Обмани меня: как хакеры обходят системы биометрической защиты
В 2018 году в России был принят закон о создании Единой биометрической системы. Он разрешил кредитным организациям (а в перспективе и другим компаниям) использовать биометрию при удаленной идентификации клиентов. Звучит многообещающе, но только не с точки зрения информационной безопасности.
Согласно действующему ранее законодательству финансовые организации были обязаны подтверждать личность своих клиентов, требуя паспорт при личном присутствии в отделении. Это тормозило развитие финансовых сервисов в регионах, удаленных населенных пунктах или в случае, когда физическое присутствие потенциального клиента невозможно, например, по причине болезни. Удаленная идентификация с помощью биометрии должна была решить эту проблему.
«Идентификация Борна»
Существует три способа идентификации личности человека. Во-первых, мы можем убедиться, что он знает нечто секретное (например, кодовое слово или PIN), — это самый распространенный и недорогой в реализации механизм, который, однако, является и самым незащищенным. Узнать пароль несложно, редко кто следует правилам выбора надежных сочетаний символов. Вторым способом проверки является контроль владения некой неповторимой вещью (например, смарт-картой, ключом или штрих-кодом). Это более надежный и более дорогой способ аутентификации.
Наконец, третий способ — это проверить, что человек обладает какой-то уникальной физической, биологической, физиологической или поведенческой характеристикой (например, отпечатками пальцев или радужной оболочкой глаза). Именно этот метод сегодня набирает популярность, так как считается, что, помимо удобства для пользователя, он является и более защищенным. Но это не совсем так.
Если у пользователя украли пароль, это не смертельно, его можно заменить. Украденные карта или токен тоже подлежат восстановлению. А вот биометрический фактор уникален — ни при каких обстоятельствах вы не сможете изменить отпечатки пальцев, голос, глаза или расположение вен на руке. Это самые популярные методы биометрической идентификации, из которых в банках будут применяться пока только голос и геометрия лица. Среди других присущих человеку особенностей можно назвать почерк, в том числе и клавиатурный, запах, электроэнцефалограмму мозга и электрокардиограмму сердца, походку и даже геометрию ягодиц, которая, оказывается, тоже уникальна.
В принципе биометрия действительно решает многие классические проблемы. Традиционный вариант проверки личности клиента по кодовому слову и т.п. давно уже перестал хоть как-то защищать от мошенников. По данным исследования Opus Research A New Authentication Paradigm: Call Center Security without Compromising Customer Experience, 65% банковских клиентов не удовлетворены проверкой по паролю и кодовому слову при звонках в кол-центр. 49% клиентов считают, что проверка слишком долгая (от 40 до 90 секунд). 74% хотя бы раз не получили доступа к своим данным из-за того, что не прошли проверку и не смогли подтвердить свою личность стандартным способом. Может ли биометрия помочь в этих случаях?
Полагая, что биометрия сделает жизнь удобнее и безопаснее, мы начинаем ее активно внедрять, не взвесив все за и против. Что может угрожать биометрическим системам? Проблема в том, что «потерянные» голос или данные геометрии лица использовать снова будет невозможно. Разумеется, «потерять» их не так просто: они специальным образом преобразуются и затем хранятся в специальном хранилище.
В фантастических фильмах плохие парни отрезают пальцы, записывают голос, делают 3D-маски лица или муляжи ладони. Эти варианты атаки действительно существуют, но они направлены только на систему считывания биометрических данных. На самом деле векторов атак гораздо больше. Например, можно сломать сам считыватель, и что бы ему ни предъявляли, он будет выдавать ошибку. Можно вмешаться в работу системы верификации и поменять решение системы на нужное злоумышленникам. Можно взломать хранилище биометрических профилей и внести новые, а также подменить/уничтожить существующие данные по нужным людям. И это, пожалуй, самый опасный вариант для любой схемы биометрии.
Всего существует около полутора десятков способов взломать систему биометрической идентификации, и выбор наиболее удобных из них зависит от конкретных задач, стоящих перед хакерами. Если нужно дискредитировать всю систему, то атака будет направлена на хранилище биометрических профилей. Если нужно заставить систему принять «правильное» решение, то эффективнее атаковать систему верификации. Когда действия злоумышленников направлены на конкретного человека, то логичнее синтезировать его голос и видео. Существующие технологии уже позволяют, имея запись голоса или видео любого человека, синтезировать его речь или наложить его лицо на другую видеозапись.
Несовершенная система
Предлагаемая в России Единая биометрическая система (ЕБС) в своем роде уникальна: проектов такого масштаба в мире немного, и поэтому к их проектированию (особенно с точки зрения оценки актуальных угроз) подходить надо очень серьезно. Обнаруженные ошибки в такой системе надо будет устранять в масштабах всей страны. Апелляция к опыту хранения информации в системе биометрических паспортов не совсем корректна. Биометрические паспорта — это действительно защищенное хранилище, но к нему имеют доступ очень ограниченное число лиц. В основном это государственные органы: ФНС, ФМС, пограничная служба, МВД, ФСБ. Когда же мы говорим об удаленной идентификации, которую строят ЦБ и «Ростелеком», то к ней будет получать доступ гораздо большее количество организаций. По скромной оценке, их число будет измеряться несколькими сотнями, а то и тысячами, а значит, число точек проникновения в эту базу многократно увеличится.
