​📌 Рекомендации от ЦБ по защите биометрических данных граждан РФ


• 🔒 Биометрические данные граждан — к защите такого рода информации стоит подходить со всей ответственностью.

• 💡ЦБ предложил кредитным организациям информировать регулятор обо всех инцидентах, которые возникнут на этапе работы с биометрическими данными.
Такой подход поможет свести к минимуму все риски, которые могут возникнуть в процессе работы с Единой биометрической системой.

• 📄 Исходя из опубликованных рекомендаций ЦБ (PDF), российским банкам надлежит регистрировать действия операторов, которые имеют дело непосредственно с биометрическими данными россиян. Для защиты такой чувствительной информации необходимо использовать персональный сертификат для проверки электронной подписи сотрудника.

• 🗃⛔️Центробанк также советует не хранить биометрически данные на автоматизированном рабочем месте. Все взаимодействие с Единой биометрической системой должно быть защищено средствами криптографической защиты информации.


@SingleSecurity 🛡

​💣🔥🔐 Twitter хранит личные сообщения удаленных аккаунтов дольше положенного

• 🌎🦋 Cоциальная сеть Twitter хранит личные сообщения чуть дольше, чем следует. В частности, были обнаружены сообщения давно деактивированных аккаунтов. Оказалось, что удалить свою информацию с серверов Twitter довольно сложно, хотя правила соцсети гласят, что деактивированные аккаунты будут удалены вместе со всеми данными.

• ♻️👥 Чтобы оказать содействие правоохранительным органам, Twitter какое-то время сохраняет твиты и личные сообщения пользователей социальной сети, которые решили деактивировать свои учетные записи. Однако исследователи обнаружили личные сообщения, которые принадлежат уже давно деактивированным аккаунтам.

• ⚠️ 🔑 Таким образом, социальная платформа явно сохраняет переписку пользователей дольше положенного.



@SingleSecurity 🛡

​🍏♻️ Apple требует от разработчиков использовать двухфакторную аутентификацию

•📢👥Компания Apple оповестила разработчиков (участников программы Apple Developer), что до 27 февраля 2019 года им стоит настроить двухфакторную аутентификацию (2ФА), если они еще этого не сделали. В противном случае разработчики могут лишиться доступа к аккаунту и Certificates, Identifiers & Profiles, то есть к разделу, где происходит управление сертификацией приложений.

• ⚠️🔒В послании компании сказано, что двухфакторная аутентификация является дополнительным слоем защиты, оберегающим Apple ID  разработчика и его учетную запись.

• ❗️Как выяснилось, это письмо может ввести многих в заблуждение, так как на самом деле 2ФА станет обязательным требованием далеко не для всех.

• 👤⚙️ Разработчик  Кристофер Пиксли (Christopher Pickslay) обратился за разъяснением содержимого письма к сотрудникам Apple Developer Relations, и те сообщили, что включить 2ФА до конца февраля должны только владельцы аккаунтов (Account Holder). То есть для разработчиков с ролью Admin это не необходимо.


@SingleSecurity 🛡

​Около 18 000 приложений для Android собирают информацию о пользователях

• 👥 📢 Специалисты независимой некоммерческой организации International Computer Science Institute (ICSI), базирующейся в Калифорнии, предупредили, что тысячи приложений нарушают правила Google Play Store, а именно пункты касающиеся рекламных ID.

• ♻️ 🔐 По данным исследователей, почти 18 000 приложений для Android собирают различные данные об устройствах, включая серийные номера, IMEI, MAC-адреса и так далее. Затем все эти данные передаются на домены, связанные с мобильной рекламой, вместе с рекламным идентификатором пользователя (без ведома и согласия последнего).

•  🌎❗️Согласно правилам Google Play, «рекламный идентификатор может быть связан с данными, позволяющими установить личность пользователя, или постоянными идентификаторами устройства, такими как SSAID, MAC-адрес или IMEI, только с явно выраженного согласия пользователя».  Также Google требует учитывать предпочтения пользователя в отношении подбора и персонализации рекламы. Если эти функции отключены, то разработчикам «запрещается использовать рекламный идентификатор для создания пользовательского профиля в рекламных целях или для показа персонализированных объявлений».

• ⚠️ 📌 Исследование доказывает, что множество разработчиков попросту игнорируют эти требования.

