ИИ с вашим почерком
#напульсе

Нейросеть может написать за вас текст. Не новость, правда? Но теперь — написать в прямом смысле, вашим почерком ✍️

❓ О чем речь?
Коллеги из Эмиратов разработали нейросеть, которая правдоподобно имитирует почерк человека. Для обучения ей требуется небольшой фрагмент текста, написанного вашей рукой. Сейчас нейронка пишет на английском и французском языках и учится писать на арабском.

О качестве результата говорит тот факт, что 80% опрошенных людей не смогли отличить первоисточник от компьютерной имитации.

❗️ Что здесь важно?
Риск, сопряжённый с появлением таких систем, лежит на поверхности: мошенники могут использовать компьютерные имитации почерков для подделки документов. Это понимают создатели нейросети, и сейчас работают над системой, которая будет надёжно выявлять сгенерированный компьютером почерк (ох, уж это вечное противостояние меча и щита).

Но есть и другой риск, менее очевидный. Заинтересованные структуры по всему миру могут раздуть появление таких нейросетей и вывернуть ситуацию в сторону следующего тезиса:

"Рукописному тексту, в т.ч. подписям на документах, больше нельзя доверять. Единственный надёжный способ удостовериться в подлинности заверения документа и установления личности — это биометрия. Сдаём все и срочно!"

🤷‍♂️

@digitaltea | про IT доступно

Как удалить свой VPN-сервер
#инструментарий

❌ Друзья, напоминаю, что с 1 марта 2024 года Роскомнадзор может начать блокировать сайты, которые содержат информацию, позволяющую обходить блокировки запрещённых ресурсов. Списки рабочих VPN и инструкции по созданию своих VPN — первые в очереди. Даже крупнейший техно-форум Habr, несмотря на отказ от самоцензуры (добровольное удаление контента про VPN и т.п.), заявил о готовности по запросу РКН закрывать доступ к таким статьям для пользователей из России.

😇 Что ж, призываю всех россиян быть законопослушными гражданами и не только не читать такие статьи, но и удалить их со своих компьютеров, если кто вдруг сохранил их про запас.

👨‍💻 Впрочем, само по себе использование VPN, в т.ч. личного, ничего не нарушает. Но однажды и это может измениться. Поэтому сегодня я хочу дать вам инструкцию по удалению собственного VPN-сервера, настроенного на арендованном вами VPS, чтобы быть готовыми соблюсти закон 🫡

Описывать этот процесс я буду на примере сервера, работающего по VPN-протоколу WireGuard, как одного из наиболее популярных.

📜 Инструкция по удалению доступна по ссылке.
Если поначалу она покажется вам сумбурной и непонятной, не переживайте — прочитайте её до конца, и паззл у вас сложится.

На связи!

Палец вверх 👍 если смотрели отличный фильм с картинки.

@digitaltea | про IT доступно

Газлайтинг

🎬 В далёком 1944 году вышел фильм "Газовый свет" ("Gaslight"), по сюжету которого главный герой пытается убедить свою жену, что та сходит с ума. Для этого он регулярно меняет окружающую обстановку и затем отрицает изменения. Позже от названия этого фильма произошёл термин газлайтинг (gaslighting).

Газлайтинг — это форма психологического манипулирования, при которой один человек систематически искажает или отрицает реальность, действия или слова другого человека с целью заставить его сомневаться в собственном восприятии, памяти и здравом смысле.

Газлайтинг может использоваться как способ манипуляций и контроля над другими людьми — как над отдельными индивидами, так и над группами. Этот вид манипуляции может быть вредным для психического здоровья объекта, так как тот может постоянно сомневаться в себе и своих возможностях, а также терять способность объективно оценивать реальную действительность. Если человек видит черное, но ему регулярно твердят, что это белое, то в какой-то момент он и сам начнёт верить, что это белое. Или сойдёт с ума.

🧠 К чему это я? Ах, да, забыл поставить хештег #цифрогигиена
Друзья, обдумывайте и критически осмысливайте потребляемую информацию. За содержимым вашей черепной коробки охотятся не только вымышленные мозгососы с картинки.

