Хакеры взломали AI-чатбот для HR и получили возможность одобрять или отклонять кандидатов
Хакеры-исследователи обнаружили неприятную дыру в HR-чатботе Chattr.ai. Уязвимость позволяет получить доступ к информации компаний-пользователей этого сервиса и даже одобрять или отклонять соискателей, которые сохранены в базе чатбота.
Chattr позиционируется как “первое в мире автоматизированное решение для найма рабочей силы с почасовой оплатой, основанное на ИИ-помощнике” и помогает автоматизировать поиск сотрудников. Сервис популярен у ритейлеров и владельцев ресторанов быстрого питания — осматривая после взлома ставшие им доступными ресурсы, хакеры обнаружили среди клиентов владельцев точек Subway и KFC.
Взломщики наткнулись на уязвимость в Chattr в процессе поиска незащищенных логинов в Firebase — это облачный сервис баз данных от Google. В процессе сканирования они обнаружили, что в базе Firebase, используемой Chattr, можно создать новый аккаунт, обладающий правами как на чтение, так и на запись в базу данных любой информации. Так они смогли получить доступ к самым разным данным клиентов Chattr.ai — информации о самих компаниях, данных их сотрудников и соискателей, внутренней переписке в чатботе и так далее.
Но этим дело не ограничилось: далее хакеры обнаружили, что они также могут создавать аккаунты администратора в системе управления Chattr. И таким образом получают возможность одобрять или отклонять любых зарегистрированных в чатботе соискателей — и даже делать возврат средств, выплаченных сервису компаниями-клиентами.
Это напоминает историю с Nothing Chats — запущенным производителем смартфонов Nothing сервисом обмена сообщениями, который обещал дать пользователям Android доступ к Apple iMessage. Разработчики обещали тотальную приватность и безопасность. Однако из-за нескольких дыр — в том числе как раз из-за проблем с аутентификацией в базе данных Firebase — сервис позволял любому желающему читать переписку всех пользователей Nothing Chats в режиме реального времени.
Хакеры-исследователи обнаружили неприятную дыру в HR-чатботе Chattr.ai. Уязвимость позволяет получить доступ к информации компаний-пользователей этого сервиса и даже одобрять или отклонять соискателей, которые сохранены в базе чатбота.
Chattr позиционируется как “первое в мире автоматизированное решение для найма рабочей силы с почасовой оплатой, основанное на ИИ-помощнике” и помогает автоматизировать поиск сотрудников. Сервис популярен у ритейлеров и владельцев ресторанов быстрого питания — осматривая после взлома ставшие им доступными ресурсы, хакеры обнаружили среди клиентов владельцев точек Subway и KFC.
Взломщики наткнулись на уязвимость в Chattr в процессе поиска незащищенных логинов в Firebase — это облачный сервис баз данных от Google. В процессе сканирования они обнаружили, что в базе Firebase, используемой Chattr, можно создать новый аккаунт, обладающий правами как на чтение, так и на запись в базу данных любой информации. Так они смогли получить доступ к самым разным данным клиентов Chattr.ai — информации о самих компаниях, данных их сотрудников и соискателей, внутренней переписке в чатботе и так далее.
Но этим дело не ограничилось: далее хакеры обнаружили, что они также могут создавать аккаунты администратора в системе управления Chattr. И таким образом получают возможность одобрять или отклонять любых зарегистрированных в чатботе соискателей — и даже делать возврат средств, выплаченных сервису компаниями-клиентами.
Это напоминает историю с Nothing Chats — запущенным производителем смартфонов Nothing сервисом обмена сообщениями, который обещал дать пользователям Android доступ к Apple iMessage. Разработчики обещали тотальную приватность и безопасность. Однако из-за нескольких дыр — в том числе как раз из-за проблем с аутентификацией в базе данных Firebase — сервис позволял любому желающему читать переписку всех пользователей Nothing Chats в режиме реального времени.
😱12👍5🤔4❤1
Топ-5 ИБ-инцидентов в 2023 году
Прошлый год был очень насыщенным для мира кибербезопасности. Сегодня мы расскажем о пяти примечательных ИБ-инцидентах, которые произошли в 2023, сопроводив это небольшой музыкальной подборкой.
5️⃣ Ransomware-атаки BlackCat на две крупнейшие сети отелей-казино в США: Caesars Entertainment и MGM Resorts
🎶 Саундтрек: Janet Jackson — Black Cat
В сентябре 2023 года стало известно о двух атаках вымогателей на крупнейшие сети казино в США. В результате этих атак вся инфраструктура компаний — от системы регистрации в отелях до игровых автоматов — была заблокирована.
Первая жертва, Caesars Entertainment, по слухам, заплатила преступникам выкуп в $15 миллионов. Вторая же атакованная компания, MGM Resorts, отказалась платить и в результате была отключена от сети в течение 9 дней, что привело к потере компанией порядка $100 миллионов.
4️⃣ Обнаружена многолетняя атака на веб-хостинг GoDaddy
🎶 Саундтрек: PSY — Daddy
Неизвестные злоумышленники украли исходный код и установили вредоносное ПО на серверы веб-хостинга GoDaddy — одного из крупнейших в мире. Компания считает, что эта атака началась еще в 2020 году, и связывает ее с предыдущими крупными инцидентами 2020 и 2021 годов.
Внутреннее расследование GoDaddy показало — целью киберпреступников было заражение сайтов и серверов вредоносным ПО для проведения фишинговых кампаний, распространения малвари и прочей вредоносной активности.
3️⃣ SmoothOperator — заражение популярного у бизнеса VoIP-приложения 3CX
🎶 Саундтрек: Sade — Smooth Operator
Массовая атака через цепочку поставок на десктопное приложение системы VoIP-телефонии 3СX поставила под угрозу более 600 000 компаний, включая таких гигантов как American Express, BMW, Air France, Toyota и IKEA. Троянизированы были клиенты не только для Windows, но и для macOS. Сама атака получила название SmoothOperator.
Подброшенный в VoIP-клиенты зловред умел собирать сведения о системе, воровать информацию и сохраненные учетные данные из различных браузеров. Развернув интерактивную командную оболочку вредоносного ПО, преступники теоретически могли делать с компьютером жертвы почти что угодно.
И ещё два инцидента: https://telegra.ph/Top-5-IB-incidentov-v-2023-godu-01-17
Прошлый год был очень насыщенным для мира кибербезопасности. Сегодня мы расскажем о пяти примечательных ИБ-инцидентах, которые произошли в 2023, сопроводив это небольшой музыкальной подборкой.
В сентябре 2023 года стало известно о двух атаках вымогателей на крупнейшие сети казино в США. В результате этих атак вся инфраструктура компаний — от системы регистрации в отелях до игровых автоматов — была заблокирована.