• 🕹 Врезультате третьи стороны получают возможность отслеживать сетевую активность конкретных людей и устройств, создавать профили пользователей, показывать им целевую рекламу, невзирая на их предпочтения и так далее.

Ниже можно увидеть список 20 самых популярных приложений, вошедших в список нарушителей, по данным ICSI.↘️


@SingleSecurity 🛡

​💣 ⚠️ RCE-брешь в WordPress 5.0.0 не могут пропатчить более шести лет

Эксперты в области безопасности сообщают о проблеме безопасности в движке WordPress. 

• 🔎 Обнаруженная уязвимость получила статус критической, поскольку позволяет удаленно выполнить код (RCE-брешь). Баг оставался незамеченным на протяжении шести лет, он затрагивает версии WordPress до 5.0.3.

• 🔬⚙️ Выявила уязвимость команда RIPS Technologies, чьи специалисты предупреждают: атакующие могут выполнить PHP-код на сервере жертвы. Однако для этого злоумышленникам понадобится аккаунт с правами «author» или выше.

• ♻️ В сущности, данная проблема безопасности представляет собой связку из уязвимостей Path Traversal и Local File Inclusion. Вместе они могут привести к удаленному выполнению кода в ядре WordPress, что позволит получить полный контроль над атакуемым сайтом.

• ⚠️ Несмотря на то, что эксперты сразу же уведомили разработчиков, для бреши до сих пор не был выпущен соответствующий патч.

• ❗️Согласно информации на официальном сайте проекта WordPress, 33% сайтов используют уязвимую версию движка. Сама атака с использованием этой дыры полагается на систему управления изображениями, а именно на тот способ, которым эта система обрабатывает Post Meta.


@SingleSecurity🛡

​🔐🕹 Видео, на котором показан процесс эксплуатации этой проблемы: ⤵️

​Уязвимость в WinRAR существовала 19 лет и угрожает 500 млн пользователей

• 👥 Специалисты компании Check Point сообщили о серьезной уязвимости в WinRAR и продемонстрировали эксплуатацию проблемы. Исследователи предупреждают, что всем 500 млн пользователей WinRAR может угрожать опасность, так как найденная проблема существует примерно 19 лет. Нужно отметить, что разработчики WinRAR уже устранили баг в прошлом месяце и выпустили исправленную версию.

• 📌 Логический баг, найденный аналитиками, связан со сторонней библиотекой UNACEV2.DLL, которая входит в состав практически всех версий архиватора с незапамятных времен. Данная библиотека не обновлялась с 2005 года и отвечает за распаковку архивов формата ACE. Учитывая возраст библиотеки, совсем неудивительно, что исследователи Check Point обнаружили связанные с ней проблемы.

• 🔎 Оказалось, что можно создать специальный архив ACE, который при распаковке сможет поместить вредоносный файл в произвольном месте, в обход фактического пути для распаковки архива.

• ⚙️ К примеру, таким образом исследователям удалось поместить малварь в директорию Startup, откуда вредонос будет запускаться при каждом включении и перезагрузке системы. Ниже можно увидеть proof-of-concept видео, опубликованное экспертами.

• ✅ Найденные специалистами проблемы (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253 ) релизом  WinRAR 5.70 Beta 1, в январе текущего года. Так как доступ к исходным кодам UNACEV2.DLL оказался давно утрачен, было принято решение отказаться от поддержки формата ACE вовсе.

⚠️ Специалисты настоятельно рекомендуют пользователям как можно скорее установить обновления, а также проявить бдительность и до установки патчей не открывать архивы ACE, полученные от неизвестных источников (например, от незнакомцев по почте).


@SingleSecurity 🛡

​📌 GitHub увеличил вознаграждения по своей программе bug bounty

• 🎉 В этом году команда GitHub отметила пятилетие программы вознаграждений за уязвимости. Разработчики дополнили ее новыми продуктами и повысили суммы выплат. За 2018 год ИБ-специалисты получили за свою работу около $165 тысяч. Если учесть исследовательские гранты, частные программы bug bounty и «живые» хакерские мероприятия, то общая сумма вознаграждений достигает $250 тысяч.

• ♻️ Отныне программа распространяется на весь домен github.com. Например GitHub Education, GitHub Learning Lab, GitHub Jobs, и GitHub Desktop, а также Enterprise Cloud. К тому же уязвимости можно искать во внутренних сервисах на github.net и githubapp.com. Представители компании заявляют, что «защита данных наших пользователей зависит от защищенности наших сотрудников и внутренних систем».

