Бортовой журнал
Заметки, мысли и сообщения из соцсервисов, в том числе - Telegram-каналов ℤ𝕃𝕆ℕ𝕆𝕍.𝕝𝕚𝕧𝕖 (https://t.me/zlonov) и ZLONOV security (https://t.me/zlonov_security)
Всего: 2393
2024 февраль
Яндекс ID запустил вход по лицу или отпечатку пальца
Яндекс ID продолжает развивать беспарольную авторизацию. Теперь входить на сервисы Яндекса и внешние сайты можно по отпечатку пальца или по лицу — не нужно вводить пароль или коды.
Новый беспарольный способ входа стал доступен благодаря внедрению веб-стандарта WebAuthn. Он соответствует высоким требованиям безопасности и конфиденциальности и не позволяет воспроизвести ключ со стороннего устройства или его подделать. Яндекс ID не имеет доступа к информации о лице и отпечатке пользователя — эти данные хранятся на устройстве и никуда не передаются.
Чтобы подключить новую функцию, нужно войти в личный кабинет Яндекс ID и создать ключ для устройства в разделе «Вход по лицу или отпечатку». У одного аккаунта может быть до десяти ключей для разных устройств — не только смартфонов, но и, например, умных часов или USB-ключей YubiKey для ПК.
https://ir.yandex.ru/press-releases?year=2024&id=01-27-02-2024
Сбербанк занялся производством серверов для собственных нужд По мнению экспертов, этот проект нужен банку для импортозамещения своих закупок.
Сбербанк занялся производством серверов, рассказали «Ведомостям» три источника в компаниях – производителях вычислительной техники и подтвердил представитель банка. Оборудование используется для внутренних нужд банка и адаптировано под работу в собственных дата-центрах, добавил представитель «Сбера». Банк практически «завершил вывод из эксплуатации проприетарных программно-аппаратных комплексов» других вендоров, уточнил собеседник, не назвав долю оставшейся в работе «чужой» техники.
По словам представителя банка, речь идет о производстве серверов собственного дизайна на архитектуре x86. Сбербанк собирает серверы на процессорах Intel и AMD, говорит собеседник в одном из производителей вычислительной техники. Банк планирует подать заявку на включение своих серверов в реестр отечественной радиоэлектронной продукции Минпромторга, отметил представитель «Сбера». Пока требования реестра позволяют включать в него оборудование на иностранных процессорах.
ВТБ до конца года пересадит все 86 000 сотрудников на ОС Astra Linux На закупку российской ОС для всего персонала может потребоваться не менее 1 млрд рублей, говорят эксперты.
Банк ВТБ до конца 2024 г. рассчитывает перевести всех своих сотрудников на российскую операционную систему Astra Linux и закупил необходимое количество лицензий отечественного софта, рассказал «Ведомостям» заместитель руководителя технологического блока, старший вице-президент ВТБ Сергей Безбогов. Представитель ГК «Астра» (разработчик ОС) подтвердил информацию. Условия сделки стороны не раскрыли.
Сколько лицензий приобрел банк, представители компаний также не уточнили, как и общего числа сотрудников. По данным рейтинга Forbes «50 крупнейших работодателей России», на конец 2023 г. в ВТБ работало 85 943 человека.
ID:** способы аутентификации сегодня, их преимущества, недостатки и перспективы развития**
Прогресс не стоит на месте и даже такие базовые вещи, как аутентификации на сайтах и в приложениях, обновляются и развиваются каждый день. В данном обзоре рассмотрены популярные сегодня методики аутентификации, новые перспективные методы и возможности для бизнеса, связанного с подключением «живых» пользователей к единой информационной системе.
https://habr.com/ru/companies/newtel/articles/795903/
SmartFlow: «В начале был пароль…» или новая аутентификация VK ID
Рассказ Android-разработчика в команде VK ID про SmartFlow -новый процесс аутентификации ВКонтакте, нюансы его внедрения и отличия от старого процесса переключения факторов применительно к Android-платформе.
https://habr.com/ru/companies/vk/articles/780194/
AdGuard в своём блоге рассказывает о том, как именно работает сбор данных о пользователях iOS через push-уведомления:
__- Разработчик приложения пишет код, который хочет запустить в фоновом режиме
- Разработчик отправляет push‑уведомление пользователю приложения. Тема может быть любой: от новостей или результатов матча до запроса на добавления в друзья
- Устройство пользователя получает push‑уведомление, но пока не показывает его на экране. iOS распознаёт, что уведомление пришло от приложения, например, социальной сети, и запускает его в фоновом режиме. Приложение запущено, но пользователь пока не видит уведомление и не может с ним взаимодействовать
- Приложение запускает код, который разработчик подготовил для работы в фоновом режиме. Это может быть вполне безобидный код, который, например, добавляет информацию в уведомление. А может быть такой код, который собирает данные с устройства пользователя и отправляет их на серверы разработчика
В итоге разработчики могут получить уникальную комбинацию программных и технических характеристик устройства пользователя.__
Пароли в открытом доступе: ищем с помощью машинного обучения
В статье Александр Рахманный, разработчик в команде информационной безопасности в Lamoda Tech, делится опытом поиска в корпоративных ресурсах чувствительных данных — паролей, токенов и строк подключения — с использованием самописного ML-плагина.
https://habr.com/ru/companies/lamoda/articles/793716/
Free2FA: Телеграм-бот для двухфакторной аутентификации
Free2FA - это бесплатное, Open Source решение для двухфакторной аутентификации с пуш-уведомлениями, основанное на FreeRADIUS, Telegram-боте и административной веб панели управления. Применялось с Cisco AnyConnect, подходит для любых систем авторизации с пользователями из Active Directory .
https://habr.com/ru/articles/794358/
“Росатом” перешел на отечественную систему, предназначенную для автоматизации рабочих процессов казначейства и управления финансовыми операциями предприятий, сообщила компания “Гринатом” (отраслевой интегратор “Росатома” в области информационных технологий).
“Сотрудники казначейств и финансовых служб предприятий атомной отрасли начали работу в новой импортозамещенной финансовой автоматизированной системе “Расчетный центр Корпорации” (ИС РЦК)… Отраслевая информационная система “Расчетный центр Корпорации” предназначена для автоматизации рабочих процессов казначейства и управления финансовыми операциями организации”, — говорится в сообщении.
Отмечается, что эта система охватывает более 250 организаций атомной отрасли. Новый продукт базируется на российских сертифицированных решениях и соответствует требованиям по защите информации объектов критической информационной
Исследование DLBI: названы самые популярные пароли 2023 года
По результатам анализа всей массы данных, топ-25 самых популярных паролей в мире за все время исследований не изменился. В него входят: 123456, 123456789, qwerty123, 12345, qwerty, qwerty1, password, 12345678, 111111 и 1q2w3e.
При этом рейтинг 10 самых популярных паролей, попавших в утечки только за 2023 г., значительно отличается как от общего топа, так и от самых популярных паролей прошлого года. В него вошли: 123456 (занимавший 2 место в 2022 г.); 123456789 (занимавший 3 место в 2022 г.); 1000000 (новый пароль). 12345678 (занимавший 7 место в 2022 г.); 12345 (занимавший 4 место в 2022 г.); 123123 (новый пароль); 1234567890 (занимавший 8 место в 2022 г.); 123123qwe (новый пароль); qwerty (новый пароль); Qwerty123 (новый пароль).
https://safe.cnews.ru/news/line/2024-02-16_issledovanie_dlbi_nazvany
Доля RuStore среди магазинов приложений заметно выросла** ** Отечественный магазин приложений RuStore обогнал App Store по количеству заходов в приложение, следует из статистики сервиса «Билайн.Аналитика». По этим данным, в декабре 2023 г. Google Play занимал первое место по количеству заходов в магазин – 91,2%, на втором месте RuStore – 4,07%, замыкал тройку App Store – 3,3%. У магазина Huawei было 1,15% заходов.
Годом ранее, в декабре 2022 г., на первом месте по количеству заходов в приложение был Google Play с 95,4%, на втором – App Store с 3,22%, на третьем – магазин приложений Huawei с 1%. Общее количество сессий на RuStore составляло лишь 0,25% от всех магазинов приложений.
«Россети» переводят офисы на российскую операционную систему Группа «Россети» («ФСК-Россети», владеет магистральными и большей частью распределительных электросетей страны) перешла на российскую операционную систему (ОС) «Альт». «Базальт СПО» поставила «Россетям» свыше 97 000 лицензий «Альт рабочая станция» (универсальная ОС для компьютеров и ноутбуков) и 3000 лицензий «Альт сервер» (ОС с набором прикладного ПО для серверов различного назначения), рассказал генеральный директор IТ-компании Сергей Трандин. Построенные на базе ядра Linux ОС «Альт» включены в реестр российского ПО, напомнил он. Представитель «Россетей» подтвердил сотрудничество с «Базальт СПО».
В начале ноября 2023 г. «Россети» разместили четыре закупки различного софта, следует из данных портала госзакупок. Один конкурс проводился на поставку ОС на 752,4 млн руб. Победитель конкурса в закупке не приводится. Из информации в разделе «подведение итогов запроса цен» следует, что интегратор «Ланит» был единственным участником конкурса. «Ланит» не занимается разработкой ОС и в данном случае мог выступать лишь как интегратор, т. е. поставлять и устанавливать системы другого разработчика, обеспечивать сервис продукта. Представитель «Ланита» воздержался от комментариев.
18 минут 49 секунд плотного интенсива про SSL decrypt в NGFW от Дениса Батранкова: https://youtu.be/HoQjY6vidmU
Без знания основ криптографии можно и не смотреть, но всё равно лучше прокомментировать, чтобы Денис провел обещанный за 50 комментариев вебинар =)
Компанию из Гонконга обманули почти на 26 млн долларов. Мошенники применили групповой дипфейк
Мошенники обманули компанию из Гонконга на 25,6 млн долларов. Они сделали это уникальным способом — с помощью группового дипфейка. Как пишут СМИ, некая транснациональная компания (ее названия не приводится) лишилась крупной суммы денег из-за одного доверчивого сотрудника финансового отдела.
Сначала ему на рабочую почту пришло письмо якобы от топ-менеджера британского офиса компании. Там было приглашение к участию в видеоконференции. Он подключился и увидел, что в беседе принимает участие не только директор, но и несколько других сотрудников.
Оказалось, что на этой встрече только сам обманутый сотрудник был настоящим. Остальные участники были сгенерированы по технологии дипфейк — их лица и голоса были подделаны. Но так качественно, что у сотрудника не возникло подозрений. Он перевел на указанные счета 26 млн долларов и заподозрил неладное только спустя неделю.
https://www.bfm.ru/news/543637
Система видеоаналитики «Сфера» смогла найти больше 1,3 тысячи пропавших людей в Москве.
Московская система видеоаналитики под названием «Сфера» смогла найти 1324 пропавших человека. В основном это были пожилые люди и потерявшиеся дети. Об этом сообщил Дептранс Москвы со ссылкой на главу ведомства Максима Ликсутова. По его словам, «Сфера» работает 3,5 года и за это время ищет не только пропавших людей, но и преступников — убийц, насильников, грабителей. Сама система работает только в московском транспорте, в основном в метро, и для активного поиска конкретного человека нужно сначала загрузить в «Сферу» фотографию разыскиваемого лица.
https://www.bfm.ru/news/543520
«Коммерсантъ»: банки пожаловались на сроки получения данных из ЕБС
Представители российских банков жалуются на задержки при получении биометрических векторов из Единой биометрической системы (ЕБС). Участники рынка просят установить нормативный срок в одну минуту на запрос вектора, сообщает «Коммерсантъ» со ссылкой на источники в банковском секторе.
