На Южном Урале открыто дело о краже учеток с целью продажи
В Челябинске задержан молодой человек по подозрению в совершении серии взломов онлайн-аккаунтов с помощью вредоносной программы. Скомпрометированные учетки впоследствии за плату расшаривались в Telegram.
Простой способ компрометации приватных ключей при помощи SSH-Agent
Уязвимость ли это? Не совсем. Как и многие вещи в мире безопасности, эта «атака» на самом деле является зловредным применением обычной функциональности. Задача этого поста — объяснить вам, что теоретически может произойти в подходящих обстоятельствах.
Фишеры вытаскивают пароли сотрудников под видом анкет самооценки
Кибермошенники запустили новую рассылку, в которой пытаются ввести в заблуждение доверчивых сотрудников организаций. Под видом анкет самооценки фишеры пытаются выудить логины и пароли от корпоративных аккаунтов.
**Компания Леонида Реймана выпустит антишпионский смартфон
**
__Саранский завод «Рутек», принадлежащий структурам экс-министра связи России Леонида Реймана, начал производство антишпионского защищенного смартфона «Р-фон» на операционной системе «Роса Мобайл». Об этом «Ведомостям» рассказал представитель разработчика НТЦ «ИТ Роса», владельцем которого также является бывший чиновник. Представитель «Рутека» подтвердил «Ведомостям» информацию.
НТЦ «ИТ Роса» анонсировал выпуск первого смартфона на своей ОС еще летом. О планах представить первый смартфон на «Роса Мобайле» осенью 2023 г. РБК рассказал гендиректор компании Олег Карпицкий. В августе 2023 г. Forbes сообщал, что устройство будет производиться в Гонконге: издание обнаружило запись в реестре ЕЭК, разрешающую ввоз продукции на территорию ЕАЭС. Компания декларировала смартфон под торговой маркой Ruteq в нескольких моделях, произведенный компанией Bopel Mobile Technology Co Limited из Гонконга.__
Ведомости со ссылкой на “федерального чиновника” и “топ-менеджера одной из нефтегазовых компаний” сообщают, что в правительство Минпромторгом был внесён документ о переносе срока обязательного импортозамещения для ПАКов в КИИ с 01 января 2025 года на дату “__окончания срока эксплуатации уже действующих решени__й” (чтобы это ни значило).
**Форм-факторы смарт-карт. Сводная информация
**
Число и разнообразие микропроцессорных смарт-карт постоянно растет. По оценке компании Thales это самая распространенная вычислительная платформа на планете. Актуальность их применения не снижается. С новыми технологиями появляются новые форм факторы смарт карт. В статье собраны как справочный материал названия тех форм факторов смарт карт, которые сегодня встречаются.
**Участники TNF заявили о росте спроса на российское ПО для нефтегаза
**
__Зарубежные компании все чаще интересуются российским программным обеспечением (ПО) для нефтегазовой отрасли. В частности, спрос на него растет в странах СНГ, Юго-Восточной Азии, Латинской Америки и Ближнего Востока, отметили участники промышленно-энергетического форума TNF.
«У наших компаний есть немало преимуществ: многие предоставляют полный доступ к своему ПО и после продажи, например, не смогут его просто отключить, что крайне важно для чувствительных отраслей», – сказал генеральный директор «Цифровой индустриальной платформы» (совместное предприятие «Газпром нефти» и ГК «Цифра») Александр Смоленский.
Смоленский обратил внимание, что российские разработчики не копируют западные технологии «с устаревшей архитектурой и технологическим стеком».
Президент группы компаний InfoWatch Наталья Касперская пояснила, что сотрудничество привлекает зарубежные страны своей «относительной независимостью». По ее словам, западная модель подразумевает поставку технологий «в виде черных ящиков» и обучение, как ими пользоваться, но не дает разрешения изучать, «как они устроены». «Нaшa же модель должна быть открытой. Это хорошая возможность для стран третьего мира построить какие-то элементы своего цифрового суверенитета», – отметила Касперская.
В сентябре 2022 г. в ходе форума TNF в Тюмени вице-премьер, министр промышленности и торговли РФ Денис Мантуров заявил, что к 2025 г. Россия планирует использовать в нефтегазовой промышленности 80% российского оборудования. По его словам, еще в 2014 г. технологическая независимость РФ по нефтегазовому машиностроению составляла чуть более 40%, в 2022 г. – уже 60%.__
Микрозаем можно будет взять только при наличии электронной подписи
Микрозаем можно будет взять только при наличии электронной подписи (ЭП). Процедура их выдачи поменяется с 1 октября 2024 года. С этого времени микрофинансовые организации (МФО) должны будут обеспечить для своих клиентов использование простой или усиленной ЭП для выдачи микрозаймов. Это следует из проекта указания Центробанка, пишут «Известия». Отмечается, что для простой ЭП участники рынка обязаны обеспечить криптографическую защиту и проводить аутентификацию отправителя сообщения.
Президент России Владимир Путин подписал указ, приравнивающий предъявление сведений из удостоверяющих личность документов через мобильное приложение «Госуслуги» к предъявлению самих документов. Документ опубликован на портале правовой информации.
Иранские хакеры успешно взломали военные организации США из-за бездарных паролей
__Иранским хакерам удалось взломать тысячи значимых организаций в США и как минимум ещё одной страны, используя простую, но эффективную методику - password spraying («распыление паролей»).
Распылением паролей называется скоординированная попытка получить доступ ко множеству аккаунтов, используя один и тот же пароль. В этом ключевое различие такой тактики с брутфорсом, где злоумышленники пытаются получить доступ к определённым аккаунтам, вводя один за одним пароли из длинного списка.__
❗️❗️❗️ Минпромторг установил план, по которому до конца 2024 года объекты критической информационной инфраструктуры должны полностью перейти на российский софт.