При этом сами граждане подготовлены к переходу на биометрические технологии: они активно используют технологии распознавания лиц или отпечатков пальцев на мобильных устройствах при оплате в AppStore или Google Play. Более того, согласно отчету Cisco Customer Experience Research. Automotive Industry, проведенному Cisco в 10 странах, включая Россию, 60% граждан готовы предоставлять свои биометрические персональные данные, если это позволит усилить защиту их автомобиля, например, от угона или при дистанционном управлении отдельными функциями.
Сегодня при активном PR биометрических технологий о безопасности их применения в масштабах государства говорят мало. Возможно, это делается для того, чтобы не обозначить слабые зоны и не дать злоумышленникам подготовиться к атакам. Однако принцип «безопасность через незнание» в данном случае не работает. Необходимо широкое обсуждение механизмов защиты такой базы. Если ее взломают даже один раз, это подорвет доверие ко всей системе биометрической идентификации в России не только сейчас, но и в будущем.
Другая проблема связана с реализацией всей схемы удаленной идентификации. Во-первых, для того чтобы снять с клиента банка биометрический профиль, необходимо иметь достаточно мощное оборудование и специализированные комнаты. Механизм примерно тот же, что и при снятии биометрических данных при подготовке загранпаспортов. А поскольку в законе о внесении изменений в 115-ФЗ говорится не только о биометрии лица, но и о голосе, здесь потребуется еще и изолированное помещение, где бы отсутствовали любые посторонние звуки. А значит, первоначальная идентификация все равно потребует от пользователя явиться в определенное место, которое в регионах может находиться далеко от его места жительства. Но если образец записи будет создан в идеальных условиях, то при идентификации пользователя с помощью мобильного посторонние шумы или помехи некачественной связи могут привести к тому, что система не распознает его.
Разумеется, у биометрии есть безусловные преимущества, и при правильном ее использовании она действительно может сделать оказание различных услуг гораздо более удобным. Но при этом надо трезво оценивать все последствия для себя лично. Разумная осторожность никогда не бывает лишней.
Deepfake: обход биометрии, непредусмотренный регуляторами
Все откладывал как-то эту тему, но тут что-то критическая масса накопилась — за вчерашний день попало на глаза несколько новостей/статей про обход биометрических систем. Об этом и будет заметка. Начну, пожалуй, с шуточного видео, за которым при этом скрыта очень большая проблема, название которой deepfake. Если первая версия одноименного приложения накладывала лица на видео очень некачественно, то китайское приложение ZAO делает это на порядок лучше. Посмотрите, как с помощью всего одной фотографии (аватарки с соцсети) смогли поменять лицо Леонардо ДиКаприо в фильмах с его участием.
Меня эта тема интересует последние пару лет, когда только появилось первое приложение DeepFake и когда Банк России стал семимильными шагами внедрять Единую Биометрическую Систему (ЕБС). Когда ЦБ выпустил свое Указание 4859-У, то я надеялся, что там такого рода угрозы найдут отражение, но все, что хоть как-то можно отнести к ним, это расплывчатая формулировка про актуальность угроз нарушения целостности (подмены) биометрических персональных данных. Настолько абстрактное понятие, что даже непонятно, о чем идет речь — о deepfake или о подмене свертки биометрического фактора?
Была надежда, что в 321-м приказе МинЦифры или в МР-4 Банка России включат раздел про нейтрализацию таких угроз, но увы. И эти документы оказались далеки от прикладных атак, концентрируясь либо на применении криптографии, либо на применении сертифицированной ОС, МСЭ и антивируса, напрочь забыв даже про защитные меры из 21-го приказа ФСТЭК по защите ИСПДн. Последний, перекрывая по своему содержанию и МР-4 и приказ №321, тоже ни слова не говорит о том, как. бороться с deepfake.
Самое неприятное, что на различных мероприятиях или в соцсетях, где присутствуют участники процесса, связанного с ЕБС, упорно обходят молчанием эту тему, даже если им задаешь напрямую вопрос о том, как бороться с этой проблемой. Хоть какой-то ответ я нашел в одной презентации «Центра речевых технологий», чьи технологии используются в ЕБС, например, у того же Банка «Открытие» и ряда других (решение VoiceKey.INSPECTOR). Правда, используются они при сборе биометрии, а проблема с deepfake возникает на этапе ее проверки в режиме повседневной эксплуатации.
Если посмотреть на классический жизненный цикл биометрической, то он в обязательном порядке должен содержать этап проверки «живости», без которого биометрия не имеет никакой ценности, несмотря на использование СКЗИ класса КВ или даже КА.
