Бортовой журнал

**Взлом госуслуг: мифы и реальность ** В последнее время в СМИ обсуждаются множественные случаи взлома портала “Госуслуги”. В этой статье я постараюсь выяснить что из этого миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги.

https://habr.com/ru/post/569370/

Российская компания создала бесконтактный инфракрасный сканер для ладони

__Разработанный екатеринбургской компанией Biosmart (резидент «Сколково») первый в мире бесконтактный прибор сканирует кровеносные сосуды ладони. Делать свою работу ему не мешают ни грязь на руках, ни мелкие порезы, ни даже перчатки. На сканирование уходит не больше полусекунды.

По эффективности технология значительно превосходит зарубежные аналоги, представленные главным образом в Японии и Южной Корее: те сканируют ладонь с помощью ИК-излучения только одной длины (около 760 нм), поэтому камера помимо венозного рисунка невольно захватывает и некоторые видимые особенности ладони: складки, порезы, шрамы, которые зашумляют изображение рисунка вен и приводят к ошибкам в идентификации. PalmJet сканирует ладонь в диапазонах 850 и 940 нм, поэтому камера «видит» больше уникальных особенностей кровеносного рисунка, а число шумов и помех сокращается. Следовательно, качество идентификации выше.

Считыватель PalmJet нужен там, где требуется подтвердить личность человека, например для предоставления цифровых услуг (банковских или социальных сервисов), учета рабочего времени или прохода на закрытую территорию.__

https://www.kommersant.ru/doc/4946312

Мошенники получают дубликаты сим-карт предпринимателей и крадут их деньги

__Исследователи из антивирусной компании ESET рассказали о набирающем обороты виде онлайн-мошенничества с сим-картами. С помощью новой схемы злоумышленники могут получить доступ к телефонному номеру жертвы и перевести его деньги из банковских приложений.

«Фишка» нового подхода в комбинации уже известных ранее мошеннических уловок, и, как предупредили в ESET, такой обман на практике очень сложно доказать. Всё начинается с создания поддельного аккаунта, который можно приобрести, например, на чёрном онлайн-рынке.

Невооруженный глаз не сможет отличить такие учётные записи от настоящих. Во-первых, они созданы несколько лет назад, во-вторых — содержат фотографии, которых нет в поиске Google и Яндекс.

Злоумышленники также обновляют контент таких учёток (пусть не так часто), чтобы поддерживать иллюзию активности живого пользователя. Жертву мошенники ищут в Facebook и Instagram, специально рассчитывая потенциальный успех социальной инженерии. Главный интерес представляют владельцы бизнеса, предприниматели.

__https://www.anti-malware.ru/news/2021-08-06-111332/36619

Минцифры предложило собирать биометрию у водителей такси и каршеринга

__Минцифры разработало проект постановления правительства, в котором предлагается ввести сбор и обработку биометрических данных для идентификации водителей такси и каршеринга. Соответствующий документ опубликован на портале проектов нормативно-правовых актов.

«Случаями осуществления сбора и обработки используемых для… идентификации и аутентификации биометрических персональных данных… являются идентификация водителей легкового такси, идентификация водителей транспортных средств, предоставленных в краткосрочную (до 24 часов) аренду на основе поминутной тарификации физическим лицам для целей, не связанных с осуществлением такими физическими лицами предпринимательской деятельности (каршеринг)», — говорится в документе.

Минцифры также предложило собирать биометрию для прохода на территорию организаций финансового рынка и участия в собрании гражданско-правового сообщества.

Нововведения в случае одобрения вступят в силу с 1 января. В начале лета стало известно, что Минцифры обсуждает с аэропортами пилотные проекты по регистрации пассажиров на рейс c помощью биометрических данных, без паспорта.__

https://www.vedomosti.ru/technology/news/2021/08/08/881250-mintsifri-predlozhilo-sobirat-biometriyu-u-voditelei-taksi-i-karsheringa

Исследование: каждый шестой работник сталкивался с попыткой взлома рабочего пароля

Служба исследований российской платформы онлайн-рекрутинга hh.ru выяснила уровень цифровой гигиены и насколько строго работники российских компаний соблюдают правила кибербезопасности. Опрос проводился с 20 июля по 4 августа 2021 г. среди 1,2 тыс. респондентов со всей России. __ Почти половина (46%) работников соблюдает одно из основных правил цифровой безопасности на работе и придумывают сложные пароли, имеющие от 7 до 10 символов. Наибольшая доля (53%) таких работников в Москве и Татарстане, а также среди высшего менеджмента, бухгалтерии, финансов и административного персонала.__

