Новостная лента
Одноразовые пароли: алгоритмы генерации и обзор основных видов токенов
Для чего нужны одноразовые пароли В условиях постоянного увеличения доли онлайн-сегмента бизнеса все острее нужда в том, чтобы защита данных была особенно надежной. Если еще можно “пережить” взлом личной странички в соцсети (хотя и это крайне неприятно), то потери информации в бизнесе могут привести не только к утрате репутации и доходов, но и к закрытию компании. Одним из самых уязвимых моментов в ИБ является надежная аутентификация пользователя, пытающегося получить доступ к своему аккаунту на том или ином веб-ресурсе. Знакомые всем многоразовые обычные пароли при современном уровне хакерских угроз практически бесполезны. Они не в состоянии выдержать напор злоумышленников, оснащенных такими “инструментами” как кейлоггеры, перехват данных, методы социальной инженерии. На порядок более высокий уровень защиты может обеспечить применение одноразового пароля. Как создаются одноразовые пароли Наиболее удобный и безопасный генератор одноразовых паролей в настоящий момент — это токен. Он может быть как программным — в виде приложения для планшета или смартфона, так и аппаратным — в форме флешки, брелока, кредитной карты. Каждый token для дополнительной защиты может работать совместно с PIN-кодом, который необходимо использовать вместе с одноразовым паролем. Одноразовый пароль генерируется обычно с использованием одного из трех алгоритмов: HOTP — по событию. Сервер и ОТР токен ведут учет количества процедур аутентификации, проходимых пользователем, а потом, используя в расчетах это число, генерируют пароль. Проблему может вызвать несовпадение в подсчетах между сервером и токеном. Такая ситуация возможна, например, если пользователь неоднократно нажимает кнопку устройства для генерации паролей и не использует этот пароль в дальнейшем. TOTP — по времени. При использовании этого алгоритма пароль создается, учитывая показания внутренних часов токена. ТОТР удобен тем, что время действия пароля ограничено, он не может быть создан заранее или использован после истечения срока. OCRA — запрос/ответ. Это очень надежный алгоритм, предполагающий, однако, несколько большее количество шагов, чем предыдущие. При его работе происходит взаимная аутентификация пользователя и сервера. В отличие от других алгоритмов, он использует в качестве входных данных случайное значение, выданное сервером. Еще раз стоит упомянуть, что при использовании TOTP и OCRA алгоритмов формируются временные пароли, которые значительно усложняют процесс взлома. В токенах, предоставляемых компанией Протектимус, используются все три алгоритма. Если токены Protectimus ONE и Protectimus Slim генерируют пароли при помощи TOTP, то особо надежный токен Protectimus ULTRA пользуется для создания ОТР самым защищенным из алгоритмов — OCRA. Угрозы и риски при использовании one time password Как ни надежна двухфакторная авторизация с использованием одноразового пароля, существуют некоторые опасности, которых можно избежать, заранее позаботившись о мерах предосторожности. Пароль перехвачен. В ситуации, которую часто называют “человек посередине”, хакер, перехватив пароль от его имени авторизуется в системе. Чтобы этого избежать, можно включить в 2FA метод подписи данных (CWYS), используемый в токене Protectimus SMART, позволяющий учитывать при аутентификации не только пароль, но и некоторые другие параметры конкретной транзакции: место выхода в сеть, браузер, язык системы и т. п. Утрата токена. Чтобы не проливать горьких слез в случае потери или кражи токена, стоит заранее предусмотреть обязательное применение PIN-кода при работе с устройством. Попытка подбора PIN-кода. Решением в этом случае является настройка, при которой генератор токенов будет заблокирован при неоднократном вводе неверного PIN. Взлом программного токена. Хакер может скопировать программу-токен и попытаться найти хранящийся там секретный ключ, используемый для генерирования ОТР. Здесь методом защиты станет использование PIN-кода как одного из значений при расчете одноразового пароля. Таким образом, даже зная часть секретного ключа, создать пароль не удастся, так как PIN-код не хранится в программном токене. Злодей среди своих. Иногда может...
