Информационная безопасность *

Компании «Атом безопасность» (входит в ГК СКБ Контур) и «РЕД СОФТ» сообщили об успешном завершении тестирований совместной работы своих продуктов — Linux‑агента системы расследования инцидентов Staffcop Enterprise и операционной системы РЕД ОС. Соответствующий сертификат подписали руководители компаний на основе проведенных испытаний.

Совместное внедрение РЕД ОС и Staffcop Enterprise позволит организациям создать защищенное рабочее окружение на базе отечественных разработок и безопасно работать с ценными данными в удобном и гибко настраиваемом интерфейсе.

Staffcop — система расследования инцидентов, учета рабочего времени и администрирования рабочих мест. В программном комплексе реализована функция контентного анализа содержимого файлов и папок, буфера обмена, почты и мессенджеров, а также контроль USB‑портов и контроль над передачей данных в сети. Есть гибкая настройка политик безопасности и оповещений. Решение также позволяет мониторить активность сотрудников, вести учет присутствия на рабочем месте, выявлять аномалии и фиксировать нарушения политик безопасности.

РЕД ОС — это российская операционная система общего назначения для серверов и рабочих станций. Разработка РЕД ОС ведется в закрытом контуре компании РЕД СОФТ. Исходные коды и пакеты находятся в собственном репозитории РЕД ОС, расположенном на территории РФ. Продукт обладает сертификатом ФСТЭК России и входит в Реестр российского программного обеспечения Минцифры России.

💥 Meta оштрафована на $102 млн за утечку паролей.

Meta получила штраф в размере €91 млн ($102 млн) от Европейского регулятора по защите данных за нарушение безопасности паролей пользователей Facebook в 2019 году. Ирландская Комиссия по защите данных (DPC) начала расследование, когда Meta уведомила, что некоторые пароли были сохранены в открытом виде, а не зашифрованы, что сделало их доступными для сотрудников.

Это серьезное нарушение, так как хранение паролей в открытом виде создает высокие риски злоупотребления данными. Meta утверждает, что проблема была быстро устранена и нет доказательств неправильного использования паролей.

Этот случай — часть череды крупных штрафов для Meta в ЕС, включая рекордные €1,2 млрд за передачу данных за пределы Европы.

История штрафов
Серия штрафов для Meta за нарушения конфиденциальности данных в ЕС:

• €405 млн за неправильное использование данных подростков в Instagram

• €5,5 млн за инциденты с WhatsApp

• €1,2 млрд за незаконные трансграничные передачи данных

Наш TG канал.

🔒 Квантовый протокол для защиты данных между ИИ и облаком.

Исследователи из MIT разработали уникальный протокол безопасности, который использует квантовые свойства света для защиты данных при обмене между клиентом и облачным сервером. Этот метод обеспечивает не только защиту данных, но и сохраняет точность моделей глубокого обучения на уровне 96%.

Как это работает?
🔹 Протокол основан на теореме о невозможности клонирования квантовой механики: данные кодируются в лазерном свете, который используется в волоконно-оптических системах связи. Это делает невозможным перехват информации без обнаружения.

🔹 Сервер кодирует веса нейронной сети в оптическое поле и передает их клиенту. Клиент, используя свои данные, выполняет операции, не раскрывая их серверу.

🔹 Квантовая природа света предотвращает возможность копирования весов или получения дополнительной информации о модели. Как только клиент завершает один уровень вычислений, доступ к предыдущему уровню блокируется.

Двусторонняя защита
Этот подход защищает данные клиента от утечки на сервер, а также защищает модель сервера от копирования клиентом. Это делает протокол идеальным для использования в облачных вычислениях, включая такие ресурсоемкие задачи, как работа с моделями ИИ (например, GPT-4).

🔬 Метод совместим с существующим телекоммуникационным оборудованием, что делает его готовым к внедрению на практике, особенно в таких чувствительных областях, как здравоохранение.

📄 Узнать больше на arXiv.org

Наш TG канал здесь больше постов.

