Бортовой журнал

Сложный банковский 2FA-троян в Google Play заразил 10 000 Android-устройств

В официальном магазине приложений Google Play Store более двух недель распространялся банковский троян, замаскированный под софт для двухфакторной аутентификации. Это приложение успели скачать более 10 тыс. пользователей.

https://www.anti-malware.ru/news/2022-01-28-111332/38074

Samsung анонсировала сканер отпечатков пальцев для платёжных карт

__Компания Samsung представила технологию защиты банковских карт и пропусков — в «пластик» добавили сканер отпечатков пальцев.

На одном чипе разместили дактилоскопический сенсор, процессор и модуль безопасности. Как будет осуществляться питание устройства, неизвестно. Вероятно, для работы сканера будет достаточно энергии, передаваемой NFC.__

https://wylsa.com/samsung-anonsirovala-skaner-otpechatkov-palczev-dlya-platyozhnyh-kart/

DLBI назвал самые популярные пароли у интернет-пользователей

В традиционный топ самых популярных кириллических паролей вошли: йцукен, пароль, любовь (поднявшаяся с 4 места), привет (в прошлом году занимавший 5 место), наташа (перешедший с 6 места), максим (упавший с 7 места), марина (поднявшаяся с 9 позиции), люблю, андрей (занимавший 10 место) и кристина.

https://safe.cnews.ru/news/line/2022-01-21_dlbi_nazval_samye_populyarnye

Не паролем единым. Как защищать данные в современных организациях

__Начните с малого — расскажите сотрудникам о современных подходах к информационной безопасности и средствах защиты информации, откажитесь от публичных облаков и организуйте частное облако в подконтрольной инфраструктуре. Такое облако может быть в собственности, управлении и обслуживании у самой организации либо у доверенной стороны, а также может располагаться как на территории предприятия, так и за его пределами.

Следующим шагом, который приведет к повышению компьютерной грамотности персонала и, как следствие, к снижению рисков утечки данных, станет переход на использование прикладного программного обеспечения с поддержкой квалифицированной электронной подписи, уровень криптографической стойкости которой находится принципиально на другом уровне.__

https://habr.com/ru/post/599913/

Альтернатива сложным комбинациям: оценили надежность и удобство эмодзи-паролей

Идея использовать эмодзи в качестве паролей не лишена привлекательности, и в ней есть рациональное зерно. Так, например, техногигант Apple и некоторые производители сетевого оборудования ее уже воплотили. Если тоже захотите реализовать эту возможность, имейте в виду, что проект будет неизбежно сопряжен с трудностями технического характера. Если (читайте: когда) что-то пойдет не так, специалистам по кибербезопасности и разработчикам не хватит ромашкового чая 🌼🍵, чтобы успокоить нервы и разрешить проблемы. А еще эти пользователи… они умудряются испортить любую хорошую идею!

https://habr.com/ru/post/646161/

На фоне новости о том, что Twitter начал исполнять закон «о приземлении», возросла посещаемость вот этого моего давнего поста: https://zlonov.com/howto-remove-all-tweets Хотя, может, просто совпадение =)

Японцы придумали систему оплаты, которая распознаёт лица в масках

Японская компания Glory запустила тестирование системы бесконтактной оплаты, которая способна распознавать лица людей в защитных масках. Сейчас BioPay работает в десяти магазинах и ресторанах города Ниигата. Для регистрации необходимо загрузить фотографию лица и привязать банковскую карту на сайте Glory.

https://wylsa.com/yaponczy-pridumali-sistemu-oplaty-kotoraya-raspoznayot-licza-v-maskah/

И молвил ИИ человеческим голосом // Как сейчас применяются технологии клонирования голоса

Индустрия синтеза голоса и речи быстро растет и развивается, и ее объемы уже превышают $1 млрд. Широкие возможности применения таких технологий очевидны: голосовые помощники, говорящие роботы, радио- и телепрограммы, озвучивание книг и фильмов голосами известных людей, восстановление голосов тех, кто умер или лишился возможности говорить и т. п. В последние два года в условиях пандемии разработки в этой области заметно активизировались.

https://www.kommersant.ru/doc/5180128

На «Госуслугах» появится возможность входа в личный кабинет по биометрии

Минцифры заключило контракт с «Ростелекомом» (оператор «Единой биометрической системы») на интеграцию единой системы идентификации и аутентификации госуслуг с «Единой биометрической системой». Согласно техзаданию, войти на портал можно будет с помощью биометрии. Через приложение госуслуг Минцифры планирует собирать биометрические данные лица, а также голоса. Стоимость контракта — 1,2 млрд руб., работа должна быть выполнена к 5 декабря 2022 г.