👔Доля российского софта в госкомпаниях оценивается в промежутке 40–50%. А за последние полтора года импортозамещение ускорилось.
Об этом 66.RU рассказал эксперт УЦСБ Евгений Баклушин. По его словам, госкомпании стали чаще переходить на отечественный софт из-за необходимости повышать уровень своей безопасности.
Подробнее о том, с каким какими трудностями сталкиваются предприятия при переходе с зарубежного софта на отечественный читайте в материале 66.ru
Вектор атаки WiKI-Eve позволяет украсть пароль пользователя по Wi-Fi
Новый вектор атаки под названием «WiKI-Eve» позволяет перехватить передачу данных в виде простого текста со смартфонов, подключённых к современным роутерам Wi-Fi, и вычислить отдельные нажатия клавиш с точностью до 90%. Другими словами, условный злоумышленник может вытащить пароли владельца девайса.
__Еще в июле 2022 г. «Ведомости» со ссылкой на Сивцева сообщали о том, что ГК «Астра» рассматривает возможность выхода на Московскую биржу. Возможные сроки и сумма, которую компания планирует привлечь, не раскрывались. Эксперты прогнозировали, что компания может выйти на биржу с оценкой в 10-17 млрд руб. с учетом мультипликатора EV/EBITDA (отношение стоимости компании к полученной ею прибыли до вычета процентов и налога на прибыль) не более х10.
«В перспективе IPO может быть одним из стратегических путей развития компании, мы его, естественно, не исключаем, но на текущий момент рано об этом говорить, – сказала Бородкина. – Так как мы активно растем и развиваем наш бизнес, у нас есть потребность во внутренних изменениях, в привлечении качественных кадров, развитии экосистемы, поэтому всегда изучаем и рассматриваем возможные способы привлечения капитала».
Пока что из российских технологических компании на бирже представлены только интернет-холдинги «Яндекса» и VK и сервис кикшеринга Whoosh, который вышел на IPO в конце 2022 г., а из разработчиков – Softline и Positive Technologies. Softline провел размещение акций на Лондонской бирже в октябре 2021 г. Компанию тогда оценили в $400 млн по цене $7,5 за бумагу. Капитализация компании составила $1,5 млрд. Вторичный листинг Softline прошел на Мосбирже 1 ноября 2021 г. Positive Technologies вышла на Московскую биржу в декабре 2021 г. В первый день ее бумаги торговались в диапазоне 980–985 руб. за штуку, что дало капитализацию около 60 млрд руб. при предварительной оценке в 44–103 млрд руб. На 21 июля 2023 г. акции Softline на Мосбирже стоят 160 руб., акции Positive Technologies – 2096 руб. за штуку.
В случае IPO «Астры» сегодня оценка компании может быть сильно выше, чем год назад. Динамика рынка за последнее время показывает, что у локальных инвесторов есть и средства, и аппетит к новым размещениям, так что сейчас конъюнктура для IPO гораздо более благоприятная, рассуждает Либин. «С учетом впечатляющей динамики выручки, высокого уровня рентабельности, а также благодаря тренду на импортозамещение в технологической отрасли, думаю, что сейчас справедливая стоимость находится в диапазоне 30-40 млрд руб.», – полагает эксперт.
Оценка может быть 40-45 млрд руб., считает Делицын. «К примеру, сейчас оценка Positive Technologies значительно превышает 100 млрд руб. при выручке 14 млрд руб. с мультипликатором 8х», – рассуждает он. Более того, к тому моменту, когда компания проведет IPO, выручка еще может вырасти, отмечает эксперт.
«В Positive Technologies отмечали, что переход на отечественное ПО еще толком не стартовал на предприятиях, а значит, потенциал для кратного роста выручки есть, и через год она вполне может достигнуть 10 млрд руб.», – резюмировал эксперт.
По оценке представителя «Тинькофф инвестиций», маржинальность «Астры» по EBITDA выше ее международных аналогов (54% против 35% в среднем). «Маржинальность сопоставима с российским игроком сектора кибербеза Positive Technologies, поэтому если оценивать компанию по мультипликатору EV/EBITDA Positive Technologies за 2022 г. в размере 20x, “Астра” может оцениваться минимум в 58 млрд руб.», — оценивает он. Оценка «Астры» может составить в районе 60 млрд руб., подтвердил инвестиционный консультант «Альфа-капитала» Александр Абрамян.__
ГК «Астра» увеличила выручку в 2,5 раза за 2022 г. по сравнению с 2021 г. Она составила 5,4 млрд руб. против 2,16 млрд руб. в 2021 г. Это следует из отчетности по МСФО, которую компания раскрыла впервые.
Чистая прибыль увеличилась в 2,8 раза год к году до 3 млрд руб., а EBITDA – в 2,7 раза до 2,9 млрд руб. Такой рост в самой компании объясняют прежде всего активной политикой импортозамещения в госсекторе и в крупном бизнесе.
«Астра» – объединение отечественных IT-брендов, включающее операционную систему Astra Linux, диспетчер виртуальных рабочих мест Termidesk (разработчик «Увеон – облачные технологии»), комплекс средств резервного копирования RuBackup от ООО «Рубэкап», систему корпоративной почты RuPost от ООО «Рупост» и др. В 2022 г. компания учредила юрлицо «Астра Консалтинг», а в октябре объявила о приобретении 75% разработчика СУБД-решений ООО «Лаборатория Тантор» (сумма сделки не раскрывалась). Эти продукты используются в основном в государственных организациях, а также в промышленности и на объектах критической информационной инфраструктуры. По информации из отчетности, генеральному директору группы Илье Сивцеву принадлежат 20%, остальные 80% - у Дениса Фролова. Партнеры также владеют производителем светотехнического оборудования ГК «Вартон», который в июне 2021 г. приобрел контрольный пакет акций АО «Байкал электроникс».
