На всех станциях московского метро начала работать система оплаты по лицу
Face Pay – это один из способов оплаты, к которому можно подключиться по желанию. Для использования оплаты проезда по лицу пассажиру нужно привязать свою фотографию, банковскую карту и карту «Тройка» к сервису в приложении «Метро Москвы». Затем камера на турникете будет распознавать лицо человека, и система автоматически спишет деньги за проезд.
На всех станциях московского метро начала работать система оплаты по лицу
Face Pay – это один из способов оплаты, к которому можно подключиться по желанию. Для использования оплаты проезда по лицу пассажиру нужно привязать свою фотографию, банковскую карту и карту «Тройка» к сервису в приложении «Метро Москвы». Затем камера на турникете будет распознавать лицо человека, и система автоматически спишет деньги за проезд.
Скандально известный хакер опубликовал логины и пароли к 500 тыс. VPN-устройств Fortinet
**
**Администратор форума RAMP и бывший оператор шифровальной группировки Babuk выложил реквизиты доступа к полумиллиону скомпрометированных устройств Fortinet. Уязвимости в них устранены, но администраторы забыли сменить логины и пароли.
__Европарламент проголосовал за резолюцию, призывающую к полному запрету биометрических систем массового слежения, использующих технологии искусственного интеллекта. Речь идет в первую очередь о системах распознавания лица.
Основным мотивом для озабоченности европарламентариев стали риски дискриминации, необъективности и несправедливости при использовании данных систем правоохранительными органами. В ходе обсуждения были представлены многочисленные примеры, доказывающие несовершенство и ошибочность работы систем распознавания лиц.__
__Российские власти готовятся к очередному этапу цифровизации страны. Минцифры создало рабочую группу, в рамках которой будет разрабатываться механизм внедрения усиленных квалифицированных электронных подписей (УКЭП) в SIM-карты граждан. Это позволит в перспективе полностью избавиться от необходимости в физических подписях документов.
В сообщении Минцифры сказано о том, что усиленные квалифицированные электронные подписи (УКЭП) можно будет ставить на базе стандартных сим-карт для телефонов. Поскольку такая подпись защищена и программно, и юридически, сопоставима по значимости с личной, такой подход избавит россиян от многих проблем при проведении критически важных и рискованных операций, а также избавит от необходимости личного посещения различных инстанций. Как именно будет реализована технология УКЭП на сим-картах, не уточняется.__
Google самостоятельно подключит пользователей к двухфакторной аутентификации
__Американская корпорация Google к концу 2021 года автоматически подключит к двухфакторной аутентификации свыше 150 млн пользователей, а также более 2 млн авторов на YouTube. В компании считают, что это поможет усилить безопасность учетных записей.
Сейчас Google автоматически включает двухэтапную аутентификацию в тех аккаунтах, где указан номер телефона или резервный адрес электронной почты. Ранее, в мае 2021 года, Google разрешила поставить пароль на историю действий на сайтах, в приложениях и сервисах Google, поисковые запросы, историю просмотров YouTube и вопросы «Google Ассистенту».
__
https://www.kommersant.ru/doc/5018924
«Яндекс» будет предупреждать о скомпрометированных паролях
__Российская компания «Яндекс» объявила об усилении безопасности аккаунтов пользователей. Теперь при входе в учетную запись пароль будет проверяться на надежность: если он был скомпрометирован, «Яндекс» попросит поменять пароль.
«Яндекс» будет осуществлять проверку по базе из 1,2 млрд скомпрометированных паролей, пополняемых из открытых источников. Будут учитываться пароли, раскрытые в результате утечек данных. Если пароль был скомпрометирован, то «Яндекс» попросит его сменить и подтвердить права на аккаунт через СМС. Также «Яндекс» теперь будет присылать уведомления обо всех входах в учетную запись, чтобы можно было сразу принять меры и защитить аккаунт.__
Mozilla: Бэтмен и Человек-паук чаще всего фигурируют в слитых паролях
__Пароли с отсылками к фильмам про супергероев стали чаще фигурировать в базах скомпрометированных учётных данных. Об этом говорит исследование, которое недавно провели специалисты компании Mozilla.
