​👤 Эдвард Сноуден: Facebook шпионит за вами, я научу вас защищаться

• 📌 Эдвард Сноуден, экс-сотрудник ЦРУ и Агентства национальной безопасности (АНБ) США, в четверг призвал Facebook к ответу за постоянную слежку за пользователями социальной сети. Более того, специалист пообещал научить пользователей бороться со шпионажем со стороны корпораций.

• 💬«В ближайшие недели я объясню, как каждый из этих сайтов [Facebook, Instagram, Youtube — прим. ред.] следит за вами. Также я расскажу про методы, которые помогут сократить количество информации, известной этим сайтам о вас. Если вы используете эти ресурсы, будьте начеку», — пишет в Twitter Сноуден.

• ⚙️🕹 Шпионские замашки социальной сети Facebook уже давно никого не удивляют — люди привыкли к постоянно всплывающей информации о том, что соцсеть передает на сторону пользовательские данные без их согласия. Сноуден, как можно понять из его намерений, решил принять посильное участие в борьбе с возмутительными практиками крупнейших онлайн-платформ. Будем надеяться, что вскоре экс-сотрудник ЦРУ и АНБ расскажет нам чуть больше о действиях «Большого брата».


@SingleSecurity 🛡

​📨⚙️💀 Хакер может проникнуть в iPhone, просто отправив текстовое сообщение

• 🌐 Вчера на конференции по безопасности Black Hat, проходящей в Лас-Вегасе, эксперт Google Project Zero Натали Силванович рассказала о проблемах безопасности в клиенте iMessage. В случае успешной эксплуатации этих багов злоумышленник может получить контроль над устройством пользователя.

• 🍏🔒На данный момент Apple уже устранила пять таких уязвимостей. При этом остались еще несколько багов, которые требуют отдельных патчей.

• 👤💬 «Такого рода бреши могут привести к выполнению кода. С их помощью злоумышленник также сможет получить доступ к вашим данным», заявила Силванович

• 📌 Одну из самых интересных проблем Силванович нашла в основополагающей логике приложения — атакующий мог легко извлечь данные из текстовых сообщений пользователя.

• ⚠️ 🕹 Для этого злоумышленнику надо отправить пользователю специальное текстовое сообщение, а сервер iMessage отправит в ответ определенные данные атакуемой жертвы. Среди таких данных будет содержимое текстовых сообщений, а также отправленные и принятые изображения.

• 🔎 Другие баги, обнаруженные исследователем, приводят к выполнению вредоносного кода. Их также можно задействовать с помощью простого текстового сообщения.


@SingleSecurity 🛡

​⚠️♻️ Google рекомендует обновить Chrome из-за дыры в движке Blink

• 📌⚙️ Google настоятельно рекомендует пользователям Chrome обновить браузер, так как в его движке была найдена опасная уязвимость, позволяющая удаленному злоумышленнику выполнить код, получить доступ к важной информации и запустить DoS-атаки.

• ⚙️ Проблема безопасности, получившая идентификатор CVE-2019-5869, затрагивает Blink, движок с открытым исходным кодом, как раз используемый в Chrome.

• 🔎 Как известно, движки представляют собой сердце каждого браузера, именно они отвечают за отображение пользователю HTML-документов и веб-страниц. Запущенный в далеком 2013 году Blink был специально разработан как часть проекта Chromium.

• 🕹🕳Обнаруженная недавно брешь позволяла атакующему выполнить произвольный код в контексте браузера. Благодаря этому злоумышленник мог собрать конфиденциальную информацию, обойти различные меры безопасности и даже провоцировать denial-of-service (DoS).

• 🕹 Для эксплуатации уязвимости жертву достаточно было заманить на специальную веб-страницу.

• ⏳ С выпуском версии Google Chrome 76.0.3809.132 проблема безопасности перестала представлять угрозу. Однако стоит помнить, что все версии до неё по-прежнему содержат вышеописанную брешь.


@SingleSecurity 🛡

​📌 Заклеивайте камеру и микрофон ноутбука

❗️ Рекомендации, которые помогут владельцам компьютеров и смартфонов не стать жертвой киберпреступников.

• 🔒 В интернете "нет ничего абсолютно безопасного", поэтому очень важно соблюдать правила цифровой гигиены. Так, чтобы не стать жертвой киберпреступников, нужно обязательно установить на компьютер антивирус и регулярно обновлять программное обеспечение.

