Бортовой журнал

Для подтверждения личности пройдитесь: аутентификация по походке

__Ученые из университета Плимута (Великобритания) предложили интересную идею: если походка человека так индивидуальна, как и его лицо или отпечатки пальцев, то ее можно использовать для верификации его личности на смартфонах. Насколько сильны отличия между походками, как смартфоны собирали о них данные, и насколько безопасна система верификации на базе походки? Ответы на эти опросы - в докладе ученых. __

https://habr.com/ru/post/595415/

Какие законы вступают в силу в январе:

• Отказ от идентификации по биометрии
• Электронный документооборот в сфере трудовых отношений
• Дистанционное открытие счета
• Электронный документооборот в сфере автомобильных перевозок
• «Приземление» IT-гигантов
• Единый регистр сведений о населении и многое другое.

http://duma.gov.ru/news/53137/

Как выбрать метод аутентификации пользователей в СУБД

Как грамотно выбрать надёжный метод аутентификации для пользователей в системе управления базами данных (СУБД), опираясь на такие критерии, как сложность и цена реализации, а также уровень безопасности? Как расширение и графический веб-интерфейс могут упростить работу? Рассмотрим на примере отечественной СУБД Jatoba.

https://www.anti-malware.ru/analytics/Technology_Analysis/How-to-choose-DBMS-authentication-method

Жители трех пилотных регионов смогут оформить первые цифровые паспорта

Правительство России с 2023 года начнет внедрять цифровой паспорт. Первыми пилотными регионами, жителям которых станет доступна такая опция, станут Москва, Московская область (Подмосковье) и Татарстан. Об этом в интервью РИА Новости сообщил вице-премьер Дмитрий Чернышенко.

https://lenta.ru/news/2021/12/27/epassport/

Единственный и бессменный админ-пароль — частая причина заражения сети

__Анализ внутренних систем компаний, пораженных шифровальщиком, показал, что взломщики использовали доступ по RDP с локальными правами администратора. Исследователи из AhnLab также отметили, что во всех случаях пароль был одинаков и не менялся последние год или дв__а.

https://www.anti-malware.ru/news/2021-12-20-114534/37787

**От 1FA к Zero-Trust через рынок ИБ ** В данной статье автором осуществляется фундаментальный обзор актуальных на сегодняшний день алгоритмов аутентификации пользователей, а также производится разбор и оценка возможности их применимости в контексте инфраструктурного подхода Нулевого Доверия (англ. Zero-Trust).

https://habr.com/ru/post/594067/

Какой Identity-провайдер выбрать для реализации технологии Single Sign On

В статье сравниваются популярные инструменты аутентификации и авторизации, которые упростят работу с технологией единого входа — Single Sign On. Собранный материал будет полезен для новичков и специалистов с опытом. Статья ориентирована в основном на .NET-разработчиков, но есть здесь инсайты и для работающих с Java и JavaScript.

https://habr.com/ru/post/595997/

Мошенники в России научились обходить СМС-коды банка для аутентификации

Секрет успеха злоумышленников кроется в одновременном проведении поддельной операции на фишинговом сайте, который обычно маскируют под оплату ОСАГО, и реальном переводе средств жертвы.

https://www.anti-malware.ru/news/2021-12-23-111332/37823

Дума одобрила перевод Единой биометрической системы в статус государственной

Депутаты Госдумы на пленарном заседании 22 декабря одобрили в окончательном, третьем чтении законопроект, согласно которому Единая биометрическая система (ЕБС) получит статус государственной. Документ переносит с 1 января на 1 сентября 2022 г. вступление в силу нормы по предоставлению участниками финансового рынка услуг после прохождения лицом идентификации и аутентификацию по биометрии. Предполагается, что законопроект вступит в силу со дня его подписания.

https://www.vedomosti.ru/technology/news/2021/12/22/902036-duma-odobrila-edinoi-biometricheskoi-sistemi

Беспарольное сканирование сети — новый сервис Scan Assistant от Rapid7

__В рамках любой хорошей программы ИТ безопасности, компании регулярно сканируют свои сети, чтобы определить где они уязвимы. Один из самых неудобных нюансов сканирования сети заключается в том, что для полной оценки набора целей, сканер должен иметь возможность аутентифицироваться для этих целей.

Предоставление необходимых учетных данных ядру сетевого сканирования сопряжено с рядом проблем и дополнительными рисками.

Scan Assistant — это облегченный сервис, который может сканировать объекты без необходимости предоставления учетных данных.__

https://safe.cnews.ru/news/line/2021-11-26_besparolnoe_skanirovanie

На «Госуслугах» появится обязательная двухфакторная аутентификация

__Минцифры планирует в 2022 г. ввести на портале «Госуслуги» обязательную двухфакторную аутентификацию, чтобы защитить пользователей портала от мошенничества, сообщили «Известия» со ссылкой на пресс-службу министерства. Там отметили, что сейчас пользователи могут сами включить такую функцию, чтобы подтверждать свой вход не только паролем, но и с помощью смс, однако мало кто это делает. __ https://www.vedomosti.ru/technology/news/2021/12/22/901937-gosuslugah-identifikatsiyu-sms

Обход многофакторной аутентификации Box с одноразовым паролем с ограниченным временем действия

__Исследовательская группа Varonis обнаружила способ обхода многофакторной аутентификации для учетных записей Box, которые используют такие аутентификационные приложения, как Google Authenticator.

Используя описанный метод, злоумышленник может применить украденные учетные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальных данных без предоставления одноразового пароля.__

https://habr.com/ru/company/varonis/blog/595551/

В Минцифры сообщили об устранении разногласий по проекту электронного паспорта

Минцифры устранило все разногласия по проекту указа о цифровых паспортах, заявил «РИА Новости» министр цифрового развития, связи и массовых коммуникаций Максут Шадаев. По его словам, проект указа о цифровых паспортах планируется внести на рассмотрение уже на этой неделе.

https://www.vedomosti.ru/society/news/2021/12/21/901714-ukaz-elektronnih-pasportah

Обзор аутентификации на основе токенов

В прошлом для аутентификации в большинстве приложений и веб-сервисов пользователи должны были запоминать и при каждом логине вводить свои пароли. Кроме неудобства, это создавало ещё и угрозы безопасности, поскольку пользователи часто выбирали слабые пароли и использовали их в нескольких сервисах. Аутентификация на основе токенов устраняет подобные проблемы. Давайте разберёмся, как она реализуется.

https://habr.com/ru/post/593191/

В Канаде запретили распознавать лица без согласия людей

Управления по защите приватности трех провинций в Канаде — Британской Колумбии, Альберты и Квебека — предписали компании Clearview AI прекратить сбор и какое-либо использование изображений граждан этих провинций без их на то согласия.

https://safe.cnews.ru/news/top/2021-12-17_v_kanade_zapretili_raspoznavat

МТС станет владельцем системы распознавания лиц Visionlabs

__Дочерняя структура мобильного оператора МТС — компания Intema — договорилась о покупке разработчика системы распознавания лиц Visionlabs, сообщили «Ведомостям» в пресс-службе МТС. Сумма сделки составит порядка 7 млрд руб.

Intema выкупит разработчика у основателей Visionlabs, которым до сделки принадлежало 51,77% акций, а также у структур «Сбера» — 25,07% и венчурного фонда АФК «Системы» Sistema VC — 23,16% акций. Сооснователь и председатель совета директоров Visionlabs продолжит работу в компании. __

https://www.vedomosti.ru/technology/news/2021/12/13/900369-mts-stanet-vladeltsem-sistemi-raspoznavaniya-lits-visionlabs

Facebook сделает двухфакторную авторизацию обязательной для политиков и журналистов

__Социальная сеть Facebook объявила, что обяжет пользователей с высоким риском взлома аккаунта включить двухфакторную аутентификацию, сообщает Techcrunch со ссылкой на представителей компании. Речь идет, в частности, о политиках, журналистах и правозащитниках.

