Информационная безопасность *

Компания BI.ZONE и «Группа Астра» заключили соглашение о стратегическом сотрудничестве в рамках Петербургского международного экономического форума. Документ предусматривает долгосрочное технологическое сотрудничество в сфере кибербезопасности. Ключевой целью нового стратегического сотрудничества названо повышение киберустойчивости организаций России и других стран СНГ.

По новому документу, BI.ZONE и «Группа Астра» будут работать над технологической совместимостью разрабатываемых ими продуктов и обеспечивать интегрируемость решений компаний с IT‑инфраструктурой российских организаций. Компании считают, что соглашение поможет отечественному бизнесу эффективно противостоять актуальным киберугрозам и без потерь выполнять требования законодательства о переходе на российское ПО.

Две команды ИБ-специалистов РСХБ.цифра приняли участие в международных онлайн-киберучениях STANDOFF на Петербургском международном экономическом форуме (ПМЭФ).

• CyberTeam, с 2022 года неоднократно выступавшая на различных кибербитвах и прошедшая в финал Киберчемпионата на ЦИПР, на текущих киберучениях находилась в лагере защиты и победила в номинации «Первый обнаруженный инцидент».

• Команда AgroTeam находилась в лагере атакующих и отлично себя показала в деле обнаружения и эксплуатации уязвимостей объектов полигона чемпионата. AgroTeam вошла в топ-10 атакующих команд на киберучениях ПМЭФ.

Киберучения STANDOFF проводятся с 2016 года. Специалисты по кибербезопасности из разных стран показывают свои навыки, защищая компании, предприятия и целые отрасли в виртуальном государстве, а также атакуя эти предприятия, тем самым проверяя выстроенные ИБ-процессы на уязвимости.

В Standoff на ПМЭФ-2024 приняли участие представители 21 страны, в числе которых группы реагирования (CERT) и независимые эксперты и руководители функциональных направлений бизнеса в качестве наблюдателей.

Пользователи определённых дополнений к Firefox, позволяющих обойти блокировки Роскомнадзора, столкнулись с невозможностью загрузить дополнения из каталога addons.mozilla.org (AMO). На страницах некоторых дополнений, обеспечивавших обход блокировок, при попытке открытия из РФ теперь показывается страница с информацией о запрете доступа к странице из региона пользователя.

Разработчик одного из заблокированных дополнений попросил представителей Mozilla назвать причину блокировки, при том, что формально дополнение не нарушает никаких правил каталога AMO. Представители Mozilla пока не указали причин блокировки, но, вероятно, они сделали это после получения требований от Роскомнадзора.

При этом блокировки дополнений, нарушающих законы отдельных стран, не новы, например, в 2022 году Mozilla заблокировала доступ к дополнениям uBlock Origin, AdGuard, AdNauseam и AdBlock из Китая, что было сделано после возникновения угрозы блокировки всего каталога addons.mozilla.org в Китае.

Источник: OpenNET.

Роскомнадзор (РКН) обсуждает с операторами связи РФ возможность блокировать по умолчанию любые международные звонки в целях борьбы с мошенничеством.

«Одним из вариантов может стать блокировка операторами всех звонков из‑за границы по умолчанию», — сообщил СМИ источник из профильной отрасли.

При этом у абонента будет возможность выбора в настройках личного кабинета: принимать или не принимать заграничные звонки. Сделать это будет возможно для всех заграничных звонков или только для абонентов из списка контактов, например, принимать звонки только от родных и близких.

«Эксперты в области связи и защиты информации согласны с необходимостью повышения ответственности операторов связи за непринятие мер в этой сфере», — рассказал СМИ эксперт.

Как именно такая фильтрация звонков будет реализована, представитель РКН комментировать отказался, переадресовав вопрос к операторам связи. Представители «Билайна» и «Мегафона» от комментариев СМИ по этой ситуации отказались.

Глобальный сбой в работе мессенджера Telegram произошел из-за внутренней проблемы системы. Об этом 8 июня сообщил СМИ генеральный директор TelecomDaily Денис Кусков.