• 💡 Кроме того, камеру и микрофон рекомендуется заклеивать. Сделать это можно при помощи скотча, изоленты или специальных шторок. Тогда, даже если хакер и взломает компьютер, он не увидит и не услышит пользователя.

• 📞 Отметим что именно разговоры и представляют настоящую ценность для злоумышленников, поэтому такую информацию нужно беречь от посторонних ушей.

• 🔦📱Со смартфонами ситуация сложнее: даже если запретить ненужным приложениям доступ к камере или микрофону, гаджеты шпионят за владельцами — собирают метаданные, чтобы в дальнейшем использовать их для адресной рекламы каких-либо товаров или услуг.
Причем этим могут заниматься вполне безобидные на первый взгляд приложения — мессенджер, который распознает и анализирует речь, или фонарик, запрашивающий доступ к фотографиям и контактам.

• ❗️Внимательно относитесь к запрашиваемым разрешениям: ограничивать доступ к микрофону, камере, фотогалерее, геолокации, если это не сказывается на работоспособности необходимых функций.

• ✔️ Кому-то данная рекомендация может показаться паранойей, однако многие все же закрывают входную дверь на несколько оборотов, даже когда дома.


@SingleSecurity 🛡

​📌📞 Частые ситуации и меры предосторжности от телефонных мошенников

• ⚠️ Прежде всего стоит насторожиться, если звонящий просит назвать CVV банковской карты (три цифры с обратной стороны), пароль из SMS или кодовое слово. Работники банка не запрашивают такую информацию.

• ❗️Также нужно скептически относиться к звонкам и сообщениям о "попавших в беду родственниках". Прежде чем переводить деньги на присланные мошенниками реквизиты карты или счета, следует позвонить близким и спросить, действительно ли они оказались в сложной ситуации.

• 🔎 Всегда важно уточнять, зачем собеседник запрашивает персональную информацию: паспортные данные, дату рождения, номера банковского счета и так далее. В таком случае можно попросить перезвонить позднее: за это время вы сможете по интернету проверить номер, с которого вам звонили, к тому же аферисты зачастую пытаются решить все задачи за один звонок.

• 📱🔦 Довольно распространенный тип мошенничества — звонок от "сотрудника банка" с "предупреждением о подозрительных операциях на счете". Злоумышленники предлагают "отменить операцию", просят назвать конфиденциальные сведения и в итоге получают доступ к вашему счету.

• 👤❓ Если звонок поступил якобы от сотрудника банка, но вы раскусили мошенника или даже просто подозреваете — свяжитесь с банком, от имени которого был совершен звонок, и продиктуйте им данный номер. Далее банк будет самостоятельно принимать меры по блокировке номера мошенника. В случае, если вы столкнулись с подобной ситуацией или даже по какой-то причине "клюнули" на удочку аферистов, обращайтесь ближайшее правохранительных органов.

• 🎲 🎁 Другой вид мошенничества — звонки с сообщениями "о выигрыше в лотерею", после которых человека просят предоставить данные банковской карты или сделать взнос ("заплатить налоги") еще до получения перевода.

• ⏳Мошенники часто торопят и давят на собеседников. Если вам звонят и требуют быстро принять решение, лучше прервать разговор или сказать, что вы его записываете. Помимо этого, не стоит общаться с людьми, которые просят никому не сообщать о беседе.


@SingleSecurity 🛡

​📌 Официально запущен Wi-Fi 6 — увеличена скорость в переполненных сетях

• 🏛 Объединение Wi-Fi Alliance, отвечающее за имплементацию стандарта Wi-Fi, официально запустило программу сертификации Wi-Fi 6. Таким образом, компании-производители устройств скоро смогут оснастить свои новые девайсы поддержкой Wi-Fi 6.

• ⚙️ Основная задача Wi-Fi 6 — значительно увеличить скорость внутри перегруженной абонентами сети. В теории максимальная скорость должна вырасти с 3,5 Гбит/с до 9,6 Гбит/с, однако стоит помнить, что дома такую скорость никогда не удастся получить.

• ✔️ Один из самых главных плюсов — в Wi-Fi 6 внедрили множество инструментов, позволяющих быстрее обрабатывать и доставлять больший объём данных.

• 👥 Особенно пользователи должны почувствовать качественное отличие в сетях, переполненных подключёнными абонентами.