В этом году я впервые поучаствовал как спикер на конференции по безопасности OFFZONE. Поводом для доклада стало желание закрыть гештальт: на одной из предыдущих работ мою находку о потенциальной проблеме в Hyperledger Fabric проигнорировал тимлид. И я решил довести её до конца самостоятельно. Этот путь занял практически всё лето. Дедлайн по подаче докладов - до 15 июля. В июне я сделал PoC код, показывающий суть проблемы. Ещё месяц заняла реализация защиты. Это был мой первый open source проект. Пришлось попотеть: хотелось сделать проект понятный для использования другими. Для этого нужно было: написать понятный код, снабдить его комментариями и сделать юнит-тесты. Я не профи программист, код писать не люблю. Пришлось себя перебороть ради достижения этой цели. Я подал заявку на доклад ещё не закончив это дело. В начале августа мой доклад одобрили. Тогда же я предложил своё решение в сообществе Hyperledger Fabric. Некоторые разработчики стали доказывать, что проблемы нет: в тестах не подтверждается + приводили код проекта, где реализованы механизмы защиты. Доклад оказался под угрозой. Я бросился проверять ещё раз. Убедившись в своей правоте создал заявку в HackerOne. Вскоре появилось исправление. Но, разработчики не признали, что это уязвимость. И я самостоятельно занялся присвоением CVE идентификатора. Уже после доклада уязвимости был присвоен CVE. Закрыв гештальт, снова убедился: хороший тимлид направления безопасности с опытом только разработчика - исключение из правила.

До Selectel Tech Day осталось чуть больше двух недель. Приоткроем завесу тайны и расскажем, что вас ждет 10 октября в Центре событий РБК в Москве.

Программа с докладами

Поговорим про тренды в сфере железа, облачных сервисов, информационной безопасности и ML. Расскажем, как создать IT-инфраструктуру, чтобы бизнес мог быстрее расти. А еще вы первыми узнаете, какие новые продукты мы разработали в этом году.

Все доклады будут полезными — вот пара доказательств:

✅ 11:15-12:15 — «На железе в облака»: как эффективно управлять IT-инфраструктурой в 2025 году
✅ 12:15-13:00 — Секретный доклад о продукте, который вы ждали. Если догадываетесь, о чем мы, участвуйте в конкурсе в канале Selectel Tech Day. Авторы правильных гипотез смогут получить подарок!

Демостенды

Не хотим спойлерить, поэтому скажем кратко: на площадке будут демозоны с нашими продуктами. За участие в активностях на стендах вы получите селекоины. В конце вечера их можно будет обменять на наш мерч. Да, Тирексы в фирменных футболках тоже приедут ❤️🦖

Неформальная часть

Утром, во время регистрации, выпьем кофе и познакомимся. Будут перерывы и между докладами — отличный шанс поговорить с коллегами, спикерами и сотрудниками Selectel. Завершим все яркой вечерней программой.

Участие в мероприятии бесплатное — нужно только зарегистрироваться и дождаться подтверждения, чтобы попасть на площадку. До встречи!

Письмо счастья.
Непонятно только - необходимость или рекомендация

Скоро GMail заблочат?

Компания АМИКОН выпустила обновлённый комплекс «ФПСУ‑IP» Amigo, модификации 7.1, который полностью совместим с операционными системами РЕД ОС версий 7.3 и 8 от компании «РЕД СОФТ».

Программное обеспечение «ФПСУ‑IP» (Amigo) предназначено для подключения к программно‑аппаратному комплексу ФПСУ‑IP и обеспечивает защищённое соединение с криптомаршрутизатором ФПСУ‑IP для доступа к внутренней сети компании. Ключевые функции ПАК «ФПСУ‑ИП» включают шифрование, обнаружение и предотвращение несанкционированного доступа.

Новая версия «ФПСУ‑IP» (Amigo), модификации 7.1, предоставляет расширенные возможности для защиты данных, обеспечивая высокий уровень безопасности при работе на отечественных операционных системах.РЕД ОС — это российская операционная система общего назначения для серверов и рабочих станций, разработанная компанией «РЕД СОФТ». Продукт обладает сертификатом ФСТЭК России и входит в Реестр российского программного обеспечения Минцифры России.

Специалисты обеих компаний подтвердили совместимость решений, что позволяет интегрировать комплекс «ФПСУ‑IP» Amigo модификации 7.1 в инфраструктуру различных организаций, использующих российские программные продукты.

