Новостная лента
Защита данных — дело каждого
Бытует мнение, что рядовой пользователь интернета ничем не может заинтересовать взломщиков аккаунтов и прочих похитителей конфиденциальной информации. Вот директор ЦРУ или звезда шоу-бизнеса — это да. А что возьмешь с обычного человека? Ни интригующих секретов, ни больших денег. Поэтому никакая защита данных ему не нужна. Думающие так серьезно ошибаются. Сетевых мошенников много, и топ-персон на всех не хватит. Вот хакеры и не гнушаются аккаунтами самых обыкновенных людей. Тем более, что многие из них считают себя “неинтересными” для злоумышленников и какая-либо система защиты данных у них совершенно отсутствует. Почему защита данных важна для обычного человека Смартфоны уязвимы. Смартфоны давно уже стали для многих не столько телефонами, сколько электронными органайзерами. С помощью смартфонов ведут переписку с друзьями и деловыми партнерами, оплачивают покупки в интернет-магазинах, заказывают билеты на поезда и концерты. А ведь умные телефоны, как правило, защищены гораздо хуже, чем домашние компьютеры. В интернете можно прочесть массу историй о том, как вместе со скачанным безобидным приложением пользователи получали “в нагрузку” полноценный троянский вирус. И с его помощью все данные, находящиеся на смартфоне (адреса, телефоны, пароли), оказывались в распоряжении хакеров. Не так давно была раскрыта преступная группа, которая сумела создать ботнет из более 16 тыс. смартфонов на Android. Все пострадавшие телефоны были заражены вирусом, позволявшим похищать деньги с банковских карт жертв. Защита данных на компьютере — вопрос первой важности. Компьютеры есть сегодня практически в каждом доме. Любой компьютер, выполняющий соединение с интернетом — потенциальный источник опасности. Чтобы “подарить” свои данные мошенникам, достаточно всего один раз перейти по ссылке в фишинговом письме. А письма эти бывают довольно убедительными и выглядят совсем как настоящие послания от банков и других серьезных организаций. О скачивании нелегального контента, содержащего массу “сюрпризов” и говорить не будем. Телевизор — новая мишень для хакеров. Устройства, использующие в своей работе систему Smart TV, могут быть легко взяты под контроль злоумышленниками. Некоторые модели способны записывать действия пользователя и даже разговоры, происходящие поблизости. Цифровые замки не так сложно взломать, как кажется. Цифровые замки достаточно часто используются на входной двери, в гараже или на воротах во двор. К сожалению, такой замок при желании можно взломать простым подбором пароля. Какие методы защиты данных повысят вашу кибербезопасность Надежные пароли К подбору и хранению пароля нужно относиться серьезно. Ведь это ключ, открывающий вход во все учетные записи: от социальной сети — до банковского аккаунта. Он должен быть: Надежным и достаточно длинным, содержащим как буквы разного регистра, так и цифры. Тут могут помочь разнообразные менеджеры паролей. Хотя и с ними стоит быть осторожными, что показало недавнее обнаружение уязвимостей в известном менеджере KeePass. Индивидуальным для каждого сайта, на котором зарегистрирован пользователь. Ведь зачастую, похитив один пароль, мошенники получают доступ ко всем аккаунтам жертвы. Храниться в надежном месте. И это место — не листочек, приклеенный на мониторе. Двухфакторная аутентификация Когда многоразовый пароль оказался взломан, положение может спасти только двухфакторная аутентификация (two factor authentication), если, конечно, она включена. Если для входа в аккаунт предусмотрено использование одноразового пароля (one time password), то мошенники, им не располагающие, не смогут осуществить никаких действий от имени пользователя — будь то перевод денег или публикация постов в блоге. Самым надежным способом получения одноразовых паролей для 2FA на сегодня является ОТР токен. Обычно это небольшое устройство в виде банковской карты или брелока. Однако, существуют и программные токены — такие как разработка компании Protectimus — Smart. Установив его на смартфон или Android Smart Watch, можно генерировать одноразовые пароли прямо...