@digitaltea | про IT доступно

Ваш звонок очень важен для нас.
И для вас.
#напульсе

Банк России, готовящийся к масштабному запуску цифрового рубля, намерен создать линию поддержки для клиентов, которые станут пользователями новой платформы. Потенциальная аудитория может достигнуть сотни тысяч клиентов, а на первом этапе ЦБ не избежать волны обращений, поскольку новая форма денег инновационна, отмечают эксперты (с) Коммерсант

Правда, эксперты не отмечают большей части того, что отмечаем мы с вами.

Для тех, кто не читал сагу посты о цифровом рубле, очень рекомендую выделить на это время. Например, на этих выходных. Это важно, а запуск цифрорубля всё ближе.

🎓 Часть 1. Знакомство.
❗️ Часть 2. Риски.
🎁 Часть 3. Преимущества.
⚙ Часть 4. Внедрение.

Прочитаете за полчаса. Осознавать придётся дольше.

@digitaltea | про IT доступно

Чайный #дайджест №30

Друзья, за уходящую неделю мы с вами обсудили:

☕️ Кто такой эникейщик, и чем он занят
☕️ Новую нейросеть для имитации почерка
⚡️ Как удалить свой собственный VPN
☕️ Что такое газлайтинг, и чем он опасен

Если что-то упустили — можете почитать на досуге.
И поделиться с друзьями 😉

Всем хороших выходных!

@digitaltea | про IT доступно

2FA. Часть 1. Виды доказательств.
#безопасность

Мы в своё время разбирали, как правильно создавать пароли и как их надёжно хранить. Но представьте, что всё же случилось страшное — пароль украли 😱 Значит ли это, что можно попрощаться с учётной записью? Не всегда. Сегодня поговорим о том, что такое многофакторная аутентификация, и как она может спасти нас в случае, если пароль оказался скомпрометирован.

🆔 Напомню, аутентификация — это процесс проверки подлинности пользователя. Мы ввели свой логин и с помощью пароля доказываем, что это действительно мы. Это пример однофакторной аутентификации. Так говорят, потому что для подтверждения подлинности мы предъявляем одно доказательство (один фактор) — пароль.

Но что, если для подтверждения нашей подлинности система будет требовать дополнительные доказательства? Тогда одного лишь знания нашего пароля будет недостаточно для входа в учётную запись, и его кража не будет фатальной! Что это могут быть за доказательства?

Доказательства (факторы аутентификации) бывают трёх типов:

🎓 Фактор знания
Это информация, которую знаем только мы. Пароль, пин-код, контрольное слово и.т.п

🗃 Фактор владения
Это материальный предмет, который есть только у нас. Флешка, электронный ключ и т.п.

👁 Фактор свойства
Это свойство, которым обладаем только мы. Лицо, отпечаток пальца, радужная оболочка глаза и другая биометрия.

Когда используются несколько доказательств подлинности, говорят о многофакторной аутентификации. Это существенно повышает уровень защищённости нашей учётной записи, т.к. для несанкционированного доступа злодею требуется завладеть сразу несколькими сущностям. Например, взломать пароль и украсть электронный ключ. Или украсть флешку и.. ну, про глаз говорить не хочется 👁

На практике чаще всего используется двухфакторная аутентификация — 2FA (англ. Two-Factor Authentication), а первым фактором почти всегда является пароль.

Какие бывают примеры второго фактора, расскажу в другой раз, но нужно иметь в виду, что сама возможность использования 2FA зависит от конкретного сервиса. Если сервис не поддерживает 2FA (или не поддерживает желаемый нами тип второго фактора), мы с этим ничего сделать не можем.

Но большинство крупных сервисов в настоящее время тот или иной вид второго фактора поддерживают (отдаём предпочтение таким сервисам при прочих равных!). Причём, где-то использование 2FA обязательно (банки), а где-то — по желанию пользователя.

📌 Добрый совет: если сервис поддерживает 2FA, второй фактор нужно использовать всегда!

@digitaltea | про IT доступно

Абонент не абонент
#напульсе

С 1 сентября 2024 года в России будут действовать обновлённые правила оказания услуг телефонной связи. По большому счёту для абонентов мало что меняется, но есть в объёмном документе интересный пункт.

