ЛК запатентовала безопасную технологию восстановления зашифрованных данных

ЛК запатентовала безопасную технологию восстановления зашифрованных данных

«Лаборатория Касперского» получила патент на технологию восстановления пароля и ключей шифрования данных на мобильных устройствах, которая практически полностью исключает возможность компрометации секретной информации. Хотя патент получен лишь недавно, технология уже доступна в защитном решении для мобильных устройств Kaspersky Internet Security для Android.

Шифрование давно доказало свою надежность в защите конфиденциальных данных. Однако нередко люди забывают или теряют пароли для доступа к зашифрованным данным. Это, с одной стороны, создает опасность потери важной информации – ведь если пароль нельзя восстановить, то невозможно будет восстановить и зашифрованные данные. С другой стороны, если пароль восстановить можно, то возникает риск несанкционированного доступа к ценной информации, поскольку метод защиты резервных копий паролей, который использует вендор, может содержать уязвимости.

Разрабатывая собственную технологию восстановления паролей и ключей шифрования, которые используются для защиты данных на мобильном устройстве, специалисты «Лаборатории Касперского» стремились найти компромисс между удобством в использовании и уровнем защиты.

Для восстановления паролей и ключей шифрования данных запатентованная технология «Лаборатории Касперского» использует три независимых фактора: идентификатор пользователя, идентификатор мобильного устройства и случайное число.

Когда пользователь впервые устанавливает на мобильное устройство защитное решение «Лаборатории Касперского», система аутентификации просит его ввести адрес электронной почты. Kaspersky Internet Security для Android вычисляет хэш адреса почты (последовательность символов, полученную в результате преобразования буквенного адреса почты по специальному алгоритму) и, кроме того, опираясь на ряд аппаратных характеристик устройства, создает его уникальный идентификатор, а также генерирует случайное число. После регистрации случайное число в зашифрованном виде вместе с хэшами почты и ID устройства передается на серверы «Лаборатории Касперского».

Случайное число используется для того, чтобы обеспечить своеобразную «защиту защиты». Как и многие другие решения, для обеспечения безопасности данных Kaspersky Internet Security для Android использует специальный ключ шифрования. Обычно ключ защищается с помощью пароля пользователя. Всякий раз, когда пользователь вводит пароль, сначала расшифровывается ключ и только потом – информация, зашифрованная с его помощью. Соответственно, если пароль утерян или забыт, расшифровать ключ практически невозможно. Именно поэтому Kaspersky Internet Security для Android, использующий запатентованную технологию, хранит на устройстве две копии ключа: основную, зашифрованную с помощью пароля пользователя, и резервную, зашифрованную с помощью сгенерированного ранее случайного числа.

В случае если пользователь устройства теряет или забывает пароль, он обращается на сервис восстановления паролей «Лаборатории Касперского», где вводит адрес своей электронной почты. Сервис вычисляет хэш этого адреса и сверяет его с теми, что хранятся в собственной базе данных. Если соответствие обнаружено, система отсылает на email, указанный пользователем при регистрации, его уникальное число, а также инструкцию по созданию нового пароля. Kaspersky Internet Security для Android использует это уникальное число для расшифровки резервного ключа, который, в свою очередь, открывает пользователю доступ к данным, хранящимся на устройстве.

В результате специалистам «Лаборатории Касперского» удалось реализовать с одной стороны удобный, а с другой – безопасный алгоритм восстановления данных, поскольку ни одна из сторон, участвующих в этом процессе, не имеет доступа ко всем данным, необходимым для расшифровки секретных сведений. «Лаборатория Касперского» не хранит ни резервные копии паролей, ни копии ключей, ни какие-либо персональные данные клиентов на своих серверах – только зашифрованные значения специфических сведений, которые могут помочь пользователю вернуть доступ к его данным и которые окажутся абсолютно бесполезными для злоумышленника.

«Как бы хорошо ни был защищен ключ от сейфа, если злоумышленник получит доступ к этому ключу, он получит и доступ к сейфу. Однако если разделить этот ключ на составляющие и спрятать его в разных концах света, злоумышленник скорее пойдет искать другой сейф, с более простой конструкцией. Наша технология работает примерно так же: она «прячет» элементы, необходимые для доступа к секретным данным, в разных местах и условиях. По требованию пользователя эти элементы «собираются» в одном месте. Особых дополнительных действий для этого владельцу устройства предпринимать не нужно, а вот злоумышленнику придется очень постараться, чтобы собрать все элементы «ключа» воедино», – рассказывает один из авторов технологии Виктор Яблоков, руководитель отдела разработки решений для защиты почты, веб-систем и инфраструктуры, «Лаборатория Касперского». 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Екатеринбурге лжемастера с сайтами на нейросетях берут втрое больше

В Екатеринбурге орудуют лжемастера, взимающие в два-три раза больше за ремонт бытовой техники. Они работают через онлайн-площадки и активно используют нейросети. Благодаря приёмам поисковой оптимизации эти ресурсы попадают в топ поисковой выдачи. Также мошенники размещают свои объявления на профильных классифайдах.

Как выяснило издание 66.RU, в городе действуют десятки мошеннических сервисов, которые завлекают клиентов рассказами о многолетнем опыте работы. Контент для таких сайтов зачастую создаётся с помощью нейросетевых инструментов.

Один из читателей издания обратился за ремонтом посудомоечной машины через сайт, найденный в поиске. Приехавший мастер выполнил работу, но потребовал 34 тысячи рублей — более чем в два раза выше среднерыночной стоимости.

Позже выяснилось, что указанный на сайте адрес не существует. Затем он был заменён на другой — в торговом центре, где никакой сервисной компании нет и никогда не было. Более того, лица сотрудников на сайте оказались сгенерированы нейросетью.

Журналисты обнаружили, что в верхней части поисковой выдачи по запросам о ремонте бытовой техники находятся сайты компаний, которые заявляют о многолетнем опыте, но зарегистрированы только в 2024–2025 годах. Это явное несоответствие указывает на мошеннический характер таких организаций.

На классифайдах также нашлись десятки однотипных объявлений с шаблонными положительными отзывами. Часто используются одни и те же фотографии — причём те же изображения встречаются в аналогичных объявлениях из других городов. В ряде случаев администрации сайтов уже начали блокировать такие публикации.

«Привлечь к ответственности или вернуть деньги в таких случаях крайне сложно. Фактически наказать человека, взявшего деньги, можно только в том случае, если ремонт не был проведён. Зная это, недобросовестные мастера формально выполняют какие-либо действия — иногда даже не связанные с реальной проблемой — или берут оплату наличными, чтобы было невозможно доказать сам факт передачи денег», — объяснил изданию адвокат Георгий Краснов.

Юрист рекомендует заранее согласовывать все условия и никогда не вносить предоплату. В случае завышения стоимости следует ссылаться на ранее достигнутые договорённости. Также важно проверять документы мастера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru