Бортовой журнал

**Менеджер паролей с GPG шифрованием: настройка PASS на iOS + Git ** __Менеджер паролей PASS имеет большую поддержку со стороны сообщества. Есть бесшовная синхронизация через git между экземплярами PASS на компе, ноутах, телефонах. Существуют реализации программы для Android и iOS, плагины для веб-браузеров Chrome и Firefox, графические клиенты для Windows, Mac и Linux, расширения для Alfred, dmenu, rofi и Emacs, скрипты для импорта паролей из других менеджеров паролей!

PASS покрывает возможность хранения всей базы паролей на своем сервере/локальном компьютере/флешке/диске. Поддерживается возможность делать быстрый backup паролей. Вы вольны выбирать какой тип шифрования использовать для сокрытия ваших паролей и любой другой приватной информации!__

https://habr.com/ru/company/ruvds/blog/566042/

Из-за бага Kaspersky Password Manager позволял генерировать слабые пароли

__В прошлом году разработчики Kaspersky Password Manager (KPM) попросили пользователей обновить свои пароли на более стойкие. Теперь специалисты Ledger Donjon (ИБ-подразделение компании Ledger, разрабатывающей крипокошельки) рассказали о том, почему это произошло, и какие проблемы они обнаружили в KPM некоторое время назад.

По словам исследователей, создаваемые с использованием времени пароли были весьма ограничены, и их можно было подобрать за несколько минут. Так, если атакующему было известно время создания конкретной учетной записи (что совсем нетрудно посмотреть на любом форуме),  диапазон вероятностей сильно сокращался, равно как и время, необходимое для брутфорса, который мог занять всего несколько секунд.

«Последствия [использования такого механизма] определенно были скверные: любой пароль мог быть взломан. Например, между 2010 и 2021 годом прошло 315619200 секунд, поэтому KPM может сгенерировать не более 315619200 паролей для заданного набора символов. Их перебор занимал всего несколько минут», — гласит отчет Ledger Donjon.

В период с октября по декабрь 2019 года разработчики представили ряд патчей для KPM (поскольку исходный патч для Windows работал некорректно), и в итоге проблему исправили в Windows, Android и iOS. В октябре 2020 года «Лаборатория Касперского» выпустила KPM 9.0.2 Patch M, уведомив пользователей о необходимости обновления некоторых слабых паролей на более надежные. Этой проблеме был присвоен идентификатор CVE-2020-27020, о котором компания рассказала в сообщении от апреля 2021 года.__

https://xakep.ru/2021/07/07/kaspersky-password-manager-bug/

**Пароли в умных домах пытаются взломать более 300 раз в сутки ** __Эксперимент, поставленный британской НКО Which? совместно с NCC Group и специалистами «Глобального киберальянса» (Global Cyber Alliance, GCA), показал, что атаки на умные дома могут проводиться с частотой более 12 тыс. раз в неделю.

В основном это сканирование на предмет уязвимостей, но нередко за такой разведкой следует попытка взлома пароля, открывающего доступ к IoT-устройству.

Исследователи создали фейковый умный дом, закупив уйму бытовых смарт-приборов — телевизоров, холодильников, чайников, камер видеонаблюдения и т. п.

В мае ловушка была подключена к интернету и начала фиксировать попытки атаки. В первую неделю экспериментаторы насчитали 1017 уникальных проверок защиты на прочность; как минимум 66 из них носили явно враждебный характер.

В июне этот поток возрос до 12,8 тыс. атак в неделю; почти в 20% случаев (в числовом выражении 2435) неизвестные пытались авторизоваться на IoT-устройстве путем подбора дефолтных логинов и паролей. Это 14 попыток брутфорса в час и свыше 300 в сутки.

Больше всего попыток взлома пришлось на принтер Epson, но все они оказались провальными: смарт-устройство спас достаточной сильный заводской пароль. Принтер Canon, система безопасности Yale, телевизор Samsung тоже хорошо держали удар, а вот беспроводная камера ieGeek, купленная на сайте Amazon из-за высокого рейтинга, перед хакерскими атаками не устояла. Ее взломали, изменили некоторые настройки и пытались использовать для слежки. После уведомления Amazon сняла эти видеокамеры с продажи.__

https://www.anti-malware.ru/news/2021-07-05-114534/36317

АНБ США и ФБР рассказали о новых брутфорс-атаках российских спецслужб

__В сущности, Агентство национальной безопасности (АНБ) США, ФБР, Министерство внутренней безопасности США и Центр правительственной связи (GCHQ) обвиняют российские спецслужбы в целой серии кибератак, которые длятся аж с середины 2019 года.

