Информационная безопасность *

_{Фото: www.telecomtimes.ru}

Основатель мессенджера Павел Дуров сообщил о результатах работы с Европолом в своем Telegram-канале. По мнению полицейской службы, мессенджер пресекает пропаганду деятельности террористической организации «Исламское государство» (ИГ), запрещенной в РФ. Борьба с распространением ненависти и политика конфиденциальности не являются взаимоисключающими, считает Дуров.

_{Фото: Guilherme Monteiro/Flickr}

Четыре работника Google лишились работы за нарушение политики безопасности данных. Компания обвинила их в утечке внутренней информации. Однако работники уверены, что их коллеги лишились мест из-за того, что публично высказывались о политике гиганта.

22 ноября прошла акция протеста, в которой приняли участие около 200 сотрудников Google. Ее организовали рядом с офисом компании в Сан-Франциско. Участники протеста требовали вернуть на работу ранее уволенных Лоуренса Берланда и Ребекку Риверс. Обоих сотрудников отправили в бессрочный отпуск в связи с расследованием возможной утечки внутренней информации, а затем решили уволить. Имена еще двоих уволенных специалистов не называются.

Савеловский суд опубликовал мотивировочную часть решения по делу № 02а-0577/2019 по иску москвички Алены Поповой, которая требовала признать незаконным применение технологии распознавания лиц в системе видеонаблюдения.

В Москве работает около 162 000 камер наблюдения, которые сейчас подключают к единой системе распознавания лиц. В ноябре 2019 года была закуплена первая партия графических ускорителей Nvidia для обработки данных в дата-центрах Департамента информационных технологий Москвы (ЕЦХД). В заявке упоминается хранилище данных на 1300 дисков (по 6–10 терабайт), ёмкость массива — почти 9 петабайт.

Алена Попова утверждала, что обработка биометрии с камер видеонаблюдения без письменного согласия человека нарушает закон о персональных данных, и требовала удалить её биометрические персональные данные из базы данных изображений, то есть из ЕЦХД. Савеловский суд отказал в иске.

_{Фото: www.quotecatalog.com}

Журналисты выяснили, что между 2015-м и 2016 годом Facebook создала для внутреннего пользования приложение, которое позволяло идентифицировать сотрудников и их друзей при наведении камеры смартфона на лицо. В течение 3-5 секунд приложение отображало имя и фотографию профиля человека.

Одна из версий позволяла идентифицировать любого, кто зарегистрирован в Facebook.

Источник сообщил, что приложение показали на внутреннем собрании в 2015 году как «пример будущих инноваций». Второй же собеседник отметил, что в 2016 году бета-версия стала доступна для загрузки сотрудникам Facebook, которые использовали камеру смартфона, чтобы идентифицировать любого, о ком в социальной сети было достаточно данных, вне независимости от того, были ли эти люди сотрудниками Facebook. Впоследствии было решено идентифицировать только людей, которые были друзьями в Facebook пользователя (все еще независимо от того, были ли они сотрудниками самой компании).

Согласно информации издания Wired, специалисты в области информационной безопасности Винни Троя (Vinny Troia) и Боб Дьяченко (Bob Diachenko) обнаружили в сети открытый Elasticsearch-сервер, содержащий 1,2 млрд записей общим размером четыре терабайта. Сервер был расположен на площадке Google Cloud Service (у него был IP-адрес 35.199.58.125).

На днях стало известно о том, что Уральский научно-образовательный центр (НОЦ) займется разработкой специализированной платформы, которая позволит отслеживать цифровой след пользователей, а также создавать на основе полученных данных «цифровых двойников» граждан. О проекте рассказала директор Уральского гуманитарного института Уральского федерального университета (УГИ УрФУ) Эльвира Сыманюк.

«Мы сосредоточились на разработке нейросмарт-платформы. Это мегапроект, который позволяет собирать данные и предлагать их для развития других проектов. Платформа поможет сформировать цифровой след каждого человека, на основе чего можно создать его цифровой двойник — нейропрофиль. Нейросмарт станет базой данных с ограниченным доступом, которая будет собирать информацию из открытых источников», — пояснила Сыманюк.

_{Фото: www.theverge.com}

Онлайн-сервис заказа такси Uber запустит опцию аудиозаписи во время поездки в качестве меры безопасности для таксистов и клиентов компании. Система будет тестироваться в следующем месяце на территории Бразилии и Мексики. В Соединенных Штатах возможность фиксировать звук в салоне автомобиля появится позднее.

