Архив метки: Госуслуги

Что я думаю про отзывы сертификатов GlobalSign, Let's Encrypt и прочих

Что я думаю про отзывы сертификатов GlobalSign, Let's Encrypt и прочих. Вполне ожидаемо, что западные УЦ выполняют указания по первому сигналу своих регуляторов. Почему они так раньше не делали? Видимо наверху пошёл какой-то торг, в рамках которого нам решили наглядно продемонстрировать, что Рунет остаётся зависим от западной инфраструктуры и создать проблемы можно по щелчку пальцев. Как и в случае с Apple: дали сигнал удалить национальный мессенджер из App Store и они тут же его выполнили. Демонстрация зависимости.

Казалось бы, почему бы для сайтов не использовать сертификаты, выпущенные отечественными УЦ (в том числе через Госуслуги)? Но тогда пользователям, которые чуть менее чем все сидят на вражеских ОС и браузерах, будет необходимо совершать некоторые телодвижения (какие именно хорошо расписано на сайте Т‑Банк). А никто ведь не хочет, чтобы пользователю было неудобно. Все хотят, чтобы их сайт/приложеньки по дефолту работали на любых устройствах, даже вражеских. 😏 И даже прежде всего вражеских, т.к. у физиков на руках ничего другого фактически и нет. 🤷‍♂️ Вот и устраивают компании судорожные поиски западных УЦ (типа греческой HARICA), которые согласны будут выдать им сертификат. Очевидно, чем дальше, тем сложнее это будет делать, т.к. западные УЦ под вторичные санкции подставляться не захотят.

Имхо, решение этой проблемы возможно только на стороне конечного пользователя. Среди прочего, необходимо из каждого утюга транслировать тот простой факт, что устройства, ОС, браузеры могут быть откровенно вражескими и пользоваться ими в текущих геополитических условиях, во-первых, максимально нерукопожатно, а во-вторых, непрактично, т.к. их работоспособность в России никто не гарантирует. И тут не только про проверку сертификатов и наличие приложений в сторе. Ничего не мешает Apple, Google, Microsoft как угодно деградировать функциональность контролируемых устройств, а то и полностью брикнуть их. В этой полной зависимости корень зла. Если продолжать толерантно относиться к эплофилии и месседжам в духе "нам этого всего не надо, верните как было" по Первому каналу, проблема будет только усугубляться.

Получил сегодня статус "A+" в Telegram и завёл публичный MAX-канал avleonovrus "Управление Уязвимостями и прочее"

Добавить комментарий

Получил сегодня статус "A+" в Telegram и завёл публичный MAX-канал avleonovrus "Управление Уязвимостями и прочее". Аудитория моего Telegram-канала превысила отметку в 10 000 человек 8 февраля. В тот же день, в соответствии с требованиями РКН, я подал заявление на регистрацию канала через Госуслуги. 🫡

🔹 Процесс подачи заявления прост: вводишь название и ссылку на канал, подтверждаешь контактные данные (номер телефона и e-mail) и отправляешь заявление. Номер заявления добавляешь в описание канала.

🔹 Для получения статуса "A+" нужно добавить @Trustchannelbot в админы канала (ТОЛЬКО с правами "Add members") и указать ему номер заявления о регистрации в РКН.

И ждать… ⏳

Сегодня, через 10 дней, пришло подтверждение регистрации. Я получил статус "A+" и возможность зарегать ПУБЛИЧНЫЙ канал в Макс с тем же id avleonovrus, что я в пару кликов и сделал. 🥳🎉 Я буду развивать этот MAX-канал в приоритетном порядке и приглашаю вас на него подписаться. 😉

Наталья Касперская в своём канале подвела итоги опроса об электронных госуслугах

Добавить комментарий

Наталья Касперская в своём канале подвела итоги опроса об электронных госуслугах. Вопрос был сформулирован так: "Считаете ли вы, что нужно расширять предоставление госуслуг в электронном виде?"

🔹 54% ответили, что электронные госуслуги вообще не нужны, когда есть МФЦ.
🔹 Ещё 36% ответили, что текущих электронных госуслуг достаточно.

Проголосовал 8701 человек.

Как по мне, электронные госуслуги в принципе нужны. Не у всех есть возможность дойти до МФЦ. И не во всех регионах МФЦ такие шикарные, как в Москве.

НО услуги услугам рознь. Одно дело - получить выписку из ЕГРН или подать анкету на загранпаспорт. 👌 И совсем другое - выпуск электронной подписи, оформление кредитов и операции с недвижимостью. 😱 А сейчас опасные электронные госуслуги доступны по умолчанию всем.

➡️ Следовало бы проводить оценку потенциальной опасности электронных госуслуг и вводить для опасных строгие меры защиты и верификации, чтобы злоумышленникам не было смысла перехватывать доступ к госуслугам жертв.

Продолжая тему предыдущего поста, больше всего в современной цифровизации меня подбешивает навязывание мобильных приложений, которые дают неадекватно широкий доступ к критичным операциям, в первую очередь к финансовым и государственным услугам

Добавить комментарий

Продолжая тему предыдущего поста, больше всего в современной цифровизации меня подбешивает навязывание мобильных приложений, которые дают неадекватно широкий доступ к критичным операциям, в первую очередь к финансовым и государственным услугам.

