Архив метки: Госуслуги

Наталья Касперская в своём канале подвела итоги опроса об электронных госуслугах

Добавить комментарий

Наталья Касперская в своём канале подвела итоги опроса об электронных госуслугах

Наталья Касперская в своём канале подвела итоги опроса об электронных госуслугах. Вопрос был сформулирован так: "Считаете ли вы, что нужно расширять предоставление госуслуг в электронном виде?"

🔹 54% ответили, что электронные госуслуги вообще не нужны, когда есть МФЦ.
🔹 Ещё 36% ответили, что текущих электронных госуслуг достаточно.

Проголосовал 8701 человек.

Как по мне, электронные госуслуги в принципе нужны. Не у всех есть возможность дойти до МФЦ. И не во всех регионах МФЦ такие шикарные, как в Москве.

НО услуги услугам рознь. Одно дело - получить выписку из ЕГРН или подать анкету на загранпаспорт. 👌 И совсем другое - выпуск электронной подписи, оформление кредитов и операции с недвижимостью. 😱 А сейчас опасные электронные госуслуги доступны по умолчанию всем.

➡️ Следовало бы проводить оценку потенциальной опасности электронных госуслуг и вводить для опасных строгие меры защиты и верификации, чтобы злоумышленникам не было смысла перехватывать доступ к госуслугам жертв.

Продолжая тему предыдущего поста, больше всего в современной цифровизации меня подбешивает навязывание мобильных приложений, которые дают неадекватно широкий доступ к критичным операциям, в первую очередь к финансовым и государственным услугам

Добавить комментарий

Продолжая тему предыдущего поста, больше всего в современной цифровизации меня подбешивает навязывание мобильных приложений, которые дают неадекватно широкий доступ к критичным операциям, в первую очередь к финансовым и государственным услугам

Продолжая тему предыдущего поста, больше всего в современной цифровизации меня подбешивает навязывание мобильных приложений, которые дают неадекватно широкий доступ к критичным операциям, в первую очередь к финансовым и государственным услугам.

Немного утрированно это выглядит так:

"А давай мы поставим тебе приложуху, чтобы ты мог в 2 тапа и без адекватной 2FA вывести свои накопления за 20 лет в неизвестном направлении, а затем набрать кредитов и микрокредитов и тоже их вывести. Тебе же это нужно прям 24/7/365! Или вот захочешь ты в 3 часа ночи свою квартиру продать - раз-два, и готово!"

Причём с банками понятно - им выгодно, чтобы я делал больше операций и тратил через них больше денег. Но когда речь идёт о государственных приложениях - они-то зачем упрощают доступ к опасным операциям с недоверенных устройств и облегчают жизнь злодеям?! 🤔

Уверен, что местные безопасники понимают, что всё это странная дичь, но решение по фичам приложений принимают не они.

Меня беспокоит не столько принуждение к доставке одноразовых кодов для Госуслуг через MAX, сколько продвижение мобильных приложений на смартфоне как основного, безопасного и прогрессивного способа получения доступа к Госуслугам

Добавить комментарий

Меня беспокоит не столько принуждение к доставке одноразовых кодов для Госуслуг через MAX, сколько продвижение мобильных приложений на смартфоне как основного, безопасного и прогрессивного способа получения доступа к Госуслугам

Меня беспокоит не столько принуждение к доставке одноразовых кодов для Госуслуг через MAX, сколько продвижение мобильных приложений на смартфоне как основного, безопасного и прогрессивного способа получения доступа к Госуслугам. 🙄 Хотя здесь есть вполне очевидные проблемы с 2FA:

🟢 Если вы заходите с паролем от Госуслуг на одном устройстве (десктопе), а код получаете на другое устройство (по SMS, через мессенджер только на это устройство, OTP-приложение - не суть), это нормальная двухфакторка. 👍 Злоумышленнику нужно скомпрометировать сразу 2 разных устройства, это сложно и дорого.

🔴 Но если вы заходите с паролем в приложение Госуслуг на смартфоне и код получаете на тот же смартфон (см. выше как), то второго фактора у вас нет. 🤷‍♂️ Если злоумышленник скомпрометирует смартфон, он получит полный доступ к Госуслугам и натворит бед. А смартфоны в массе своей уже скомпрометированы. Ещё и сессия длится аж 6 месяцев! 😱

Эти риски почему-то игнорируются. 🤷‍♂️

Прожектор по ИБ, выпуск №14 (02.12.2023): 5000 р компенсации за утечку ПД и легализация белых шляп

Добавить комментарий

Прожектор по ИБ, выпуск №14 (02.12.2023): 5000 р компенсации за утечку ПД и легализация белых шляп

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Смотрим статистику по прошлому эпизоду
03:26 Максим сходил на Технологии SOC
05:45 Финансирование государственных ИБ систем
08:52 Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)
11:59 Уязвимость Chrome в распространенной библиотеке Skia (CVE-2023-6345).
15:25 «Яндекс.Еда» заплатит по 5 тысяч рублей двум пострадавшим от утечки данных
19:00 Персональный заход: аферисты обновили схему для доступа к аккаунтам на «Госуслугах»
20:44 Легализации «белых» хакеров
23:22 Прощание от Mr.X

Прожектор по ИБ, выпуск №9 (30.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №9 (30.10.2023). С небольшим опозданием записали очередной эпизод. В этот раз в основном были новости про актуальные уязвимости. Но, как мне показалось, интереснее были побочные обсуждения: про балансировщики, национальный Anti-DDoS, опасность утекших учёток от Госуслуг и лучший вариант для второго фактора.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся и смотрим статистику по просмотрам. Прошлый выпуск посмотрело больше 100 человек - нормально
01:26 Обсуждаем мемный ролик про Privilege Escalation в Cisco IOS XE (CVE-2023-20198), 30к поломанных устройств и смену импланта, чтобы затруднить детектирование
05:47 iPhone три года сливали MAC-адрес из-за дефектной функции приватности. Насколько вообще опасно, что MAC вашего устройства узнают?
10:12 Про уязвимости "Citrix Bleed" NetScaler ADC/Citrix ADC, NetScaler Gateway (CVE-2023-4966) и актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051). Насколько в России популярны NetScaler ADC и Aria Operations? Лев интересно рассказывает про NGINX и про балансировщики, в том числе отечественные.
14:26 Читаем блог Алексея Лукацкого из 2013 года: Кто захватит мировой рынок кибербезопасности к 2023 году? Мэтр всё предсказал!
17:21 В России создают суперантивирус с динамическим анализом трафика с оригинальным названием "Мультисканер". Здесь же обсудили и национальный Anti-DDoS.
21:55 Компания Miercom выпустила отчёт "Конкурентная Оценка Управления Уязвимостями" - сканеры детектируют не все существующие уязвимости
24:36 Vulners представили AI Score v2 - предсказание CVSS Base Score
28:28 Доступ к "Госуслугам" станет возможен только по двухэтапной аутентификации. Обсудили как злоумышленники могут взять на вас микрокредит или продать вашу квартиру через госуслуги и какой второй фактор самый лучший.
37:17 Мем недели - кресло для безопасника в каждом номере отеля
39:38 Прощание от Mr. X