Если пользователь откажется от включения двухфакторной аутентификации (вход не только по паролю, но и по коду из СМС или биометрии), то он будет автоматически заблокирован до тех пор, пока не подключит функцию. В компании пока не планируют распространять это требование на всех пользователей соцсети.__

https://www.kommersant.ru/doc/5103642

Частичные пароли: история о том, как задёшево вывести из себя пользователя и/или как вставить палки в колёса кейлоггерам.

__Что такое частичный пароль? Каковы достоинства и недостатки их использования в процессе аутентификации? В статье подробно рассматриваются математические основы, технические детали и практика применения частичных паролей. Предлагается порассуждать об их месте в современных цифровых системах. __

https://habr.com/ru/post/592905/

RecFaces представила интеграцию биометрического решения Id-Gate со сканером документов Regula

__Компания RecFaces провела интеграцию готового биометрического решения Id-Gate со сканером документов компании «Регула». Пилотный проект реализовали по заданию одного из крупнейших вузов России.

«Регула» – международный производитель экспертных продуктов, предназначенных для проверки подлинности документов, денежных знаков и ценных бумаг. Разработки компании востребованы в разных странах мира.

Главной целью проекта стало создание открытой системы доступа в здание университета, которая объединила бы проверку паспортов с верификацией человека по лицевой биометрии и не требовала предварительного оформления пропусков.__

https://safe.cnews.ru/news/line/2021-11-29_recfaces_predstavila_integratsiyu

Выписка из плана разработки нормативно-правовых актов ФСТЭК России на 2022 год - нововведения для лицензиатов и в требования к защите ГИС (пока без конкретики) https://fstec.ru/normotvorcheskaya/akty/54-inye/2308-plan-razrabotki-normativnykh-pravovykh-aktov-fstek-rossii-na-2022-god

Баги миллиардов чипов Wi-Fi и Bluetooth допускают кражу паролей

Исследователи из Дармштадтского технического университета и Центра новых производств и технологий опубликовали документ, в котором описывается способ извлечь пароли и манипулировать трафиком за счёт Wi-Fi-чипа и Bluetooth-компонента устройства жертвы.

https://www.anti-malware.ru/news/2021-12-14-111332/37736

Log4Shell подвержено и промышленное программное обеспечение, включая SIMATIC WinCC версий, ранее V7.4 SP1 https://cert-portal.siemens.com/productcert/pdf/ssa-661247.pdf

Update: removed SIMATIC WinCC V7.4 because it is not affected

Как связаны аутентификация и теория относительности? Учёные ищут способы защиты ATM за гранью физики

__В ноябре Nature опубликовал работу учёных Женевского университета (UNIGE) и канадского Университета Макгилла, которые решили заменить привычную систему PIN-кодов на более безопасную. В поисках сверхнадежной аутентификации исследователи предложили пересмотреть фактор владения и опираться на метод математического доказательства с нулевым разглашением в связке со специальной теорией относительности. __

https://habr.com/ru/company/dataline/blog/591379/

Уязвимости протокола OAuth 2.0: опасно ли аутентифицироваться через профиль в соцсетях

OAuth 2.0 — протокол авторизации, позволяющий входить на сайты с помощью профиля в социальных сетях. Протокол имеет гибкую структуру, в нём отсутствуют обязательные функции безопасности, что повышает вероятность успешной атаки со стороны злоумышленников. Наличие уязвимостей в OAuth 2.0 зависит от правильности применения потоков протокола, а также от использования его параметров.

https://www.anti-malware.ru/analytics/Threats_Analysis/OAuth20-flaws

В сервисы «Яндекса» будут пускать по паспорту. ИТ-гигант внедрит авторизацию через ЕСИА

__Российский ИТ-гигант «Яндекс» планирует запустить новую систему доступа пользователей к своим профилям. Для входа в личный кабинет во всех сервисах «Яндекса» россиянам можно будет использовать Единую систему идентификации и аутентификации. Другими словами, будут использоваться данные, применяемые для доступа к порталу госуслуг.

