Безопасность мобильных устройств. Часть 1 – Пароли и биометрическая аутентификация ferum shop ru, free cc dumps 2021

В первой части будет рассказано о защите от неправомерного физического доступа к мобильному устройству. Во второй – об использовании биометрии в приложениях.
Введение
Администраторы и конечные пользователи мобильных устройств должны быть более осведомлены о рисках в случае, если злоумышленник получил доступ к их смартфонам. Необходимо позаботиться о защите своего мобильного устройства, чтобы минимизировать эти риски.
В первой части будет рассказано о защите от неправомерного физического доступа к мобильному устройству. Во второй – об использовании биометрии в приложениях.
Зачем нужен сильный пароль
Первые смартфоны в основном использовались в корпоративных целях и, соответственно, были защищены согласно бизнес-стандартам. Уровень доступа к этим устройствам был наравне с уровнем доступа к корпоративным вычислительным системам. Количество приложений и другой персональной информации на мобильных устройствах был несравненно ниже, чем на смартфонах под управлением современных операционных систем (iOS, Android, Windows Mobile и т. д.). Даже если некоторыми устройствами владели обычные пользователи, это не было столь критично как в наши дни. С момента презентации iPhone в 2007 году и Android в 2008 году количество пользователей смартфонов стало увеличиваться по экспоненте, и, как следствие, появилась масса нового контента и приложений. Но теперь появилась другая проблема: нужно побеспокоиться о том, чтобы персональные данные, хранимые на смартфонах, не попали в чужие руки.
Когда в 2008 году появилась уязвимость, связанная с обходом экрана блокировки в iPhone, я обнаружил, что реакция на это событие была довольно вялой. Дальнейшее исследование показало, что, поскольку подавляющее большинство пользователей вообще не пользовалось паролем для разблокировки экрана, новых инцидентов, связанных с обходом экрана блокировки не возникало. В 2014 году опрос, проведенный организацией Consumer Reports, выявил, что хотя 47% обладателей устройств используют пароль, жесты или другие механизмы для блокировки экрана, 77% тех пользователей устанавливают PIN-код из четырех цифр. Более того, в основном владельцы смартфонов не предпринимают никаких дополнительных средств защиты, как, например, удаление всех данных после нескольких попыток неудачного ввода пароля. Исследования показывают, что использование пароля становится все более популярным, но большинство владельцев продолжают устанавливать четырехзначный PIN-код.
Несмотря на то, что пароль – лучше, чем отсутствие экрана блокировки вообще, четырехзначный PIN-код легко обходится при помощи одной из следующих техник:
§ Обычно пользователи не конфигурируют устройство так, чтобы информация удалялась после нескольких неудачных попыток ввода пароля. Кроме того, в старых версиях iOS (до версии 8.3) были различные способы обхода удаления информации при 10 неудачных попытках ввода PIN-кода.
§ По умолчанию в Android наступает принудительная пауза в 30 секунд после пяти неудачных попыток ввода пароля. В переборщике тоже предусмотрены эти паузы.
Зачем нужна более сильная аутентификация
Поскольку на телефоне хранится много ценной информации (почта, банковские аккаунты, контакты, заметки и учетные записи к другим сервисам), а четырехзначный PIN-код легко подбирается, вопрос об использовании более сильного пароля встает в полный рост.
Однако не только рядовым пользователям, но и администраторам устройств эта идея не всегда по душе. По моему опыту, пользователь скорее перейдет на четырехзначный PIN-код, чем будет несколько раз на дню вводить длинный пароль или использовать другие меры безопасности. И здесь встает вопрос об альтернативных способах аутентификации.
Однажды мой учитель сказал: «Мы нанимаем умнейших людей на планете для решения сложнейших задач. Не становись той проблемой, которую решают эти люди».
Биометрия
В биометрической аутентификации используются различные «истинные» характеристики пользователя: отпечатки пальцев, сетчатки глаза, контуров лица или голоса. Биометрия позволяет снизить необходимость в запоминании и постоянном вводе сложного пароля, что будет по душе и пользователям и администраторам.
