Информационная безопасность *

Специалисты Университета Нью-Мексико обнаружили уязвимость, которая делает возможным для злоумышленников перехват VPN-соединений на устройствах *NIX. Баг также позволяет внедрять любые данные в TCP-потоки IPv4 и IPv6.

Разработчики ядра Linux обозначили уязвимость идентификатором CVE-2019-14899. «Уязвимость позволяет атакующему определить, подключена ли жертва к VPN, вычислить IP-адрес, присвоенный VPN-сервером, и установить факт активного соединения», — сказано в описании проблемы безопасности.

Исследователь в области кибербезопасности Брайан Кребс рассказал, что новые флагманы от Apple — iPhone 11 и iPhone 11 Pro — обращаются к GPS-модулю, чтобы собрать информацию о местоположении пользователя. По его словам, это происходит даже тогда, когда функция отслеживания геолокации отключена.

Кребс продемонстрировал, как это работает, на видео. iPhone 11 Pro с iOS 13.2.3 собирает данные GPS даже при отключенной геолокации. На iPhone 8 эту же проблему воспроизвести не удалось. Отсюда исследователь сделал вывод, что причина кроется в аппаратном обеспечении.

Защищенный корпоративный смартфон «Тайгафон». Источник: InfoWatch.

Согласно информации портала CNews, компания InfoWatch прекратила работу над проектом защищенного корпоративного смартфона «Тайгафон». Разработка аппарата велась с 2014 года, за несколько лет было создано специальное программное обеспечение для его платформы, а в 2017 году была выпущена первая тестовая партия смартфонов, которую даже опробовал один из заказчиков. По результатам испытаний стало необходимо внести дополнительные доработки в аппаратное и программное обеспечение смартфона, но компания не планировала дальше инвестировать в этот проект, поэтому его закрыли.

Пример визуализации похищенных данных.

Согласно информации издания РБК, следственными органами Московского межрегионального следственного управления на транспорте СК России при содействии управления «К» МВД и службы безопасности ОАО «Российские железные дороги» удалось найти злоумышленника, который незаконно скопировал и выложил в интернет данные сотен тысяч сотрудников ОАО «РЖД», в том числе руководства компании. Им оказался двадцатишестилетний житель Краснодарского края. На данный момент молодому человеку предъявлено обвинение в совершении преступлений, предусмотренных ч. 1 ст. 183 УК РФ (незаконное получение и разглашение сведений, составляющих коммерческую тайну) и ч. 1 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации).

«Сбербанк» заявил о радикальном пересмотре политики безопасности. После утечки данных клиентов меры информационной безопасности ужесточились настолько, что сотрудники жалуются на «замедление рабочих процессов» и «перегибы» службы безопасности.

Дальше будет хуже. «Случай, который произошел, поменял нашу парадигму», — сказал Герман Греф. В ходе прямой линии с сотрудниками «Сбербанка он напомнил о внедрении новой технологической платформы, которая не позволит вынести «ни один бит информации несанкционированно». Но сейчас такой платформы ещё нет, поэтому служба безопасности вынуждена «делать это в ручном порядке» (проверять сотрудников).

Очень трудолюбивый злоумышленник, подделав электронную переписку и написав в общем итоге 32 электронных письма в обе стороны, смог перенаправить крупный денежный перевод от китайского венчурного фонда израильскому стартапу на свои реквизиты. Об этом реально произошедшем случае рассказали израильские специалисты по информационной безопасности из компании Check Point в этой публикации. Причем к расследованию этого инцидента, произошедшего ранее в 2019 году, команда специалистов Check Point Incidence Response Team (CP IRT) была привлечена через некоторое время после его совершения, а многие его цифровые следы были уничтожены как исполнителем, так и пострадавшей стороной по неосторожности или безалаберности.

_{Фото: palant.de}

Mozilla решила исключить из своего каталога для Firefox четыре расширения, которые создали Avast и ее «дочка» AVG. Avast Online Security, AVG Online Security, Avast SafePrice и AVG SafePrice подверглись удалению, потому что производили сбор данных пользователей.

