Информационная безопасность *

Сегодня журналисты, аккредитованные в Верховной Раде Украины, получили доступ к законопроекту 4692, автором которого значится нынешний премьер-министр Владимир Гройсман. Согласно документу, изменения должны затронуть вопросы защиты авторских прав в интернете. Законопроект (doc) достаточно объёмный, но журналисты вычленили из него несколько моментов, которые вызвали достаточно широкое обсуждение в социальных сетях.

19-летний хакер под ником Revolver (аккаунт 1x0123 в твиттере) заявил о взломе порносайта Pornhub и теперь предлагает всем желающим купить доступ к серверу за $1000. Это не такая высокая цена для сайта, куда заходят 60 млн посетителей в сутки.

В доказательство юноша опубликовал два скриншота.

Хакер также выразил своё отношение к недавно объявленной программе Pornhub по выплате вознаграждений за найденные уязвимости. «Я больше не сообщаю об уязвимостях. Иди в подполье или сваливай. #FuckBugBounty», — сказал он.

Браузеры Chrome, Firefox и Safari блокируют прямой доступ к торрент-трекеру The Pirate Bay, показывая сообщение о потенциально опасном сайте. Обычно такое случается, когда пользователь пытается перейти на зловредный сайт (например, фишинг-ресурс), собирающий данные пользователей, или же предлагающий загрузить на ПК пользователя malware.

Примерно то же самое случилось с Kickass Torrents около месяца назад, когда все три браузера показывали аналогичное сообщение в течение трех дней, при попытке пользователя перейти на этот торрент. Администрация ресурса сообщила, что это случилось из-за окна подтверждения перехода на сторонний ресурс, которое всплывало при попытке пользователя уйти с сайта. Правда, у The Pirate Bay ничего такого нет. И причина проблемы до сих пор неизвестна.

^{Директор ФБР Джеймс Коуми даёт показания на заседании комиссии Сената по разведке, 8 июля 2015 г. Фото: Michael Reynolds/EPA}

Без лишней огласки Верховный суд США утвердил поправки к Правилу 41 в Federal Rules of Criminal Procedure (pdf), которые разрешают судам низшей инстанции выдавать ордеры на обыск (взлом) компьютеров в любой юрисдикции, то есть в любой стране мира. Решение принято несмотря на сильную оппозицию со стороны технологических компаний и правозащитных организаций. Они считают, что это чрезмерно расширяет полномочия ФБР, а также открывает возможность для необоснованных обысков.

Популярный торрент-трекер Rutracker подключил шифрование HTTPS. Пока что шифрование доступно в виде опции при авторизации, а скоро будет включено по умолчанию для всех пользователей.

«Это нововведение планировалось давно, но несколько раз откладывалось. Сначала мы планировали блокировать отдельные темы по запросам Роскомнадзора, потом, когда это стало неактуальным , совмещали работу сертификата с зеркалами форума, а потом тестировали работу с плагинами обхода блокировок», — говорится в официальном сообщении.

Хакерская группа Hello Kitty сообщила, что в открытом доступе на сайте traveladmin.ru лежит около 3500 документов с личными данными клиентов. Документы доступны по ссылке http://traveladmin.ru/admin/files/services/ (уже недоступны), последние из них датируются 19 апреля 2016 года.

Примерно неделю назад произошло обновление мобильного приложения Uber для Android до версии 3.98.2. Пользователи программы сразу обратили внимание, что после обновления Uber запрашивает доступ к истории посещённых страниц в браузере, закладкам и запущенным приложениям (см. скриншот).

Такое любопытство Uber выглядит подозрительно, особенно с учётом недавней статистики, согласно которой компания предоставила властям и регуляторам США по их запросам информацию о 12 млн пассажиров и водителей такси Uber.

«Ума не приложу, какие могут быть рациональные причины, зачем приложению такси рыться в истории моего браузера, а тем более смотреть список приложений, которые я использую», — возмущается один из пользователей, который часто ездит на такси Uber.