Ранее по РСБУ «Астра» раскрывала показатель по выручке в 6,4 млрд руб. Цифра по МСФО отличается из-за разницы в методологии учета, уточнила «Ведомостям» заместитель гендиректора по экономике и финансам компании Елена Бородкина.
«По РСБУ вся реализация признается в моменте. В МСФО же продукты, которые мы предоставляем на 2–3 года, переносятся на следующие периоды и учитываются по факту завершения конкретного контракта. Например, выручка от сопровождения продуктов, которое мы продаем на 12–36 месяцев, попадает не в этот, а уже в следующие периоды», – объяснила она.
Компания показывает хороший рост по всем продуктам стека, говорит Бородкина. Выручка складывается из продажи ОС и других продуктов. Сейчас в портфеле компании 15 решений, продолжает она: их доля в выручке с 3,7% в 2021 г. выросла до 13,4% в 2022 г.
На продажи ОС Astra Linux приходится 77,5% выручки компании. Остальное приходится на сопровождение продуктов. «Пока большую часть выручки генерирует ОС, но ее мы и развиваем дольше, с 2008 г. Экосистемные продукты появлялись позднее», – объясняет Бородкина.
Помимо того компания активно работает над обеспечением совместимости решений «Астры» с прикладным софтом и железом других вендоров, сейчас таких решений около 3500, добавила она.
Увеличение продаж флагмана связано с тем, что бизнес начал активно переходить на отечественные IT-решения, говорит Бородкина. В первую очередь речь о банках, крупных энергетических, нефтяных, промышленных компаниях, госкорпорациях, перечисляет топ-менедджер группы компаний.
Сейчас решениями группы пользуются 20 000 компаний, а доля Astra Linux на рынке ОС в денежном выражении составляет 76%, добавил гендиректор группы Илья Сивцев.
«В 2022 г. российский IT-рынок получил мощный стимул к развитию и переходу на импортонезависимые продукты, – заявил Сивцев. – Текущие структурные изменения носят долгосрочный характер, что благоприятно сказывается на наших планах укрепить лидерские позиции. <…> В ближайшие годы планируем активно инвестировать в развитие продуктового портфеля, расширять клиентскую базу и выходить на международные рынки».
О каких странах идет речь, представители компании не уточняют.
Публикацию МСФО можно расценивать как сигнал подготовки к IPO, считает аналитик Газпромбанка Сергей Либин. «МСФО – однозначный сигнал того, что компания готовится к IPO», – согласен аналитик ГК «Финам» Леонид Делицын.__
Объем IT-рынка России (включая софт, услуги по разработке и техподдержке, а также оборудование) вырастет с 3 трлн руб. в 2023 г. до 7 трлн руб. к 2030 г. При этом рынок оборудования достигнет 4,2 трлн руб., а 2,8 трлн руб. будет приходиться на сегмент IT-услуг и программного обеспечения (ПО). Доля отечественных разработчиков в различных сегментах возрастет с 50% в 2023 г. до 90%. К такому выводу пришли аналитики Strategy Partners.
Согласно подсчетам Strategy Partners, последние четыре года российский IT-рынок в среднем рос более чем в 2 раза быстрее мирового – на 12% в год против 5% в долларовом выражении. Сфера ПО и IT-услуг развивалась быстрее остальных сегментов: среднегодовой темп ее роста в 2019–2022 гг. составил 19,4%.__
Обзор российского рынка инфраструктурного ПО и анализ перспектив его развития от Strategy Partners.
Некоторые выводы:
Российский ИТ-рынок находится в стадии активного формирования и обладает значительным потенциалом для дальнейшего роста. В период до 2030 г. рост российского ИТ-рынка будет существенно опережать темпы роста ВВП; ежегодный рост составит 12%, а отношение расходов на информационные технологии к размеру ВВП достигнет 2,8% к 2030 г. Фундаментом роста российского ИТ-рынка станет продолжающаяся цифровизация экономики, активное импортозамещение продуктов западных вендоров, а также беспрецедентный уровень государственной поддержки ИТ-сектора
Продажи российских разработчиков на рынке инфраструктурного ПО будут расти с опережающей скоростью до 2030 г.: среднегодовой темп роста, по нашим оценкам, составит 31%. Рост требований к информационной безопасности и защищенным ИТ-решениям будет способствовать росту спроса на отечественные разработки и переходу в том числе на сертифицированные ИТ-продукты.
Случай явно вырожденный, но всё равно показательный: Суд в Ростове-на-Дону признал эмодзи эквивалентом подписи в документе.
Суть кратко:
__Предприниматель из Ростова-на-Дону в марте 2022 года должен был поставить заказчику торговый киоск в виде ретрофургона Volkswagen. Согласно заключенному договору, обе стороны признавали юридическую силу документов, в том числе полученных по почте или в одном из мессенджеров.
Покупатель заплатил задаток в размере 480 тысяч рублей. Цветовое решение киоска стороны должны были утвердить допсоглашением. Однако цвет обсудили в мессенджере. На предложение заказчик ответил значком «рука с поднятым вверх большим пальцем».
Фургон не был поставлен в срок, в связи с чем заказчик потребовал возвратить задаток. Тогда поставщик напомнил заказчику о том, что цвет фургона в мессенджере они согласовали на четыре дня позже обещанной доставки, поэтому вовремя услугу предоставить было невозможно.
Суд счел смайл достаточным для закрепления договоренностей.__
**Ошибка системы распознавания лиц могла влететь близнецу в копеечку
**
При списании денег со счета система «Оплата улыбкой» в магазине «Пятерочка» упорно принимала 47-летнего петербуржца за его брата-близнеца, проживающего в Анапе.
По данным газеты, представители РСХБ, Газпромбанка, Промсвязьбанка, ВТБ и Дом.РФ выступили с таким предложением на совещании в Банке России. Требование о том, что субъекты критической информационной инфраструктуры (КИИ) должны прекратить использование иностранного софта, вступает в силу с 1 января 2025 г.
Источник пояснил, что сейчас в банках преимущественно используется система управления базами данных (СУБД) от Oracle. По его словам, адаптация под отечественные СУБД «займет длительный срок и потребует крупных инвестиций». Собеседник добавил, что отсрочка нужна, чтобы российские поставщики автоматизированных банковских систем (АБС) разработали софт с российскими СУБД.
Источник «Коммерсанта» на IT-рынке утверждает, что ВТБ, РСХБ и Дом.РФ рассматривают возможность учредить консорциум для подготовки за несколько лет новой АБС. Собеседник в одном из банков уточнил, что инициатива принадлежит ВТБ, идея была озвучена около шести месяцев назад. По его словам, изначально банк планировал разработать АБС самостоятельно, но потом понял, что «проект слишком масштабный и дорогой».
В ЦБ заявили, что обсуждают с участниками рынка вопросы импортозамещения, включая сроки перехода на отечественное ПО к 2025 г.__
«Лаборатория Касперского»: фишеры используют нестандартную схему для кражи учётных данных от электронной почты
Эксперты «Лаборатории Касперского» обнаружили всплеск рассылок, в которых фишеры применяют упрощённую тактику для кражи личных данных и почтовых аккаунтов. Письма ориентированы на русскоязычных пользователей. В них злоумышленники сообщают потенциальной жертве о необходимости верифицировать учётную запись электронной почты. Однако нужную им информацию (имя, фамилию, логин и пароль) просят прислать ответным сообщением, а не переходить для этого по ссылке на фишинговую страницу. В противном случае мошенники грозят деактивировать аккаунт.
Компания «Актив» приступила к производству смарт-карт «Рутокен ЭЦП» 3.0 3100
Компания «Актив», разработчик и производитель продуктов и решений для обеспечения информационной безопасности, объявляет о старте крупносерийного производства смарт-карт «Рутокен ЭЦП» 3.0 3100, которые стали дополнением к линейке продуктов «Рутокен ЭЦП» 3.0. Смарт-карты предназначены для электронной подписи, надежной двухфакторной аутентификации пользователей и качественной поддержки безопасности систем защищенного электронного документооборота. Также устройства применяются как интеллектуальные ключевые носители в комплексных решениях обеспечения ИБ.
__Несмотря на объявленную 17 июля Минцифры приостановку выдачи грантов на новые разработки в сфере IT, Минфин по поручению премьера Михаила Мишустина подготовил доклад с предложением выделить 11 млрд руб. из резервного фонда на финансирование мероприятий дорожных карт (ДК) развития высокотехнологичных направлений «Новое индустриальное программное обеспечение» (НИПО) и «Новое общесистемное программное обеспечение» (НОПО). Об этом рассказал «Ведомостям» источник в правительстве и подтвердил собеседник, близкий к Минцифры.
«Минфин проработал и направил в правительство доклад о том, что предлагает выделить 11 млрд руб. из резервного фонда правительства на НОПО и НИПО. Если он получит одобрение от премьера, Минфин подготовит документы о выделении этих денег, и они будут выделены», – пояснил собеседник «Ведомостей» в правительстве.
Представитель пресс-службы правительства переадресовал запрос в Минцифры. В настоящее время решается вопрос о выделении необходимых средств на проекты НИПО и НОПО, сообщил представитель Минцифры. «Вместе с тем до перенастройки процедур выделение грантов, в том числе в рамках дорожных карт НИПО и НОПО, не планируется», — добавил он. Это означает, что до 1 сентября 2023 г. финансирование новых проектов финансироваться не будет, уточнил собеседник. «Ведомости» также направили запрос в Минфин, но ведомство не ответило к моменту публикации заметки.
17 июля Минцифры в своем Telegram-канале объявило о том, что до 1 сентября приостановит выдачу новых грантов на новые разработки в сфере IT и проведет аудит финансирования проектов в 2022–2023 гг. Также ведомство проведет оценку компетенций сотрудников основного оператора грантов – Российского фонда развития информационных технологий (РФРИТ), обновит экспертов и состав органов, которые принимают решения.
Объявление о постановке на паузу выдачи грантов произошло через четыре дня после задержания замминистра цифрового развития Максима Паршина. В Минцифры он участвовал в том числе в работе по координации деятельности ведомства по льготам IT-компаниям и грантовой поддержки. 13 июля Басманный суд Москвы отправил Паршина под домашний арест до 12 сентября. Чиновник стал фигурантом уголовного дела о получении взятки в особо крупном размере. Он проходит по одному делу с генеральным директором «БФТ-холдинга» Александром Моносовым.
По итогам конференции «Цифровая индустрия промышленной России» (ЦИПР-2023) в начале июня Мишустин дал поручение Минфину до 17 июля предусмотреть выделение финансирования из резервного фонда правительства на разработку проектов НИПО и НОПО. Соответствующие ДК правительственная комиссия по цифровому развитию утвердила в середине декабря 2022 г. Работа по ним началась по поручению премьера на предыдущем ЦИПР в июне 2022 г. в рамках ИЦК (индустриальные центры компетенций) и ЦКР (центры компетенций по развитию общесистемного и прикладного ПО). В ИЦК вошли вошли представители крупнейших промышленных компаний (заказчики), а в ЦКР – IT-компании (исполнители). Деятельность центров компетенций направлена на скорейшее импортозамещение иностранного ПО в России.
Уже после выхода материала на сайте пресс-служба Минфина прислала комментарий: «Решение по выделению средств на реализацию мероприятий “дорожных карт” НОПО и НИПО еще не принято, а Минфин России пока не согласовал сумму финансирования, обсуждение ведется».__
__Александр Зенков, технический директор компании «Конфидент-Интеграция», рассказал журналу RUБЕЖ, как отечественные вендоры информационной безопасности обеспечили промышленные объекты необходимой защитой и каких аналогов на российском рынке пока нет.
Какие потребности вы закрываете на стороне заказчиков вашими российскими решениями (взамен иностранных)?
Александр Зенков: Конкретизация требований по информационной безопасности промышленных объектов произошла еще в 2014 году после утверждения 31-го приказа ФСТЭК. Но предприятия неохотно исполняли эти требования ввиду отсутствия бюджета, непонимания требований: отложили его в долгий ящик и вовсе потом забыли. Но после выхода 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» это направление заиграло новыми красками.
У предприятий появилось понимание, кто и каким образом должен защищаться, и самое главное, как и с чего начать и к чему нужно прийти – это практически «дорожная карта».
До 2017 года не было продуктов защиты информации, нацеленных на производство с учетом специфики информатизации. Но наши разработчики оперативно выпустили средства защиты, заточенные для защиты АСУ ТП. На текущий момент есть минимум четыре вендора, производящих средства защиты для АСУ ТП. По итогу можно смело сказать, что всю нашу промышленность можно защитить российскими продуктами.
Какие потребности заказчиков пока не можете закрыть своим оборудованием и почему?
А. Зенков: Что касается вопросов по защите информации, все потребности заказчиков закрываем своим оборудованием или программным обеспечением.
Но при выполнении работ по повышению уровня защищенности информатизации промышленных объектов от коллег со стороны заказчика всегда шел запрос на импортозамещение именно в АСУ ТП. Часто встречали объекты, которые были внедрены, к примеру, еще в 2008 году и эксплуатируются до сих пор. Они, естественно, уже морально устарели, не говоря уже о том, что физически выработались и банально не поддерживают современные протоколы связи. В таких случаях при проектировании приходилось закладывать обновление сетевого оборудования, и к сожалению не отечественного, так как нет подобных аналогов у нас на рынке, и пока мы о них не слышали, даже на стадии разработки.__
Всем здравствуйте!
При просмотре обновления реестра сертифицированных СЗИ увидел множественные возобновления сертификатов соответствия и решил свести эти данные в табличку.
Может быть, кому-то пригодится :)
Внезапно: в реестре ФСТЭК России многие сертификаты на средства защиты информации (в том числе иностранных производителей), действие которых ранее было прекращено, вновь возобновлены: VMware, CyberArk, Huawei, Symantec, Microsoft, Cisco, Oracle, FortiGate, SAP и проч.
Путешествие от шифра Цезаря до RSA. Прикладная теория чисел.
Во все времена люди пытались найти способ безопасной передачи информации, метод, при котором зашифрованное сообщение мог прочитать только тот, кому оно было адресовано. В статье рассмотрены разные методы шифрования и прослежено их развитие на протяжении нескольких тысяч лет.
Отечественный комплекс безопасной передачи данных прошел тестирование__Российские компании протестировали программно-аппаратный комплекс (ПАК), который обеспечивает безопасную передачу данных в сетях объектов критической информационной инфраструктуры (КИИ). В проекте приняли участие производители телеком-оборудования Qtech и «Т-ком», ИБ-вендоры «Код безопасности» и «Хэлф», а также ИТ и ИБ-интегратор «Инкома».
ПАК работает по принципу однонаправленной передачи данных. Первичный вход данных осуществляется через коммутатор Qtech QSW-3750-28T-AC-R, затем поток информации обрабатывается Межсетевым экраном и криптошлюзом АПКШ «Континент». Через коммутатор «Т-ком» данные доходят до ПАК Industrial Diode, который пропускает их к защищенному сегменту корпоративной сети и не позволяет проходить в обратном направлении.
«ПАК Industrial Diode компании «Хэлф» на физическом уровне обеспечивает передачу данных только в одну сторону, что делает его эффективным средством для безопасного сбора данных АСУ ТП и защиты от внешних атак на объектах КИИ, – сказал директор по развитию бизнеса компании «Инкома» Денис Головкин. – В этой инсталляции «Континент 4» от «Кода безопасности» обеспечивает защиту сетевого периметра и играет роль криптошлюза. Управляемые коммутаторы «Т-ком» и Qtech связывают сетевые устройства в единую систему».
Тестирование проводилось по нескольким параметрам: корректность передачи файлов, защита передачи данных с применением механизма динамического контроля сессий, уровень качества обнаружения и предотвращения сетевых атак, совместимость отдельных решений при взаимодействии. По итогам исследований, специалисты подтвердили, что оборудование соответствует заявленному функционалу и отвечает требованиям безопасности по нормативам российских регуляторов.