• ✅ Суммы вознаграждений за ошибки теперь следующие:

💰Критическая уязвимость — 20 000 – 30 000+ долларов;
💰Уязвимость высокой опасности — 10 000 – 20 000 долларов;
💰Уязвимость умеренной опасности — 4000 – 10 000 долларов;
💰Уязвимость низкой опасности — 617 – 2000.

• ⚖️📄 Помимо всего, был дополнительно проработан Legal Safe Harbor – юридический сборник правил и рекомендаций, который обеспечит исследователям легальность работы и возможность заработать вознаграждение, а не судебный иск.


@SingleSecurity 🛡

​📢 ⚠️ Баг в WhatsApp позволяет обойти защиту Face ID и Touch ID

• 📌 В начале февраля текущего года в iOS версии WhatsApp появилась возможность защитить приложение с помощью биометрической аутентификации Face ID и Touch ID (распознавание лица и отпечатков пальцев, соответственно). Не прошло и месяца, как пользователи обнаружили способ обхода защиты.

• ♻️ Сообщение о том, как обмануть защиту мессенджера через Face ID и Touch ID, опубликовано на Reddit. Оказалось, для этого достаточно воспользоваться функциональностью Share Sheet, системы совместного использования контента в iOS. Пользователю достаточно открыть Share Sheet и нажать на иконку WhatsApp, после чего приложение не потребует какой-либо аутентификации, как должно, но будет сразу доступно.

• 🔎 На Reddit отмечают, что срабатывание бага зависит от интервала блокировки приложения, который пользователь может самостоятельно задать в настройках (Settings -> Account -> Privacy -> Screen Lock в WhatsApp). Если значение для мессенджера установлено на 1 минуту, 15 минут или 1 час, баг сработает, но если задать значение «Немедленно», обход защиты не удастся.

• 👥 Представители компании Facebook (которой принадлежит WhatsApp) уже сообщили Reuters, что им известно об этой проблеме, и скоро для нее будет выпущен патч.


@SingleSecurity 🛡

​💣🔥 9 место в мировом SSL-рейтинге заняла Россия, опережая Китай, Данию и Швейцарию

• 🖥⏳Рынок информационной безопасности (ИБ) за последние несколько лет увеличивался стремительными шагами. Компании стали больше инвестировать в кибербезопасность, заключать больше контрактов. Глобальный рынок товаров и услуг в сфере цифровой безопасности растёт, в частности, SSL-отрасль.

• 🌎 🔁 На мировом рынке количество сайтов, перешедших на безопасное соединение HTTPS, за последний год возросло в среднем в 2 раза. Подобная динамика касается как развитых, так и многих развивающихся стран.

• ⚖️ Последние пять лет первенство по количеству сайтов, защищённых SSL, держат Северная Америка, Западная Европа и Япония. Это связано с исторически ведущей ролью, которую ИБ занимает в этих странах, а также с принятием криптографических алгоритмов RSA / SHA в качестве национальных, что позволяет, придерживаясь стандартов, внедрять новые ИБ-продукты быстрее, чем в тех странах, в которых имеются свои собственные криптографические стандарты и неопределенные правовые нормы в использовании SSL, как, например, в России, где существуют свои криптоалгоритмы ГОСТ.

• ♻️📌 Однако Россия сделала сильный рывок навстречу безопасному трафику: начиная с 2017 года количество защищённых сайтов с сертификатами увеличилось в 3 раза. Сегодня Россия занимает 9-е место в мировом рейтинге, оставив позади не только ЮАР и Данию, но и Китай, Польшу, Швейцарию.

• 📊 По данным компании Netcraft
Количество SSL-сертификатов по странам. Данные приведены без учёта самоподписанных сертификатов. ↘️


@SingleSecurity 🛡

​✅ 🔎 Прицел на личные данные. Что мобильная реклама может узнать о пользователе Android

• 🕹⚙️ В Google Play приложений, которые будут тебе показывать рекламу, больше 40%. Так что если у тебя смартфон на Android и ты пользуешься мобильными приложениями, то, скорее всего, ты понимаешь, о чем речь.
Используя такие приложения, ты запускаешь встроенный в них AdSDK, который подгружает со своего сервера рекламные объявления. И чаще всего это объявления MRAID, которые через javascript обращаются к нативным функциям твоего смартфона: например, при помощи mraid.storePicture() кешируют картинки во внешнем хранилище. Звучит небезопасно, правда?

