Информационная безопасность *

Карикатура: Сергей Ёлкин, DW

Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу».

Оба источника подтверждают, что российская компания отказалась подчиниться ФСБ и за прошедшее время так и не предоставила ключи. «Яндекс.Почта» и «Яндекс.Диск» входят в Реестр организаторов распространителей информации и по закону обязано предоставлять ключи шифрования в течение десяти дней после поступления запроса, а прошло уже гораздо больше времени.

Издание РБК опросило экспертов с вопросом, чем грозит «Яндексу» такое неподчинение. С аналогичной проблемой скоро может столкнуться Tinder, а последствия неподчинения можно наблюдать на примере Telegram. Сначала сотрудники ФСБ составили протокол на Telegram за нарушение КоАП, а потом Роскомнадзор начал блокаду Telegram с веерной блокировкой миллионов посторонних IP-адресов.

Вчера стало известно, что сервис знакомств Tinder подал документы для регистрации в Реестре организаторов распространения информации РФ. 31 мая 2019 года Роскомнадзор внёс компанию в Реестр. Согласно российскому законодательству, теперь сервис знакомств обязан полгода хранить информацию о действиях пользователей и предоставить эти сведения по запросу правоохранительных органов при осуществлении ими оперативно-разыскной деятельности.

Если компания откажется выполнять требования законодательства, то сервис может быть заблокирован на территории Российской Федерации, как это случилось с Telegram.

31 мая 2019 года Роскомнадзор внёс Tinder в реестр распространителей информации. Согласно российскому законодательству, теперь сервис знакомств обязан полгода хранить информацию о действиях пользователей и предоставить эти сведения по запросу правоохранительных органов при осуществлении ими оперативно-разыскной деятельности.

Разработчиков устройств с поддержкой виртуальных сим-карт eSim собираются заставить разместить на территории России серверы, где будут храниться абонентские профили и криптографические ключи. По мнению представителей рабочей группы, в которую вошли сотрудники Минкомсвязи, ФСБ и операторы, в противном случае нельзя гарантировать сохранность тайны связи для российских абонентов.

Правда, пока что тестирование виртуальных сим-карт не помогло обнаружить проблемы с безопасностью, о чем говорят противники регулирования. Зато, по их мнению, адаптация технологии поможет на физических сим-картах.

В этом году власти Москвы планируют объявит тендер на создание масштабной системы распознавания лиц, которая, по словам чиновников, охватит более 200 тысяч камер видеонаблюдения в столице. Мэр Москвы Сергей Собянин рассказал об этом на совещании у президента РФ Владимира Путина по вопросам развития технологий в области искусственного интеллекта.

Он также напомнил, что система распознавания лиц уже тестировалась Москве, запуск в пробном режиме был выполнен во время чемпионата мира по футболу 2018 года.

Известная исследовательница Алиса Шевченко alisaesage обнаружила уязвимость удаленного выполнения произвольного кода в последних версиях веб-сервера nginx.

UPD: Не nginx, а njs, не уязвимость, а просто баг (уже пофикшен в последней версии) — компания Nginx отписалась, что этот баг не может быть использован как уязвимость. (спасибо lega за уточнение)

Сегодня стало известно о том, что VPN-сервису HideMy.name удалось добиться отмены решения о блокировке своего сайта. Отменил предыдущее постановление суд Марий Эл.

Ресурс был заблокирован в июле прошлого года по решению районного суда Йошкар-Олы. Автор обращения в суд с иском о блокировке — местный прокурор. Ответчиком вместо владельца выступил Роскомнадзор.

Законодатели Германии готовят новый законопроект, который может усложнить жизнь операторам мессенджеров. Авторы инициативы планируют обязать их выдавать правоохранительным органам переписку пользователей по запросу от соответствующих инстанций. Это означает, в том числе, возможность извлекать зашифрованную переписку в мессенджерах c end-to-end шифрованием.

Законодательная инициатива коснется всех без исключения IM, включая WhatsApp, Signal, Apple iMessage, Telegram. Если законопроект вступил в силу, операторам мессенджера придется придумать, как выдавать переписку, к которой, собственно, ни у кого нет доступа, кроме собеседников.

Суд Аделаиды рассмотрел дело 17-летнего юноши, который три года назад вместе с сообщником взломал серверы Apple. Как рассказал адвокат подсудимого, целью атаки было привлечение внимания для дальнейшего трудоустройства.

Исследователь в области безопасности Тэвис Орманди, работающий с проектом Google Project Zero, обнаружил уязвимость в текстовом редакторе «Блокнот» от Microsoft. По словам эксперта, эта проблема может привести к удаленному выполнению кода (RCE).

Основатель сайта ghacks.net Мартин Брикманн предупреждает пользователей веб-браузера Mozilla о новой угрозе. В официальном магазине стали появляться вредоносные программы, которые маскируются под безобидные расширения.

Специалисты компании Lookout обнаружили оригинальную фишинговую кампанию, направленную на владельцев Android-устройств. Мошенники используют API Notifications и Push, чтобы маскировать вредоносные сообщения под уведомления от сторонних приложений.

В середине мая китайский интернет-художник Гу о Дон выставил на аукцион свою новую работу под названием «Постоянство хаоса». Лот представлял собой ноутбук Samsung NC10-14GB с операционной системой Windows XP, куда были умышленно внедрены шесть самых распространенных и опасных компьютерных вирусов. В понедельник торги завершились, итоговая цена инсталляции составила 1,345 миллиона долларов.