@SingleSecurity 🛡

​⚠️⚙️ Зафиксирована волна взломов YouTube-аккаунтов автолюбителей

• 📌 За последние несколько дней была отмечена волна компрометаций YouTube-аккаунтов. Злоумышленники почему-то выбирают блогеров, специализирующихся на тюнинге и обзорах автомобилей.

• 💀👤 При этом взлому подверглись довольно популярные в среде автолюбителей создатели контента на YouTube. Например, можно выделить следующие каналы: Built, Troy Sowers, MaxtChekVids, PURE Function и Musafir.

• 💀🏢 Помимо обозревателей автомобилей, киберпреступники атаковали учётные записи компаний. Основная волна атак пришлась на выходные, форум техподдержки YouTube буквально наполнился похожими жалобами.

• 🕹📈 Нет сомнений в том, что атаки были грамотно скоординированы.
Сначала жертв заманивали на фишинговые сайты через специальные сообщения. На этих сайтах невнимательные пользователи вводили свои учётные данные, которые попадали прямиком в руки злоумышленников.

• 🔐После получения имён пользователей и паролей преступники переоформляли YouTube-каналы на нового владельца. Атакующие пытались замаскировать все таким образом, чтобы у взломанного владельца аккаунта, а также у его подписчиков сложилось впечатление, что канал был удалён.

• 🔑 В сети есть информция, что злоумышленники использовали специальный инструмент для фишинга под именем Modlishka. Известно, что он позволяет перехватывать даже коды двухфакторной аутентификации.


@SingleSecurity 🛡

​⚠️ Первый вредонос, использующий протокол DNS поверх HTTPS

• Исследователям компании Netlab  удалось обнаружить первую вредоносную программу, использующую протокол DNS поверх HTTPS (DNS over HTTPS, DoH).

💀 Вредонос получил имя Godlua.

• 👥 Эксперты подробно описали Godlua в отчете, согласно которому вредоносная программа написана на языке Lua, имеет признаки бэкдора и приспособлена для работы на серверах Linux.

• 👤 🕳 При этом стоящие за ней злоумышленники используют эксплойт Confluence (CVE-2019-3396) для заражения непропатченных систем. Ранние сэмплы Godlua были загружены на VirusTotal, где антивирусы ошибочно приняли вредонос за криптомайнер.

• ❗️Специалисты Netlab уточняют, что зловред работает в качестве DDoS-бота, киберпреступники уже использовали его в атаках на liuxiaobei.com.

• ⏳ В настоящее время существуют две версии Godlua, обе используют DNS поверх HTTPS для получения текстовых записей DNS и извлечения URL командного сервера C&C.

• 🔒 DoH-запросы зашифрованы и, соответственно, невидимы для сторонних глаз. Это помогает обойти антивирусные продукты, которые мониторят запросы к вредоносным доменам.


@SingleSecurity 🛡

​📌 ⚙️ Google рекомендует обновить Chrome из-за дыры в движке Blink

• ❗️Google настоятельно рекомендует пользователям Chrome обновить браузер, так как в его движке была найдена опасная уязвимость, позволяющая удаленному злоумышленнику выполнить код, получить доступ к важной информации и запустить DoS-атаки.

• ⚙️ Проблема безопасности, получившая идентификатор CVE-2019-5869, затрагивает Blink, движок с открытым исходным кодом, как раз используемый в Chrome.

• ⏳ Как известно, движки представляют собой сердце каждого браузера, именно они отвечают за отображение пользователю HTML-документов и веб-страниц. Запущенный в далеком 2013 году Blink был специально разработан как часть проекта Chromium.

• 🔑 Обнаруженная недавно брешь позволяла атакующему выполнить произвольный код в контексте браузера. Благодаря этому злоумышленник мог собрать конфиденциальную информацию, обойти различные меры безопасности и даже провоцировать denial-of-service (DoS).

• 👤 ⚠️ 🔐 Возможности атакующего, использующего эту уязвимость, зависели от прав, которыми располагало приложение. В случае успешной атаки преступник мог устанавливать программы, просматривать, изменять или удалять данные и даже создавать новые аккаунты с полными правами пользователя

• 🕹 Для эксплуатации уязвимости жертву достаточно было заманить на специальную веб-страницу.