Первая жертва, Caesars Entertainment, по слухам, заплатила преступникам выкуп в $15 миллионов. Вторая же атакованная компания, MGM Resorts, отказалась платить и в результате была отключена от сети в течение 9 дней, что привело к потере компанией порядка $100 миллионов.
Неизвестные злоумышленники украли исходный код и установили вредоносное ПО на серверы веб-хостинга GoDaddy — одного из крупнейших в мире. Компания считает, что эта атака началась еще в 2020 году, и связывает ее с предыдущими крупными инцидентами 2020 и 2021 годов.
Внутреннее расследование GoDaddy показало — целью киберпреступников было заражение сайтов и серверов вредоносным ПО для проведения фишинговых кампаний, распространения малвари и прочей вредоносной активности.
Массовая атака через цепочку поставок на десктопное приложение системы VoIP-телефонии 3СX поставила под угрозу более 600 000 компаний, включая таких гигантов как American Express, BMW, Air France, Toyota и IKEA. Троянизированы были клиенты не только для Windows, но и для macOS. Сама атака получила название SmoothOperator.
Подброшенный в VoIP-клиенты зловред умел собирать сведения о системе, воровать информацию и сохраненные учетные данные из различных браузеров. Развернув интерактивную командную оболочку вредоносного ПО, преступники теоретически могли делать с компьютером жертвы почти что угодно.
И ещё два инцидента: https://telegra.ph/Top-5-IB-incidentov-v-2023-godu-01-17
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Топ-5 ИБ-инцидентов в 2023 году
Прошлый год был очень насыщенным для мира кибербезопасности. Сегодня мы расскажем о пяти самых интересных ИБ-инцидентах, которые произошли в 2023, сопроводив это небольшой музыкальной подборкой. 5️⃣ Ransomware-атаки BlackCat на две крупнейшие сети отелей…
👍14👾9🔥4❤1🤔1🤯1🤝1
Если бы у трёх медведей был Urbanpredator 🐻
Мы создали систему прежде всего для безопасности в офисах и на промышленных предприятиях, но прорабатываем и сценарий для наблюдения за ходом строительства дома, например.
Сразу видно, кто на территории свой, а кто заглянул без приглашения.
#Urbanpredator
Мы создали систему прежде всего для безопасности в офисах и на промышленных предприятиях, но прорабатываем и сценарий для наблюдения за ходом строительства дома, например.
Сразу видно, кто на территории свой, а кто заглянул без приглашения.
#Urbanpredator
Please open Telegram to view this post
VIEW IN TELEGRAM
😁22👍14🔥10👏3
Как я у вас игрушку стащил 🎮
Компьютерные игры захватили мир — думаю, у вас точно есть знакомый, который регулярно зависает в новой «кске», грабит банки в «гта» или гоняет на крутых спорткарах в «форзе».
— Бред какой-то. Я погуглил «огонь», «когти», «летает», «ворует», «девственниц» и «золото», и все ведет в одно место.
— Куда?
— На фансайты Warcraft.
Игровая индустрия — весьма прибыльный бизнес. В 2021 году игровой рынок оценивался в 198,4 миллиарда долларов, ожидается его рост до 339,95 миллиардов к 2027 году. Урвать свой кусок пирога хотят и злоумышленники.
Рынок краденных аккаунтов начал стремительно расти в 2020 году, когда началась пандемия и люди были вынуждены сидеть по домам.
Продвинутые злоумышленники идут дальше и ищут уязвимости не в людях, а в самом продукте. Так стало известно об RCE в CS:GO, позволяющей осуществлять выполнение произвольного кода на вашей системе. У этой игры целых 326 миллионов (!) загрузок, а ежедневно заходит почти миллион человек.
Множество именитых студий подвергались атакам. Здесь и утечка от CD Projekt RED, взлом Electronic Arts, слив GTA 6 (бедного хакера-школьника нашли и поместили в больницу до конца жизни), публикация исходных кодов GTA 5, атака на Activision. Как вы понимаете, список можно продолжать бесконечно долго.
А как защититься?
Пентестер CICADA8 Михаил Жмайло рассказывает, что могут предпринять студии и пользователи: https://telegra.ph/Kak-ya-u-vas-igrushku-stashchil-01-18
Компьютерные игры захватили мир — думаю, у вас точно есть знакомый, который регулярно зависает в новой «кске», грабит банки в «гта» или гоняет на крутых спорткарах в «форзе».
— Бред какой-то. Я погуглил «огонь», «когти», «летает», «ворует», «девственниц» и «золото», и все ведет в одно место.
— Куда?
— На фансайты Warcraft.
Игровая индустрия — весьма прибыльный бизнес. В 2021 году игровой рынок оценивался в 198,4 миллиарда долларов, ожидается его рост до 339,95 миллиардов к 2027 году. Урвать свой кусок пирога хотят и злоумышленники.
Рынок краденных аккаунтов начал стремительно расти в 2020 году, когда началась пандемия и люди были вынуждены сидеть по домам.
Продвинутые злоумышленники идут дальше и ищут уязвимости не в людях, а в самом продукте. Так стало известно об RCE в CS:GO, позволяющей осуществлять выполнение произвольного кода на вашей системе. У этой игры целых 326 миллионов (!) загрузок, а ежедневно заходит почти миллион человек.
Множество именитых студий подвергались атакам. Здесь и утечка от CD Projekt RED, взлом Electronic Arts, слив GTA 6 (бедного хакера-школьника нашли и поместили в больницу до конца жизни), публикация исходных кодов GTA 5, атака на Activision. Как вы понимаете, список можно продолжать бесконечно долго.
А как защититься?
Пентестер CICADA8 Михаил Жмайло рассказывает, что могут предпринять студии и пользователи: https://telegra.ph/Kak-ya-u-vas-igrushku-stashchil-01-18
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Как я у вас игрушку стащил
Компьютерные игры захватили мир — думаю, у вас точно есть знакомый, который регулярно зависает в новой «кске», грабит банки в «гта» или гоняет на крутых спорткарах в «форзе».
🔥12😁6❤4👍1
Media is too big
VIEW IN TELEGRAM
Максим Суханов, ведущий эксперт CICADA8 по форензике, рассказывает, как реагировать на развивающийся инцидент кибербезопасности без паники, чтобы минимизировать риски и обеспечить успешность расследования.