далееOut-of-Band аутентификация или аутентификация по внешнему каналу
Out-of-band аутентификация (OOB), также известная как технология аутентификации по внешнему каналу, является одним из наиболее популярных в финансовой сфере типов двухфакторной аутентификации и предусматривает передачу одноразового пароля пользователю посредством отдельного канала связи, иного, чем основной, который используется для проведения транзакции в интернете. Чаще всего при OOB аутентификации OTP (One Time Password) доставляется клиентам при помощи SMS или электронных писем, при этом компании не приходится тратить средства на покупку токенов или требовать от пользователей установки дополнительного программного обеспечения на их смартфоны. Кроме того, с недавнего времени компанией Protectimus ведутся разработки технологии аутентификации клиентов по Push сообщениям – этот способ является более дешевым, чем SMS аутентификация. Аутентификация по внешнему каналу широко применяется в финансовых, банковских учреждениях и иных организациях с высокими требованиями к безопасности проведения транзакций. Этот тип защиты существенно усложняет злоумышленникам процесс «взлома», так как для успешной кражи средств или данных хакеру необходимо скомпрометировать два отдельных независимых канала. Такой способ защиты от несанкционированного доступа достаточно распространен и удобен, но его безопасность находится под большим сомнением, ведь всегда есть вероятность атаки «человека посередине». Атака «человек посередине» Как показывают результаты опроса сотрудников финансовых организаций атака «человек посередине» является самой серьезной угрозой для интернет-банкинга, электронного бизнеса и платежных шлюзов. Zeus, Sinowal, Carberp и Clampi – одни из самых распространенных вредоносных программ для данного типа атак. Метод атаки посредника подразумевает компрометацию канала связи, проникновение в протокол передачи данных, перехват и подмену сообщений корреспондентов, удаление или искажение информации в то время как обе стороны уверены в законности проведенных операций. Сценарии «нападения» могут быть разнообразными – изменение параметров соединения между клиентом и сервером, перехват и подмена сообщений обмена открытыми ключами между сервером и клиентом, внедрение SQL-инъекций для захвата авторизированной сессии, автозаливы, но все они нацелены на получение доступа к учетной записи клиента и проведения финансовых махинаций у него «за спиной». Для защиты транзакций от некоторых из этих атак, например от автозалива и подмены данных, хорошо зарекомендовала себя функция подписи данных транзакций CWYS (Confirm What You See). В токенах, поддерживающих эту функцию, при генерации одноразового пароля используется не только секретный ключ и параметр времени/события/запрос-ответ (в зависимости от выбранного алгоритма), но и некоторые дополнительные данные — валюта, получатель, сумма перевода и т.п. Таким образом злоумышленник не сможет использовать одноразовый пароль, сформированный для одной конкретной транзакции, для проведения другой. Эта функция поддерживается в токенах Protectimus SMS, Protectimus Mail и Protectimus Smart. Стоит отметить, что слабым звеном для аутентификации по внешнему каналу является использование смартфонов для проведения онлайн-платежей. Совершая платеж с того же телефона, куда приходит сообщение с временным паролем, пользователь буквально «хранит все яйца в одной корзине». Двухфакторная аутентификация в таком случае имеет нулевую эффективность, ведь если вирус уже есть на смартфоне и хакер совершает нелегальную операцию, внедрившись на этот смартфон, ничто не помешает ему перехватить и одноразовый пароль, который приходит на тот самый смартфон. Cегодня привычная аутентификация SMS стала в разы надежней, чем раньше, благодаря внедрению функции CWYS. Хотя более дешевым вариантом для проведения онлайн транзакций является абсолютно бесплатное приложение Protectimus Smart для смартфонов на платформе Android и iPhone. Но самой надежной альтернативой остается использование аппаратных токенов Protectimus One, Protectimus Ultra, а также смарт-карт Protectimus Slim. Применение таких токенов значительно усложняет процесс компрометации аккаунта и полностью исключают возможность атаки человека...
далееАутентификация жестом из нескольких пальцев от Microsoft
Сложно представить современный ритм жизни без гаджетов, к которым мы так привыкли. Первый компьютер мог выполнять лишь ограниченное количество функций. Его длина составляла около 17 метров, высота более 2,5 метров, весил он 4,5 тонны и занимал площадь в несколько десятков квадратных метров. Спустя полвека мультифункциональные девайсы стали в тысячи раз меньше в размере и мгновенно выполняют задачи, которые «даже не снились» первосоздателям ЭВМ (электронных вычислительных машин). Двадцать лет назад мобильные телефоны впервые появились на прилавках магазинов, а сегодня это устройство/гаджет стало неотъемлемой частью повседневной жизни человека. Недавно начавшаяся эра смартфонов превратила мобильники в «мини-компьютеры», использование которых дает возможность открывать автомобили, отпирать входные двери и проводить бесконтактные платежи без каких-либо дополнительных приспособлений. Смартфон — гаджет, который заменил нам компьютер Например, авторизованные Mastercard брендированные смартфоны для NFC-платежей МТС 965 дают владельцам возможность проводить платежи, просто поднеся телефон к терминалу оплаты с поддержкой технологии беспроводных платежей MasterCard PayPass. Лишь для покупки дорогостоящего товара обладателю такого девайса необходимо будет ввести ПИН-код. Современные технологии позволяют использовать смартфоны и для таких важных задач, как двухфакторная аутентификация, превращая их в полноценные токены. Ярким примером того является бесплатное приложение для смартфонов Protectimus SMART, доступное для платформ iOS и Android и созданное чтобы обезопасить аккаунты в веб-ресурсах. Приложение дает возможность выбора алгоритма генерации ОТП и создания нескольких токенов на одном устройстве, а также поддерживает функцию подписи данных CWYS (Confirm What You See), которая позволяет защитить платежи от самых современных хакерских атак, таких как реплейсмент, автозалив, подмена данных. Но пока все силы брошены на погоню за техническим прогрессом, к сожалению критически мало внимания уделяется вопросу защиты самих «универсальных» мобильных устройств от несанкционированного доступа. Но ведь если не позаботится о защите смартфона от несанкционированного доступа, то можно потерять очень много — от денег на банковском счету до личных фотографий и переписки. Аутентификация жестом от Microsoft В августе 2015 года компания Microsoft запатентовала новую систему аутентификации для электронных гаджетов с сенсорным дисплеем посредством жестов из четырех пальцев (кроме большого). Точнее, авторизация юзеров будет осуществляться с помощью хранящегося в памяти устройства секретного жеста, при выполнении которого система фиксирует целый ряд различных показателей: продолжительность прикосновения к экрану, силу нажатия, размер площади контакта с дисплеем, длину и расположение пальцев, углы между ними, и другие биометрические данные человека. Во время повторной авторизации система сопоставляет данные пользователя с сохраненным уникальным «цифровым портретом» жеста и позволяет или запрещает доступ к устройству. Microsoft заявляет, что данная разработка может быть использована для любого устройства, например, для мобильного телефона, планшета, телевизора с сенсорным дисплеем и т.д. Такая система аутентификации может зарекомендовать себя как надежная «броня» для сенсорных телефонов, а в комплекте с приложением для смартфонов Protectimus SMART — максимально снизить риск компрометации вашего устройства, обезопасить личную информацию и ограничить доступ к вашим денежным...
далееИнформационная безопасность – то, на чем не стоит экономить
Не так уж далеки от нас те наивные времена, когда что такое компьютер, знали только сотрудники некоторых научных лабораторий. А информационная безопасность и ее обеспечение было уделом лишь работников спецслужб. Но те времена прошли. Информационные технологии до неузнаваемости изменили нашу жизнь. При помощи компьютера мы отдыхаем, знакомимся, работаем, совершаем покупки. За удобство делать множество вещей, не вставая с любимого кресла, мы часто платим тем, что изрядная доля наших тайн становится доступной для любого, кто захочет их узнать. Номера кредитных карт, место проживания, друзья и любимые, работа, хобби — вся эта информация о нас есть в Сети. Конечно, часть ее можно просто не размещать, и тем уберечь от чужих глаз. Но без другой части — почтовых адресов, номеров карт, паролей — мы не сможем даже зайти на многие сайты. Не говоря о том, чтобы купить что-нибудь или продать. У компаний, работающих в интернете, ситуация еще сложнее: они вынуждены держать на серверах, которые, в принципе, можно вскрыть или вывести из строя, списки сотрудников и партнеров, другую служебную документацию. Если этой информации там не будет, компания просто не сможет функционировать. А потому обеспечение информационной безопасности стало важным, как никогда. И специалисты по защите данных — важнейшие сотрудники любой современной фирмы, наряду с бухгалтерами, программистами и коммерческими директорами. Известная фраза “предупрежден — значит вооружен” весьма актуальна в такой области как защита данных. Поскольку угроза потери информации может коснуться каждого, было бы неплохо представлять себе, какие риски существуют и как их можно минимизировать. Угрозы информационной безопасности Если коротко, то угрозы информационной безопасности делятся на четыре основные группы: Нарушение целостности — повреждение информации. Простейший пример: вирус, проникший в компьютер, стирает или видоизменяет важные системные файлы, что нарушает или делает вовсе невозможной работу операционной системы. Нарушение подлинности — некоторые специалисты часто объединяют этот пункт с предыдущим, а некоторые считают отдельным видом угроз (и небезосновательно). Когда пользователь заходит на нужный ему сайт, а попадает на фишинговый, то имеет место явное нарушение подлинности информации. Нарушение доступности — этот вариант относится в основном к отказу и поломкам оборудования, призванного