• ♻️ С выпуском версии Google Chrome 76.0.3809.132 проблема безопасности перестала представлять угрозу. Однако стоит помнить, что все версии до неё по-прежнему содержат вышеописанную брешь.


@SingleSecurity 🛡

​📌 Android-вредоносы с 1,5 млн загрузок почти год разряжали батареи жертв

•  👥 Специалисты компании Symantec нашли в Google Play Store два нежелательных Android-приложения, общее количество загрузок которых превышало 1,5 миллиона. Эти программы использовали новую технику, помогающую тайно кликать на рекламных объявлениях без ведома пользователей.

•  📄 Согласно отчёту Symantec, зловреды находились в официальном магазине Play Store почти год, прежде чем их вычислили. После того как антивирусные специалисты сообщили о вредоносном поведении приложений, сотрудники Google удалили их с площадки.

• ⚙️📱Одно из сомнительных приложений маскировалось под вариацию блокнота, его имя — «Idea Note: OCR Text Scanner, GTD, Color Notes». Второе использовало для введения пользователей в заблуждение тематику фитнеса — «Beauty Fitness: daily workout, best HIIT coach».

• 🕹 Обе программы были упакованы при помощи легитимных средств, используемых обычно для защиты интеллектуальной собственности приложений для Android. Однако эти же упаковщики значительно усложняют исследователям задачу изучить приложение подробно.

• ⚠️ «Блокнот» и «фитнес-приложение» тщательно прятали свою нежелательную активность. Рекламные объявления помещались за пределами видимой зоны дисплея, что помогало скрыть их от глаз пользователей.

• ⚙️ В невидимой для жертвы зоне происходили клики, цель которых — заработать мошенникам деньги. Проблема для пользователя заключалась в том, что заряд батареи смартфона подходил к концу очень стремительно.

• 🔋 Но это ещё не все негативные последствия: мобильные устройства существенно теряли в производительности, на некоторых даже заканчивалось хранилище, так как вредоносные приложения постоянно посещали рекламные сайты.


@SingleSecurity 🛡

​📌 ⚠️ Выявилен новый вариант формы атаки на SIM-карты. Используя механизмы, злоумышленники могут удаленно взломать миллионы мобильных телефонов.

• ⚙️ Весь механизм таких атак строится на том, как устаревший S@T Browser, представленный во многих SIM-картах, обрабатывает сообщения. Атакующий может запустить команды, за которыми последуют определённые действия: отправка SMS-сообщений, звонок на определённый номер, запуск браузера и сбор информации о заражённом устройстве.

• 🔎📱 Данная форма атаки сработает против 1 миллиарда мобильных устройств, учитывая, что S@T Browser имеется на SIM-картах операторов связи более чем в 30 странах. Неназванная организация использовала этот метод на протяжении двух лет, помогая властям различных стран следить за гражданами.

• ❗️Как и в случае S@T Browser, WIB можно контролировать удаленно «по воздуху». Обычно к этому прибегают операторы связи, когда пытаются поменять на устройстве пользователя сетевые настройки. Таким образом, атакующий может использовать WIB, чтобы заставить мобильное устройство выполнить ряд действий. Все то же самое: для этого будут использоваться соответствующие SMS-сообщения.

• 🕹 Атаку WIBattack трудно обнаружить — пользователь вообще не поймёт, что его атакуют, так как никаких индикаторов в этом случае не существует.

• 📹 Эксперты опубликовали видеоролик, в котором демонстрируется обнаруженный ими тип атаки:


@SingleSecurity 🛡

​⚙️ ⚠️ Новая 0-day в Android угрожает смартфонам Samsung, Huawei, Xiaomi

• 👤 Эксперт Google Project Zero обнаружил критическую 0-day уязвимость в Android, затрагивающую большинство популярных моделей смартфонов на базе этой ОС. На сегодняшний день для этой бреши нет патча.

• 👥 🕹 Пока что данной проблемой безопасности пользуется в реальных атаках лишь одна группировка — израильские правительственные хакеры NSO Group. NSO Group известна продажей эксплойтов правительствам нескольких стран.

• ⚙️ Уязвимость, получившую идентификатор CVE-2019-2215, выявил Мэдди Стоун, работающий в команде Project Zero. Технические детали и PoC-эксплойт стали доступны сегодня, спустя семь дней после уведомления команды безопасности Android.