далееЗащита данных во время интернет-шопинга: 9 полезных советов
Ежегодный сезон распродаж в разгаре! Black Friday, киберпонедельник и предновогодние скидки вызывают небывалый ажиотаж. Каждый хочет успеть сделать самые выгодные покупки в уходящем году. Тем более, что теперь нет нужды в изнурительной беготне по магазинам. Все можно заказать, не выходя из дома, с компьютера или смартфона. Однако в предвкушении праздников и удачных приобретений нельзя забывать о том, насколько важна защита данных. Ведь злоумышленники тоже готовятся к праздникам и изобретают новые способы отметить их за чужой счет. Мы решили напомнить Вам об основных правилах кибербезопасности, которых следует придерживаться во время шопинга в интернет-магазинах чтобы не стать жертвой мошенников и встретить Новый Год с радостью в глазах. Защита данных во время интернет-шопинга: Вложения в посланиях, которые пришли от имени онлайн-магазинов, обещающих баснословные скидки, могут содержать троянские вирусы. Часто ссылки в письмах с неизвестных адресов ведут на фишинговые сайты, единственная задача которых — украсть нашу конфиденциальную информацию (номера карт, пароли). Если письмо пришло из непроверенного источника, то его лучше удалить, не открывая вложений и не переходя по ссылкам в нем. Прежде чем заказать что-либо в интернет-магазине и сообщить ему номер своей платежной карты, стоит потратить время и почитать, что пишут другие пользователи о той или иной площадке. Открытый Wi-Fi часто создается злоумышленниками для воровства паролей и логинов. Не стоит совершать покупки, подключившись к открытому каналу. Если приобретения делаются при помощи смартфона, то лучше отключить Bluetooth и воспользоваться для выхода в интернет мобильным соединением, так как оно лучше защищено. Защита безопасности данных начинается с надежного пароля. Чтобы быть таким, он должен состоять из букв в разном регистре, цифр и специальных символов. Повторим в который раз: имена любимых котиков и собственная дата рождения — не лучший выбор для пароля. В интернете нам часто предлагают совершенно бесплатно установить какую-нибудь программу — очень полезную, конечно же. Следует помнить, что в таком “подарке” нередко может скрываться рекламное ПО или троянский вирус. Двухфакторная аутентификация необходима на любых сайтах, которые хранят или получают конфиденциальные данные пользователей. Особенно это касается интернет-банкингов, платежных систем и других ресурсов, через которые происходит перевод денежных средств в интернете. При таком способе оплаты мошенникам даже не нужно красть чью-то пластиковую карту: достаточно знать ее номер (PAN), срок действия, CVV и имя владельца. Если же система защиты данных аккаунта использует 2FA, то, даже владея всей информацией о платежной карте и ее хозяине, злоумышленники не смогут провести никаких транзакций от чужого имени. Для получения одноразового пароля могут использоваться разные пути: SMS, токен, E-mail, мобильный токен. Наиболее популярный метод организации защиты данных сегодня предполагает установку на смартфон специального приложения для генерации одноразовых паролей. Например, компанией Protectimus разработан программный токен Protectimus SMART, который можно установить на смартфоны и даже на смарт-часы. Мобильная аутентификация достаточно надежна и не требует больших усилий от пользователя. А нервов может сэкономить изрядно. В предпраздничной суете нетрудно забыть, где и что заказано. Этим часто пользуются мошенники, присылающие фишинговые письма от имени службы доставки. Все с той же целью: получить данные пользователей. Если заранее составить список покупок, то сверившись с ним и не обнаружив там компании, приславшей письмо, можно будет смело это послание удалить. Покупая что-либо в интернете, лучше производить оплату только после получения товара. Каждый слышал о случаях, когда “продавцы”, взявшие деньги вперед, растворялись в виртуальном пространстве без следа. Настоящие служащие платежных систем и банков никогда не обратятся с просьбой указать в письме или SMS пароль пользователя либо ответ на секретный вопрос. Банку эти сведения...
далееЧто такое фишинг и как не попасть в его сети
Фишинг в переводе с английского означает “рыбная ловля”. Занятие спокойное и совершенно невинное, а также, как утверждают поклонники этого вида отдыха, хорошо успокаивающее нервы. Но то, что называется фишингом в среде людей, отвечающих за кибербезопасность, ни безобидным, ни укрепляющим нервную систему не является. Это вид сетевого мошенничества, предполагающий выуживание у наивного пользователя сведений, позволяющих от его имени входить в созданные им аккаунты и совершать действия, наносящие ущерб как ему, так и системе, где этот аккаунт зарегистрирован. Что такое фишинг атака и на что она нацелена Одним из основных приемов фишинга служит массовая рассылка писем, якобы от банка или другого сервиса — например, о получении денежного перевода. Детали же рекомендуют узнать, перейдя по ссылке в письме. Ссылка эта обычно ведет на фейковый сайт, лишь визуально похожий на настоящий. Жертвой фишинг-атаки может стать любой адрес электронной почты, размещенный в открытом доступе на веб-сайте, форуме, различных группах в социальных сетях. Специальные боты постоянно обшаривают интернет, разыскивая активные e-mail адреса для последующего включения в список рассылки. Зачастую атака мошенников направлена на вполне определенный сайт и его клиентов. Чаще всего это банки и другие финансовые компании, работающие в интернете. В этом случае создается поддельная версия легального ресурса. Как правило, имитируется только страница входа на сайт — большее хакерам и не нужно. После указания логина и пароля на таком сайте, появляется сообщение о неверном вводе аутентификационных данных. Этот признак в подавляющем большинстве случаев говорит о том, что пользователь попал на фейковую страницу. А в это время злоумышленники вручную или в автоматизированном режиме выводят средства с аккаунта жертвы. Фишинговые атаки опасны тем, что подобные угрозы сложно распознать и тем более пресечь их. Происходит это потому, что при фишинг-атаке в прямом проникновении на компьютер жертвы обычно нет нужды — а значит, система защиты данных не бьет тревогу. Все нужные сведения кибермошенники получают от самих пользователей. Интересуют же их прежде всего пароли и логины для авторизации на разных сайтах и в социальных сетях, а также номера банковских карт и PIN-коды к ним. Как минимизировать ущерб от фишинговых атак Работая в интернете, стоит соблюдать такие несложные правила: Внимательно проверять, от кого пришло то или иное сообщение и не переходить по подозрительным ссылкам. Если есть возможность — связаться с компанией при помощи телефона и проверить, ею ли было отправлено данное письмо. Держать в секрете свой пароль и не предоставлять его никому ни под каким предлогом. Серьезные компании не требуют пересылки конфиденциальной информации (номера кредитных карт, пароли) по электронной почте и другим незашифрованным каналам, так как защита данных клиентов для них чрезвычайно важна. Вручную набирать веб-адреса сайтов, хранящих важную для вас информацию, либо пользоваться самостоятельно созданными закладками, а не переходить по ссылкам в письме. При ручном вводе важно следить за тем, что написано в адресной строке сайта, который требует ввести пароль. Часто доменное имя сайта-подделки может лишь незначительно отличаться от оригинала — иногда разница будет всего в одной букве. Регулярно обновлять браузер и антивирусные программы. Большинство современных веб-обозревателей научены определять фишинговые сайты и с каждым обновлением умеют делать это все лучше. На сайтах банков обязательно должно быть защищенное соединение по протоколу HTTPS. Если его нет — пользователь попал не по тому адресу. Если появилось подозрение о том, что фишинг атака все же произошла, следует немедленно сменить пароль своего аккаунта и предупредить о возможной опасности администрацию сайта, данные для входа на который возможно украдены мошенниками. Многие ресурсы сейчас внедряют собственные системы безопасности...
далееИдентификация, аутентификация, авторизация — в чем разница?
Идентификация, аутентификация, авторизация — с этими тремя понятиями сталкивался каждый, но различают их далеко не все. Между тем, в таком деле как защита данных они играют важнейшую роль и заслуживают того, чтобы узнать о них побольше. Для начала воспользуемся простым примером из повседневной жизни, который поможет в общих чертах понять, чем авторизация отличается от аутентификации и идентификации. Когда новый сотрудник впервые приходит на службу, он представляется охраннику на входе и говорит, что теперь будет здесь работать — менеджером, допустим. Таким образом он идентифицирует себя — сообщает, кто он такой. Охрана обычно не верит на слово и требует предоставить доказательства того, что он действительно новый менеджер и имеет право входа в служебное помещение. Предъявление пропуска с фотографией и сличение его с имеющимся у охранника списком сотрудников решает проблему. Cлужащий подтвердил свою подлинность — прошел аутентификацию. Наконец-то открывается заветная дверь, и охранник допускает сотрудника к определенной двери. Допуск получен — состоялась авторизация. В виртуальном мире все практически так же, как в реальном. Только имена “персонажей” меняются. Сотрудник охраны — это сервер, контролирующий вход на сайт. А пришедший на работу менеджер — пользователь, который хочет попасть в свой аккаунт. Следует добавить, что процедура будет повторяться каждый день — даже тогда, когда все охранники будут знать менеджера и в лицо, и по имени. Просто у охраны такая работа. У сервера тоже. Все три понятия — этапы одного и того же процесса, который управляет доcтупом пользователей к их аккаунтам. Чтобы выполнить какие-либо действия на сайте, клиент должен “представиться” системе. Идентификация пользователя — предъявление им оснований для входа на сайт или сервис. Обычно в роли идентификаторов выступают логин или адрес электронной почты, указанный при регистрации. Если сервер находит в своей базе данные, совпадающие с указанными, то происходит идентификация клиента. Логин — это, конечно, прекрасно. Но где гарантия, что ввел его именно тот человек, который зарегистрирован на сайте? Чтобы окончательно убедиться в подлинности пользователя, система обычно проводит аутентификацию. Чаще всего сегодня используется двухфакторная аутентификация, где в качестве первого фактора выступает обычный многоразовый пароль. А вот второй фактор может быть разным, в зависимости от того, какие способы аутентификации применяются в данном случае: одноразовый пароль или PIN-код; магнитные карты, смарт-карты, сертификаты с цифровой подписью; биометрические параметры: голос, сетчатка глаза, отпечатки пальцев. Несмотря на бурное развитие биометрических способов аутентификации, все же следует признать, что они не очень надежны при удаленном использовании. Не всегда можно гарантировать корректность работы устройств и приложений, осуществляющих сканирование сетчатки глаз или отпечатков пальцев. Нельзя на 100% быть уверенным в том, что в ходе проверки не используется слепок руки или фотография истинного владельца. Пока этот способ может считаться достоверным только при возможности непосредственного контроля процедуры прохождения аутентификации. Например, при входе сотрудников на предприятие биометрические методы вполне работоспособны. В условиях же удаленности проверяющего от проверяемого, как это происходит в интернете, гораздо лучше работает метод двухфакторной аутентификации при помощи одноразовых паролей. Средства аутентификации бывают самыми разными и всегда можно выбрать наиболее удобное в каждом случае. Это может быть авторизация по СМС, генерация одноразовых паролей посредством аппаратных токенов или с помощью специального приложения на смартфон — выбор за пользователем. Two factor authentication может быть как односторонней — когда только пользователь доказывает системе свою истинность, так и двусторонней — сервер и клиент взаимно подтверждают свою подлинность по системе “запрос-ответ”. Такой тип 2FA используется в токене Protectimus Ultra и позволяет, среди прочего, устранить риск попадания на фишинговые сайты. Последний этап входа...