В этот раз исследователи решили выяснить, какие пароли чаще всего встречаются в утечках. Удивительно, но пользователи довольно часто задействуют имена супергероев для защиты своих аккаунтов. Например, Супермен встретился аналитикам 368 397 раз, Бэтмен — 226 327 раз, Человек-паук — 160 030. Росомаха и Железный человек тоже фигурировали в тысячах утечек.__
Касперская посоветовала россиянам не сдавать биометрические данные
__Президент InfoWatch Наталья Касперская посоветовала не сдавать биометрические данные из-за отсутствия понимания, как их будут защищать, сообщили «РИА Новости».
«Моя личная рекомендация: ни в коем случае не сдавать биометрические данные, не вестись на удобство. Их практически с гарантией украдут, продадут, сольют. Давайте нам сначала объяснят: как эти данные планируется защищать, в том числе от своих сотрудников. При этом мне лично непонятно, а зачем вообще нужно использование биометрии?» — сказала она.__
2fa.directory - ресурс с информацией о вариантах поддержки двухфакторной аутентификации (2FA) популярными сайтами. Всё разбито по категориям, есть поиск и ссылки на документацию. Вот, например, информация о социальных сетях/сервисах: https://2fa.directory/#social
2fa.directory - ресурс с информацией о вариантах поддержки двухфакторной аутентификации (2FA) популярными сайтами. Всё разбито по категориям, есть поиск и ссылки на документацию. Вот, например, информация о социальных сетях/сервисах: https://2fa.directory/#social
The Rise of One-Time Password Interception Bots - пост Брайна Кребса про сервисы перехвата одноразовых паролей (One-Time Password):
__Клиент (злоумышленник) OTP Agency (прим. - __это один из таких сервисов) вводит номер телефона и имя жертвы, а затем служба инициирует автоматический телефонный звонок, который предупреждает этого человека о несанкционированной активности в его аккаунте. Далее голосовой бот предлагает пользователю ввести OTP-пароль, сгенерированный мобильным приложением его телефона («для целей аутентификации»), после чего этот полученный код сообщается злоумышленнику через веб-сайт OTP Agency.
SRP-6a. Безопасная аутентификация по небезопасному каналу
Как аутентифицировать пользователя без передачи пароля на сервер? Возможно ли проверить, что пользователь ввёл правильный пароль, не передавая пароль на сервер. Да, такое возможно, благодаря доказательству нулевого разглашения.
Вывод (спойлер):
SRP является отличным протоколом парольной аутентификации, устойчив к перебору по словарю, прослушиванию, подмены. Аутентификационные данные хранятся на сервере в виде, не позволяющем извлечь первоначальный пароль. Более того, алгоритм может использоваться для шифрования передаваемых данных.
Баг в драйвере AMD CPU может раскрыть пароли пользователей Windows
Американская компания AMD, производящая процессоры, настоятельно рекомендует пользователям операционной системы Winodws установить все вышедшие обновления. Оказалось, что разработчики пропатчили опасную уязвимость, с помощью которой злоумышленники могут снять дамп системной памяти и украсть конфиденциальные данные. Эта брешь отслеживается под идентификатором CVE-2021-26333 и затрагивает компьютеры с процессорами от AMD. Как объяснил сооснователь ZeroPeril, обнаруживший уязвимость, основная проблема заключается в драйвере AMD Platform Security Processor (PSP), который, по сути, является эквивалентом Intel SGX.
Сегодня в 11 МСК конференция Гротек: Защита информации в АСУ ТП. Безопасность критической информационной инфраструктурыhttps://www.tbforum.ru/online/2021/kii
Злоумышленники измазали солидолом самокаты в Москве в конце августа. А к середине сентября их не только нашли. Они успели подписать мировое соглашение с владельцами испорченных самокатов — «Яндексом» и сервисами Whoosh и Urent. И теперь заплатят им миллион рублей компенсации. То есть вычислили «солидольщиков» очень быстро. И сделали это, судя по всему, по записям камер наблюдения. Ими увешана вся Москва. В столице работает система распознавания лиц, которая позволяет узнать человека, даже если он в медицинской маске. Плюс к этому многие используют транспортную карту «Тройка». И найти человека, который совершил какой-то проступок, а потом еще и поехал на метро, стало достаточно легко.