Интеграция российских ОС и отечественного ПО для защищённого подключения к ИТ‑инфраструктуре помогает повысить кибербезопасность компаний. Полностью совместимые защищённые решения уменьшают количество точек проникновения и повышают защищённость ИТ‑периметра, что снижает риск утечки данных.

Вышел четвертый выпуск подкаста «Теория большого IT» о безопасности критической информационной инфраструктуры.

Подзаконные акты к 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» обновляются и неотвратимо меняют правила создания инфраструктуры для все большего количества отраслей.

Гости этого выпуска, технический директор «РТК-ЦОД» Алексей Забродин и директор по информационной безопасности «РТК-ЦОД» Денис Поладьев, рассказали об аспектах действующей нормативной базы и о том, какие требования предъявляют регуляторы к субъектам КИИ. Объяснили, как скажутся новые поправки на компаниях, работающих с КИИ, и как облачные технологии помогут обеспечить нужный уровень безопасности.

Выпуск будет полезен специалистам ИБ, руководителям компаний и всем, кто интересуется импортозамещением и информационной безопасностью.

Подкаст можно посмотреть в ВК-видео.

Компании РЕД СОФТ и Security Vision объявили о завершении совместных испытаний своих решений. В ходе испытаний были протестированы платформа автоматизации и роботизации процессов обеспечения информационной безопасности Security Vision и операционная система РЕД ОС 8.

По итогам испытаний компании выпустили сертификат, подтверждающий совместимость и корректность работы обоих решений. Оба продукта сертифицированы ФСТЭК и включены в Реестр российского программного обеспечения Минцифры России.

Платформа Security Vision представляет собой low code/no code решение, которое позволяет автоматизировать и роботизировать до 95% программно‑технических ИТ и ИБ‑функций.

РЕД ОС 8 — это свежая версия российской операционной системы общего назначения семейства Linux для серверов и рабочих станций от компании «РЕД СОФТ». Эта система обеспечивает универсальную среду для использования прикладного ПО и может использоваться в организациях с высокими требованиями к информационной безопасности и сохранности персональных данных.

«Платформа Security Vision позволит пользователям РЕД ОС 8 внедрить новые практики для обеспечения информационной безопасности в своей организации. Благодарим партнёров из Security Vision за сотрудничество. Мы рады расширить каталог продуктов, совместимых с экосистемой РЕД СОФТ, комплексными и качественными решениями от российских разработчиков» — прокомментировал результаты испытаний заместитель генерального директора РЕД СОФТ Рустам Рустамов

Специалисты компаний «РЕД СОФТ» и «Нетопия» завершили проверку совместимости операционной системы РЕД ОС с платформой сетевой безопасности Netopia Firewall Compliance. По результатам тестирования продукты продемонстрировали стабильную совместную работу.

Netopia Firewall Compliance — платформа контроля сетевой безопасности и расчета векторов атак. ПО визуализирует сетевую инфраструктуру, оптимизирует правила сетевого доступа. Проводит расчет возможных векторов атак с учетом настроек сетевого оборудования. Приоритизирует уязвимости. Netopia Firewall Compliance входит в реестр российского ПО и репозиторий Ассоциации ФинТех

РЕД ОС — российская операционная система общего назначения семейства Linux для серверов и рабочих станций. Продукт обладает сертификатом ФСТЭК России и входит в Реестр российского программного обеспечения Минцифры России. Разработка РЕД ОС ведется в закрытом контуре РЕД СОФТ, исходные коды и пакеты находятся в собственном репозитории РЕД ОС, расположенном на территории РФ.

РЕД ОС 8 является свежим релизом компании. В обновленной версии операционной системы используется ядро Linux LTS‑версии 6.6, что обеспечивает совместимость с современными поколениями процессоров, видеоускорителей и периферийного оборудования.

Лидеры ИТ-рынка обсудят технопартнерства и русификацию мировых трендов на Orion Digital Day

31 октября разработчик инфраструктурного ПО Orion soft проведет в Москве Orion Digital Day — ИТ-конференцию про инфраструктуру, информационную безопасность и тренды в сфере разработки в российском Enterprise-бизнесе. 

