Информационная безопасность *

Государство будет следить за безопасностью передачи данных в отечественном сегменте Сети


Фото: Дмитрий Коротаев / Коммерсантъ

Администрация президента сейчас ведет работу по созданию государственного удостоверяющего центра (УЦ), который будет выдавать сайтам в русскоязычном сегменте Сети государственные SSL-сертификаты, пишет «Коммерсант». «Огромное количество сайтов в рунете использует защищенное соединение: интернет-магазины, платежные системы, государственные сервисы, где пользователь вводит свои персональные данные. На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru — SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете»,— сообщил источник, близкий к администрации президента (АП).

О начале реализации такого проекта сообщил и глава Фонда информационной демократии Илья Массух. Он сказал, в частности, что создание УЦ бужет обсуждаться специальной рабочей группой «по использованию информационно-телекоммуникационной сети интернет в отечественной экономике». Эта группа создана в начале февраля этого года решением главы администрации президента Сергея Иванова. В рамках группы создана подгруппа «Интернет плюс суверенитет», в которой «будут вырабатываться предложения по созданию УЦ с учетом мнения экспертов и компаний-разработчиков отечественных браузеров — „Яндекс.Браузер“ и „Спутник“».

Как уже сообщалось сегодня на Geektimes, Минкомсвязи разработало законопроект по государственному контролю интернет-трафика на территории России. Законопроект предусматривает необходимость внесения поправок в такие законы, как «О связи» и «Об информации, информационных технологиях и защите информации». Что касается способов мониторинга трафика на российских каналах, то их несколько. Это создание реестра IP-адресов рунета, а также «мониторинг использования ресурсов глобальной адресации и глобальных идентификаторов сети интернет (DNS и IP-адресов)».

Законопроект вызвал бурное обсуждение в среде как обычных пользователей, так и представителей телекоммуникационных компаний. Для того, чтобы внести ясность в ситуацию, пресс-секретарь президента Владимира Путина Дмитрий Песков объяснил, как нужно понимать этот законопроект, пишут «Ведомости». В частности, Песков указывает на то, что документ не стоит считать намерением правительства установить полный контроль над интернетом.

Обеспечение безопасности и устойчивости российского сегмента в случае отключения от внешнего мира — такую задачу поставил президент Путин перед Советом безопасности на совещании осенью 2014 года. На совещании обсуждали итоги учений по устойчивости работы рунета в условиях изоляции.

Для реализации поручений президента Минкомсвязи сейчас разработало законопроект о государственном контроле над прохождением интернет-трафика на территории России, пишут «Ведомости», которые получили копию документа. Информацию подтвердили в Минкомсвязи, а также в руководстве крупных операторов связи и интернет-компаний.

Пока в США смотрели Суперкубок, анонимный хакер пообещал опубликовать имена, адреса электронной почты и телефонные номера 20000 агентов ФБР и 9000 сотрудников американского МВБ. И выполнил обещание через сутки.

Компания Yahoo на прошлой неделе сообщила, что будет предупреждать пользователей о подозрениях в слежке со стороны правительственных служб. Twitter, Facebook и Google сделали это раньше. Властям Великобритании эта инициатива не нравится: они рассматривают законопроект, по которому глава компании, предупреждающей о слежке со стороны британских агентств, может сесть в тюрьму на два года.


Пример уведомления от Facebook на аккаунт

Специалист по безопасности Карстен Нол (Karsten Nohl), основатель Security Research Labs, выступил с заявлением об уязвимости протокола передачи данных, по которому платёжные pos-терминалы передают данные банковских карт. Сотрудники Security Research Labs на глазах у удивлённого корреспондента RT взломали пин-код его карточки и сделали её клон. При этом корреспондент использовал чипованную карту.

По словам Нола проблема заключается не в неправильной работе устройств, а в уязвимостях самого протокола. В связи с этим необходимо менять всю систему – что дорого и невыгодно, по крайней мере, пока взлом не приобрёл массовый характер.

И речь сейчас не об электронных сервисах — почтовиках, а об операторах почтовой связи. СОРМ придется установить «Почте России», СПСР-Экспресс, FedEx Россия и другим отечественным или зарубежным компаниям, которые работают в РФ. После установки СОРМ начнет собирать данные об отправителях и получателях писем и посылок, фотографировать внешний вид упаковки и выполнять другие операции, пишут «Известия». Если посылка или письмо вызовет подозрение, его могут поместить в ячейку для дальнейшего изучения.

Соответствующее указание содержится в приказе Минкомсвязи «От утверждении требований к оборудованию автоматизированной сортировки почты, обеспечивающему выполнение установленный действий при проведении оперативно-розыскных мероприятий». Установка соответствующей системы должна быть выполнена компаниями в течение года с момента вступления приказа в силу.