Основная цель Кремля по их мнению — собрать побольше конфиденциальной информации у стратегически важных организаций, считают в США и Великобритании. Для доступа к таким данным Fancy Bear якобы методично перебирает связки логин-пароль, используемые военными подрядчиками, компаниями энергетической и правовой сферы, аналитическими центрами и университетами.

Помимо этого, американские и британские спецслужбы заявили, что российские хакеры задействуют контейнеры Kubernetes для более успешных попыток брутфорс, а для ухода от обнаружения киберпреступники используют TOR и платные VPN-сервисы.__

https://www.anti-malware.ru/news/2021-07-02-111332/36296

https://media.defense.gov/2021/Jul/01/2002753896/-1/-1/1/CSA_GRU_GLOBAL_BRUTE_FORCE_CAMPAIGN_UOO158036-21.PDF

Краткая история банкоматов: от вендинговых машин до отпечатков пальцев

__Желание отказаться от пластиковой карты и сделать обслуживание более безопасным от скиммеров — миниатюрных считывающих устройств, которые крепятся к банкомату — привело к развитию более индивидуальных подходов, таких как распознавание лица, голоса и отпечатков пальцев.

Несколько лет назад решение с функцией биометрии предлагал тайваньский E.Sun Commercial Bank, но первый блин комом и банкомат просил вставить пластиковую карточку, после чего происходил процесс идентификации личности.

Сейчас возможность проводить операции без использования физического носителя уже существуют.

В России такой технологией в 2017 году озаботился Тинькофф банк совместно с VisionLab и создал платформу Luna, а Сбербанк представил первое устройство осенью 2020. Распознавание лица работает только с согласия клиента и используется в офисах, торговых точках и при входе на сайты банка. Создатели утверждают, что алгоритм распознает вас даже с бородой или сменой причёски.

За рубежом таким решением занялась Intel и в январе 2021 анонсировала новую систему распознавания лиц, которая обещает обеспечить биометрический доступ, подобный FaceID, к банкоматам, интеллектуальным замкам и многому другому. Создатели заявили, что новая система камер RealSense ID включает в себя active depth sensor и специализированную нейронную сеть. Эта технология проверяет до 16 000 контрольных точек на лице, после чего позволяет совершить транзакцию.

В чём могут быть сложности распознавания: пользователь должен смотреть в камеру, например, не должно быть очков или одежды, закрывающих его лицо и глаза, потребуется соответствующее освещение.

Компания NCR Corporation создала банкомат, который сканирует отпечатки пальцев без соприкосновения с поверхностью. Работает устройство с помощью мобильного приложения, в котором необходимо указать данные для транзакции, после чего держать ладонь над специальной поверхностью для сканирования. К биометрии относится также узор вен на пальцах.

Что касается распознавания голоса, считается, что оно лучше подойдёт для запуска мобильного банкинга дома или в любом другом уединённом месте из-за шумных вестибюлей и лишних наблюдателей. Для того же мобильного банкинга советуют использовать технологию снимков глаз.__

https://habr.com/ru/company/luxoft/blog/565630/

**Google потребует от создателей Android-программ 2FA и физический адрес ** __Компания Google решила расширить набор данных, идентифицирующих разработчика Android-приложений в ее магазине, а также настоять на использовании двухфакторной аутентификации (2FA) для защиты таких аккаунтов.

Новые меры безопасности вводятся на Google Play в связи с учащением случаев мошенничества и использования учетной записи разработчика для распространения вредоносных программ.

К концу года всех разработчиков обяжут обновить данные аккаунта, дополнительно указав его тип (персональный или групповой), имя контактного лица и свое фактическое местонахождение. Им также придется включить 2FA и подтвердить правильность номера телефона и email-адреса — персональных данных, которых в настоящее время достаточно для прописки в магазине Google.__

https://www.anti-malware.ru/news/2021-06-29-114534/36256

Более трети россиян использует дату рождения в составе пароля

Почтовые сервисы и социальные сети регулярно напоминают пользователям о важности использования сложных паролей, менеджеров паролей и двухфакторной аутентификации. Однако 40% пользователей сталкивались со взломом аккаунта, следует из опроса Hi-Tech Mail. __ru.