В программе:

• Пленарная сессия «Можно ли строить новую модель ИТ на фундаменте российских технологий». Спикеры обсудят, что приобретают или теряют технотренды (ИИ, микросервисы и сервисная модель, новые методы защиты данных) в приземлении на российскую специфику бизнеса, и нужно ли равняться на мировые ИТ-тренды после импортозамещения.

• Пленарная сессия «Сила притяжения: как лидеры российского ИТ принимают вызовы вместе». После импортозамещения компании начинают строить планы на развитие на новом ИТ-фундаменте. Лидеры рынка выскажутся, возможна ли их реализация уже сейчас и какие потребности отраслевых заказчиков вендорам нужно закрыть в первую очередь.

• Инфраструктурные треки: эволюция российских ИТ-компаний от одиночек к интеграциям, новости вендоров и векторы развития.

• Технологические треки: главные инсайты DevSecOps в 2024, тренды безопасности ИТ-инфраструктуры, ИТ и работа с данными в 2024.

А также специальные выступления и кейс-сессия.

Участие в конференции бесплатное. Принять участие в ней можно как офлайн, так и онлайн. Узнать подробности о программе и зарегистрироваться на мероприятие можно на сайте.

Думаю, можно, наконец, поставить точку в вопросе: является ли манипуляция временем со стороны клиента в блокчейне Hyperledger Fabric уязвимостью? Как я писал ранее, разработчики попытались оспорить назначение идентификатора CVE (и даже хотели, чтоб я сам как-то отозвал этот идентификатор). Мне неизвестно, как складывалось общение разработчиков с MITRE: они общались напрямую. О факте оспаривания я узнал в конце августа (из переписки с разработчиками на HackerOne). И вот вчера запись о CVE-2024-45244 была обновлена: выставлен рейтинг уязвимости. Буду считать это точкой в вопросе оспаривания со стороны разработчиков.

В итоге
Разработчик выпустил фикс. Но, исправление сейчас недоступно для стабильных версий: фикс присутствует лишь в ветке main. Какого-либо информирования пользователей об уязвимости со стороны разработчиков я не нашёл (на странице проекта в github в списке уязвимостей не значится). Не нашёл и рекомендаций от разработчика: что делать пользователям, которые используют версию без исправлений? Со своей стороны могу предложить в качестве защиты свою разработку: Оракул времени.

Сколько платят в ИБ

Это короткий формат зарплатного исследования Хабр Карьеры — сегодня делимся данными о зарплатах специалистов по ИБ.

Откуда мы знаем: на Хабр Карьере есть калькулятор зарплат, который считает зарплаты в любых специализациях на основе окладов, которые специалисты анонимно в нем оставляют.

Средняя зарплата специалистов по информационной безопасности прямо сейчас — 147 500 рублей. Зарплата выросла на 22% относительно 2023 года.

Зарплаты в ИБ по квалификациям: 

• 342К

• Senior: 243К

• Middle: 147К

• Junior: 88К

• Intern: 60К

Зарплаты в ИБ по специализациям:

→ Пентестеры

Средняя зарплата: 123К

По квалификациям: зарплата лидов — 419К, сеньоров — 257К, мидлов — 165К, джунов — 97К, стажеров — 32К.

→ Администраторы защиты 

Средняя зарплата: 113К

По квалификациям: зарплата лидов — 180К, сеньоров — 164К, мидлов — 127К, джунов — 85К, стажеров — 58К.

→ Специалист по информационной безопасности

Средняя зарплата: 137К

По квалификациям: зарплата лидов — 350К, сеньоров — 233К, мидлов — 135К, джунов — 86К, стажеров — 53К.

→ Инженер по безопасности

Средняя зарплата: 168К

По квалификациям: зарплата лидов — 325К, сеньоров — 233К, мидлов — 158К, джунов — 88К, стажеров — 52К.

Если хотите посмотреть больше зарплат — используйте зарплатный калькулятор.