Одна из особенностей нашего подхода заключается в том, что мы сразу даём предметные, непредвзятые рекомендации, которые помогут клиенту даже в случае, если он обратится за расследованием не к нам, а к другому исполнителю. Уже при первом контакте наших экспертов с потенциальным клиентом, после первичной оценки ситуации, мы сообщаем:
🟣 какие действия предпринять в первую очередь;
🟣 какие системы изолировать, почему и как;
🟣 стоит ли блокировать учётные записи или нет;
🟣 стоит ли удалять скомпрометированные файлы, завершать процессы, блокировать что-то на межсетевом экране.
Другая наша особенность — мы обладаем обширным опытом обратной разработки, как вредоносных программ, так и невредоносных программ (например, драйверов файловых систем и ядра операционной системы). Мы знаем, как хранятся данные на низком уровне, умеем их извлекать и корректно интерпретировать.
Кстати, вот несколько ссылок на уязвимости в драйверах файловых систем, которые обнаружил Максим Суханов и успешно исправили вендоры:
⚫️ уязвимость в драйвере exFAT в ядре Linux;
⚫️ две уязвимости в драйвере NTFS в менеджере загрузки GRUB;
⚫️ уязвимость в драйвере FAT12/16/32 в ядре FreeBSD.
#CICADA8
Одна из особенностей нашего подхода заключается в том, что мы сразу даём предметные, непредвзятые рекомендации, которые помогут клиенту даже в случае, если он обратится за расследованием не к нам, а к другому исполнителю. Уже при первом контакте наших экспертов с потенциальным клиентом, после первичной оценки ситуации, мы сообщаем:
Другая наша особенность — мы обладаем обширным опытом обратной разработки, как вредоносных программ, так и невредоносных программ (например, драйверов файловых систем и ядра операционной системы). Мы знаем, как хранятся данные на низком уровне, умеем их извлекать и корректно интерпретировать.
Кстати, вот несколько ссылок на уязвимости в драйверах файловых систем, которые обнаружил Максим Суханов и успешно исправили вендоры:
#CICADA8
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23🔥10👏3❤1🌭1
Почему не стоит разрешать вход в рабочие сервисы с помощью Google OAuth
Многие компании разрешают аутентификацию в своих рабочих сервисах с помощью Google OAuth — то есть через кнопку “Вход с аккаунтом Google”. Это достаточно удобно, поскольку Google предоставляет возможность быстро и просто создавать учётные записи для рабочей почты с доменом организации в адресе (например, vasya@bigcorporation.com).
Однако недавно в механизме Google OAuth обнаружилась серьёзная проблема. В декабре 2023 года Дилан Эйри из команды Truffle Security выявил уязвимость в этом способе аутентификации, которая позволяет сотрудникам, даже не обладающим продвинутыми техническими навыками, создавать “фантомные” Google-аккаунты, которые не видны администратору корпоративного Google Workspace, и таким образом сохранять доступ к ресурсам компании.
Дело в том, что добавив знак “+” и некоторый текст к существующему адресу почты в Google (то есть, к примеру, vasya+anything@bigcorporation.com), можно создавать дополнительные адреса в рамках одной и той же почты. Эта функция называется суб-адресацией и имеет свои вполне невинные цели, не имеющие отношения к нашему рассказу.
Дилан Эйри выяснил, что можно изменить адрес в уже имеющемся рабочем Google-аккаунте, добавив знак + (vasya@bigcorporation.com —> vasya+anything@bigcorporation.com). После чего можно заново создать Google-аккаунт для старого адреса (vasya@bigcorporation.com).
И тут мы подходим, собственно, к багу. Заключается он в том, что оба эти Google-аккаунта будут прекрасно работать для входа в рабочую инфраструктуру через Google OAuth. По той простой причине, что решение о том, пускать или не пускать аккаунт, принимается на основе домена в адресе почты — а он в обоих случаях правильный.
Подробнее об уязвимости: https://telegra.ph/Pochemu-ne-stoit-razreshat-vhod-v-rabochie-servisy-s-pomoshchyu-Google-OAuth-01-22
Многие компании разрешают аутентификацию в своих рабочих сервисах с помощью Google OAuth — то есть через кнопку “Вход с аккаунтом Google”. Это достаточно удобно, поскольку Google предоставляет возможность быстро и просто создавать учётные записи для рабочей почты с доменом организации в адресе (например, vasya@bigcorporation.com).
Однако недавно в механизме Google OAuth обнаружилась серьёзная проблема. В декабре 2023 года Дилан Эйри из команды Truffle Security выявил уязвимость в этом способе аутентификации, которая позволяет сотрудникам, даже не обладающим продвинутыми техническими навыками, создавать “фантомные” Google-аккаунты, которые не видны администратору корпоративного Google Workspace, и таким образом сохранять доступ к ресурсам компании.
Дело в том, что добавив знак “+” и некоторый текст к существующему адресу почты в Google (то есть, к примеру, vasya+anything@bigcorporation.com), можно создавать дополнительные адреса в рамках одной и той же почты. Эта функция называется суб-адресацией и имеет свои вполне невинные цели, не имеющие отношения к нашему рассказу.
Дилан Эйри выяснил, что можно изменить адрес в уже имеющемся рабочем Google-аккаунте, добавив знак + (vasya@bigcorporation.com —> vasya+anything@bigcorporation.com). После чего можно заново создать Google-аккаунт для старого адреса (vasya@bigcorporation.com).
И тут мы подходим, собственно, к багу. Заключается он в том, что оба эти Google-аккаунта будут прекрасно работать для входа в рабочую инфраструктуру через Google OAuth. По той простой причине, что решение о том, пускать или не пускать аккаунт, принимается на основе домена в адресе почты — а он в обоих случаях правильный.
Подробнее об уязвимости: https://telegra.ph/Pochemu-ne-stoit-razreshat-vhod-v-rabochie-servisy-s-pomoshchyu-Google-OAuth-01-22
Telegraph
Почему не стоит разрешать вход в рабочие сервисы с помощью Google OAuth
Многие компании разрешают аутентификацию в своих рабочих сервисах с помощью Google OAuth — то есть через кнопку «Вход с аккаунтом Google». Это достаточно удобно, поскольку Google предоставляет возможность быстро и просто создавать учётные записи для рабочей…
❤18🔥11👍7👌2🫡2
Взломать компанию через простой пароль
Какой у вас пароль? Содержит ли он буквы в разном регистре? Цифры? Специальные символы?
Пароли играют очень важную роль в нашей жизни. Они используются везде: зайти в аккаунт в VK, подключиться к корпоративной сети через VPN, сказать секретную фразу на входе в закрытый бар...
Существуют и пароли, о которых вы порой даже и не подозреваете. Эти данные устанавливаются не вами, а производителем, в момент создания программного обеспечения. Так называемые стандартные учётные данные.