📍 "Отсутствие использования услуг связи" абонентом в течение 90 дней (или более, если указано в договоре) будет считаться расторжением договора по инициативе клиента.

И здесь может быть юридический нюанс, важный для граждан РФ, в настоящий момент проживающих за рубежом. Встречал информацию, что у некоторых операторов международный роуминг может не считаться "использованием услуг", ведь формально услугу связи при этом оказывает иностранный сотовый оператор.

❓ Живущим за рубежом россиянам стоит заранее выяснить это у своего оператора связи, чтобы вдруг не лишиться своего номера.

❗️ Ведь потеряв номер, вы рискуете потерять доступ к сервисам, завязанным на этот номер (банки и др.). Более того, когда в будущем оператор отдаст этот номер другому абоненту, появится риск доступа постороннего к этим вашим аккаунтам.

Ну а остальным — лишнее напоминание о важности номера телефона в обеспечении безопасности ваших аккаунтов.

@digitaltea | про IT доступно

2FA. Часть 2. SMS.
#безопасность

Продолжаем разговор про 2FA.

✉ Наиболее распространённым видом второго фактора аутентификации являются SMS-сообщения и Push-сообщения. Думаю, все сталкивались с этим, когда входили в банковские аккаунты или подтверждали платёж банковской картой на сайте. В сообщенbи вам приходит цифровой код, и вы его вводите в соответствующей форме. То самое "не сообщайте этот код никому". К слову, в случае оплаты картой первым фактором являются её реквизиты.

Это удобно, потому что мобильный телефон сейчас есть, наверное, у всех (даже у кого нет смартфона, есть "звонилка"), он всегда под рукой, а от пользователя не требуется никакой дополнительной подготовки для использования этого метода. SMS получил, код ввёл — готово. Но на этом достоинства заканчиваются.

❌ Недостатки у 2FA через SMS следующие:

📞 Необходимость предоставлять свой номер телефона
Это сразу ставит крест на любой анонимности. Кроме того, даже там, где анонимность не подразумевается по логике сервиса (например, банки), засвечивание своего номера телефона — это прямой путь к дополнительным рекламным, спамерским и мошенническим звонкам .

🖼 Сообщения приходят на смартфон
Т.е. данные второго фактора приходят на то же устройство, с которого вы осуществляете вход в ваши учётные записи (почта, соцсети, банковские приложения). И в случае заражения смартфона вредоносным программным обеспечением злоумышленники в теории могут получить из одной точки доступ как к вашим паролям, так и ко второму фактору аутентификации. Тем самым вся идея 2FA просто сводится на нет.

Использовать для приёма SMS отдельную кнопочную "звонилку" может показаться хорошей идеей, но в ряде случаев это создаст серьёзные неудобства, и большинство пользователей этого ожидаемо делать не будут. Кроме того, даже кнопочный телефон не снимает проблему номер три 👇

🗃 Для доставки сообщений используется SIM-карта
Многие, наверное, слышали истории о том, как SIM-карту перевыпускают без ведома владельца. И уж поверьте, это делается не для того, чтобы поговорить за ваш счёт. Обладая дубликатом вашей SIM-карты (ваш телефон при этом сеть потеряет), злоумышленник получает естественную возможность принимать SMS с кодами подтверждения, направляемые на ваш номер телефона. Таким образом ваш второй фактор могут заполучить, даже если ваш телефон при вас 🤷‍♂️

📌 Но несмотря на то, что 2FA через SMS видится самым ненадёжным видом второго фактора, даже его использование серьёзно улучшает безопасность вашего аккаунта. Если нет возможности использовать другие виды 2FA, используйте SMS.

Продолжение следует.

@digitaltea | про IT доступно

Что это было?
#напульсе

Друзья, вы наверняка слышали о масштабном сбое в рунете вчера вечером (или столкнулись лично), когда не открывались сайты и не работали мобильные приложения. На себе я это не испытал, потому что к этому времени уже закончил общение с гаджетами 🗿

Итак, что это было?
Признаться, первой мыслью стало: "Опять Роскомнадзор со своими фильтрами накосорезили". Увы, эти коллеги уже заработали репутацию тех, кто причастен к любому крупному сбою в рунете.

Но на этот раз, как объяснили в Минцифры, возникли глобальные проблемы в работе сервиса доменных имён (DNS) в RU-сегменте. Точнее, поломался там кусок сервиса DNS, отвечающий за безопасность, но не суть.

Что такое DNS, мы подробно разбирали тут, но для напоминания в двух словах скажу, что это механизм, который превращает буквенные имена сайтов и серверов, удобные людям (yandex.ru), в числовые адреса, понятные компьютерам (11.22.33.44). И из-за вчерашних неполадок в DNS компьютеры перестали "находить" нужные серверы.

А вот о непосредственных причинах сбоя в DNS известно меньше. Впрочем, на ум сразу приходит НСДИ.

НСДИ (Национальная система доменных имен) — это запущенная в 2021 году в России система, по сути представляющая собой доморощенный DNS, способный работать для нужд рунета в условиях изоляции от мирового Интернета.

Я буду голословен, если предположу, что вчерашний сбой связан с работами по дальнейшему внедрению НСДИ в "ткань" рунета. Поэтому предполагать не буду. Но повезло, что всё случилось после окончания рабочего дня на большей части РФ.

В любом случае, кейс показательный, и демонстрирует насколько хрупкой может быть цифровая инфраструктура.

@digitaltea | про IT доступно

Смартфоны уйдут через 10 лет
#трендец

Что если я скажу вам, что через 7-10 лет люди полностью избавятся от привычных смартфонов? 📲

Не спешите вызывать санитаров 🤪 Тем более, что вот тут мы уже касались этой темы.

Почему это произойдёт, и что придёт на смену смартфонам? Мысли на эту тему изложил в статье. Полезного чтения.

@digitaltea | про IT доступно

В продолжение этого 👆 поста про сбой в рунете.

Через сутки:

Роскомнадзор (РКН) рекомендует российским провайдерам и владельцам автономных систем подключиться к Национальной системе доменных имен (НСДИ), чтобы пользователи имели возможность подключиться к их ресурсам, несмотря на инциденты, подобные произошедшему накануне (с) Интерфакс

Я даже комментировать это не буду 😅

Ладно, оставим это.
Давайте лучше, пользуясь случаем, я проведу короткий ликбез "на пальцах" и в тему.

Представьте, что я — районный провайдер Интернета, и весь район "выходит в инет" через моё оборудование. В том числе, пользуется моими DNS-серверами. Это значит, что все компьютеры в районе узнают адреса нужных им сайтов у меня.

— Хочу открыть "yandex.ru"! Какой у него адрес?
— А вот такой: 11.22.33.44, открывай, пожалуйста.

Ок, а теперь давайте представим, что я недобросовестный провайдер меня, как провайдера, взломали нехорошие люди. Что они смогут сделать в таком случае?

1️⃣ Говорить жителям района адреса, ведущие на другие сайты. Хотел открыть Яндекс, а попал на Рамблер. Или на поддельный Яндекс с другим содержимым (да, защита от "подделок" имеется и на уровне сайтов, но владение DNS даёт нехорошим людям определённые козыри).

2️⃣ Говорить жителям района несуществующие адреса, чтобы те не смогли открыть желаемый сайт, получая сообщение об ошибке.

Жители района могли бы этого избежать, используя другие DNS-серверы, размещённые в другом районе или городе (если местный взломанный провайдер не заблокирует к ним доступ), но большинство-то использует по умолчанию DNS-сервер провайдера, как он им и настроил.

💡 Кроме тех жителей района, кто загуглил списки публичных DNS-серверов, и стал использовать их. И самых замороченных, кто решил поднять свой DNS.

Но это уже другая история.

@digitaltea | про IT доступно

Чайный #дайджест №31

Друзья, за уходящую неделю мы с вами обсудили:

☕️ Что такое двухфакторная аутентификация (2FA)
☕️ Особенности 2FA по SMS
☕️ Риски потери российских телефонных номеров
☕️ Как на неделе ломался рунет (тут и тут)
⚡️Что придет на смену смартфонам через 10 лет

Если что-то упустили — можете почитать на досуге.
И поделиться с друзьями 👥

Всем хороших выходных!