• 📌 Бизнес-логика AdSDK часто непрозрачна для разработчика, который встраивает его в свое мобильное приложение. Программный код AdSDK работает с теми же привилегиями, что и приложение-носитель. Если носителю какие-то специальные разрешения не нужны, но они нужны AdSDK — носителю придется запросить их. Любой уважающий себя AdSDK затребует от тебя доступ к ID смартфона и геолокации, чтобы показывать тебе релевантные объявления.

• 🏳️ AdSDK-провайдеры вынуждены мириться с небезопасностью по многим причинам.
Несколько самых очевидных:

📲 между рекламодателем и твоим смартфоном может быть непредсказуемое число промежуточных звеньев;

♻️ объявления для показа выбираются динамически;

• ⚠️ на сегодняшний день не существует инструментов для гарантированной дезинфекции JS-кода.

• 🔑 Поэтому AdSDK-провайдеры рассматривают каждое объявление как потенциально злонамеренное и используют механизм защиты, который запрещает программному коду объявлений читать чужие файлы из внешнего хранилища твоего смартфона.
Этот запрет реализуется в два шага:

1. AdSDK помещает программный код каждого объявления в изолированный экземпляр встроенного браузера WebView и ограничивает набор разрешений, которыми этот экземпляр может пользоваться.

2. Доступ программного кода объявления к внешнему миру, в частности к локальным файлам внешнего хранилища твоего смартфона, регламентируется в соответствии с концепцией SOP — чтобы программный код объявления не мог читать из внешнего хранилища чужие файлы.

• 📄В данной статье узнаем об остальных технических моментах и примерах угроз


@SingleSecurity 🛡

​⚙️🕹 DrainerBot загружается с топ-приложениями Google Play и представляет угрозу для вашего телефона и кошелька

• 📌❗️Ваш Android часто перегревается, виснет, очень быстро разряжается или расходует значительно больше трафика, чем раньше?
Возможно он стал жертвой рекламного зловреда DrainerBot. Эта мошенническая кампания распространяется через популярные приложения Google Play, загруженные более 10млн раз.

• 🌎 ⚠️ Зачастую это приложения, ориентированные на широкий круг интересов, от макияжа и красоты до мобильных игр. Они загружают скрытую видеорекламу на телефон и могут потреблять до 10 ГБ трафика в месяц. Владелец телефона может даже не знать об этом и не видеть этой рекламы, но мошенники получают доход каждый раз, когда официальное устройство загружает ее.

• ⁉️👥 В чем заключается опасность этого зловреда? Специалисты Oracle Data Cloud, обнаружившие бота, утверждают, что он может сильно ударить по кошельку пользователей. Во-первых, он тратит в разы больше вашего трафика, а соответственно и денег. Во-вторых, он значительно тормозит работу устройства и ускоряет износ аккумулятора. Страдают, в том числе, и рекламодатели. Они платят большие деньги за рекламу, которая фактически не достигает пользователей.

• ⚙️ Oracle заявила, что сотни популярных приложений и игр для Android были заражены кодом DrainerBot. В общей сложности они были установлены более 10 миллионов раз. Компания обнародовала названия только пяти зараженных приложений: Perfect365, VertexClub, Draw Clash of Clans, Touch ‘n’ Beat-Cinema и Solitaire: 4 Seasons. Работа над полным списком приложений еще ведется и будет опубликована чуть позже.

• Есть несколько способов выяснить, заражено ли ваше устройство.
Самый простой из них - проверить сколько установленные приложения используют трафика. ⬇️

Для этого перейдите в Настройки> Сеть и Интернет> Использование данных> Использование данных приложениями. Затем посмотрите, сколько данных потребляют в фоновом режиме приложения вверху списка.  
Приложения, зараженные DrainerBot, могут потреблять гигабайты данных в месяц.

@SingleSecurity 🛡

​Дорогие коллеги,
Мы рады вас приветствовать на конференции Cisco Connect ‒ 2019, которая пройдет 26  ‒ 27 марта 2019 года в ЦВК «Экспоцентр».