Кроме того, эти расширения позволяли просматривать историю посещений в браузере.

Руководитель «Сбербанка» Герман Греф предлагает внести изменения в законопроект об электронной цифровой подписи, который Госдума приняла в первом чтении в ноябре 2019 года.

Новый закон сильно ужесточает требования к выдаче усиленных квалифицированных электронных подписей (УКЭП) — цифрового аналога собственноручной подписи и печати, который создаётся с помощью сертифицированных ФСБ средств шифрования. С помощью УКЭП организации и граждане обмениваются юридически значимыми документами в электронном виде, заключают сделки, в том числе о купле-продаже недвижимости.

Сегодня КЭП выдаются повсеместно: в России насчитывается почти 500 удостоверяющих центров (УЦ), в том числе банки, страховые компании, биржи, брокеры, «Почта России», частные ИТ-компании и т. д. Главная проблема — недостаточная идентификация клиентов удостоверяющими центрами. Сотни коммерческих УЦ предлагают получить цифровую подпись по копии паспорта или в офлайне по ксерокопии. Триггером для внесения изменений в закон «Об электронной подписи», возможно, стали недавние истории, как с помощью электронной подписи воруют квартиры и как мошенники оформляют на ничего не подозревающих граждан фиктивные фирмы.

_{Полный текст закона «О внесении изменений в отдельные законодательные акты Российской Федерации» размещен на официальном портале правовой информации}

Каждый новый отказ предоставить Федеральной службе безопасности ключи шифрования переписки пользователей теперь грозит многомиллионными штрафами для интернет-компаний. Соответствующий закон вчера подписал Владимир Путин.

Роскачество опубликовало результаты исследования мобильных приложений для заказа такси. Эксперты проверили 40 наиболее популярных мобильных приложений, которые доступны для скачивания в App Store и Google Play в России. Роскачество оценивало приложения по таким параметрам, как функциональность, удобство и безопасность.

В исследование вошли приложения сервисов, предоставляющие услуги по заказу такси экономического или комфорт-класса (а также их аналогов) как минимум в Москве или Санкт-Петербурге и имеющие на момент тестирования количество оценок в Google Play не менее 300, а в App Store — не менее 50. В исследование не вошли мобильные приложения, которые не позволяют заказать такси онлайн и оплатить поездку банковской картой.

По итогам исследования работа всех приложений была признана как минимум удовлетворительной. Более половины из них — 22 — заслужили оценку выше четырех баллов.

Согласно информации издания РБК, операторы связи планируют на законодательном уровне попросить запретить использование данных своих абонентов как компаниям-интеграторам, которые, согласно плану тестирования Роскомнадзора, уже устанавливают на телекоммуникационных сетях необходимое оборудование по закону о «суверенном рунете», так и производителям этого оборудования. В настоящее время сохранность и защита данных абонентов от третьих лиц в этом случае законодательно не обеспечена. Теоретически, производители или интеграторы могут работать с данными абонентов как в тестовом режиме, так и в процессе мониторинга своих систем. А часть полученных ими данных может использоваться в коммерческих целях без ведома абонентов.

_{Фото: Vladimir Chinnov/Flickr}

Президент Владимир Путин подписал закон, который закрепляет за компаниями обязательство устанавливать на смартфоны, компьютеры, телевизоры с функцией Smart TV и другую технику приложения, ориентированные на российскую аудиторию.

Таким образом, в России с 1 июля 2020 года нельзя будет продавать некоторые виды «технически сложных товаров» без предустановки российского программного обеспечения.

Перечень этих товаров, а также порядок составления и ведения перечня российских программ для предустановки будет определять правительство.

_{Фото: www.rbc.ru}

Центральный банк РФ будет отслеживать сомнительные операции с помощью анализа мобильных устройств и компьютеров юридических лиц. Для этого ЦБ создал проект межбанковской базы данных с информацией о технике пользователей — «Сервис анализа технических устройств». Мера должна помочь бороться с отмыванием доходов, считает Банк России.

_{Фото: Which? Tech/Flickr}

ФБР предупредила пользователей о рисках, которые несет использование Smart TV. Служба предложила ряд мер, которые помогут владельцам умных телевизоров обезопасить себя от слежки со стороны злоумышленников.

В ФБР напомнили, что любое подключенное к интернету устройство можно взломать. Помимо прочего, в умных телевизорах могут присутствовать уязвимости, позволяющие злоумышленникам скомпрометировать их. Особую обеспокоенность силовиков вызывает наличие камеры и микрофона в подобных устройствах.

Дистрибутив GNU/Linux Kali Linux для проведения тестов на безопасность в своем последнем релизе 2019.4 получил новый режим – undercover mode. Он изменяет внешний вид Kali Linux и делает его похожим на Windows 10.

Таким образом, создается впечатление, что пользователь работает в обычной Windows. Разработка пояснила, что режим предназначен, к примеру, к работе в публичных местах.

Чтобы запустить undercover mode, нужно выполнить поиск в меню или следующую команду в терминале: kali-undercover. Скрипт сменит тему оформления рабочего стола на тему Windows 10. После выполнения команды терминал можно закрыть. Для выхода из режима команду нужно запустить повторно.

Власти Китая объявили любую публикацию заведомо ложной информации, в том числе дипфейков, уголовным преступлением. Соответствующий закон вступит в силу 1 января 2020 года.

Согласно новым нормам, все дипфейки нужно будет отмечать специальной пометкой, которая будет предупреждать пользователей о том, что это ненастоящая новость.

Антимонопольные органы Евросоюза занялись расследованием в отношении Google. Расследование будет касаться методов компании по сбору данных пользователей. В частности, антимонопольная служба сосредоточится на сборе данных, связанных с местными поисковыми службами, использованием браузеров и таргетированной рекламой. Об этом сообщает Reuters со ссылкой на заявление Еврокомиссии.

Представитель Евросоюза сообщил агентству, что антимонопольные органы ищут информацию о том, как и почему подразделение Alphabet — Google — собирает информацию о пользователях. В рамках расследования ЕС направил коммерческим компаниям опросники о методах сбора данных Google. Ответ они обязаны предоставить в течение месяца. В частности, регуляторов интересует, какие данные запрашивает Google и как компания использует полученную информацию. Какие именно компании участвуют в опросе, в Еврокомиссии не уточнили.

Сотовые операторы МТС, «Мегафон» и «Вымпелком» («Билайн») обжалуют в суде штрафы, которые на них наложила Федеральная налоговая служба за отказ предоставлять информацию о счетах абонентов, сообщает агентство «Интерфакс». Как заявляют компании, требование налоговой противоречит Конституции и закону «О связи», которые относят эту информацию к тайне связи.

Представитель МТС Алексей Меркутов заявил агентству, что госорганы могут получать эту информацию только по решению суда. Рассмотрение иска «Вымпелкома» назначено на 4 декабря, МТС — 10 декабря, «Мегафона» — 20 января.

Согласно информации издания «Коммерсантъ» и телеграм-канала dataleak, в свободный доступ была выложена база данных пользователей портала "Job in Moscow Ru". Причем, кроме общедоступной информации, выгрузка с утечкой данных содержала логины (адреса электронной почты пользователей) и пароли к аккаунтам (в открытом текстовом виде) 500 998 пользователей, а также около 400 тыс. номеров телефонов.

Эксперты Trend Micro Incorporated в рамках исследования Securing 5G Through Cyber-Telecom Identity Federation постарались выявить слабые места сетей пятого поколения и найти решения, которые помогут устранить проблемы.

Объектом исследования выступила небольшая локальная NPN-сеть (непубличная), условного общежития с поддержкой 5G, в которой используются SIM-карты. Общежитие — это пример закрытой сети пятого поколения, которую связывают с «внешним миром» общедоступные телекоммуникационные каналы. Предполагается, что такие сети появятся на производственных объектах, предприятиях и в офисах крупных компаний. SIM-карты в оборудовании для таких сетей содержат идентификационные данные пользователя, поддерживают шифрование и снабжены простейшим ПО и функцией удаленного обновления этого ПО и прошивки.