Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
0 просмотренных постов скрыто
25

В России будет создана единая система хранения биометрических данных граждан

Как сообщает РБК, Минкомсвязь утвердила концепцию и «дорожную карту» по созданию в России Единой биометрической системы. Система начнёт работать в 2018 году. Разработчиком, а в дальнейшем и поставщиком системы является "Ростелеком".


В системе будут храниться лица и голоса граждан. Применяться система будет для идентификации клиентов банков. Как сообщил РБК Иван Беров, директор проектного офиса по цифровой идентичности «Ростелекома», предполагается, что биометрическая идентификация по лицу и голосу повысит надёжность операций и позволит получать банковские услуги дистанционно.


Данные в систему будут вносится на основании письменного разрешения субъекта персональных данных. Для этого необходимо будет посетить банк, написать разрешением на обработку биометрических данных и предоставить информацию о себе. В будущем банки, в которых у клиента нет счёта, смогут проводить первичную идентификацию на основе данных Единой биометрической системы и Единой системы идентификации и аутентификации, которая используется на «Госуслугах», рассчитывают создатели проекта.


Как рассказал Берова, верификация пользователей в системе будет выполняться пои голосу м изображению лица. Необходимо будет заранее тзаписать онлайн-видео, произнеся перед камерой требуемую системой фразу. «Выбор способа идентификации определялся исходя из множества факторов, в том числе простотой и массовой доступностью, стоимостью необходимого оборудования, сложностью и безопасностью самого процесса. При этом было выбрано два параметра, чтобы было понятно, что перед вами живой человек, а не фото, видео- или аудиозапись», — пояснил он.


По словам Берова, «Ростелеком» уженачал выбирать субподрядчиков для разработки системы. Опробация системы будет проходить в два этапа: технологическое тестирование и сценарное (проверка на людях). Испытания продлятся до конца 2017 года, а в 2018 году, при готовности нормативной базы и всех участников системы, система будет запущена. Список банков-участников поручено сформировать Центробанку.


В дальнейшем планируется применять систему в МФЦ, Удостоверяющих центрах и отделениях Министерства внутренних дел, которые выдают паспорта, а также в учреждениях сфер образования, медицины и ритейла.

Показать полностью
Биометрия Ростелеком Банк Очередной реестр Аутентификация Минкомсвязь Текст
22
21

StringBleed – обход SNMP-аутентификации в маршрутизаторах различных производителей

Проблема затрагивает устройства SOHO-класса и позволяет заполучить полный доступ к уязвимым девайсам.

Исследователи описали уязвимость отсутствия SNMP-аутентификации на ряде маршрутизаторов SOHO-класса. И, конечно же, она получила свое имя – StringBleed. Речь идет об отсутствии проверки пароля в реализации аутентификации по протоколам SNMPv1 и SNMPv2, когда устройство принимает в качестве community-пароля любую строку из цифр или букв, и возвращает значение запрашиваемого OID. При этом, данные можно как считать, так и записать.

Пример эксплуатации:

#snmpwalk -v 1 -c ForSecLab <IP-адрес>
iso.3.6.1.2.1.1.1.0 = STRING: "Thomson CableHome Gateway
<<HW_REV: 2.1; VENDOR: Thomson; BOOTR: 2.1.7i;

Исследователи утверждают, что брешь распространяется на различные устройства. Согласно публикациям на GitHub и Reddit, проблеме подвержены CISCO DPC3928SL, Thomson CableHome Gateway.


Shodan насчитал 250162 уязвимых устройства, поэтому проблема кажется действительно серьезной.


Сегодня на GitHub появился «инструмент» для обхода аутентификации, и назвали его PasteBleed. Работает он примерно так:

StringBleed – обход SNMP-аутентификации в маршрутизаторах различных производителей Уязвимость, Роутер, Аутентификация, Безопасность

Рекомендуем проверить доступность своих маршрутизаторов по порту 161/UDP извне, а также не запускать непроверенные PoC-коды на своих системах.

Показать полностью 1
Уязвимость Роутер Аутентификация Безопасность
5

Двухэтапная аутентификация и uplay

в общем столкнулся с проблемой входа в uplay акк есть приложения googl authenticator коды из которого он и требует при вводе кодов в uрlay пишет что не правильный код помогите решить проблему
[моё] Uplay Аутентификация Текст
25
103

Для обхода биометрической аутентификации нужно VR-устройство и фотографии с Facebook

Исследователи из университета Северной Каролины в Чапел-Хилл в очередной раз доказывают, что современные биометрические системы по-прежнему далеко от совершенства. На конференции USENIX Security Symposium группа представила доклад (PDF), посвященный обману систем распознавания лиц посредством устройства виртуальной реальности и обыкновенных фотографий из социальных сетей.
Для обхода биометрической аутентификации нужно VR-устройство и фотографии с Facebook Обход, Биометрия, Аутентификация, Фото, Facebook, Доклад, Безопасность, Длиннопост

Системы аутентификации, базирующиеся на распознавании лица, обрели популярность еще в 2000-х, и довольно долго их можно было обмануть при помощи обычного фото, поднесенного к камере. Современное распознавание лиц работает гораздо сложнее: теперь такие системы тщательно проверяют текстуру кожи, просят пользователя подвигаться и убеждаются, что перед ними живой человек, для чего тот должен, например, моргнуть или улыбнуться.