далееМенеджер паролей KeePass уязвим
К тому, что на просторах глобальной Сети пользователя поджидает изрядное количество угроз, всем уже давно известно. Известно и то, что ценную информацию лучше держать в зашифрованном и защищенном надежным паролем виде. Но вот то, что из программы, призванной заниматься шифрованием и генерацией паролей, можно “вытащить” все данные в виде простого текстового файла — стало неожиданностью для многих. Под угрозой оказался известный кроссплатформенный бесплатный менеджер паролей KeePass Менеджер паролей KeePass продемонстрировал свою уязвимость Эта программа для хранения паролей появилась в 2003 году. Сначала существовала только версия для Windows, позже менеджер паролей стал поддерживать и другие операционные системы: от Linux и Max OS X для стационарных компьютеров и ноутбуков — до мобильных платформ Android и Pocket PC. До недавнего времени KeePass считался практически неуязвимым и тот, кто использовал это приложение, мог считать себя в безопасности. Учитывая факторы кроссплатформенности, бесплатности и многолетней высокой репутации, можно представить количество пользователей, доверивших хранение паролей этой программе. А значит, возникшая проблема способна коснуться очень многих. К счастью, уязвимость обнаружил не хакер, а сотрудник компании Security Assessment Денис Андзакович. Он опубликовал на GitHub бесплатный инструмент, названный им KeeFarce, способный дешифровать все данные (логины, пароли, заметки), которые хранятся в базе Keepass Password. Принцип действия этой разработки строится на внедрении на компьютер жертвы DLL-инъекции. Приложение-взломщик запускает во время работы программы функцию экспорта открытой в данный момент базы данных, расшифровывает ее и создает текстовый файл, который хакер сможет забрать впоследствии самостоятельно (в случае физического доступа к компьютеру жертвы) или получить удаленно. Андзакович обращает внимание на то, что найденная уязвимость, которую имеет система защиты данных KeePass, не является проблемой только этой программы. DLL-инъекция может быть внедрена (с помощью троянского вируса, например) в любой менеджер для создания и шифрования паролей. Как защитить данные, если менеджер паролей взломали Как должна осуществляться защита данных с учетом выявленных рисков? Какое средство использовать, чтобы подстраховаться на случай взлома пароля? Ответ, как ни странно, довольно прост и давно всем известен: это — двухфакторная аутентификация. Такие ставшие уже традиционными средства аутентификации как токены, специальные приложения для смартфонов, или одноразовые пароли, получаемые при помощи СМС, выступают в роли второго “рубежа обороны” аккаунтов пользователей. Их преимущество в том, что каждый создаваемый пароль уникален и действует только в течение определенного времени. Существуют способы дополнительно обезопасить одноразовый пароль — например, с помощью функции CWYS (подпись данных транзакции). Имеющиеся на сегодня способы аутентификации позволяют защитить свой аккаунт даже в том случае, если пароль будет похищен. Достаточно только в любой учетной записи, где предоставляется такая возможность, подключить функцию 2FA. Некоторые затраты времени и незначительные неудобства, связанные с применением two factor authentication, будут компенсированы уверенностью в том, что злоумышленники не смогут взять под контроль ваш аккаунт. Даже если украдут зашифрованный...