В своих материалах ЦРТ приводит методы проверки живости для изображения лица, как биометрического признака:
и для голоса, как второго биометрического признака:
Но какие из этих методов реализованы в ЕБС не совсем понятно. В описании того же «Ключа» от Ростелоекома говорится о liveness detection, но без каких-либо деталей и уточнений. А судя по презентациям отдельных банков, которые бодро отрапортовали о том, что они не только интегрировались с ЕБС, но и внедряют уже биометрию в свои банковские процессы, далеко не все понимают угрозу deepfake и борются с ней. Например, один из банков предлагает возможность перевода денег без указания номера карты или телефона, «просто сфотографировав получателя». В данной схеме даже liveness detection никакого нет — работа со статическим биометрическим признаком, который подделать ничего не стоит.
При этом злоумышленники достаточно активно осваивают тему подмены или обхода биометрии, начиная ее использовать в своих целях. Например, недавний случай , когда злоумышленники выманили 220 тысяч евро с помощью подмененного голоса генерального директора ( на русском ). Интересно, что об этом предупреждали пару месяцев назад. Схожий метод, но в массовом масштабе (без привязки к ЕБС) применяется для создания поддельных видео со звездами, которые «рекламируют» что-то. Самое интересное, что исследований, которые показывают, как обойти биометрию, публикуется в разы больше, чем тех, которые показывают, как с этим бороться. Например, свежий, августовский доклад на BlackHat о том, как взламывать liveness detection. В прошлом году на BlackHat прозвучал доклад о том, как обходить голосовую аутентификацию. Вообще на BlackHat очень много выступлений было посвящено тому, как обходить эту технологию.
Если посмотреть на обратную сторону, на то, что можно противопоставить deepfake, то тут исследований не так уж и много. На последних крупных конференциях по ИБ я вспомнил только одно . А вот с готовыми решениями по этой теме, что-то не густо. Что-то встроено в сами биометрические решения, но не во все. В отличие от идентификации фальшивых изображений ( OZ Forensics ) или собственно самой биометрической идентификации. И тут остается полагаться на здравый смысл безопасников, которые будут следовать не только нормативных актам регуляторов, но и самостоятельно задавать вопросы производителям внедряемых решений о том, как те борятся с deepfake. Ибо цена ошибки достаточно высока, а ответственности за взлом биометрической системы регуляторы не несут; как и сами вендоры, которые продают свою решения по принципу «AS IS». Как минимум, стоит посмотреть в сторону решений по многофакторной аутентификации, которые могут частично. нивелировать проблемы, связанные с низкой защищенностью биометрии.
Отдельная тема, которая пока не имеет какого-то решения, это проведение экспертизы в случае конфликтных ситуаций, которые однозначно появляются в случае обхода биометрии злоумышленниками. Это что-то сродни фототехнической криминалистической экспертизе, но для биометрических признаков (голоса и видео). Не знаю, насколько в России есть у кого-то опыт именно в этой части (хотя вот вчерашний пример ). Но при внедрении биометрии, стоит держать в голове этот вопрос и иметь какой-то ответ на него.
Устали от того, что Интернет знает о вас все? Присоединяйтесь к нам и станьте невидимыми!
Большой брат не уследит: как в мире научились обманывать системы распознавания лиц
Протесты в Гонконге против закона об экстрадиции в Китай широко освещались в СМИ далеко за пределами региона. Внимание медиа в том числе привлекла тема защиты протестующих против систем распознавания лиц, которыми напичкан один из самых технологичных городов Азии. Есть спрос — будут и предложения. Стартапы и доброжелатели по всему миру представляли различные решения, которые сбивают алгоритмы с толку. Редакция gg изучила вопрос и рассказывает о нескольких интересных способах обмана алгоритмов.
Не только Гонконг, не только протесты
Летом этого года власти Сан-Франциско приняли закон, который запрещал использование систем распознавания лиц в городе. Другие города США также рассматривают такое решение. В октябре его приняли на уровне штата. Но запрет касается только небольших нательных камер полицейских. И работает до тех пор, пока технология — сомнительного качества. Таким образом законодательство защищает людей от ложных обвинений. Частные компании могут и дальше продолжать использовать подобные системы в своих целях.
В развитых странах мира не только государство и бизнес, но и частные охранные компании внедряют камеры с искусственным интеллектом. Но системы распознавания лиц — уже не редкость даже не в самых экономически развитых странах. Например, их уже пару лет как установили на улицах Москвы, в Санкт-Петербурге, а в Киеве о тестовом режиме сообщили в феврале этого года.
Что касается бизнеса, то и тут технология прижилась уже давно. О магазинах Amazon Go вы наверняка слышали, как и об умных звонках Ring. Но, например, даже в российской CRM Bitrix24, которой до нашего рынка намного ближе, чем Amazon, автоматическое отслеживание и распознавание лиц в магазине появилось еще года три назад. Покупателей таким образом могут не только посчитать, но и найти во Вконтакте, и без их ведома и согласия добавить в CRM! Зашел в магазин поглазеть — сам виноват.
Алгоритмы распознавания лиц для коммерческого использования есть у Microsoft, Google, Amazon и других. И они постепенно становятся частью бизнеса и украинской розницы. А что говорить о рознице в развитых странах.
