«Мы на это не подписывались!» Как цифровые двойники зарабатывают деньги на госконтрактах
В редакцию Business FM обратилась компания, которая выяснила, что от ее имени кто-то получил цифровую подпись, после чего принял участие в госзакупках, выиграл торги и получил аванс от государства. Госзаказы псевдокомпания явно выполнять не собирается. При этом остановить процесс оказалось невозможно.
«Мы на это не подписывались!» Как цифровые двойники зарабатывают деньги на госконтрактах
В редакцию Business FM обратилась компания, которая выяснила, что от ее имени кто-то получил цифровую подпись, после чего принял участие в госзакупках, выиграл торги и получил аванс от государства. Госзаказы псевдокомпания явно выполнять не собирается. При этом остановить процесс оказалось невозможно.
Израильская армия использует технологии распознавания лиц для отслеживания палестинцев
__Израильские военные используют технологии распознавания лиц для отслеживания палестинцев на оккупированном Израилем Западном берегу реки Иордан. Бывшие израильские солдаты рассказали изданию The Washington Post о программном обеспечении для смартфонов под названием Blue Wolf, которое делает фотографии палестинцев и сопоставляет их с большой базой данных. Затем телефон оповещает солдата, следует ли арестовать, задержать или оставить данного человека в покое.
Израильская армия последние два года наполняла базу данных тысячами изображений палестинцев и даже проводила так называемые «конкурсы», награждая солдат за то, что они фотографировали как можно больше людей.__
Facebook откажется от использования системы распознавания лиц
__Компания Meta, которой принадлежит соцсеть, удалит шаблоны более одного миллиарда людей, поскольку регуляторы пока не регламентировали применение этой технологии.
«Мы прекращаем работу системы распознавания лиц в Facebook. Люди, которые соглашались ее использовать, больше не будут автоматически определяться на фото и видео»,— отметили в Meta.
По словам вице-президента по искусственному интеллекту в Facebook Джерома Песенти, регуляторы еще не создали определенный набор требований к использованию системы распознавания лиц, поэтому необходимо пока ограничить ее. Предполагается, что компания удалит шаблоны лиц к декабрю 2021 года.__
SSL сертификаты. Для чего они нужны, какие бывают, от чего защищают, кто использует, как долго действуют, есть ли гарантия? Разберем основные вопросы – кратко, в режиме твиттера – не более 280 символов на ответ.
ФБР получило ордер на разблокировку устройства с помощью биометрии
__Для получения информации о деятельности мужчины, обвиняемого в участии в захвате Капитолия 6 января 2021 года и нападении на полицейских с применением перцового баллончика, ФБР использовало один из самых противоречивых своих методов.
Как сообщает Forbes, 4 февраля нынешнего года агенты ФБР получили ордер на обыск по месту жительства подозреваемого в городе Юнионтаун (штат Пенсильвания, США) и разблокировку устройств с помощью его отпечатков пальцев, лица или других биометрических данных. Попав внутрь помещения, они обнаружили, что подозреваемый Питер Шварц (Peter Schwartz) использовал для разблокировки своего Samsung S10 отпечаток большого пальца.__
Сноуден: Не сдавайте свою биометрию в обмен на криптовалюту
__На днях новый стартап венчурного инвестора Сэма Альтмана Woldcoin вышел из режима секретности, раскрыв некоторые подробности о своих разработках. Компания создала устройство для сканирования радужки глаза и планирует выплачивать согласившимся пройти сканирование награду в собственной криптовалюте. Реализован проект на блокчейне Ethereum.
Разработчики заверяют, что как такового сбора биометрии в базу данных не происходит. Скан радужной оболочки глаза преобразуется в цифровой код прямо в устройстве. После этого исходные данные удаляются, а код хранится в распределенном реестре, служа уникальным идентификатором пользователя. Восстановить скан по коду невозможно.
Эдвард Сноуден, известный сторонник конфиденциальности, раскритиковал создание базы биометрических данных стартапом Worldcoin. Сноуден призвал своих подписчиков в Twitter не обменивать свои биометрические данные на криптовалюту.__
__Пользователи очень любят простые пароли. Причины этого могут быть разные - кто-то просто не задумывается о сложности пароля, кому-то лень запоминать, а кому-то просто нравится когда в качестве пароля используется распространенное, но крутое слово.