https://www.vedomosti.ru/technology/news/2022/01/18/905198-ogranichit-ne-sdavshih-biometriyu

“Режиссёрская версия” статьи про SOC для АСУ ТП https://zlonov.com/SOC-for-ICS

Эксперты разработали систему для решения CAPTCHA на сайтах дарквеба

__Команда исследователей из университетов Аризоны, Джорджии и Флориды представили основанную на машинном обучении систему для решения тестов CAPTCHA. По словам экспертов, их разработка способна обойти 94,4% CAPTCHA на сайтах в дарквебе.

Авторы солвера выложили его на GitHub, поэтому существует риск использования новой системы и в киберпреступных целях.__

https://www.anti-malware.ru/news/2022-01-17-111332/37968

Тернистый путь внедрения аутентификации через соцсети https://habr.com/ru/company/ru_mts/blog/645439/

Сервис Have I Been Pwned добавил 441 000 аккаунтов, украденных RedLine

Знаменитый сервис Have I Been Pwned, собирающий информацию об утечках и позволяющий проверить свои данные на предмет компрометации, добавил 441 000 аккаунтов в свою базу. Эти учётные записи объединяет одно: все они были украдены в ходе кампаний операторов вредоноса RedLine.

https://www.anti-malware.ru/news/2022-01-01-1447/37897

**Two steps from domain admins ** __Для большинства внутренних сетей самых разных компаний компрометация домена по причине злоупотребления привилегированными доменными учетными записями, пожалуй, самая распространенная. Иными словами, висящие налево и направо сессии доменного админа сильно упрощают работу потенциального нарушителя. Ведь как только один такой сервер или рабочая станция будет скомпрометирован до компрометации домена, а значит и всей внутренней инфраструктуры, останется лишь шаг. И именно об этом последнем шаге мы и поговорим.

На самом деле нам не так уж и нужен пароль администратора домена, и в каждом из перечисленных ниже способов мы захватим контроллер домена без пароля.__

https://habr.com/ru/post/598847/

Искусство читать нормативку. О биометрии для идентификации и аутентификации

http://emeliyannikov.blogspot.com/2022/01/blog-post.html

Вредонос RedLine напомнил всем: нельзя сохранять пароли в браузерах

Вредоносная программа RedLine стала очередным напоминанием пользователям о том, что хранить пароли в браузерах нельзя ни при каких обстоятельствах. Как отметили эксперты по кибербезопасности, этот зловред крадёт учётные данные из Google Chrome, Microsoft Edge и Opera.

https://www.anti-malware.ru/news/2021-12-29-111332/37878

**Мастер-пароли пользователей LastPass могли быть скомпрометированы ** __Пользователи менеджера паролей LastPass сообщают о попытках компрометации их мастер-паролей. Людям приходят соответствующие электронные письма, в которых говорится о попытках входа из неизвестного местоположения. __

Также в письмах сервис оповещал пользователей о блокировке попыток аутентификации, поскольку использовалась новая геолокация, ранее неизвестная LastPass. С помощью электронной почты пользователь мог либо подтвердить вход, либо отклонить.

https://www.anti-malware.ru/news/2021-12-29-111332/37877

Для подтверждения личности пройдитесь: аутентификация по походке

__Ученые из университета Плимута (Великобритания) предложили интересную идею: если походка человека так индивидуальна, как и его лицо или отпечатки пальцев, то ее можно использовать для верификации его личности на смартфонах. Насколько сильны отличия между походками, как смартфоны собирали о них данные, и насколько безопасна система верификации на базе походки? Ответы на эти опросы - в докладе ученых. __

https://habr.com/ru/post/595415/

Какие законы вступают в силу в январе:

• Отказ от идентификации по биометрии
• Электронный документооборот в сфере трудовых отношений
• Дистанционное открытие счета
• Электронный документооборот в сфере автомобильных перевозок
• «Приземление» IT-гигантов
• Единый регистр сведений о населении и многое другое.

http://duma.gov.ru/news/53137/

Как выбрать метод аутентификации пользователей в СУБД

Как грамотно выбрать надёжный метод аутентификации для пользователей в системе управления базами данных (СУБД), опираясь на такие критерии, как сложность и цена реализации, а также уровень безопасности? Как расширение и графический веб-интерфейс могут упростить работу? Рассмотрим на примере отечественной СУБД Jatoba.

