-
Похожий контент
-
От Mrak
Всем привет! Хотел обсудить безопасность сдачи государству биометрических данных.
На официальном сайте https://ebs.ru/citizens/ указаны некоторые положительные стороны. Например, при сдаче расширенной биометрии больше не надо ходить в офис оператора связи. Также можно спокойно сделать квалифицированную ЭЦП бесплатно (без ежегодных взносов, как с иными организациями).
Плюс надо учитывать, что у государства уже есть часть данных из-за выдачи паспорта гражданина РФ и загранпаспорта РФ. Биометрические данные в неполном виде хранятся в связи с заключением договора банковского обслуживания (иначе они дистанционно не смогут обслужить, подтверждать операции по фото или голосу).
Отсюда вопрос: сдавать ли самые полные биометрические данные и пользоваться всеми возможными благами (чего уже стесняться, когда часть данных уже записано?), либо повременить, ведь в случае утечки лицо и голос уже не переделать?
Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь". -
От KL FC Bot
Создатели Telegram позиционируют свой мессенджер как безопасный и защищенный. Но на практике это не совсем так: дело в том, что у «Телеги» есть ряд особенностей, из-за которых защитить свою переписку в реальной жизни оказывается не слишком легко, — и связаны они вовсе не со сложностями криптографии, а с гораздо более прозаическими вещами. Давайте поговорим про несколько весьма неоднозначных решений в интерфейсе и общей логике работы Telegram, делающих его совсем не таким безопасным, как принято считать.
Оттенки безопасности переписки
Для начала разберемся, как работает защищенный (или безопасный) мессенджер. Первое, что стоит понимать: практически все существующие системы обмена сообщениями уже давно используют шифрование данных при их передаче с устройства пользователя на сервер. Это тот минимум, который должен обеспечивать любой современный мессенджер. Однако этого недостаточно, чтобы считать систему обмена сообщениями защищенной, поскольку это не гарантирует полной безопасности переписки.
И вот почему: если доступ к сообщениям, помимо участников беседы, есть и у сервиса, то это создает дополнительные риски. Например, сами владельцы сервиса могут оказаться излишне любопытными или жадными. Или допустим даже, что нынешние владельцы кристально честны и не суют нос в данные пользователей, — кто гарантирует, что это не сделают следующие, к которым мессенджер перейдет после продажи? В конце концов, сервис может кто-то взломать — и в этом случае доступ к переписке может получить взломщик.
Есть очень эффективный способ избежать всех этих опасностей и сразу закрыть вопрос о том, можно ли сервису доверять, — для этого используют сквозное шифрование. Оно предполагает, что информация шифруется на устройстве отправителя и расшифровывается только на устройстве получателя. Таким образом, сам сервис пересылает туда-сюда только зашифрованные данные и доступа к содержанию сообщений не имеет. Это автоматически обеспечивает защиту переписки от любопытства нынешних и будущих владельцев сервиса и от всех неприятностей, которые с ним могут произойти.
Итак, мы приходим к очень простой формуле: защищенный мессенджер — это такой мессенджер, который использует сквозное шифрование. Теперь самое время перейти к тому, как с этим обстоят дела у Telegram.
View the full article
-
От KL FC Bot
Когда кто-то начинает говорить о роботах, люди обычно представляют себе антропоморфные металлические фигуры из фантастических фильмов или же промышленные автоматы, работающие на конвейерах индустриальных гигантов. Мало кто задумывается, что на самом деле роботы уже давно среди нас. Они моют наши машины, развозят заказы, сортируют товары на складах, разносят таблетки по пациентам, звонят в колокола церквей и вообще берут на себя все больше рутинных задач. По сути, это киберфизические устройства интернета вещей (IoT).