осуществлять обмен информацией. Не так давно вся сетевая общественность была не на шутку обеспокоена тем, что некоторое время не работал Skype. И хотя это длилось недолго, но волнений вызвало изрядно. Нарушение конфиденциальности — это тот случай, когда данные становятся доступными тем, для кого они не предназначены. Публикация в общем доступе в интернете личных фото звезд без их на то разрешения — тому пример. Как может быть нарушена информационная безопасность Существует три основных источника, посредством которых может быть нарушена информационная безопасность данных: Целенаправленные атаки извне — козни пресловутых хакеров. Отказ оборудования (в некоторых случаях тоже в результате внешнего вторжения, например, DDoS-атака). Человеческий фактор — халатность или преднамеренный ущерб, наносимый собственными сотрудниками. Исходя из источников угрозы, система обеспечения информационной безопасности строится именно на работе с этими “группами риска”. Как обеспечить информационную безопасность данных Если обслуживание оборудования и работа с персоналом компании — непосредственная забота сотрудников отделов безопасности и технических специалистов, то для избежания внешних проникновений в систему на помощь могут прийти специальные программные средства и сервисы. Многие компании в интернете давно и достаточно успешно используют такое решение как двухфакторная аутентификация. В самом известном ее варианте система отправляет пользователям одноразовые пароли посредством СМС-сообщений. Однако, современные разработки позволяют также использовать в качестве генератора паролей токены, что является более удобным для пользователя и безопасным способом. Система защиты данных с помощью двухфакторной аутентификации может включать в себя также...
далееИнтеллектуальная идентификация или как сделать 2FA более удобной для пользователя
Казалось бы, каждый из нас заинтересован в том, чтобы его конфиденциальные данные (пароли, номера платежных карт, адреса, другая личная информация) не стали в Сети всеобщим достоянием. А тем более, добычей людей, специально разыскивающих такие сведения в мошеннических целях — чтобы осознанно нанести нам моральный или материальный ущерб. Уже давно известны способы избежать вторжения в свою приватность. Одним из самых доступных является двухфакторная аутентификация. Но… далеко не всегда пользователи включают эту опцию в своих учетных записях на том или ином сайте. Только ли лень и небрежность в этом повинны? Давайте представим, что каждый раз для того, чтобы просто войти на Facebook или в Instagram, нам придется дожидаться, пока одноразовый пароль придет в СМС, или токен сгенерирует его. После чего еще нужно будет отправить пароль по назначению. Для каждого аккаунта отдельно! Сколько при таком подходе потребуется времени на то, чтобы только просмотреть новости и сообщения от друзей? Тем более, учитывая, что среднестатистический посетитель интернета, как правило, зарегистрирован отнюдь не в одной социальной сети и не на одном сайте. Вот и приходится пользователям выбирать между простотой и безопасностью — зачастую, не в пользу последней. Существует ли способ сделать механизмы аутентификации более удобными, а следовательно, привлекательными для пользователей? Да, если применяется интеллектуальная идентификация. Такой алгоритм аутентификации довольно давно используется на многих сайтах — особенно в почтовых сервисах и социальных сетях. Вспомним, что происходит, когда мы пытаемся зайти в электронный почтовый ящик с другого компьютера или даже другого браузера на том же устройстве. Если для входа в аккаунт применяется только простой пароль, система обязательно потребует его ввода, а иногда и заставит ответить на дополнительный «секретный» вопрос. В случае с Google еще и письмо придет о том, что зафиксирован подозрительный вход в аккаунт. Интеллектуальная идентификация в действии Система интеллектуальной идентификации ведет учет определенных параметров, и если один или несколько из них нарушают привычный “ход событий”, то следует запрос на дополнительное подтверждение личности пользователя. В контексте двухфакторной аутентификации — предложение ввести одноразовый пароль. Если же анализ поведенческих факторов показывает неизменное, характерное поведение пользователя, то вход в аккаунт может происходить автоматически. За основу для интеллектуальной идентификации берутся относительно постоянные для каждого пользователя поведенческие характеристики. Среди отслеживаемых системой могут быть следующие параметры: название и версия браузера, перечень установленных в нем плагинов; IP адрес, местоположение компьютера, язык ввода; типичное время сеанса, характерный список открываемых вкладок и другие поведенческие характеристики человека. Современные технологии аутентификации легко подстраиваются под каждого клиента. Они позволяют учитывать при анализе большее или меньшее количество параметров. И это представляется разумным, так как у каждой фирмы, использующей двухэтапную аутентификацию, свои требования к безопасности. Для форума, почтовой службы или обычного корпоративного сайта будет вполне достаточно отслеживать поведенческие факторы и запрашивать одноразовый пароль только в случае той или иной степени отклонения от привычного образа действий пользователя. Однако для банков и других компаний, осуществляющих перевод денег в Сети, такая “лояльность” вряд ли допустима и будет лучше, если одноразовые пароли будут приходить при каждой транзакции. Характерной особенностью услуги 2FA от компании Protectimus является возможность гибко настроить в своих продуктах условия, при которых системой будет затребовано дополнительное подтверждение. У Protectimus в этот список входят не только модель и версия браузера, но и многие другие факторы: глубина цвета и разрешение экрана; установленные в браузере плагины, наличие или отсутствие Java; операционная система и язык; IP адрес. Какой из множества факторов следует учитывать, и учитывать ли вообще — это выбор клиента, который использует решение от Protectimus....
