Информационная безопасность *

Airbus A350-941

Некоторые модели авиалайнеров Airbus A350 по-прежнему приходится полностью перезагружать каждые 149 часов, несмотря на предупреждение агентства авиационной безопасности ЕС (EASA) о недопустимости такой ситуации, выпущенное ещё два года назад.

На этой неделе EASA повторно выпустило «директиву лётной годности» (airworthiness directive, AD), с указанием для авиакомпаний обязательно выключать и снова включать самолёты A350, чтобы предотвратить «частичную или полную потерю некоторых систем или функций авионики».

Корпорация Google объявила о том, что ее браузер Chrome в операционных системах Chrome и Android более не будет принимать корневые сертификаты, выданные удостоверяющим центром DarkMatter. Эта компания расположена в Объединенных Арабских Эмиратах и имеет весьма противоречивую репутацию. Ранее правозащитники сообщали о том, что власти ОАЭ неоднократно прибегали к услугам DarkMatter для слежки за активистами и журналистами, а также организации кибератак против них. Статьи, содержащие обвинения такого рода, были опубликованы крупнейшими СМИ, включая Reuters и New York Times.

По словам представителя профильного думского комитета Леонида Левина, новый законопроект сенатора Андрея Клишаса об обязательной идентификации пользователей электронной почты по номеру телефона противоречит Конституции. Проблема в том, что положения законопроекта можно истолковать как «произвольное внесудебное ограничение прав граждан на тайну личной переписки».

Сегодня на Хабре сообщалось о том, что несколько сенаторов во главе с Андреем Клишасом внесли в Думу поправки об обязательной идентификации пользователей электронной почты по номеру мобильного телефона. В частности, законопроект предлагает ввести запрет на передачу сообщений тех лиц, которые не прошли идентификацию. Кроме того, авторы документа предложили обязать почтовые сервисы блокировать передачу сообщений с запрещенным или незаконным контентом. По мнению сенаторов, новые меры помогут бороться с рассылками ложных сообщений об угрозе терактов различных объектов.

Сегодня в Госдуму внесен законопроект об обязательной идентификацией пользователей сервисов электронной почты по номеру телефона. Авторы инициативы — сенаторы Андрей Клишас, Александр Башкин, Людмила Бокова и Александр Карлин. Ранее они же предложили принять аналогичный закон об идентификации пользователей мессенджеров.

Второе предложение касается обязанности почтовых сервисов ограничивать передачу писем с информацией, которая запрещена в России. На ограничение даются сутки после получения соответствующего требования от властей.

Эксперты Российского союза промышленников и предпринимателей, изучив меры, предлагаемые Минкомсвязью в рамках реализации проекта «О суверенном Рунете», пришли к выводу, что реализовать их вряд ли получится. В частности, защита от фишинга, в том виде, в котором она предлагается Минкомсвязью, потребует строительства большого количества виртуальных частных сетей.

Так, согласно новому проекту, участники рынка обязаны обеспечивать защиту от несанкционированного доступа к оборудованию и программному обеспечению, которое используется для определения сетевого адреса сайта в случае введения названия домена в адресной строке браузера.

Фото: Артем Геодакян / ТАСС

Представители Роскомнадзора заявили, что компрометация около 30 тысяч аккаунтов клиентов онлайн-магазина Ozon не привела к нарушению прав пользователей. Об этом заявил Вадим Ампелонский: «Поскольку потока обращений клиентов Ozon в уполномоченный орган мы не зафиксировали, Роскомнадзор считает, что факт компрометации 30 тыс. клиентских аккаунтов не привел к фактическому нарушению прав субъектов персональных данных».

По его словам, ведомство активно сотрудничало с Ozon, для того, чтобы проверить сведения об утечке данных 400 тысяч клиентов. Роскомнадзор пояснил, что в ходе проверки онлайн-магазин представил доказательства несущественности утекших в интернет данных. База была скомпилирована из разных источников, и более 90% этой БД содержит созданные автоматически пароли.

Источник: Андрей Гордеев / Ведомости

Представители Роскомнадзора на днях заявили, что количество жалоб частных и юридических лиц на незаконную обработку персональных данных за первое полугодие этого года выросло на 44%. В численном отношении это более 25 000 обращений.

По мнению пресс-секретаря ведомства Вадима Ампелонского, люди стали гораздо внимательнее относиться к своим персональным данным. Представитель Роскомнадзора заявил, что этому отчасти способствует «просветительская работа» самого ведомства. Кроме того, СМИ стали чаще рассказывать о крупных утечках, поэтому пользователи сети больше беспокоятся по поводу правомерности использования своих данных и вопросов информационной безопасности.

