны были запоминать и при каждом логине вводить свои пароли. Кроме неудобства, это создавало ещё и угрозы безопасности, поскольку пользователи часто выбирали слабые пароли и использовали их в нескольких сервисах. Аутентификация на основе токенов устраняет подобные проблемы. Давайте разберёмся, как она реализуется.

https://habr.com/ru/post/593191/

В Канаде запретили распознавать лица без согласия людей

Управления по защите приватности трех провинций в Канаде — Британской Колумбии, Альберты и Квебека — предписали компании Clearview AI прекратить сбор и какое-либо использование изображений граждан этих провинций без их на то согласия.

https://safe.cnews.ru/news/top/2021-12-17_v_kanade_zapretili_raspoznavat

МТС станет владельцем системы распознавания лиц Visionlabs

__Дочерняя структура мобильного оператора МТС — компания Intema — договорилась о покупке разработчика системы распознавания лиц Visionlabs, сообщили «Ведомостям» в пресс-службе МТС. Сумма сделки составит порядка 7 млрд руб.

Intema выкупит разработчика у основателей Visionlabs, которым до сделки принадлежало 51,77% акций, а также у структур «Сбера» — 25,07% и венчурного фонда АФК «Системы» Sistema VC — 23,16% акций. Сооснователь и председатель совета директоров Visionlabs продолжит работу в компании. __

https://www.vedomosti.ru/technology/news/2021/12/13/900369-mts-stanet-vladeltsem-sistemi-raspoznavaniya-lits-visionlabs

Facebook сделает двухфакторную авторизацию обязательной для политиков и журналистов

__Социальная сеть Facebook объявила, что обяжет пользователей с высоким риском взлома аккаунта включить двухфакторную аутентификацию, сообщает Techcrunch со ссылкой на представителей компании. Речь идет, в частности, о политиках, журналистах и правозащитниках.

Если пользователь откажется от включения двухфакторной аутентификации (вход не только по паролю, но и по коду из СМС или биометрии), то он будет автоматически заблокирован до тех пор, пока не подключит функцию. В компании пока не планируют распространять это требование на всех пользователей соцсети.__

https://www.kommersant.ru/doc/5103642

Частичные пароли: история о том, как задёшево вывести из себя пользователя и/или как вставить палки в колёса кейлоггерам.

__Что такое частичный пароль? Каковы достоинства и недостатки их использования в процессе аутентификации? В статье подробно рассматриваются математические основы, технические детали и практика применения частичных паролей. Предлагается порассуждать об их месте в современных цифровых системах. __

https://habr.com/ru/post/592905/

RecFaces представила интеграцию биометрического решения Id-Gate со сканером документов Regula

__Компания RecFaces провела интеграцию готового биометрического решения Id-Gate со сканером документов компании «Регула». Пилотный проект реализовали по заданию одного из крупнейших вузов России.

«Регула» – международный производитель экспертных продуктов, предназначенных для проверки подлинности документов, денежных знаков и ценных бумаг. Разработки компании востребованы в разных странах мира.

Главной целью проекта стало создание открытой системы доступа в здание университета, которая объединила бы проверку паспортов с верификацией человека по лицевой биометрии и не требовала предварительного оформления пропусков.__

https://safe.cnews.ru/news/line/2021-11-29_recfaces_predstavila_integratsiyu

Выписка из плана разработки нормативно-правовых актов ФСТЭК России на 2022 год - нововведения для лицензиатов и в требования к защите ГИС (пока без конкретики) https://fstec.ru/normotvorcheskaya/akty/54-inye/2308-plan-razrabotki-normativnykh-pravovykh-aktov-fstek-rossii-na-2022-god

Баги миллиардов чипов Wi-Fi и Bluetooth допускают кражу паролей

Исследователи из Дармштадтского технического университета и Центра новых производств и технологий опубликовали документ, в котором описывается способ извлечь пароли и манипулировать трафиком за счёт Wi-Fi-чипа и Bluetooth-компонента устройства жертвы.

https://www.anti-malware.ru/news/2021-12-14-111332/37736

Log4Shell подвержено и промышленное программное обеспечение, включая SIMATIC WinCC версий, ранее V7.4 SP1 https://cert-portal.siemens.com/productcert/pdf/ssa-661247.pdf

Update: removed SIMATIC WinCC V7.4 because it is not affected

Как связаны аутентификация и теория относительности? Учёные ищут способы защиты ATM за гранью физики

__В ноябре Nature опубликовал работу учёных Женевского университета (UNIGE) и канадского Университета Макгилла, которые решили заменить привычную систему PIN-кодов на более безопасную. В поисках сверхнадежной аутентификации исследователи предложили пересмотреть фактор владения и опираться на метод математического доказательства с нулевым разглашением в связке со специальной теорией относительности. __

https://habr.com/ru/company/dataline/blog/591379/

Уязвимости протокола OAuth 2.0: опасно ли аутентифицироваться через профиль в соцсетях

OAuth 2.0 — протокол авторизации, позволяющий входить на сайты с помощью профиля в социальных сетях. Протокол имеет гибкую структуру, в нём отсутствуют обязательные функции безопасности, что повышает вероятность успешной атаки со стороны злоумышленников. Наличие уязвимостей в OAuth 2.0 зависит от правильности применения потоков протокола, а также от использования его параметров.

https://www.anti-malware.ru/analytics/Threats_Analysis/OAuth20-flaws

В сервисы «Яндекса» будут пускать по паспорту. ИТ-гигант внедрит авторизацию через ЕСИА

__Российский ИТ-гигант «Яндекс» планирует запустить новую систему доступа пользователей к своим профилям. Для входа в личный кабинет во всех сервисах «Яндекса» россиянам можно будет использовать Единую систему идентификации и аутентификации. Другими словами, будут использоваться данные, применяемые для доступа к порталу госуслуг.

О скором внедрении ЕСИА в сервисы «Яндекса» сообщил действующий глава российского Минцифры Максут Шадаев. Министр подчеркнул, что в скором будущем эта практика распространится и на другие популярные у россиян веб-сервисы, но не уточнил, на какие именно.__

https://safe.cnews.ru/news/top/2021-11-23_v_servisy_yandeksa_budut

Сканер отпечатков пальцев MacBook и iPad взломали с помощью фото, клея и плёнки

На видео длиной всего одну минуту показывают, насколько прост процесс взлома: достаточно взять фото отпечатка, перевести его в чёрно-белый вариант без оттенков серого и распечатать получившуюся картинку на лазерном принтере на ацетатной плёнке. Напечатанный отпечаток будет объёмным. Дальше достаточно будет нанести на этот отпечаток обычный столярный клей и подождать, пока он затвердеет.

https://youtu.be/VYI9XNO4XzU

Какие законы вступают в силу в декабре __- Вводится досудебная блокировка сайтов, рекламирующих финансовые пирамиды.

• К социально значимым сайтам предоставят бесплатный доступ.
• Собственниками или другими владельцами линий связи, пересекающих госграницу РФ, с 1 декабря могут быть только российские юрлица.
• … __http://duma.gov.ru/news/52851/