Как и некоторые другие компании, каждый год Reddit публикует Transparenct Report, в котором отчитывается о количестве запросов на удаление информации, выдачу конфиденциальных данных о пользователях и т.д. В прошлом году в отчёт добавили специфическую фразу: «По состоянию на 29 января Reddit ни разу не получал повесток NSL по Акту о негласном наблюдении в целях внешней разведки (FISA) или любого другого засекреченного запроса на информацию о пользователе. Если мы получим такой запрос, то постараемся найти способ довести до публики факт его существования».

Это классический пример свидетельства канарейки — способ передачи информации, осуществляемый через молчание или отрицание.

Скрытая сеть, даркнет — для обычного человека это звучит страшно. В медиа постоянно рассказывают о даркнете в связи с преступной деятельностью, продажей наркотиков и оружия, работе наёмных убийц и организации терактов.

Ничего удивительного, что в общественном сознании прочно укрепилась идея о том, что сеть даркнет — это нечто преступное. Мол, нормальному человеку нечего скрывать. Опрос более 24 000 пользователей интернета в 24 странах мира организацией Centre for International Governance Innovation (CIGI), дал грустный результат: 71% респондентов поддержали идею полного закрытия скрытой сети (pdf). Очевидно, что большинство этих людей имеют слабое представление, что такое Tor, если думают, что сеть можно просто «закрыть».

Очередным гениальным предложением разродилось Министерство связи и массовых коммуникаций РФ. Оно продолжает борьбу с анонимным доступом в интернет и подготовило законопроект, по которому администрация общественных мест (кафе, библиотеки, школы, парки и т.д.), обязана идентифицировать пользователей бесплатного WiFi, иначе им грозит штраф до 200 000 руб. Об этом сообщили в пресс-службе Минкомсвязи.

Каждое заведение обязано будет заключить с оператором связи договор об идентификации пользователей и используемого ими оборудования — смартфонов, ноутбуков и др.

В мае 2014 года владелец защищённого сервиса электронной почты Lavabit Ладар Левисон сообщил подробности судебного процесса, в результате которого почтовый сервис пришлось закрыть. ФБР и министерство юстиции до сих пор не признавались, что доступ к серверам Lavabit им требовался с единственной целью — прочитать почту Эдварда Сноудена. Но сейчас из-за невнимательности чиновников правда просочилась наружу.

По словам главы Минкомсвязи Николая Никифорова правительство РФ не планирует вводить государственный контроль интернет-трафика. Министр сообщил, что появившаяся в СМИ информация о разработке Минкомсвязи соответствующего законопроекта недостоверна, пишет ТАСС. «Никакого контроля не предполагается. Никакого контроля трафика, контента, того, как ходит информация — ничего такого не планируется», — подчеркнул он.

Кроме того, Николай Никифоров подверг критике инициативу Госдумы приравнять новостные агрегаторы к СМИ. «Пытаться повесить на новостные агрегаторы ответственность за ту информацию, которая содержится на самих новостных сайтах, нам кажется довольно странной формой перекладывания ответственности», — сказал глава Минкомсвязи.

Государство будет следить за безопасностью передачи данных в отечественном сегменте Сети


Фото: Дмитрий Коротаев / Коммерсантъ

Администрация президента сейчас ведет работу по созданию государственного удостоверяющего центра (УЦ), который будет выдавать сайтам в русскоязычном сегменте Сети государственные SSL-сертификаты, пишет «Коммерсант». «Огромное количество сайтов в рунете использует защищенное соединение: интернет-магазины, платежные системы, государственные сервисы, где пользователь вводит свои персональные данные. На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru — SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете»,— сообщил источник, близкий к администрации президента (АП).

О начале реализации такого проекта сообщил и глава Фонда информационной демократии Илья Массух. Он сказал, в частности, что создание УЦ бужет обсуждаться специальной рабочей группой «по использованию информационно-телекоммуникационной сети интернет в отечественной экономике». Эта группа создана в начале февраля этого года решением главы администрации президента Сергея Иванова. В рамках группы создана подгруппа «Интернет плюс суверенитет», в которой «будут вырабатываться предложения по созданию УЦ с учетом мнения экспертов и компаний-разработчиков отечественных браузеров — „Яндекс.Браузер“ и „Спутник“».