«Час с лишним лежало приложение. Учитывая, что достаточно оперативно они смогли откатить это дело, все-таки это связано с проблемами внутри Telegram. Возможно, что-то произошло в ЦОДах, где хранится информация», — пояснил Кусков.

Эксперт добавил, что сбой в работе мессенджера вряд ли связан с DDoS-атаками.

Похожее мнение о внутренних проблемах в работе Telegram высказал в беседе со СМИ независимый эксперт в сфере телекома Алексей Слукин. По его мнению, причиной сбоя могли стать тесты будущих нововведений и обновлений. «О том, что это не сторонние вмешательства, говорит глобальность сбоя», — указал эксперт.

Вечером 8 июня 2024 года в работе мессенджера Telegram произошел глобальный сбой. Наблюдались проблемы с загрузкой медиафайлов и отправкой сообщений. Также у части пользователей статус «обновление» в постоянном режиме и не загружается контент. Чуть больше, чем час спустя, сервис снова заработал.

В работе мессенджера Telegram произошел сбой, следует из данных Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП). Возникают проблемы при попытке отправить сообщения, также не обновляется информация в телеграм-каналах.

ИИ-опция записи действия пользователей Recall от Microsoft действительно оказалась с проблемами по ИБ. Энтузиасты с GitHub смогли удалённо взломать ПК с включенной опцией Recall и выгрузить все данные пользователя в виде обычных картинок в формате jpeg. И для этого понадобился всего лишь пароль от Windows 11.

В OpenSSH добавлена встроенная защита от автоматизированных атак по подбору паролей, в ходе которых боты пытаются угадать пароль пользователя, перебирая различные типовые комбинации. Для блокирования таких атак в файл конфигурации sshd_config добавлен параметр PerSourcePenalties, определяющий порог блокировки, срабатывающий при многих неудачных попытках соединений с одного IP-адреса. Механизм защиты войдёт в состав следующего выпуска OpenSSH и будет включён по умолчанию в OpenBSD 7.6.

При активации защиты процесс sshd будет отслеживать статус завершения дочерних процессов, определяя ситуации без аутентификации или когда процесс был аварийно завершён из-за сбоя. Большая интенсивность сбоев при аутентификации свидетельствует о попытках подбора паролей, а аварийное завершение указывает на попытки эксплуатации уязвимостей в sshd.

В параметре PerSourcePenalties задаётся минимальный порог аномальных событий, после превышения которого IP-адрес, для которого зафиксирована подозрительная активность, будет заблокирован. При помощи параметра PerSourceNetBlockSize можно определить маску подсети для блокирования всей подсети, к которой принадлежит проблемный IP-адрес.

Для отключения срабатывания блокировки для отдельных подсетей предложен параметр PerSourcePenaltyExemptList, который может оказаться полезным в ситуациях, приводящих к ложным срабатываниям, например, когда к SSH-серверу осуществляются обращения из крупной сети.

Источник: OpenNET.

Google отказалась от конфискации смартфонов Pixel, если в процессе ремонта там будут обнаружены неавторизованные запасные части.

Ранее политика Google предполагала, что в случае отправки в ремонт смартфонов Pixel, который содержит детали, не одобренные производителем, то в этом случае смартфон не будет возвращён клиенту, а утилизирован.

Теперь в Google решили отказаться от этой практики. В компании пояснили, что при обнаружении неавторизированных Google деталей, например, в определенных ситуациях (в целях безопасности), клиенту может быть отказано в ремонте, а сам смартфон будет отправлен обратно пользователю.

Агентство национальной безопасности (АНБ) США дало рекомендации по защите смартфонов от кибератак.

Согласно предупреждению АНБ, мобильные устройства уязвимы для различных кибератак, включая фишинг, вредоносные приложения, перехват трафика и удалённый доступ. Особенно опасны целевые фишинговые атаки, направленные на заражение устройства вредоносным ПО.

Для защиты АНБ рекомендует пользователям выключать и включать свои смартфоны и планшеты минимум один раз в неделю. Это позволит очистить оперативную память устройства и затруднит злоумышленникам сбор конфиденциальных данных.