В операционной системе Android 4.1 появилась возможность разблокировки смартфона при помощи лица. Но проблема была в том, что фотография лица тоже помогала в разблокировке. Впоследствии появилось обновление, и пользователю нужно было прищурить глаза, чтобы изображение лица отличалось от фотографии. С другой стороны, это нововведение предполагает круглосуточную работу камеры, что может быть не всегда подходящим. Я рекомендую отключить эту опцию.
Еще один популярный способ биометрической аутентификации – на основе отпечатков пальцев. Здесь возможны два способа: нажатие и скольжение пальцем. Нажатие пальцем проще, чем скольжение или ввод пароля, и, к тому же, имеет меньшее количество ложных срабатываний.
Несмотря на то, что биометрическая аутентификация не является решением всех проблем, этот метод избавляет от ввода паролей и, следовательно, более прост и доступен рядовому пользователю.
Биометрическая чувствительность
Вне зависимости от типа биометрической системы, если пользователь не распознан, необходимо ввести пароль. Производители стараются сбалансировать вероятности ложных признаний (False Accept Rate; FAR) и ложных отказов (False Reject Rate; FRR), чтобы злоумышленники чаще отсекались, а законные пользователи реже вводили пароль. Уровень пересечения вероятности ошибок (Crossover Error Rate; CER) – это уровень, при котором FRR = FAR. Иногда этот показатель называется чувствительностью или Equal Error Rate (EER). На рисунке ниже наглядно демонстрируется график зависимости этих показателей от чувствительности устройства. Когда производитель выпускает продукт с хорошим уровнем CER, пользователям нравится это устройство, которое потенциально может стать популярным.
Почему основное внимание будет уделяеться Android/iOS
Согласно данным международной исследовательской и консалтинговой компании International Data Corporation (IDC) в четвертом квартале 2014 года на 96% всех смартфонов были установлены операционные системы Android и iOS. Учитывая подавляющее превосходство относительно других ОС, основное внимание я буду уделять устройствам на базе iOS и Android.
Текущее положение дел
В iPhone 5s и Samsung Galaxy S5 предусмотрены средства биометрической аутентификации на базе считывателей отпечатков пальцев. Для обоих устройств некоторые группы, наподобие The Chaos Computer Club (CCC), научились создавать поддельные отпечатки пальцев для разблокировки. Джошуа Райт ( Joshua Wright ), автор курса « Mobile Device Security and Ethical Hacking », на рисунке ниже иллюстрирует процесс создания поддельных отпечатков для обмана Touch ID. Схожий метод используется против устройств компании Samsung . С появлением iPhone 6 и Samsung Galaxy S6 чувствительность ридеров возросла, и многие методы подделки отпечатков работать не будут. С другой стороны, возрастает процент отказов по легитимным отпечаткам.
Защита биометрической информации
Одна из наиболее важных мер безопасности относительно биометрической аутентификации – защита биометрической информации. На устройствах от Samsung и Apple вместо самих отпечатков в отдельном защищенном месте хранится математическое представление отпечатков. Это защищенное место не синхронизируется ни с облаком, ни с резервными копиями. Важно понимать, что в отличие от паролей, отпечатки нельзя изменить в случае их попадания в руки злоумышленника.
Samsung Fingerprint Scan Data Security
Устройства от компании Samsung для защиты отпечатков используют достоверную среду выполнения (Trusted Execution Environment; TEE). Согласно документации, методология защиты построена следующим образом:
Apple Touch ID Fingerprint Data Security
На iOS-устройствах представления отпечатков хранятся в Secure Enclave. Secure Enclave – это сопроцессор, который самостоятельно загружается, обновляется и имеет зашифрованную память с уникальным ключом, назначаемым во время изготовления. Secure Enclave обеспечивает безопасность хранения внутренней информации, даже в случае, если основное ядро скомпрометировано. Компания Apple предоставляет ограниченные системные средства для приложений, желающих использовать Touch ID для аутентификации, ограничивая доступ механизмам взаимодействия со считывателем отпечатков.
Как биометрия влияет на владельцев устройств
Биометрическая аутентификация напрямую влияет, как с хорошей, так с плохой стороны, на то, как владельцы используют свои устройства и на безопасность конфиденциальной информации.