«Результаты детального и многоаспектного исследования работы оборудования Qtech подтвердили эффективность работы с программно-аппаратным комплексом. Таким образом коммутатор QSW-3750-28T-AC-R продемонстрировал свою надежность и безупречное функционирование в условиях сильного электромагнитного воздействия и обеспечил безупречную передачу данных в ПАК, – отметил директор по развитию бизнеса Qtech Илья Бишкиревич. – По итогу можно утверждать, что модель коммутатора QSW-3750-28T-AC-R будет востребована в автоматизированных системах управления и на объектах КИИ».
Комплексное решение будет востребовано в отраслях, где компании собирают информацию в одностороннем порядке. Это могут быть обновления программного обеспечения, получение сигнала с IP-камер вне защищенного периметра, входящие потоки данных из открытых источников. В числе сфер применения: энергетика, транспорт, здравоохранение, финансовые организации.
«После ухода западных вендоров развитие отечественных систем безопасности стало краеугольным камнем в защите объектов КИИ, – сказал коммерческий директор «Кода безопасности» Федор Дбар. – Концепция однонаправленный передачи применяется на предприятиях, где работают АСУ ТП, в Центрах обработки данных, в контроллерах и т.д. С помощью данного комплекса российские организации смогут избежать утечек данных и остановку деятельности».
Федеральные учреждения уже выразили интерес к данному проекту, и обсуждаются вопросы проведения «пилотных» запусков на площадках государственных организаций. Это подтверждает значимость и актуальность разработанного__ комплексного решения, которое может существенно повысить уровень безопасности и защиты данных важных национальных объектов.
NIST выложил первый драфт стандартов для квантово-устойчивой криптографии
Национальный институт стандартов и технологий (NIST) подготовил первый драфт стандартов для квантово-устойчивой криптографии с открытым ключом. В её основу легли алгоритмы, одобренный самим ведомством.
«Пользователи сторонних сервисов смогут бесшовно подключить их к Облаку – так файлы будут надежно защищены от потери и блокировок», – говорится в сообщении.
Сейчас можно перенести файлы из 11 облачных сервисов, среди которых – Google Диск, Dropbox, OneDrive и др. Для доступа к этой функции пользователю необходимо установить приложение «Облако» Mail.ru на компьютер, авторизоваться в нем и сторонних хранилищах, а дальше следовать системным подсказкам.
При переносе форматы файлов будут автоматически конвертированы в общедоступные – так, например, переносимые из Google Диск документы и таблицы будут сконвертированы в стандартные форматы Microsoft Office.
В начале августа VK объявил о запуске Mail.ru нового домена xmail.ru для переноса пользователями писем со своих аккаунтов в зарубежных почтовых сервисах. После регистрации пользователь сможет перенести письма и их вложения из предыдущего аккаунта, причем письма, приходящие на прежний адрес почты, сохранятся. Останется также и возможность писать письма от имени зарубежного почтового ящика.__
**ЦИК заявил о переговорах с российскими разработчиками о поставке смартфонов
**
__Центризбирком России (ЦИК) обсуждает с российскими разработчиками мобильных устройств возможность поставки техники членам и сотрудникам аппарата комиссии для использования в служебных целях. Об этом пишет ТАСС со ссылкой на пресс-службу избирательной комиссии.
20 июля в пресс-службе ЦИК сообщили о подготовке документа о запрете на использование iPhone и iPad в служебных целях. С мая 2023 г. в комиссии действует рекомендация, связанная с использованием техники Apple на рабочем месте.
«Также ведутся переговоры с отечественными разработчиками мобильных устройств о поставке техники для использования в служебных целях», – сказали ТАСС в ЦИК.
В пресс-службе отметили, что владельцы устройств Apple смогут участвовать в дистанционном электронном голосовании (ДЭГ), ограничений в этом вопросе нет.
Ранее пользоваться техникой Apple в служебных целях запретили сотрудникам Минпромторга и подведомственным министерству организациям. Запрет был введен во всех подразделениях «Ростеха». Также о подготовке соответствующих приказов заявили в Минцифры, Федеральной таможенной службе и ЦИК. Ограничения на использование iPhone ввела и Росавиация. В августе о таких мерах объявил «Камаз».
В июне ФСБ сообщила о раскрытии разведывательной акции США с использованием вируса на мобильных устройствах Apple. Помимо российских пользователей спецслужба также обнаружила вирус на гаджетах зарубежных абонентов, использующих sim-карты, зарегистрированные на диппредставительства и посольства в России.
Председатель Совета Федерации Валентина Матвиенко в конце июля говорила, что iPhone нельзя использовать в служебных целях в связи с угрозой национальной безопасности.__
__Минцифры намерено ужесточить правила включения российского софта в реестр, пишет газета «Коммерсантъ». В частности, одним из условий станет совместимость российского программного обеспечения как минимум с двумя отечественными операционными системами. Кроме того, необходимо, чтобы ПО получило преференции на госзакупках, оно должно быть совместимо хотя бы с одним процессором, который включен в реестр Минпромторга.
Эксперты считают, что подобное предложение может вводиться как задел на будущее, когда российским разработчикам удастся договориться печатать микросхемы в Китае или Тайване, так как сейчас российские чипы не производятся из-за санкций.
Предполагается, что Минцифры введет новые правила уже в этом году, однако вступать в силу они будут поэтапно, начиная с 2024 года.
По информации компании «Руссофт», доля российских компаний, которые разрабатывают приложения для Windows, снизилось до рекордно низкого уровня в 68%, в то время как в период с 2020 по 2022 годы он держался в районе 75%, а до этого был стабильно выше 90%.__
За два года в «Госключе» подписано более 2,7 млн документов
«Госключ» — это мобильное приложение, в котором можно бесплатно оформить и использовать электронную подпись. За два года работы в нём подписано более 2,7 млн документов и оформлено более 3,3 млн сертификатов электронной подписи.
