Бортовой журнал
Заметки, мысли и сообщения из соцсервисов, в том числе - Telegram-каналов ℤ𝕃𝕆ℕ𝕆𝕍.𝕝𝕚𝕧𝕖 (https://t.me/zlonov) и ZLONOV security (https://t.me/zlonov_security)
Всего: 2382
2017 октябрь
Если работодатель явно запретил отправку конфиденциальной информации на личные почтовые ящики, то нарушение этого запрета является достаточным основанием для уволнения: “Конституционный Суд РФ отметил, что в случае, если сотрудник отправляет информацию, касающуюся компании–работодателя с корпоративной почты на свой личный почтовый ящик, он тем самым создает условия для ее неконтролируемого использования. Соответственно, если работник нарушил локальные акты организации, исключающие отправку конфиденциальной информации на личную почту, то за это он может быть привлечен к дисциплинарной ответственности. Причем вне зависимости от того, было ли установлено ее разглашение третьему лицу или нет”. http://www.garant.ru/news/1144868/
Для удобства свёл в таблицу планируемые к принятию дополнительные к 187-ФЗ “О безопасности #КИИ” нормативные правовые акты и, так как проекты некоторых документов уже опубликованы (готовятся к публикации), привёл соответствующие ссылки на них. https://zlonov.ru/2017/10/187-fz-addons/
Действительно, к чему эти нудные формальности? «Согласно тексту документа, после принятия закона Роскомнадзор сможет самостоятельно принимать решения о блокировке в интернете «информации, содержащей призывы к массовым беспорядкам, осуществлению экстремистской деятельности, участию в массовых (публичных) мероприятиях, проводимых с нарушением установленного порядка, материалов, изданных и (или) распространяемых иностранной или международной неправительственной организацией, деятельность которой признана нежелательной. Причем для блокировки ведомству не потребуется решение суда.» http://www.securitylab.ru/news/489308.php
Лайфхак: «Упоминание блокчейна в резюме повышает стоимость работника на 25%» https://vc.ru/27964-srednyaya-zarplata-specialista-po-blokcheynu-v-rossii-sostavila-ot-200-tysyach-do-400-tysyach-rubley?from=rss
Попытка Т—Ж объять необъятное: “Персональные данные: что, зачем, как”. Так себе попытка, на мой взгляд. Интересно, а есть ли какие-то ресурсы, которые можно посоветовать совсем начинающим разбираться в теме? У нас ведь новые операторы ПДн наверняка каждый день появляются… https://journal.tinkoff.ru/slozhno/personal-data/
О! Материалы с Check Point Security Day 2017 выложили частично в .ppsx - можно ещё раз насладиться анимацией =) Правда, для скачивания нужен пароль (запросить можно по электронной почте dsorokina@idc.com) http://idcrussia.com/ru/events/64893-check-point-security-day-17/55-proceedings
Президент России поручил правительству и ЦБ узаконить ICO и криптовалюты в России: Правительству Российской Федерации совместно с Банком России обеспечить внесение в законодательство Российской Федерации изменений, предусматривающих; а) определение статуса цифровых технологий, применяемых в финансовой сфере, и их понятий (в том числе таких, как «технология распределённых реестров», «цифровой аккредитив», «цифровая закладная», «криптовалюта», «токен», «смарт-контракт») исходя из обязательности рубля в качестве единственного законного платёжного средства в Российской Федерации; б) установление требований к организации и осуществлению производства, основанного на принципах криптографии в среде распределённых реестров («майнинг»), включая регистрацию хозяйствующих субъектов, осуществляющих такую деятельность, а также определение порядка её налогообложения; в) регулирование публичного привлечения денежных средств и криптовалют путём размещения токенов по аналогии с регулированием первичного размещения ценных бумаг. Срок – 1 июля 2018 г. Ответственные: Медведев Д.А., Набиуллина Э.С. http://kremlin.ru/acts/assignments/orders/55899
Мда… «1+2+3 = 23» Apple намекает, что такое надо уметь считать в уме? :) https://appstudio.org/news/kalkulyator-v-ios-11-razuchilsya-schitat.html
что делать организации (являющейся оператором персональных данных), если она своевременно не уведомила Роскомнадзор об изменении своего наименования или адреса? https://zlonov.ru/2017/10/penalties-for-failure-to-notify/
Контролировать достоверность сведений ЕГРН предлагается с использованием технологии блокчейн: с 1 января по 1 июля следующего года в столице предполагается провести эксперимент по использованию технологии “блокчейн” для мониторинга достоверности сведений, содержащихся в ЕГРН. http://www.garant.ru/news/1143213/