@digitaltea | про IT доступно

2FA. TOTP (Часть 1)
#безопасность

Нет, я не опечатался, и сегодняшний пост не про ТОРТ 🎂

Продолжаем разбирать методы защиты своих учётных записей с помощью двухфакторной аутентификации (начало здесь и тут).

Итак, TOTP — это Time-based One-Time Password algorithm, или алгоритм для создания одноразовых паролей, основанных на времени. Использование в быту проще, чем название, и надёжнее, чем SMS.

Как это выглядит?
Вы устанавливаете себе на смартфон специальное TOTP-приложение — генератор одноразовых паролей, привязываете его к защищаемому сервису (ваша почта, соцсеть и т.п.), и тогда при входе в свою учётную запись после ввода логина-пароля система будет просить вас ввести одноразовый код из этого TOTP-приложения (как код из SMS).

Почему это надёжно?
⏲ Мало того, что код одноразовый, так он ещё и меняется каждые 30 секунд. Подобрать его из-за этого по сути невозможно (он раньше устареет), и даже его потенциальный перехват осложняет проведение атаки на вас (нужно будет её завершить менее, чем за 30 секунд, пока код не сменился).

🗃 В отличие от кода из SMS нет привязки к SIM-карте. Огромное преимущество, сразу минус один жирный вектор атаки: используя TOTP, вы защищены от подмены SIM-карты.

🚫 Как следствие предыдущего пункта — нет необходимости привязывать свой номер телефона к учётной записи. Не страдает ваша анонимность, и меньше звонков из службы безопасности Сбербанка.

📊 Все одноразовые коды всегда у вас в приложении, не возникнет ситуации "смс не приходит". TOTP-приложение полностью автономно — ни мобильная сеть, ни Интернет для работы не требуются. В определённых условиях это может здорово облегчить жизнь.

Завтра рассмотрим примеры TOTP-приложений, и разберём, как их настроить.

@digitaltea | про IT доступно

2FA. TOTP (Часть 2)
#безопасность

Продолжаем разговор про одноразовые пароли.

Примеры популярных TOTP-приложений:
1. Google Authenticator
2. Яндекс Ключ
3. Authy
4. Microsoft Authenticator

Работают они все по одному алгоритму, поэтому выбор — дело вкуса.

Как всё это настроить?
1️⃣ Устанавливаем TOTP-приложение на смартфон.

2️⃣ В настройках учётной записи почты, соцсети и т.п. включаем использование 2FA по TOTP. Обычно это где-то в настройках безопасности.

3️⃣ Сервис покажет QR-код. Сохраните его прямо сейчас‼️ Он понадобится для восстановления доступа, если что-то случится со смартфоном.

4️⃣ В приложении выбираем пункт "Добавить" и сканируем QR-код. В результате сервис добавится в приложение (появится его название и текущий одноразовый код).

5️⃣ Сервис попросит ввести текущий одноразовый код, чтобы убедиться, что всё сделано верно.

6️⃣ Бинго! Теперь при каждом входе в учётку после пароля нужно будет вводить код из TOTP-приложения. Вы сделали свою аутентификацию неудобной безопасной.

Отмечу и минусы использования TOTP
😔 Да, это менее удобно. Безопасность и удобство почти всегда — антагонисты. Но уровень защищённости, который ваша учётка получает, однозначно того стоит.

❗️ Ответственность за сохранность QR-кода от TOTP — полностью на вас. Относиться к этому нужно так же, как к сохранности паролей.

🖼 TOTP-приложение установлено на смартфоне, т.ч. это всё ещё объединение двух факторов аутентификации (логин-пароль и одноразовый код) в одном месте. Это риск при заражении смартфона или попадании его не в те руки. Можно использовать для TOTP отдельный смартфон, но вы правда будете так делать?

👁 Список ваших сервисов хранится в TOTP-приложении, что создаёт риск утечки этой информации к разработчикам приложения/операционной системы.

⚙ Ваша почта, соцсеть и т.п. должны поддерживать 2FA по TOTP. К счастью, всё больше сервисов идут этим правильным путём.

Завтра в заключение разберём важную вещь — меры безопасности при использовании одноразовых паролей.