Как уже сообщалось сегодня на Geektimes, Минкомсвязи разработало законопроект по государственному контролю интернет-трафика на территории России. Законопроект предусматривает необходимость внесения поправок в такие законы, как «О связи» и «Об информации, информационных технологиях и защите информации». Что касается способов мониторинга трафика на российских каналах, то их несколько. Это создание реестра IP-адресов рунета, а также «мониторинг использования ресурсов глобальной адресации и глобальных идентификаторов сети интернет (DNS и IP-адресов)».

Законопроект вызвал бурное обсуждение в среде как обычных пользователей, так и представителей телекоммуникационных компаний. Для того, чтобы внести ясность в ситуацию, пресс-секретарь президента Владимира Путина Дмитрий Песков объяснил, как нужно понимать этот законопроект, пишут «Ведомости». В частности, Песков указывает на то, что документ не стоит считать намерением правительства установить полный контроль над интернетом.

Обеспечение безопасности и устойчивости российского сегмента в случае отключения от внешнего мира — такую задачу поставил президент Путин перед Советом безопасности на совещании осенью 2014 года. На совещании обсуждали итоги учений по устойчивости работы рунета в условиях изоляции.

Для реализации поручений президента Минкомсвязи сейчас разработало законопроект о государственном контроле над прохождением интернет-трафика на территории России, пишут «Ведомости», которые получили копию документа. Информацию подтвердили в Минкомсвязи, а также в руководстве крупных операторов связи и интернет-компаний.

Пока в США смотрели Суперкубок, анонимный хакер пообещал опубликовать имена, адреса электронной почты и телефонные номера 20000 агентов ФБР и 9000 сотрудников американского МВБ. И выполнил обещание через сутки.

Компания Yahoo на прошлой неделе сообщила, что будет предупреждать пользователей о подозрениях в слежке со стороны правительственных служб. Twitter, Facebook и Google сделали это раньше. Властям Великобритании эта инициатива не нравится: они рассматривают законопроект, по которому глава компании, предупреждающей о слежке со стороны британских агентств, может сесть в тюрьму на два года.


Пример уведомления от Facebook на аккаунт

Специалист по безопасности Карстен Нол (Karsten Nohl), основатель Security Research Labs, выступил с заявлением об уязвимости протокола передачи данных, по которому платёжные pos-терминалы передают данные банковских карт. Сотрудники Security Research Labs на глазах у удивлённого корреспондента RT взломали пин-код его карточки и сделали её клон. При этом корреспондент использовал чипованную карту.

По словам Нола проблема заключается не в неправильной работе устройств, а в уязвимостях самого протокола. В связи с этим необходимо менять всю систему – что дорого и невыгодно, по крайней мере, пока взлом не приобрёл массовый характер.

И речь сейчас не об электронных сервисах — почтовиках, а об операторах почтовой связи. СОРМ придется установить «Почте России», СПСР-Экспресс, FedEx Россия и другим отечественным или зарубежным компаниям, которые работают в РФ. После установки СОРМ начнет собирать данные об отправителях и получателях писем и посылок, фотографировать внешний вид упаковки и выполнять другие операции, пишут «Известия». Если посылка или письмо вызовет подозрение, его могут поместить в ячейку для дальнейшего изучения.

Соответствующее указание содержится в приказе Минкомсвязи «От утверждении требований к оборудованию автоматизированной сортировки почты, обеспечивающему выполнение установленный действий при проведении оперативно-розыскных мероприятий». Установка соответствующей системы должна быть выполнена компаниями в течение года с момента вступления приказа в силу.

Премьер-министр Дмитрий Медведев предлагает принять кодекс поведения в интернете в форме мягкого права. Такое предложение он озвучил незадолго до своего визита в Китай на Всемирную конференцию по управлению интернетом, передаёт агентство ТАСС.

«Очевидно, что, пока ещё не поздно, необходимо не допустить криминализации интернета, гарантировать соблюдение прав человека в цифровой сфере, — сказал премьер-министр. — Сделать это в условиях отсутствия полноценной международно-правовой базы сотрудничества в сфере информационной безопасности крайне сложно, поэтому первым шагом в создании международной системы безопасности в этой области могло бы стать принятие кодекса или правил поведения в форме мягкого права».