Бортовой журнал
Заметки, мысли и сообщения из соцсервисов
Всего: 2365
2019 июнь
Ссылка на вышедший в прошлую пятницу Дайджест КИИ 187-ФЗ: http://bit.ly/kii187fz-2019-25
Правительство РФ: Дмитрий Медведев выступил на пленарной сессии Международного конгресса по кибербезопасности http://bit.ly/2Nglg6L
Прямая трансляция с Международного конгресса по кибербезопасности ICC (организатор — Сбербанк) будет доступна на сайте https://sberbanktv.ru
Мои давние коллеги из Экспо-Линк в качестве подарка заказывающим участие в ближайшем (25-29 июля) мероприятии Код ИБ ПРОФИ готовы предложить полгода доступа ко всем имеющимся записям выступлений и мастер-классов по информационной безопасности на их платном ресурсе Код ИБ АКАДЕМИЯ.
Промокод для получения подарка — zlonov (вводить надо при оформлении заказа на сайте КОД ИБ ПРОФИ).
Акция уже становится традиционной: https://zlonov.ru/codeib-profi-promo/
Запущенный на днях Telegram-бот @MailSearchBot выдаёт при вводе адреса электронной почты пароли, связанные с этим адресом, которые были в какой-либо из ранее утекших баз.
Из соображений безопасности бот часть символов пароля скрывает звёздочками, адреса можно вводить только по одному, а число запросов ограничено 40.
Как пишет VC, автором является специалист по информационной безопасности из Казахстана Батыржан Тютеев: https://vc.ru/services/71897-specialist-po-infobezopasnosti-iz-kazahstana-zapustil-telegram-bota-mailsearchbot-kotoryy-vydaet-paroli-po-adresu-pochty
В моём случае бот выдал парочку старых паролей от сторонних сайтов, хотя сервис https://haveibeenpwned.com сообщает, что с моим адресом суммарно было 6 утечек. Так что у второго — база пополнее будет, да и источники утечек, кстати, называются, но, правда, сами утекшие пароли не показываются.
Что ж, будем надеятся, что бот не станет популярен среди низкоквалифицированных злоумышленников, которые сами не в состоянии найти утекшие базы, но с ботом справятся.
А для всех остальных будет хороший повод в очередной раз задуматься о важности правила не использовать одинаковые пароли на разных сервисах: утечь может даже самый стойкий пароль и печально, если он у пользователя один и от всего сразу.
На сторонних сервисах и вовсе хорошим тоном является авторизация с использованием социальных логинов (вход через Facebook, Google, ВКонтакте, Twitter и т.п.), если, конечно, вы используете соцсети правильно и ничего лишнего, чего стоило бы скрыть от этих самых сторонних сервисов, в них не выкладываете.
Кстати, если вы пользуетесь ВК, присоединяйтесь к сообществу: https://vk.com/zlonovru Ещё только привыкаю к этой площадке, но в целом - нравится, да и риск блокировки её минимальный =)
История про то, как у гуру в области ИБ Михаила Юрьевича Емельянникова один удостоверяющий центр для выдачи электронной подписи (внезапно!) селфи с паспортом «довольно агрессивно» попросил. Пока не получил =) Следим за развитием событий… https://emeliyannikov.blogspot.com/2019/06/blog-post.html
По ссылке можно следить за судьбой в Госдуме законопроекта о предотвращении мошенничества с электронной подписью при регистрации прав на недвижимость: https://sozd.duma.gov.ru/bill/728232-7
Презентации ФСТЭК и НКЦКИ с ITSF 2019 по теме КИИ 187-ФЗ https://rucybersecurity.ru/t/777
Случай, когда сертификат — «просто бумажка» (речь про американский стандарт FIPS 140-2): «Некоторые устройства YubiKey FIPS признаны ненадежными из-за бага» https://xakep.ru/2019/06/14/yubikey-fips/ #2FA
Дайджест КИИ 187-ФЗ 2019-24 — https://mailchi.mp/227d6d4742be/187-2019-24
В очередной раз актуализированная подборка «Все нормативные документы по #КИИ сразу (скачать)» https://zlonov.ru/kii/all_laws/
Проект-то документа был не особо содержательный, а уж итог и вовсе на «законодательную заглушку» похож: ПП-743 от 08.06.2019 «Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи РФ для обеспечения функционирования ЗО КИИ» https://zlonov.ru/kii/пп-743-от-08-06-2019/
Раздача бесплатной годовой подписки на 1Password — менеджер паролей на macOS, Windows, iOS и Android. Выдают семейную подписку на 5 человек. https://1password.com/promo/canva/
Утверждена Концепция создания и функционирования национальной системы управления данными https://zlonov.ru/распоряжение-правительства-рф-1189-р-от-03-06-2019/ #НСУД #НСУД
Бодрое начало недели: «Данные клиентов ОТП-банка, Альфа-банка и ХКФ-банка оказались в открытом доступе. Утечка суммарно затрагивает интересы примерно 900 тыс. россиян, чьи имена, телефоны, паспорта и место работы теперь может узнать каждый.» https://www.kommersant.ru/doc/3997757
Почистите свой почтовый ящик? У меня есть, что для его наполнения предложить =)
Если кто-то ещё не начал жить так, чтобы нечего было скрывать, то сейчас самое время =) «Яндекс подтвердил наличие решения с ФСБ по ключам шифрования» https://www.rbc.ru/society/07/06/2019/5cfa2a169a7947affada5b1a
Роботизированная мебель от IKEA: «система Rognan представляет собой шкаф, который по команде с тачпада превращается в диван или рабочую зону». Про степень защищённости системы ничего не сообщается.
https://thebell.io/ikea-predstavila-robotizirovannuyu-mebel-dlya-ochen-malenkih-kvartir/
Совместно с коллегами запускаем почтовую рассылку Дайджест RUSCADASEC. Самое свежее и важное в области промышленной кибербезопасности / кибербезопасности АСУ ТП. Подписаться можно по ссылке: http://bit.ly/2IvrLg2
Весьма странная картинка-иллюстрация, но сам посыл у Роскомнадзора разумный: «регулятор призвал родителей не выкладывать в соцсети фотографии детей». https://vk.com/wall-76229642_216333
Был уверен, что Opera прикрыла свой VPN-сервис. Ан нет. В текущей версии всё работает из коробки и для доступа к тому же SlideShare даже расширение браузера никакое ставить не надо.
В честь 10-летия один из лучших (по моему мнению) блокировщиков рекламы AdGuard предоставляет всем покупателям скидку 50%. Вечная лицензия на 1 MAC/PC всего 325 руб. Взял себе про запас. https://adguard.com/ru/license.html?lifetime=true
Планируется усовершенствовать правила оборота прав на программы для ЭВМ и БД
Законопроект предусматривает уточнение терминологии, используемой в отношении таких объектов интеллектуальной собственности, как программы для ЭВМ https://rucybersecurity.ru/t/766/2
В числе прочего НСУД создаст «цифровой профиль гражданина» и на основе его «цифрового согласия» (ЭП?) позволит передавать его данные бизнесу. Вот, не хотелось бы, если честно.
