Найдена замена ПИН-кодам и паролям

Британская фирма PinPlus представила еще одну любопытную технологию проверки подлинности с помощью графического кода. Создатели технологии надеются, что их методика будет настолько надежной, что полностью заменит двухфакторную авторизацию.

Кратко технологию PinPlus можно описать как ввод контрольного кода из четырех цифр из четырех разноцветных квадратов – по одному символу на каждый квадрат, содержащий 3x3 клетки с числами от 1 до 0. Итоговая матрица для ввода контрольного кода имеет размер 6x6 клеток.

Одним из примечательных фактов в связи с анонсом технологии PinPlus является то, что основателем новой компании стал тот же Джонатан Креймер (Jonathan Craymer), что несколько лет назад запустил компанию GrIDsure, которая разрабатывала близкую по форме технологию графической авторизации. Его новая компания PinPlus уходит от традиционной технологии с паролями и ПИН-кодами. Вместо этого предлагается уникальный подход с безопасной доставкой одноразового кода к пользователю, а постоянный секретный код хранится на отдельном сервере в облаке, передает soft.mail.ru.

Если в обычной ситуации пользователям надо запоминать уязвимый пароль, в технологии PinPlus нужно запомнить расположение выделенных ячеек на небольшой (6 X 6) матрице из цифр. Это расположение (создаваемое однократно при первой регистрации) помогает пользователю считывать постоянно изменяемый набор чисел в матрице. Каждое следующее считывание создает уникальный код для каждого конкретного входа. Сохраненное сочетание ячеек («узор») кодируется, делится на части, а потом записывается во множество отдельных структур данных, которые потом проходят окончательное шифрование.

Разница между технологией PinPlus и остальными методиками авторизации заключается в исключительной стойкости к дешифровке, как считают разработчики. Главная идея заключается в том, что даже в случае, когда машина скомпрометирована из-за вредоносной программы или кто-то подглядел вводимый код у уполномоченного пользователя, взломщику все равно будет недостаточно информации для определения следующего одноразового кода.

Технологию хранения исходного кода защищают целых три патентных заявки. Отдельные сегменты кода индексируются с помощью ссылок на данные, которые лишь указывают на правильные данные, если введен правильный одноразовый код. Шифрование сегментов выполняется с помощью алгоритмов необратимого хэширования SHA-256 со стойкой «солью» (затравкой шифра).

Технология PinPlus (или «pin+») позиционируется, как альтернатива все более популярным системам двухфакторной авторизации, которые обычно состоят из текстовых сообщений, отправляемых на зарегистрированный номер мобильного телефона, либо из более традиционных ключей, генерирующих одноразовые пароли, от компаний вроде RSA Security. В системе PinPlus пользователю не нужно носить с собой ни телефон, ни жетон, ни какую-либо карточку с одноразовыми паролями. Кроме того, новый подход делает невозможным массовое похищение паролей или хэшей, как это недавно происходило, например, с сайтами LinkedIn (социальная сеть для поиска работы, единомышленников в профессиональной сфере и специалистов на вакантные должности) и eHarmony (служба знакомств). 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Аффилиат Darkside заразил сайт вендора охранных систем видеонаблюдения

Группа хакеров, состоявшая в партнерских отношениях с владельцами шифровальщика Darkside, взломала сайт поставщика IP-камер и внесла вредоносный код в два программных пакета, предлагаемых для скачивания. Атаку на цепочку поставок удалось обнаружить и пресечь благодаря оперативности одной из жертв заражения, призвавшей на помощь сторонних специалистов.

Как оказалось, хакеры проникли в ее сеть с помощью вредоносной версии Windows-приложения SmartPSS (предназначено для работы с камерами Dahua). Зловреда 18 мая загрузил с легитимного сайта один из сотрудников пострадавшей компании. Выявив источник, исследователи из Mandiant уведомили вендора о взломе, и сайт уже очистили от инфекции.

Троянизированный инсталлятор установил в систему бэкдор, который эксперты идентифицировали как SMOKEDHAM. Наличие этого выполняемого в памяти зловреда позволило определить авторов атаки: SMOKEDHAM использует единственная ОПГ — в Mandiant ей присвоили кодовое имя UNC2465.

Обеспечив себе точку входа в сеть, злоумышленники закрепились в системе, загрузив с помощью бэкдора легитимную утилиту NGROK. (Эта программа позволяет создавать туннели для интернет-доступа к локальным серверам, размещенным за NAT.).

Через пять дней они пустили в ход дополнительные инструменты: кейлоггер, Cobalt Strike, а также собрали логины и пароли локальных пользователей, сделав дампы памяти lsass.exe. Добыв нужную информацию, взломщики начали продвигаться вширь по сети, используя RDP.

 

Группировка UNC2465 — один из нескольких постоянных клиентов Darkside-сервиса, которых в Mandiant различают по номерам. Такие партнеры обычно взламывают сеть, а затем запускают в нее арендованного шифровальщика, делясь выручкой от его работы с владельцами зловреда.

После закрытия этого одиозного предприятия его клиентура осталась без основного орудия выколачивания денег и начала искать альтернативы. Не исключено, что в ближайшем будущем UNC2465 найдет замену Darkside и возобновит сбор дани с жертв взлома.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru