• Насколько медленнее будет ваша система после патчей для Spectre-Meltdown?




      В начале недели компания Intel выпустила обновление микрокода для большого числа актуальных и устаревших моделей процессоров. Обновление доступно в виде пакетов для Red Hat Enterprise Linux, SUSE Linux Enterprise Server, CentOS, Fedora, Ubuntu, Debian и Chrome OS, позволяющих обновить микрокод без обновления BIOS. Обновление микрокода не отменяет необходимости применения KPTI-патчей к ядру Linux (микрокод необходим для полноценного закрытия уязвимости Spectre);

      Также Intel опубликовала данные об изменении производительности систем с процессорами 6, 7 и 8-го поколений после обновлений безопасности, связанных с закрытием уязвимостей “Spectre” и “Meltdown”, собранные как от пользователей, так и с помощью синтетических тестов.

      Под катом несколько интересных выводов из данных, опубликованных Intel, а также о воздействии патчей на Linux-системы:

      Результаты исследования Intel для клиентских систем

      Читать дальше →
    • Wi-Fi Alliance анонсировал протокол WPA3 с новыми функциями безопасности и разработку стандарта Wi-Fi 802.11ax

      • Перевод


      Wi-Fi Alliance анонсировал долгожданное третье поколение протокола беспроводной безопасности — Wi-Fi Protected Access (WPA3).

      WPA3 заменит существующий WPA2 — протокол сетевой безопасности, который существует не менее 15 лет и используется миллиардами беспроводных устройств каждый день.

      Небезопасность WPA2 уже долгое время обсуждалась специалистами. Переломным моментом стал октябрь 2017 года, когда исследователь Мэти Ванхов (Mathy Vanhoef) обнаружил уязвимость в протоколе WPA2, ставящую под угрозу практически все существующие на данный момент сети Wi-Fi. С ее помощью злоумышленник может осуществить атаку реинсталяции ключей (Key Reinstallation Attack, KRACK) и получить доступ к конфиденциальным данным. Уязвимость вызвала серьезное беспокойство экспертов по безопасности, поскольку содержалась в самом протоколе WPA2.

      Новый стандарт безопасности Wi-Fi, который будет доступен как для персональных, так и для корпоративных беспроводных устройств, должен обеспечить повышенную конфиденциальность с помощью четырех новых возможностей.
      Читать дальше →
      • +10
      • 9,1k
      • 7
    • Проверки и планы Роскомнадзора на 2018 год



        Дед Роскомнадзор весь год ищет операторов персональных данных, которые с точки зрения закона «плохо себя ведут», и выписывает им предписания. В этой статье мы хотели бы рассказать о том, как это происходит, а ещё немного раскрыть планы «дедушки» на 2018 год. Чудесно, если это кому-то поможет подготовиться заранее и избежать проблем.
        Читать дальше →
      • Как не надо писать на Хабр: Антирейтинг 2017



          Обсуждая результаты анализа статей за 2017 год, мы пришли к выводу, что нам и другим хабровчанам интересны не только лучшие публикации, но также любопытно было бы узнать какие статьи и комментарии были худшими. Сегодня мы публикуем антирейтинг публикаций и комментариев на Хабрахабре в 2017-ом. Сделано это потому, что на чужом негативном опыте можно многому научиться, оставить эти ошибки в уходящем и не повторять их в новом году. Других целей этот пост не несёт, просьба отнестись к этому с пониманием.
          Читать дальше →
        • Анализ публикаций на Хабрахабре за 2017 год. Статистика, полезные находки и рейтинги



            Подходит к концу 2017 год. Пришло время подвести некоторые итоги. Каким был этот год на Хабрахабре? Чтобы ответить на этот вопрос мы, в Cloud4Y, решили собрать статистику по всем публикациям за прошедший с начала года период. В этой статье мы расскажем о том, что показалось нам наиболее интересным.