Национальная система управления данными должна заработать в 2022 году http://www.garant.ru/news/1274684/
Сервис Flipboard выявил утечку пользовательских данных и опубликовал детальное уведомление, переведя его на 12 языков мира. Похвально. https://ru-ru.about.flipboard.com/support-information-incident-may-2019/
Презентации ФСТЭК России с семинара «Реализация мероприятий по обеспечению безопасности КИИ в Краснодарском крае» https://rucybersecurity.ru/t/realizacziya-meropriyatij-po-obespecheniyu-bezopasnosti-kii-v-krasnodarskom-krae/762
В Telegram стало можно скрывать свой номер телефона ото всех. Теперь бесполезно выгружать контакты посетителей конференций с целью идентификации людей по их имени пользователя =)
2019 май
Долгожданное:
Приказ ФСБ №196 от 06.05.2019 «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» http://publication.pravo.gov.ru/Document/View/0001201905310017
А вот и реакция на недавние громкие истории:
«В Минкомсвязи планируют ужесточить требования по закону об электронной подписи: передать полномочия по выдаче сертификата юридическим лицам в ФНС, забрав его у коммерческих удостоверяющих центров.» http://bit.ly/2I4tEQS
«Какая боль, какая боль… Индустрия 4.0,» — конференцией по автоматизации металлургического производства навеяно #ибасутп
Ролик о важности установки DATAPK на промышленных предприятиях https://www.youtube.com/watch?v=s_tRlfzGZAE
Стадии построения системы защиты информации объекта информатизации #пятничное в понедельник
Мошенничество с использованием электронной подписи: масштабы уже впечатляют. Что дальше?
Оказалось, что получить электронный ключ на любого человека действительно несложно. Журналисты СМИ 47news провели эксперимент. http://bit.ly/2HFgnz5
Доска почёта ФСТЭК России: Рейтинг исследователей, предоставивших сведения об уязвимостях программного обеспечения
https://bdu.fstec.ru/site/rating
Широко пока не известный проект «Конус» начинает обретать очертания:
«Сим-карты с отечественным шифрованием, переход на которое может начаться уже в декабре, будут работать на импортных чипах. Разработчик уже тестирует чипы от Samsung, хотя сначала планировалось использовать отечественный аналог» https://www.rbc.ru/technology_and_media/23/05/2019/5ce53a039a79471bde8de739
Тут не всякая система, обрабатывающая биометрические персональные данные, справится =) #пятничное в среду
RadissonBlu - вроде бы солидная сеть отелей, но предлагают по электронной почте на полном серьёзе вот такое: “Оплатить Вы можете картой дистанционно, для этого необходимо заполнить авторизационную форму, направить скан паспорта владельца карты и скан карты с обеих сторон”
Хотите сравнить уровень своей зарплаты с доходом коллег из ФСТЭК России? А квалификационные требования? Ссылки в посте. https://blog.zlonov.ru/fstec-wages/
Форум сообщества ruCyberSecurity, размещённый в Яндекс.Облаке, как можно убедиться лично, не пострадал. https://rucybersecurity.ru/signup/
Ранкинг TAdviser100: Крупнейшие ИТ-компании в России 2019 http://www.tadviser.ru/index.php/Статья:Ранкинг_TAdviser100:_Крупнейшие_ИТ-компании_в_России_2019
“I’m a C I Double S P” - старенькое доброе #пятничное видео с пародией =) https://www.youtube.com/watch?v=whEWE6WC1Ew
Список блогов, посвящённых информационной безопасности, переехал c моего сайта на GitHub: https://github.com/zlonov/security-blogs/
Не все ключи для #2FA одинаково надёжны: Google отзывает ключи безопасности Titan из-за уязвимости (баг позволяет злоумышленнику, находящемуся на расстоянии примерно 9 м от устройства, взамодействовать с ключом или гаджетом) https://www.securitylab.ru/news/499117.php
Вполне потенциально возможная схема: “Business FM стали известны подробности истории москвича, от лица которого, по его словам, подарили дорогую недвижимость — с помощью цифровой подписи. Если факт подтвердится в ходе расследования, это станет первым известным случаем отъема квартиры с помощью фальсификации цифровой подписи.” https://www.bfm.ru/news/414284
Пора уже сходить, посмотреть, что у (части) коллег со времени первой памятной встречи (https://zlonov.ru/case/unvirtual/) изменилось и был ли смысл новую группу создавать =)