Согласно информации агенства «ТАСС», специалисты ОАО «Российские железные дороги» провели расследование по факту получения одним из пассажиров доступа в сервисную часть системы Wi-Fi «Сапсана» и пришли к выводу, что в их сети нет критических уязвимостей, используя которые можно получить доступ к действительно важным данным или внутренним сервисам, а угрозы похищения персональных данных при взломе мультимедийной системы поезда «Сапсан» не существует.

_{Источник: TFC 2019}

В Китае, в городе Чэнду, прошел международный конкурс Tianfu Cup 2019. В ходе соревнования хакеры испытали свои силы во взломе программного обеспечения. Объектами для взлома стали популярные браузеры, Adobe Reader, ОС Ubuntu и другой софт.

По своим правилам Tianfu Cup практически идентичен хакерскому конкурсу Pwn2Own, который ежегодно проходит Ванкувере. Суть конкурса состоит в том, чтобы найти и использовать неизвестные ранее уязвимости и получить контроль над приложением. За удачную атаку команда получает баллы и денежные призы.

---

Декабрь — время праздников и интересных мероприятий, поэтому компания OTUS подготовила для вас нечто особенное. В начале декабря 2019 года состоятся командные онлайн-соревнования по информационной безопасности, которые мы организовали совместно с VolgaCTF и СTF.Moscow. Если вы знакомы с анализом исходного кода, не боитесь уязвимостей на веб-сайтах и без проблем можете восстановить логику работы программы, у вас есть полноценный шанс стать победителем и получить приз!

Как admin'а перевозили по Москве 25-27 апреля 2018 года. После серии переездов и бесед он отдал сопровождающим активы биржи. Источник: из показаний Билюченко в рамках уголовного дела о мошенничестве с активами Wex. Инфографика: BBC

Русская служба BBC News опубликовала результаты расследования, показания свидетелей и расшифровки переговоров, которые помогают понять, куда ушли деньги с крупнейшей русскоязычной криптобиржи WEX (бывшая BTC-e), прекратившей работу в прошлом году. Все ключи хранились у Алексея Билюченко (ник admin) на флэшке, которую он всегда носил с собой.

Мужчина задержан и дал показания.

Злоумышленникам удалось взломать официальный сайт криптовалюты Monero. В итоге ресурс начал распространять вредоносное ПО, которое используется для кражи криптовалюты у тех, кто загружает с сайта криптовалютный кошелек.

Пользователи сайта сообщили об этом 18 ноября. Один из них заметил, что криптографический хэш для консольного (CLI) кошелька не совпадает с хэшем на сайте. За несколько часов удалось определить, что это вызвано не технической ошибкой, а кибератакой.

Хакеры смогли добавить в CLI-кошельки новые функции. Когда пользователь открывает или создает новый кошелек, они отправляют криптографический ключ для доступа к содержимому кошелька на сервер node.hashmonero[.]com. Затем вредоносное ПО отправляет содержимое кошелька на серверы node.xmrsupport[.]co и 45.9.148[.]65. Аналогичным образом действует вредоносная версия кошелька для Windows.

Мэрия Москвы провела первую закупку серверов для городской системы распознавания лиц. Контракт на 1,15 млрд руб. выиграла компания «МаксимаТелеком», известная как оператор Wi-Fi в метро Москвы и Санкт-Петербурга, пишет «Коммерсантъ» со ссылкой на портал госзакупок.

По уровню наблюдения за жителями Москва входит в число мировых лидеров: «Система видеораспознавания, которая охватит более 200 тыс. видеокамер в Москве, будет одной из крупнейших в мире, соперничая, может быть, только с китайскими системами», — заявил мэр Сергей Собянин. Система с распознаванием лиц будет работать в режиме реального времени и интегрируется с базами данных МВД.

Тендер для городской системы видеоаналитики изначально был объявлен на сумму 1,2 млрд руб. В техническом задании фигурируют 258 серверов, в том числе 90 для СУБД и 105 вычислительных серверов с 16 графическими ускорителями Nvidia Tesla T4 (8 терафлопс). В заявке упоминается хранилище данных на 1300 дисков (по 6–10 терабайт); ёмкость массива — почти 9 петабайт.