            С 1 января по 18:00 22 декабря 2017 года на Хабрахабре было опубликовано 10684 поста, которые посмотрели около 123 миллионов раз! Мы не включили в счёт 46 мегапостов и публикации, которые были скрыты или перенесены на Geektimes. В среднем в месяц публиковалось около 900 постов, а рекордным стал март.


            Читать дальше →
          • Чем опасны социальные сети на рабочем ПК?

            • Перевод


            Исследователи компании Trend Micro обнаружили новый бот-майнер криптовалюты, распространяющийся через Facebook Messenger. Впервые он был замечен в Южной Корее и получил прозвище Digmine. Также наблюдалось распространение Digmine в других регионах, таких как Вьетнам, Азербайджан, Украина, Вьетнам, Филиппины, Таиланд и Венесуэла.
            Читать дальше →
            • –6
            • 8,3k
            • 7
          • Технология добра



              Привет Хабр! Мы позволили себе опубликовать пост, который не про ИТ. И дело вот в чём.
              На днях нам пришло письмо от клиента (благотворительной организации “Ванечка”), в котором говорилось о том, что у него накопилась задолженность и нет денег на оплату услуг и непонятно точно, когда будут. Немного пообщавшись с основателями организации, мы приняли решение задолженность аннулировать.

              Но нам захотелось как-то еще помочь проекту, Новый год все-таки. В результате родилась простая идея, которая надеемся станет традицией: каждый год за 1-2 недели до нового года мы будем публиковать 1 пост на уважаемом Хабрахабре о сборе средств на благотворительные нужды.

              Итак, в этом году наш пост посвящается благотворительному проекту “Ванечка” и в частности подпроекту “Наши дети”.
              Читать дальше →
            • FAQ по теме интеграции с ЕСИА



                Изменения в законодательстве, начинающие действовать с начала 2018 года и включающие в себя самые разнообразные области нашей с вами жизнедеятельности (закон о мессенджерах, о телемедицине и т.д.) объединяет одно – все большее проникновение информационных сервисов в нашу жизнь. Естественным является факт, что как и в реальной жизни, для получения человеком какой-либо услуги ему требуется пройти идентификацию. В офф-лайновой жизни средством авторизации является паспорт гражданина, а в он-лайн сфере таковым средством правительство решило признать ЕСИА — единая система идентификации и аутентификации.

                Вот о ней и хотелось бы поговорить. Это ознакомительная статья, можно сказать ликбез. Для знакомства людей, которые еще не знают, что при необходимости можно использовать ЕСИА у себя в проектах и идти в ногу со временем вместе с государством. И так, что же это за зверь и как его рассматривает правительство.
                Читать дальше →
              • Как проверить автомобиль перед покупкой: используем доступные в Интернете базы данных и логику



                  Согласно данным аналитического агентства «АВТОСТАТ», по итогам октября 2017 года объем рынка легковых автомобилей с пробегом в России составил 473 тыс. единиц, а по итогам 10 месяцев 2017 года — около 4,4 млн единиц, что на 1,5% больше, чем год назад.

                  Источник: www.autostat.ru/press-releases/32145

                  Ни для кого не секрет, что в этой доходной сфере помимо добросовестных продавцов попадаются мутные товарищи, а иногда и отъявленные мошенники. Любовь наших сограждан к халяве и правовые особенности владения транспортными средствами оставляют множество возможностей для желающих несправедливо получить золото семейного запаса обычных российских граждан.

                  Однако, благодаря некоторым усилиям государственных органов и прочих организаций у нас появилась возможность довольно оперативно собирать интересующую информацию о конкретных автомобилях по открытым источникам в Интернете. Как делать это быстро и бесплатно, мы постараемся рассказать в этой статье.
                  Читать дальше →
                • Кто в медицине ИСПДн в соответствие с законом приводил, тот в цирке не смеётся



                    Данной статьей хотелось бы как-то помочь медицинским организациям справиться с выполнением первичных мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах.

                    Итак, что же необходимо сделать в первую очередь. Если кратко, то привести свои системы в упорядоченный вид, то есть определиться с тем, что у нас имеется и тщательно задокументировать это.

                    Роскомнадзор, осуществляя проверки, в первую очередь контролирует именно исполнение положений закона с юридической точки зрения, а не техническую часть. Поэтому отсутствие хотя бы одного организационно-распорядительного документа, необходимого по закону, будет означать для них нарушение. Много ли нужно задокументировать?
                    Читать дальше →
                  • Ошибки операторов ПДн, связанные с кадровой работой



                      Прошло более 10-ти лет с момента принятия Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», однако надзорная деятельность Роскомнадзора показывает, что далеко не все еще освоились с практикой его применения. В частности, в статистике за 2016-й год явно просматривается одна из типичных ошибок операторов, в большинстве случаев, связанная с кадровой работой (видимо, как наиболее распространенная деятельность), а именно:
                      «Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») – примерно 9% от общего количества выявленных в 2016 году нарушений.»

                      Давайте попробуем еще раз взглянуть на данную проблематику. Тем более, благодаря нововведениям в законодательстве, штрафы значительно выросли.
                      Читать дальше →
                    • Сравниваем то, что нельзя: дешевый хостинг и облако на стеке VMware

                        Причина, по которой мы решили написать этот пост, связана с существующим непониманием значительных отличий услуг хостинг-дискаунтеров и услуг корпоративного облачного провайдера. Конечно, из этого следует закономерный вопрос: «А почему облачные услуги стоят дороже?», ведь часто сравниваются в первую очередь именно цены. Облачный сервер «проигрывает» условному хостингу «за 99 руб./месяц» по цене, но ведь так сравнивать нужно «яблоки с яблоками», а не «яблоки с долькой мандарина». Хорошо, что попробовать можно и то и то, в итоге поняв, что подходит «по вкусу».

                        Читать дальше →
                      • Детям — мороженое, информационной системе — бэкап



                          Все люди делятся на две категории: те, кто еще не делает бэкапы, и те, кто уже делает бэкапы.

                          Говорить о важности резервного копирования данных и о рисках, связанных с отсутствием такового, считаю излишним. Думаю, в этом вопросе все будут солидарны – резервные копии нужны!

                          В мнении по этому вопросу, к нам присоединились и правительство со своей карающей дланью, и регулирующие органы в области защиты информации. Все мы помним требования законодательства, озвученны в 17-м, 21-м и 31-м Приказах ФСТЭК. Так же регуляторами кредитно-финансовой сферы сформированы требования к резервированию и резервному копированию.

                          А с 1 января 2018 года к ним добавится (вступит в действие) и Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который нам так же говорит, что одной из четырех «Основных задач системы безопасности значимого объекта критической информационной инфраструктуры является:» «восстановление функционирования значимого объекта критической информационной инфраструктуры, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации».

                          Таким образом, данными требованиями охвачены фактически юрлица во всех сферах. А что у нас большего всего любят регуляторы?
                          Читать дальше →
                        • Сравниваем Bitcoin с iPhone X, долларом и золотом



                            Мы не будем выступать на стороне защитников bitcoin или их противников. Мы просто сравним биткоин с продукцией Apple, национальными валютами и золотом. Выводы о том, какое место займет биткоин в будущем каждый сможет сделать сам.
                            Деньги — специфический товар, обладающий наивысшей ликвидностью, служащий измерителем стоимости других товаров и услуг. Одна из функций денег — роль посредника при обмене одних благ на другие.
                            Для начала из этого определения возьмем следствие о возможности сравнивать наборы товаров по ликвидности и делать выводы о наибольшей способности специфического товара стать или являться деньгами.

                            Bitcoin vs iPhone X

                            Читать дальше →
                          • Облака из неведомой страны. FAQ по облачным технологиям

                              Прям над ними плыло легкое облако.
                              — Слушай, давай поедем в Тили-мили-трямдию! — предложил Медвежонок. — Говорить по-ихнему мы умеем. Смотри, какое хорошее слово: «Трям»!
                              — Трям? Очень хорошее слово, — сказал Ёжик. — А что оно означает?
                              — Трям — по-тили-мили-трямски значит «здравствуйте!»