Адекватной реакцией на эту проблему со стороны разработчиков является проверка пользовательских паролей и, соответственно если пароль слишком прост, предложение создать пароль посерьезней. Давайте рассмотрим как можно реализовать наиболее распространенные проверки.__
**И снова про безопасность банков и СМС
**
Сегодня меня попытались “развести” интернет-мошенники. Схема обычная и нехитрая - “у вас скомпрометирована карта, пришлите код из СМС чтобы мы заблокировали операцию”. Код, естественно, никуда не ушел, но мне стало любопытно какие же мои данные “утекли” и что с подобным кодом могли сделать жулики, я проверил - и мне стало реально страшно.
Правительство разрешило собирать биометрию водителей каршеринга и такси
__Правительство утвердило перечень случаев, в которых нефинансовые организации смогут собирать и обрабатывать в информационных системах персональные биометрические данные физлиц. Соответствующее постановление подписал премьер-министр Михаил Мишустин. Документ опубликован на официальном портале правовой информации.
Документ разрешает использование биометрических данных для идентификации и аутентификации водителей легковых такси и автомобилей каршеринга.
В Минцифры заверили, что в постановлении правительства описана ситуация, когда владельцы такси или каршеринга по собственной инициативе используют коммерческие биометрические системы. Они смогут предоставлять услуги по биометрической идентификации только при условии наличия аккредитации на предмет соответствия требованиям по информационной безопасности и хранению биометрических персональных данных. Ее будет проводить Минцифры с 2022 года.
Постановление вступит в силу 1 марта 2022 года и будет действовать шесть лет.__
Новый метод на базе ИИ позволяет подсмотреть вводимый PIN-код в банкоматах
__Исследователи из Италии и Нидерландов разработали метод машинного обучения, способный определять вводимый человеком PIN-код в банкомат. Новый метод работает даже в тех случаях, когда клиент банкомата прикрывает рукой панель ввода.
Поскольку экран банкомата вряд ли будет скрыт во время ввода PIN-кода, время нажатия клавиши может быть установлено путем синхронизации движений руки с появлением «замаскированных» цифр (обычно звездочек), которые появляются на экране банкомата в ответ на запрос пользователя. Синхронизация показывает точное расположение рук в «скрытом» сценарии в момент ввода.
Рассматривая меры противодействия существующим системам, исследователи считают, что реально действенных средств защиты от такого рода атак не существует. Увеличение минимального числа необходимых цифр в PIN-коде затруднит запоминание чисел, случайный порядок расположения цифровых клавиш на программной клавиатуре сенсорного экрана также вызывает проблемы с удобством использования, а защитные пленки для экрана не только будут дорогими для установки на существующие банкоматы, но и, возможно, сделают способ атаки еще более простым в реализации. Исследователи утверждают, что их атака работоспособна даже тогда, когда скрыто 75% клавиатуры (закрытие большего количества затрудняет ввод текста пользователем).__
7-Eleven собрала биометрические данные 1,7 млн человек без их согласия
__Австралийский комиссар по информации обнаружил , что оператор крупнейшей сети небольших магазинов 7-Eleven нарушал приватность своих клиентов, собирая биометрическую информацию без их согласия.
С июня 2020-го по август 2021 года компания 7-Eleven проводила исследование, в ходе которого клиенты заполняли опросники на планшетах со встроенными камерами. Эти планшеты, установленные в 700 магазинах, захватывали изображения лиц участников опроса два раза - в процессе заполнения и после.
Узнав об этом в июле прошлого года, Управление австралийского комиссара по информации (Office of the Australian Information Commissioner, OAIC) инициировало расследование.__
Власти решили перенести переход бизнеса на новый формат электронной подписи
__Власти приняли решение перенести последний этап реформы электронной подписи на более поздние сроки. Об этом сообщил РБК со ссылкой на источники среди участников рынка. Изначально планировалось, что бизнес с 1 января 2022 г. перейдет на машиночитаемые доверенности — электронные документы, подтверждающие, что сотрудник имеет право подписывать документ от имени организации.
Представитель аппарата вице-премьера Дмитрия Чернышенко подтвердил, что на совещании у вице-премьера было принято решение, что в 2022 г. будет введен переходный период для использования так называемых машиночитаемых доверенностей. В течение следующего года такие электронные документы можно будет применять добровольно, а аккредитованные удостоверяющие центры смогут, как и раньше, выпускать на сотрудников электронные подписи с привязкой к организации.__
Мэрия Москвы планирует контролировать ношение масок в ТЦ с помощью камер
__Мэрия Москвы потребовала от торговых центров записи с камер, которые подключат к городской системе видеонаблюдения, чтобы следить за соблюдением масочного режима, __сообщил __«Коммерсантъ» со ссылкой на источник, присутствовавший на совещании в департаменте торговли и услуг Москвы 13 октября.