Немного утрированно это выглядит так:

"А давай мы поставим тебе приложуху, чтобы ты мог в 2 тапа и без адекватной 2FA вывести свои накопления за 20 лет в неизвестном направлении, а затем набрать кредитов и микрокредитов и тоже их вывести. Тебе же это нужно прям 24/7/365! Или вот захочешь ты в 3 часа ночи свою квартиру продать - раз-два, и готово!"

Причём с банками понятно - им выгодно, чтобы я делал больше операций и тратил через них больше денег. Но когда речь идёт о государственных приложениях - они-то зачем упрощают доступ к опасным операциям с недоверенных устройств и облегчают жизнь злодеям?! 🤔

Уверен, что местные безопасники понимают, что всё это странная дичь, но решение по фичам приложений принимают не они.

Меня беспокоит не столько принуждение к доставке одноразовых кодов для Госуслуг через MAX, сколько продвижение мобильных приложений на смартфоне как основного, безопасного и прогрессивного способа получения доступа к Госуслугам

Добавить комментарий

Меня беспокоит не столько принуждение к доставке одноразовых кодов для Госуслуг через MAX, сколько продвижение мобильных приложений на смартфоне как основного, безопасного и прогрессивного способа получения доступа к Госуслугам. 🙄 Хотя здесь есть вполне очевидные проблемы с 2FA:

🟢 Если вы заходите с паролем от Госуслуг на одном устройстве (десктопе), а код получаете на другое устройство (по SMS, через мессенджер только на это устройство, OTP-приложение - не суть), это нормальная двухфакторка. 👍 Злоумышленнику нужно скомпрометировать сразу 2 разных устройства, это сложно и дорого.

🔴 Но если вы заходите с паролем в приложение Госуслуг на смартфоне и код получаете на тот же смартфон (см. выше как), то второго фактора у вас нет. 🤷‍♂️ Если злоумышленник скомпрометирует смартфон, он получит полный доступ к Госуслугам и натворит бед. А смартфоны в массе своей уже скомпрометированы. Ещё и сессия длится аж 6 месяцев! 😱

Эти риски почему-то игнорируются. 🤷‍♂️

Прожектор по ИБ, выпуск №14 (02.12.2023): 5000 р компенсации за утечку ПД и легализация белых шляп

Добавить комментарий

Прожектор по ИБ, выпуск №14 (02.12.2023): 5000 р компенсации за утечку ПД и легализация белых шляп

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Смотрим статистику по прошлому эпизоду
03:26 Максим сходил на Технологии SOC
05:45 Финансирование государственных ИБ систем
08:52 Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)
11:59 Уязвимость Chrome в распространенной библиотеке Skia (CVE-2023-6345).
15:25 «Яндекс.Еда» заплатит по 5 тысяч рублей двум пострадавшим от утечки данных
19:00 Персональный заход: аферисты обновили схему для доступа к аккаунтам на «Госуслугах»
20:44 Легализации «белых» хакеров
23:22 Прощание от Mr.X

Прожектор по ИБ, выпуск №9 (30.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №9 (30.10.2023). С небольшим опозданием записали очередной эпизод. В этот раз в основном были новости про актуальные уязвимости. Но, как мне показалось, интереснее были побочные обсуждения: про балансировщики, национальный Anti-DDoS, опасность утекших учёток от Госуслуг и лучший вариант для второго фактора.

Мы это:

00:00 Здороваемся и смотрим статистику по просмотрам. Прошлый выпуск посмотрело больше 100 человек - нормально
01:26 Обсуждаем мемный ролик про Privilege Escalation в Cisco IOS XE (CVE-2023-20198), 30к поломанных устройств и смену импланта, чтобы затруднить детектирование
05:47 iPhone три года сливали MAC-адрес из-за дефектной функции приватности. Насколько вообще опасно, что MAC вашего устройства узнают?
10:12 Про уязвимости "Citrix Bleed" NetScaler ADC/Citrix ADC, NetScaler Gateway (CVE-2023-4966) и актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051). Насколько в России популярны NetScaler ADC и Aria Operations? Лев интересно рассказывает про NGINX и про балансировщики, в том числе отечественные.
14:26 Читаем блог Алексея Лукацкого из 2013 года: Кто захватит мировой рынок кибербезопасности к 2023 году? Мэтр всё предсказал!
17:21 В России создают суперантивирус с динамическим анализом трафика с оригинальным названием "Мультисканер". Здесь же обсудили и национальный Anti-DDoS.
21:55 Компания Miercom выпустила отчёт "Конкурентная Оценка Управления Уязвимостями" - сканеры детектируют не все существующие уязвимости
24:36 Vulners представили AI Score v2 - предсказание CVSS Base Score
28:28 Доступ к "Госуслугам" станет возможен только по двухэтапной аутентификации. Обсудили как злоумышленники могут взять на вас микрокредит или продать вашу квартиру через госуслуги и какой второй фактор самый лучший.
37:17 Мем недели - кресло для безопасника в каждом номере отеля
39:38 Прощание от Mr. X