О скором внедрении ЕСИА в сервисы «Яндекса» сообщил действующий глава российского Минцифры Максут Шадаев. Министр подчеркнул, что в скором будущем эта практика распространится и на другие популярные у россиян веб-сервисы, но не уточнил, на какие именно.__

https://safe.cnews.ru/news/top/2021-11-23_v_servisy_yandeksa_budut

Сканер отпечатков пальцев MacBook и iPad взломали с помощью фото, клея и плёнки

На видео длиной всего одну минуту показывают, насколько прост процесс взлома: достаточно взять фото отпечатка, перевести его в чёрно-белый вариант без оттенков серого и распечатать получившуюся картинку на лазерном принтере на ацетатной плёнке. Напечатанный отпечаток будет объёмным. Дальше достаточно будет нанести на этот отпечаток обычный столярный клей и подождать, пока он затвердеет.

https://youtu.be/VYI9XNO4XzU

Какие законы вступают в силу в декабре __- Вводится досудебная блокировка сайтов, рекламирующих финансовые пирамиды.

• К социально значимым сайтам предоставят бесплатный доступ.
• Собственниками или другими владельцами линий связи, пересекающих госграницу РФ, с 1 декабря могут быть только российские юрлица.
• … __http://duma.gov.ru/news/52851/

Подборка худших паролей 2021 года

Лидеры остаются неизменными: 1)__ 123456; 2__)__ 123456789; 3__)__ 12345; 4__)__ qwerty; 5__)__  password; 6__)__ 12345678; 7__)__ 111111; 8__)__ 123123; 9__)__ 1234567890; 10__)__ 1234567__.__ __ https://wylsa.com/podborka-hudshih-parolej-2021-goda/

Рекомендации Тинькофф: Как защитить пароли https://s.tinkoff.ru/dryounyofor

«Мы на это не подписывались!» Как цифровые двойники зарабатывают деньги на госконтрактах

В редакцию Business FM обратилась компания, которая выяснила, что от ее имени кто-то получил цифровую подпись, после чего принял участие в госзакупках, выиграл торги и получил аванс от государства. Госзаказы псевдокомпания явно выполнять не собирается. При этом остановить процесс оказалось невозможно.

https://www.bfm.ru/news/486479

Израильская армия использует технологии распознавания лиц для отслеживания палестинцев

__Израильские военные используют технологии распознавания лиц для отслеживания палестинцев на оккупированном Израилем Западном берегу реки Иордан. Бывшие израильские солдаты рассказали изданию The Washington Post о программном обеспечении для смартфонов под названием Blue Wolf, которое делает фотографии палестинцев и сопоставляет их с большой базой данных. Затем телефон оповещает солдата, следует ли арестовать, задержать или оставить данного человека в покое.

Израильская армия последние два года наполняла базу данных тысячами изображений палестинцев и даже проводила так называемые «конкурсы», награждая солдат за то, что они фотографировали как можно больше людей.__

https://www.securitylab.ru/news/526341.php

Facebook откажется от использования системы распознавания лиц

__Компания Meta, которой принадлежит соцсеть, удалит шаблоны более одного миллиарда людей, поскольку регуляторы пока не регламентировали применение этой технологии.

«Мы прекращаем работу системы распознавания лиц в Facebook. Люди, которые соглашались ее использовать, больше не будут автоматически определяться на фото и видео»,— отметили в Meta.