Так что если протестующим в Гонконге системы распознавания лиц уже сегодня грозят тюрьмой и ответственностью за участие в протестах, то простым людям в обычной жизни — как минимум рекламными атаками в офлайне и онлайне.
Дедовские методы
Ресурс Gizmodo начал бить тревогу по поводу систем распознавания лиц, которые использовала ФБР, еще в 2014 году. Ресурс сделал подборку средств защиты, что были доступны на тот момент. Несмотря на годы, их еще можно встретить в актуальных рекомендациях.
Например, Японский национальный институт информатики разработал очки с LED-лампами, которые как будто занавеской, закрывают лицо от систем распознавания, подсвечивая глаза и нос. Для человеческого глаза они почти незаметны, утверждают разработчики. Для камеры становится незаметен человек.
Следующий вариант — силиконовая маска, напечатанная на 3D-принтере. Камера, увидев лицо, распознает человека. Но только это будет кто-то другой. Пушкин, ты?
Готовые маски URME Surveillance с лицом Леонардо Сельваджио из Чикаго обойдутся в $200. Можно напечатать свою на обычном принтере из бумаги совершенно бесплатно.
Наконец, по-прежнему актуален арт-метод CV Dazzle, который разработали несколько лет назад. Суть заключается в том, чтобы спрятать настоящие черты лица за нехарактерным для внешности человека артом на тех участках, которые важны для распознавания. Бьюти-блогеры порой идут дальше и снимают целые видео с прическами и макияжем, спасающими от алгоритмов распознавания лица. Но все это импровизации на ту же тему.
Сегодня метод живет и развивается. Он лежит в основе проекта HyperFace, представленного в 2017 году. HyperFace не меняет лицо, а меняет объекты вокруг так, чтобы они были похожи на лицо, тем самым уводя алгоритмы от реального человека. Изображение прототипов — ниже. Насколько я понимаю, это элемент одежды, который вводит алгоритмы в заблуждение, показывая слишком много лиц.
В том же направлении двигался студент из Нидерландов Зан Викерс, который создал этот головной убор.
Почти высокие технологии
Протестующие в Гонконге одно время были уверены, что системы видеонаблюдения можно ослепить с помощью лазерных указок. Спрос на товар вырос, а эффективность оказалась мнимой. Не помогли зонтики, балаклавы, медицинские маски и бейсболки — они оставляют видимой слишком большую часть лица. Поэтому протестующие обратились к технологиям.
Это проектор, который крепится на лбу и транслирует на лицо человека другое лицо. Технология была разработана пару лет назад китайским инженером Дзинь-Цай Лю.
Решение с очками и диодами также получило свое продолжение — в виде гаджета с инфракрасными датчиками, который можно крепить к козырьку кепки. По иронии судьбы, в разработку инвестировал концерн Alibaba. Она не дает инфракрасным камерам правильно считать точки на лице. Бейсболка как на фото ниже (называется Justice Cap, кстати), например, стоит всего $15.
Доктор Исао Эчизен из Японского национального института информатики в течение пары лет работал над проектом Privacy Visitor. Это очки, состоящие из грамотно расставленных отражающих линз, которые не дают камерам с автофокусом сфокусироваться на лице, так как рассеивают блики в разные стороны. Правда сам создатель признается, что в 90% случаев камеры смартфона с системой распознавания обходят защиту очков. Зато в них можно ходить по городу и даже ездить на велосипеде, не привлекая внимания окружающих, в отличие от других средств защиты!
Около месяца назад Business Insider сделал подборку средств защиты от камер распознавания лиц. И знаете что? Невозможно скрываться от камер и не выглядеть подозрительно. Например, эта маска, созданная голландским студентом Джипом ван Левенштейном, защищает своего носителя со всех сторон, но выглядит наиболее фриковато.
Страшная сила
В июле этого года польская студия дизайна NOMA показала украшение для лица, которое не дает распознать человека. Это маска из латуни с отражающими элементами на щеках и на лбу. Аксессуар носится как очки. И хоть для человека лицо остается вполне открытым и узнаваемым, алгоритмы распознавания такое украшение сбивает с толку.
По иронии судьбы, украшения для лица стали одним из трендов моды в этом году.
Но это еще не все, что бьюти-индустрия может предложить борцам за приватность. Изменения цвета кожи или, скажем, возраста, также делают человека неузнаваемым для камер. В интернете есть инструкции по тому, как состарить свое лицо макияжем, чтобы камера не справилась с распознаванием. Например, abc.net.au предлагает такой вариант.
В сухом остатке
Пока что все решения, направленные против систем распознавания лиц, выглядят… странновато по меньшей мере и обращают на себя лишнее внимание. В будущем, возможно, появятся более простые и приглядные изобретения. Но и биометрия не стоит на месте — будущее за определением человека по нескольким параметрам, где внешний вид — это то, что проще всего изменить. Например, технологию распознавания человека по походке в 2017 году показала китайская компания Watrix. Поведенческой биометрии уже нашли применение в финансовых сервисах, даже в нашей стране. И обмануть ее намного сложнее.