Торговые центры получили указание до 20 октября интегрировать видеокамеры с входных групп объектов с единым центром хранения данных (ЕЦХД) мэрии города. В инструкции для ТЦ говорится, что разрешение камеры должно быть не ниже 720p, частота кадров — 15-25 кадров в секунду.
Администрация ТЦ должна назначить ответственного для взаимодействия с департаментом информационных технологий (ДИТ) Москвы. На запрос издания в ДИТ не ответили__.
**Банки попросили ЦБ отложить обязательную выдачу кредитов по биометрии
**
Банки не успевают выполнить новые требования так называемого антиотмывочного закона о запуске с 1 января 2022 года возможности дистанционного открытия счетов, вкладов и выдаче кредитов с помощью Единой биометрической системы (ЕБС). Ассоциация банков «Россия» (АБР), в которую входят крупнейшие кредитные организации, попросила ЦБ фактически перенести срок вступления этих требований на 1 января 2023 года — до этого времени регулятору предлагается не применять к банкам меры воздействия (закон о ЦБ включает в их число штрафы, ограничение операций, ограничение компенсирующих выплат сотрудникам, назначение временной администрации и т.д.).
Дипфейк-голоса могут обмануть IoT-устройства и людей после пяти секунд обучения
__Исследователи из Чикагского университета протестировали программы синтеза дипфейк-голосов, доступные на сайте сообщества разработчиков с открытым исходным кодом Github, с целью узнать, могут ли они обойти системы распознавания голоса в Amazon Alexa, WeChat и Microsoft Azure.
По словам разработчиков программе требуется всего пять секунд для создания приемлемой имитации. Созданный «набор инструментов для клонирования голоса в реальном времени» был в состоянии обмануть Microsoft Azure примерно в 30% случаев и в 63% случаев успешно обманывал WeChat и Amazon Alexa.
Программа смогла обмануть и человеческие уши — из 200 добровольцев, которых просили определить настоящие голоса среди дипфейков, примерно в половине случаев ответы были неправильные.__
Google раздал 10 тысяч флэшек с ключами безопасности
__Google бесплатно раздал USB-ключи безопасности 10 тыс. пользователям с высоким риском быть взломанными хакерами. Как сообщает «Би-би-си», это специальные флешки с паролями от аккаунтов, обеспечивающие дополнительный уровень безопасности.
Флэшки с ключами безопасности были розданы, в первую очередь, людям с высоким риском взлома. К ним относятся политики и правозащитники. С помощью USB-ключей пользователи смогут настроить двухфакторную аутентификацию.__
Баг LibreOffice и OpenOffice позволяет подделать подписанные документы
__Разработчики LibreOffice и OpenOffice выпустили обновления, призванные устранить уязвимость в этих офисных пакетах. Согласно описанию, брешь позволяет злоумышленникам замаскировать файлы под документы, подписанные надёжным источником.
Несмотря на то что баг получил среднюю степень риска, его эксплуатация может привести к печальным последствиям, поскольку пользователи склонны доверять подписанным документам. С помощью бреши любой может выдать документ за доверенный, а потом выполнить вредоносный код на компьютере жертвы.__
__Говорят, что лучший менеджер паролей — это наш мозг. В этом утверждении есть смысл, но иногда приходится задействовать и внешние ресурсы. Сегодня мы хотим рассказать о лучших менеджерах паролей 2021 года, которые могут сделать вашу жизнь немного проще.
Выбрать удобный и надёжный менеджер паролей — непростая задача. Вы должны действительно доверять сервису. В конце концов, именно он будет хранить ваши секретные данные.
Мы протестировали два десятка менеджеров паролей и выбрали десять, которые являются лучшими с точки зрения функциональности, безопасности и удобства. Все оценки субъективны, конечно же.__
Avanpost FAM обеспечит многофакторную аутентификацию для Microsoft Exchange
__«Аванпост», российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия, успешно интегрировала систему Avanpost FAM с корпоративной почтой Microsoft Exchange.
Avanpost FAM помогает обеспечить централизованный контроль доступа пользователей к корпоративной почте Microsoft Exchange и использует для ее защиты современные способы многофакторной аутентификации. При этом система позволяет защитить почту не только веб-клиентов, но и пользователей мобильных приложений Outlook, подключаемых по Exchange ActiveSync. Данное решение позволяет отказаться от стандартного подхода к многофакторной аутентификации в Exchange с использованием облачного сервиса MFA, позволяя реализовать аутентификацию в on-premise-инфраструктуре организации.__
На всех станциях московского метро начала работать система оплаты по лицу
Face Pay – это один из способов оплаты, к которому можно подключиться по желанию. Для использования оплаты проезда по лицу пассажиру нужно привязать свою фотографию, банковскую карту и карту «Тройка» к сервису в приложении «Метро Москвы». Затем камера на турникете будет распознавать лицо человека, и система автоматически спишет деньги за проезд.