Microsoft разрешила отказаться от паролей для аккаунтов
Microsoft предоставила возможность пользователям полностью отказаться от паролей в учетных записях. В компании считают пароли «устаревшими» и представляющими угрозу безопасности аккаунтов.
На выбор представляется сразу несколько альтернатив, включая биометрические. Подтверждать доступ к аккаунту можно будет с помощью мобильного телефона и электронной почты, приложения Microsoft Authenticator, распознавания отпечатка или лица с помощью Windows Hello, а также ключа безопасности.
Оплату лицом могут ввести в наземном транспорте Москвы, на МЦК и МЦД в 2022 году
Власти Москвы прорабатывают возможность подключения МЦД, МЦК и наземного транспорта к технологии оплаты проезда по лицу FacePay, сообщил заммэра столицы по вопросам транспорта Максим Ликсутов.
Кому не хватало подкастов по ИБ на русском? =) Вот отличный старт от Медиа Группы «Авангард». Ведущего, кстати, можно было не писать - кто же не знает его голос и манеру говорить? 😉
https://soundcloud.com/caatp2zvua7o/sets/soc-podcast
**Взлом госуслуг: мифы и реальность
**
В последнее время в СМИ обсуждаются множественные случаи взлома портала “Госуслуги”. В этой статье я постараюсь выяснить что из этого миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги.
Российская компания создала бесконтактный инфракрасный сканер для ладони
__Разработанный екатеринбургской компанией Biosmart (резидент «Сколково») первый в мире бесконтактный прибор сканирует кровеносные сосуды ладони. Делать свою работу ему не мешают ни грязь на руках, ни мелкие порезы, ни даже перчатки. На сканирование уходит не больше полусекунды.
По эффективности технология значительно превосходит зарубежные аналоги, представленные главным образом в Японии и Южной Корее: те сканируют ладонь с помощью ИК-излучения только одной длины (около 760 нм), поэтому камера помимо венозного рисунка невольно захватывает и некоторые видимые особенности ладони: складки, порезы, шрамы, которые зашумляют изображение рисунка вен и приводят к ошибкам в идентификации. PalmJet сканирует ладонь в диапазонах 850 и 940 нм, поэтому камера «видит» больше уникальных особенностей кровеносного рисунка, а число шумов и помех сокращается. Следовательно, качество идентификации выше.
Считыватель PalmJet нужен там, где требуется подтвердить личность человека, например для предоставления цифровых услуг (банковских или социальных сервисов), учета рабочего времени или прохода на закрытую территорию.__
Мошенники получают дубликаты сим-карт предпринимателей и крадут их деньги
__Исследователи из антивирусной компании ESET рассказали о набирающем обороты виде онлайн-мошенничества с сим-картами. С помощью новой схемы злоумышленники могут получить доступ к телефонному номеру жертвы и перевести его деньги из банковских приложений.
«Фишка» нового подхода в комбинации уже известных ранее мошеннических уловок, и, как предупредили в ESET, такой обман на практике очень сложно доказать. Всё начинается с создания поддельного аккаунта, который можно приобрести, например, на чёрном онлайн-рынке.
Невооруженный глаз не сможет отличить такие учётные записи от настоящих. Во-первых, они созданы несколько лет назад, во-вторых — содержат фотографии, которых нет в поиске Google и Яндекс.
Злоумышленники также обновляют контент таких учёток (пусть не так часто), чтобы поддерживать иллюзию активности живого пользователя. Жертву мошенники ищут в Facebook и Instagram, специально рассчитывая потенциальный успех социальной инженерии. Главный интерес представляют владельцы бизнеса, предприниматели.
Минцифры предложило собирать биометрию у водителей такси и каршеринга
__Минцифры разработало проект постановления правительства, в котором предлагается ввести сбор и обработку биометрических данных для идентификации водителей такси и каршеринга. Соответствующий документ опубликован на портале проектов нормативно-правовых актов.