Давайте вспомним пару историй, как большие компании взламывали без использования мудрёных эксплойтов, сложных уязвимостей и незабываемых фишинговых атак. Хакеру достаточно было применить admin:admin, и все двери становились открытыми.
Статья пентестера CICADA8 Михаила Жмайло: https://telegra.ph/Vzlomat-kompaniyu-cherez-prostoj-parol-01-22
Какой у вас пароль? Содержит ли он буквы в разном регистре? Цифры? Специальные символы?
Пароли играют очень важную роль в нашей жизни. Они используются везде: зайти в аккаунт в VK, подключиться к корпоративной сети через VPN, сказать секретную фразу на входе в закрытый бар...
Существуют и пароли, о которых вы порой даже и не подозреваете. Эти данные устанавливаются не вами, а производителем, в момент создания программного обеспечения. Так называемые стандартные учётные данные.
Давайте вспомним пару историй, как большие компании взламывали без использования мудрёных эксплойтов, сложных уязвимостей и незабываемых фишинговых атак. Хакеру достаточно было применить admin:admin, и все двери становились открытыми.
Статья пентестера CICADA8 Михаила Жмайло: https://telegra.ph/Vzlomat-kompaniyu-cherez-prostoj-parol-01-22
Telegraph
Взломать компанию через простой пароль
Какой у вас пароль? Содержит ли он буквы в разном регистре? Цифры? Специальные символы? Не сомневаюсь, подписчик нашего телеграм-канала уже трижды кивнул! (надеюсь, ничего не проговорил вслух, хи-хи). Пароли играют очень важную роль в нашей жизни. Они используются…
👍13❤6🔥5
В 2024 году в арсенале хакеров: дипфейки, фишинговые QR-коды и ChatGPT. Чем им ответят специалисты ИБ?
Сегодня в 11.00 в эфире AM Live «Инновации в кибербезопасности» Алексей Гришин, CPO CICADA8, примет участие в дискуссии о перспективах развития отрасли вместе с коллегами из других компаний. Ссылкой на запись эфира мы обязательно поделимся.
Ссылка на трансляцию📹
Ключевая тема встречи: инновации в сфере информационной безопасности России в условиях курса на технологическую независимость.
Эксперты обсудят:
➡️ какие разработки в последнее время появились в кибербезопасности в нашей стране;
➡️ в каких компаниях они создаются, почему у нас так мало ИБ-стартапов и есть ли шансы у команд энтузиастов;
➡️ насколько российские клиенты заинтересованы в инновационных продуктах;
➡️ как импортозамещение влияет на развитие инноваций;
➡️ в каких направлениях ИБ стоит ожидать развития;
➡️ каких инноваций на базе ИИ и машинного обучения стоит ожидать в ближайшее время.
В эфире участвуют:
⚫️ Алексей Гришин, CPO CICADA8 Future Crew
⚫️ Сергей Петренко, CPO МТС RED
⚫️ Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies
⚫️ Максим Степченков, совладелец компании RuSIEM
⚫️ Игорь Бирюков, руководитель киберхаба Сколково
⚫️ Виктор Ивановский, руководитель группы развития бизнеса KasperskyOS, «Лаборатория Касперского»
⚫️ Александр Баринов, директор портфеля продуктов сетевой безопасности, ГК «Солар»
Регистрируйтесь по ссылке на AM Live, чтобы задать вопросы экспертам.
#CICADA8
Сегодня в 11.00 в эфире AM Live «Инновации в кибербезопасности» Алексей Гришин, CPO CICADA8, примет участие в дискуссии о перспективах развития отрасли вместе с коллегами из других компаний. Ссылкой на запись эфира мы обязательно поделимся.
Ссылка на трансляцию
Ключевая тема встречи: инновации в сфере информационной безопасности России в условиях курса на технологическую независимость.
Эксперты обсудят:
В эфире участвуют:
Регистрируйтесь по ссылке на AM Live, чтобы задать вопросы экспертам.
#CICADA8
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍7👌3👀2❤1
Александр Сазонов, руководитель направления персональных ИИ-решений во Future Crew, рассказал о трендах в развитии умных ассистентов.
Голосовые и чат-боты помогают компаниям экономить сотни миллионов рублей, обрабатывая до 80% запросов клиентов. Насколько эффективно — знает каждый, кто хоть раз писал в таком чате «позовите человека». Тем не менее, с каждым годом ИИ-ассистенты становятся всё более эффективными и востребованными: пандемия способствовала росту популярности умных колонок по всему миру, а в 2023 году в России спрос на колонки с голосовыми ассистентами увеличился на 65%.
Мы во Future Crew также работаем над совершенствованием умных ассистентов, учим их быть отзывчивыми и понимающими.
Голосовые и чат-боты помогают компаниям экономить сотни миллионов рублей, обрабатывая до 80% запросов клиентов. Насколько эффективно — знает каждый, кто хоть раз писал в таком чате «позовите человека». Тем не менее, с каждым годом ИИ-ассистенты становятся всё более эффективными и востребованными: пандемия способствовала росту популярности умных колонок по всему миру, а в 2023 году в России спрос на колонки с голосовыми ассистентами увеличился на 65%.
Мы во Future Crew также работаем над совершенствованием умных ассистентов, учим их быть отзывчивыми и понимающими.
👍10❤7🔥5
Пиратский софт для macOS с бэкдором
Исследователи из Jamf Threat Labs обнаружили новую разновидность вредоносного ПО, которое распространяется внутри пиратского программного обеспечения для Маков.
Изначально внимание исследователей привлекло имя подозрительного файла “.fseventsd”. Во-первых, тем, что оно начинается с точки (поэтому файл автоматически скрывается в Finder). А во-вторых, совпадением с названием одного из системных процессов macOS — File System Events Daemon.
Файл загружался в качестве одной из составляющих установочных пакетов нескольких взломанных приложений для macOS. После запуска такого зараженного DMG-файла встроенный в него зловред скачивает на компьютер жертвы дополнительные вредоносные компоненты.
Один из этих компонентов представляет собой полноценный бэкдор, который даёт создателям зловреда возможность воровать информацию и выполнять произвольные команды на компьютере жертвы. Другой же компонент позволяет вредоносному ПО закрепиться в зараженной системе: несмотря на то, что бэкдор удаляется из системы после рестарта, он каждый раз скачивается и заново запускается.
По мнению исследователей, этот зловред угрожает в основном китайским пользователям. Однако весьма интересен набор пиратского ПО, к которому был прикручен бэкдор:
🟣 Navicat — инструмент для разработки и администрирования баз данных.
🟣 UltraEdit — текстовый и HEX-редактор, созданный главным образом для программистов.
🟣 FinalShell — софт для управления серверами и SSH-клиент.