•📱Брешь присутствует в драйвере уровня ядра и представляет собой проблему памяти use-after-free. При удачной эксплуатации атакующий может повысить права до root и получить полный контроль над устройством.

• 📲 Смартфоны большинства крупных вендоров оказались уязвимы, несмотря на наличие свежих патчей. Среди них следующие модели: Pixel 1
✔️Pixel 1
✔️XL Pixel 2
✔️Pixel 2 XL
✔️Huawei P20
✔️Xiaomi Redmi 5A
✔️Xiaomi Redmi Note 5
✔️Xiaomi A1
✔️Oppo A3
✔️Moto Z3
✔️Oreo LG phones
✔️Samsung S7
✔️Samsung S8
✔️Samsung S9

• 📌 Исследователь отмечает, что Pixel 3, 3 XL и 3a с последней версией ядра Android не затронуты этой проблемой.

• 💬 По словам Мэдди Стоуна, злоумышленники могут использовать уязвимость удалённо, поскольку данный баг доступен из песочницы Chrome. Google планирует выпустить патч для этой дыры с выходом октябрьского набора обновлений Android.

• ❓Однако как скоро все получат эти патчи — большой вопрос.


@SingleSecurity 🛡

​🕹📃 Опубликован список стран с уязвимыми SIM-картами (России там нет)

• 👥 Исследователи в области кибербезопасности из компании Adaptive Mobile опубликовали список стран, в которых операторы связи используют уязвимые к атаке SimJacker SIM-карты. Сразу можем успокоить всех интересующихся: России в этом списке нет.

• ⌛️Ровно месяц назад именно команда Adaptive Mobile выявила метод атаки на SIM-карты, впоследствии получивший имя SimJacker. Удалённый атакующий, используя эту брешь, с помощью SMS-сообщений может скомпрометировать устройства пользователей и вести за ними слежку.

• 🌐 Теперь же специалисты опубликовали список стран, в которых действуют операторы связи, использующие уязвимые к SimJacker SIM-карты. Самих операторов компания не назвала.

•  📑 «Наше исследование выявило 61 мобильного оператора в 29 странах, все они используют уязвимую технологию. По имеющимся данным, общее число выпущенных этими операторами SIM-карт близится к 861 миллиону», — гласит отчёт (PDF) Adaptive Mobile.

• ⤵️ Ниже приводим полный список стран, опубликованный экспертами Adaptive Mobile:

🌎 Центральная Америка:
Мексика
Гватемала
Белиз
Доминиканская Республика
Сальвадор
Гондурас
Панама
Никарагуа
Коста-Рика

🌎 Южная Америка:
Бразилия
Перу
Колумбия
Эквадор
Чили
Аргентина
Уругвай
Парагвай

🌍 Африка:
Кот-д'Ивуар
Гана
Нигерия
Камерун

🌏 Европа:
Италия
Болгария
Кипр

🌏 Азия:
Саудовская Аравия
Ирак
Ливан
Палестина

• ❗️Исследователи полагают, что уязвимость SimJacker используется спецслужбами разных стран для шпионажа за гражданами.


@SingleSecurity 🛡

​В почте Mail.ru больше не будет паролей

Mail.ru больше не будет паролей

• 📌 Сервис планирует предложить пользователям использование одноразовых СМС-кодов и Push-уведомлений.  Такой код действителен в течении короткого промежутка времени и позволяет произвести лишь одну авторизацию.

• ⚙️ Позже, у пользователей появится возможность создавать ящики без паролей.  Они смогут использовать биометрические данные для аутентификации физических устройств.


@SingleSecurity 🛡

​Расширение Tor Snowflake превратит ваш браузер в прокси

• 👥 Разработчики Tor Project выпустили специальные расширения для браузеров Chrome и Firefox, позволяющие пользователям превратить свой интернет-обозреватель в прокси. Этим могут воспользоваться граждане стран, на территории которых блокируется сеть Tor.

• ❗️Обратите внимание: расширения предназначены не для тех пользователей, в чьей стране блокируют Tor-сеть, а для тех, кто хочет помочь таким людям.

• ❓Если вы заинтересовались этой темой — например, у вас есть знакомые из стран с репрессивными режимами, — можете попробовать установить аддоны для Chrome или Firefox.

• 🌍 Эти расширения, получившие имя Tor Snowflake, превратят браузер пользователя в прокси и позволят другим подключаться к сети Tor.

• ⚠️ Страны, ведущие агрессивную политику в отношении различных анонимайзеров (Tor в их числе), с годами научились успешно блокировать доступ к серверам, позволяющим присоединиться к «луковой» сети.

• ⚙️ Обычно все сводится к созданию списка IP-адресов, к которым некоторые страны локально запрещают доступ. Среди таких стран можно отметить Китай и Иран.

• 📌 Стоит учитывать — чем больше пользователей установят эти расширения, тем больше граждан стран с жёстким режимом смогут получить пропуск в сеть Tor.


@SingleSecurity 🛡

​📌 Немецкое агентство по ИБ назвало Firefox самым безопасным браузером

• 🌐 Федеральное управление по информационной безопасности (немецкое правительственное агентство, BSI) провело тестирование четырёх основных браузеров и попыталось выявить наиболее защищённый.

• ⚙️ Аудиту подверглись: Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 и Microsoft Edge 44. При этом агентство почему-то обошло стороной Safari, Brave, Opera и Vivaldi.

• 📄 В процессе тестирования (PDF) использовались специально разработанные критерии (PDF), которые BSI опубликовало в сентябре 2019 года.

• ❗️Учитывались и современные требования к интернет-обозревателям: HSTS, SRI, CSP 2.0, обработка телеметрии и усовершенствованные механизмы взаимодействия с сертификатами.

• 💬 Обычно Федеральное управление по информационной безопасности использует эти критерии, чтобы рекомендовать госучреждениям и организациям частного сектора наиболее безопасные браузеры.

• 🔎 Исходя из результатов тестирования, Firefox является самым защищённым обозревателем, поддерживающим все необходимые функции.


• 📌 BSI выделило множество требований к современному средству для веб-сёрфинга, часть которых мы приводим ниже:

✔️Должен поддерживать TLS.
✔️Должен иметь список доверенных сертификатов.
✔️Должен верифицировать загружаемые сертификаты.
✔️Должен отражать специальными иконками наличие безопасного и небезопасного подключения.
✔️Должен поддерживать HTTP Strict Transport Security (HSTS).
✔️Должен обновляться автоматически.
✔️Пароли должны храниться в зашифрованном виде.
✔️Пользователи должны иметь возможность удалять пароли.
✔️Пользователи должны иметь возможность блокировать cookies и удалять историю посещения страниц.


@SingleSecurity 🛡

​🔐 В каких приложениях вас взломают с большей вероятностью

💀📲 Опасные приложения, которые не стоит устанавливать на свой смартфон. Касается это как владельцев девайса на iOS, так и на Android

• ❗️⚙️ В частности, не рекомендуется ставить на свои девайсы такие приложения по подписке, как предсказания будущего, астрологические гороскопы и гадания. Оформив на них подписку, вы будете терять несколько тысяч рублей в месяц, а избавиться от такой подписки может быть не совсем просто. Не менее опасными могут оказаться и «полезные» приложения вроде прогноза погоды или фонарика, которые могут запросить доступ к камере, СМС, адресной книге или записи аудиозвонков, хотя в них они явно не нуждаются.

• ⚠️ Опасность также представляют и подделки, которые очень сложно отличить от оригинальных и известных предложений. Цель таких программ может заключаться в краже персональных данных через разрешение дать доступ к СМС, контактам и другим личным разделам. Такую же осторожность нужно проявлять и по отношению к альтернативным клиентам социальных сетей, которые запросто могут похитить ваш логин и пароль, получив доступ к вашему аккаунту.

• 📌 Угроза APK-файлов для Android, которые были загружены из неавторизованных источников и установлены вручную.


@SingleSecurity 🛡

​Как работают токены аутентификации и в чем их отличия от паролей

Часть 1
• Мы все окружены паролями, одноразовыми кодами, ключами и токенами, но не всегда знаем об их существовании. Они каждую минуту обеспечивают безопасность наших аккаунтов и данных. Однако нам с тобой важно знать, как именно устроены самые базовые механизмы защиты информации. Один из них — это токены аутентификации, которые повышают надежность защиты данных и при этом не мешают комфортно пользоваться сервисами.

• Подписываемся под данными
И людям, и программам нужно знать, что данные были созданы доверенным источником и остались неизменными. Для этого была придумана технология генерации специального хеша (подписи), который подтверждает целостность информации и достоверность ее отправителя/создателя. Для создания этой самой подписи используется схема из нескольких шагов, цель которых — защитить данные от подделки.