Система квантовой связи ViPNet QSS Phone. Источник: «Ведомости»

По данным «Ведомостей», компания «Инфотекс» и Центр квантовых технологий МГУ представили первый в России телефон с квантовой защитой связи. Система получила название ViPNet QSS Phone.

Устройство работает в качестве IP-телефона, который, правда, подключен к клиенту квантового распределения ключей и серверу. За счет протокола квантового шифрования трафик шифруется таким образом, что к нему нельзя получить доступ со стороны.

В начале мая шифровальщик RobbinHood, который относительно недавно появился на арене вымогательского ПО, заблокировал 10 тыс. персональных компьютеров в муниципалитете Балтимора. Как стало известно в последние дни, злоумышленники попали в инфраструктуру с помощью эксплойта EternalBlue.

В последние дни на Хабре активно обсуждают фиктивные сделки, для которых мошенники используют электронные цифровые подписи (ЭЦП), оформленные на других граждан. В России действуют сотни центров сертификации, многие из которых предлагают быструю процедуру оформления цифровой подписи за 30 минут без личного посещения офиса. Достаточно прислать сканы паспорта через интернет. Этим пользуются злоумышленники, имеющие доступ к персональным данным граждан. Здесь особых проблем нет. Например, если ваша девушка работает в паспортном столе, в исполкоме, в зелёном банке, у сотового оператора, в администрации общежития, в отделе кадров любой компании, то вы без труда получите качественные сканы любого количества паспортов, вместе с другими личными данными жертв.

Как показал эксперимент, получить электронный ключ на любого человека действительно несложно. По нынешнему законодательству удостоверяющие центры РФ сами устанавливают регламент своей работы, поэтому имеют полное право проверять личность человека через интернет.

Главные вопросы: как защититься от такого мошенничества? Как узнать, что на ваше имя получена ЭЦП? Где увидеть список фирм, которые официально зарегистрированы на вас?

Проект «Рейтинг цифровых прав» (Ranking Digital Rights, RDR) опубликовал «Индекс ответственности корпораций» (Corporate Accountability Index) за 2019 год. Он показывает уровень прозрачности деятельности 24 крупных мировых интернет-компаний и телекоммуникационных компаний. Оценивались публичность политики и практик, затрагивающих свободу выражения мнений, неприкосновенность частной жизни пользователей, а также механизмы управления и отчётности.

Все участники рейтинга показали не очень хороший результат. Корпорации не соблюдают базовые стандарты раскрытия информации и не раскрывают пользователям, как собирается и защищается их личная информация. Практически никто не предоставляет больше информации, чем положено по закону.

Абсолютно худшую оценку заслужила компания Mail.ru. Близкий к минимуму результат у «Яндекса».

Как известно, недавно в процессорах Intel обнаружены четыре новые аппаратные уязвимости microarchitectural data sampling (MDS), которые допускают утечку конфиденциальных данных по сторонним каналам. Наиболее серьёзная из уязвимостей получила название ZombieLoad.

В отличие от предыдущих уязвимостей с эксплуатацией спекулятивного выполнения в CPU, которые затронули практически все процессоры, MDS затрагивает только чипы Intel. В краткосрочной перспективе единственный способ уменьшить или минимизировать влияние этих уязвимостей — отключить одновременную многопоточность (SMT) которую Intel называет Hyper-Threading.

Microsoft уже выпустила обновления ОС для четырёх уязвимостей MDS, они вышли с обновлением Windows 10 1903, которое накатывается в эти дни. Но патчи не устраняют проблему полностью, для этого нужны обновления BIOS материнской платы. Как сообщается, Intel выпустила новый микрокод для производителей материнских плат. Но пока новые версии BIOS не появились в открытом доступе. Поэтому издание Techspot протестировало наихудший сценарий, отключив Hyper-Threading. Для старых платформ без возможности обновления это единственное решение.

_{Источник: Cnews}

Дочерние предприятия «Ростеха» — «Российская электроника» и концерн «Автоматика» представили комплексы, предназначенные для борьбы с беспилотниками. Эти устройства могут быть как носимыми, портативными, так и передвижными. Созданы они как для охоты за отдельными устройствами, так и для разворачивания защитного периметра вокруг какой-то территории.

По словам разработчиков, они создали свои устройства для борьбы с опасными дронами, которые могут нести взрывчатые вещества, отравляющие и радиоактивные вещества. Кроме того, их можно использовать для защиты от шпионажа (то есть направлять против дронов, которые оснащены фото- и видеокамерами, средствами разведки и радиоэлектронной борьбы), а также для ограничения полетов в беспилотной зоне — например, вокруг АЭС, аэропортов, больниц и т.п.

ОС Sailfish, которая известна еще и как ОС «Аврора», получила сертификаты соответствия ФСБ России АК2/КС2. Таким образом, эта операционная система стала первой в России ОС, получившей сертификаты такого уровня. Что касается самой операционной системы, то речь идет о Sailfish Mobile OS Rus со встроенным средством криптографической защиты информации (СКЗИ) «СледопытSSL».

Получение сертификатов означает, что операционная система прошла проверку на соответствие «Требованиям к средствам защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа» по классу защиты АК2 и «Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну» класса КС2.