🟣 SecureCRT — еще один SSH-клиент и Telnet-клиент.
🟣 Microsoft Remote Desktop Beta — бета-версия официального RDP-клиента Microsoft.
То есть в данном случае создатели зловреда охотятся вовсе не на “пионеров”, ищущих взломанные игры и бесплатные мультики, а на вполне серьёзных (но крайне беспечных) IT-профессионалов, которые пытаются сэкономить на рабочих инструментах. Вывод, в общем, очевиден: к пиратскому софту следует относиться с крайней осторожностью и как минимум проверять установочные пакеты перед запуском антивирусом. Да, даже на Маках.
Исследователи из Jamf Threat Labs обнаружили новую разновидность вредоносного ПО, которое распространяется внутри пиратского программного обеспечения для Маков.
Изначально внимание исследователей привлекло имя подозрительного файла “.fseventsd”. Во-первых, тем, что оно начинается с точки (поэтому файл автоматически скрывается в Finder). А во-вторых, совпадением с названием одного из системных процессов macOS — File System Events Daemon.
Файл загружался в качестве одной из составляющих установочных пакетов нескольких взломанных приложений для macOS. После запуска такого зараженного DMG-файла встроенный в него зловред скачивает на компьютер жертвы дополнительные вредоносные компоненты.
Один из этих компонентов представляет собой полноценный бэкдор, который даёт создателям зловреда возможность воровать информацию и выполнять произвольные команды на компьютере жертвы. Другой же компонент позволяет вредоносному ПО закрепиться в зараженной системе: несмотря на то, что бэкдор удаляется из системы после рестарта, он каждый раз скачивается и заново запускается.
По мнению исследователей, этот зловред угрожает в основном китайским пользователям. Однако весьма интересен набор пиратского ПО, к которому был прикручен бэкдор:
То есть в данном случае создатели зловреда охотятся вовсе не на “пионеров”, ищущих взломанные игры и бесплатные мультики, а на вполне серьёзных (но крайне беспечных) IT-профессионалов, которые пытаются сэкономить на рабочих инструментах. Вывод, в общем, очевиден: к пиратскому софту следует относиться с крайней осторожностью и как минимум проверять установочные пакеты перед запуском антивирусом. Да, даже на Маках.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤7🤔5👌1
Media is too big
VIEW IN TELEGRAM
Поговорили в эфире AM Live об инновациях в информационной безопасности вместе с коллегами из «Лаборатории Касперского», Positive Technologies, ГК «Солар», МТС RED, RuSIEM и Сколково. Эфир без жарких споров, потому что в главном мы согласны: спрос на инновации сейчас выше, чем когда-либо, а вот кадров и ресурсов зачастую не хватает.
Обсудили, как стартапам привлекать инвестиции, как рождаются инновации в крупных компаниях, как выстроить системное сотрудничество бизнеса с учёными и вузами.
ИБ — это вечная борьба броня-снаряд, как рассказал CPO CICADA8 Алексей Гришин. Круче стали заряды — лучше стала броня, и это бесконечный цикл.
Смотрите запись трансляции на YouTube
#CICADA8
Обсудили, как стартапам привлекать инвестиции, как рождаются инновации в крупных компаниях, как выстроить системное сотрудничество бизнеса с учёными и вузами.
ИБ — это вечная борьба броня-снаряд, как рассказал CPO CICADA8 Алексей Гришин. Круче стали заряды — лучше стала броня, и это бесконечный цикл.
Смотрите запись трансляции на YouTube
#CICADA8
👍11❤6🔥6🤝3
Больше трети пользователей мобильных приложений готовы делиться данными, чтобы получать больше возможностей
Иногда данные необходимы для работы приложений: конечно, видеоредактор не обработает видео без доступа к нему, а трекер пробежек не сохранит маршрут без доступа к местоположению.
Однако более трети пользователей готовы пойти дальше и предоставлять дополнительные сведения о себе, чтобы использовать ещё больше возможностей сервисов. К примеру, многие дают соцсетям доступ к списку контактов, чтобы найти знакомых, или сообщают онлайн-магазинам дату своего рождения, чтобы получить праздничные скидки.
Эксперты аналитического агентства TelecomDaily выяснили, что наибольшее количество данных российских пользователей собирают приложения «ВКонтакте», «Госуслуги» и «Одноклассники».
Если учесть, что при этом более половины мобильных приложений передают данные третьим лицам и что популярные сервисы постоянно подвергаются кибератакам, стоит внимательнее относиться к тому, какой информацией о себе мы готовы делиться с таким широким кругом людей. И действительно ли приложениям для выполнения основных функций нужен такой доступ к нашим данным и действиям, который они запрашивают по умолчанию.
Но есть и хорошие новости: раз 38% готовы делиться дополнительными данными, значит, 62% не готовы.
Иногда данные необходимы для работы приложений: конечно, видеоредактор не обработает видео без доступа к нему, а трекер пробежек не сохранит маршрут без доступа к местоположению.
Однако более трети пользователей готовы пойти дальше и предоставлять дополнительные сведения о себе, чтобы использовать ещё больше возможностей сервисов. К примеру, многие дают соцсетям доступ к списку контактов, чтобы найти знакомых, или сообщают онлайн-магазинам дату своего рождения, чтобы получить праздничные скидки.
Эксперты аналитического агентства TelecomDaily выяснили, что наибольшее количество данных российских пользователей собирают приложения «ВКонтакте», «Госуслуги» и «Одноклассники».
Если учесть, что при этом более половины мобильных приложений передают данные третьим лицам и что популярные сервисы постоянно подвергаются кибератакам, стоит внимательнее относиться к тому, какой информацией о себе мы готовы делиться с таким широким кругом людей. И действительно ли приложениям для выполнения основных функций нужен такой доступ к нашим данным и действиям, который они запрашивают по умолчанию.
Но есть и хорошие новости: раз 38% готовы делиться дополнительными данными, значит, 62% не готовы.
👍10❤6🤔5
А какими данными вы готовы делиться с приложениями?
Anonymous Poll
32%
Никакими
55%
Только теми, которые необходимы для их работы
6%
Теми, которые помогут использовать приложения по максимуму
7%
Любыми, всё равно вся информация уже есть в сети
❤4👍3🤔3👌1
От чудаков и бунтарей до сверхлюдей: как менялся образ хакеров в кино
Не все хакеры носят худи с капюшонами, но режиссёры продолжают изображать их с помощью привычных зрителям образов. Посмотрим, как это происходило на протяжении более сорока лет.
🍿 В 80-х годах в роли киберпреступников часто выступали дети и подростки. Например, в фильме «Настоящий гений» (1985) хакерами оказались пятнадцатилетние вундеркинды, а в «Мести придурков» (1984) — школьные «ботаники».