Премьер-министр Дмитрий Медведев предлагает принять кодекс поведения в интернете в форме мягкого права. Такое предложение он озвучил незадолго до своего визита в Китай на Всемирную конференцию по управлению интернетом, передаёт агентство ТАСС.

«Очевидно, что, пока ещё не поздно, необходимо не допустить криминализации интернета, гарантировать соблюдение прав человека в цифровой сфере, — сказал премьер-министр. — Сделать это в условиях отсутствия полноценной международно-правовой базы сотрудничества в сфере информационной безопасности крайне сложно, поэтому первым шагом в создании международной системы безопасности в этой области могло бы стать принятие кодекса или правил поведения в форме мягкого права».

После шести месяцев споров Эквадор подписал договор о допросе Джулиана Ассанжа уполномоченным лицами из Швеции. Допрос пройдёт в посольстве Эквадора в Лондоне, где основатель WikiLeaks укрылся в 2012 году от обвинений в изнасиловании.

Ассанж не выходит из посольства, опасаясь атаки беспилотников, и боится экстрадиции в США.

Страх людей перед терактами власти многих стран используют для внедрения технологий массовой слежки за населением. США, Россия, Великобритания и другие требуют ослабить криптографию онлайновых коммуникаций, ставить бэкдоры в криптозащиту мобильных устройств и т.д. — всё делается зачастую под предлогом борьбы с терроризмом. Для справки: в Европе за последние 15 лет произошло четыре теракта и погибло менее 500 человек, тогда как в ДТП погибает 70 человек в день.

Так вот, на фоне всеобщей «борьбы с террором и преступностью» с помощью массовой прослушки населения одна страна почему-то идёт в противоположном направлении. В ноябре министр внутренних дел Германии Томас де Мезьер (Thomas De Maizière) выдал предписание об усилении защиты конфиденциальных коммуникаций. Документ направлен вовсе не на снятие или ослабление криптозащиты. Наоборот, МВД требует повсеместного внедрения у гражданского населения сильного end-to-end шифрования!

Вчера представители Роскомнадзора провели встречу с правообладателями и онлайн-площадками. Чиновники сообщили о двух новых мерах регулирования интернета.

Во-первых, глава Роскомнадзора Александр Жаров предложил создать рабочую группу по блокировке приложений в магазинах AppStore и Google Play с пиратским и прочим запрещённым контентом.

Другая рабочая группа разработает методы регулирования выдачи поисковиков. Правообладатели хотят, чтобы поисковые системы убрали или понижали в выдаче сайты с пиратским контентом, которые сейчас стоят на первых строчках в выдаче. Продюсер Александр Акопов заявил, что «Яндексу» всё же пора начинать диалог с правообладателями, «а если они не хотят — придётся делать законодательные инициативы».

Компания Open Wisper Systems, выпускающая мобильный мессенджер с оконечным шифрованием Signal, объявила о выпуске десктопной версии своей программы в виде расширения для браузера Chrome. Технически всё сделано так, что Signal Desktop привязывается к установленному мобильному приложению Signal (примерно также делает веб-версия WhatsApp) и отправлять и получать сообщения можно будет на обоих устройствах.

Для привязки к смартфону пока что поддерживается только Android-версия Signal, а о выпуске iOS-версии с поддержкой десктопного приложения будет сообщено дополнительно. Сейчас, помимо мгновенных сообщений, можно отправлять и получать изображения, а также видеофайлы.

Мосгорсуд 9 ноября принял решение о вечной блокировке на территории России сайта RuTracker.org. В качестве ответных мер сайт проведёт «учения по гражданской обороне» по противодействию блокировке.

Хактивисты из группы Ghost Sec взломали пропагандистский сайт ИГИЛ в даркнете и разместили на нём рекламный баннер интернет-аптеки, где продаются успокоительные лекарства. Сайт не успел поработать и недели.

На взломанном сайт опубликовано сообщение: «Слишком много ИГИЛ. Успокойтесь. Слишком много людей в этой ИГИЛ-фигне. Пожалуйста, взгляните на прелестный баннер, пока мы обновим нашу инфраструктуру и дадим вам тот ИГИЛ-контент, которого вы так отчаянно жаждете».

На ноутбуках компании Dell нашли ещё одну уязвимость, в дополнение к недавней истории с некорректно установленным сертификатом. Теперь оказывается, что фирменное программное обеспечение Dell Foundation Services, используемое для поддержки пользователей, легко и без лишних вопросов выдаёт всем желающим уникальный идентификационный номер компьютера. Обычно этот id используется сотрудниками службы поддержки Dell для помощи пользователям.