https://www.anti-malware.ru/analytics/Technology_Analysis/How-to-choose-DBMS-authentication-method

Жители трех пилотных регионов смогут оформить первые цифровые паспорта

Правительство России с 2023 года начнет внедрять цифровой паспорт. Первыми пилотными регионами, жителям которых станет доступна такая опция, станут Москва, Московская область (Подмосковье) и Татарстан. Об этом в интервью РИА Новости сообщил вице-премьер Дмитрий Чернышенко.

https://lenta.ru/news/2021/12/27/epassport/

Единственный и бессменный админ-пароль — частая причина заражения сети

__Анализ внутренних систем компаний, пораженных шифровальщиком, показал, что взломщики использовали доступ по RDP с локальными правами администратора. Исследователи из AhnLab также отметили, что во всех случаях пароль был одинаков и не менялся последние год или дв__а.

https://www.anti-malware.ru/news/2021-12-20-114534/37787

**От 1FA к Zero-Trust через рынок ИБ ** В данной статье автором осуществляется фундаментальный обзор актуальных на сегодняшний день алгоритмов аутентификации пользователей, а также производится разбор и оценка возможности их применимости в контексте инфраструктурного подхода Нулевого Доверия (англ. Zero-Trust).

https://habr.com/ru/post/594067/

Какой Identity-провайдер выбрать для реализации технологии Single Sign On

В статье сравниваются популярные инструменты аутентификации и авторизации, которые упростят работу с технологией единого входа — Single Sign On. Собранный материал будет полезен для новичков и специалистов с опытом. Статья ориентирована в основном на .NET-разработчиков, но есть здесь инсайты и для работающих с Java и JavaScript.

https://habr.com/ru/post/595997/

Мошенники в России научились обходить СМС-коды банка для аутентификации

Секрет успеха злоумышленников кроется в одновременном проведении поддельной операции на фишинговом сайте, который обычно маскируют под оплату ОСАГО, и реальном переводе средств жертвы.

https://www.anti-malware.ru/news/2021-12-23-111332/37823

Дума одобрила перевод Единой биометрической системы в статус государственной

Депутаты Госдумы на пленарном заседании 22 декабря одобрили в окончательном, третьем чтении законопроект, согласно которому Единая биометрическая система (ЕБС) получит статус государственной. Документ переносит с 1 января на 1 сентября 2022 г. вступление в силу нормы по предоставлению участниками финансового рынка услуг после прохождения лицом идентификации и аутентификацию по биометрии. Предполагается, что законопроект вступит в силу со дня его подписания.

https://www.vedomosti.ru/technology/news/2021/12/22/902036-duma-odobrila-edinoi-biometricheskoi-sistemi

Беспарольное сканирование сети — новый сервис Scan Assistant от Rapid7

__В рамках любой хорошей программы ИТ безопасности, компании регулярно сканируют свои сети, чтобы определить где они уязвимы. Один из самых неудобных нюансов сканирования сети заключается в том, что для полной оценки набора целей, сканер должен иметь возможность аутентифицироваться для этих целей.

Предоставление необходимых учетных данных ядру сетевого сканирования сопряжено с рядом проблем и дополнительными рисками.

Scan Assistant — это облегченный сервис, который может сканировать объекты без необходимости предоставления учетных данных.__

https://safe.cnews.ru/news/line/2021-11-26_besparolnoe_skanirovanie

На «Госуслугах» появится обязательная двухфакторная аутентификация

__Минцифры планирует в 2022 г. ввести на портале «Госуслуги» обязательную двухфакторную аутентификацию, чтобы защитить пользователей портала от мошенничества, сообщили «Известия» со ссылкой на пресс-службу министерства. Там отметили, что сейчас пользователи могут сами включить такую функцию, чтобы подтверждать свой вход не только паролем, но и с помощью смс, однако мало кто это делает. __ https://www.vedomosti.ru/technology/news/2021/12/22/901937-gosuslugah-identifikatsiyu-sms

Обход многофакторной аутентификации Box с одноразовым паролем с ограниченным временем действия

__Исследовательская группа Varonis обнаружила способ обхода многофакторной аутентификации для учетных записей Box, которые используют такие аутентификационные приложения, как Google Authenticator.