далееЗащита автомобиля от взлома выходит на новый уровень — создан совет по автомобильной безопасности
То, что кажется идеально продуманным и надежным, зачастую преподносит нам самые неожиданные сюрпризы. Такое печальное открытие постигло и создателей автомобиля Jeep Cherokee модели 2014 года в июле 2015 года, когда сеть Интернет всколыхнула новость о том, что двум профессиональным хакерам Крису Валасеку и Чарли Миллеру удалось получить удаленный доступ к бортовому компьютеру «идеального» авто и взять функционирование его основных систем под свой контроль. Во время эксперимента «жертвой хакерской атаки» стал Андрю Гринберг, который был заведомо предупрежден о происходящем, но, тем не менее, испытывал явный дискомфорт и панику. Наиболее уязвимой оказалась система UConnect, которая через сотовую сеть обеспечивает управление интерактивными функциями бортового компьютера и для которой разработчиками не была предусмотрена система защиты данных. Поэтому, в случае хакерской атаки, злоумышленник потенциально имел преимущество перед водителем в управлении транспортным средством, что могло и, скорее всего, привело бы к трагическим последствиям для последнего. Во избежание таковых торговая марка Chrysler была вынуждена отозвать 1,4 миллиона машин, что нанесло предприятию колоссальный ущерб. Это событие не на шутку обеспокоило общественность, ведь большинство водителей отдают преимущество современным машинам с интерактивной системой управления, что, как оказалось, представляет для них огромную опасность. Авто оснащены сотнями блоков управления, которые подвержены опасным ошибкам или же могут быть заражены вредоносным ПО через хакерские программы, поэтому в случае выхода из строя основных блоков управления на кону стоят человеческие жизни. Компания Intel – «меценат» в борьбе за безопасность автомобильного транспорта Оперативно среагировала на шокирующую новость компания Intel, создав наблюдательный совет по автомобильной безопасности. Согласно последним сведениям, в число членов совета войдут лучшие эксперты в области защиты данных и киберфизических систем. Intel предоставит им инновационные платформы для исследований в области кибербезопасности и разработки современных систем, благодаря которым защита автомобиля от новых хакерских атак станет более надежной. Наиболее успешных разработчиков за их вклад ждет ценное вознаграждение – авто или их стоимость в денежном эквиваленте. Сегодня особо остро стоит вопрос пассажирского автомобильного транспорта, безопасность которого во многом зависит от применения надежных систем двухфакторной аутентификации для водителей с помощью фактора владения (ключа) и фактора знания. В качестве “секретного” фактора можно было бы использовать одноразовый код, генерируемый аппаратным токеном или же специальным мобильным приложением, созданными для автомобилей определенного производителя. Для дополнительной зашиты при входе в приложение пользователю необходимо было бы ввести также свой логин и пароль. В таком случае, невозможно получить доступ к управлению системами авто лишь при наличия ключа, так как основным условием для авторизации водителя является временный пароль, который запрашивается бортовым компьютером. Внедрение двухэтапной аутентификации стало бы оптимальным решением проблемы безопасности автомобильного транспорта, ведь до 2020 года по подсчетам экспертов количество машин с расширенными сетевыми возможностями вырастет до 150 миллионов, компрометации которых мы не должны...