Собеседники издания отмечают, что банки не могут получать оперативный ответ из ЕБС. Задержки подтвердили ряд банкиров, а также в Национальном совете финансового рынка (НСФР). В ряде случаев персональные данные могут подтверждаться в течение одного или двух дней. Один из источников «Коммерсанта» считает, что задержка может возникать в части криптографической защиты данных. Представители НСФР направили письмо Минцифры и Центр биометрических технологий (ЦБТ) с просьбой рассмотреть варианты нормативных сроков по процедуре ЕБС.
https://www.vedomosti.ru/technology/news/2024/02/06/1018660-banki-zhaluyutsya-ebs
За пределами номера телефона: Использование TOTP для усиления безопасности
Двухфакторная аутентификация, хоть и добавляет шаг в процессе распознавания пользователя со стороны системы или сайта, но все же становится необходимой мерой для безопасной коммуникации. Большинство крупных веб-ресурсов мира сделало этот метод обязательным ввиду расширения списка возможных киберугроз. SMS и Call Password (звонок клиенту) для этой цели — инструменты привычные, но что насчет альтернатив? Иную реализацию «двухфакторки» предлагает TOTP — алгоритм одноразового пароля на основе времени.
https://habr.com/ru/companies/newtel/articles/790462/
**Многофакторная аутентификация: реализовываем на платформе Secure Authentication Server **
Использование многофакторной аутентификации для обеспечения конфиденциальности данных становится всё более востребованной мерой защиты. Компания MFASOFT (ООО «СИС разработка») реализовывает эту меру с использованием платформы аутентификации Secure Authentication Server.
https://www.anti-malware.ru/practice/methods/Secure-Authentication-Server-MFA
Мда… Некоторые инициативы должны навсегда оставаться только инициативами. Тут явно такой случай:
Банкам предложили определять нерезидентов по геолокации
Если выяснится, что российский гражданин заходит в приложение банка в основном из-за рубежа, организация должна будет запросить у него дополнительную информацию о месте проживания. А если этих данных банк не получит, то сможет в одностороннем порядке расторгнуть договор и перестать проводить операции по счету клиента. Соответствующее предложение Минфина содержится в проекте постановления правительства, пишут «Известия».
BFM: https://www.bfm.ru/news/543337 Известия: https://iz.ru/1643011/natalia-ilina-mariia-stroiteleva-mariia-kolobova/mesto-i-polozhenie-bankam-predlozhili-vyiavliat-klientov-nerezidentov-po-geolokatcii
Плюс картинка-иллюстрация: #пятничное “О наболевшем”
В WhatsApp на iOS можно будет входить в аккаунты без пароля
Мессенджер WhatsApp (принадлежит Meta, которая признана в РФ экстремистской и запрещена) тестирует новую функцию, которая поможет пользователям устройств от Apple входить в профили без пароля. Благодаря системе аутентификации без паролей (passkey) можно будет осуществить вход с помощью отпечатка пальца (Touch ID), скана лица (Face ID) или PIN-кода.
https://www.kommersant.ru/doc/6479588
Сайт с интересной функциональностью: “...собраны различные рекламные сервисы и сервисы для сбора аналитики, чтобы вы могли проверить на них эффективность вашего блокировщика.”
Мой блокировщик смог заблокировать всё. Да простят меня владельцы сайтов с рекламой =)
2024 январь
В Москве может появиться региональный сегмент Единой биометрической системы
Минцифры предложило создать в Москве региональный сегмент Единой биометрической системы (ЕБС). Проект соответствующего постановления правительства опубликован на портале проектов нормативных актов.