• Алгоритм хеширования может меняться, но суть этого подхода проста и неизменна: для подтверждения целостности сообщения необходимо снова найти подпись защищаемых данных и сравнить ее с имеющейся подписью.

• Схема генерации HMAC (hash-based message authentication code), кода аутентификации сообщений с использованием хеш-функции ⬇️

​• 🕹🔒 Придумываем коды доступа
Люди, которые придумали двухфакторную аутентификацию, по всей видимости, руководствовались принципом «одна голова хорошо, а две — лучше». И действительно — два пароля точно безопаснее одного. Но пароли, которые отправляет сайт в SMS, нельзя назвать абсолютно защищенными: сообщение чаще всего можно перехватить. Другое дело — специальные приложения для аутентификации, они нацелены на полную защиту всего процесса входа пользователя в аккаунт. Именно их мы сейчас с Вами и разберем.

• ♻️ Создание безопасных одноразовых паролей состоит из двух этапов:
1. Первичная настройка — включение двухфакторной аутентификации.
2. Использование пароля — непосредственный ввод кода и отправка для проверки.
В таком случае пользователь с помощью приложения, доступного на любом устройстве, сможет генерировать коды в соответствии со всеми стандартами.

• ⚙️ Первоначальная настройка приложения заключается в обмене секретным ключом между сервером и приложением для аутентификации. Затем этот секретный ключ используется на устройстве клиента, чтобы подписать данные, которые известны и серверу, и клиенту. Этот ключ и служит главным подтверждением личности пользователя при вводе пароля на сервере.

• 🔎 На самом деле весь секрет — последовательность из случайных символов, которые закодированы в формате Base32. Суммарно они занимают не меньше 128 бит, а чаще и все 190 бит. Эту последовательность и видит пользователь как текст или QR-код.

​• ⚙️ Как приложение создает одноразовые коды? Все просто: приложение с помощью ключа хеширует какое-то значение, чаще всего число, берет определенную часть получившегося хеша и показывает пользователю в виде числа из шести или восьми цифр.

• 👥 С самого начала для этого числа разработчики использовали простой счетчик входов. Сервер считал количество раз, которое ты заходил, например, на сайт, а приложению было известно, сколько раз ты запрашивал одноразовый пароль. Именно это значение и использовалось для создания каждого следующего одноразового кода. В современных приложениях вместо счетчика берется текущее время — и это намного удобнее для пользователя: счетчики входов часто сбивались, и их приходилось настраивать заново.

• 🧮 Теперь давайте попробуем посчитать код для авторизации самостоятельно. Для примера представим, что мы решили прямо в Новый год опубликовать фотографию красивого фейерверка и, чтобы это сделать, нужно войти в свой аккаунт, а значит, нам не обойтись без одноразового пароля.

• 🔎 Возьмем время празднования Нового года в формате UNIX (1577811600000) и посчитаем порядковый номер нашего пароля: поделим на 30 секунд — 52593720. Воспользуемся нашим секретом и вычислим хеш — по стандарту RFC 6238 это функция SHA-1:
$ echo -n '52593720' | openssl sha1 -hmac 'QWERTYUI12345678'
e818e7f3efcb625658c603b08b12522f1e4d160a

• ❗️Не забудьте про аргумент -n для команды echo, чтобы в ее выводе не было ненужного перевода строки, иначе хеш будет другим.

• ⏳Теперь дело за малым: нужно получить шесть цифр, которые мы и будем отправлять на сервер при авторизации. Возьмем последние четыре бита хеша — сдвиг, — это будет число a, или 10. Именно по этому сдвигу расположен наш код, который пока в виде байтов, — 03b08b12 = 61901586. Отбросим все цифры этого числа, кроме шести последних, и получим наш новенький, готовый к использованию одноразовый код — 901586.

• 📲 Входим в приложение
Ни одно современное приложение не спрашивает пароль у пользователя постоянно, поскольку пользователей это раздражает. Именно поэтому разработчики и ученые-криптографы придумали токены, которые могут заменить собой пару логин — пароль. Перед учеными стояла задача не столько скрыть какую-то информацию, сколько создать общий стандарт для ее хранения и подтверждения ее надежности. Для всего этого была придумана технология JSON Web Token (JWT).


@SingleSecurity 🛡