🍿 В начале 90-х хакеров перестают изображать безобидными чудаками. Теперь это мрачные злодеи, которые противостоят положительным героям. Достаточно вспомнить фильмы о Джеймсе Бонде или картины «Сеть» (1995) и «Тихушники» (1992). А в фильме «Хакеры» (1995) героями движет прежде всего любопытство 😎
🍿 В конце 90-х к образу злодея добавляется роль бунтаря, который взламывает сети по идейным соображениям. Режиссёры представляют их супергероями которые могут взломать пароль за секунду и удалённо подключиться любому компьютеру. А в «Матрице» (1999) Нео и вовсе оказывается избранным.
🍿 В нулевых хакеры обретают черты харизматичных гениев, в которых переплетаются положительные и отрицательные качества. В это время появляются образы обаятельного взломщика в фильме «Пароль “Рыба-меч”» (2001), гика в «Земном ядре» (2003) и, к примеру, геймера из «Хоттабыча» (2006). Несмотря на попытки показать их более реалистично, действия хакеров на экране всё ещё похожи на магию.
🍿 Второе десятилетие XXI века. В сериале «Мистер Робот» (2015–2019) герой — интеллектуал и интроверт, а в фильме «Девушка с татуировкой дракона» (2011) появляется загадочная героиня-хакер. В фильме «Социальная сеть» (2010) главный герой становится успешным предпринимателем, а в фильме «Кибер» (2015) режиссёр отходит от классических канонов и представляет хакера в виде героя боевиков.
Фильмов, где хакеры играют главные роли или появляются в эпизодах, конечно, гораздо больше. А какие ваши любимые?
Не все хакеры носят худи с капюшонами, но режиссёры продолжают изображать их с помощью привычных зрителям образов. Посмотрим, как это происходило на протяжении более сорока лет.
Фильмов, где хакеры играют главные роли или появляются в эпизодах, конечно, гораздо больше. А какие ваши любимые?
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18🔥7🥰3👾1
Ролевые ИИгры: как получить наиболее качественные ответы от ИИ
Исследователи из университета Мичигана выяснили, что назначение ролей при общении с большими языковыми моделями (LLM) увеличивает качество ответов на 20%.
Для этого они провели эксперименты со 162 ролями: 50 из них были межличностными (например: мать, друг, брат, знакомый, одноклассник), а 112 — профессиональными. Роли задавались ИИ тремя способами:
🟣 Роль назначалась самой модели — например, «Вы врач…»
🟣 Роль назначалась аудитории — «Вы разговариваете с пациентами…»
🟣 Запрос определял роли и спрашивающего, и отвечающего — «Вы со своим пациентом…»
Эксперименты проводились с тремя разными моделями. Эффективность и качество их ответов проверяли с помощью 2457 вопросов из популярного датасета MMLU (Massive Multitask Language Understanding).
Выводы учёных оказались крайне разнообразными. Например, ответы на запросы с межличностными ролями оказались в целом более качественными по сравнению с ответами на профессиональные запросы. При этом для межличностных ролей все три протестированные модели давали ответы одинакового качества, а вот для профессиональных ролей качество ответов отличалось от модели к модели.
Среди межличностных ролей наименее эффективными для всех моделей оказались романтические и семейные. При этом учёные выяснили, что лучше всего работают гендерно нейтральные формулировки запросов, то есть не «девушка» или «парень», а «партнёр» (конечно, здесь надо учитывать, что исследование проводилось на английском языке).
В работе учёных есть ещё масса интересных подробностей. А для практического применения на основании этого исследования мы выделили семь советов в статье в Telegraph👇
Исследователи из университета Мичигана выяснили, что назначение ролей при общении с большими языковыми моделями (LLM) увеличивает качество ответов на 20%.
Для этого они провели эксперименты со 162 ролями: 50 из них были межличностными (например: мать, друг, брат, знакомый, одноклассник), а 112 — профессиональными. Роли задавались ИИ тремя способами:
Эксперименты проводились с тремя разными моделями. Эффективность и качество их ответов проверяли с помощью 2457 вопросов из популярного датасета MMLU (Massive Multitask Language Understanding).
Выводы учёных оказались крайне разнообразными. Например, ответы на запросы с межличностными ролями оказались в целом более качественными по сравнению с ответами на профессиональные запросы. При этом для межличностных ролей все три протестированные модели давали ответы одинакового качества, а вот для профессиональных ролей качество ответов отличалось от модели к модели.
Среди межличностных ролей наименее эффективными для всех моделей оказались романтические и семейные. При этом учёные выяснили, что лучше всего работают гендерно нейтральные формулировки запросов, то есть не «девушка» или «парень», а «партнёр» (конечно, здесь надо учитывать, что исследование проводилось на английском языке).
В работе учёных есть ещё масса интересных подробностей. А для практического применения на основании этого исследования мы выделили семь советов в статье в Telegraph
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Ролевые ИИгры: как получить наиболее качественные ответы от ИИ
Исследователи из университета Мичигана выяснили, что назначение ролей при общении с большими языковыми моделями (LLM) увеличивает качество ответов на 20%. Для этого они провели эксперименты со 162 ролями: 50 из них были межличностными (например: мать, друг…
👍12🔥6❤3😁2💋1
Читать мысли человека при помощи чипа никто не может. Как минимум, пока. Но причины для волнения есть: истинные цели Neuralink не в том, чтобы управлять мессенджерами при помощи мысли.
CEO Future Crew Евгений Черешнев, живущий с биочипом с 2015 года, прокомментировал эксперимент Илона Маска:
Эксперименты и исследования в области создания эффективных интерфейсов ведутся уже много лет, но раньше это была больше наука, чем практика. Ещё 20-30 лет назад мы жили в другом мире — не были окружены умными устройствами настолько плотно. Сейчас умным, то есть подключенным к интернету, стремятся сделать всё — от камер наблюдения и парковок до кофеварок и детских игрушек. Разумеется, коммерческий и психологический эффект от успешного внедрения нейроинтерфейсов может быть просто гигантским.
Важно и то, что это не просто очередной эксперимент. Neuralink получила разрешение американского регулятора, FDA (Food and Drug Administration, «Управление еды и лекарств») на опыты с людьми. Причём вопреки тому, что смертность среди подопытных обезьян была очень высокой, что привело к расследованию в отношении компании. Но FDA всё равно пошла на риск, ибо это фундаментальная технология, критичная для цифрового общества нового уровня.