Данные региональной системы, как ожидается, можно будет использовать для оплаты проезда, аутентификации на региональных ресурсах в Интернете, прохода на территорию госорганов и в многоквартирные дома, при обращении в МФЦ, а также при посещении культурных мероприятий и учреждений.
https://www.vedomosti.ru/technology/news/2024/01/30/1017434-mozhet-poyavitsya-regionalnii-segment
Вставай, Наташ, мы всё уронили… (с)
https://portal.noc.gov.ru/ru/monitoring/
Update: Хабр - https://habr.com/ru/news/790188/ РИА Новости - https://ria.ru/20240130/sboi-1924449185.html РБК - https://www.rbc.ru/technology_and_media/30/01/2024/65b929219a79473658e31979
**Росэнергоатом импортозаместил программное обеспечение 95% всех рабочих мест ** Подведя итоги работы по направлению информационных технологий (ИТ) за 2023 год, концерн «Росэнергоатом» (входит в электроэнергетический дивизион Госкорпорации «Росатом») отчитался о переводе на импортонезависимую операционную систему Astra Linux более 95% от всех рабочих мест пользователей дивизиона. Плановый показатель по переводу на 2023 год был выполнен в полном объеме.
Ключевая цель концерна в области ИТ — обеспечить технологическую независимость. В 2023 году совместно с технологическими партнерами были разработаны и внедрены три полностью отечественных доверенных программно-аппаратных комплекса. Одним из них является комплекс для реализации частного облака, который позволил повысить эффективность эксплуатации инфраструктуры, динамично распределять нагрузку между сервисами, снизить риск простоев, а также ускорить развертывание новых приложений. 1000 отечественных компьютеров «Бобер» на процессорах «Байкал» были распределены по центральному аппарату и АЭС, протестированы. Уже более 700 из них установлены на рабочих местах пользователей.
В 2023 году успешно завершен проект по импортозамещению информационной системы управления бюджетированием АО «Концерн Росэнергоатом», в результате которого система, ранее реализованная на базе SAP BPC, была замещена системой на основе отечественного решения «Форсайт. Бюджетирование». Система введена в промышленную эксплуатацию на 11 АЭС, в центральном аппарате и шести малых филиалах концерна.
Еще одна импортозамещенная система «Росэнергоатома» — производственная автоматизированная система управления технической документацией — в 2023 году введена в промышленную эксплуатацию на 14 объектах концерна. Система позволяет сотрудникам иметь постоянный доступ к актуальной технической документации в электронном виде, что необходимо для выполнения ежедневных задач.
Особое внимание в «Росэнергоатоме» уделяется совершенствованию и модернизации систем информационной безопасности. В 2023 году завершена модернизация системы межсетевого экранирования на 11 атомных станциях и в центральном аппарате, что позволило обновить парк оборудования (заменено более 40 единиц оборудования), повысить его производительность, а также обеспечить высокий уровень защищенности внешнего и внутреннего периметров сетевой инфраструктуры от компьютерных атак. Было организовано внедрение системы защиты средств виртуализации на девяти АЭС с переходом на импортозамещенные решения по управлению виртуализацией. Система спроектирована и внедрена, завершается промышленная миграция более 900 виртуальных серверов информационных систем атомных станций.
Плюс один специализированный антивирус для АСУ ТП:
Dr.Web Industrial осуществляет защиту серверов и рабочих станций в промышленных системах управления и на объектах критической инфраструктуры от заражения вредоносным ПО и целевых атак. Решение позволяет контролировать доступ к файлам и директориям, а также подключаемые сотрудниками устройства и активность сторонних приложений.
__Особенностью защитного комплекса является отсутствие необходимости прерывания технологического процесса при обнаружении вредоносной активности. Все участники производственной цепочки, от оператора рабочей станции до ИБ-службы компании могут отслеживать ситуацию в режиме реального времени и принимать решение по устранению угрозы безопасности.