Выключение и перезагрузка устройства не гарантирует 100% защиты. Поэтому АНБ также советует:

• своевременно устанавливать обновления безопасности для приложений и операционной системы;

• загружать приложения только из официальных магазинов приложений;

• не переходить по ссылкам и не открывать вложения в сообщениях от неизвестных отправителей;

• избегать использования общедоступных Wi-Fi сетей;

• отключать Bluetooth, когда он не используется;

• использовать надежные пароли и биометрическую аутентификацию;

• подключать устройство только к проверенным аксессуарам и зарядным устройствам;

• отключать службы определения местоположения, когда они не нужны.

Для дополнительной защиты АНБ также рекомендует установить специализированные приложения для сканирования устройства на наличие уязвимостей и вредоносного ПО.

«Билайн» запустил группу быстрого реагирования для борьбы с мошенниками. Клиент оператора сразу может связаться с живыми сотрудниками службы поддержки, если у него есть подозрение, что он стал жертвой злоумышленников или подвергается атаке с их стороны прямо сейчас.

Если абонент компании считает, что оказался под воздействием злоумышленников, то теперь он может связаться с поддержкой по номеру 0611 или в чате мобильного приложения «Билайна».

Также исполнительный вице-президент по розничному бизнесу компании Светлана Кирсанова пояснила СМИ, что «Билайн» налаживает сотрудничество с банками и «Госуслугами», чтобы в момент атаки мошенников противостоять им сообща.

ГАС Правосудие взломали. В Багдаде всё спокойно.

На моей практике возникла весьма интересная ситуация, связанная с тем, как дело в районном суде могут отдать нужному судье, а затем просто "потерять" из статистики и учёта в апелляции и кассации. И всё это связано с работой в АИС, ГАС или тем, что объединено под названием ГАС "Правосудие".

И так. Решив всё же описать ситуацию, я с огромной долей вероятности предполагаю, что подобные технические манипуляции с ГАС Правосудие, АМИРС, МРД и прочими многочисленными и таинственными составляющими электронного правосудия в России, позволяют успешно "решать вопросы" по заказу (по звонку или как там ещё было когда-то принято).

Связано это с уникальным идентификатором дела (УИД), который был введён в 2019 для привязки всех производств к единому номеру, с целью контроля и учёта.

В районном суде делу в 2021-м году был присвоен "УИД 0". Дело с номером "2-...". Модулем автораспределения (МРД) не пользовались. Протокола распределения нет. Клиент не заметил этого, прошёл апелляцию и кассацию (безуспешно и очень удивительно, что там не заметили нарушение).

Но! Самое интересное. В ВС РФ (Верховный Суд Российской Федерации) жалобе присвоили УИД от другого дела, не имеющий к нашему делу никакого отношения. Как?

Видимо это нормальная практика, когда Верховный Суд РФ, не имея возможности просто проставить "0" в системе в поле УИД, присваивает производству какой-то левый номер?

Сталкивались ли вы с такими казусами, и есть ли в таких трюках состав 274 УК РФ?

Опубликован стабильный релиз интерфейса для упрощения настройки параметров сети —  NetworkManager 1.48.0. Плагины проекта для поддержки VPN (Libreswan, OpenConnect, Openswan, SSTP) развиваются в рамках собственных циклов разработки.

Основные изменения в NetworkManager 1.48:

• объявлена устаревшей система сборки на базе пакета autotools. Для сборки NetworkManager теперь рекомендовано использовать инструментарий meson;

• объявлено устаревшим свойство mac-address-blacklist, позволяющее определить чёрный список MAC-адресов для проводных и беспроводных сетей. Вместо mac-address-blacklist предписано использовать свойство mac-address-denylist, в названии которого отсутствует неполиткорректная терминология;

• добавлено свойство 802-1x.openssl-ciphers для изменения шифров OpenSSL, применяемых при аутентификации 802.1X, что позволяет, например, отключить некоторые новые шифры при подключении к старым серверам;

• разрешено применение IPv6 SLAAC (Stateless Address Auto-configuration) и назначение IPv6-адреса DNS-сервера для широкополосных модемов, если адрес IPv6 не был явно передан ModemManager;

• добавлена поддержка отправки DHCP-сообщения RELEASE в случае разрыва соединения;

• решена проблема, приводившая к 100% нагрузке на CPU, в случае поступления от внешних программ большого числа обновлений маршрутов;

• решена проблема с определением поддержки беспроводными устройствами диапазона 6 GHz.