Для тех, кто хочет знать больше:
Подписывайтесь на наш нескучный канал в Telegram, чтобы ничего не пропустить.
Можно ли обмануть биометрические системы и как это сделать.
Что это вообще такое?
Биометрия — это распознавание личности по физическим или поведенческим чертам. Отпечатки пальцев, сетчатка глаза, форма лица, голос и даже походка — все это биометрические параметры, которые можно использовать для идентификации личности.
Обыватель чаще видит биометрическое распознавание в кино, чем в реальной жизни. Но и в простых бытовых ситуациях с этими технологиями можно столкнуться. Например, Touch ID на iPhone — как раз биометрическое распознавание.
Подобный метод распознавания считается наиболее совершенным, так как идентификация ведется по уникальным маркерам, в теории присущим только лишь одному конкретному человеку и никому более. Пароль можно подобрать или подслушать, с ключа сделать копию, а вот отращивать точно такой же палец как у нужного человека, да с таким же узором на подушечке еще никто не научился.
Как «угнать» палец
Однако и подобные системы распознавания можно обмануть. И мы сейчас не говорим об отрезании пальца, хотя подобными методами сейчас пользуются, например, угонщики автомобилей. Сенсор распознавания отпечатков можно обвести вокруг пальца банальным слепком.
Уже несколько лет назад подобный метод продемонстрировали сотрудники компании Vkansee. Хваленый эппловский Touch ID распознает линии на подушечках пальцев, но не распознает материал. Парни из Vkansee продемонстрировали, что точно так же как на палец владельца, сенсор реагирует на слепок. Эксперимент провели с двумя вариантами материала — обычным детским пластилином и стоматологическим силиконом (его используют для создания зубных слепков). В обоих случаях Touch ID не распознал подмены.
Согласны, это скорее proof-of-concept метод, концептуальное исследование, показывающее теоретическую возможность взлома. В реальности такое представить тяжело — разве что во второсортном фильме, где важного человека зовут на утренник в детском саду и подсовывают ему пластилин, поиграть немного с детьми.
Но что, если мы скажем вам, что получать слепок напрямую вовсе не обязательно? Да, отпечатки пальцев можно получить, даже не приближаясь к нужному человеку. Слепок можно сделать даже по фотографии — очень высокого качества, конечно. Такую возможность хорошо продемонстрировал немецкий хакер Ян Кресслер. Используя снимки немецкого министра обороны Урсулы фон дер Лейен, Кресслер при помощи специального софта создал модель отпечатков чиновницы. Причем одно фото хакер сделал самостоятельно, а за вторым вообще далеко ходить не пришлось — оно было в официальном пресс-релизе министерства.
Все на виду, и это главная проблема
Главная проблема биометрических данных в том, что их можно скопировать. С учетом развития современных технологий — даже слишком легко. Радужную оболочку можно «украсть» точно так же — не вырывая глаза у владельца. Нужны хороший фотоаппарат и 3D-принтер.
«Самый простой способ сделать снимок радужной оболочки — при помощи цифровой камеры в режиме ночной съемки, либо удалить из нее инфракрасный фильтр. В спектре инфракрасного света (который обычно фильтруется) хорошо различимы мелкие, обычно трудно различимые детали радужной оболочки темных глаз», — пишут хакеры из сообщества Chaos Computer Club.
«Хорошей цифровой камеры с 200-миллиметровым объективом на расстоянии до 5 метров достаточно для того, чтобы сделать снимок радужной оболочки с нужным разрешением.»
Систему распознавания лиц тоже можно обмануть. Специалисты по кибербезопасности из фирмы Bkav продемонстрировали, что алгоритм Face ID от Apple можно взломать при помощи все тех же контактных линз и 3D-маски лица, сделанной на принтере. Система распознавания, в которой задействованы обычная и инфракрасная камеры, точечный проектор, алгоритмы машинного обучения, защищенное хранилище и защищенная же обработка данных, оказалась вполне себе дырявой.
Специалисты из Bkav соглашаются, что подобный метод обмана биометрических систем довольно трудозатратен и требует много времени. Но в случаях с «большими шишками» он может быть и оправдан. В Bkav не рекомендуют пользоваться Face ID и подобными алгоритмами при бизнес-транзакциях, а также предостерегают известных людей от пользования этими системами.
Будущее наступило, и оно разочаровывает
Кажется, биометрические системы безопасности ничуть не безопаснее классических кодов и паролей. Пароль можно выучить и не хранить нигде, кроме своей головы — а как скрыть от других свои глаза и отпечатки пальцев? Вечные очки и перчатки?
Еще одна важная проблема кроется как раз в уникальности биометрических данных. В случае взлома условного хранилища паролей его можно заменить. А чем заменить отпечаток пальца, если вдруг базу отпечатков «угонят» хакеры?
Скорее всего, биометрия может быть только дополнением к классическим методам безопасности, но никак не самостоятельной технологией. То, что пару десятков лет назад казалось вершиной прогресса, сегодня разочаровывающе несовершенно.