Google представила первую имплементацию квантово-устойчивого ключа FIDO2
Google и Швейцарская высшая техническая школа Цюриха представили первую реализацию квантово-устойчивого ключа безопасности FIDO2 с открытым исходным кодом. Он отличается использованием уникальной схемы гибридной подписи ECC/Dilithium.
__Холдинг «Росэлектроника» госкорпорации «Ростех» представил межсетевой экран Zenator SE с функциями обнаружения вторжений. Решение обеспечивает коммутацию, маршрутизацию и фильтрацию трафика, в том числе ограниченного доступа, для создания доверенных сегментов сетей с использованием современных технологий пакетной обработки данных. Изделие уже прошло испытания и представляется широкой публике впервые.
Межсетевой экран Zenator SE имеет модульную архитектуру, поддерживает различные виды интерфейсов и может обеспечить подключение до 24 оконечных устройств на скорости передачи данных от 1 до 40 ГБ/сек. Устройство обеспечивает высокий уровень сетевой безопасности благодаря системе обнаружения и предотвращения вторжений.
Zenator SE поддерживает современные версии сетевых протоколов, обладает средствами организации виртуальных частных сетей (VPN), контроля сессий, трансляции адресов NAT/PAT, функциями организации территориально-распределенных сетей, а также управления качеством сервисов (QoS).
В составе «Росэлектроники» проект реализует НИИ «Масштаб».
«Межсетевой экран Zenator SE – полностью отечественная разработка. Это дает возможность использовать его в проектах с повышенными требованиями к безопасности, которые выдвигаются ведомственными структурами, имеющими дело с конфиденциальной информацией. Кроме того, защитой данных сейчас обеспокоено и бизнес сообщество, заинтересованное в создании отказоустойчивой доверенной ИТ-инфраструктуры. Во время испытаний Zenator SE подтвердил все заявленные технические характеристики, в том числе высокую производительность – до 5,3 млн пакетов в секунду», – сказал генеральный директор НИИ «Масштаб» Владислав Иванов.__
«Росэлектроника» показала новый комплекс для идентификации работников на предприятиях
Холдинг «Росэлектроника» госкорпорации «Ростех» впервые представил программно-аппаратный комплекс ExitNet. Разработка позволяет проводить идентификацию пользователей на рабочих компьютерах с помощью персональных смарт-карт, используемых в системах контроля и управления доступом предприятий.
__Глава Ассоциации профессиональных пользователей соцсетей и мессенджеров Владимир Зыков показал российский смартфон Р-ФОН, который стал первым устройством на операционной системе Rosa Mobile.
Новинка имеет 6,7-дюймовый дисплей, 8 ГБ оперативной и 128 ГБ встроенной памяти, батарею на 5 тыс. мА•ч и тройную основную камеру с главным модулем на 50 Мп. Предусмотрены слот для двух сим-карт, модули Wi-Fi, Bluetooth и NFC, порт USB-C, 3,5-миллиметровый аудиовыход для наушников и датчик отпечатка пальца на боковой грани. Детальная информация о Р-ФОН не раскрывается.
«Все возможности ОС и интерфейс держатся в секрете до анонса! Выход “РОСА мобайл” на потребительский рынок запланирован на 2024 год. Для корпоративного сектора и госзаказчиков операционная система выйдет в 2023 году»,— отметил Владимир Зыков.
Заявлено, что разработчиком операционной системы выступает научно-технический центр информационных технологий РОСА, а производителем смартфона станет АО «Рутек», которое уже выпускает ноутбуки и другую электронику на своем предприятии в Зеленограде.__
Восстание 3D-принтеров: часть напечатала что-то странное, а часть — сломалась
В ночь на 15 августа популярные 3D-принтеры Bambu X1C или P1P внезапно начали сходить с ума. Часть из них без каких-либо команд со стороны пользователей начала печатать либо прошлые заготовки, либо вообще что-то странное.
Kaspersky Password Manager теперь хранит ключи 2FA и поддерживает Opera
«Лаборатория Касперского» представила две новые и важные функциональные возможности в своём менеджере паролей. Теперь Kaspersky Password Manager позволяет безопасно хранить ключи для 2FA и генерировать одноразовые пароли. Кроме того, расширился список поддерживаемых браузеров.
__Холдинг «Росэлектроника» госкорпорации «Ростех» впервые представил программно-аппаратный комплекс ExitNet. Разработка позволяет проводить идентификацию пользователей на рабочих компьютерах с помощью персональных смарт-карт, используемых в системах контроля и управления доступом предприятий.
Новый программно-аппаратный комплекс, разработанный специалистами концерна «Автоматика», обеспечивает идентификацию пользователей на компьютерах с операционными системами Windows и Linux. В состав решения входят: считыватель смарт-карт и клиентское программное обеспечение, устанавливающееся на каждое автоматизированное рабочее место, а также серверное ПО, размещающееся на доменном контроллере предприятия.
ExitNet позволяет организовать централизованную систему аутентификации пользователей с отдельным доменом безопасности для хранения пользовательских данных, использование электронной подписи внутренних документов, а также разграничение прав доступа к ресурсам сети предприятия.