Тем не менее, обмануть биометрию по-прежнему возможно, о чем и повествует объемный доклад группы вышеупомянутых ученых. Вместе с добровольцами исследователи провели следующий опыт: волонтеров тщательно сфотографировали в студийных условиях с правильным освещением, а также нашли в интернете (то есть во всевозможных социальных сетях) их публично доступные фотографии. Затем данные изображения были использованы для создания трехмерных моделей голов добровольцев. Исследователи применили к полученным моделям текстуру кожи (и не только) и поработали над анимацией полученных лиц. Затем результат предъявили ПО для распознавания лиц, для чего была использована связка из кастомного софта для 3D-рендеринга и смартфона Nexus 5X, отображавшего на экране виртуального «пользователя». Исследователи подчеркивают, что им не понадобилось никакого дополнительно «железа», так как в современном мире с подобным трюком справляется почти любой смартфон.

Для обхода биометрической аутентификации нужно VR-устройство и фотографии с Facebook Обход, Биометрия, Аутентификация, Фото, Facebook, Доклад, Безопасность, Длиннопост
Результаты эксперимента превзошли все ожидания. Полученную схему испытали на пяти приложениях, использующих распознавание лиц: 1U App, BioID, KeyLemon, Mobius и True Key. Модели голов, созданные на базе студийных фотографий, обманули все пять приложений в ста процентах случаев. Модели, созданные на основе фото из социальных сетей, вполне ожидаемо, проявили себя хуже, здесь процент успеха варьировался от 14% до 85%. Дело в том, что исходное качество фотографий из социальных медиа в среднем было хуже качества студийных HD-фото, что не могло не сказаться на моделях.
Для обхода биометрической аутентификации нужно VR-устройство и фотографии с Facebook Обход, Биометрия, Аутентификация, Фото, Facebook, Доклад, Безопасность, Длиннопост

Хотя таблица выше взята из самого доклада, исследователи объясняют, что низкий процент распознаваний в приложениях 1U App и BioID был обусловлен тем, что у данных систем в принципе имеются трудности с распознаванием лиц пользователей, если окружение хоть как-то меняется. На самом деле, в случае моделей, основанных на студийных фото, процент удачных срабатываний составил 50% для BioID и 96% для 1U App, а фотографии из социальных сетей и менее качественные модели лиц, были распознаны в 14% и 48% случаев, соответственно.

«Мы полагаем, что разработчики систем распознавания лиц отталкивались от модели ситуации, в которой технические навыки атакующих ограничены, а также они не имеют доступа к недорогим материалам. К сожалению, VR в наши дни становится повсеместной нормой, эти технологии дешевы и просты в использовании. Более того, VR-вируализации выглядят невероятно убедительно, так что создать реалистичное 3D-окружение, которое будет использовано для обмана систем безопасности, становится все проще и проще», — пишут исследователи.

В заключение доклада исследователи пишут, что системы безопасности бесспорно не должны полагаться только лишь на изображение, получаемое с камер(ы). Помимо визуальной составляющей надежная система распознавания лиц должна также проверять и другие параметры, к примеру, обладать IR-сенсорами и создавать карту температуры кожи.

Источник...

Показать полностью 2
Обход Биометрия Аутентификация Фото Facebook Доклад Безопасность Длиннопост
2
21

Государство объявило войну анонимности в интернете. Бред или реальность?

Онлайн-СМИ подключат к Единой системе идентификации и аутентификации пользователей (ЕСИА)

Государство объявило войну анонимности в интернете. Бред или реальность? Идентификация, Аутентификация, Длиннопост, Текст, Фотография, Есиа, Госуслуги, Анонимность, Институт развития интернета, Рунет

Институт развития интернета (ИРИ, председатель правления — Герман Клименко) разработал черновик «дорожной карты» по оптимизации работы СМИ и социальных сетей в интернете. Черновик планируют представить на рассмотрение Путину, а после майских праздников — обсудить в Госдуме.



Главная суть реформы — установить единый, надёжный механизм идентификации и аутентификации пользователей интернета через портал госуслуг и соцсети. В настоящее время идентификация происходит различными способами, так что личность пользователя не всегда удаётся установить. Это порождает массу проблем, в том числе анонимные комментарии на сайтах.


В ЕСИА сейчас зарегистрированы 26 млн россиян. Большая часть идентифицирована по паспорту. Подтвердить свою личность в ЕСИА граждане могут в более чем 13 тыс. точек по всей стране.


Надёжная идентификация позволит, в частности, снять с онлайн-СМИ ответственность за комментарии к статьям. Вместо редакции теперь наказание за нарушение будут нести сами комментаторы.


Хитрость плана в том, что редакции онлайн-СМИ и администраторы сайтов могут внедрять механизм идентификации пользователей через ЕСИА добровольно. Если они не сделают это добровольно, то сами понесут уголовную ответственность за анонимные комментарии.


«Мы хотим дать возможность читателям СМИ авторизоваться через любые соцсети или портал госуслуг, — пояснил автор инициативы, глава центра компетенции «Интернет плюс медиа» ИРИ Александр Михеев. — Это касается только комментариев и должно быть на добровольной основе для СМИ».


Для внедрения системы придётся внести ряд изменений в законодательство, в том числе пересмотреть постановление пленума Верховного суда 2010 года, по которому зарегистрированные интернет-СМИ несут ответственность за комментарии читателей на форуме.


«Мы должны идти к тому, чтобы верификация пользователей была повсеместной, — сказал замглавы комитета Госдумы по информполитике Вадим Деньгин. — В повседневной жизни есть паспорт, и человек показывает его почти везде, и в интернете должно быть так же. Тут нечего бояться. Это правильный шаг».


https://geektimes.ru/post/275370/

Показать полностью 1
Идентификация Аутентификация Длиннопост Текст Фотография Есиа Госуслуги Анонимность Институт развития интернета Рунет
54

MICROSOFT ВЫПЛАТИЛА ИССЛЕДОВАТЕЛЮ $13 000 ЗА БАГ В СИСТЕМЕ АУТЕНТИФИКАЦИИ

Британский исследователь Джек Уиттон (Jack Whitton) в очередной раз сорвал большой куш. В 2013 году он уже получал от Facebook $20 000 за обнаружение уязвимости в системе SMS-оповещений. Теперь Уиттон обнаружил в продукции Microsoft дыру, из-за которой в опасности оказались аккаунты пользователей Outlook, Azure и Office. За этот баг в системе аутентификации компания заплатила Уиттону $13 000.


Интересно, что проблема, которую заметил Уиттон, очень похожа на уязвимость в механизме аутентификации Live.com. О данной бреши в октябре 2015 года сообщил сотрудник компании Synack Уэсли Вайнберг (Wesley Wineberg), и эта находка принесла ему $24 000. Однако баг Вайнберга затрагивал только механизм Microsoft OAuth, тогда как уязвимость Уиттона распространяется на всю систему аутентификации в целом.

MICROSOFT ВЫПЛАТИЛА ИССЛЕДОВАТЕЛЮ $13 000 ЗА БАГ В СИСТЕМЕ АУТЕНТИФИКАЦИИ Награда, Длиннопост, Дыра, Хакеры, Безопасность, Аутентификация, Офис, Outlook

Чтобы пользоваться сервисами Outlook, Azure или Office, нужно иметь аккаунт на login.live.com, login.windows.net или login.microsoftonline.com. Если пользователь заходит на страницу outlook.office.com, он будет перенаправлен на login.microsoftonline.com, и запрос будет содержать параметр «wreply», который указывает, на какой именно домен нужно было попасть пользователю.

Если пользователь уже залогинен, то POST-запрос вернется к тому домену, который значится в «wreply», и будет содержать токен-логин этого пользователя. Сервис, в котором нужно авторизоваться пользователю, обработает данный токен, и пользователь войдет в систему.

Согласно сообщению Уиттона, URL, которые Microsoft использует для аутентификации, уязвимы перед атаками Cross-Site Request Forgery (CSRF). В итоге атакующий может перенаправить логин-токен пользователя на собственный сервер, а затем с его помощью получить доступ к аккаунту жертвы.

Уиттон поясняет, что токен от Outlook не подойдет для Azure. Однако исследователь считает, что атакующему не составило бы труда создать ряд вредоносных iframes, каждый из которых содержал бы URL для разных сервисов. Таким образом злоумышленник мог бы собрать разные токены.


Специалисты Microsoft устранили данную проблему два дня назад, а Уиттону выплатили $13 000 по программе bug bounty.

MICROSOFT ВЫПЛАТИЛА ИССЛЕДОВАТЕЛЮ $13 000 ЗА БАГ В СИСТЕМЕ АУТЕНТИФИКАЦИИ Награда, Длиннопост, Дыра, Хакеры, Безопасность, Аутентификация, Офис, Outlook

Материалы:

Награда Джеку Уиттону от Facebook $20 000 http://www.bbc.co.uk/news/technology-23097404

Уиттон обнаружил в продукции Microsoft дыру https://whitton.xyz/articles/obtaining-tokens-outlook-office...

Уязвимость в механизме аутентификации Уэсли Вайнберг https://www.synack.com/labs/blog/how-i-hacked-hotmail/

Пруф https://xakep.ru/2016/04/06/microsoft-auth-csrf/

Показать полностью 2
Награда Длиннопост Дыра Хакеры Безопасность Аутентификация Офис Outlook
3
Посты не найдены