далееСамые популярные пароли пользователей Ashley Madison – примитивные, предсказуемые и ненадежные
Ashley Madison – это популярный канадский ресурс для пользователей, которые не против возможности покинуть амплуа верного супруга и поразвлечься на стороне. В основу для создания портала Ashley Madison была положена идея сайта для знакомств с целью супружеских измен, что становиться очевидным из надписи на его главной страничке — «Life is short. Have an affair», что в переводе на русский означает «Жизнь коротка. Заведи интрижку». 19 августа 2015 года стало «роковым днем» для многих пользователей сайта, а также для их супругов, так как группа хакеров The Impact Team успешно скомпрометировала 11,7 миллионов паролей пользователей и выложила в интернет данные 36-и миллионов человек, которые пользовались услугами Ashley Madison. Список популярных паролей Ashley Madison Команда взломщиков CynoSure Prime провела анализ данных о самых популярных паролях Ashley Madison и обнаружила, что более 15 миллионов из них было подобрано при помощи алгоритма MD5, существенно облегчающего брутфорс. Опубликованная статистика показывает, что среди 11 716 208 клиентов сайта лишь 4 867 246 человек использовали для защиты данных уникальный пароль, в то время как остальные юзеры совсем не беспокоились о безопасности конфиденциальной информации и использовали стандартные элементарные популярные пароли. Более того, в 630 000 случаях пасворд и имя пользователя полностью совпадали. Большинство паролей оказались просты до примитивности – в основном буквы нижнего регистра, иногда с цифрами. Брутфорсить видимо начали согласно перечню самых распространенных паролей по версии списка 2005 года «500 наихудших паролей всех времен». И не прогадали. Десять наиболее популярных паролей 2015 года среди «изменщиков» Ashley Madison входят и в первую двадцатку самых легких паролей в мире. Ниже приведен список самых частотных паролей по версии взломщиков Ashley Madison: 123456 12345 password DEFAULT 123456789 qwerty 12345678 abc123 pussy 1234567 Как видим, большинство паролей, которыми пользуется человек, слишком просты и предсказуемы, но ввиду человеческой лени, отсутствия смекалки или неспособности к запоминанию сложных комбинаций, люди продолжают ими пользоваться. Таким образом, пользователи наступают на «грабли», которые в самый неподходящий момент приносят много нежданных неприятностей, «бьют» больно и по самым уязвимым местам, в случае с клиентами Ashley Madison – даже разрушают семьи. Двухфакторная аутентификация – панацея от «предсказуемости» популярных паролей и идеальное решение для защиты данных Эксперты считают, что взлом сайта Ashley Madison прошел успешно из-за невнимательности разработчиков ресурса, хотя достоверно неизвестно чья в этом вина. Вот только результат, как говорится, налицо. Начав свою работу еще в 2001 году, создатели сайта использовали одноэтапную аутентификацию с применением лишь логина и пароля. Однофакторная аутентификация для авторизации пользователей дала хакерам «все козыри», и они легко скомпрометировали все аккаунты. Такого не случилось бы, если бы вход на сайт выполнялся посредством двухфакторной аутентификации, когда после ввода логина и пароля, на мобильный телефон, токен, или электронную почту юзера высылается одноразовый пароль. Этот временный пароль мог бы стать тем сдерживающим фактором, который защитил бы профиля неверных супругов от взлома, а их ни о чем не ведающих жен и мужей от неприятных...
далееДвухфакторная аутентификация в стандарте PCI DSS
Пользование платежными картами для современного человека давно стало привычным делом. Но не всегда мы задумываемся о том, какую большую и сложную работу проделали компании, предоставляющие подобную услугу, сколько разнообразных требований они выполнили, чтобы у нас была возможность просто вставить карточку в щель банкомата и получить свои средства или забронировать по интернету номер в гостинице перед поездкой в отпуск. А между тем, получить право осуществлять операции с платежными картами — не самая легкая задача. Для этого компания должна получить специальный сертификат PCI DSS. Он был разработан Советом по стандартам безопасности платежных карт PCI SSC (Payment Card Industry Security Standards Council). И является обязательным к выполнению для фирмы, желающей считаться серьезным рыночным игроком. Солидные организации и банки однозначно откажутся от сотрудничества с фирмой, которая не выполняет требования PCI DSS. Потому как это значит, что руководство данной компании не заботится должным образом о защищенности данных, а следовательно, подвергает риску безопасность и репутацию своих партнеров и клиентов. Что же представляет собой стандарт PCI DSS? Документ этот состоит из двенадцати разделов, каждый из которых освещает определенное требование к защите информации о пользователях карт. Среди них есть правила для: разработки, использования и поддержки структуры платежных систем; создания базы правовых документов, эти системы сопровождающих; организации надлежащего управления информационной безопасностью и т. д. Однако, самыми уязвимыми местами с точки зрения безопасности при карточных операциях являются защищенность сетевой инфраструктуры и защита хранимой компанией информации о пользователях. Ведь именно на участке “клиент-сервер” возникает наибольшая угроза того, что передаваемые данные будут перехвачены мошенниками и использованы