По словам вице-президента по искусственному интеллекту в Facebook Джерома Песенти, регуляторы еще не создали определенный набор требований к использованию системы распознавания лиц, поэтому необходимо пока ограничить ее. Предполагается, что компания удалит шаблоны лиц к декабрю 2021 года.__

https://www.kommersant.ru/doc/5062127

25 твитов об SSL-сертификатах

SSL сертификаты. Для чего они нужны, какие бывают, от чего защищают, кто использует, как долго действуют, есть ли гарантия? Разберем основные вопросы – кратко, в режиме твиттера – не более 280 символов на ответ.

https://habr.com/ru/company/itsoft/blog/585404/

ФБР получило ордер на разблокировку устройства с помощью биометрии

__Для получения информации о деятельности мужчины, обвиняемого в участии в захвате Капитолия 6 января 2021 года и нападении на полицейских с применением перцового баллончика, ФБР использовало один из самых противоречивых своих методов.

Как сообщает Forbes, 4 февраля нынешнего года агенты ФБР получили ордер на обыск по месту жительства подозреваемого в городе Юнионтаун (штат Пенсильвания, США) и разблокировку устройств с помощью его отпечатков пальцев, лица или других биометрических данных. Попав внутрь помещения, они обнаружили, что подозреваемый Питер Шварц (Peter Schwartz) использовал для разблокировки своего Samsung S10 отпечаток большого пальца.__

https://www.securitylab.ru/news/525984.php

Сноуден: Не сдавайте свою биометрию в обмен на криптовалюту

__На днях новый стартап венчурного инвестора Сэма Альтмана Woldcoin вышел из режима секретности, раскрыв некоторые подробности о своих разработках. Компания создала устройство для сканирования радужки глаза и планирует выплачивать согласившимся пройти сканирование награду в собственной криптовалюте. Реализован проект на блокчейне Ethereum.

Разработчики заверяют, что как такового сбора биометрии в базу данных не происходит. Скан радужной оболочки глаза преобразуется в цифровой код прямо в устройстве. После этого исходные данные удаляются, а код хранится в распределенном реестре, служа уникальным идентификатором пользователя. Восстановить скан по коду невозможно.

Эдвард Сноуден, известный сторонник конфиденциальности, раскритиковал создание базы биометрических данных стартапом Worldcoin. Сноуден призвал своих подписчиков в Twitter не обменивать свои биометрические данные на криптовалюту.__

https://www.securitylab.ru/news/525941.php

Проверка сложности паролей на Python

__Пользователи очень любят простые пароли. Причины этого могут быть разные - кто-то просто не задумывается о сложности пароля, кому-то лень запоминать, а кому-то просто нравится когда в качестве пароля используется распространенное, но крутое слово.

Адекватной реакцией на эту проблему со стороны разработчиков является проверка пользовательских паролей и, соответственно если пароль слишком прост, предложение создать пароль посерьезней. Давайте рассмотрим как можно реализовать наиболее распространенные проверки.__

https://habr.com/ru/post/584020/

**И снова про безопасность банков и СМС ** Сегодня меня попытались “развести” интернет-мошенники. Схема обычная и нехитрая - “у вас скомпрометирована карта, пришлите код из СМС чтобы мы заблокировали операцию”. Код, естественно, никуда не ушел, но мне стало любопытно какие же мои данные “утекли” и что с подобным кодом могли сделать жулики, я проверил - и мне стало реально страшно.

https://habr.com/ru/post/586144/

Правительство разрешило собирать биометрию водителей каршеринга и такси

__Правительство утвердило перечень случаев, в которых нефинансовые организации смогут собирать и обрабатывать в информационных системах персональные биометрические данные физлиц. Соответствующее постановление подписал премьер-министр Михаил Мишустин. Документ опубликован на официальном портале правовой информации.

Документ разрешает использование биометрических данных для идентификации и аутентификации водителей легковых такси и автомобилей каршеринга.