Интересное продолжение истории о получении CVE для уязвимости в блокчейне Hyperledger Fabric. Разработчики не признают уязвимость. Это при том, что они внесли изменения, устраняющие проблему. Когда я им сообщил, что по моему обращению в MITRE присвоен идентификатор CVE - сказали, что нужно отозвать CVE: код ведь работал так, как и задумано. Как я понял, разработчики сочли, что MITRE создали идентификатор CVE автоматически, не вникая в суть моего обращения (что противоречит практике моих знакомых, у которых MITRE в ряде случаев запрашивало дополнительные данные перед назначением CVE). По этой причине, разработчики пытаются оспорить CVE (UPD: судя по обновлению от 12.09.2024, оспорить не вышло). Видимо, про уязвимость небезопасного дизайна из OWASP Top 10, они не слышали. Кроме того, по классификации, уязвимость попадает в OWASP Smart Contract Top 10: Timestamp Dependence. Допускаю, что разработчики об этом не знают. К сожалению, я им сообщить этого не могу: моё обращение на HackerOne разработчики закрыли, что заблокировало возможность мне добавлять текст к обращению. Я, кстати, не слышал, чтоб какой-либо идентификатор CVE был аннулирован. Если кто-то знает такие случаи - буду признателен упоминанию этого в комментариях.

Лично у меня от этой истории сложилось такое впечатление: разработчики считают, что только они вправе определять: что является уязвимостью, а что - нет. Игнорируя при этом сложившуюся практику взаимодействия исследователей безопасности с MITRE.

В поисках ключа: решите задачу о шифре Цезаря

Условие

Андрей пришел на стажировку в команду информационной безопасности. Он учится в университете на профильном направлении, но многих практических знаний пока не хватает. Чтобы помочь стажеру, его бадди Сережа дает разные задания.

В этот раз Андрей спросил, как работают алгоритмы шифрования, с помощью которых хакеры могут испортить почти все данные компании. Сережа предложил посмотреть на практике и написать код, который будет подбирать ключ для расшифровки несложного шифра. Для первого раза решили остановиться на шифре Цезаря.

Задача

Помогите Андрею преобразовать текст. Регистром можно пренебречь.

Jwm kxcq cqjc vxawrwp nzdjuuh ujh Rw unjenb wx bcny qjm caxmmnw kujlt. Xq, R tnyc cqn orabc oxa jwxcqna mjh! Hnc twxfrwp qxf fjh unjmb xw cx fjh, R mxdkcnm ro R bqxdum nena lxvn kjlt. R bqjuu kn cnuurwp cqrb frcq j brpq Bxvnfqnan jpnb jwm jpnb qnwln: Cfx axjmb mrenapnm rw j fxxm, jwm R— R cxxt cqn xwn unbb cajenunm kh, Jwm cqjc qjb vjmn juu cqn mroonanwln.

Ответ

and both that morning equally lay in leaves no step had trodden black. oh, i kept the first for another day! yet knowing how way leads on to way, i doubted if i should ever come back. i shall be telling this with a sigh somewhere ages and ages hence: two roads diverged in a wood, and i— i took the one less traveled by, and that has made all the difference.

🕵 Почему так получилось? Показываем решение в Академии Selectel.

Компании «РЕД СОФТ» и «Анлим‑Софт» провели тестирование совместимости продуктов из своих экосистем. В рамках тестирования система сбора данных с досмотровых комплексов «АРГОС» показала, что стабильно работает с СУБД Ред База Данных, передавая поступающую информацию для обработки, хранения и классификации.

Система «АРГОС» осуществляет сбор и обработку информации со всех типов досмотровых комплексов. Решение позволяет консолидировано собирать и хранить информацию о триггерных событиях (срабатываниях), обрабатывать их и связывать с фото и видеофрагментами для более быстрой идентификации потенциального нарушителя. Система прошла обязательную сертификацию в рамках Постановления Правительства № 969 от 26.09.2016 «Об утверждении требований к функциональным свойствам технических средств обеспечения транспортной безопасности и Правил обязательной сертификации технических средств обеспечения транспортной безопасности».

СУБД Ред База Данных обеспечивает стабильную и наглядную работу с данными, поступающими от системы «АРГОС». Безопасность СУБД от компании «РЕД СОФТ» подтверждена сертификатом соответствия № 2729 ФСТЭК России: решение полностью соответствует новым Требованиям по безопасности информации к системам управления базами данных, утвержденных приказом ФСТЭК России № 64 от 14 апреля 2023г., по 4 классу защиты. Решение можно применять в инфраструктурах с повышенными требованиями к информационной безопасности, а также использовать для хранения и обработки персональных данных.