В связи с этим хочется задать законный вопрос: если уже сейчас на множество организаций работают роботы, то занимается ли кто-нибудь всерьез их безопасностью? Наши коллеги провели исследование о последствиях повального внедрения автоматизации и все более широкого использования роботов и, помимо всего прочего, узнали более чем у 4,5 тысячи представителей различных организаций, что они думают по этому поводу? Оказалось, что 44% опрошенных считают уровень защиты роботов достаточно высоким, в то время как у 40% складывается обратное впечатление. Беглый поиск по Интернету показывает, что правы скорее последние. Эксперты по безопасности уже давно пытаются привлечь внимание к проблемам защиты роботов: за последние годы они исследовали множество автоматов и нашли их уязвимыми. Вот лишь некоторые из машин, привлекших их внимание.
Автомойка
Еще в 2017 году на конференции Black Hat исследователи Билли Райос (Billy Rios) и Джонатан Баттс (Jonathan Butts) показали, как можно взломать автоматическую мойку для машин и чем это может грозить человеку. Они изучили автомойку PDQ LaserWash, подключенную к Интернету, и нашли способ перехватить управление ей. В процессе исследования они продемонстрировали, что можно придавить машину дверью мойки, что может нести угрозу не только самому автомобилю, но и его водителю. На момент публикации доклада уязвимость так и не была закрыта.
View the full article
-
От KL FC Bot
Летом 2022 года специалист по информационной безопасности Дэвид Шютц возвращался домой, проведя сутки в пути. Его смартфон Google Pixel 6 ожидаемо был почти разряжен: к моменту, когда Дэвид оказался наконец у себя дома, индикатор заряда показывал 1%. Естественно, телефон выключился посреди набора сообщений в мессенджере. Исследователь нашел зарядку, включил телефон, но продолжить общение не смог — требовалось ввести PIN-код от SIM-карты. Сказалась усталость от путешествия, Дэвид три раза ввел неправильный PIN. В таком случае требуется ввести еще один секретный код PUK. После введения этого кода Дэвид увидел приглашение для логина с помощью отпечатка пальца. А после того как отпечаток был распознан, телефон завис.
После перезагрузки телефона у вас обычно нет возможности разблокировать его с помощью отпечатка пальца. Требуется код разблокировки. Источник
View the full article
-
От KL FC Bot
Threema, один из наиболее популярных защищенных мессенджеров, на этой неделе оказался в эпицентре скандала. Исследователи из университета ETH Zurich нашли 7 (!) уязвимостей в протоколах Threema, а разработчики мессенджера, не отрицая этого факта, сказали, что «все исправлено, и вообще, проблема высосана из пальца». Нужно ли срочно переходить на Signal, и где правда?
В скандале с Threema сложно разобраться до конца, потому что обе стороны ведут себя хотя и цивилизованно, но не идеально. Исследователи из ETH Zurich явно преувеличивают значимость своей работы, в которой описаны не только уязвимости, но и гипотетические сценарии их эксплуатации, а разработчики Threema явно преуменьшают опасность уязвимостей и говорят, что эксплуатировать их практически невозможно.
Тем, кого интересуют только практические выводы, предлагаем сразу перейти к ним.
Уязвимости Threema
Все уязвимости были ответственно разглашены в октябре и оперативно исправлены. По информации обеих сторон, эксплуатации уязвимостей «в дикой природе» не было, поэтому бояться разглашения информации вроде бы нет причин. Тем не менее ситуация не безоблачна.
Сосредоточимся на заключениях, которые можно сделать из внимательного чтения цюрихского исследования, блогпоста Threema, а также других публично доступных исследований протокола и приложений Threema. Во-первых, в приложении использованы сильные алгоритмы криптографии и их стандартизованная и надежная реализация NaCl. Во-вторых, вокруг этого «обернут» собственный протокол обмена информацией, реализация которого несовершенна. Теоретически это делает возможными различные атаки (такие как отправка в групповом чате сообщения, которое будет выглядеть по-разному у разных получателей), а также вполне практические. Например, при наличии физического доступа к смартфону чтение на нем баз данных Threema и резервных копий будет очень несложным — если для защиты приложения не была задана парольная фраза. Также возможно «клонирование» Threema ID, что позволит в дальнейшем переписываться от имени жертвы (но не одновременно с ней). Разумеется, все сценарии с физическим доступом к смартфону являются одними из самых негативных для любого приложения, и защититься от них невероятно сложно.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти