Обновить

Информационная безопасность

Сначала показывать
Порог рейтинга

Как защитить коммерческую информацию и сохранить преимущество — вебинар 15 мая

Почти треть утечек информации в прошлом году происходила в сфере торговли.  Специфические информационные активы отрасли торговли — прайс-листы, документация с коммерческими условиями — это коммерческая ценность для злоумышленников.

Приглашаем на вебинар «Как защитить коммерческую информацию и сохранить преимущество» 15 мая в 11:00. Участие бесплатное.

Спикер — Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor.

На вебинаре обсудим, в чем сложность защиты коммерческих данных и sale-информации и почему не все DLP-вендоры могут обеспечить их защиту и данные продолжают утекать. На примере кейсов заказчиков DLP-системы InfoWatch Traffic Monitor расскажем, как мы в InfoWatch решили эту задачу.

Регистрация на нашем сайте.

Теги:
Всего голосов 2: ↑2 и ↓0+2
Комментарии0

Сегодня в 18:00 генеральный директор Онлайн Патента Алина Акиншина выступит на вебинаре "Защита интеллектуальных прав на IT-разработки".

Вебинар поможет разобраться в регистрации интеллектуальных прав на IT-разработки, рисках и способах их защиты.

Мы обсудим, как зарегистрировать программное обеспечение и код стартапа, а также какие методы охраны — регистрация, депонирование, патентование или сохранение в тайне — лучше подходят для IT-продуктов.

Эксперты расскажут о рисках и возможностях регистрации прав, а также о том, как фиксировать права при участии нескольких авторов. Особое внимание уделим структурированию сделок между индустриальными партнерами и студенческими стартапами, особенно в контексте выпускных работ.

❓ Слушатели смогут задать вопросы и получить рекомендации по сложным ситуациям, с которыми сталкиваются молодые предприниматели и разработчики.

Регистрация по ссылке.

Теги:
Всего голосов 4: ↑4 и ↓0+4
Комментарии0

Приглашаем на вебинар, посвященный последним обновлениям IVA MCU — ведущей платформы видеоконференцсвязи на российском рынке*

Вы узнаете, как новая версия помогает повысить безопасность коммуникаций, упростить внедрение и сделать работу сотрудников комфортной и продуктивной. Наши эксперты продемонстрируют интерфейс, расскажут о новых функциях с ИИ, покажут реальные кейсы внедрения и ответят на все ваши вопросы.

Спикеры

  • Дмитрий Журавлев, директор по продукту IVA MCU

  • Дмитрий Чугунов, руководитель управления поддержки продаж

Что вас ждет

  • Обзор ключевых функций новой версии IVA MCU

  • Экскурс: как мы обеспечиваем безопасность платформы

  • Примеры успешного внедрения

  • Дорожная карта развития на 2025 год

  • Ответы на вопросы

Зарегистрироваться прямо сейчас.

 *По данным CNews Analytics: Крупнейшие поставщики решений для видеоконференцсвязи 2023.

Теги:
Всего голосов 2: ↑2 и ↓0+2
Комментарии0

Задача о поиске флага в журналах системы

Несложная задача с CTF-турнира. Будет интересна всем, кто интересуется информационной безопасностью.

Условие
Представьте, что вы — дежурный инженер. Вместе с коллегами вы ежедневно фиксируете состояние информационной системы в специальном журнале. Этот документ помогает определять угрозы и вовремя на них реагировать.

Однажды ваши коллеги рассказали, что где-то на странице журнала находится флаг. Но вот где именно — не раскрыли. Попробуйте найти этот флаг без подсказок коллег.

Задача
Найдите флаг — строку в формате slcctf{}. Чтобы выполнить задание, перейдите на страницу http://findme.slcctf.fun/.

Делитесь своим решением в комментариях. А правильный ответ можно посмотреть в Академии Selectel.

Теги:
Всего голосов 3: ↑3 и ↓0+5
Комментарии0

Продолжая тему взаимодействия с MITRE насчёт CVE. В прошлый раз я обращался к MITRE из-за нежелания вендора Docker создавать CVE. Теперь же я попытался внести уточнение к существующей записи CVE-2018-14847, описание которой не слишком точное:

MikroTik RouterOS through 6.42 allows unauthenticated remote attackers to read arbitrary files and remote authenticated attackers to write arbitrary files due to a directory traversal vulnerability in the WinBox interface.

По такому описанию можно подумать, что уязвимы абсолютно все версии ниже 6.42. На самом деле это не так. Более точное описание есть у вендора MikroTik:

Versions affected:

  • Affected all bugfix releases from 6.30.1 to 6.40.7, fixed in 6.40.8 on 2018-Apr-23

  • Affected all current releases from 6.29 to 6.42, fixed in 6.42.1 on 2018-Apr-23

  • Affected all RC releases from 6.29rc1 to 6.43rc3, fixed in 6.43rc4 on on 2018-Apr-23

Но, и оно не совсем правдивое. Как минимум версия 6.28 уязвима (проверял используя этот эксплоит). Я обратился в MITRE через эту форму (выбрал "Request an update to an existing CVE Entry"), объяснив всё это. В итоге MITRE лишь добавили ссылку на описание уязвимости от вендора (обновление от 28.04.2025). Это в очередной раз подтверждает, что при оценке угроз не стоит полностью полагаться ни на CVE, ни на информацию от вендора. О чём говорю не только я. Был у меня личный опыт, показывающий неточность в описании уязвимых версий со стороны вендора: Cisco UCS Manager. А если пытаться смотреть на CVE, указанные вендором по этой проблеме - так каши в голове становится лишь больше: в CVE речь о версиях bash (а какая версия bash в какой прошивке и оборудовании есть - в CVE не указывается).

Теги:
Всего голосов 2: ↑2 и ↓0+2
Комментарии0

ГОСТ Р 56939-2024 – Разработка безопасного программного обеспечения (РБПО)

20 декабря 2024 года введён ГОСТ Р 56939-2024 взамен ГОСТ Р 56939—2016. Хотя уже прошло около полугода, не все про это знают, осознают это или как-то подстраиваются под произошедшие изменения :) А изменения есть, так как новый ГОСТ ориентирован на построение и контроль процессов, обеспечивающих цикл безопасной разработки в компании.

Update 2026. Публикации в канале, вебинары и другие ресурсы легли в основу создания информационной подборки о разработке безопасного программного обеспечения по ГОСТ Р 56939‑2024 – ГОСТ56939.РФ

Несколько информационных моментов.

1. Цикл публикаций в моём канале "Бестиарий программирования" на тему РБПО

Я начинаю большой цикл публикаций в Telegram, посвящённый РБПО и ГОСТ Р 56939-2024. Приглашаю подписываться всех, кто хочет постепенно знакомиться с этой темой и разбираться в ней.

2. Вебинары РБПО-направленности

Мы уже провели совместно с другими компаниями два вебинара, связанных с ГОСТ Р 56939-2024:

  1. Интеграция статического анализа и DevSecOps: PVS-Studio и AppSec.Hub в действии.

  2. Внедрение процессов безопасной разработки. Интеграция PVS-Studio и SGRC SECURITM.

Приглашаем принять участие в следующем совместном с "ИНСЕК" вебинаре "Регулярный статический анализ по ГОСТу" (21 мая 12:00 по Москве), где они презентуют InSeq RBPO.

Приглашаем и другие компании к технологическому и/или информационному сотрудничеству. Напишите нам в поддержку или моему ассистенту.

3. Сертификация ФСТЭК

В последнее время нас спрашивают, подходит ли PVS-Studio для сертификации, и есть ли у нас сертификат ФСТЭК?

Для PVS-Studio нет сертификата ФСТЭК, так как он не нужен (для статических анализаторов процедура сертификации является добровольной).

PVS-Studio может использоваться как инструментальное средство статического анализа кода при построении процессов РБПО по ГОСТ Р 56939-2024.

PVS-Studio успешно применяется испытательными лабораториями, аккредитованными в системах сертификации средств защиты информации ФСТЭК России в рамках работ по сертификационным испытаниям программных продуктов, так как соответствует необходимым критериям (для заказчиков и сертификационных лабораторий мы подготовили информационное письмо):

  • PVS-Studio включён в Реестр российского ПО (запись № 9837 от 18.03.2021);

  • PVS-Studio удовлетворяет функциональным требованиям к инструментам статического анализа кода, описанным в Методическом документе "Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении" (издание второе, доработанное, утверждён ФСТЭК России 25 декабря 2020 г.);

  • продукт разрабатывается с учётом требований, предъявляемых к статическим анализаторам в ГОСТ Р 71207–2024.

Подробнее: Сертификация ФСТЭК. Если у вас есть вопросы, напишите нам в поддержку или позвоните по телефону +7(903)844-02-22.

 

 

Теги:
Всего голосов 7: ↑6 и ↓1+8
Комментарии8

В феврале 2025 вышел релиз Docker Engine 28.0.0, устранивший проблемы безопасности:

Fix a security issue that was allowing remote hosts to connect directly to a container on its published ports. moby/moby#49325
Fix a security issue that was allowing neighbor hosts to connect to ports mapped on a loopback address. moby/moby#49325

В официальном блоге вышла статья с подробностями проблемы и возможными сценариями атак. Но, CVE заводить разработчики не захотели. Я не знаю какими принципами руководствовались разаботчики. По мне слова "Fix a security issue" тождественны созданию CVE. Я обратился в MITRE с описанием ситуации через эту форму (выбрал Request type - other). И получил такой ответ:

Thanks for the submission. We will treat this as a dispute/escalation request and reach out to Docker next. Hopefully that will spur them on to assign (it often does) but if not, we will take a look at assignment. 

Once we hear back we'll let you know if they changed their mind and decided to assign or what the next steps will be.

Надеюсь, CVE заведут. Мне и моим коллегам по цеху по безопасности гораздо удобнее оценивать безопасность архитектуры, имея единый источник проблем безопасности (база CVE). А не рыскать по всему интернету, пытаясь собрать воедино информацию о проблемах безопасности конктерных продуктов, придумывая какие-то запросы, вовзращающие релевантную информацию. Даже если описание в самом CVE сухое - всегда проще искать подробности по уникальному идентификатору CVE, чем выдумывать разные запросы для каждого конктерного продукта.

К сожалению, нежелание признавать CVE со стороны различных разработчиков случается периодически. В моей практике была ситуация, когда разработчик не просто не хотел заводить CVE, а ещё и желал, чтоб я сам отозвал CVE. После моего отказа пытался CVE оспорить (но, неудачно). Подробности - в статье "Как я зарегистрировал CVE и разозлил вендора"

Теги:
Всего голосов 6: ↑6 и ↓0+10
Комментарии0

Личный кабинет налогоплательщика, или как потерять доступ, если бы не длинный буфер обмена Windows 11

Обнаружил сценарий, при котором можно потерять доступ к личному кабинету (ЛК) налогоплательщика, если не сохранять в отдельном месте генерируемые пароли.

  1. Входим в ЛК.

  2. Нажимаем "Изменить пароль" в настройках профиля.

  3. Генерируем пароль сторонним сервисом, назовем его "Пароль 1".

  4. Вводим пароль, сохраняем.

  5. Вдруг система говорит, что в пароле нет цифр!..

  6. Хорошо, генерируем новый пароль, с цифрами.

  7. Вводим новый пароль... О-па, а в поле "Старый пароль" уже неверный пароль.

  8. Нервно ищем Пароль 1. Оказывается, что он применился, несмотря на ругань системы. Если не нашли, то всё... Мне помог длинный буфер обмена Windows 11.

Шёл 21-й век.

Теги:
Всего голосов 1: ↑1 и ↓0+1
Комментарии6

У пенсионера из США c помощью социальной инженерии украли 3520 биткойнов на $330 миллионов. Мошенники потом кучу раз дробили сумму и отмыли её через 300 кошельков и 20 бирж. Большую часть денег вообще перевели в XMR — монету, которую трудно отследить. Эксперты говорят, что вернуть эти криптоактивы пострадавшему невозможно.

Теги:
Всего голосов 1: ↑1 и ↓0+1
Комментарии4

ИБ-дайджест InfoWatch


Утечка данных оператора связи
Телекоммуникационная компания MTN Group сообщила об утечке ПДн абонентов, подчеркнув, что это не повлияло на работу ее сети.

Кибератака на телеком-оператора
Корейский оператор SK Telecom расследует хакерский взлом — злоумышленники использовали вредоносное ПО и завладели ПДн клиентов.

NGFW: останется только один
Поделились, каким требованиям должны соответствовать полноценные NGFW: в том числе требуются высокая отказоустойчивость, регулярное обновление ПО и стабильная производительность, соответствующая сетевой инфраструктуре бизнес-заказчика.

Форум безопасного Интернета
На «XIV Форуме безопасного Интернета» рассказали про архитектуру мошенничества и противодействие подобным манипуляциям в докладе «Как активировать психологическую защиту пользователей».

Теги:
Всего голосов 2: ↑2 и ↓0+2
Комментарии0

Телеграм, дай возможность отозвать заявки в группы! Это же базовый функционал!

Знаете, что меня недавно выбесило в любимом мессенджере? Отсутствие элементарной, казалось бы, функции: списка поданных заявок в группы и каналы.

История банальна до смешного. Вечер, пишет какой-то аккаунт, кидает ссылку на группу "взаимной подписки". Мозг отключен, палец машинально жмет "Подать заявку". Через час доходит – зачем мне это? Лезу в диалог, а приглашение уже удалено. Название группы? Не помню. Ссылка? Потеряна.

И тут начинается паранойя. А что, если это была какая-то мутная группа? Что, если ее завтра переименуют во что-то совершенно неприемлемое? А я там буду висеть в "кандидатах на вступление", и отозвать заявку НЕ МОГУ, потому что я ее тупо не вижу!

Я перерыл все настройки – бесполезно. Telegram не показывает список твоих активных, еще не одобренных заявок. Ты просто сидишь и надеешься, что пронесет, или что админ той самой группы (которую ты даже не помнишь) отклонит твой запрос.

В моем случае все разрешилось относительно мирно. Через пару дней меня приняли в очередной канал про "успешный успех". Фух, пронесло.

Но сама ситуация – дичь! Почему я не могу контролировать, куда я "постучался"? Почему нельзя посмотреть список своих ожидающих заявок и отменить ненужные? Это же базовая гигиена цифровой безопасности и просто здравый смысл!

Как-то неловко случайно "подписаться" на неизвестно что без права на отмену.

Кто-нибудь еще сталкивался с такой проблемой?

Теги:
Всего голосов 7: ↑6 и ↓1+6
Комментарии5

Как защитить антивирусную программу в Роспатенте

В сфере программного обеспечения развито пиратство, особенно в России. Призвать к ответственности нарушителя бывает непросто, особенно если программа не прошла официальную регистрацию. Защитить права на антивирус можно при помощи авторского права и патентной системы. 

Как устроена правовая защита компьютерных программ

Программы для ЭВМ, как и базы данных, относятся к авторскому праву. В России объекты авторского права не подлежат официальной регистрации, но для программ и баз данных сделано исключение. Их можно официально защитить в Роспатенте. Фактически это обычное депонирование — копия программы помещается в хранилище. По закону права на программу будут принадлежать разработчику и без такой регистрации, но их будет сложнее доказать. 

Защита распространяется именно на код программы на конкретном языке. Если кто-то сделает такой же антивирус на другом языке программирования или украдет саму концепцию защиты, то доказать нарушение прав будет почти невозможно. 

Если удалось придумать действительно новаторскую антивирусную программу, можно попробовать оформить на неё полноценный патент на изобретение. Так поступает тот же Яндекс. Шансы повышаются, если вместе с описанием концепции защиты регистрируется специальное устройство. В ходе такой регистрации получится получить защиту на 20 лет, как для изобретения.

Как зарегистрировать программу в Роспатенте

Чтобы зафиксировать свои авторские права, нужно подать в Роспатент соответствующий пакет документов с заявлением. Должна быть представлена копия программы и реферат, который будет в случае успеха размещен в открытом доступе в реестрах ФИПС. Перед подачей документов нужно уплатить государственную пошлину. Для юридических лиц она составляет 4500 рублей, а для физических лиц — 3000 рублей. После принятия документов около двух месяцев осуществляется проверка документов и непосредственно регистрация программы с публикацией данных в реестре. 

Если регистрировать программу в качестве изобретения, то процесс будет гораздо сложнее. Будет нужно пройти проверку на уникальность и изобретательский уровень, что в случае с регистрацией программы довольно сложно. Пошлины также будут выше, придется заплатить отдельно за формальную проверку и проверку по существу. Однако и защита в итоге будет более существенной.

Теги:
Всего голосов 4: ↑4 и ↓0+4
Комментарии0

Некоторые контейнеры (docker, например) могут внутри себя использовать iptables. Это означает, что и port knocking можно реализовать прямо в контейнере. Популярные вопросы: зачем нужен port knocking и какой смысл делать его в контейнере? Port knocking может снизить обнаружение сервиса (вместо попыток бороться с последствиями, когда сервис уже обнаружен: брутфорс, эксплуатация уязвимости). В случаях, когда нельзя использовать ACL. Особенно актуально в условиях, когда компании не успевают оперативно устранять уязвимости. В контейнере эта мера может быть полезной как подстраховка: если firewall (на хостовой системе или роутере) внезапно ослабнут правила защиты. Также это поможет разгрузить правила firewall хостовой системы.
Безусловно, port knocking, как и любая технология, не является "серебряной пулей". И в общем смысле не является заменителем какой-то другой. Но, используя port knocking совместно с другими решениями, можно существенно повысить безопасность сервисов. Внедрение данной защиты также потенциально увеличит доступное время для устранения уязвимости (пока её не начнут пытаться эксплуатировать на защищаемом сервисе). Использование port knocking также приводит к уменьшению логов. А, значит, логи проще обрабатывать. Кроме того, эта мера поможет решить проблему безопасности: доступности портов контейнеров NotCVE-2025-0001 (если используется docker версии ниже 28).
О проблемах на практике при внедрении port knocking, вариантах решения самых частых проблем и нюансах использования в docker контейнерах рассказано в этой статье. Сам скрипт для использования port knocking в docker контейнере тут.

Теги:
Рейтинг0
Комментарии0

Ближайшие события

Кадр из к\ф "Бриллиантовая рука"
Кадр из к\ф "Бриллиантовая рука"

Интересное продолжение истории о получении CVE для уязвимости в блокчейне Hyperledger Fabric. Разработчики не признают уязвимость. Это при том, что они внесли изменения, устраняющие проблему. Когда я им сообщил, что по моему обращению в MITRE присвоен идентификатор CVE - сказали, что нужно отозвать CVE: код ведь работал так, как и задумано. Как я понял, разработчики сочли, что MITRE создали идентификатор CVE автоматически, не вникая в суть моего обращения (что противоречит практике моих знакомых, у которых MITRE в ряде случаев запрашивало дополнительные данные перед назначением CVE). По этой причине, разработчики пытаются оспорить CVE (UPD: судя по обновлению от 12.09.2024, оспорить не вышло). Видимо, про уязвимость небезопасного дизайна из OWASP Top 10, они не слышали. Кроме того, по классификации, уязвимость попадает в OWASP Smart Contract Top 10: Timestamp Dependence. Допускаю, что разработчики об этом не знают. К сожалению, я им сообщить этого не могу: моё обращение на HackerOne разработчики закрыли, что заблокировало возможность мне добавлять текст к обращению. Я, кстати, не слышал, чтоб какой-либо идентификатор CVE был аннулирован. UPD: бывают отозванные CVE: CVE-2023-4881.

Лично у меня от этой истории сложилось такое впечатление: разработчики считают, что только они вправе определять: что является уязвимостью, а что - нет. Игнорируя при этом сложившуюся практику взаимодействия исследователей безопасности с MITRE.

Подробности - в статье "Как я зарегистрировал CVE и разозлил вендора"

Теги:
Всего голосов 2: ↑2 и ↓0+4
Комментарии2

Манипуляция временем транзакции в блокчейне Hyperledger Fabric - уязвимость (теперь официально).
Мне удалось добиться назначения идентификатора CVE (CVE-2024-45244) уязвимости, связанной с манипуляцием времени транзакции (о чём писал на Хабре) в блокчейне с открытым исходным кодом Hyperledger Fabric. Разработчик выпустил исправление, но не счёл это уязвимостью (о чём я узнал в переписке, по моему обращению на HackerOne). В итоге, мне пришлось самостоятельно заниматься процессом назначения CVE (воспользовавшись найденной мной на Хабре статьёй). Между обращением в MITRE и назначением CVE прошло чуть менее 2-х недель. UPD 13.09.2024 разработчик пытался оспорить, что это уязвимость - не вышло (подробнее в статье Как я зарегистрировал CVE и разозлил вендора).

Согласно результатам голосования на моём докладе на конференции по кибербезопасности OFFZONE, все участники согласились, что манипуляция временем транзакции является уязвимостью. Исправление сделали в версии 3.0.0 (в ветке 2.5.х продолжили выпускать версии без исправления). В качестве защиты, можно воспользоваться моей open source разработкой.


Блокчейн активно используется в разных сферах: цифровые валюты центробанков (Беларусии, Нигерии), операторами информационных систем цифровых финансовых активов, электронное голосование, энергетика, здравоохранение и др.

Теги:
Всего голосов 2: ↑2 и ↓0+4
Комментарии0

Опять про замедление ютуба
Сначала факты:
Некий депутат заявил, что скорость ютуба снизилась и снизится еще сильнее
https://t.me/Hinshtein/7276
Потом он же объяснил, что связано это с техническими проблемами, а не санкциями органов власти в РФ https://t.me/Hinshtein/7280
Однако в последующие дни (где-то с 28 июля) ютуб на десктопе у многих действительно стал показывать видео сильно медленнее и воспроизводить только видео в формате 144p. Причем проблема коснулась именно просмотра через браузер, на в мобильном приложении вроде как таких проблем не было.

Возникает вопрос: что это было?
1) Некоторые говорили, что ютуб тестирует какие-то технологии для борьбы с блокировщиками рекламы, но реального подтверждения этому я не нашел. То есть борьба с блокировщиками конечно ведется, но на территории РФ рекламу и так не показывают, а лично я блокировщиками рекламы не пользуюсь вообще.
2) Роскомнадзор решил по тестировать технологии замедления, а потом посмотрели на реакцию народа, и решили убрать это замедление.
3) Могла быть и инициатива Ростелекома, как единого магистрального провайдера.

В пользу причины 2 говорит то, что замедление устранялось включением GoodBuyDPI, который работает для обхода ТСПУ. Хотя это и не отменяет инициативы провайдера.

Теги:
Всего голосов 4: ↑2 и ↓2+2
Комментарии5
12 ...
23