• 📌  В этом году в центре внимания нашей ежегодной конференции будет волна цифровизации, которая накрывает сегодня глобальную экономику. Цифровая трансформация является не только все более популярным инструментом развития бизнеса для многих компаний, она становится стратегическим направлением всей российской экономики. В этом непредсказуемом и динамичном мире основной задачей Cisco является предоставление клиентам комплексных информационных систем для сбора данных, их анализа, передачи и защиты.

• 🖥 🕹 Наши заказчики сталкиваются с насущной необходимостью модернизации ИТ‒систем, и миссия Cisco – построить мост между сегодняшней организацией клиента и предприятием будущего, извлекающим максимум пользы из окружающих нас данных и превосходящим за счет этого коллег по рынку в конкурентной борьбе.

• 📊 В ходе конференции Cisco Connect – 2019 мы поговорим о том, как не пропустить волну цифровизации. И даже более того – как оказаться на ее гребне! Мы, будучи флагманом процессов цифровизации и во многом формируя направления их развития во всем мире, уже предлагаем заказчикам такие интеллектуальные системы будущего: системы, функционирующие на основе намерений (Intent-Based Networks), «живущие» в мультиоблачном мире, способные автоматически предотвращать киберугрозы, а также постоянно самообучаться и совершенствоваться – и, в конечном счете, способные вывести ваш бизнес на новый уровень эффективности. В рамках конференции мы вместе с партнерами и клиентами представим реальные проекты цифровой трансформации и расскажем о цифровых архитектурах Cisco, которые формируют новые источники дохода и открывают новые возможности для роста.

• 📈 Уверен, что участие в форуме поможет вам в решении актуальных бизнес-задач и позволит повысить вашу профессиональную компетенцию.

Джонатан Спарроу, вице-президент Cisco по работе в России и СНГ.



@SingleSecurity@SingleSecurity 🛡

​Momo вернулся и теперь вредит детям — новый Синий кит?

• ⚠️ Страшный контакт Momo снова фигурирует в заголовках, на этот раз это Momo Challenge — новая форма кибербуллинга. Злоумышленники рассылают детям вредоносные инструкции, которые могут серьезно навредить их здоровью. Тех, кто отказывается починяться, киберпреступники пугают и шантажируют.

• 🔎 История страшного контакта в WhatsApp под именем Momo началась в конце июля 2018 года. Пользователи мессенджера пожаловались на абонента, который использовал в качестве аватара знаменитую скульптуру молодой женщины с длинными черными волосами, большими глазами, неестественной улыбкой и лапами птицы вместо ног.

• ✉️ Была информация о рассылках сообщений с шокирующим содержанием от имени этого контакта. Однако, похоже, на этом тогда «шутник» и остановился, не став намеренно вредить пользователям.

• 📨 Теперь же стали появляться сообщения о новой форме кибертравли, в которой фигурирует всем знакомый контакт Momo.

• 📢 Несколько дней назад Полиция Северной Ирландии опубликовала официальное заявление по поводу нового челленджа Momo Challenge. По словам правоохранителей, явление Momo снова вернулось.

• 🕹 Начинается все с того, что в разных играх и видео, которыми увлекаются подростки, их просят пообщаться с Momo посредством мессенджеров. Если такой подросток выполнит все инструкции, его начинают запугивать — говорят, что он проклят, что с членами семьи что-то случится.

• 🔦 Далее в ход вступает схема, похожая на ту, что использовал в свое время «Синий кит». Подростка пытаются заставить навредить себе, ставя перед ним определенные задачи (челленджи), которые он должен выполнить.


@SingleSecurity 🛡

​⚙️ 🕹 Как настроить Firefox для повышения приватности

•⏳В последнее время браузер Firefox претерпевал достаточно значительные изменения, хорошие и не очень: это и переход на движок Quantum, это и отказ от расширений типа XUL/XPCOM, и переход на WebExtensions, и еще масса других изменений.

• 🔐 Что никак не изменилось — это возможность сделать из него прекрасный хакерский браузер, если немного покрутить конфиги. Как и что крутить, мы обсудим в этой статье.