«Случаями осуществления сбора и обработки используемых для… идентификации и аутентификации биометрических персональных данных… являются идентификация водителей легкового такси, идентификация водителей транспортных средств, предоставленных в краткосрочную (до 24 часов) аренду на основе поминутной тарификации физическим лицам для целей, не связанных с осуществлением такими физическими лицами предпринимательской деятельности (каршеринг)», — говорится в документе.
Минцифры также предложило собирать биометрию для прохода на территорию организаций финансового рынка и участия в собрании гражданско-правового сообщества.
Нововведения в случае одобрения вступят в силу с 1 января.
В начале лета стало известно, что Минцифры обсуждает с аэропортами пилотные проекты по регистрации пассажиров на рейс c помощью биометрических данных, без паспорта.__
Исследование: каждый шестой работник сталкивался с попыткой взлома рабочего пароля
Служба исследований российской платформы онлайн-рекрутинга hh.ru выяснила уровень цифровой гигиены и насколько строго работники российских компаний соблюдают правила кибербезопасности. Опрос проводился с 20 июля по 4 августа 2021 г. среди 1,2 тыс. респондентов со всей России.
__
Почти половина (46%) работников соблюдает одно из основных правил цифровой безопасности на работе и придумывают сложные пароли, имеющие от 7 до 10 символов. Наибольшая доля (53%) таких работников в Москве и Татарстане, а также среди высшего менеджмента, бухгалтерии, финансов и административного персонала.__
Свыше трети (37%) сотрудников компаний создает еще более сложные пароли из более чем 10 символов. Такие пароли использует каждый второй сотрудник из ИТ и молодой специалист в начале карьеры. Легко подбираемые пароли (до 7 символов) использует каждый шестой (17%) сотрудник в российских компаниях.
__
У 76% сотрудников рабочие пароли никогда не совпадают с используемыми для личных аккаунтов. У каждого пятого бывают пересечения, 2% всегда используют одинаковые пароли для личных и рабочих целей.__
__
Каждый третий (32%) работник старается менять рабочие пароли раз в 3-6 месяцев, каждый пятый – раз в месяц, каждый шестой – раз в год. При этом 25% респондентов никогда не меняют пароли, лишь меньшинство (5%) практикует частую смену пароля (раз в 1-2 недели).
__
Большинство (68%) сотрудников запоминает и держит в голове свои пароли – феноменальная память широко распространена среди работников отрасли транспорта и логистики, высшего менеджмента, молодежи и студентов. Каждый пятый (24%) записывает их в блокноте, 17% пользуются специальными менеджерами хранения паролей, 16% хранят в браузере, 12% записывают в заметки в мобильном телефоне. Меньше всего (4%) респондентов пользуются самым уязвимым методом – записывают пароли на стикере. Некоторые респонденты предпочитают лайфхаки хранения паролей собственной разработки: имеют алгоритм формирования паролей, который знают только они, придумывают наводящие вопросы, помогающие вспомнить пароль, а также «шифруют в текстах».
__
Подавляющее большинство (79%) работников указали, что в их компаниях не принято делиться паролями, в компаниях каждого десятого респондента такая практика существует. Чаще всего она встречается у работников компаний из Татарстана и Свердловской области, а также среди работников на производстве, в бухгалтерии и маркетинге. Чаще всего обмениваются паролями с коллегами в устной форме (72%), реже всего – по почте (13%). Каждому пятому (19%) работнику все же приходилось делиться своим паролем с коллегами, каждому шестому (15%) - с руководителем. Почти во всех случаях (95%) обмена паролем с коллегами или руководителем негативных последствий не возникло.__
__
Мнения о штрафах со стороны работодателя за случаи передачи паролей разделились поровну – 30% считают, что за такое поведение должны увольнять, 32% – не должны, 37% затруднились с ответом.