далееКак сделать интернет вещей безопасным
В последние годы стремительно развивается интернет вещей. Теперь не только компьютеры и смартфоны имеют доступ в Сеть — это умеют многие виды домашней техники. Вплоть до холодильников и стиральных машин. Идея подобных устройств, безусловно, хороша: связь с интернетом дает возможность управлять ими, находясь на значительном расстоянии. Например, очень удобно по пути с работы при помощи мобильного телефона “приказать” микроволновке разогреть к нашему приходу ужин, а кофеварке — приготовить чашечку бодрящего напитка. Но у подобных инноваций, как всегда, есть и оборотная сторона: там, где присутствует сетевой обмен данными — там и хакеры со свежими вирусами “наперевес”, стремящиеся завладеть чужими секретами. Безопасен ли современный интернет вещей Если в случае с компьютерами и телефонами защита данных является одной из главных забот разработчиков ПО и производителей устройств, то безопасность интернета вещей пока явно не на высоте. Вот лишь некоторые факты: Не так давно компания НР провела исследование десяти систем домашнего видеонаблюдения от разных производителей, и только в одной при получении доступа к управлению использовалась двухфакторная аутентификация! Все эти системы имели и другие вопиющие нарушения безопасности: от отсутствия блокировки при неоднократном вводе неверного пароля — до возможности просмотра потокового видео с камер слежения без аутентификации. В этом году проводился эксперимент, в ходе которого с обычного нетбука был взят под контроль Jeep Cherokee, двигавшийся по шоссе. Посредством удаленного управления было включено на максимум охлаждение, изменена волна работающей радиостанции, включен стеклоочиститель. Попытки водителя, участвовавшего в эксперименте, вручную отменить эти приказы не увенчались успехом. Позже, во время теста в гараже, исследователи на расстоянии заблокировали колеса джипа. Если бы это случилось на трассе, то привело бы к серьезной аварии и, возможно, гибели людей. Телевизоры Samsung, имеющие функцию Smart TV, способны не только собирать данные о поведении пользователя, но и пересылать их третьим лицам. Пример, на первый взгляд кажущийся абсурдом: обнаружен троянский вирус, написанный специально для кофеварки. Всего несколько лет назад подобные истории существовали лишь на страницах фантастических романов. В наши дни они перестали быть плодом фантазии творческих людей и перекочевали в сюжеты новостных лент. Знают ли производители “умной” техники о серьезных проблемах, которые имеет система защиты данных выпускаемых ими устройств? Конечно знают, но на нынешнем этапе бурного развития интернета вещей во главу угла ставится прежде всего внедрение новых функций и скорость вывода товара на рынок, а не забота о безопасности, которая требует вложения больших средств и не приносит быстрой прибыли. Пользователи тоже редко задумываются об опасностях, таящихся в интернет-вещах, и не используют даже имеющиеся средства защиты. Соблазн получить новые возможности преобладает пока над осторожностью. Как защитить интернет вещей от угрозы взлома А ведь для того, чтобы закрыть большую часть “дыр” в безопасности IoT (интернет вещей) нужно немногое — надежные средства аутентификации пользователей. Они позволят не допустить к удаленному управлению автомобилем, камерой видеонаблюдения, холодильником или другим устройством человека, не имеющего соответствующих прав. Поскольку для удостоверения подлинности пользователя одного пароля, даже самого сложного, сегодня недостаточно, на помощь приходит two factor authentication с использованием временных паролей. Получать одноразовые пароли можно не только всем известным способом — с помощью SMS. Есть более надежное и современное средство генерации одноразовых паролей — токен, который может быть как аппаратным, так и программным. Существуют разные варианты токенов и можно легко выбрать наиболее удобный для каждого конкретного пользователя. Например, компания Protectimus предлагает три вида аппаратных токенов — Slim, Ultra и One, а также приложение Protectimus Smart, которое можно бесплатно установить на смартфон или планшет. Чтобы дополнительно обезопасить...
далееБиометрическая аутентификация — плюсы и минусы
Параллельно с ростом популярности и доступности информационных технологий растет и количество угроз, связанных с их использованием. Основной из них является угроза утечки критически важной информации — как персональной, так и корпоративной. Поэтому защита данных — сегодня важнейшее направление работы специалистов по компьютерной безопасности. Чтобы не допустить несанкционированного использования какой-либо важной информации, следует прежде всего пристально следить за легитимностью пользователей, получающих доступ к ней. Современный уровень развития технологий позволяет достаточно эффективно решать эту задачу. Все чаще используется двухфакторная аутентификация, когда обычные логин и пароль — лишь первый шаг к удостоверению подлинности, а в качестве дополнительного шага для подтверждения личности пользователя используются одноразовые пароли. Но, чтобы поставить непреодолимый заслон на пути охотников за данными, необходим один обязательный компонент: желание пользователей применять наработки специалистов и следовать их рекомендациям. С этим же порой возникают проблемы. Нынешний пользователь хочет, чтобы средства аутентификации были не только надежными, но и легкими в применении. Одним из таких “волшебных” средств стала в последнее время биометрическая аутентификация. Казалось бы, что может быть проще и надежнее? Каждый человек обладает уникальными отпечатками пальцев, голосом, чертами лица. Эти идентификаторы всегда с нами, их невозможно