«В настоящее время почти во всех организациях по всей стране внедряются и модернизируются системы управления контролем доступа. ExitNet способен не только фиксировать вход и выход конкретного пользователя на территорию, но и обеспечивает безопасный доступ к информационным ресурсам компании. Кроме того, уникальной особенностью продукта является то, что он поддерживает возможность плавного перехода с доменной структуры ОС Windows, применяемой на предприятии, на доменную структуру защищенной и сертифицированной ОС Astra Linux. В настоящее время новый программно-аппаратный комплекс проходит тестирование», – сказал временный генеральный директор концерна «Автоматика» Иван Братухин.__
**Более 100 тыс. паролей хакеров попали в Сеть из-за неосторожности **
Исследователи выявили 120 тысяч систем, содержащих учётные данные участников различных форумов для киберпреступников. Интересно, что многие скомпрометированные аккаунты принадлежат именно злоумышленникам.
В WhatsApp добавят поддержку ключей доступа (passkey) для защиты аккаунтов
__Сейчас есть несколько способов защитить ваш аккаунт WhatsApp: помимо простого пароля, существует двухфакторная аутентификация (2FA). Однако скоро разработчики добавят поддержку ключей доступа (passkey), которые должны ещё лучше обезопасить учётные данные.
Вообще, passkey можно назвать трендом, поскольку многие приложения и веб-сайты уже имплементировали их поддержку. Например, GitHub запустил ключи доступа в публичной бета-версии. В июне Microsoft сообщила о расширении поддержки passkey в операционной системе Windows 11.
Apple в этом плане тоже не отстаёт: корпорация планирует автоматически назначать ключ доступа каждому владельцу её устройств.
Теперь издание WABetaInfo нашло скрытые настройки ключей доступа в последней бета-версии WhatsApp для Android.__
__Холдинг «Росэлектроника» госкорпорации «Ростех» продемонстрировал работу защищенных мессенджеров «Импульс» и «Колибри» для мобильных устройств под управлением операционных систем Android и «Аврора». Приложения позволяют пользователям безопасно обмениваться информацией и минимизируют возможность утечки личных и служебных данных.
Мессенджеры обеспечивают защищенный обмен речевой, текстовой, файловой и голосовой информацией, а также ведение групповых чатов. «Колибри» функционирует на ОС «Аврора 4.0», а «Импульс» – на ОС Android. Приложения разработаны специалистами Пензенского научно-исследовательского электротехнического института (ПНИИЭИ, входит в «Росэлектронику»).
Каждый из мессенджеров входит в состав комплексного решения, которое дополнительно включает в себя серверное программное обеспечение, а также изделия для организации защищенных VPN-каналов связи с использованием отечественных криптоалгоритмов.
«Сегодня наблюдается значительный рост российского рынка ПО для бизнес-коммуникаций. Наш комплексный продукт построен на отечественных доверенных решениях и обеспечивает защищенное информационное взаимодействие между сотрудниками и безопасный доступ к информационным ресурсам организации. Несмотря на то, что «Колибри» и «Импульс» устанавливаются на устройства с разными операционными системами, они способны взаимодействовать между собой. Абоненты с «Колибри» и абоненты с «Импульсом» могут без проблем обмениваться сообщениями и звонить друг другу», – сказал генеральный директор ПНИЭИ Вячеслав Фунтиков.
Работа «Колибри» и «Импульса» при взаимодействии мобильных абонентов возможна в двух режимах: через аппаратное средство криптографической защиты информации (СКЗИ) «Портал-10» и напрямую без его использования.
«Колибри» и «Импульс» также позволяют организовать защищенный удаленный доступ корпоративных абонентов к прикладным WEB-сервисам – электронной почте, облачному хранению файлов, видеоконференциям, – развернутым на серверной платформе.__
Сбер запустил сервис для оформления онлайн-подписей дистанционно
__«Сбер» запустил сервис для физических лиц и самозанятых «Онлайн-подпись», позволяющий дистанционно выпустить усиленную неквалифицированную электронную подпись. Об этом сообщили в пресс-службе банка.
Весь функционал доступен по ссылке podpis.sber.ru. Документы и сама электронная подпись хранятся в зашифрованном виде в облачном хранилище, поэтому пользователям не понадобятся флеш-накопители и специальное ПО.
Отмечается, что сразу после оформления онлайн-подписью можно подписывать 90% документов, в том числе договоры аренды недвижимости, оказания услуг и другие. После этого можно отправить ссылку на подписанный договор своему контрагенту любым удобным способом – по электронной почте, в мессенджере или с помощью sms. В «Сбере» добавили, что все входящие документы подписываются бесплатно, оплата происходит за исходящие файлы. __
Менеджеры паролей. Какие бывают и правда ли безопасны?
__В 1997 году американский криптограф и специалист по компьютерной безопасности Брюс Шнайер написал первый в мире менеджер паролей — Password Safe. Это была простая и бесплатная утилита для Windows 95 с примитивным пользовательским интерфейсом и базой данных в виде зашифрованного файла, внутри которого хранился список логинов и паролей.
Однако последние 20 с лишним лет менеджеры эволюционировали. Сегодня это полноценные кроссплатформенные приложения с продвинутым интерфейсом и множеством полезных (и не очень) фич. В этой статье мы рассмотрим, какие менеджеры паролей бывают и в каких ситуациях они будут полезны.__
Отечественные платформы виртуализации и их безопасность
__Виртуализация стала главным трендом информационных технологий. Сейчас уже сложно найти сервер, который используется в промышленной эксплуатации без виртуализации, и даже малые предприятия осознали выгоду подобных решений для бизнеса. В этой статье мы рассмотрим, какие решения виртуализации сегодня существуют на отечественном рынке, расскажем, на что стоит обращать внимание при выборе оптимальной платформы и какие требования предъявляются к безопасности таких систем. __