Как обычно, беда не приходит одна – не исключено, что у фирменного ПО компании Dell найдут ещё не одну уязвимость, раз уж фокус внимания переключился на их ноутбуки. Кстати, именно Dell Foundation Services использовало тот злосчастный сертификат.

Фото: AFP

17 ноября депутат Госдумы Вадим Соловьев предложил отечественным чиновникам запретить иностранные мессенджеры и поисковые системы. Делается это для того, чтобы обеспечить сохранность служебной информации и конфиденциальность сведений, пишет «РБК». Соловьев предлагает внести соответствующие поправки в статью 17 закона «О государственной гражданской службе в РФ».

В этой статье прописываются запреты для лиц, находящихся на гражданской службе. Статью предлагается дополнить положением о запрете на использование чиновниками «программных продуктов и средств связи, которые могут использоваться для несанкционированного доступа к сведениям конфиденциального характера или служебной информации». По мнению депутата, при помощи иностранных сервисов разведки других стран могут «относительно легко получать сведения конфиденциального характера».

Николай Никифоров, глава Минкомсвязи РФ, не согласен с предложением депутата Госдумы относительно ограничения доступа к мессенджеру Telegram для российских пользователей. Министр выразил мнение, что ограничение доступа к программам обмена сообщениями — это шаг к блокированию всего Интернета, пишет Lenta. Никифоров посчитал предложение Александра Агеева не соответствующим национальной стратегии технологического и экономического развития России.

Кроме того, глава Минкомсвязи предложил не блокировать мессенджеры, а выявлять преступников, которые используют эти программы для обмена информацией. «Минкомсвязь вместе с силовыми структурами постоянно ведет эту работу в рамках своей компетенции», — отметил он.

Защищенный мессенджер Telegram, по мнению первого замглавы конституционного комитета Госдумы Александра Агеева, использовался боевиками, совершившими теракты в Париже. Депутат предлагает ФСБ рассмотреть возможность ограничения доступа российских пользователей к этому мессенджеру, если информация об использовании приложения террористами «Исламского государства» подтвердится, пишет RIA.

«По сообщениям, неоднократно появляющимся в российских СМИ, мессенджер Telegram активно используется в целях пропаганды террористами из „Исламского государства“. Можно предположить, что там же происходит процесс вербовки граждан России в ряды ИГ», — говорится в обращении Александра Агеева к главе ФСБ Александру Бортникову.

Роскомнадзор ведёт «чёрный список» ресурсов, доступ к которым обязаны блокировать интернет-провайдеры России. Блокировка осуществляется по решению суда. Но этого недостаточно для полноценной борьбы с вредоносной информацией в интернете, считают чиновники. Тем более что даже после блокировки сайт остаётся доступным для пользователей из-за рубежа.

Роскомнадзору могут дать полномочия в досудебном порядке блокировать домены в национальных доменных зонах .RU и .РФ, сообщил директор Координационного центра национального домена сети интернет (КЦ) Андрей Воробьев. Такой вопрос обсудят на рабочей комиссии с участием представителей Минкомсвязи, Роскомнадзора и КЦ.

В своём твиттере Эдвард Сноден рассказал, что в своей повседневной работе он предпочитает использовать мобильный мессенджер Signal, обратив внимание на то, что совсем недавно вышла его Android-версия. По своему обыкновению Эдвард не забыл потроллить спецслужбы, добавив тег #notesforFBI (#запискидляФБР) и дав понять, что в ведомстве уже и так знают какую программу он использует для обмена сообщениями.

I use Signal every day. #notesforFBI (Spoiler: they already know) https://t.co/KNy0xppsN0

— Edward Snowden (@Snowden) 2 ноября 2015

Анонс релиза Signal для Android появился вчера, до этого мессенджер уже работал на iOS (из чего можно сделать осторожный вывод, что Сноуден использовал или iPhone, или ранее существовавшую для Android программу TextSecure, которая также предназначена для безопасного обмена сообщениями). Интерфейс Signal сильно напоминает другие подобные мессенджеры, однако он, подобно Telegram, делает упор на конфиденциальность сообщений: ключи шифрования находятся только на пользовательских устройствах. Кроме того, во время своей работы Signal блокирует попытки других приложений делать скриншоты экрана.

Код Signal открыт и доступен на GitHub. Разработка ведётся компанией Open Whisper Systems за счёт пожертвований и грантов, при этом авторы обещают отсутствие в будущем каких-либо способов монетизации, включая и рекламу. Ранее на Geektimes сообщалось, что Павел Дуров не чувствует себя виноватым из-за того, что его мессенджер Telegram используют террористы из ИГИЛ, потому что не будь Telegram, они бы нашли другой способ для общения. «Приватность намного важнее любого вашего страха каких-либо плохих вещей, вроде терроризма», — добавил он.