«В реальности такое представить тяжело — разве что во второсортном фильме, где важного человека зовут на утренник в детском саду и подсовывают ему пластилин, поиграть немного с детьми.»
Странная статья, как-то однобоко написано, только про технологии от Apple, как будто биометрическую защиту телефонов других фирм взломать значительно сложнее. Например ничего не написано про встроенные в экран сканеры, которые вообще ломаются изображением отпечатка, без рельефа. Да и даже на те утверждения, которые есть в статье отсутствуют какие-то ссылки на примеры взлома.
А для чего там контактные линзы? Сканеры сетчатки встречал только в телефонах от Samsung. Тот же FaceID работает лично у меня даже в солнечных очках, значит скорее всего учитывает только рельеф и черты лица.
Хайпожорский пост. Эппл, эппл, как будто только у них системы распознавания, и именно у них они говно. Для абсолютного большинства пользователей этих мер предостаточно, ну а если уж ты большая важная шишка, то пользуйся своим паролем, тебя никто не лишает этой возможности.
Вообще не вижу никакого смысла в распознавании отпечатков пальцев. Если кому сильно надо — скрутят, возьмут за руку и приложат.
Европейская комиссия обязала Apple изменить правила работы App Store
Глава ЕС по цифровым технологиям Тьерри Бретон во вторник заявил, Apple должна открыть свою продукцию для конкурентов.
«Потребители Apple должны иметь возможность пользоваться конкурентоспособными услугами ряда поставщиков, будь то электронные кошельки, браузеры или магазины приложений», — сказал Бретон в своем заявлении.
Ответ на пост «Как бесплатно активировать Windows?»
Есть более простой вариант.
Ранее у Майкрософт была программа для людей с ограниченными способностями, по которой можно было сделать апгрейд или активировать Вин10. Разницы в сравнении с обычной версией я не видел. Сейчас программа уже закончилась, но archive.org все помнит.
Все что нужно сделать, это скачать файл и запустить обновление. Сама страница уже не доступна, но файл есть у меня на Гугл Диске, можете качать.
UPD: Если кто-то боится за свой комп, можете сами:
— выбрать любую доступную дату в 2017 году
Один из самых разыскиваемых ФБР хакеров дразнит американское правительство!
Ранее в этом году американское правительство предъявило обвинения российскому хакеру Михаилу Матвееву, известному в сети под псевдонимами «Wazawaka» и «Boriselcin». Его обвиняют в том, что он является «активным участником» кибератак, направленных против компаний и критически важных объектов в США и других странах. ФБР также обвиняет его в создании и распространении известных вариантов вымогательского ПО, таких как Hive, LockBit и Babuk.
Скрин из соцсети X (ex-Twitter)
Но для Матвеева жизнь продолжается: он дразнит ФБР, выпуская футболку с его собственным постером «самый разыскиваемый» и спрашивает своих подписчиков в Twitter, хотят ли они купить мерч.
Матвеев, который, как полагает ФБР, находится в России, вряд ли будет экстрадирован в США. Несмотря на это, он продолжает свои онлайн-шалости, давая интервью журналистам в области кибербезопасности, публикуя видео селфи, где он ездит на машине под Metallica, и рассказывает о своей хакерской деятельности.
«Погода хорошая, климат отличный, все прекрасно. Даже санкции радуют меня», — сказал Матвеев в видео, которое он удалил после публикации этой статьи.
Таким образом, пока Матвеев не покинет Россию, его жизнь, возможно, не будет сильно отличаться от той, которая была до предъявления обвинений.
1409 | 37 events @ 4 min: $wAg Clan
Основатели крупных айти-компаний заскочили в Сенат США обсудить нейросети. Маск твердил об угрозе человечеству, а Гейтс настаивал, что нейронки спасут людей от голода. Все согласились, что нужны законы для их регулирования.
Суд США разрешил криптобирже FTX продавать активы для погашения долгов, но не более 100 млн $ в неделю. В кошельке компании около 3,4 млрд $.
Игроделы отказываются от движка Unity и грозятся снять игры с продажи из-за сбора на установку.
Гендир Unity продал 2000 акций компании неделю назад, а два члена совета директоров продали 105 500 за 3,9 млн $.
Казино Caesars, Лас-Вегас, призналось, что заплатило хакерам 15 млн $ в прошлом месяце, чтобы они не публиковали украденные личные данные клиентов.
Хакеры ALPHV/BlackCat взяли ответственность за атаку на казино MGM Resorts и требуют выкуп за её прекращение. Они нашли профиль сотрудника в LinkedIn, позвонили в службу поддержки казино и через 10 минут им дали доступ к учётке.
Слухи: казино Caesars и MGM взломала одна группа хакеров.
# Software
▸[7] Апдейт клиента Steam для Steam Deck: пофиксили баг, из-за которого система не видела SD карты.
▸[8] TikTok добавил ссылки на Википедию в результаты поиска.
▸[9] WhatsApp добавил каналы, аналогичные Telegram.
▸[10] Релиз нейронки Stable Audio, от создателей Stable Diffusion. Делает музыку на основе текстового запроса. 20 треков в месяц бесплатно, далее 12 $.
▸[11] Android Auto научился принимать звонки Zoom и Cisco WebEx, но без видео.
▸[12] Релиз языка программирования Birb: код состоит из эмодзи птиц.
▸[13] Бета-версия IDE JetBrains RustRover: основана на плагине intellij-rust для CLion и IntelliJ IDEA. Доступна бесплатно, релиз в следующем году.
▸[14] Апдейт драйверов видеокарт Intel Arc: добавили игры, починили Arc Control, сломали Adobe After Effects.
▸[15] Поисковик Google запустил генератор смайликов. Доступен по запросу Emoji Kitchen.
# Hardpron
▸[16] Видеокарта ASUS TX Gaming GeForce RTX 4070 BTF: питание от материнки. В продаже завтра, цены нет.
▸[17] Материнка ASUS TX Gaming B760-BTF WIFI: разъём для питания видеокарты до 600 Вт, Intel Core 13-го поколения, DDR5-7200. В продаже завтра, цены нет.
▸[18] Планшет HP Spectre Fold: складной 17″ OLED 1920 × 2560 px, i7-1250U, ОЗУ 16 Гб LPDDR5, ПЗУ 1 Тб, Windows 11, вес 3 кг. Цена 5000 $.
▸[19] Домашний аккумулятор Tesla Powerwall 3: может питаться от солнечных панелей, ёмкость 13,5 кВт·ч, мощность 11,5 кВт, размер 110 × 61 × 19 см, вес 130 кг. Даты и цены нет.
▸[20] Видеокарта ASRock Intel Arc A310 Low Profile: без разгона, 4 Гб GDDR6, кушает 75 Вт. Даты и цены нет.
▸[21] Зарядное устройство Twelve South HiRise 3 Deluxe: поддерживает StandBy Mode в iOS 17, в котором Айфон показывает виджеты во время зарядки. Цена 150 $.
▸[22] Электромотороллер Honda Motocompacto: ремейк модели 80-х годов, складывается до размера чемодана, запас хода 19 км, заряжается за 3,5 часа от обычной розетки, скорость 24 км/ч, вес 19 кг. В продаже с ноября за 995 $.
# Business
▸[23] Власти США выделили 100 млн $ субсидий на починку сломанных зарядных станций для электромобилей.
▸[24] Нидерланды просят Apple объяснить, что не так с электромагнитным излучением iPhone 12.
▸[25] Взлом авиазавода Airbus. Хакеры слили данные 3200 поставщиков, зайдя в сеть через аккаунт Турецких авиалиний.
▸[26] Совет директоров FaZe Clan уволил гендира за плохую работу. Прошлый год компания завершила с убытками -48,7 млн $, а акции упали с 20 до 0,2 $. При этом гендир на деньги компании арендовал дома за 60 000 $ в месяц и носил бриллиантовое ожерелье с логотипом FaZe.
▸[27] Apple: iPhone 12 получил несколько международных сертификатов безопасности, в т.ч. о соответствии законам Франции.
▸[28] iFixit договорился с Google о продаже запчастей к планшетам Pixel.
▸[29] Бельгия проверяет излучение iPhone 12.
▸[30] ЕС выделил 352 млн € субсидий на зарядки для электромобилей, из них Tesla получит 149 млн € на установку 7200 станций в 22 странах.
▸[31] Spotify запустила платное продвижение музыки для артистов. Цены от 0,4 $ за клик.
▸[32] Армия США довольна испытаниями очков дополненной реальности Microsoft HoloLens и заказала ещё одну партию для боевых испытаний в 2025.
▸[33] Google сокращает HR отдел. Собирается уволить несколько сотен работников.
▸[34] Магазин «re:Store» сменил название на «restore:».
▸[35] Взлом криптобиржи CoinEX. Свистнули валюту на 53 млн $.
▸[36] Deutsche Bank договорился с швейцарской криптобиржей Taurus о приёме и хранении крипты своих клиентов.
Ответ на пост «На грамм легче!»
Блин, вот меня прикалывают современные производители смартфонов (и не только Apple).
1. Мы сделали рекордно тонкий корпус (откуда, бл@ть, выпирает камера, куда не помещается аккумулятор нормальной емкости и где невозможно организовать нормальное охлаждение процессора)
2. Мы сделали ахренительно красивую стеклянную заднюю панель (которая бл@дь, царапается от воздуха, трескается от чиха и скользкая как мокрый кусок мыла)
3. Чтобы защитить выпирающую камеру, чтобы телефон мог нормально лежать на столе и чтобы защитить нашу ахренительную заднюю панель мы еще сделали специальный защитный чехол (который скрывает всю красоту, делает смартфон в полтора раза толще и тоже стоит дохрена денег).
4. А чтобы наш ахренительно крутой процессор во всем этом еще хоть как-то работал и не троттлил — мы Вам за отдельные бабки еще продадим вентилятор, который вы будете надевать на телефон, когда захотите поиграть.