Каждый шестой (15%) работник сталкивался с попыткой взлома рабочего пароля, у 3% – попытка взлома увенчалась успехом хакеров. 67% респондентов не взламывали и не пытались взломать.__
__
В компаниях половины опрошенных респондентов действует политика и правила информационной безопасности, у свыше трети (35%) работников работодатель требует менять пароли с определенной периодичностью и придумывать сложный пароль. В компаниях каждого шестого (15%) работника не предпринимают никаких мер для обеспечения информационной безопасности. В редких случаях в компаниях действует двухфакторная аутентификация входа в рабочие приложения и регулярно проводятся пен-тесты. В компаниях 17% респондентов есть практика использования одного пароля на команду/отдел для доступа к информации или ресурсу, в половине из них этот пароль никогда не меняется.__
Использование «мастер-лиц» для обхода систем идентификации с распознаванием лиц (англ.)
«Мастер-лицо» - это изображение лица, которое проходит идентификацию на основе лица для значительной части населения, и может использоваться для обмана алгоритмов распознавания лиц с высокой вероятностью успеха без доступа к какой-либо пользовательской информации. Мы оптимизируем эти лица, используя эволюционный алгоритм в скрытом пространстве встраивания генератора лиц StyleGAN. Представленные нами результаты демонстрируют, что для трех ведущих систем глубокого распознавания лиц можно получить высокий охват населения (более 40%) с помощью менее 10 мастер-лиц.
Исследование с наглядной демонстрацией недостатков биометрии: …для трех ведущих систем глубокого распознавания лиц можно получить высокий охват населения (более 40%) с помощью менее 10 мастер-лиц.
Использование «мастер-лиц» для обхода систем идентификации с распознаванием лиц (англ.)
«Мастер-лицо» - это изображение лица, которое проходит идентификацию на основе лица для значительной части населения, и может использоваться для обмана алгоритмов распознавания лиц с высокой вероятностью успеха без доступа к какой-либо пользовательской информации. Мы оптимизируем эти лица, используя эволюционный алгоритм в скрытом пространстве встраивания генератора лиц StyleGAN. Представленные нами результаты демонстрируют, что для трех ведущих систем глубокого распознавания лиц можно получить высокий охват населения (более 40%) с помощью менее 10 мастер-лиц.
Эстонский хакер загрузил 286 тыс. фотографий из паспортов сограждан
__Эстонские власти сообщили о задержании местного жителя, который воспользовался уязвимостью в правительственной базе данных и загрузил 286 438 фотографий из паспортов эстонцев.
Как отметили правоохранители, своеобразная атака имела место в июле 2021 года. Подозреваемого арестовали на прошлой неделе, 23 июля. Пока полиция не раскрывает личность предполагаемого преступника. Известно лишь, что это мужчина, проживающий в Таллине.
Представители стороны обвинения отметили, что задержанный выявил уязвимость в БД, за которую отвечало эстонское государственное учреждение RIA. Оно же, кстати, управляет государственными ИТ-системами Эстонии. По словам ответственных лиц, база данных обычно проверяется пятью различными подсистемами. Только после этого она якобы выдаёт удостоверяющее личность фото.
«Подозреваемый обнаружил уязвимость в одном из наших приложений, которое, как оказалось, недостаточно хорошо проверяло валидность запроса», — пишет RIA.
Для эксплуатации дыры нужно было всего лишь предоставить имя гражданина Эстонии вместе с корректным идентификационным кодом.__
Новый Android-вредонос использует VNC для записи экрана и кражи паролей
__Прежде не встречавшийся экспертам Android-троян, открывающий злоумышленникам удалённый доступ к девайсам жертв, недавно был замечен в атаках на пользователей мобильных устройств.
Оказалось, что вредонос способен записывать экран и красть конфиденциальные данные. Троян получил имя «Vultur», поскольку он использует Virtual Network Computing (VNC), систему удалённого доступа к рабочему столу. Вредоносная программа распространяется через официальный магазин Google Play Store и маскируется под безобидное приложение «Protection Guard».
«Мы впервые наблюдаем банковский троян для операционной системы Android, который может записывать экран устройства и фиксировать нажатие клавиш. С помощью этих функций вредонос способен легко перехватывать учётные данные», — рассказывают специалисты компании ThreatFabric.
«Как правило, подобные трояны используют технику наложения окон, но в этом случае разработчики решили отойти от привычной практики. Этот метод, к слову, так же эффективно фиксирует пароли и другую конфиденциальную информацию».