В Минцифры заверили, что в постановлении правительства описана ситуация, когда владельцы такси или каршеринга по собственной инициативе используют коммерческие биометрические системы. Они смогут предоставлять услуги по биометрической идентификации только при условии наличия аккредитации на предмет соответствия требованиям по информационной безопасности и хранению биометрических персональных данных. Ее будет проводить Минцифры с 2022 года.

Постановление вступит в силу 1 марта 2022 года и будет действовать шесть лет.__

https://www.securitylab.ru/news/526029.php

Фонд для инвестиций в кибербезопасность: отражает динамику стоимости 31 публичной компании из США, Израиля и Индии (предлагают решения в области кибербезопасности). Историческая доходность с 2016 года - 25,7% годовых в долларах. https://www.tinkoff.ru/about/news/29102021-tinkoff-capital-launches-funds-investment-esg-cybersecurity-and-emerging-markets/

Новый метод на базе ИИ позволяет подсмотреть вводимый PIN-код в банкоматах

__Исследователи из Италии и Нидерландов разработали метод машинного обучения, способный определять вводимый человеком PIN-код в банкомат. Новый метод работает даже в тех случаях, когда клиент банкомата прикрывает рукой панель ввода.

Поскольку экран банкомата вряд ли будет скрыт во время ввода PIN-кода, время нажатия клавиши может быть установлено путем синхронизации движений руки с появлением «замаскированных» цифр (обычно звездочек), которые появляются на экране банкомата в ответ на запрос пользователя. Синхронизация показывает точное расположение рук в «скрытом» сценарии в момент ввода.

Рассматривая меры противодействия существующим системам, исследователи считают, что реально действенных средств защиты от такого рода атак не существует. Увеличение минимального числа необходимых цифр в PIN-коде затруднит запоминание чисел, случайный порядок расположения цифровых клавиш на программной клавиатуре сенсорного экрана также вызывает проблемы с удобством использования, а защитные пленки для экрана не только будут дорогими для установки на существующие банкоматы, но и, возможно, сделают способ атаки еще более простым в реализации. Исследователи утверждают, что их атака работоспособна даже тогда, когда скрыто 75% клавиатуры (закрытие большего количества затрудняет ввод текста пользователем).__

https://www.securitylab.ru/news/525705.php

7-Eleven собрала биометрические данные 1,7 млн человек без их согласия

__Австралийский комиссар по информации обнаружил , что оператор крупнейшей сети небольших магазинов 7-Eleven нарушал приватность своих клиентов, собирая биометрическую информацию без их согласия.

С июня 2020-го по август 2021 года компания 7-Eleven проводила исследование, в ходе которого клиенты заполняли опросники на планшетах со встроенными камерами. Эти планшеты, установленные в 700 магазинах, захватывали изображения лиц участников опроса два раза - в процессе заполнения и после.

Узнав об этом в июле прошлого года, Управление австралийского комиссара по информации (Office of the Australian Information Commissioner, OAIC) инициировало расследование.__

https://www.securitylab.ru/news/525681.php

Власти решили перенести переход бизнеса на новый формат электронной подписи

__Власти приняли решение перенести последний этап реформы электронной подписи на более поздние сроки. Об этом сообщил РБК со ссылкой на источники среди участников рынка. Изначально планировалось, что бизнес с 1 января 2022 г. перейдет на машиночитаемые доверенности — электронные документы, подтверждающие, что сотрудник имеет право подписывать документ от имени организации.

Представитель аппарата вице-премьера Дмитрия Чернышенко подтвердил, что на совещании у вице-премьера было принято решение, что в 2022 г. будет введен переходный период для использования так называемых машиночитаемых доверенностей. В течение следующего года такие электронные документы можно будет применять добровольно, а аккредитованные удостоверяющие центры смогут, как и раньше, выпускать на сотрудников электронные подписи с привязкой к организации.__

https://www.vedomosti.ru/business/news/2021/10/20/892084-perenose-perehoda-biznesa