5. И еще купите наш ахренительный пауэрбанк, если не хотите жить у розетки. Потому что мы не смогли запихать в наш рекордно тонкий корпус аккумулятор, которого хватит хотя бы на сутки.
А сразу сделать НОРМАЛЬНЫЙ корпус на 1-2 мм толще, который можно нормально держать в руке, куда нормально поместится камера и емкий аккумулятор и где можно организовать нормальное охлаждение "железа" — не судьба. И сделать его сразу из НОРМАЛЬНЫХ материалов, которые устойчивы к износу и не выскальзывают из рук?
Я понимаю, что маркетологам в комплекте с телефоном нужно продать еще и кучу всякого говна, но нужно же какую-то совесть иметь?
Apple анонсирует новую функцию «Захват объектов»
Эта система сканирует объекты реального мира и поддерживает создание 3D-объектов, с которыми можно делать все что угодно!
Рисовать «отремонтированные» объекты чиновникам станет куда проще😉
Apple атакует kaspersky (и не только)
Сегодня у нас очень большая и важная новость.
Экспертами нашей компании была обнаружена крайне сложная, профессиональная целевая кибератака с использованием мобильных устройств производства Apple. Целью атаки было незаметное внедрение шпионского модуля в iPhone сотрудников компании — как топ-менеджмента, так и руководителей среднего звена.
Атака проводится при помощи невидимого iMessage-сообщения с вредоносным вложением, которое, используя ряд уязвимостей в операционной системе iOS, исполняется на устройстве и устанавливает шпионскую программу. Внедрение программы происходит абсолютно скрытно от пользователя и без какого-либо его участия. Далее шпионская программа так же незаметно передаёт на удалённые серверы приватную информацию: записи с микрофона, фотографии из мессенджеров, местоположение и сведения о ряде других активностей владельца заражённого устройства.
Атака проводится максимально скрытно, однако факт заражения был обнаружен нашей системой мониторинга и анализа сетевых событий KUMA. Система выявила в нашей сети аномалию, исходящую с Apple устройств. Дальнейшее расследование показало, что несколько десятков iPhone наших сотрудников оказались заражены новой, чрезвычайно технологически сложной шпионской программой, получившей название Triangulation («Триангуляция»).
По причине закрытости в iOS не существует (и не может существовать) каких-либо стандартных средств операционной системы для выявления и удаления этой шпионской программы на заражённых смартфонах. Для этого необходимо прибегать к внешним инструментам.
Косвенным признаком присутствия Triangulation на устройстве является блокировка возможности обновления iOS. Для более точного распознавания заражения потребуется снять резервную копию устройства и проверить её специальной бесплатной утилитой (которую мы позже опубликуем на GitHub). Более подробные рекомендации изложены в технической статье на нашем блоге Securelist.
Из-за особенностей блокировки обновления iOS на заражённых устройствах нами пока не найдено действенного способа удаления шпионской программы без потери пользовательских данных. Это можно сделать только при помощи сброса зараженного iPhone до заводских настроек, установки последней версии операционной системы и всего окружения пользователя с нуля. Иначе, даже будучи удалённым из памяти устройства перезагрузкой, троянец-шпион Triangulation способен провести повторное заражение через уязвимости в устаревшей версии iOS.
Расследование шпионской операции Triangulation только начинается. Сегодня мы публикуем первые результаты анализа, но впереди ещё много работы. По ходу расследования инцидента мы будем обновлять эту страницу и подведём черту проделанной работе на международной конференции Security Analyst Summit в октябре (следите за новостями на сайте).
Мы уверены, что наша компания не была главной целью этой шпионской операции. Надеемся, что уже в ближайшие дни мы получим статистику распространения «троянского треугольника» в других странах и регионах.
Мы считаем, что главной причиной этого инцидента является закрытость iOS. Данная операционная система является «чёрным ящиком», в котором годами могут скрываться шпионские программы подобные Triangulation. Обнаружение и анализ таких угроз осложняется монополизацией Apple исследовательских инструментов, что создаёт для шпионских программ идеальное убежище. Иными словами, как я уже не раз говорил, у пользователей создаётся иллюзия безопасности, связанная с полной непрозрачностью системы. Что на самом деле происходит в iOS, специалистам по IT-безопасности неизвестно. Отсутствие новостей об атаках отнюдь не свидетельствует о невозможности самих атак — в чём мы только что убедились.
Хочется напомнить, что это не первый случай целевой атаки против нашей компании. Мы прекрасно понимаем, что работаем в очень агрессивном окружении и выработали соответствующие процедуры реагирования. Благодаря принятым мерам, компания работает в штатном режиме, бизнес-процессы и пользовательские данные не затронуты, угроза нейтрализована. Мы продолжаем защищать вас, как всегда.
P.S. А причём здесь триангуляция?
Для распознавания программной и аппаратной спецификации атакуемой системы Triangulation использует технологию Canvas Fingerprinting и рисует в памяти устройства жёлтый треугольник.