Vultur задействует специальные возможности операционной системы Android и использует VNC для записи экрана и логирования активности на смартфоне. Кроме того, вредонос включает кросс-платформенную утилиту ngrok для установки удалённого доступа к VNC-серверу, запущенному локально на мобильном устройстве.__
**Seagate представил жесткие диски со сканером отпечатков пальцев
**
__Компания Seagate показала две новые модели внешних жестких дисков, получившие встроенный сканер отпечатка пальцев. Новые внешние диски уже появились в продаже по цене от 8,5 тыс. руб. за жесткие диски и от 9,1 тыс. руб. за SSD-носители.
В линейку Executive Fingerprint Secure вошли жесткие диски емкостью на 1 и 2 Тб и твердотельные SSD-накопители 512 Гб и 1 Тб.
Особенностью новинок стала защита данных в реальном времени на основе 256-битного аппаратного шифрования AES и технологии распознавания отпечатков пальцев. Система позволяет внести в память жесткого диска восемь отпечатков пользователей и отпечаток одного администратора — данные не хранятся в энергозависимой памяти компьютера или диска, что повышает безопасность информации на носителе.
Жесткие диски поддерживают интерфейс USB 3.2 GEN 1 с разъемом USB-C и могут работать как с компьютерами на Windows, так и на Mac OS, обеспечивая обмен данными со скоростью до 5 Гбит/с. Кроме компьютеров носители можно подключать к телевизорам.__
Минцифры запустило мобильное приложение для подписания договоров онлайн
__«Госключ» — сервис для пользователей портала госуслуг с подтвержденной учетной записью, которых сейчас почти 80 млн.
В приложении бесплатно создается электронная подпись пользователя, которая хранится в защищенной и безопасной инфраструктуре электронного правительства. Установить приложение и получить электронную подпись пользователь сможет менее, чем за три минуты.
Первым электронным договором, который можно подписать с помощью «Госключа», стал договор на оказание услуг сотовой связи. Сейчас эта возможность доступна для абонентов Tele2. В ближайшее время такую опцию откроют МТС, «Мегафон» и «Билайн».
В будущем перечень сделок и юридических документов, которые можно подписывать с помощью нового сервиса, будет расширен. В том числе планируется использование «Госключа» для онлайн-подписания договоров купли-продажи автомобиля и аренды недвижимости.
Эксперимент по использованию электронной подписи реализует Минцифры России в рамках Постановления Правительства России от 15 июля 2021 г. №1207. В проекте используются сервисы единой цифровой платформы для создания и выдачи электронной подписи, предоставляемые «Ростелекомом» и ВТБ.__
В московском метро начали тестировать систему оплаты с распознаванием лиц
__На Филевской линии Московского метро запускают тестирование оплаты проезда с помощью технологии Face Pay, сообщил столичный дептранс.
«На Филевской линии метро для пассажиров заработает Face Pay. Мы начинаем его тестирование — пока для 1000 человек», — говорится в сообщении.
Впоследствии тестирование расширится на все линии метро, увеличится и число участников теста. До конца этого года сервис будет доступен на всех станциях, подчеркнули в департаменте.
«Face Pay будет ещё одним удобным сервисом для пассажиров, но не обязательным. Уверены, такой способ выберут десятки тысяч москвичей, которые следят за трендами и любят современные технологии», — добавили в дептрансе.
О запуске Face Pay мэрия объявила осенью 2020 г. В мае этого года заммэра города по вопросам транспорта Максим Ликсутов сообщал, что технология несколько месяцев тестируется на отдельных станциях метро. Он рассказал, что пассажир метро должен будет остановиться у бокового правого турникета. Система «узнает» его, за полторы секунды списывает деньги с банковской карты, и пассажир проходит через турникет. Систему могут запустить также и на кассах в метро.__
«Это ни к чему хорошему не приведет»: бизнес раскритиковал предложения Минцифры по работе с биометрией
Ведомство выступило за запрет сбора таких данных для компаний с долей иностранного участия выше 49% и капиталом менее 500 млн рублей. Это ударит по банкам, торговым сетям, каршерингу и другим видам бизнеса, считает РСПП.