Свыше трети (37%) сотрудников компаний создает еще более сложные пароли из более чем 10 символов. Такие пароли использует каждый второй сотрудник из ИТ и молодой специалист в начале карьеры. Легко подбираемые пароли (до 7 символов) использует каждый шестой (17%) сотрудник в российских компаниях. __ У 76% сотрудников рабочие пароли никогда не совпадают с используемыми для личных аккаунтов. У каждого пятого бывают пересечения, 2% всегда используют одинаковые пароли для личных и рабочих целей.__ __ Каждый третий (32%) работник старается менять рабочие пароли раз в 3-6 месяцев, каждый пятый – раз в месяц, каждый шестой – раз в год. При этом 25% респондентов никогда не меняют пароли, лишь меньшинство (5%) практикует частую смену пароля (раз в 1-2 недели). __ Большинство (68%) сотрудников запоминает и держит в голове свои пароли – феноменальная память широко распространена среди работников отрасли транспорта и логистики, высшего менеджмента, молодежи и студентов. Каждый пятый (24%) записывает их в блокноте, 17% пользуются специальными менеджерами хранения паролей, 16% хранят в браузере, 12% записывают в заметки в мобильном телефоне. Меньше всего (4%) респондентов пользуются самым уязвимым методом – записывают пароли на стикере. Некоторые респонденты предпочитают лайфхаки хранения паролей собственной разработки: имеют алгоритм формирования паролей, который знают только они, придумывают наводящие вопросы, помогающие вспомнить пароль, а также «шифруют в текстах». __ Подавляющее большинство (79%) работников указали, что в их компаниях не принято делиться паролями, в компаниях каждого десятого респондента такая практика существует. Чаще всего она встречается у работников компаний из Татарстана и Свердловской области, а также среди работников на производстве, в бухгалтерии и маркетинге. Чаще всего обмениваются паролями с коллегами в устной форме (72%), реже всего – по почте (13%). Каждому пятому (19%) работнику все же приходилось делиться своим паролем с коллегами, каждому шестому (15%) - с руководителем. Почти во всех случаях (95%) обмена паролем с коллегами или руководителем негативных последствий не возникло.__ __ Мнения о штрафах со стороны работодателя за случаи передачи паролей разделились поровну – 30% считают, что за такое поведение должны увольнять, 32% – не должны, 37% затруднились с ответом. Каждый шестой (15%) работник сталкивался с попыткой взлома рабочего пароля, у 3% – попытка взлома увенчалась успехом хакеров. 67% респондентов не взламывали и не пытались взломать.__ __ В компаниях половины опрошенных респондентов действует политика и правила информационной безопасности, у свыше трети (35%) работников работодатель требует менять пароли с определенной периодичностью и придумывать сложный пароль. В компаниях каждого шестого (15%) работника не предпринимают никаких мер для обеспечения информационной безопасности. В редких случаях в компаниях действует двухфакторная аутентификация входа в рабочие приложения и регулярно проводятся пен-тесты. В компаниях 17% респондентов есть практика использования одного пароля на команду/отдел для доступа к информации или ресурсу, в половине из них этот пароль никогда не меняется.__

https://safe.cnews.ru/news/line/2021-08-09_issledovanie_kazhdyj_shestoj

В этом году GIS Days 2021 с 06 по 08 октября сразу в Мск и СПб: https://gisdays.ru

Исследование с наглядной демонстрацией недостатков биометрии: …для трех ведущих систем глубокого распознавания лиц можно получить высокий охват населения (более 40%) с помощью менее 10 мастер-лиц.

Использование «мастер-лиц» для обхода систем идентификации с распознаванием лиц (англ.)

«Мастер-лицо» - это изображение лица, которое проходит идентификацию на основе лица для значительной части населения, и может использоваться для обмана алгоритмов распознавания лиц с высокой вероятностью успеха без доступа к какой-либо пользовательской информации. Мы оптимизируем эти лица, используя эволюционный алгоритм в скрытом пространстве встраивания генератора лиц StyleGAN. Представленные нами результаты демонстрируют, что для трех ведущих систем глубокого распознавания лиц можно получить высокий охват населения (более 40%) с помощью менее 10 мастер-лиц.

https://arxiv.org/pdf/2108.01077.pdf

Эстонский хакер загрузил 286 тыс. фотографий из паспортов сограждан

__Эстонские власти сообщили о задержании местного жителя, который воспользовался уязвимостью в правительственной базе данных и загрузил 286 438 фотографий из паспортов эстонцев.

Как отметили правоохранители, своеобразная атака имела место в июле 2021 года. Подозреваемого арестовали на прошлой неделе, 23 июля. Пока полиция не раскрывает личность предполагаемого преступника. Известно лишь, что это мужчина, проживающий в Таллине.

Представители стороны обвинения отметили, что задержанный выявил уязвимость в БД, за которую отвечало эстонское государственное учреждение RIA. Оно же, кстати, управляет государственными ИТ-системами Эстонии. По словам ответственных лиц, база данных обычно проверяется пятью различными подсистемами. Только после этого она якобы выдаёт удостоверяющее личность фото.

«Подозреваемый обнаружил уязвимость в одном из наших приложений, которое, как оказалось, недостаточно хорошо проверяло валидность запроса», — пишет RIA.

Для эксплуатации дыры нужно было всего лишь предоставить имя гражданина Эстонии вместе с корректным идентификационным кодом.__

https://www.anti-malware.ru/news/2021-07-30-111332/36550

Новый Android-вредонос использует VNC для записи экрана и кражи паролей

__Прежде не встречавшийся экспертам Android-троян, открывающий злоумышленникам удалённый доступ к девайсам жертв, недавно был замечен в атаках на пользователей мобильных устройств.

Оказалось, что вредонос способен записывать экран и красть конфиденциальные данные. Троян получил имя «Vultur», поскольку он использует Virtual Network Computing (VNC), систему удалённого доступа к рабочему столу. Вредоносная программа распространяется через официальный магазин Google Play Store и маскируется под безобидное приложение «Protection Guard».

«Мы впервые наблюдаем банковский троян для операционной системы Android, который может записывать экран устройства и фиксировать нажатие клавиш. С помощью этих функций вредонос способен легко перехватывать учётные данные», — рассказывают специалисты компании ThreatFabric.

«Как правило, подобные трояны используют технику наложения окон, но в этом случае разработчики решили отойти от привычной практики. Этот метод, к слову, так же эффективно фиксирует пароли и другую конфиденциальную информацию».  

Vultur задействует специальные возможности операционной системы Android и использует VNC для записи экрана и логирования активности на смартфоне. Кроме того, вредонос включает кросс-платформенную утилиту ngrok для установки удалённого доступа к VNC-серверу, запущенному локально на мобильном устройстве.__

https://www.anti-malware.ru/news/2021-07-29-111332/36546

**Seagate представил жесткие диски со сканером отпечатков пальцев ** __Компания Seagate показала две новые модели внешних жестких дисков, получившие встроенный сканер отпечатка пальцев. Новые внешние диски уже появились в продаже по цене от 8,5 тыс. руб. за жесткие диски и от 9,1 тыс. руб. за SSD-носители.

В линейку Executive Fingerprint Secure вошли жесткие диски емкостью на 1 и 2 Тб и твердотельные SSD-накопители 512 Гб и 1 Тб.

Особенностью новинок стала защита данных в реальном времени на основе 256-битного аппаратного шифрования AES и технологии распознавания отпечатков пальцев. Система позволяет внести в память жесткого диска восемь отпечатков пользователей и отпечаток одного администратора — данные не хранятся в энергозависимой памяти компьютера или диска, что повышает безопасность информации на носителе.

Жесткие диски поддерживают интерфейс USB 3.2 GEN 1 с разъемом USB-C и могут работать как с компьютерами на Windows, так и на Mac OS, обеспечивая обмен данными со скоростью до 5 Гбит/с. Кроме компьютеров носители можно подключать к телевизорам.__

https://www.kommersant.ru/doc/4920105

Минцифры запустило мобильное приложение для подписания договоров онлайн

__«Госключ» — сервис для пользователей портала госуслуг с подтвержденной учетной записью, которых сейчас почти 80 млн.

В приложении бесплатно создается электронная подпись пользователя, которая хранится в защищенной и безопасной инфраструктуре электронного правительства. Установить приложение и получить электронную подпись пользователь сможет менее, чем за три минуты.