На днях Минюст представил законопроект, который обязывает операторов связи и бюро кредитных историй (БКИ) предоставлять информацию сотрудникам Федеральной службы судебных приставов (ФССП). В настоящий момент операторы не предоставляют службе детализацию переговоров и сообщений абонентов, поскольку эта информация защищена законом.

Сейчас готов лишь проект закона. В пояснительной записке к нему указано, что при реализации своих полномочий «должностные лица ФССП столкнулись с трудностями по истребованию информации и документов». Они нужны для рассмотрения обращения граждан по закону о взыскании долгов физических лиц.

Официально опубликовано подписанное 13 ноября 2019 года постановление Правительства РФ «О внесении изменения в Правила создания, формирования и ведения автоматизированной информационной системы „Реестр нарушителей прав субъектов персональных данных“. Согласно принятым изменениям, операторы связи с текущего момента обязаны блокировать сайты, содержащие информацию, нарушающую закон о персональных данных, сразу после получения по ним уведомления от Роскомнадзора.

Microsoft внедрит в будущие версии Windows 10 протокол «DNS поверх HTTPS» (DNS over HTTPS, DoH). Кроме того, станет доступен протокол «DNS поверх TLS» (DNS over TLS, DoT).

Таким образом компания хочет усилить защиту приватности пользователей путем шифрования всех их DNS-запросов.


«Мы должны относиться к конфиденциальности как к праву человека. Мы должны иметь комплексную кибербезопасность, встроенную в технологию. Бытует мнение, что шифрование DNS может осуществляться только централизованно. Это верно только в случае, если внедрение шифрования DNS не является повсеместным. Для того чтобы сохранить децентрализацию DNS, и операционные системы клиентов (например, Windows), и интернет-провайдеры должны внедрить шифрование DNS», — заявили в Microsoft.

Проблема, описанная в статье на Хабре "Самый беззащитный — это Сапсан" получила большой резонанс в сети и многие СМИ заинтересовались этим событием, что не удивительно, так как ситуации такого уровня должны требовать от разработчиков и архитекторов анализа ошибок в системе и быстрого внесения изменений для закрытия уязвимых мест. По информации издания «Коммерсантъ», в ОАО «РЖД» также узнали о проблеме и проведут внутреннее расследование информации о взломе (в компании именно так описана произошедшая ситуация) системы Wi-Fi высокоскоростного поезда «Сапсан».

Исследовательская компания Kryptowire провела исследование при финансовой поддержке Министерства внутренней безопасности США. Оно позволило обнаружить в смартфонах крупнейших недорогих брендов встроенное прямо в прошивку потенциально вредоносное ПО и множество уязвимостей.

Предустановленные приложения часто представляют собой небольшие, не имеющие бренда компоненты стороннего программного обеспечения, встроенные в функции более крупных фирменных приложений производителя.

ПО, позволяющее красть данные пользователей и шпионить за ними, нашли в смартфонах Xiaomi, Samsung, BQ (российский бюджетный бренд) и Dexp (дочерний бренд DNS).

Исследователи отмечают, что удалить такие программы невозможно.

Всего же в телефонах 29 производителей нашли 146 уязвимостей.

_{Иллюстрация FutureTravelExperience}

Федеральный суд Бостона постановил, что незаконно досматривать телефоны людей, пересекающих границу США. Об этом, со ссылкой на дело «Аласаад против Макалиннан» сообщил Американский союз защиты гражданских свобод (ACLU).

_{Фото: George Mezentsev/Flickr}

Депутат Госдумы Антон Горелкин написал, что он собирается отозвать из Госдумы свой законопроект о значимых интернет-ресурсах, чтобы доработать его с учетом поступивших отзывов.

«Эксперты и бизнес сгенерировали живые и проработанные идеи, которые я уже решил инсталлировать в законопроект. И здесь два варианта. Такую работу, конечно, можно проделать ко второму чтению, но с учетом, что нет срочности, я решил воспользоваться механизмом отзыва инициативы на доработку в соответствие с регламентом», — заявил он.

По мнению депутата, этот закон необходим, и после «допиливания» он будет принят с учетом «сегодняшнего опыта Яндекс-edition». «Но я также тысячу раз говорил, что мой законопроект не про «Яндекс». Не то пальто совершенно», — добавил он. Горелкин отметил, что нормы направлены на защиту цифрового суверенитета России.