2FA | Александр В. Леонов

Меня беспокоит не столько принуждение к доставке одноразовых кодов для Госуслуг через MAX, сколько продвижение мобильных приложений на смартфоне как основного, безопасного и прогрессивного способа получения доступа к Госуслугам. 🙄 Хотя здесь есть вполне очевидные проблемы с 2FA:

🟢 Если вы заходите с паролем от Госуслуг на одном устройстве (десктопе), а код получаете на другое устройство (по SMS, через мессенджер только на это устройство, OTP-приложение - не суть), это нормальная двухфакторка. 👍 Злоумышленнику нужно скомпрометировать сразу 2 разных устройства, это сложно и дорого.

🔴 Но если вы заходите с паролем в приложение Госуслуг на смартфоне и код получаете на тот же смартфон (см. выше как), то второго фактора у вас нет. 🤷‍♂️ Если злоумышленник скомпрометирует смартфон, он получит полный доступ к Госуслугам и натворит бед. А смартфоны в массе своей уже скомпрометированы. Ещё и сессия длится аж 6 месяцев! 😱

Эти риски почему-то игнорируются. 🤷‍♂️

В мессенджере MAX появилась возможность выставить пароль для доступа к аккаунту. Помнится, в апреле, когда вышло публичная бета-версия мессенджера, отсутствие пароля для аутентификации указывали как существенный недостаток безопасности. Дескать, если злодеи перевыпустят SIM-карту или как-то выведают SMS-код, это будет означать гарантированную компрометацию аккаунта MAX. Я тогда в дискуссии соглашался, что отсутствие второго фактора в виде пароля это скверно, но нужно немного подождать и эта функциональность неизбежно будет реализована. Так как этот проект государственной важности, к которому будут привлечены лучшие российские ИБ-специалисты.

Так и получилось. В MAX появилась возможность задавать облачный пароль. Восстановление пароля возможно по привязанному email-адресу. Так что теперь злоумышленникам для доступа к аккаунту нужно будет не только перехватить SMS-код, но и узнать пароль или скомпрометировать почту. Что гораздо сложнее. 👍 Установите пароль себе и близким!

Прожектор по ИБ, выпуск №9 (30.10.2023). С небольшим опозданием записали очередной эпизод. В этот раз в основном были новости про актуальные уязвимости. Но, как мне показалось, интереснее были побочные обсуждения: про балансировщики, национальный Anti-DDoS, опасность утекших учёток от Госуслуг и лучший вариант для второго фактора.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся и смотрим статистику по просмотрам. Прошлый выпуск посмотрело больше 100 человек - нормально
01:26 Обсуждаем мемный ролик про Privilege Escalation в Cisco IOS XE (CVE-2023-20198), 30к поломанных устройств и смену импланта, чтобы затруднить детектирование
05:47 iPhone три года сливали MAC-адрес из-за дефектной функции приватности. Насколько вообще опасно, что MAC вашего устройства узнают?
10:12 Про уязвимости "Citrix Bleed" NetScaler ADC/Citrix ADC, NetScaler Gateway (CVE-2023-4966) и актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051). Насколько в России популярны NetScaler ADC и Aria Operations? Лев интересно рассказывает про NGINX и про балансировщики, в том числе отечественные.
14:26 Читаем блог Алексея Лукацкого из 2013 года: Кто захватит мировой рынок кибербезопасности к 2023 году? Мэтр всё предсказал!
17:21 В России создают суперантивирус с динамическим анализом трафика с оригинальным названием "Мультисканер". Здесь же обсудили и национальный Anti-DDoS.
21:55 Компания Miercom выпустила отчёт "Конкурентная Оценка Управления Уязвимостями" - сканеры детектируют не все существующие уязвимости
24:36 Vulners представили AI Score v2 - предсказание CVSS Base Score
28:28 Доступ к "Госуслугам" станет возможен только по двухэтапной аутентификации. Обсудили как злоумышленники могут взять на вас микрокредит или продать вашу квартиру через госуслуги и какой второй фактор самый лучший.
37:17 Мем недели - кресло для безопасника в каждом номере отеля
39:38 Прощание от Mr. X

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: 2FA

В мессенджере MAX появилась возможность выставить пароль для доступа к аккаунту

Прожектор по ИБ, выпуск №9 (30.10.2023)