Более 33% респондентов указывали в составе (или в составе (или в качестве)) пароля дату рождения, около трети – простые комбинации цифр, например, 11111 и 12345. 19% использовали девичью фамилию матери и 11% – кличку питомца. Также паролем могут служить имена любимых персонажей из игр и популярной культуры. Наиболее надежной пользователи считают комбинацию букв разного регистра, цифр и случайных символов.

Интересно, что 73% участников опросов считают менеджеры паролей полезной функцией, но больше половины все равно не доверяют ей, предпочитая хранить пароли иначе: запоминать или записывать.__

https://safe.cnews.ru/news/line/2021-06-23_bolee_treti_rossiyan_ispolzuet

Приложения на Android воруют пароли от Facebook

__Специализирующаяся на кибербезопасности компания «Доктор Веб» обнаружила в цифровом магазине Google Play несколько замаскированных под приложения троянских программ, которые воруют пароли от учетных записей Facebook. Эти Android-программы были установлены на свыше чем 5,9 млн устройств.

«Доктор Веб» нашел девять таких приложений, включая редактор изображений PIP Photo (более 5 млн загрузок), фоторедактор Processing Photo (500 тыс. скачиваний), а также App Lock Keep, Sheralaw Rence, App Lock Manager, Rubbish Cleaner, Horoscope Daily, Inwell Fitness и HscopeDaily mono. «Доктор Веб» сообщил об этом в Google, и часть из этих приложений уже была удалена из магазина.__

https://www.kommersant.ru/doc/4889025

Мэрия Москвы введет идентификацию по биометрии на городских порталах

В мэрии пояснили, что биометрию будут использовать только для ограниченного круга уполномоченных сотрудников при доступе к Единому центру хранения и обработки данных. В то же время эксперты, опрошенные изданием, предполагают, что столичные власти будут использовать биометрию в будущем для повышения эффективности системы распознавания лиц и автоматического выписывания нарушителям штрафов.

https://www.vedomosti.ru/technology/news/2021/07/01/876417-meriya-moskvi-vvedet-identifikatsiyu-po-biometrii-na-gorodskih-portalah

Эксперт обвинил Apple в принижении уязвимости брутфорса пароля iCloud

Исследователь в области кибербезопасности Лаксман Матья обвинил Apple в непорядочном поведении, касающемся уязвимости в функции сброса пароля. Именно Матья выявил брешь, позволяющую получить контроль над аккаунтами iCloud. По словам самого специалиста, обнаруженная дыра позволяла обойти меры безопасности, которые Apple внедрила для защиты учётных записей пользователей от брутфорса функции «забыл свой пароль».

Источник: https://www.anti-malware.ru/news/2021-06-22-111332/36194

Вероятно, в скором времени стоит ожидать публикаций новых исследований о средней стойкости паролей или чему-то подобному.

“Новая вкладка «Проверка паролей» позволяет в режиме реального времени оценить устойчивость каждого из сохранённых паролей. Нововведение даже сортирует учётные данные по степени надёжности и объединяет их в соответствующие группы.”

https://www.anti-malware.ru/news/2021-06-18-111332/36180

Все мы люди =)

“По мере усиления угрозы, исходящей от киберпреступников, офицеры по информационной безопасности должны применять все более и более передовые решения. Вместо этого, как показало исследование, они сами не следят за цифровой гигиеной, пользуются общедоступным Wi-Fi и принимают запросы на дружбу в социальных сетях от незнакомцев.”

https://safe.cnews.ru/news/top/2021-06-17_cso_krupnyh_mirovyh_kompanij

__В целях обеспечения актуальности и достоверности представляемых в ФСТЭК России сведений о значимых объектах критической информационной инфраструктуры предлагается проектом постановления Правительства Российской Федерации:

• наделить государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, полномочиями по осуществлению ведомственного и (или) отраслевого мониторинга состояния работ по категорированию объектов критической информационной инфраструктуры;
• предусмотреть норму о направлении в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, уточненных сведений о значимом объекте критической информационной инфраструктуры в случае их изменения.__

Не все дела по ст.274.1 УК (Неправомерное воздействие на КИИ РФ) заканчиваются обвинительным приговором (спойлер - срок дали, но по другой статье).