потерять. А современная техника легко позволяет осуществлять их считывание и анализ. Биометрической магии поддались не только простые пользователи, но и серьезные организации. Британские банки ввели для входа в аккаунты клиентов биометрию по отпечатку пальца. Разблокирование смартфонов Apple уже давно происходит с помощью тех же отпечатков. Теперь и в новые модели устройств на Android внедряется это средство. Master Card во всю работают над внедрением метода аутентификации с помощью селфи. К другим достаточно популярным методам биометрической аутентификации относятся также сканирование сетчатки или радужной оболочки глаза, аутентификация по венозному рисунку пальца или ладони, по голосу, пульсу или даже селфи. Биометрическая аутентификация — это безусловно удобно? Но надежно ли? Вопрос! Какие опасности таит в себе биометрическая аутентификация? Несовершенство техники. Поскольку “предъявление” для проверки какого-либо биометрического параметра происходит, как правило, с помощью обычного смартфона, а качество их бывает разным, то вероятны ложноотрицательные результаты. Система может отказаться признать подлинность истинного хозяина учетной записи — например, из-за пореза на пальце сочтет этот отпечаток “чужим”. В случае, когда используется мультифакторная аутентификация и биометрические данные служат лишь одним из ее компонентов, идентификация сможет осуществиться с помощью OTP. Если же применяется вариант 2FA, при котором не одноразовые пароли, а именно биометрия является вторым фактором, то пользователь так и не сможет войти в аккаунт из-за этого ложного срабатывания. Плодами технического прогресса пользуются не только законопослушные граждане. Злоумышленники быстро осваивают последние технологические новинки. Например, несколько лет назад появилась программа, позволяющая наложить на видео виртуальный слепок с фотографии человека в режиме реального времени. С ее помощью можно предоставить сканеру не просто статичное фото объекта, в чей аккаунт осуществляется вход, а динамичный, движущийся клон. С отпечатками пальцев — та же беда. Их несложно подделать, изготовив объемный латексный слепок или перчатку. Для исходного образца достаточно даже фотографии ладони потенциальной жертвы в высоком разрешении. Скомпрометированные данные очень трудно восстановить. Если перехвачен пароль — его можно поменять за пару минут. Украденную кредитку или OTP токен восстановить будет чуть дольше, но тоже возможно. В том же случае, когда скомпрометированными оказываются биометрические параметры, присущие человеку от рождения, практически происходит похищение личности. А ее не поменяешь так же легко, как пароль или электронную карту. Стоит ли применять биометрию при аутентификации? Как дополнительный параметр для мультифакторной аутентификации, либо в случаях, не связанных с доступом к особенно важным данным, использование...
далееУрок кибербезопасности от T-Mobile и Experian
Недавно весь мир и в особенности жителей США всколыхнула новость об утечке данных о кредитной истории 15 миллионов абонентов международного сотового оператора T-Mobile. Примечательным в этой истории стало то, что информация была похищена не непосредственно из базы данных самой компании, а с серверов ее партнера Experian. Рассмотрев этот пример более подробно, можно получить ценный урок кибербезопасности, что мы сейчас и сделаем. Не зря популярная пословица гласит «Один в поле не воин», ведь задачу любой сложности легче решать сообща. Не у всех и не всегда есть возможность, время и необходимые знания, чтобы подойти к конкретному вопросу лично и комплексно. Поэтому, крупные компании для успешного ведения бизнеса зачастую сотрудничают с другими фирмами, которые предоставляют им определенные виды услуг. В зависимости от типа желаемых услуг, для такого сотрудничества среди прочей информации многие фирмы требуют предоставить регистрационные данные компании или же личные данные ее сотрудников и клиентов. Следует отметить, что компания Protectimus, предоставляющая услуги двухфакторной аутентификации, к числу подобных партнеров не относится. При проведении аутентификации Протектимус не требует передачи личных данных пользователей. Это очень разумно, ведь часто мы вводим запрашиваемую информацию автоматически, не уделяя должного внимания тому, как и где будут храниться эти данные, в чьи руки они могут попасть и к каким последствиям это может привести. Как были похищены данные пользователей T-Mobile Наглядным примером такой неосторожности и стало сотрудничества компании T-Mobile, работающей в области мобильной связи, и глобальной информационной службы Experian, которая занималась оценкой кредитной истории клиентов перед заключением договора с T-Mobile. Результат такого партнерства обернулся грандиозным скандалом — личная информация 15 миллионов клиентов T-Mobile была украдена неизвестными злоумышленниками с сервера Experian. Похищенные данные включают имена, даты дней рождения, адреса клиентов, а также шифрованные номера социального страхования, паспортные данные и номера водительских удостоверений лиц, которые воспользовались или намеревались воспользоваться услугами T-Mobile в период с 01 сентября 2013 года по 16 сентября 2015 года. Это нашумевшее событие ярко продемонстрировало основной урок кибербезопасности — о безопасности данных должны заботиться все и каждый, потому как хакеры – люди хитрые, и если не смогли найти брешь в системе одной компании, то найдут ее у партнера и все равно выведают всю необходимую им информацию. Следовательно, все должны задуматься: в безопасности ли данные, которые хранятся у меня, не подставляю ли я своего партнера, не подведет ли меня мой партнер? Итак, мы