                              Специалисты в облачных технологиях используют многочисленные термины, описывающие особенности виртуализированных решений. Эти термины входили в лексикон постепенно и для описания технической или маркетинговой специфики. При этом изначально описывался их смысл, а затем им присваивались имена. Спустя десятилетие с начала бурного развития «облаков» профессиональный сленг затрудняет понимание сути облачных продуктов для бизнеса и людей, которые ранее не знали или воспринимали облачные технологии как новостной фон, не вникая в содержание.

                              В статье мы постараемся выступить в роли переводчика с маркетингово-технического языка облачного провайдера на более общепонятный, ограничивая использование слов, находящихся на периферии словарного состава языка и не обладающих качеством коммуникативной общезначимости.
                              Читать дальше →
                            • Роскомнадзор и все-все-все

                                Ранее мы уже писали о том, что Роскомнадзор пригрозил заблокировать Facebook и об итогах проверок выполнения требований, связанных с локализацией персональных данных. Прошедший месяц ведомство не бездействовало, поэтому сегодня мы хотели бы акцентировать внимание сообщества на нескольких новостях.

                                В России вступил в силу закон об анонимайзерах


                                С 1 ноября в России вступают в силу поправки в Федеральный закон «Об информации, информационных технологиях и о защите информации», которые определяют обязанности для владельцев VPN-сервисов, «анонимайзеров» и операторов поисковых систем по ограничению доступа к информации, распространение которой в России запрещено.

                                Исполнение новых норм Федерального закона осуществляются на основании обращения в Роскомнадзор федерального органа исполнительной власти, осуществляющего оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, т.е. МВД и ФСБ.

                                К обязанностям владельцев VPN-сервисов и «анонимайзеров» относится ограничение доступа к запрещенным в Российской Федерации интернет-ресурсам. Данная норма так же распространяется на операторов поисковых систем.



                                Требования закона не распространяются на операторов государственных информационных систем, государственные органы и органы местного самоуправления, а также на случаи использования «анонимайзеров» и сервисов VPN при условии, что круг пользователей заранее определен их владельцами и использование таких ПО осуществляется в технологических целях обеспечения деятельности лица, осуществляющего их использование, например, в банковской деятельности или прочие корпоративные сети.
                                Читать дальше →
                              • Подделка письма электронной почты почти от любого человека менее чем за 5 минут и способы защиты



                                  Что такое аутентификация электронной почты?


                                  На протяжении большей части последних 40 лет пользователям приходилось совершать прыжок веры каждый раз, когда они открывали электронную почту. Считаете ли вы, что письмо действительно приходит от того, кто указан в графе отправителя? Большинство легко ответит «да» и на самом деле очень удивится, узнав как легко подделать электронную почту почти от любого отправителя.

                                  При создании Интернета изначально не было разработано никакой возможности проверить личность отправителя. Во время разработки основных протоколов электронной почты, затраты на вычислительную мощность, реализацию и простоту использования были уравновешены с риском мошенничества. Тяжело было предположить, что 84% всей электронной почты в будущем будут иметь вредоносную нагрузку и являться фишингом или спамом.

                                  Результатом является то, что заголовки писем, включая поля «From: » и «Reply-to: », очень легко подделать. В некоторых случаях это так же просто, как набрать «john@company.com» в поле «From: ». Объединив это с неподозрительным содержанием, убедительной графикой и форматированием, вполне возможно обмануть людей, подумавших, что сообщение в их почтовом ящике действительно пришло от банка, ФНС, руководителя или президента США.