@digitaltea | про IT доступно

2FA. TOTP (Часть 3)
#безопасность

Безопасность должна быть безопасной (с)
Поэтому при использовании одноразовых паролей важно знать следующие вещи:

🔑 Надёжно сохраните QR-код. Если потеряете его — рискуете лишиться доступа. Если его подсмотрит злоумышленник — лишитесь этого фактора защиты (и в отличие от подмены SIM-карты даже не узнаете об этом до поры). Я советую сделать несколько копий на бумаге и хранить их в разных местах.

🔄 Если всё же потеряли QR-код (все копии), но у вас в руках телефон с вашим TOTP-приложением, то вы сейчас в ситуации, когда всё работает, но без страховки. Советую в этом случае в настройках вашей почты/соцсети отключить 2FA по TOTP и включить заново (сгенерируется новый QR-код, сохраните его).

Оставаться без резервной копии чревато полной потерей доступа. В крайнем случае можно будет доказывать поддержке сервиса, что вы — это вы, но пройдёте семь кругов ада, лучше не доводить. Подтверждено опытом многих пользователей.

⏲ Однажды можете столкнуться с ситуацией, когда вводимые вами TOTP-коды перестанут работать. Не паникуйте. С вероятностью 99,9% произошла рассинхронизация времени между вашим TOTP-приложением и защищаемым сервисом.

Как вы помните, TOTP-коды меняются каждые 30 секунд, и для корректной работы их часы должны быть синхронизированы точнее, чем у разведчиков на задании. Восстановить синхронизацию времени можно нажатием одной кнопки в настройках вашего TOTP-приложения.

Подводя итоги
Использование TOTP — это самый лучший по соотношению эффективность/доступность метод повышения защищённости ваших учётных записей‼️ Его немногие недостатки с лихвой компенсируются получаемым уровнем безопасности.

📌 Один из лучших прикладных советов по информационной безопасности, который я могу вам дать: включите двухфакторную аутентификацию через TOTP везде, где это возможно!

@digitaltea | про IT доступно

Telegram — снова всё. На этот раз в.. ЦРУ.
#напульсе

🤒 Аналитикам ЦРУ США, специализирующимся на России, запретили использовать мессенджер Telegram на служебных компьютерах в целях обеспечения информационной безопасности. Об этом со ссылкой на источники в американской разведке сообщило издательство Bloomberg .

Для понимания: ребята там не в чатиках сидят, у них есть служебный интерес к информации, распространяемой российскими военными блогерами/журналистами в Telegram-каналах.

👁 Впрочем, информация о том, что "западные партнёры" то здесь, то там опасаются использования Telegram в чувствительных областях, проскальзывала в открытых источниках не раз. В прошлом году запрещали Телегу в госучреждениях и во Франции, и в отдельных штатах США.

Но текущая новость была бы однобокой и не попала бы сюда, если бы не было второй части паззла: в российских ведомствах аналогичным образом "не рекомендуют к использованию" WhatsApp, но не Telegram 🙄

✈️ Эх, Паша, Паша.. а помнишь, как в 2018 году мы мусорили запускали бумажные самолётики в поддержку свободной Телеги?..

Так что, если вам необходим гарантированно приватный мессенджер, то.. его не существует 😳 Как и 100-процентной приватности в принципе, увы. Речь всегда о вероятностях.

Для смещения вероятности в свою пользу можете попробовать из относительного ширпотреба Signal или Threema (последний стоит единоразово 5 баксов).

📌 Но если заморачиваться безопасностью переписки серьёзнее, то это в любом случае будут другие, не ширпотребные, инструменты.

@digitaltea | про IT доступно

#иирисует

Завтра наступает новый, 4721-й год по восточному календарю. Тот самый год Дракона.
С наступающим! 🙃

@digitaltea | про IT доступно

Чайный #дайджест №32

Друзья, большую часть уходящей недели мы разбирали такую важную вещь, как двухфакторная аутентификация по TOTP:

☕️ Что такое TOTP
☕️ Как настроить приложения для ТОТP
☕️ Меры безопасности при работе с TOTP

А ещё обсудили:
☕️ Как не подружились Telegram и ЦРУ

Если что-то упустили — можете почитать на досуге.
И поделиться с друзьями 👥

Всем хороших выходных!

@digitaltea | про IT доступно