Создание «портативных» настроек:
✔️ Отключаем все лишнее
✔️ WebRTC и Pocket
✔️ Геолокация
✔️ Статистика использования браузера и       различные метрики
✔️ Отключаем доступ к датчикам
✔️ Останавливаем фингерпринтинг
✔️ Перекрываем информацию о сетевом соединении
✔️ Отключаем использование устройств и передачу медиа
✔️ Отключаем телеметрию и отправку отчетов
✔️ Настраиваем информацию для поиска
✔️ Разбираемся с пуш-уведомлениями
✔️ Убираем утечки DNS
✔️ Отключаем перенаправления
✔️ Пресекаем слив данных на серверы Google
✔️ Отключаем DRM
✔️ 10 полезных плагинов для Firefox


@SingleSecurity 🛡

​💣🔥 Уязвимость в Telegram позволяет обойти пароль local code любой длины

• 📌⚠️ Telegram подвержен атаке хищения ключей, но самое странное в мессенджере – «интегрированный отпечаток пальца в приложение». Яндекс деньги; Сбербанк-онлайн; keepassdroid – не подвержен подобной атаке.
У всех перечисленных выше приложений имеется функция разблокировка приложения по отпечатку, но в Telegram она принудительно интегрирована и срабатывает, когда ее используют в коварных целях, в других приложениях функция «отпечатка» не срабатывает – защита от мошенничества).

• ✉️ Мессенджер Telegram – массовый мессенджер, защиту нужно разрабатывать и для домохозяек и для всех.
• 👤 Лицо компании не прав, когда заявляет, что все беды от того, что скомпрометировано все на свете, кроме мессенджера Telegram.

Сюжет на видео:
✔️ Создан секретный чат между Android на Virtualbox, где нет устройства «отпечатка пальца» и Android 6. Между «террористами», идет общение.
✔️ На Android Virtualbox создание local code 31-значный пароль — блокировка приложения Telegram.
✔️ Бэкап учетки Telegram- Virtualbox (не обязательно копировать все данные).
✔️ Копирование данных на ЯД.
✔️ Сбор c ЯД Бэкап на Android 6.
✔️ Устанавка Telegram на Android 6 из GP.
✔️ Подмена части «внешних данных» из Бэкапа Android 6 на установленный Android 6.
✔️ Запуск Telegram на Android 6, получение запроса на ввод пароля/отпечаток.
✔️ Прикладывание отпечатка пальца, и telegram разблокировался, доступна вся переписка СЧ и облако.
✔️ Перезапуск Telegram, ввод 31-значный local code, и Telegram также разблокирован.


@SingleSecurity 🛡

​💣🔥 Facebook создает криптовалюту для переводов в WhatsApp

• 💰⚙️ Токен интегрируют в мессенджер, что позволит пользователям совершать мгновенные платежи. Перевести деньги родственнику или другу можно будет, не обращая внимания на государственные границы.

• 📢 Информацию о запуске криптовалюты Цукерберга опубликовало издание New York Times. Сразу пять анонимных источников подтвердили, что участвуют в разработках и посещают регулярные планерки, посвященные проекту. Всего над криптой работают около 50 инженеров и программистов.

• ✅ «WhatsApp-коины» привяжут к национальным валютным корзинам. Так разработчики будут бороться с волатильностью — постоянной изменчивостью курса, присущей криптовалютам.

• 📊 Создатели хотят одновременно обеспечить стабильность и не привязываться слишком сильно к финансовой системе конкретной страны. При этом техническая сторона вопроса не ясна до конца. Участие регулирующего субъекта, например Facebook, изначально противоречит смыслу криптовалют, которые курсируют свободно, а вся ответственность за переводы лежит исключительно на пользователях.

• 📌 Вероятно, компании придется упрощать и видоизменять концепцию, чтобы пользоваться продуктом мог действительно каждый. В таком случае это будет крупнейший криптовалютный проект в мире.

• ⁉️ Представить высокий уровень свободы в экосистеме Facebook сложно. Например, не существует организации, которая могла бы отменить биткойн-транзакцию, даже мошенническую. Сложно поверить, что Facebook пустит все на самотек и откажется от модерации и борьбы с мошенниками.

• ❓Также пока неясна сфера применения этой валюты. Нет сомнений, что Facebook и WhatsApp своими мощностями смогут обеспечить внутренние транзакции, но можно ли будет как-то использовать валюту вне этих платформ — пока вопрос.


@SingleSecurity 🛡

​🌎 Интернет сделал большой шаг к будущему без паролей

• 👥 🔑 Консорциум World Wide Web (W3C) утвердил новый стандарт аутентификации WebAuthn. Именно он должен заменить пароль в качестве способа защиты ваших учетных записей в Интернете.