Первым электронным договором, который можно подписать с помощью «Госключа», стал договор на оказание услуг сотовой связи. Сейчас эта возможность доступна для абонентов Tele2. В ближайшее время такую опцию откроют МТС, «Мегафон» и «Билайн».

В будущем перечень сделок и юридических документов, которые можно подписывать с помощью нового сервиса, будет расширен. В том числе планируется использование «Госключа» для онлайн-подписания договоров купли-продажи автомобиля и аренды недвижимости.

Эксперимент по использованию электронной подписи реализует Минцифры России в рамках Постановления Правительства России от 15 июля 2021 г. №1207. В проекте используются сервисы единой цифровой платформы для создания и выдачи электронной подписи, предоставляемые «Ростелекомом» и ВТБ.__

https://www.cnews.ru/news/line/2021-08-03_mintsifry_zapustilo_mobilnoe

В московском метро начали тестировать систему оплаты с распознаванием лиц

__На Филевской линии Московского метро запускают тестирование оплаты проезда с помощью технологии Face Pay, сообщил столичный дептранс.

«На Филевской линии метро для пассажиров заработает Face Pay. Мы начинаем его тестирование — пока для 1000 человек», — говорится в сообщении.

Впоследствии тестирование расширится на все линии метро, увеличится и число участников теста. До конца этого года сервис будет доступен на всех станциях, подчеркнули в департаменте.

«Face Pay будет ещё одним удобным сервисом для пассажиров, но не обязательным. Уверены, такой способ выберут десятки тысяч москвичей, которые следят за трендами и любят современные технологии», — добавили в дептрансе.

О запуске Face Pay мэрия объявила осенью 2020 г. В мае этого года заммэра города по вопросам транспорта Максим Ликсутов сообщал, что технология несколько месяцев тестируется на отдельных станциях метро. Он рассказал, что пассажир метро должен будет остановиться у бокового правого турникета. Система «узнает» его, за полторы секунды списывает деньги с банковской карты, и пассажир проходит через турникет. Систему могут запустить также и на кассах в метро.__

https://www.vedomosti.ru/technology/news/2021/07/31/880323-v-moskovskom-metro-nachali-testirovat-sistemu-oplati-s-raspoznavaniem-lits

«Это ни к чему хорошему не приведет»: бизнес раскритиковал предложения Минцифры по работе с биометрией

Ведомство выступило за запрет сбора таких данных для компаний с долей иностранного участия выше 49% и капиталом менее 500 млн рублей. Это ударит по банкам, торговым сетям, каршерингу и другим видам бизнеса, считает РСПП.

https://www.bfm.ru/news/478407

**Менеджер паролей с GPG шифрованием: настройка PASS на iOS + Git ** __Менеджер паролей PASS имеет большую поддержку со стороны сообщества. Есть бесшовная синхронизация через git между экземплярами PASS на компе, ноутах, телефонах. Существуют реализации программы для Android и iOS, плагины для веб-браузеров Chrome и Firefox, графические клиенты для Windows, Mac и Linux, расширения для Alfred, dmenu, rofi и Emacs, скрипты для импорта паролей из других менеджеров паролей!

PASS покрывает возможность хранения всей базы паролей на своем сервере/локальном компьютере/флешке/диске. Поддерживается возможность делать быстрый backup паролей. Вы вольны выбирать какой тип шифрования использовать для сокрытия ваших паролей и любой другой приватной информации!__

https://habr.com/ru/company/ruvds/blog/566042/

Из-за бага Kaspersky Password Manager позволял генерировать слабые пароли

__В прошлом году разработчики Kaspersky Password Manager (KPM) попросили пользователей обновить свои пароли на более стойкие. Теперь специалисты Ledger Donjon (ИБ-подразделение компании Ledger, разрабатывающей крипокошельки) рассказали о том, почему это произошло, и какие проблемы они обнаружили в KPM некоторое время назад.

По словам исследователей, создаваемые с использованием времени пароли были весьма ограничены, и их можно было подобрать за несколько минут. Так, если атакующему было известно время создания конкретной учетной записи (что совсем нетрудно посмотреть на любом форуме),  диапазон вероятностей сильно сокращался, равно как и время, необходимое для брутфорса, который мог занять всего несколько секунд.

«Последствия [использования такого механизма] определенно были скверные: любой пароль мог быть взломан. Например, между 2010 и 2021 годом прошло 315619200 секунд, поэтому KPM может сгенерировать не более 315619200 паролей для заданного набора символов. Их перебор занимал всего несколько минут», — гласит отчет Ledger Donjon.