Источник: OpenNET.

С 31 мая по 9 июня 2024 года VK запускает онлайн‑марафону киберграмотности в сообществе «Безопасность» социальной сети «ВКонтакте» для школьников. Ребята узнают об основных правилах кибергигиены и смогут закрепить знания с помощью тематических видеолекций, клипов, памяток, комиксов и заданий в мини‑приложении «Другое дело», разработанных экспертами VK по информационной безопасности. В специальном видеовыпуске марафона школьники расскажут, как они понимают профессиональные термины, а эксперты по кибербезопасности попробуют их угадать по описанию.

С 31 мая все пользователи смогут узнать о технологиях для обеспечения безопасности аккаунтов, цифровой гигиене и возможностях детской почты в специальном проекте «Облака  Mail.ru »» и «Почты  Mail.ru ». Для зрителей будет видеовыпуск, в котором дети IT‑специалистов отвечают на вопросы про пароли родителей, современные технологии, происхождение интернета и безопасность в сети.

30 мая 2024 года Docker Hub перестал работать в России из-за геоблокировки и санкционных ограничений. Обсуждение попыток решения этой ситуации есть на Хабре в этой публикации.

Заблокированы сайты https://www.docker.io/ и https://hub.docker.com/.

Работают сайты: https://forums.docker.com/ и https://www.docker.com/

С VPN доступ открывается. При этом из wsl2 образы не скачиваются даже с включенным VPN.

Решение с доступом:

Выбираем любое:
https://daocloud.io
https://c.163.com/
https://registry.docker-cn.com
https://mirror.gcr.io

Открываем настройки Docker Daemon:

nano /etc/docker/daemon.json

И добавляем зеркало, например:

{
  "registry-mirrors": ["https://mirror.gcr.io"]
}

Затем делаем рестарт:

service docker restart

Второй вариант с зеркалом:

nano /etc/sysconfig/docker

OPTIONS='--selinux-enabled --log-driver=journald --registry-mirror=<MIRROR>'

Наша статья по DevSecOps победила в премии «Технотекст» в категории «Информационная безопасность», грейд Senior. Очень рад!

Расскажу в двух словах, о чём статья:
- В статье мы мы рассказали, что такое концепция Shift Left, и как она помогает сократить стоимость исправления ошибок и сроки разработки: чем раньше в процессе разработки начинаются проверки безопасности, тем лучше.
- Затем разобрали структуру DevSecOps-пайплайна и посмотрели, какие проверки безопасности проводят на каждом этапе пайплайна: от pre-commit до post-deploy.
- В конце рассказали о Security Dashboards — инструментах визуализации данных, которые помогают эффективно анализировать уязвимости и управлять процессом их устранения.

Читать статью

Все результаты премии «Технотекст»

Аукционный дом Christie's атаковали при помощи программы-вымогателя. Хакеры RansomHub заявили, что они парализовали сайт Christie’s всего за несколько дней до начала весенних распродаж, и это вынудило аукционный дом прибегнуть к альтернативам онлайн-торгам.

Группа утверждает, что получила доступ к конфиденциальной информации о самых богатых коллекционерах произведений искусства в мире. Она опубликовала в даркнете несколько имён с датами рождения. Проверить утверждение RansomHub пока не удалось, но эксперты по кибербезопасности считают его правдоподобным. Также неясно, получили ли хакеры доступ к более конфиденциальной информации, включая финансовую. 

Хакеры грозятся опубликовать все данные, выставив таймер обратного отсчёта до конца мая.

В Christie’s подтвердили, что группа завладела ограниченным количеством личных данных некоторых клиентов, однако пока не выяснила, была ли украдена финансовая информация. 

RansomHub заявляет, что Christie's не заплатил выкуп, когда его требовали. Теперь, по словам хакеров, аукционный дом выплатит большие штрафы за нарушение GDPR, а его репутация будет испорчена.