ими для своих корыстных целей. Поэтому неудивительно, что в требованиях PCI DSS основное внимание уделено такому вопросу как аутентификация пользователя. Система должна быть организована так, чтобы при запросе клиента на совершение каких-либо действий, можно было однозначно определить, что это именно владелец карты. То, что одного пароля для этого недостаточно, уже давно ни для кого не секрет. Поэтому используется двухэтапная аутентификация, при которой после введения стандартного пароля еще нужно указать специально созданный одноразовый код. Обычно код этот присылается по CMC на телефон пользователя. Но более удобно и надежно проблема аутентификации может быть решена при помощи токена — специального устройства или программы, генерирующего одноразовые пароли, которые могут быть предоставлены разными провайдерами двухфакторной аутентификации, среди которых и компания Protectimus. Такой способ получения ОТР-пароля исключает возможность перехвата данных во время телефонного соединения, при том алгоритмы генерации одноразового пароля могут быть дополнительно усовершенствованны (CWYS), что еще больше усложнит задачу злоумышленнику. Пользование токенами удобно и возможно на любых устройствах, с которых может проводиться работа с платежными картами. Хотя следование стандартам PCI DSS требует от компании довольно значительных усилий, проделанная работа положительно скажется на репутации фирмы и доверии к ней. Ведь еще издавна перед заключением сделки будущие партнеры тщательно наводили друг о друге справки у людей, пользующихся безусловным авторитетом. И только если отзывы были благоприятными, если потенциальный компаньон обладал безупречной репутацией, дело складывалось и договор заключался. В мире современных технологий мы редко можем хотя бы посмотреть в глаза тому, кому доверяем свои деньги или другие материальные ценности. Как можно гарантировать, что они не пропадут, не станут добычей “сетевых пиратов”? Такой гарантией может стать строгое соответствие PCI DSS-стандарту. А одним из важнейших инструментов его достижения — двухфакторная...
далееВирус CoreBot превратился в опасный банковский троян
Новая угроза — троянская программа CoreBot В конце августа специалистами IBM был обнаружен новый троянский вирус CoreBot. Поначалу он не выглядел особенно опасным: его возможности ограничивались лишь похищением локальных паролей и личных данных пользователей в различных браузерных и десктопных приложениях. Правда, экспертов серьезно обеспокоила модульная структура новичка, обещавшая большой потенциал для его развития. И они оказались правы. Уже в первой декаде сентября CoreBot превратился в полноценный банковский троян. Чем же так опасен новый вирус CoreBot? Группа банковских троянов, к которой теперь можно отнести и CoreBot, опасна прежде всего тем, что способна обходить защиту не только антивирусных программ, но и стандартные виды двухфакторной аутентификации. Самые известные из троянских программ, такие как Zeus или SpyEye, относятся к категории, называемой “автозалив”. Эти вредоносные программы не просто похищают пароли и номера платежных карт. Они, вклиниваясь между пользователем и сайтом, к которому он обращается, могут переводить средства со счета клиента на подставные счета. Такой вирус отслеживает, какие адреса посещаются с зараженного компьютера. Когда происходит авторизация на сервисе, внесенном в список трояна, то сначала активизируется функция перехвата логина и пароля. После этого троянская программа показывает пользователю поддельную (фишинговую) страницу, на которой от имени банка просит ввести дополнительную информацию — как правило, одноразовый пароль. Когда ничего не подозревающая жертва делает это, автозалив уже сам связывается с банком под видом пользователя и переводит средства со счета клиента на подставной счет. Как уберечься от банковских троянов? Дабы не стать жертвой злоумышленников, прежде всего следует позаботиться о том, чтобы не скачать троян вирус на свой компьютер или телефон. Проще всего задуматься о самой элементарной “гигиене” пребывания в интернете: не ходить по подозрительным ссылкам, воздержаться от скачивания и установки на свой компьютер нелегальных копий программ, вовремя обновлять антивирус. Хотя эти несложные правила многим кажутся наивными, но, тем не менее, их соблюдение может довольно ощутимо снизить риск. Если нет твердой уверенности в том, что на компьютере уже не окопалась троянская программа, а как удалить троянский вирус вы не знаете, то на выручку может прийти все та же двухфакторная аутентификация. Точнее, одна из ее новейших функций — CWYS (Confirm What You See), которая внедрена и поддерживается в продуктах компании Protectimus. При подключении этой функции генерация одноразового пароля происходит с учетом ключевых данных транзакции — таких как сумма перевода, используемая валюта, получатель и т.п. Даже если одноразовый пароль будет похищен хакерами, система не признает его подлинность. Злоумышленник сможет использовать его только для подписи конкретной исходной транзакции. В том случае, если данные ее будут изменены, то их будет необходимо подменить и во время генерации ОТР, что в принципе невозможно. Как ни изобретательны создатели вирусов, обычно на все их хитрости довольно быстро находится достойный ответ. Технологии защиты, и двухфакторная аутентификация в том числе, становятся все более надежными и удобными для...