SpaceWeb усиливает защиту сайтов до уровня  L7

Для клиентов виртуального хостинга мы подключили новую услугу на базе решений DDoS-Guard с максимальным уровнем защиты L7.

Кибератаки уровня L7, в отличие от DDoS L3 и L4, направлены на прикладной уровень и затрагивают конкретные веб-приложения и сервисы. Новая степень защиты обеспечит глубинную защиту и позволит эффективно противодействовать киберугрозам. 

Система защиты от SpaceWeb использует современный стек для фильтрации и анализа трафика, это поможет выявлять и блокировать как известные, так и новые виды атак близко к источнику. А при подключении защиты L7 веб-разработчики получат ускорение работы сайта благодаря разгружающей основной сервер CDN (Content Delivery Network), за счет принятия на себя часть трафика. 

Узнать подробнее про новый уровень защиты от DDoS можно на сайте.

Манипуляция временем транзакции в блокчейне Hyperledger Fabric - уязвимость (теперь официально).
Мне удалось добиться назначения идентификатора CVE (CVE-2024-45244) уязвимости, связанной с манипуляцием времени транзакции (о чём писал на Хабре) в блокчейне с открытым исходным кодом Hyperledger Fabric. Разработчик выпустил исправление, но не счёл это уязвимостью (о чём я узнал в переписке, по моему обращению на HackerOne). В итоге, мне пришлось самостоятельно заниматься процессом назначения CVE (воспользовавшись найденной мной на Хабре статьёй). Между обращением в MITRE и назначением CVE прошло чуть менее 2-х недель. UPD 13.09.2024 разработчик пытался оспорить, что это уязвимость - не вышло.

Согласно результатам голосования на моём докладе на конференции по кибербезопасности OFFZONE, все участники согласились, что манипуляция временем транзакции является уязвимостью. Исправление сейчас недоступно для стабильных версий (т.е., в ветке 2.4 и 2.5 исправлений нет, а ветка 3.0.0 не является стабильной). В качестве защиты, можно воспользоваться моей open source разработкой.

Блокчейн активно используется в разных сферах: цифровые валюты центробанков (Беларусии, Нигерии), операторами информационных систем цифровых финансовых активов, электронное голосование, энергетика, здравоохранение и др.

Какая-то нездоровая движуха пошла вокруг Telegram, и я задумался, как можно еще больше обезопасить свои сообщения. На выходных закодил плагин для локального шифрования на Telegram Web. Вот такая штука получилась.

Идея такая, отправлять не явные сообщения, а локально зашифрованные и далее плагин на лету их расшифровывает непосредственно на клиенте.

Тем самым если даже сервер скомпрометируют, то они найдут только ваши закодированные сообщения, которые зашифрованы локальным ключем.

Плагин больше, как концепция, интересно было попробовать насколько это может быть удобно. Так то можно не только в телеге использовать, главное написать адаптер.

Как вам идейка вообщем?

Потестить можно тут https://github.com/dmitrymalakhov/NebulaEncrypt

Telegram: Мотивируй IT

Прокси

nekoray - Кроссплатформенный менеджер конфигурации прокси-сервера с графическим интерфейсом на основе Qt.

graftcp - Гибкий инструмент для перенаправления TCP-трафика заданной программы на SOCKS5 или HTTP прокси.

frp - это быстрый обратный прокси, позволяющий открыть доступ в Интернет локальному серверу, расположенному за NAT или брандмауэром.

Bloody-Proxy-Scraper - Простой инструмент для получения хороших и проверенных прокси.

Lunus BPS - Инструмент для получения прокси и проверки их валидности в режиме реального времени. Поддерживает HTTP/s, SOCKS4, и SOCKS5.

Free-proxy - Еще одна софтина на bash, работает под termux.

Valid8Proxy - Инструмент, разработанный для извлечения, проверки и хранения работающих прокси.

LHMedia в телеграме:

• Life‑Hack — Жизнь-Взлом

• Новостной канал

• Канал с бесплатными видео курсами по программированию

• Юмор