Используя описанный метод, злоумышленник может применить украденные учетные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальных данных без предоставления одноразового пароля.__

https://habr.com/ru/company/varonis/blog/595551/

В Минцифры сообщили об устранении разногласий по проекту электронного паспорта

Минцифры устранило все разногласия по проекту указа о цифровых паспортах, заявил «РИА Новости» министр цифрового развития, связи и массовых коммуникаций Максут Шадаев. По его словам, проект указа о цифровых паспортах планируется внести на рассмотрение уже на этой неделе.

https://www.vedomosti.ru/society/news/2021/12/21/901714-ukaz-elektronnih-pasportah

Обзор аутентификации на основе токенов

В прошлом для аутентификации в большинстве приложений и веб-сервисов пользователи должны были запоминать и при каждом логине вводить свои пароли. Кроме неудобства, это создавало ещё и угрозы безопасности, поскольку пользователи часто выбирали слабые пароли и использовали их в нескольких сервисах. Аутентификация на основе токенов устраняет подобные проблемы. Давайте разберёмся, как она реализуется.

https://habr.com/ru/post/593191/

В Канаде запретили распознавать лица без согласия людей

Управления по защите приватности трех провинций в Канаде — Британской Колумбии, Альберты и Квебека — предписали компании Clearview AI прекратить сбор и какое-либо использование изображений граждан этих провинций без их на то согласия.

https://safe.cnews.ru/news/top/2021-12-17_v_kanade_zapretili_raspoznavat

МТС станет владельцем системы распознавания лиц Visionlabs

__Дочерняя структура мобильного оператора МТС — компания Intema — договорилась о покупке разработчика системы распознавания лиц Visionlabs, сообщили «Ведомостям» в пресс-службе МТС. Сумма сделки составит порядка 7 млрд руб.

Intema выкупит разработчика у основателей Visionlabs, которым до сделки принадлежало 51,77% акций, а также у структур «Сбера» — 25,07% и венчурного фонда АФК «Системы» Sistema VC — 23,16% акций. Сооснователь и председатель совета директоров Visionlabs продолжит работу в компании. __

https://www.vedomosti.ru/technology/news/2021/12/13/900369-mts-stanet-vladeltsem-sistemi-raspoznavaniya-lits-visionlabs

Facebook сделает двухфакторную авторизацию обязательной для политиков и журналистов

__Социальная сеть Facebook объявила, что обяжет пользователей с высоким риском взлома аккаунта включить двухфакторную аутентификацию, сообщает Techcrunch со ссылкой на представителей компании. Речь идет, в частности, о политиках, журналистах и правозащитниках.

Если пользователь откажется от включения двухфакторной аутентификации (вход не только по паролю, но и по коду из СМС или биометрии), то он будет автоматически заблокирован до тех пор, пока не подключит функцию. В компании пока не планируют распространять это требование на всех пользователей соцсети.__

https://www.kommersant.ru/doc/5103642

Частичные пароли: история о том, как задёшево вывести из себя пользователя и/или как вставить палки в колёса кейлоггерам.

__Что такое частичный пароль? Каковы достоинства и недостатки их использования в процессе аутентификации? В статье подробно рассматриваются математические основы, технические детали и практика применения частичных паролей. Предлагается порассуждать об их месте в современных цифровых системах. __

https://habr.com/ru/post/592905/

RecFaces представила интеграцию биометрического решения Id-Gate со сканером документов Regula

__Компания RecFaces провела интеграцию готового биометрического решения Id-Gate со сканером документов компании «Регула». Пилотный проект реализовали по заданию одного из крупнейших вузов России.

«Регула» – международный производитель экспертных продуктов, предназначенных для проверки подлинности документов, денежных знаков и ценных бумаг. Разработки компании востребованы в разных странах мира.

Главной целью проекта стало создание открытой системы доступа в здание университета, которая объединила бы проверку паспортов с верификацией человека по лицевой биометрии и не требовала предварительного оформления пропусков.__

https://safe.cnews.ru/news/line/2021-11-29_recfaces_predstavila_integratsiyu

Выписка из плана разработки нормативно-правовых актов ФСТЭК России на 2022 год - нововведения для лицензиатов и в требования к защите ГИС (пока без конкретики) https://fstec.ru/normotvorcheskaya/akty/54-inye/2308-plan-razrabotki-normativnykh-pravovykh-aktov-fstek-rossii-na-2022-god

Баги миллиардов чипов Wi-Fi и Bluetooth допускают кражу паролей

Исследователи из Дармштадтского технического университета и Центра новых производств и технологий опубликовали документ, в котором описывается способ извлечь пароли и манипулировать трафиком за счёт Wi-Fi-чипа и Bluetooth-компонента устройства жертвы.

https://www.anti-malware.ru/news/2021-12-14-111332/37736