Тут сейчас работает принцип: кто первый встал, того и тапки. Cтрана, которая первой создаст эффективные нейроинтерфейсы, оттестирует их, наладит массовое безопасное внедрение и обслуживание, — потенциально в каком-то смысле создаст новую форму жизни. Появится человек, который в разы конкурентоспособнее всех остальных людей с девайсами, потому что действительно может напрямую взаимодействовать с ними, без клавиатур и прочих суррогатов.
Важный нюанс: данный чип помогает пока что только посылать команды на выход. Можно отправлять команды, но не получать их. Поэтому компьютер не может мгновенно научить человека, как управлять вертолётом, как это в Матрице показано. Это односторонняя связь: человек подаёт команду, но внедрить ему в мозг знания и идеи нельзя. Как минимум, пока.
О том, почему контролировать людей через чипы на данном этапе невозможно
РИА Новости
Эксперт оценил возможность контроля государств над людьми с помощью чипов
Государства не смогут контролировать людей с помощью нейрочипов, но это временно, таким мнением с РИА Новости поделился вице-президент МТС Евгений Черешнев. РИА Новости, 31.01.2024
🔥25❤12👍12😁2👎1💋1
Несколько историй за январь. Пока мы начинали новую жизнь с Нового года (или пытались начать) , в информационной безопасности происходило много интересного:
🟣 Одни специалисты работают над обучением больших языковых моделей, а другие думают, как заставить ИИ забывать часть информации. Рассказали об этом в посте про Гарри Поттера и глубокое разобучение.
🟣 Любите в свободное время пострелять в CS:GO или поиграть в другие многопользовательские игры? Наш пентестер Миша рассказал, как защитить аккаунт от кражи.
🟣 Об инновациях в информационной безопасности можно узнать из эфира AM Live. Наш эксперт Алексей Гришин, CPO CICADA8, обсудил вместе с коллегами из ведущих компаний России, с какими сложностями сталкиваются и стартапы, и корпорации при внедрении новых технологий.
🟣 О трендах в развитии умных ассистентов рассказал руководитель направления персональных ИИ-решений Future Crew Александр Сазонов.
🟣 Показали, как выглядит офис с посетителями в интеллектуальной системе контроля доступа Urbanpredator.
🟣 CEO Future Crew Евгений Черешнев прокомментировал новость том, что компания Илона Маска Neuralink успешно вживила нейрочип в мозг первому пациенту. Многие опасаются, что государства начнут контролировать людей через подобные чипы, но на данном этапе устройства могут посылать команды только на выход — помогают силой мысли открыть замок, отдать команду камере или беспилотному автомобилю.
🟣 Для тех, кто задумывается, какими могут быть сценарии развития технологий, — наш дайджест достойных внимания фильмов и сериалов об этом.
Впереди целых 29 дней февраля, но весна близко😔
Впереди целых 29 дней февраля, но весна близко
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍6👾2💋1
Как я у вас телегу угнал
Сколько всего связано с нашим аккаунтом в Telegram? Рабочие переписки, личный канал, интересные сохранёнки в Избранном. Пентестер CICADA8 Михаил Жмайло рассмотрел по шагам разные способы, которые используют злоумышленники, чтобы получить доступ к этим данным. Все подробности в статье в Telegraph, а здесь перечислим некоторые аспекты.
Sim Swapping👀
В ходе реализации этой атаки злоумышленники будут пытаться всеми правдами и неправдами попытаться узнать номер телефона, привязанный к вашему аккаунту в Telegram, а затем перевыпустить SIM-карту в салоне связи. В даркнете можно встретить услугу по перевыпуску SIM-карты, цена зависит от оператора связи и колеблется от 25 до 100 тысяч рублей за карту.
Криптовалютные транзакции🤵
Транзакция проходит не сразу же, а в несколько этапов. Продавец может увидеть, что деньги ему отправлены, передаст управление каналом, а злоумышленник отменит перевод. Как следствие, жертва останется и без канала, и без денег.
Кража сессионных файлов😱
У Telegram есть свои cookie-файлы, они находятся в папке tdata. Если злоумышленник установит на ваше устройство вредоносное ПО, то сможет скопировать содержимое этой папки на свой компьютер, что позволит ему зайти в ваш аккаунт. В таком случае никакая 2FA не спасёт.
Подробнее об этих и других способах читайте в статье.
Сколько всего связано с нашим аккаунтом в Telegram? Рабочие переписки, личный канал, интересные сохранёнки в Избранном. Пентестер CICADA8 Михаил Жмайло рассмотрел по шагам разные способы, которые используют злоумышленники, чтобы получить доступ к этим данным. Все подробности в статье в Telegraph, а здесь перечислим некоторые аспекты.
Sim Swapping
В ходе реализации этой атаки злоумышленники будут пытаться всеми правдами и неправдами попытаться узнать номер телефона, привязанный к вашему аккаунту в Telegram, а затем перевыпустить SIM-карту в салоне связи. В даркнете можно встретить услугу по перевыпуску SIM-карты, цена зависит от оператора связи и колеблется от 25 до 100 тысяч рублей за карту.
Криптовалютные транзакции
Транзакция проходит не сразу же, а в несколько этапов. Продавец может увидеть, что деньги ему отправлены, передаст управление каналом, а злоумышленник отменит перевод. Как следствие, жертва останется и без канала, и без денег.
Кража сессионных файлов
У Telegram есть свои cookie-файлы, они находятся в папке tdata. Если злоумышленник установит на ваше устройство вредоносное ПО, то сможет скопировать содержимое этой папки на свой компьютер, что позволит ему зайти в ваш аккаунт. В таком случае никакая 2FA не спасёт.
Подробнее об этих и других способах читайте в статье.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Как я у вас телегу угнал
Telegram считается одним из самых популярных мессенджеров в России. Сколько всего связано с нашим аккаунтом? Рабочие переписки, личный телеграм-канальчик, интересные «сохраненки» в Избранном. Как злоумышленники могут украсть ваш телеграм аккаунт для получения…
🔥16⚡6👍6👾2💋1
Chameleon, банковский троян для Android, отключает вход по отпечатку пальца и ворует ПИН
Исследователи обнаружили новую версию банковского трояна Chameleon, который заражает Android-устройства. Для распространения этого трояна используется даркнет-платформа Zombinder, которая помогает создателям вредоносного ПО «прицеплять» их к легитимным приложениям. В случае Chameleon в роли такого приложения выступает браузер Google Chrome.
Chameleon использует функцию Android «Специальные возможности» (Accessibility), которая позволяет ему становиться посредником между пользователем и приложениями: отслеживать действия в системе, нажимать кнопки, менять настройки, перехватывать и вводить данные в полях ввода и т.д.
