Бортовой журнал
Заметки, мысли и сообщения из соцсервисов, в том числе - Telegram-каналов ℤ𝕃𝕆ℕ𝕆𝕍.𝕝𝕚𝕧𝕖 (https://t.me/zlonov) и ZLONOV security (https://t.me/zlonov_security)
Всего: 2384
2022 июль
Правовые проблемы использования открытого программного обеспечения (open source) - если коротко, то: “Всё сложно с…”.
https://www.garant.ru/article/1555428/
Гляди в оба: куда уже проникла биометрия и какие у нее перспективы в России
__Современные решения на основе машинного обучения уже умеют идентифицировать пользователей исходя из их поведения в Сети, а с появлением мощного искусственного интеллекта преступник не сможет выдать себя за кого-то другого — например, так, как это сделали двое жителей КНР. Как сообщает The Xinhua Daily Telegraph, они покупали фотографии и личные данные соотечественников на черном рынке, создавали дипфейки, что помогло им манипулировать налоговой информацией и обманывать государственную систему распознавания лиц на десятки миллионов долларов.
Итак, биометрия будет приживаться там, где важна персонализация, уместно самообслуживание и необходима особенная защита. Конечно, при условии того, что текущие пилоты помогут удешевить технологию и упростить ее внедрение — и если, что еще важнее, удастся исключить погрешности, оградиться от злоумышленников и построить разумную систему сдержек и противовесов, чтобы избежать злоупотреблений контролем.__
https://tass.ru/opinions/15206429
Forwarded from ZLONOV
Нестандартный способ применения паролей для достижения личных и профессиональных целей, самомотивации, настройки на позитивный лад и изучения стихов.
Нестандартный способ применения паролей для достижения личных и профессиональных целей, самомотивации, настройки на позитивный лад и изучения стихов.
https://zlonov.ru/password-spell/
Обзор изменений законодательства (по ИБ)** за июнь 2022 от **#УЦСБ
- Документы во исполнение Указа Президента №250
- Концепция информационной безопасности в сфере здравоохранения
- Использование единой биометрической системы
- Отмена платы за использование единой биометрической системы
- Изменения в программах профессиональной переподготовки и повышения квалификации
- Новые условия по защите информации от Банка России
- Защита системы-112
- Продление эксперимента по использованию усиленной электронной подписи
- Изменение в порядок сбора данных абонентов в информационной системе оперативно-розыскных мероприятий
- Защита ПДн в Министерстве просвещения РФ
- Информационная безопасность детей в республике Дагестан
https://www.ussc.ru/news/novosti/obzor-izmeneniy-zakonodatelstva-v-iyune-2022/
Биометрию включат в мобильные приложения банков по распоряжению ЦБ
__ЦБ обяжет банки добавить в мобильные приложения биометрию. Это следует из проекта указания «О критерии для мобильных приложений банков с универсальной лицензией…». Он опубликован на сайте регулятора. Согласно ему, банки смогут выдавать кредиты и открывать вклады через свое приложение только в том случае, если это приложение сможет регистрировать новых клиентов при помощи их данных из Единой биометрической системы.
Документ вступит в силу спустя десять дней после опубликования. Замечания к нему принимаются до 28 июля. Требование не распространяется на банки, которые отключат свое мобильное приложение в течение полугода после публикации документа.__
https://www.bfm.ru/news/504724
#КИИ #импортозамещение
__Президент РФ Владимир Путин поддержал инициативу правительства о запрете использования зарубежного ПО на любых объектах критической информационной инфраструктуры (КИИ), включая негосударственные.
…разрабатываемый Минцифры проект президентского указа должен распространить требования по использования только отечественного ПО на все значимые объекты КИИ, а не только на те, которые принадлежат госорганизациям и госкомпаниям.
Кроме того, предполагается создать единый каталог и провести категорирование всех значимых объектов КИИ. “У нас зачастую возникают ситуации, когда сама компания добровольно, по своему усмотрению относит какие-то важные информационные системы к значимым объектам КИИ, а какие-то нет. Поэтому для каждой отрасли профильное федеральное ведомство совместно с Минцифры, ФСБ и ФСТЭК определят, какие типы информационных систем необходимо отнести к значимым объектам КИИ”, - сказал вице-премьер Дмитрий Чернышенко.__
#разминкадляума Федеральная Налоговая Служба подикнула задачку по расшифровке своего письма (что-то с кодировкой). Декодер Лебедева оказался бессилен, пришлось вспомнить азы криптографии =)
ФНС России напоминает, что в соответствии с постановлением Правительства РФ от 29.04.2022 № 776 «Об изменении сроков уплаты страховых взносов в 2022 году» приближающийся срок уплаты страховых взносов, исчисленных с выплат в пользу физических лиц за июнь 2022 года, продлен до 17 июля 2023 года.
Заживём!
На софинансирование импортозамещения цифровых решений выделят 37,1 млрд руб. до 2024 г.
https://www.interfax.ru/russia/851410
2022 июнь
Эксперимент с усиленными электронными подписями продлят до конца 2023 года
Минцифры решило продлить проведение эксперимента с использованием в России усиленной электронной подписи. Первоначально его планировалось завершить уже 31 июля 2022 г., такой срок был определен постановлением правительства от 15 июля 2021 г. Из поправок к постановлению, опубликованных на портале regulation.gov.ru 20 июня, следует, что дата окончания эксперимента переносится на 31 декабря 2023 г.
https://www.vedomosti.ru/technology/articles/2022/06/22/928006-eksperiment-elektronnimi-podpisyami
Россияне не дождутся электронных паспортов — проект заморозили из-за «более насущных проблем»
__Минцифры заморозило проект выдачи цифровых паспортов в надежде вернуться к нему позднее, рассказал РИА Новости глава ведомства Максут Шадаев в кулуарах ПМЭФ. __ https://ria.ru/20220617/pasport-1795960800.html
Глоток свежести в наше непростое время =) Прямая трансляция здесь: https://itisconf.ru/livebroadcast
Всемирный день пароля: как цифровая информация обзавелась защитой?
__Каждый первый четверг мая в IT-мире отмечается World Password Day: всемирный день паролей. Его предложил ввести в 2005 году Марк Бернетт как напоминание о важности паролей — и выразил пожелание, чтобы хотя бы в этот день пользователи вспоминали о необходимости их периодически обновлять. По предложению Intel Security, с 2013 года он получил своё место в календаре: в 2022 году он пришёлся на четверг 5-го мая.
Современные компьютерные технологии и Интернет невозможны и не представимы без бесчисленных паролей. А также менеджеров паролей, многоэтапных авторизаций, сложных систем шифрования и прочих подобных радостей. Информация во все века была ценностью, угрозой и оружием. Естественно, в информационную эпоху тотальной цифровизации это стало актуальным, как никогда прежде.__
https://habr.com/ru/company/ruvds/blog/664648/
Когда аутентификацию избавят от паролей?
Технология беспарольной защиты является по сути развитием многофакторной аутентификации без использования пароля. Это освобождает компании от необходимости поддержки защищённых баз данных с паролями и хешами, потребности в средствах контроля прохождения парольной проверки по сети. Достоинство систем беспарольной аутентификации состоит в том, что они не содержат данных, кража которых даёт злоумышленникам возможность взлома корпоративных систем. Стоит также отметить простоту и удобство использования.
Импортозамещение центров сертификации
Все помнят цепочки сертификатов и условия соблюдения доверительных отношений. Сегодня об этом.
https://habr.com/ru/post/663464/
Минцифры и МВД согласовали план запуска сервиса предъявления водительского удостоверения в приложении «Госуслуги Авто»
В планах – обеспечить разработку сервиса до конца 2022 года. В настоящее время Минцифры совместно с МВД активно ведут проектирование сервиса. Сейчас в «Госуслуги Авто» уже можно предъявлять СТС сотруднику ГИБДД в виде QR-кода. Схожий функционал будет лежать и в основе предъявления электронного водительского удостоверения. Информация о нем будет загружаться из витрины данных ГИБДД в мобильное приложение и предъявляться в виде QR-кода. Приложение «Госуслуги Авто» работает и офлайн, сохраненное в приложение электронное водительское удостоверение можно будет предъявлять без подключения к интернету.
https://digital.gov.ru/ru/events/41611/
**Клептография и криптовирология ** В современной криптографии широко используются асимметричные алгоритмы шифрования и электронной подписи. Большинство их реализаций имеет зарубежное происхождение и вызывает обоснованные сомнения в надёжности. __ Насколько можно доверять средствам шифрования, призванным защищать вашу приватность и коммерческую тайну? Нет ли в популярных криптографических продуктах скрытых лазеек, оставленных разработчиками в корыстных целях или под давлением спецслужб?__
https://habr.com/ru/post/663126/
В Подмосковье внедрят систему распознавания силуэтов
Власти Московской области и двух других регионов внедряют платформу видеоаналитики NtechLab с возможностью обезличенного распознавания силуэтов. Она уже работает на 200 локациях. Официальная цель — отслеживание загруженности объектов и обеспечение безопасности. В Подмосковье доступ к данным получат сотрудники оперативных служб и адвокаты
https://www.kommersant.ru/doc/5381830
«Лето знаний»: подборка из 1300+ бесплатных образовательных курсов для школьников, в том числе 70 - по информатике https://educont.ru/courses/list
Самодостаточная капча без бутстрапа и БД
Познакомимся с Zero Storage Captcha, которая работает локально (возможно, в виде дополнительного класса в коде приложения), не обязывает хранить информацию на стороне сервера о сгенерированных картинках и в тот же момент позволяет проверить ответ любого пользователя со стопроцентной вероятностью.
https://habr.com/ru/post/662682/
2022 май
Решил опубликовать, пока в этом есть смысл ;)
Три шпионские фишки iOS: https://zlonov.ru/ios-spy-hints/
В России создали комплекс скрытого досмотра, который оценивает опасность людей для окружающих
- Мы пошли намного дальше функции идентификации людей. Мы разработали инструменты профайлинга людей, исходя из их сетевой активности на платформах TikTok, YouTube, ВКонтакте, Яндекса и других сервисов. Система позволит создать профиль человека и оценить степень угрозы для людей по совокупности характерных признаков во время прохода через комплекс досмотра.
https://n.tass.ru/armiya-i-opk/14719059
Google представил нейросеть Imagen, распознающую любые текстовые запросы и генерирующую из них фотореалистичные изображения.
Публичного доступа нет: “его могут использовать неправильно в социальных сферах”.
Действительно, “человек, похожий на генерального прок__у__рора” или “мистер Пупкин, берущий кредит с помощью ЕБС” вполне могут привести к негативным последствиям =)
https://imagen.research.google
Отечественный ресурс с описанием угроз безопасности информации и уязвимостей АСУ ТП будет запущен для публичного доступа в следующем году.
ГНИИИ ПТЗИ ФСТЭК России: Два иностранных разработчика ПО АСУ ТП отказались взаимодействовать по вопросу устранения уязвимостей, что даёт нам право на открытую публикацию выявленных в их продуктах уязвимостей.
2022 апрель
Яркий пример абсолютно некорректного подхода маркетинговой службы одной небезызвестной ИБ компании к организации рассылок по электронной почте: можно сколько угодно отписываться от их писем, но твой адрес всё равно добавят в очередной новый список рассылки, который, судя по названиям, каждый раз создаётся заново.
Как считаете, ч.1 ст. 18 Закона № 38-ФЗ «О рекламе» в данном случае нарушается?
Прекращено действие сертификатов соответствия:
- SAP S/4HANA (было приостановлено с 18 марта);
- ESET NOD32 (было приостановлено с 14 февраля).
https://zlonov.ru/catalog/suspended-and-terminated-certificates/
Huawei выпустила дверной замок с искусственным интеллектом
Компания Huawei выпустила дверной замок с искусственным интеллектом Smart Door Lock Pro на базе операционной системы HarmonyOS. Топовая версия аксессуара оснащена встроенной камерой от смартфона Huawei P50 Pro, которая позволяет использовать технологию 3D-распознавания лиц с углом обзора 150 градусов. Замок имеет экран с диагональю 3,97 дюйма, который можно использовать в качестве дверного глазка. Фирменная операционная система HarmonyOS делает возможной интеграцию замка в систему «умного» дома. Помимо распознавания лиц, Huawei Smart Door Lock Pro оснащен физической личинкой замка для ключа, опциями открытия со смартфона и «умных» часов через NFC-карту или пароль. Встроенный аккумулятор 8800 мА•ч обеспечивает до полугода работы без подзарядки. В Китае новый дверной замок будет стоить около $580, а упрощенная версия Huawei Smart Door Lock обойдется примерно в $390.
https://www.kommersant.ru/doc/5316653
На что необходимо обратить внимание при внедрении IAM-системы
Система централизованной аутентификации на базе IAM-решений является критической системой в ИТ-ландшафте множества компаний. Любой сбой в её работе может привести к тому, что множество бизнес-приложений окажутся недоступными для пользователей. Однако выгоды, которые можно получить в результате, перевешивают эти риски. Потому не стоит бояться внедрять их у себя в компании. На рынке достаточно достойных IAM-решений, и к текущему моменту уже накоплена практика их внедрения.