Защитный комплекс Dr.Web Industrial предназначен для работы в среде Windows, Linux, FreeBSD. Лицензирование продукта осуществляется по количеству защищаемых объектов АСУ ТП.__
Новость: https://news.drweb.ru/show/?i=14802 Описание: https://products.drweb.ru/industrial
Сочетание методов верификации и аутентификации через почту и SMS: добавит ли безопасности и нельзя ли проще?
Недавно в России вступил в силу закон, запрещающий использовать иностранные сервисы для авторизации на отечественных ресурсах. Привычные уже мессенджеры и системы SSO вроде Google/Apple ID в скором времени для аутентификации работать не будут. Что теперь — возвращаться на SMS и почту, или рынок предлагает альтернативные варианты решения?
https://habr.com/ru/companies/newtel/articles/789460/
С сентября абоненты и операторы сотовой связи получат новые права
Правительство утвердило новые правила оказания услуг в этой сфере.
Абоненты с сентября смогут менять оператора связи с сохранением своего номера через интернет с использованием электронной подписи.
Об этом сообщает ТАСС со ссылкой на обновленные правила оказания услуг телефонной связи, утвержденные правительством РФ.
https://www.bfm.ru/news/542930
Россияне смогут регистрироваться в отелях через «Госуслуги»
Такую инициативу предложило правительство. Также россиянам могут разрешить заселяться в гостиницы по загранпаспорту. Как эти новшества оценивают отельеры?
https://www.bfm.ru/news/542702
Соцсеть Х разрешила владельцам iPhone входить в аккаунты без пароля
Соцсеть Х (бывший Twitter) добавила новую функцию, которая поможет пользователям устройств Apple входить в профили без пароля.
https://www.kommersant.ru/doc/6466579
А ещё так можно вводить пароли в публичных местах, где кто-то может подсмотреть перемещения пальцев =) #пятничное
Когда пользователь устал, или Как хакеры обходят MFA
В начале января от действий скамера пострадала Mandiant — ИБ-дочка Google. Злоумышленник взломал аккаунт компании в Twitter* и использовал его для криптографического мошенничества. Оказалось, что в инциденте виноваты сотрудники Mandiant и некий «переходный период». Специалисты банально запутались в новых правилах MFA на площадке и в том, кто за нее отвечает.
https://habr.com/ru/companies/nubes/articles/788728/
Перечни типовых отраслевых ОКИИ.pdf
Перечни типовых отраслевых объектов КИИ - пока набралось суммарно 7 штук: транспорт, энергетика, здравоохранение, химическая, горнодобывающая, металлургическая и оборонная промышленность.
Эх, такие бы Перечни года два-три назад - сколько копий в полемиках не было бы сломано…
https://zlonov.ru/laws/перечни-типовых-отраслевых-окии/
UPD: + Перечень в сфере ТЭК
В сервисах «МТС Линк» появились новые способы аутентификации
«Вебинар Технологии», российская компания-разработчик экосистемы сервисов для бизнес-коммуникаций и совместной работы «МТС Линк», объявила, что теперь платформа поддерживает все три ключевых протокола аутентификации и авторизации пользователей.
https://safe.cnews.ru/news/top/2024-01-23_v_servisah_mts_link_poyavilis
Крайне любопытный нестандартный вектор атаки: отслеживание положения пальцев руки пользователя через датчик освещённости ноутбука/планшета/смартфона.
Ладонь частично отражает свет от экрана на датчик, что при должном умении (не обошлось без привлечения ИИ) позволяет определить положение руки пользователя.
Пока атака в реальных условиях нереализуема (для достоверности результата рука должна быть неподвижна пару десятков минут), но это повод уже сейчас озаботиться дополнительными механизмами защиты от неё в будущем: ограничить доступ приложений к датчикам освещённости, понизить частоту их срабатывания и/или разместить датчики сбоку, а не на фронтальной поверхности.