В период с октября по декабрь 2019 года разработчики представили ряд патчей для KPM (поскольку исходный патч для Windows работал некорректно), и в итоге проблему исправили в Windows, Android и iOS. В октябре 2020 года «Лаборатория Касперского» выпустила KPM 9.0.2 Patch M, уведомив пользователей о необходимости обновления некоторых слабых паролей на более надежные. Этой проблеме был присвоен идентификатор CVE-2020-27020, о котором компания рассказала в сообщении от апреля 2021 года.__

https://xakep.ru/2021/07/07/kaspersky-password-manager-bug/

**Пароли в умных домах пытаются взломать более 300 раз в сутки ** __Эксперимент, поставленный британской НКО Which? совместно с NCC Group и специалистами «Глобального киберальянса» (Global Cyber Alliance, GCA), показал, что атаки на умные дома могут проводиться с частотой более 12 тыс. раз в неделю.

В основном это сканирование на предмет уязвимостей, но нередко за такой разведкой следует попытка взлома пароля, открывающего доступ к IoT-устройству.

Исследователи создали фейковый умный дом, закупив уйму бытовых смарт-приборов — телевизоров, холодильников, чайников, камер видеонаблюдения и т. п.

В мае ловушка была подключена к интернету и начала фиксировать попытки атаки. В первую неделю экспериментаторы насчитали 1017 уникальных проверок защиты на прочность; как минимум 66 из них носили явно враждебный характер.

В июне этот поток возрос до 12,8 тыс. атак в неделю; почти в 20% случаев (в числовом выражении 2435) неизвестные пытались авторизоваться на IoT-устройстве путем подбора дефолтных логинов и паролей. Это 14 попыток брутфорса в час и свыше 300 в сутки.

Больше всего попыток взлома пришлось на принтер Epson, но все они оказались провальными: смарт-устройство спас достаточной сильный заводской пароль. Принтер Canon, система безопасности Yale, телевизор Samsung тоже хорошо держали удар, а вот беспроводная камера ieGeek, купленная на сайте Amazon из-за высокого рейтинга, перед хакерскими атаками не устояла. Ее взломали, изменили некоторые настройки и пытались использовать для слежки. После уведомления Amazon сняла эти видеокамеры с продажи.__

https://www.anti-malware.ru/news/2021-07-05-114534/36317

АНБ США и ФБР рассказали о новых брутфорс-атаках российских спецслужб

__В сущности, Агентство национальной безопасности (АНБ) США, ФБР, Министерство внутренней безопасности США и Центр правительственной связи (GCHQ) обвиняют российские спецслужбы в целой серии кибератак, которые длятся аж с середины 2019 года.

Основная цель Кремля по их мнению — собрать побольше конфиденциальной информации у стратегически важных организаций, считают в США и Великобритании. Для доступа к таким данным Fancy Bear якобы методично перебирает связки логин-пароль, используемые военными подрядчиками, компаниями энергетической и правовой сферы, аналитическими центрами и университетами.

Помимо этого, американские и британские спецслужбы заявили, что российские хакеры задействуют контейнеры Kubernetes для более успешных попыток брутфорс, а для ухода от обнаружения киберпреступники используют TOR и платные VPN-сервисы.__

https://www.anti-malware.ru/news/2021-07-02-111332/36296

https://media.defense.gov/2021/Jul/01/2002753896/-1/-1/1/CSA_GRU_GLOBAL_BRUTE_FORCE_CAMPAIGN_UOO158036-21.PDF

Краткая история банкоматов: от вендинговых машин до отпечатков пальцев

__Желание отказаться от пластиковой карты и сделать обслуживание более безопасным от скиммеров — миниатюрных считывающих устройств, которые крепятся к банкомату — привело к развитию более индивидуальных подходов, таких как распознавание лица, голоса и отпечатков пальцев.

Несколько лет назад решение с функцией биометрии предлагал тайваньский E.Sun Commercial Bank, но первый блин комом и банкомат просил вставить пластиковую карточку, после чего происходил процесс идентификации личности.

Сейчас возможность проводить операции без использования физического носителя уже существуют.

В России такой технологией в 2017 году озаботился Тинькофф банк совместно с VisionLab и создал платформу Luna, а Сбербанк представил первое устройство осенью 2020. Распознавание лица работает только с согласия клиента и используется в офисах, торговых точках и при входе на сайты банка. Создатели утверждают, что алгоритм распознает вас даже с бородой или сменой причёски.