На всех станциях московского метро начала работать система оплаты по лицу
Face Pay – это один из способов оплаты, к которому можно подключиться по желанию. Для использования оплаты проезда по лицу пассажиру нужно привязать свою фотографию, банковскую карту и карту «Тройка» к сервису в приложении «Метро Москвы». Затем камера на турникете будет распознавать лицо человека, и система автоматически спишет деньги за проезд.
Скандально известный хакер опубликовал логины и пароли к 500 тыс. VPN-устройств Fortinet
**
**Администратор форума RAMP и бывший оператор шифровальной группировки Babuk выложил реквизиты доступа к полумиллиону скомпрометированных устройств Fortinet. Уязвимости в них устранены, но администраторы забыли сменить логины и пароли.
__Европарламент проголосовал за резолюцию, призывающую к полному запрету биометрических систем массового слежения, использующих технологии искусственного интеллекта. Речь идет в первую очередь о системах распознавания лица.
Основным мотивом для озабоченности европарламентариев стали риски дискриминации, необъективности и несправедливости при использовании данных систем правоохранительными органами. В ходе обсуждения были представлены многочисленные примеры, доказывающие несовершенство и ошибочность работы систем распознавания лиц.__
__Российские власти готовятся к очередному этапу цифровизации страны. Минцифры создало рабочую группу, в рамках которой будет разрабатываться механизм внедрения усиленных квалифицированных электронных подписей (УКЭП) в SIM-карты граждан. Это позволит в перспективе полностью избавиться от необходимости в физических подписях документов.
В сообщении Минцифры сказано о том, что усиленные квалифицированные электронные подписи (УКЭП) можно будет ставить на базе стандартных сим-карт для телефонов. Поскольку такая подпись защищена и программно, и юридически, сопоставима по значимости с личной, такой подход избавит россиян от многих проблем при проведении критически важных и рискованных операций, а также избавит от необходимости личного посещения различных инстанций. Как именно будет реализована технология УКЭП на сим-картах, не уточняется.__
Google самостоятельно подключит пользователей к двухфакторной аутентификации
__Американская корпорация Google к концу 2021 года автоматически подключит к двухфакторной аутентификации свыше 150 млн пользователей, а также более 2 млн авторов на YouTube. В компании считают, что это поможет усилить безопасность учетных записей.
Сейчас Google автоматически включает двухэтапную аутентификацию в тех аккаунтах, где указан номер телефона или резервный адрес электронной почты. Ранее, в мае 2021 года, Google разрешила поставить пароль на историю действий на сайтах, в приложениях и сервисах Google, поисковые запросы, историю просмотров YouTube и вопросы «Google Ассистенту».
__
https://www.kommersant.ru/doc/5018924
«Яндекс» будет предупреждать о скомпрометированных паролях
__Российская компания «Яндекс» объявила об усилении безопасности аккаунтов пользователей. Теперь при входе в учетную запись пароль будет проверяться на надежность: если он был скомпрометирован, «Яндекс» попросит поменять пароль.
«Яндекс» будет осуществлять проверку по базе из 1,2 млрд скомпрометированных паролей, пополняемых из открытых источников. Будут учитываться пароли, раскрытые в результате утечек данных. Если пароль был скомпрометирован, то «Яндекс» попросит его сменить и подтвердить права на аккаунт через СМС. Также «Яндекс» теперь будет присылать уведомления обо всех входах в учетную запись, чтобы можно было сразу принять меры и защитить аккаунт.__
Mozilla: Бэтмен и Человек-паук чаще всего фигурируют в слитых паролях
__Пароли с отсылками к фильмам про супергероев стали чаще фигурировать в базах скомпрометированных учётных данных. Об этом говорит исследование, которое недавно провели специалисты компании Mozilla.
В этот раз исследователи решили выяснить, какие пароли чаще всего встречаются в утечках. Удивительно, но пользователи довольно часто задействуют имена супергероев для защиты своих аккаунтов. Например, Супермен встретился аналитикам 368 397 раз, Бэтмен — 226 327 раз, Человек-паук — 160 030. Росомаха и Железный человек тоже фигурировали в тысячах утечек.__
Касперская посоветовала россиянам не сдавать биометрические данные
__Президент InfoWatch Наталья Касперская посоветовала не сдавать биометрические данные из-за отсутствия понимания, как их будут защищать, сообщили «РИА Новости».