В середине июля неизвестная команда хакеров взломала сервер компании, которая считается одним из крупнейших подрядчиков ФСБ. Речь идет о «Сайтек», чьи сервера были скомпрометированы. Данные, которые удалось получить взломщикам, были переданы журналистам сразу нескольких изданий.

Одним из СМИ, которым удалось получить эту информацию, стала «Русская служба Би-би-си». Журналисты издания ознакомились с архивом и опубликовали достаточно подробную информацию о нескольких проектах спецслужб. Кстати, после взлома на главной странице сайта пострадавшей компании появилось изображение, размещенное в анонсе этой новости.

Вслед за Google Chrome браузер Mozilla Firefox начнёт помечать HTTP-страницы значками «небезопасно». Изменения вступят в силу в версии Firefox 70, выход которой запланирован на октябрь 2019 года.

Ранее, начиная с версии Firefox 51, значки «небезопасно» использовались по умолчанию только для сайтов, которые содержат формы или поля входа в систему. В Firefox 70 значок появится в левой части панели URL, как и у Google Chrome.
«В десктопной версии Firefox 70 мы хотим отображать специальную иконку слева от URL-адреса. Ее основная задача — сообщать пользователям, что подключения по HTTP, а также FTP-соединения и ошибки сертификатов создают риски», — сообщает один из разработчиков Firefox Иоанн Хофман.

Исследователи из Microsoft, университета Карнеги — Меллона и университета Пенсильвании проверили 22 484 порносайта и обнаружили, что 93% из них передают данные о посетителях третьей стороне. Главный «шпион» на порносайтах — компания Google (DoubleClick), чьи трекеры установлены на 93% страниц. Трекеры Facebook установлены на 10% порносайтов.

Конечно, посещать порносайты рекомендуется в режиме инкогнито, чтобы не оставлять адреса в истории посещённых страниц. Однако даже режим инкогнито не гарантирует защиту от трекинга.

Научная статья “Tracking sex: The implications of widespread sexual data leakage and tracking on porn websites“ опубликована 15 июля 2019 года на сайте препринтов arXiv.org (arXiv:1907.06520). Статья принята для публикации в журнале New Media & Society.

В 2015 и 2016 годах были новости о том, что Казахстан внедряет сертификат для прослушивания HTTPS-траффика. Об этом писали в новостях и на Хабре.

Сегодня, 18 июля 2019 года, многим пользователям мобильной связи разослали различные СМС и оповещения схожего содержания:

В связи с участившимися случаями хищения персональных и учетных данных, а также денежных средств с банковских счетов казахстанцев, был внедрен сертификат безопасности, который станет эффективным инструментом защиты информационного пространства страны от хакеров, интернет-мошенников и иных видов киберугроз.

В соответствии с Законом РК «О связи» и п.11 «Правил выдачи и применения сертификата безопасности» Компания информирует абонентов о необходимости установки «Сертификата безопасности» на устройствах с доступом в Интернет. Согласно требованиям Законодательства, операторы связи обеспечивают распространение сертификата безопасности среди своих абонентов, с которыми заключены договоры на оказание услуг связи.

В случае отсутствия сертификата безопасности на абонентских устройствах могут возникнуть технические ограничения с доступом к отдельным Интернет-ресурсам

Ну во-первых, все мобильные телекоммуникационные компании в Казахстане стали квази-государственными. А по факту, в руках одной правящей семьи, узурпировавшей власть в Республике. Кроме возможно Билайна, но который тоже, видимо, поделился доходами, как это принято в азиатских сатрапиях.

А теперь сегодня вечером приходит СМС

Компания «Яндекс» смогла разработать способ определения доходов пользователей своих сервисов. Эта же технология позволяет определить и профессию человека — именно по этому критерию высчитывается заработок. По словам экспертов, технологию можно использовать для персонализации рекламы, разработки новых сервисов и ряда других задач. Есть вероятность и того, что метод заинтересует спецслужбы.

«Яндекс» запатентовал технологию, патент получил название «Система и способ определения дохода пользователя мобильного устройства». Компания получила патент не сегодня. Заявка поступила в апреле 2017 года, а Роспатент зарегистрировал его в этом году.

Премьер-министр Дмитрий Медведев на совещании по внедрению электронного удостоверения личности в России рассказал о нюансах подготовки основной процедуры и сроках замены бумажных паспортов. В ходе совещания было предложено начать внедрение электронных документов на два года раньше запланированного срока — не в 2024, а в 2022 году.