Christie's нем уведомлял клиентов о взломе, а по итогам весеннего сезона продаж привлёк $528 млн.

В «Яндекс ID» появился инструмент для простой и удобной настройки уровня безопасности аккаунта. С его помощью пользователи могут проверить, насколько защищён их аккаунт, и настроить дополнительную защиту. Проверка доступна в личном кабинете «Яндекс ID» в разделе «Безопасность».

Предусмотрено четыре уровня защиты, на каждом пользователь может получить простые и понятные рекомендации для повышения уровня безопасности аккаунта.

1. Защита не настроена. На этом уровне пользователю рекомендуется добавить дополнительную информацию для защиты аккаунта, например, имя и фамилию — так доступ не потеряется в случае смены SIM‑карты.

2. Базовая защита — аккаунт защищён паролем или другим способом входа. Пользователь может повысить уровень безопасности, добавив запасную почту или номер телефона, чтобы при необходимости восстановить доступ к аккаунту по коду из письма или смс.

3. Усиленная защита — аккаунт защищён паролем и есть способ восстановления. Повысить уровень безопасности можно, подключив второй фактор — например, вход по паролю и смс или коду, сгенерированному в приложении Яндекс Ключ.

4. Максимальная защита. Предполагает, что у пользователя уже включен вход с помощью Яндекс Ключа или пароля и кода из смс.

В октябре 2023 года «Яндекс ID» добавил новый беспарольный способ входа — по картинке.

В феврале «Яндекс ID» запустил вход по лицу или отпечатку пальца.

Организация Rust Foundation опубликовала статистику, в соответствии с которой из 127 тысяч значительных пакетов, представленных в каталоге crates.io, более 24 тысяч (19.11%) используют ключевое слово unsafe для включения возможностей, допускающих небезопасную работу с памятью в отдельных блоках кода, таких как разыменование указателей, вызов внешних функций или изменение статических переменных. 34.35% пакетов совершают прямые вызовы функций из других crate-пакетов, в которых используется unsafe.

Отмечается, что в большинстве случаев использование unsafe обусловлено вызовом кода, написанного на других языках или обращения к библиотекам на С/C++. Пакетом с наибольшим числом вызовов в контексте unsafe признан развиваемый компанией Microsoft crate-пакет windows, являющийся обвязкой над API платформы Windows. Данный пакет насчитывает 36 млн. загрузок. Unsafe также используется в самых популярных пакетах syn (470 млн загрузок), proc-macro2 (354 млн загрузок) и libc (345 млн загрузок).

Для выявления проблем в коде, выполняемом в контексте unsafe, проектом развивается интерпретатор  Miri, позволяющий определять обращения вне границ буферов, использование памяти после её освобождения, некорректное использование неинициализированных данных, нарушение инвариантность базовых типов (например, несоответствие bool значениям 0 или 1), нарушение правил владения объектами, возникновение состояний гонки и утечки памяти.

Источник: OpenNET.

Российский сайт Hikvision ушел на техобслуживание. Ранее ресурс перестал работать без объяснения причин. В CNews даже предположили, что вендор тихо ушел с российского рынка.

Что известно на данный момент:

1. Вендор временно приостановил отгрузки в РФ.

2. Перестраиваются логистические цепочки из-за санкций США.

3. Объявлений об уходе от вендора не было.

P.S. FTP ресурс для скачивания ПО и документации работает.

Никогда такого не было и вот опять (с) Черномырдин

Олды из 90-х помнят про чеченские авизо в системе Госбанка, когда благодаря концепции безопасности "Джентельменам верят на слово", в Чечню уходили караваны денег.

История повторяется ...

https://www.rbc.ru/politics/24/05/2024/665086f09a79473be1adc6dd?from=from_main_2

 Через единую систему электронного документооборота ПФР были сформированы реестры поручений с внесенными в них «заведомо ложными сведениями» о начислении разовых выплат до 2020 года.

Уверен - "систему электронного документооборота ПФР" обладает всеми справками по безопасности, которые можно и нужно получить для госконтракта. Я сам сталкивался с ТЗ от заказчика, когда "начальника" в Мухосранске обладает полной возможностью рулить всей системой ...

ха-ха-ха неудачники