За рубежом таким решением занялась Intel и в январе 2021 анонсировала новую систему распознавания лиц, которая обещает обеспечить биометрический доступ, подобный FaceID, к банкоматам, интеллектуальным замкам и многому другому. Создатели заявили, что новая система камер RealSense ID включает в себя active depth sensor и специализированную нейронную сеть. Эта технология проверяет до 16 000 контрольных точек на лице, после чего позволяет совершить транзакцию.

В чём могут быть сложности распознавания: пользователь должен смотреть в камеру, например, не должно быть очков или одежды, закрывающих его лицо и глаза, потребуется соответствующее освещение.

Компания NCR Corporation создала банкомат, который сканирует отпечатки пальцев без соприкосновения с поверхностью. Работает устройство с помощью мобильного приложения, в котором необходимо указать данные для транзакции, после чего держать ладонь над специальной поверхностью для сканирования. К биометрии относится также узор вен на пальцах.

Что касается распознавания голоса, считается, что оно лучше подойдёт для запуска мобильного банкинга дома или в любом другом уединённом месте из-за шумных вестибюлей и лишних наблюдателей. Для того же мобильного банкинга советуют использовать технологию снимков глаз.__

https://habr.com/ru/company/luxoft/blog/565630/

**Google потребует от создателей Android-программ 2FA и физический адрес ** __Компания Google решила расширить набор данных, идентифицирующих разработчика Android-приложений в ее магазине, а также настоять на использовании двухфакторной аутентификации (2FA) для защиты таких аккаунтов.

Новые меры безопасности вводятся на Google Play в связи с учащением случаев мошенничества и использования учетной записи разработчика для распространения вредоносных программ.

К концу года всех разработчиков обяжут обновить данные аккаунта, дополнительно указав его тип (персональный или групповой), имя контактного лица и свое фактическое местонахождение. Им также придется включить 2FA и подтвердить правильность номера телефона и email-адреса — персональных данных, которых в настоящее время достаточно для прописки в магазине Google.__

https://www.anti-malware.ru/news/2021-06-29-114534/36256

Более трети россиян использует дату рождения в составе пароля

Почтовые сервисы и социальные сети регулярно напоминают пользователям о важности использования сложных паролей, менеджеров паролей и двухфакторной аутентификации. Однако 40% пользователей сталкивались со взломом аккаунта, следует из опроса Hi-Tech Mail. __ru.

Более 33% респондентов указывали в составе (или в составе (или в качестве)) пароля дату рождения, около трети – простые комбинации цифр, например, 11111 и 12345. 19% использовали девичью фамилию матери и 11% – кличку питомца. Также паролем могут служить имена любимых персонажей из игр и популярной культуры. Наиболее надежной пользователи считают комбинацию букв разного регистра, цифр и случайных символов.

Интересно, что 73% участников опросов считают менеджеры паролей полезной функцией, но больше половины все равно не доверяют ей, предпочитая хранить пароли иначе: запоминать или записывать.__

https://safe.cnews.ru/news/line/2021-06-23_bolee_treti_rossiyan_ispolzuet

Приложения на Android воруют пароли от Facebook

__Специализирующаяся на кибербезопасности компания «Доктор Веб» обнаружила в цифровом магазине Google Play несколько замаскированных под приложения троянских программ, которые воруют пароли от учетных записей Facebook. Эти Android-программы были установлены на свыше чем 5,9 млн устройств.

«Доктор Веб» нашел девять таких приложений, включая редактор изображений PIP Photo (более 5 млн загрузок), фоторедактор Processing Photo (500 тыс. скачиваний), а также App Lock Keep, Sheralaw Rence, App Lock Manager, Rubbish Cleaner, Horoscope Daily, Inwell Fitness и HscopeDaily mono. «Доктор Веб» сообщил об этом в Google, и часть из этих приложений уже была удалена из магазина.__

https://www.kommersant.ru/doc/4889025

Мэрия Москвы введет идентификацию по биометрии на городских порталах

В мэрии пояснили, что биометрию будут использовать только для ограниченного круга уполномоченных сотрудников при доступе к Единому центру хранения и обработки данных. В то же время эксперты, опрошенные изданием, предполагают, что столичные власти будут использовать биометрию в будущем для повышения эффективности системы распознавания лиц и автоматического выписывания нарушителям штрафов.