«Моя личная рекомендация: ни в коем случае не сдавать биометрические данные, не вестись на удобство. Их практически с гарантией украдут, продадут, сольют. Давайте нам сначала объяснят: как эти данные планируется защищать, в том числе от своих сотрудников. При этом мне лично непонятно, а зачем вообще нужно использование биометрии?» — сказала она.__
2fa.directory - ресурс с информацией о вариантах поддержки двухфакторной аутентификации (2FA) популярными сайтами. Всё разбито по категориям, есть поиск и ссылки на документацию. Вот, например, информация о социальных сетях/сервисах: https://2fa.directory/#social
2fa.directory - ресурс с информацией о вариантах поддержки двухфакторной аутентификации (2FA) популярными сайтами. Всё разбито по категориям, есть поиск и ссылки на документацию. Вот, например, информация о социальных сетях/сервисах: https://2fa.directory/#social
The Rise of One-Time Password Interception Bots - пост Брайна Кребса про сервисы перехвата одноразовых паролей (One-Time Password):
__Клиент (злоумышленник) OTP Agency (прим. - __это один из таких сервисов) вводит номер телефона и имя жертвы, а затем служба инициирует автоматический телефонный звонок, который предупреждает этого человека о несанкционированной активности в его аккаунте. Далее голосовой бот предлагает пользователю ввести OTP-пароль, сгенерированный мобильным приложением его телефона («для целей аутентификации»), после чего этот полученный код сообщается злоумышленнику через веб-сайт OTP Agency.
SRP-6a. Безопасная аутентификация по небезопасному каналу
Как аутентифицировать пользователя без передачи пароля на сервер? Возможно ли проверить, что пользователь ввёл правильный пароль, не передавая пароль на сервер. Да, такое возможно, благодаря доказательству нулевого разглашения.
Вывод (спойлер):
SRP является отличным протоколом парольной аутентификации, устойчив к перебору по словарю, прослушиванию, подмены. Аутентификационные данные хранятся на сервере в виде, не позволяющем извлечь первоначальный пароль. Более того, алгоритм может использоваться для шифрования передаваемых данных.
Баг в драйвере AMD CPU может раскрыть пароли пользователей Windows
Американская компания AMD, производящая процессоры, настоятельно рекомендует пользователям операционной системы Winodws установить все вышедшие обновления. Оказалось, что разработчики пропатчили опасную уязвимость, с помощью которой злоумышленники могут снять дамп системной памяти и украсть конфиденциальные данные. Эта брешь отслеживается под идентификатором CVE-2021-26333 и затрагивает компьютеры с процессорами от AMD. Как объяснил сооснователь ZeroPeril, обнаруживший уязвимость, основная проблема заключается в драйвере AMD Platform Security Processor (PSP), который, по сути, является эквивалентом Intel SGX.
Сегодня в 11 МСК конференция Гротек: Защита информации в АСУ ТП. Безопасность критической информационной инфраструктурыhttps://www.tbforum.ru/online/2021/kii
Злоумышленники измазали солидолом самокаты в Москве в конце августа. А к середине сентября их не только нашли. Они успели подписать мировое соглашение с владельцами испорченных самокатов — «Яндексом» и сервисами Whoosh и Urent. И теперь заплатят им миллион рублей компенсации. То есть вычислили «солидольщиков» очень быстро. И сделали это, судя по всему, по записям камер наблюдения. Ими увешана вся Москва. В столице работает система распознавания лиц, которая позволяет узнать человека, даже если он в медицинской маске. Плюс к этому многие используют транспортную карту «Тройка». И найти человека, который совершил какой-то проступок, а потом еще и поехал на метро, стало достаточно легко.
Microsoft разрешила отказаться от паролей для аккаунтов
Microsoft предоставила возможность пользователям полностью отказаться от паролей в учетных записях. В компании считают пароли «устаревшими» и представляющими угрозу безопасности аккаунтов.
На выбор представляется сразу несколько альтернатив, включая биометрические. Подтверждать доступ к аккаунту можно будет с помощью мобильного телефона и электронной почты, приложения Microsoft Authenticator, распознавания отпечатка или лица с помощью Windows Hello, а также ключа безопасности.
Оплату лицом могут ввести в наземном транспорте Москвы, на МЦК и МЦД в 2022 году
Власти Москвы прорабатывают возможность подключения МЦД, МЦК и наземного транспорта к технологии оплаты проезда по лицу FacePay, сообщил заммэра столицы по вопросам транспорта Максим Ликсутов.