Статья в Science (eng): https://www.science.org/doi/10.1126/sciadv.adj3608 Статья на MIT CSAIL (eng): https://www.csail.mit.edu/news/study-smart-devices-ambient-light-sensors-pose-imaging-privacy-risk Статья на Хабре: https://habr.com/ru/companies/kaspersky/articles/788080/ Статья на Anti-Malware: https://www.anti-malware.ru/news/2024-01-22-114534/42654
В России до конца года создадут биометрическую систему учета въезжающих иностранцев
Биометрию иностранцы смогут сдавать через специальное приложение, что позволит обеспечить достоверное подтверждение личности. Business FM спросила представителей нескольких диаспор и юристов, как они относятся к нововведению.
https://www.bfm.ru/news/542492
«Ъ»: большую часть иностранного радиооборудования удалось заместить отечественным
Российские радиовещатели смогли заместить большую часть иностранного оборудования, попавшего под американские санкции, отечественным. Это следует из отраслевого доклада «Радиовещание России 2022-2023 годы», подготовленного при поддержке Минцифры. С ним ознакомилась газета «Коммерсантъ».
Как содержать пароли. Мой сетап
От автора: __Я долго собирал информацию о том, как организовать свои аккаунты. Как сделать доступ к ним достаточно надёжным и стойким к утере девайсов.
Меня интересовало, как я могу залогиниться туда, где многофакторная авторизация через телефон, в случае потери телефона.
Или, как обезопасить себя от забывания мастер пароля от менеджера паролей? На моей практике я несколько раз забывал пин-код от банковской карты, состоящий из 4-ёх цифр, после ежедневного использования на протяжении многих месяцев. Мозг - странная штука.
В итоге, спустя месяцы изучения темы, я пришёл к следующему сетапу, который решил описать в виде мануала.__
https://habr.com/ru/articles/787158/
**В ЦБ предупредили о новом виде мошенничества с имитацией голосов родных ** Аферисты вынуждают сделать денежный перевод или сообщить необходимые для финансовых операций сведения
В ЦБ предупредили о новом виде мошенничества. Аферисты с помощью специальных программ имитируют голоса родных и близких потенциальной жертвы, после чего вынуждают сделать денежный перевод или сообщить необходимые для финансовых операций сведения, сообщили РИА Новости в Банке России. При возникновении любых сомнений ЦБ советует позвонить человеку, от имени которого вам звонят, и уточнить у него информацию.
Злоумышленники часто создают адресные схемы, которые составлены по цифровому портрету человека. Как пояснили в Центробанке, мошенники могут составить его, например, на основании информации, которую сам гражданин размещает на открытых интернет-ресурсах: о родственниках, друзьях, работе, досуге. В этой связи регулятор рекомендует осторожно подходить к размещению личной и финансовой информации в социальных сетях и на других открытых ресурсах.
https://www.bfm.ru/news/542273
**Брак без паспорта впервые зарегистрировали в РФ ** Во время свадебной церемонии использовались биометрические данные, которые подтвердили личности жениха и невесты. Свой союз с помощью новых технологий и планшета скрепили молодые учителя из Воронежской области Роман и Дарья Бабаевы, рассказали РИА Новости в Центре биометрических технологий (ЦБТ).
Уточняется, что молодожены заранее зарегистрировали подтвержденные биометрические данные. Регистрация прошла в павильоне № 75 в рамках Дня Воронежской области на выставке-форуме «Россия» на ВДНХ.
https://www.bfm.ru/news/542045
Голосовым сообщениям больше нельзя доверять
Мошенники освоили технологии искусственного интеллекта и общаются с россиянами «клонированными» голосами друзей и родственников. Собеседники Business FM добавляют, что самые продвинутые вымогатели научились делать то же самое при звонках в реальном времени.
https://www.bfm.ru/news/541864
Не ожидал, что у нас ТАКОЕ количество каналов по ИБ: при первоначальном списке в 92 канала новых мне прислали уже почти 50 штук. Видимо, в следующем рейтинге надо будет какие-то критерии включения вводить (число подписчиков, возраст канала, активность или что-то ещё - надо подумать).