выяснили, что главный урок кибербезопасности заключается в том, что обе стороны партнерских отношений обязаны должным образом заботиться о защите данных, которыми они располагают, и хранили ее на ресурсах, которые надежно защищены от компрометации. Так, ошибка Experian повлекла за собой цепочку неприятностей для ее ни в чем не повинного партнера и его клиентов. До сих пор точно не известно, каким образом хакерам удалось получить доступ к серверам Experian и более того, получить доступ к зашифрованным файлам T-Mobile. Но абсолютно очевидно, что компания не до конца позаботилась о безопасности конфиденциальной информации, которую должна была хранить под семью замками. В связи со сложившейся ситуацией, считаем своим долгом напомнить, что одним из одним из ключевых элементов защиты данных является двухфакторная аутентификация пользователя с использованием аппаратных токенов или специальных приложений для смартфонов, генерирующих одноразовые пароли для прохождения двухфакторной авторизации. Использование 2FA – это серьезная преграда для злоумышленника, которую достаточно трудно обойти, разве что ему удастся завладеть одним из токенов сотрудников компании. Какие меры необходимо принять пострадавшим Узнав о взломе, генеральный директор T-Mobile Джон Легере выступил с заявлением о том, что он крайне...
далееДвухфакторная аутентификация 2015: возможности и перспективы
Современные технологии принесли в нашу жизнь множество удобств и возможностей, но одновременно резко сократили шансы на неприкосновенность личной жизни. Фотографии, не предназначенные для чужих глаз, номера банковских карт, пароли к аккаунтам в социальных сетях и электронной почте, рабочие документы, хранимые в “облаке” — до всего этого, при желании, способна дотянуться рука мошенника. Традиционно одним из самых уязвимых моментов компьютерной безопасности является надежная двухфакторная аутентификация пользователя при входе в тот или иной аккаунт. Поэтому способы аутентификации постоянно совершенствуются и развиваются. Привычная двухфакторная аутентификация (two factor autentification), когда временный пароль доставляется при помощи СМС, уже далеко не единственный вариант. Какая она двухфакторная аутентификация 2015, какие же средства аутентификации существуют и разрабатываются в настоящее время? Давайте разберемся. 1. Приложения для смартфонов. По статистике смартфонами пользуется около 50% жителей Земли. Если брать в расчет только развитые страны, в которых проблема защиты данных стоит наиболее остро, то цифры будут еще внушительнее. А потому все шире распространяются приложения, превращающие смартфон пользователя в токен. На Google Play и AppStore можно бесплатно скачать продукт компании Protectimus, представляющий собой генератор одноразовых паролей для смартфонов на базе Android и iOS, а также умных часов Android Smart Watch. Приложение Protectimus SMART позволяет: выбрать алгоритм генерации OTP (one time password) (по счетчику, по времени, по ответу сервера); задать длину, которую будет иметь код аутентификации (6 или 8 символов); использовать функцию подписи данных (CWYS), защищающую от автозаливов и подмены данных; создать на одном устройстве несколько токенов. Система защиты данных с помощью программного приложения имеет, однако, один недостаток. Если вход в аккаунт происходит с другого устройства (компьютера, ноутбука), то программный token исправно выполнит свою функцию. Но если заходить на сайт с того же самого устройства, на котором установлено приложение, генерирующее пароль аутентификации, то эффективность защиты будет снижена. 2. Аппаратные токены. Более высокий уровень безопасности может обеспечить пользователю аппаратный ОТР токен. Эти устройства работают автономно, не требуют соединения с интернетом. Приборы можно защитить PIN-кодом, чтобы избежать несанкционированного использования в случае потери или кражи. Выглядеть они могут по-разному, но всегда довольно компактны и невелики по размеру. Например, Slim от компании Протектимус имеет стильный дизайн в виде кредитной карты, а продукт этой же фирмы Protectimus One выполнен в виде удобного брелока, который можно носить вместе с ключами. Выделяется своей защищенностью токен Protectimus Ultra. Его “изюминка” в том, что только в ходе активации устройства происходит генерация секретного ключа, который заранее неизвестен даже производителю. Этот ключ неизвестен даже производителю. Protectimus Ultra использует в работе алгоритм OCRA (по системе “запрос-ответ”), который на данный момент является самым надежным алгоритмом генерации одноразовых паролей. 3. Биометрические методы. Если в основе двух предыдущих способов двухфакторной аутентификации лежит генерация одноразовых паролей, то биометрические способы этого не требуют. Идентификация происходит по уникальным, присущим только данному человеку параметрам. В качестве идентификаторов могут выступать голос, отпечатки пальца, сетчатка глаза или даже селфи-фото. Однако, эти средства, хоть и весьма привлекательны в смысле простоты использования, все же пока не являются столь надежными, как привычные, немного “скучные” одноразовые пароли. 4. Внедрение имплантов. Вместо стандартного аппаратного токена, который можно потерять или украсть, под кожу внедряется чип, который потерять невозможно. А в качестве устройства для распознавания такого “ключа” служит смартфон. Пока этот метод является скорее экспериментальным. Хотя возможно, что именно он когда-нибудь станет ведущим в аутентификации пользователей — кто знает? 5. Метод сравнения фоновых шумов. Не так давно швейцарские разработчики придумали оригинальный способ двухфакторной аутентификации при помощи фонового шума. Суть его в том,...