В Прикамье суд рассмотрел уголовное дело в отношении сотрудника оборонного порохового завода, обвиняемого в использовании вредоносных программ и неправомерном воздействии на критическую информационную инфраструктуру страны. По версии следствия, он скачал на свой ноутбук ключи, которые позволяют использовать нелицензионный пакет Microsoft. В итоге там оказалась вирусная программа, которая передавала исходящий трафик в США. Как считают силовики, его адресатами могли оказаться спецслужбы, а вирус мог передавать засекреченную информацию. Но в итоге суд счел, что такие выводы носят предположительный характер, и оправдал подсудимого по этому составу. За установку вредоносной программы он получил год ограничения свободы.

https://www.kommersant.ru/doc/4890639

Инсталляция биометрических СКУД на объектах транспортной инфраструктуры

__Биометрическая идентификация — стремительно растущая отрасль. В одном только сегменте распознавания лиц среднегодовые темпы роста достигают 16,6 % (данные на 2020 год), а сегмент более бюджетных технологий идентификации по венам ладони и отпечатку пальца растет ещё быстрее. Как следствие, каждый день на рынке появляются новые устройства, многие из которых имеют «сырой» софт и не соответствуют минимальным требованиям надёжности и безопасности.

Избежать проблем в сфере внедрения биометрии помогает обращение к авторитетному вендору, чьё оборудование зарекомендовало себя на рынке. Квалифицированные вендоры не скрывают реальных данных по надёжности СКУД и готовы предоставить оборудование для нагрузочного тестирования «в боевых условиях». Таким образом заказчик может удостовериться в качестве предлагаемого продукта.

Настоятельно рекомендуется обращаться именно к отечественным вендорам. Отечественный поставщик лучше понимает специфику российских реалий, задач, особенностей законодательства и предлагает более подходящие и эффективные варианты, а также оперативно решает любые возникающие вопросы, обеспечивает техподдержку и может быстро предоставить комплектующие или дополнительные устройства.__

https://www.anti-malware.ru/practice/methods/Biometric-access-control-systems-at-transport-facilities

**Ученые из Университета Карнеги-Меллона (CMU) выяснили, как создать парольную политику с человеческим лицом и не пожертвовать безопасностью. ** К каким выводам пришли исследователи?

1. Наиболее оптимальная парольная политика, по мнению исследователей, – настройка минимальной длины пароля и одновременная проверка пароля с помощью нейронной сети. Лучше всего в экспериментах себя показала политика вида 1c12+NN10: пароль не менее 12 символов с “угадываемостью” не менее 10 млрд попыток. Это обеспечивает достаточную защиту от офлайн-атак и необходимый уровень удобства.

2. Если проверка с помощью нейронных сетей не подходит, то исследователи рекомендуют задавать длину пароля не менее 8 символов и одновременно проверять пароли по словарям. Такая проверка обеспечивает меньшую защиту, но достаточно эффективна против онлайн-атак. При этом, защиту можно усилить, если увеличить минимальную длину пароля.

3. Проверка по словарю будет эффективнее, если использовать методы нечеткого поиска. То есть, лучше включать в поиск не только точные совпадения, но и вариации вроде P@$$w0rd. Если же используется точный поиск, стоит запускать проверку по максимально доступному словарю скомпрометированных паролей.

4. Пользователи испытывают больше неудобства, если им требуется создать пароль с разными классами символов. Если же пользователю нужно только соблюдать длину не менее 8–-16 символов и пройти проверку “угадываемости” пароля, то парольная политика воспринимается как удобная.

https://habr.com/ru/company/dataline/blog/563228/

ФСБ представила список сведений по оборонной и космической тематике, не относящихся к государственной тайне, передача которых иностранным государствам может навредить безопасности РФ.

В список, в частности, попадают с__ведения о функционировании центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, сил и средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьтерных атак и реагирования на компьютерные инциденты, осуществляющих свою деятельность в рамках оборонно-промышленного комплекса, а также о компьютерных инцидентах в информационных системах (сетях) предприятий оборонно-промышленного комплекса.__

Также в список попали сведения о проведении закупок в части программных и программно-аппаратных средств информатизации и защиты информации для нужд предприятий оборонно-промышленного комплекса.

__Проект приказа: __https://regulation.gov.ru/projects#npa=118168

Интеграция SAML в Zimbra OSE

Технология единого входа обладает массой преимуществ по сравнению с классическими методами аутентификации, главное из которых заключается в том, что именно SSO обеспечивает наилучший баланс между удобством пользователя и информационной безопасностью предприятия. Статья рассказывает о том, как внедрить Zimbra OSE технологию единого входа SAML на примере провайдера Okta.

https://habr.com/ru/company/zimbra/blog/562984/

Круто, что тут ещё сказать…

“Главные преимущества новой услуги – это гарантия неизменности документа, защита против взлома и конфиденциальность сведений. ЕИС нотариата имеет защитный фильтр, так называемую карантинную зону, благодаря которой переданные файлы проходят проверку на наличие вредоносных программ. Документ, загруженный в ЕИС, будет храниться в том виде, в котором заявитель его передал. При этом никто не сможет увидеть его содержание, даже нотариус, поскольку документы и файлы будут зашифрованы.”

Электронные документы можно сдать на хранение нотариусу

ФНП сообщила о новом нотариальном действии, которое введено в практику нотариусов – это принятие на хранение и выдача электронного документа. Палата разъясняет, что теперь, кроме бумаг, нотариусу могут быть переданы электронные документы, аудио- и видеофайлы, программные коды, базы данных и др. Возможность создать свой цифровой архив у нотариуса гарантирует сохранность и неизменяемость файлов, а также их защиту от доступа третьих лиц.

http://www.garant.ru/news/1473835/

Обзор систем аутентификации на основе одноразовых паролей (one-time password)

ВЫВОДЫ: Подводя итог, следует отметить, что технология One-Time Password многократно повышает устойчивость информационной системы к атаке в сравнении с традиционными статическими парольными фразами. Для повышения общего уровня безопасности предпочтительнее сочетать OTP с другими методами, такими как биометрия или PIN. Системы, которые присылают одноразовые пароли на телефон, небезопасны. Более правильный способ — использование аппаратных устройств. Мобильные приложения — это компромисс между безопасностью и удобством.

https://www.anti-malware.ru/analytics/Market_Analysis/One-time-password-authentication-systems

Важные решения Госдумы VII созыва для граждан и бизнеса в сферах ИТ и ИБ

• Об обороте цифровых финансовых активов и цифровой валюты
• Об обязательной предустановке российского ПО на отдельные виды технически сложных товаров
• О переходе на электронные трудовые книжки
• О суверенном Интернете
• Об удаленной биометрической идентификации граждан
• Об электронных больничных, телемедицине и дистанционной торговле лекарствами
• О едином федеральном информационном регистре сведений о населении РФ
• Об обязательной идентификации пользователей корпоративной мобильной связи

https://telegra.ph/Important-decisions-of-the-State-Duma-of-the-VII-convocation-for-citizens-and-business-in-the-fields-of-IT-and-information-secur-07-14

Половина года вот уже две недели как позади, но всё ещё можно успеть реализовать “План мероприятий по обеспечению безопасности значимых объектов КИИ на 2021 год”, шаблон которого был подготовлен ДИТ Москвы в мае https://bit.ly/plan_KII_2021

Уголовных дел о неправомерном воздействии на КИИ всё больше, скоро перевалит за 30. Несколько очередных будут рассмотрены в июне/июле https://zlonov.com/kii/criminal_cases

Дополнил раздел с Законодательством пачкой свежих весенних приказов ФСБ России, регулирующих вопросы электронной подписи (ЭП), удостоверяющих центров (УЦ) и доверенной третьей стороны (ДТС) https://zlonov.com/laws/

Продолжаем.

__Условие __ Сельский сейл решений по информационной безопасности Иван Карпович увлекается гипнозом. Вследствие его экспериментов десятая часть пользователей UTM считает, что они используют NGFW, а десятая часть пользователей NGFW считает, что они используют UTM. Если же рассматривать всех пользователей, купивших решения у Ивана Карповича, то пользователями UTM считает себя пятая их часть.

Вопрос Какую часть составляют пользователи UTM среди клиентов Ивана Карповича на самом деле?

Минцифры России подготовил обновленный порядок обработки биометрических персональных данных граждан http://www.garant.ru/news/1466266/

А вот и ещё одна задачка:

__Условие __ Трафик с средства мониторинга сети АСУ ТП DATAPK-1 (D1) при реорганизации сети распределили между двумя другими средствами мониторинга DATAPK-2 (D2) и DATAPK-3 (D3). Известно, что нагрузка на D3 была меньше, чем теперь стала на D2. Также известно, что получившаяся после распределения нагрузка на D3 стала равна двойной нагрузке D2 до распределения.

Вопрос На какой DATAPK изначально нагрузка была больше - D1 или D2?

Наслаждаюсь трансляцией сегодняшней конференции UserGate: “Мы так не умеем писать, но это не значит, что мы так не умеем делать” =) https://www.youtube.com/watch?v=wKWmMc__sc0