Чтобы получить доступ к «Специальным возможностям», при установке Chameleon показывает жертве подробную инструкцию, как же ими его наделить. Интересно, что создатели также учли появившуюся в Android 13 защиту от подобных действий — «Настройки с ограниченным доступом» (Restricted settings). Они препятствуют доступу приложений, загруженных не из магазина, к Accessibility. Поэтому для Android версий 13 или 14 троян выводит более подробную инструкцию, которая объясняет, как обойти ограничения.
Одна из самых интересных особенностей Chameleon: с помощью «Специальных возможностей» троян отключает разблокировку смартфона отпечатком пальца или лицом. Вместо биометрии, которую он не может перехватывать, он включает разблокировку экрана ПИН-кодом или паролем, перехватывает их, и получает возможность совершать в системе любые действия.
Эту возможность Chameleon использует, чтобы воровать деньги, притворяясь налоговыми органами, банками и криптобиржами. Он умеет перекрывать экраны соответствующих приложений поддельными, собирать введенные данные, воровать куки-файлы и перехватывать SMS.
Как защититься? Всё как обычно:
🔘 Не устанавливайте приложения из опасных источников.
🔘 Не давайте им разрешение на доступ к «Специальным возможностям».
🔘 Если всё же устанавливаете — сначала поверьте приложение антивирусом.
Исследователи обнаружили новую версию банковского трояна Chameleon, который заражает Android-устройства. Для распространения этого трояна используется даркнет-платформа Zombinder, которая помогает создателям вредоносного ПО «прицеплять» их к легитимным приложениям. В случае Chameleon в роли такого приложения выступает браузер Google Chrome.
Chameleon использует функцию Android «Специальные возможности» (Accessibility), которая позволяет ему становиться посредником между пользователем и приложениями: отслеживать действия в системе, нажимать кнопки, менять настройки, перехватывать и вводить данные в полях ввода и т.д.
Чтобы получить доступ к «Специальным возможностям», при установке Chameleon показывает жертве подробную инструкцию, как же ими его наделить. Интересно, что создатели также учли появившуюся в Android 13 защиту от подобных действий — «Настройки с ограниченным доступом» (Restricted settings). Они препятствуют доступу приложений, загруженных не из магазина, к Accessibility. Поэтому для Android версий 13 или 14 троян выводит более подробную инструкцию, которая объясняет, как обойти ограничения.
Одна из самых интересных особенностей Chameleon: с помощью «Специальных возможностей» троян отключает разблокировку смартфона отпечатком пальца или лицом. Вместо биометрии, которую он не может перехватывать, он включает разблокировку экрана ПИН-кодом или паролем, перехватывает их, и получает возможность совершать в системе любые действия.
Эту возможность Chameleon использует, чтобы воровать деньги, притворяясь налоговыми органами, банками и криптобиржами. Он умеет перекрывать экраны соответствующих приложений поддельными, собирать введенные данные, воровать куки-файлы и перехватывать SMS.
Как защититься? Всё как обычно:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13👀9❤2🔥2👌2💋1
Что такое ключи доступа (passkeys) и пора ли на них переходить
В одном из предыдущих постов мы упоминали passkeys. Поговорим подробнее о том, для чего они нужны.
Passkey — это технология, разработанная FIDO Alliance. Организация занимается созданием новых стандартов аутентификации, призванных заменить пароли. Passkeys ближе всего подобрались к выполнению этой миссии, поэтому их часто называют «убийцами паролей». Единого перевода на русский у термина нет: Google и Microsoft называют их «ключами доступа», а Apple — «ключами входа».
Passkeys действительно полностью заменяют пароли и объединяют в себе сразу два фактора аутентификации. Первый — это криптографический ключ, который хранится на одном из ваших устройств и используется для подтверждения входа в аккаунт. Вторым фактором, как правило, служит биометрия — с помощью неё пользователь подтверждает, что программе следует дать доступ к ключу.
За счёт использования криптографии с открытым ключом исключается возможность перехвата данных, которые позволили бы войти в аккаунт без ведома его владельца. Технология максимально проста в использовании — для аутентификации достаточно приложить палец к датчику или посмотреть в камеру. Получается удобный способ аутентификации в облачном сервисе с помощью биометрии.
Другое важное преимущество ключей доступа в том, что об их поддержке уже договорились три крупнейших технологических гиганта — Apple, Google и Microsoft. Так что поддержка passkeys уже реализована в Windows, macOS, Android и iOS. Более того, в Google уже даже начали кампанию по переводу пользователей на ключи доступа в качестве основного способа входа в аккаунт.
Однако пока у технологии есть существенный недостаток: иногда аутентификация с помощью ключей доступа может «проваливаться в щели» между инфраструктурами разных компаний. Поэтому, хотя можно попробовать passkeys, полностью отказаться от паролей пока не получится. При этом стоит использовать ещё какой-нибудь вариант 2FA, например, коды из приложения-аутентификатора.
#2FA
В одном из предыдущих постов мы упоминали passkeys. Поговорим подробнее о том, для чего они нужны.
Passkey — это технология, разработанная FIDO Alliance. Организация занимается созданием новых стандартов аутентификации, призванных заменить пароли. Passkeys ближе всего подобрались к выполнению этой миссии, поэтому их часто называют «убийцами паролей». Единого перевода на русский у термина нет: Google и Microsoft называют их «ключами доступа», а Apple — «ключами входа».
Passkeys действительно полностью заменяют пароли и объединяют в себе сразу два фактора аутентификации. Первый — это криптографический ключ, который хранится на одном из ваших устройств и используется для подтверждения входа в аккаунт. Вторым фактором, как правило, служит биометрия — с помощью неё пользователь подтверждает, что программе следует дать доступ к ключу.
За счёт использования криптографии с открытым ключом исключается возможность перехвата данных, которые позволили бы войти в аккаунт без ведома его владельца. Технология максимально проста в использовании — для аутентификации достаточно приложить палец к датчику или посмотреть в камеру. Получается удобный способ аутентификации в облачном сервисе с помощью биометрии.
Другое важное преимущество ключей доступа в том, что об их поддержке уже договорились три крупнейших технологических гиганта — Apple, Google и Microsoft. Так что поддержка passkeys уже реализована в Windows, macOS, Android и iOS. Более того, в Google уже даже начали кампанию по переводу пользователей на ключи доступа в качестве основного способа входа в аккаунт.
Однако пока у технологии есть существенный недостаток: иногда аутентификация с помощью ключей доступа может «проваливаться в щели» между инфраструктурами разных компаний. Поэтому, хотя можно попробовать passkeys, полностью отказаться от паролей пока не получится. При этом стоит использовать ещё какой-нибудь вариант 2FA, например, коды из приложения-аутентификатора.
#2FA
👍10🔥6👌4❤3💋1