https://www.vedomosti.ru/technology/news/2021/07/01/876417-meriya-moskvi-vvedet-identifikatsiyu-po-biometrii-na-gorodskih-portalah

Эксперт обвинил Apple в принижении уязвимости брутфорса пароля iCloud

Исследователь в области кибербезопасности Лаксман Матья обвинил Apple в непорядочном поведении, касающемся уязвимости в функции сброса пароля. Именно Матья выявил брешь, позволяющую получить контроль над аккаунтами iCloud. По словам самого специалиста, обнаруженная дыра позволяла обойти меры безопасности, которые Apple внедрила для защиты учётных записей пользователей от брутфорса функции «забыл свой пароль».

Источник: https://www.anti-malware.ru/news/2021-06-22-111332/36194

Вероятно, в скором времени стоит ожидать публикаций новых исследований о средней стойкости паролей или чему-то подобному.

“Новая вкладка «Проверка паролей» позволяет в режиме реального времени оценить устойчивость каждого из сохранённых паролей. Нововведение даже сортирует учётные данные по степени надёжности и объединяет их в соответствующие группы.”

https://www.anti-malware.ru/news/2021-06-18-111332/36180

Все мы люди =)

“По мере усиления угрозы, исходящей от киберпреступников, офицеры по информационной безопасности должны применять все более и более передовые решения. Вместо этого, как показало исследование, они сами не следят за цифровой гигиеной, пользуются общедоступным Wi-Fi и принимают запросы на дружбу в социальных сетях от незнакомцев.”

https://safe.cnews.ru/news/top/2021-06-17_cso_krupnyh_mirovyh_kompanij

__В целях обеспечения актуальности и достоверности представляемых в ФСТЭК России сведений о значимых объектах критической информационной инфраструктуры предлагается проектом постановления Правительства Российской Федерации:

• наделить государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, полномочиями по осуществлению ведомственного и (или) отраслевого мониторинга состояния работ по категорированию объектов критической информационной инфраструктуры;
• предусмотреть норму о направлении в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, уточненных сведений о значимом объекте критической информационной инфраструктуры в случае их изменения.__

Не все дела по ст.274.1 УК (Неправомерное воздействие на КИИ РФ) заканчиваются обвинительным приговором (спойлер - срок дали, но по другой статье).

В Прикамье суд рассмотрел уголовное дело в отношении сотрудника оборонного порохового завода, обвиняемого в использовании вредоносных программ и неправомерном воздействии на критическую информационную инфраструктуру страны. По версии следствия, он скачал на свой ноутбук ключи, которые позволяют использовать нелицензионный пакет Microsoft. В итоге там оказалась вирусная программа, которая передавала исходящий трафик в США. Как считают силовики, его адресатами могли оказаться спецслужбы, а вирус мог передавать засекреченную информацию. Но в итоге суд счел, что такие выводы носят предположительный характер, и оправдал подсудимого по этому составу. За установку вредоносной программы он получил год ограничения свободы.

https://www.kommersant.ru/doc/4890639

Инсталляция биометрических СКУД на объектах транспортной инфраструктуры

__Биометрическая идентификация — стремительно растущая отрасль. В одном только сегменте распознавания лиц среднегодовые темпы роста достигают 16,6 % (данные на 2020 год), а сегмент более бюджетных технологий идентификации по венам ладони и отпечатку пальца растет ещё быстрее. Как следствие, каждый день на рынке появляются новые устройства, многие из которых имеют «сырой» софт и не соответствуют минимальным требованиям надёжности и безопасности.

Избежать проблем в сфере внедрения биометрии помогает обращение к авторитетному вендору, чьё оборудование зарекомендовало себя на рынке. Квалифицированные вендоры не скрывают реальных данных по надёжности СКУД и готовы предоставить оборудование для нагрузочного тестирования «в боевых условиях». Таким образом заказчик может удостовериться в качестве предлагаемого продукта.

Настоятельно рекомендуется обращаться именно к отечественным вендорам. Отечественный поставщик лучше понимает специфику российских реалий, задач, особенностей законодательства и предлагает более подходящие и эффективные варианты, а также оперативно решает любые возникающие вопросы, обеспечивает техподдержку и может быстро предоставить комплектующие или дополнительные устройства.__

https://www.anti-malware.ru/practice/methods/Biometric-access-control-systems-at-transport-facilities

**Ученые из Университета Карнеги-Меллона (CMU) выяснили, как создать парольную политику с человеческим лицом и не пожертвовать безопасностью. ** К каким выводам пришли исследователи?