К слову, у сервиса TGStat вышло любопытное исследование аудитории Telegram за 2023 год: https://tgstat.ru/research-2023
Одноразовые пароли для доступа по ssh через HashiCorp Vault
HashiCorp Vault имеет в своём арсенале SSH secrets engine, который позволяет организовать защищённый доступ к вашим машинам по ssh, через создание клиентских сертификатов и одноразовых паролей. Про последнее – создание одноразовых паролей (OTP) – и идёт речь в этой статье.
https://habr.com/ru/articles/785052/
В Москве испытали светофор с системой распознавания лиц пешеходов-нарушителей
На пешеходном переходе Бережковской набережной в Москве протестировали прототип светофора с биометрической камерой распознавания лиц. Устройство может фиксировать нарушения правил дорожного движения, заявил начальник столичной Госавтоинспекции Александр Быков в журнале «Безопасность дорожного движения».
«Фотофиксация предусматривает отображение трека перемещения пешехода и сигнала светофора. При нарушении пешеходом ПДД РФ его изображение (без идентификации) транслируется на электронное табло отображения информации, расположенное рядом с местом нарушения», – пояснил Быков.
Он отметил, что для эффективной работы автоматизированной системы привлечения пешеходов к административной ответственности нужно собрать биометрию у всех граждан. Это может быть возможно, только если сдача биометрической информации в стране станет не правом ее жителей, а обязанностью, уверен начальник Госавтоинспекции Москвы. В таком случае в действующее законодательство потребуется внести изменения, подчеркнул Быков.
https://www.vedomosti.ru/society/news/2024/01/05/1013989-svetofor-raspoznavaniya-lits
Российские компании нашли аналог софту SAP
Но доля ушедшего немецкого вендора остается доминирующей у крупного бизнеса.
Около 15–20% российских компаний к концу 2023 г. перешли на аналоги программного обеспечения немецкой SAP, подсчитали по просьбе «Ведомостей» крупные IT-интеграторы «Т1 интеграция» и Winbyte (принадлежит «Ланиту», занимается техподдержкой SAP). В реестре российского ПО уже зарегистрировано около 200 аналогов ERP (систем управления ресурсами организаций) от SAP, но при этом около 60% компаний в нефтегазовой, горнодобывающей, металлургической сферах и машиностроении продолжают использовать продукты немецкого вендора, отмечают представители интеграторов.
SAP – немецкий разработчик ПО для организаций. Наиболее распространенное решение компании – система управления предприятием ERP, состоящая из отдельных модулей для финансов, ресурсов, жизненного цикла оборудования, сбыта продукции и т. д. Компания – третий крупнейший разработчик ПО в мире после Microsoft и Oracle.
Биометрия придет в университеты
Российские власти поручили внедрить биометрию в университетах. Что об этом думают представители вузов и студенты?
https://www.bfm.ru/news/541123
Чаты и каналы Telegram по информационной безопасности 2024: https://zlonov.ru/telegram-security-list-2024/
2023 декабрь
Интересные примеры из практики моих коллег: Топ-5 уязвимостей 2023 года от Центр кибербезопасности УЦСБ https://www.youtube.com/watch?v=ayWz30uWUxU
В 2023 году 2FA включили 16 млн пользователей VK (плюс 21%)
В 2023 году двухфакторную аутентификацию (2FA) для защиты аккаунтов включили еще 16 млн пользователей VK. Показатель «ВКонтакте» за год возрос на 21%, «Одноклассников» — на 15%.
https://www.anti-malware.ru/news/2023-12-25-114534/42536