                                  Приняв во внимание повсеместное распространение электронной почты, вы осознаете основу нашего нынешнего кризиса информационной безопасности. Слабость в электронной почте привела к массе фишинговых атак, направленных на то, чтобы заставить людей нажимать на вредоносные ссылки, загружать и открывать вредоносные файлы, отправлять форму W-2 (аналог 2-НДФЛ в США) или переводить средства на счета преступников.
                                  Читать дальше →
                                • «Лучшие практики» для построения отношений руководителя-гуманитария с разработчиками

                                  • Перевод


                                  Как менеджер-гуманитарий, вы понимаете, что разработчики — новый вид, живущий в офисах по всему миру. Они часто нуждаются в вашей помощи, когда речь идет о социальном взаимодействии с другими Homo sapiens. Руководитель-непрограммист может использовать этот набор «лучших практик», если хочет эффективно испортить свои отношения с разработчиками.

                                  1. Начинайте говорить с разработчиком, только когда он в наушниках


                                  Все мы знакомы с этим странным поведением. Общей отличительной чертой всех разработчиков является то, что они интроверты. Когда они надевают наушники, они сигнализируют вам, что им надоела их текущая работа и срочно требуется социальное взаимодействие. Не заставляйте разработчика ждать слишком долго и поторопитесь к нему со свежими офисными сплетнями или новеньким багом в софте.
                                  Читать дальше →
                                • VMware vCloud Director. Что нового в версии 9.0?



                                    VMware vCloud Director (vCD) — проверенное решение, которое помогает провайдерам облачных услуг предоставлять услуги множественной аренды IT-инфраструктуры (Multi-Tenant Infrastructure-as-a-service, IaaS). vCloud Director предлагает решение для гибридных облаков «под ключ» в инфраструктуре vSphere. Какими новыми возможностями расширен функционал портала «самообслуживания» (Tenant portal) vCloud Director версии 9.0, который вышел на днях?

                                    Улучшенный пользовательский интерфейс


                                    Полностью обновлённый пользовательский интерфейс на HTML5 ориентирован на упрощение использования облака арендаторами. Веб-консоль, работающая на технологии Adobe Flex, по-прежнему доступна. Чтобы получить доступ к новому пользовательскому интерфейсу арендатора, пользователям необходимо войти в систему с URL-адресом:

                                    https://{vCD _URP_IP}/Tenant/{organization_name}

                                    Ключевые процессы клиентов, такие как создание экземпляров vApp, развертывание новых виртуальных машин, изменение сетевой топологии и прочие, были переработаны с целью повышения простоты и эффективности. К примеру, новую виртуальную машину теперь можно создать на одном экране интерфейса с несколькими опциями, ранее для этого требовалось семь шагов.


                                    Демонстрация возможностей vCloud Director 9.0 HTML 5 Tenant Portal
                                    Читать дальше →
                                  • Что известно об атаке на цепи поставок CCleaner

                                    • Перевод


                                    Атака на цепи поставок или атака с эксплуатацией доверия к сторонней организации (supply-chain attacks) — очень эффективный способ распространения вредоносного программного обеспечения в целевые организации. Это связано с тем, что при атаках на цепи поставок злоумышленники пользуются доверительными отношениями между производителем/поставщиком и клиентом, чтобы атаковать организации и отдельных лиц по различным мотивам. Червь Petya/Nyetya/NePetya, который был выпущен в сеть в начале 2017 года, показал насколько масштабны эти типы атак. Часто, как и в случае с Petya, исходный вектор атаки может оставаться скрытым в течение некоторого времени.

                                    Недавно исследователи Talos заметили случай, когда серверы загрузки, используемые компанией-разработчиком для распространения легитимного пакета программного обеспечения, были использованы для загрузки вредоносного ПО на компьютеры ничего неподозревающих жертв. В течение некоторого периода версия CCleaner 5.33, распространяемая Avast, содержала многоступенчатую вредоносную нагрузку. 5 миллионов новых пользователей загружают CCleaner в неделю. Учитывая потенциальный ущерб, который может быть вызван сетью зараженных компьютеров подобного размера, решено было действовать быстро. 13 сентября 2017 года Cisco Talos уведомила Avast. В следующих разделах будут обсуждаться конкретные детали, касающиеся этой атаки.

                                    Технические подробности

                                    Читать дальше →
                                  Самое читаемое