«Очевидно, что мы можем действительно быстрее отказаться от использования бумажных паспортов. Вот есть предложение сделать это на два года раньше, чем это планировалось изначально, то есть где-то в 2023 году. И на два года раньше первоначальных сроков заменить бумажные паспорта на электронные», — сказал Медведев.

Идея в том, что название хакерского автомобиля с XSS-пейлоадом всплывёт где-нибудь во внутренних системах Tesla Motors

Специалист по безопасности Сэм Карри рассказал, как ему удалось обнаружить критическую уязвимость в приложении удалённой диагностики Tesla Model 3. Этот автомобиль со встроенным веб-браузером, бесплатным LTE и беспроводным обновлением программного обеспечения — настоящий компьютер на колёсах.

Итак, все началось с того, что ему в ветровое стекло попал камень. Здесь-то и сработал установленный заранее XSS-хантер.

Специалисты Symantec опубликовали описание уязвимости Media File Jacking в архитектуре популярных мессенджеров WhatsApp (для Android) и Telegram (для Android). Как понятно из названия и диаграммы слева, уязвимость связана с обработкой медиафайлов. Эксплоит работает при настройках WhatsApp по умолчанию, так что настройки лучше изменить (см. ниже).

Уязвимость связана с тем, что имеется определённый временной промежуток между тем, когда полученные медиафайлы записываются на диск, и моментом, когда они загружаются в пользовательский интерфейс (UI). Этот критический промежуток времени предоставляет возможность злоумышленникам вмешиваться и манипулировать медиафайлами без ведома пользователя.

Источник: GETTY

Несколько дней назад специалисты по информационной безопасности обнаружили следы одной из крупнейших утечек персональных данных последнего времени. Речь идет о более 2 млрд записей логов пользователей умных устройств китайской компании Orvibo. Она является разработчиком более чем сотни моделей smart-устройств, а также IoT платформы для них.

При этом решения Orvibo поставляются не только частным, но и корпоративным клиентам, включая гостиницы, умные офисы, жилые дома и т.п. Все устройства компании подключаются к унифицированному облачному сервису, в недрах которого хранятся данные пользователей, а также записи их действий. Оказалось, что сотрудники компании крайне вольно обращаются с персональными данными собственных клиентов. Так, они разместили базу данных с 2 млрд записей логов на незащищенный сервер. Доступными оказались почтовые адреса, пароли, коды сброса паролей пользователей, данные геолокации, IP, логины, названия моделей пользователей устройств и даже записи разговоров клиентов, сделанные с использованием гаджетов Orvibo.

Группа разработчиков браузера Pale Moon объявила на официальном форуме о том, что архивный сервер archive.palemoon.org, на котором размещены старые версии программного обеспечения, был взломан хакерами и использовался для распространения вредоносных программ, скрытых в файлах программы установки. Взлом произошёл предположительно ещё 27 декабря 2017 года, но был обнаружен только в этом месяце, после чего скомпрометированный сервер был немедленно отключён.

В хранящиеся на сервере файлы, в том числе установщики и PE-файлы, взломщики внедрили загрузчик вредоносного ПО, который был определён компанией ESET как Win32/ClipBanker.DY. Когда зараженный файл запускается, в системе появляется бэкдор — дефект алгоритма, который позволяет получить несанкционированный доступ к данным или удалённому управлению операционной системой и компьютером в целом.

На днях специалисты по информационной безопасности из организации Check Point обнаружили вредоносное программное обеспечение, которое получило название Agent Smith. Это ПО незаметно для пользователя заражает устройство и заменяет обычное ПО вредоносными клонами, которые показывают большое количество рекламы.

Сообщается, что большая часть жертв этого ПО находится в Индии, Бангладеш и Пакистане. Есть жертвы и из других стран, включая Россию. Эксперты отследили место создания вредоноса. Как оказалось, разработчиком является некая компания из Китая. Это вполне официальная организация, которая помогает китайским разработчикам продвигать свои приложения. Но, похоже, организация занимается и другими видами деятельности, не совсем «белыми».

Компания Apple выпустила «тихое» обновление для операционной системы macOS. Обновление устанавливается незаметно для пользователя и удаляет уязвимый компонент в популярном приложении для видеоконференций Zoom. Уязвимый компонент — это скрытый веб-сервер localhost, который раньше устанавливался на компьютер при инсталляции клиента Zoom и оставался на компьютере даже после удаления клиента.