далееКража века или почему новостным ресурсам тоже нужна двухфакторная аутентификация?
Для чего нужна двухфакторная аутентификация? Все больше компаний в интернете начинают использовать в своей работе метод двухфакторной аутентификации. Иногда это вызывает у пользователей удивление, а порой даже раздражение. Казалось бы: зачем тратить лишнее время на ввод дополнительных символов? Неужели пароля недостаточно?.. Благодаря повсеместному распространению компьютерных технологий нам доступны такие возможности, о которых наши родители могли прочитать только в фантастическом романе. Разве поверил бы кто-нибудь лет 30 назад, что можно будет заказать (и получить) билет на самолет или на концерт Пола Маккартни, не вставая с любимого кресла? Или пообщаться с другом из Австралии так, будто он находится в соседней комнате? Или прочитать за завтраком любую свежую газету, не выходя за ней в киоск? Но как всегда, у каждой медали есть и оборотная сторона. Вместе с невероятными удобствами, компьютер принес довольно неприятную уязвимость нашей личной и деловой жизни. Совершая разнообразные операции в интернете, мы вынуждены пересылать по сети информацию, являющуюся конфиденциальной: номера банковских карт, паспортные данные, пароли. И зачастую хакерам удается перехватить эти сведения и воспользоваться ими в своих корыстных целях. К счастью, существуют возможности оградить наши данные от посторонних посягательств. И одним из самых надежных и удобных методов является двухфакторная аутентификация. При ее применении для входа в систему или совершения каких-либо иных действий недостаточно введения пароля. Требуется также указать некоторую дополнительную информацию: код из присланного SMS или число, сгенерированное специальной программой. Двойная аутентификация является основой безопасных сделок в таких отраслях бизнеса как онлайн-банкинг, интернет-торговля и другие привычные для нас сервисы, требующие высокой защищенности передаваемых данных. В наше время информация стала практически эквивалентом денег. Владея ею, можно заработать миллионы, а не сумев ее сберечь — миллионы потерять. Если в банковском и торговом секторе интернета с безопасностью относительный порядок, то в тех сферах, где нет прямого оборота денежных средств, еще не всегда понимают, как важна надежная аутентификация пользователей. К чему может привести пренебрежение двухфакторной аутентификацией. В середине августа достоянием общественности стала одна довольно поучительная история. Американские правоохранительные органы разоблачили группу киберпреступников, в течение ряда лет взламывавших корпоративные новостные каналы, на которых публиковались закрытые пресс-релизы с данными о слияниях, поглощениях и финансовом состоянии разных фирм. В состав группы входили бывшие и нынешние граждане России и Украины, часть из которых проживает в США, а часть — в Украине. Хакеры проникали на закрытые новостные каналы биржевых агентств, предназначенные для служебного пользования. Для доступа использовались перехваченные пароли сотрудников фирм. Это стало возможным потому, что в данных компаниях не использовалась двухэтапная аутентификация и возможен был вход по одному лишь паролю. Полученную информацию сетевые взломщики передавали своим сообщникам-трейдерам, а те использовали ее для прогнозирования курса акций и совершения сделок с учетом этих данных. За пять лет своей «деятельности» группа, только по доказанным Министерством юстиции США эпизодам, получила 30 миллионов долларов прибыли. По оценкам же специалистов американской Комиссии по ценным бумагам и биржам, нанесенный ущерб гораздо значительней — более 100 миллионов. Впоследствии хакеры сами стали «жертвами» — их тоже взломали. Они не смогли должным образом обезопасить свою переписку. И правоохранителям удалось перехватить их сообщения, что помогло получить нужные для обвинения преступников доказательства. Члены группы, находившиеся на территории Соединенных Штатов, уже арестованы, а остальные объявлены в международный розыск. Как утверждается, это первое столь крупное дело подобного рода. Только вряд ли оно будет последним. Как можно уберечь свои данные от взлома? Даже если работа компании не связана напрямую с оборотом денежных средств в интернете, существуют другие «секреты фирмы», которые могут заинтересовать...
далее