• 💡 Анонсированный в прошлом году, WebAuthn уже поддерживается большинством браузеров, включая Chrome, Firefox, Edge и Safari. Его позиционирование в качестве официального веб-стандарта должно популяризировать его среди отдельных веб-сайтов.

• ⚙️ По своей сути WebAuthn представляет собой API-интерфейс, который позволяет веб-сайтам взаимодействовать с устройством безопасности, чтобы пользователь мог войти в свою учётку. Это защитное устройство может быть ключом безопасности FIDO, который вы просто подключаете к USB-порту компьютера. Также это может быть и более сложным биометрическим устройством, которое обеспечивает дополнительный уровень проверки.

• ⚠️ Важно то, что WebAuthn безопаснее, чем слабые пароли, которые люди используют для большинства веб-сайтов.  К тому же это проще, чем изначально запоминать строку символов.

• 🔎 Теперь, когда стандарт одобрен W3C, следующим шагом будет интеграция стандарта с веб-сайтами и сервисами. Dropbox был одним из первых, кто сделал это в прошлом году, вскоре после этого была Microsoft. Потенциал паролей еще не исчерпан, но после этого объявления, WebAuthn стал еще одним альтернативным шагом к безопасной жизни.  


@SingleSecurity 🛡

​VPN-приложения для Android запрашивают ненужные и «опасные» разрешения

• ♻️👥  Специалисты портала TheBestVPN.com изучили 81 VPN-приложение из официального каталога Google Play и пришли к выводу, что многие из них запрашивают настораживающие и совершенно ненужные им разрешения.

• 📌 Для классификации приложений исследователи воспользовались документацией и терминологией разработчиков Google. То есть «нормальными» считаются разрешения, которые Android выдает приложениям, не привлекая пользователя, а «опасными» называются разрешения, которые связаны с доступом к пользовательским данным (которой может предоставить приложению только сам пользователь).

• ⚙️ Исследователи выяснили, что 50 приложений из изученных запрашивают у пользователя хотя бы одно «опасное» разрешение и доступ к данным. Хуже того, в некоторых случаях специалистам так и не удалось понять, зачем приложениям понадобились эти права. Например, некоторые VPN-приложения запрашивают доступ на запись и чтение на внешних накопителях; доступ на чтение и изменение системных настроек; полный доступ к журналам вызовов; доступ к управлению локальными файлами и так далее.

• 🕹 «Теоретически для работы VPN-приложения необходима всего пара разрешений. Простых INTERNET и ACCESS_NETWORK_STATE должно быть достаточно. Если приложение запрашивает большое количество “опасных” разрешений, это должно настораживать».

• 📄 Полный список всех изученных приложений и результаты анализа можно увидеть здесь.


@SingleSecurity 🛡

​Очевидные аспекты защиты информации

По иронии, многие недооценивают важность безопасности или считают свои меры достаточными. 

• ❗️Стоит вспомнить про эффект Даннинга-Крюгера суть которого в том, что люди с низкой квалификацией в какой-то области, делают ошибочные выводы. Отсюда и следуют неудачные решения в бизнесе, которые они не способны осознавать.

• ⚠️ Информационная безопасность — эта та сфера, в которой не допустимо предполагать что-либо и действовать по принципу «лишь бы сделать для вида». Информационная безопасность должна стать целью в конечном итоге, рычагом в бизнесе который минимизирует потери и расходы, обезопасит ваши данные.

• 🕹👥 Наибольшую опасность для компании представляет человеческий фактор. Ведь именно благодаря ловкому манипулированию сотрудником злоумышленник способен скомпрометировать вашу систему.

• ⏳К сожалению, бытует ошибочное мнение, что если у вас сильная техническая защита, то ваш бизнес в безопасности, но это не так.
Наша психология предсказуема, и в большинстве случаев срабатывают наши импульсы, вызванные страхом и необдуманностью действий. Возьмем, к примеру, банальные атаки через почту: сотрудник получил письмо о том, что некая система, где он зарегистрирован, скомпрометирована. Данная новость безусловно напугает его, и с большей вероятностью он перейдёт по ссылке, отдав свои данные злоумышленникам. Поэтому важно настроить правильно доступ и повышать квалификацию сотрудников в информационной безопасности.

• 📃 В данной статье мы поговорим про организацию управления доступом.


@SingleSecurity 🛡