1. Наиболее оптимальная парольная политика, по мнению исследователей, – настройка минимальной длины пароля и одновременная проверка пароля с помощью нейронной сети. Лучше всего в экспериментах себя показала политика вида 1c12+NN10: пароль не менее 12 символов с “угадываемостью” не менее 10 млрд попыток. Это обеспечивает достаточную защиту от офлайн-атак и необходимый уровень удобства.

2. Если проверка с помощью нейронных сетей не подходит, то исследователи рекомендуют задавать длину пароля не менее 8 символов и одновременно проверять пароли по словарям. Такая проверка обеспечивает меньшую защиту, но достаточно эффективна против онлайн-атак. При этом, защиту можно усилить, если увеличить минимальную длину пароля.

3. Проверка по словарю будет эффективнее, если использовать методы нечеткого поиска. То есть, лучше включать в поиск не только точные совпадения, но и вариации вроде P@$$w0rd. Если же используется точный поиск, стоит запускать проверку по максимально доступному словарю скомпрометированных паролей.

4. Пользователи испытывают больше неудобства, если им требуется создать пароль с разными классами символов. Если же пользователю нужно только соблюдать длину не менее 8–-16 символов и пройти проверку “угадываемости” пароля, то парольная политика воспринимается как удобная.

https://habr.com/ru/company/dataline/blog/563228/

ФСБ представила список сведений по оборонной и космической тематике, не относящихся к государственной тайне, передача которых иностранным государствам может навредить безопасности РФ.

В список, в частности, попадают с__ведения о функционировании центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, сил и средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьтерных атак и реагирования на компьютерные инциденты, осуществляющих свою деятельность в рамках оборонно-промышленного комплекса, а также о компьютерных инцидентах в информационных системах (сетях) предприятий оборонно-промышленного комплекса.__

Также в список попали сведения о проведении закупок в части программных и программно-аппаратных средств информатизации и защиты информации для нужд предприятий оборонно-промышленного комплекса.

__Проект приказа: __https://regulation.gov.ru/projects#npa=118168

Интеграция SAML в Zimbra OSE

Технология единого входа обладает массой преимуществ по сравнению с классическими методами аутентификации, главное из которых заключается в том, что именно SSO обеспечивает наилучший баланс между удобством пользователя и информационной безопасностью предприятия. Статья рассказывает о том, как внедрить Zimbra OSE технологию единого входа SAML на примере провайдера Okta.

https://habr.com/ru/company/zimbra/blog/562984/

Круто, что тут ещё сказать…

“Главные преимущества новой услуги – это гарантия неизменности документа, защита против взлома и конфиденциальность сведений. ЕИС нотариата имеет защитный фильтр, так называемую карантинную зону, благодаря которой переданные файлы проходят проверку на наличие вредоносных программ. Документ, загруженный в ЕИС, будет храниться в том виде, в котором заявитель его передал. При этом никто не сможет увидеть его содержание, даже нотариус, поскольку документы и файлы будут зашифрованы.”

Электронные документы можно сдать на хранение нотариусу

ФНП сообщила о новом нотариальном действии, которое введено в практику нотариусов – это принятие на хранение и выдача электронного документа. Палата разъясняет, что теперь, кроме бумаг, нотариусу могут быть переданы электронные документы, аудио- и видеофайлы, программные коды, базы данных и др. Возможность создать свой цифровой архив у нотариуса гарантирует сохранность и неизменяемость файлов, а также их защиту от доступа третьих лиц.

http://www.garant.ru/news/1473835/

Обзор систем аутентификации на основе одноразовых паролей (one-time password)

ВЫВОДЫ: Подводя итог, следует отметить, что технология One-Time Password многократно повышает устойчивость информационной системы к атаке в сравнении с традиционными статическими парольными фразами. Для повышения общего уровня безопасности предпочтительнее сочетать OTP с другими методами, такими как биометрия или PIN. Системы, которые присылают одноразовые пароли на телефон, небезопасны. Более правильный способ — использование аппаратных устройств. Мобильные приложения — это компромисс между безопасностью и удобством.

https://www.anti-malware.ru/analytics/Market_Analysis/One-time-password-authentication-systems