МТС обслужит по лицу // Оператор запустил свой биометрический сервис
Клиенты МТС смогут получить услуги в салонах оператора без предъявления паспорта, если сдадут биометрию в систему компании. Оператор рассчитывает, что так сможет удаленно обслуживать клиентов из любой точки мира. Но конкуренты пока не разделяют оптимизм: в «МегаФоне», например, считают услугу не слишком востребованной, а издержки — слишком высокими. В перспективе, чтобы развивать коммерческие биометрические системы, потребуется аккредитация Минцифры, поэтому интерес к технологии дополнительно снизится, считают эксперты.
https://www.kommersant.ru/doc/5306266
Обновлять или не обновлять, вот в чем вопрос...** **
НКЦКИ предлагает простой пошаговый алгоритм принятия решения по обновлению критичного ПО. Комментарии к алгоритму и границы его применимости изложены в соответствующем бюллетене: https://safe-surf.ru/specialists/news/678042/
Умный сейф с одноразовым паролем
В этом проекте я поэтапно расскажу о создании умного сейфа с одноразовым паролем на основе времени (TOTP). Если коротко, то TOTP — это метод генерации 6-циферного пароля на основе текущей даты и времени с использованием предопределённого ключа. То есть, пока сейф будет иметь возможность отслеживать время, я смогу использовать приложение Authenticator для получения нового пароля каждые 30 секунд.
https://habr.com/ru/company/ruvds/blog/657029/
Найден способ кражи логинов и паролей, от которого нет спасения ** **На GitHub опубликованы шаблоны для проведения атаки «Браузер-в-браузере», которая позволяет выводить убедительно выглядящие окна для перехвата реквизитов доступа. Атаки тем самым чрезвычайно упростились, а отбиться от них весьма сложно.
https://safe.cnews.ru/news/top/2022-03-23_najden_sposob_krazhi_loginov
Распарсил реестр ФСТЭК России для формирования списка приостановленных и прекращённых сертификатов
https://zlonov.com/catalog/suspended-and-terminated-certificates/
Минцифры России составило список социальных сетей, мессенджеров, сервисов и программ, которыми россияне смогут пользоваться вместо зарубежных аналогов.
Снова изменения в реестре сертифицированных средств защиты информации ФСТЭК России:
приостановлено действие суммарно у 31 сертификата;
прекращено действие у 40 сертификатов.
…и никакой VPN не поможет войти в аккаунт недавно заблокированной фотосоцсети, если её владелец просто не отправляет СМС с кодами на российские номера. Тот самый случай, когда 2FA повышает безопасность настолько, что доступ пропадает даже у легального пользователя =)
Разъяснения к Указу Президента о запрете зарубежного ПО в КИИ (№ 166 от 30.03.2022)
Forwarded from Листок бюрократической защиты информации
Действующая система законодательства о КИИ.pdf
🗃В связи с недавними новостями относительно обеспечения технологической независимости на значимых объектах КИИ, актуализирован состав базовых нормативных правовых актов, методических и информационных документов в области обеспечения безопасности КИИ.
2022 март
c 31 марта 2022 г. заказчики (за исключением оргaнизаций c муниципальным участием), оcyществляющие закупки в соответствии c 223-Ф3 (далее - заказчики), не могут осуществлять закупки иностранного ПО, в том числе в составе программно-аппаратных комплексов, в целях его использования на принадлежащих им значимых объектах КИИ, a также закупки услуг, необходимых для использования этого ПО на таких объектах, без согласования возможности осуществления закупок c ФОИВ, уполномоченным Правительством РФ
c 1 января 2025 г. органам государственной власти, заказчикам [определение см.выше] запрещается использовать иностранное ПО на принадлежащих им значимых объектах КИИ
http://publication.pravo.gov.ru/Document/View/0001202203300001
На иллюстрации - краткая версия результатов проверок ФСТЭК России своих лицензиатов в 2021 году. Полная версия тут: https://fstec.ru/normotvorcheskaya/litsenzirovanie/76-inye/2351-doklad-za-2021-god-2
**Как удобно и выгодно применять биометрическую аутентификацию в корпоративной среде ** Зачем организациям нужна биометрия, если можно обойтись другими методами аутентификации? Каковы преимущества и недостатки применения биометрии? Как убедить сотрудников в безопасности биометрии, а также минимизировать риски компрометации системы и утечки биометрических идентификаторов?
https://www.anti-malware.ru/analytics/Technology_Analysis/Corporate-Biometric-Authentication
ФСТЭК России приостановила действие 56 сертификатов соответствия, включая сертификаты Microsoft, Cisco, Red Hat, SUSE Linux, VMware, FortiGate, eToken, SAP, Veeam, Skybox, CyberArk, Oracle.
https://zlonov.com/suspended-certificates
Записи докладов с ИБ АСУ ТП КВО 2022 https://www.youtube.com/playlist?list=PLqiPKwD9Agv6B7k-AlGK88IufmDdqdaLk
+Accenture, Akamai, Deloitte, Elastic, EY, Intuit (Mailchimp), Juniper, KPMG, NETSCOUT (Arbor), Norton, PwC, VMware
https://zlonov.com/vendors-official-announcements