далееДвухфакторная аутентификация при помощи фоновых шумов — надежно или нет?
Что такое двухфакторная аутентификация известно большинству активных “потребителей” интернета. Она доступна на множестве серьезных сайтов, ведущих работу с данными пользователей: в социальных сетях, почтовых сервисах, онлайн-банкинге. Но, к сожалению, задействуют возможности этого типа аутентификации еще далеко не все пользователи. Чаще всего это происходит из-за некоторого неудобства стандартной процедуры 2FA. Ведь сейчас для получения одноразового пароля в основном используются либо СМС, поступающие на телефон, либо программные или аппаратные токены. При использовании SMS требуется: наличие под рукой самого телефона; устойчивый сигнал мобильной связи (что присутствует далеко не всегда и не везде); определенные усилия от пользователя: разблокировать телефон, прочитать сообщение, ввести присланный код в браузере, отправить форму подтверждения. В случае, если применяется token, неудобства несколько другие, но они тоже есть: чтобы получить токен, надо идти в банк; устройство нужно постоянно держать при себе; следует хранить в памяти (или записанным в надежном месте) PIN-код токена; приходится следить, чтобы токен не потерялся. Как показывает практика, не все готовы идти на такие “жертвы” — даже ради собственной безопасности. Поэтому разработчики ПО и специалисты по защите данных постоянно совершенствуют средства аутентификации, всячески пытаясь облегчить этот процесс для владельцев аккаунтов. Например, активно развиваются биометрические методы аутентификации (сканирование сетчатки глаза, отпечатков пальцев, селфи-аутентификация). А не так давно команда разработчиков из Цюриха, работающая в Швейцарской высшей технической школе, придумала новый способ, при котором двухфакторная авторизация происходит автоматически и вообще не требует никаких усилий, кроме установки на смартфон одной-единственной программы. Называется эта технология Sound-Proof и основана она на записи и дальнейшем сравнении фоновых шумов в месте нахождения пользователя. Как осуществляется такая двухфакторная аутентификация? Когда происходит попытка войти на сайт, поддерживающий метод Sound-Proof, установленное на телефоне приложение в течение 3 секунд ведет запись фонового шума в месте, где находится пользователь. Параллельно микрофон компьютера тоже записывает шум. Потом образцы сличаются на сервере. Если фоновые шумы совпадают, то это означает, что оба устройства (компьютер и смартфон) находятся в одном месте, и система защиты данных разрешает вход в учетную запись. Для работы системы не требуется устанавливать на компьютер какое-либо ПО — достаточно только приложения на телефоне или планшете и разрешения вашему браузеру использовать микрофон. А значит, можно проходить авторизацию с чужого ноутбука или компьютера (например, в кафе). Даже телефон доставать не нужно: приложение работает автономно, в фоновом режиме. Правда, смартфон или планшет должны быть в сети — посредством соединения Wi-Fi или мобильного интернета. Если судить по количеству затрат труда пользователя в процессе аутентификации (точнее, их отсутствию) — метод практически идеальный. Но так ли он идеален в других отношениях? Некоторые минусы новой технологии Если сайт, использующий сравнение фоновых шумов, будет достаточно посещаем, то реализация метода может потребовать обработки серверами больших объемов данных. А значит, потребуется очень мощное и дорогостоящее оборудование. Качество микрофонов телефона и компьютера может быть совершенно разным — и запись шума тоже получится разная. К тому же, в некоторых стационарных компьютерах вообще нет микрофона. В случае, когда усилия злоумышленников направлены на конкретного человека, мошеннику будет несложно оказаться в том же месте, что и потенциальная жертва. Тогда и фоновые шумы совпадут. Хакер может осуществить автозалив и под видом пользователя войти в аккаунт после сравнения шумов на сервере. Такое возможно, так как при подобном методе аутентификации никакие другие данные, кроме фонового шума, не анализируются. (В отличие от функции CWYS, используемой в алгоритме OCRA, позволяющей учитывать множество дополнительных параметров конкретной транзакции.) Более того, поскольку приложение работает в фоновом режиме, пользователь может узнать о том,...
далее