Несмотря на то, что считыватель отпечатков частично снимает необходимость вводить пароль, все же существует несколько случаев, когда ввод пароля необходим. Ниже представлен перечень ситуаций для устройств Apple Touch ID и Samsung Fingerprint Scanner, требующих ввода пароля:
Ситуация
Apple Touch ID
Samsung Fingerprint Scanner
Перезагрузка/Включение
Пароль необходим всегда
Пароль необходим в случае, если включено шифрование
Устройство не используется более 48 часов
Пароль необходим всегда
Можно пользоваться отпечатком
Пять неудачных попыток ввода отпечатка
Пароль необходим всегда
В Samsung S6 пароль необходим всегда. В более ранних моделях ограничений не было.
Добавление/управление отпечатками
Пароль необходим всегда. Пароль должен быть до внесения отпечатков. Может храниться не более 5 отпечатков.
Можно пользоваться и паролем и отпечатком. Должен быть резервный пароль, состоящий из 6 символов, включая одну цифру. Может храниться не более 4 отпечатков.
Устройство получило удаленную команду блокировки
Пароль необходим всегда.
Необходимо использовать пароль для разблокировки. Обратите внимание, что удаленная команда изменяет экран блокировки, и вместо отпечатка нужно вводить пароль.
Администраторам устройств и рядовым пользователям следует помнить таблицу выше во время разговоров относительно биометрии в сочетании с сильными паролями.
Помимо угроз, связанных с репликацией отпечатков, о которых рассказала группа CCC, использование биометрической аутентификации может вызывать беспокойство у некоторых пользователей относительно безопасности конфиденциальной информации. Например, сотрудникам полиции намного проще «попросить» вас разблокировать устройство при помощи отпечатков, чем выведывать PIN-код.
Если вы используете отпечаток для доступа к Apple Pay, PayPal, или Samsung Pay на вашем мобильном устройстве, потенциальные риски от использования поддельных отпечатков значительно возрастают.
Практические рекомендации
Следует помнить, что создание поддельных отпечатков требует времени, ресурсов и хороших навыков. То есть шансы на то, что злоумышленник или уличный вор доберется до устройства раньше, чем вы сможете удалить всю информацию при помощи удаленной команды, достаточно малы. Кроме того, к устройству, защищенному сильным паролем, получить доступ не так то просто.
Дополнительные меры для повышения уровня безопасности вашего устройства:
Разрешить шифрование на устройствах на базе Android (на iOS-устройствах шифрование включено по умолчанию). Эта мера не позволит злоумышленнику получить конфиденциальную информацию посредством выгрузки NVRAM на другой компьютер.
Кроме того, полезно установить приложение по управлению мобильным устройством: Find My iPhone или Android Device Manager , которое дает возможность удаленного обнаружения, блокировки или удаления информации в случае кражи или других инцидентов.
Настройте устройство так, чтобы после нескольких неудачных попыток ввода пароля, вся информацию удалялась. Администраторам мобильных устройств следует устанавливать достаточно большое количество попыток (в зависимости от длины пароля), чтобы избежать непреднамеренного удаления информации. Вне зависимости от длины пароля, устанавливайте не менее 5 попыток (я рекомендую 10).
Что бы вы ни использовали: пароли, отпечатки или любые другие методы аутентификации, это не освобождает вас от элементарной бдительности. Относитесь к телефону как к бумажнику, в котором лежит крупная сумма денег. Не оставляйте смартфон в легкодоступных местах и старайтесь не раскрывать методов аутентификации.
Заключение
Следуя приведенным выше рекомендациям, вы серьезно усилите безопасность вашего устройства и находящейся там конфиденциальной информации. Скопировать отпечатки пальцев намного сложнее, чем подсмотреть PIN-код, вводимый пользователем.
Повышение уровня безопасности конфиденциальной информации, особенно по мере того, как мы находим новые сферы применения мобильным устройствам, и возрастает количество персональных данных, позволяет нам быть более уверенным относительного того, кто имеет доступ к этой информации. Но здесь встает и другой вопрос: как еще можно использовать защитные механизмы.
Во второй части мы поговорим о том, как работать с биометрией через приложения, рассмотрим механизмы компрометирования биометрической аутентификации и различные способы защиты.  
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
ferum shop ru free cc dumps 2021

Author: wpadmin