Как не прослыть обнальщиком (при пользовании банком Тинькофф) 1. Проверяйте контрагентов. 2. Подробно описывайте платежи. 3. Работайте по своим оквэдам. 4. Не снимайте все наличные. 5. Платите налоги. 6. Не занимайтесь обналом. https://journal.tinkoff.ru/obnalichka/
Краткие впечатления от Check Point Security Day 2017 https://zlonov.ru/2017/10/check-point-security-day-2017/
Главный конструктор ИТ-системы МВД был арестован прямо на выставке: “18 октября 2017 года Андрей Нечаев был арестован, сообщил ряд СМИ со ссылкой на правоохранительные органы. По данным газеты «Коммерсантъ», в этот день к нему на международной выставке «Интерполитех-2017» подошли сотрудники управления «М» ФСБ России и увели на допрос.” http://www.tadviser.ru/index.php/%CF%E5%F0%F1%EE%ED%E0%3A%CD%E5%F7%E0%E5%E2_%C0%ED%E4%F0%E5%E9_%DE%F0%FC%E5%E2%E8%F7?utm_content=buffer6d545&utm_medium=social&utm_source=facebook.com&utm_campaign=buffer
За удар молотом - 30 тысяч. За то, что знаю, куда ударить - 4 миллиона =)
Уязвимости #KRACK уже в #БДУ #ФСТЭК (с BDU:2017-02263 по BDU:2017-02272) http://www.bdu.fstec.ru/vul/2017-02268
У меня повторить не получилось: “Злоумышленник может получить доступ к фото на заблокированном устройстве. Для этого нужно узнать телефонный номер устройства и позвонить на него. После этого, вместо ответа на звонок, нажать на «Сообщения» -> «Другое», а затем вставить в строку сообщения 3 каких-либо эмодзи. Далее нужно попросить голосового помощника Siri открыть какое-либо приложение, например, «Настройки». После этого при повторном звонке на заблокированном устройстве появится возможность ответить на звонок сообщением, прикрепив к нему любые фотографии пользователя.” http://www.securitylab.ru/news/489204.php?utm_content=bufferb858b&utm_medium=social&utm_source=facebook.com&utm_campaign=buffer
Судя по пресс-релизу Кода Безопасности, для заграницы - только продукты с английскими названиями. Эх, надо было в своё время Continent и Sable назвать :-) http://bit.ly/2ikQuu1
И на десерт: BalaBit Shell Control Box vs SafeInspect vs Wallix Admin Bastion vs Cyber Arc vs ObsereIT (по версии всё того же госзаказчика)
Ещё: Veeam Availability Suite vs Handy Backup vs DataRecovery+VCenter vs Zabbix vs Symantec vs Acronis (по версии того же госзаказчика)
PRTG vs 10 страйк vs Algorius Net Viewer vs Zabbix vs Nagios Core (по версии одного госзаказчика)
Так ведь и ящик Пандоры можно рано или поздно открыть: «…исследователи Google научили ПО машинного обучения создавать ПО машинного обучения. Причем, в некоторых случая ИИ справился с созданием себе подобных лучше разработчиков-людей». http://bit.ly/2xNAcB2
Статья про то, как специалисты Digital Security обходили (и обошли) Positive Technologies WAF. И в целом про WAF заодно тоже. http://bit.ly/2x1Bvbb
По приглашению Академии Информационных Систем рассказывал вчера про законодательство в области коммерческой тайны. Для собственного удобства и для удобства слушателей подготовил майндкарту Федеральнго закона от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» (с изменениями и дополнениями в самой свежей на сегодня редакции от 12 марта 2014 года). http://bit.ly/2gmPxAY
Приложения LinkedIn сейчас нет в App Store, но его можно скачать через Профиль -> Покупки -> Мои покупки (если раньше оно было установлено)
Сайт про KRACK: https://www.krackattacks.com (от исследователя, обнаружевшего уязвимости - Mathy Vanhoef)
Обновляемая информация о KRACK для продуктов CIsco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa
Деталей пока нет, но уже можно начинать бояться: «… важно, что существующая уязвимость позволяет не только прослушивать трафик, но и модифицировать его. Поэтому важно как можно скорее получить от производителя патч и установить его на все устройства которые являются/могут являтся точками доступа, а до тех пор по возможности или отказаться от использования Wi-Fi вообще или передавать данные по каналам с дополнительным шифрованием ( VPN/TLS/HTTPS)». http://bit.ly/2zsdjQK
Если это правда, то получается годный лайфхак ;) «Gett провёл собственный эксперимент, размещая заказы на «Яндекс.Такси» по одним адресам и в одно и то же время, но с разных мобильных устройств — с приложением Gett и без него. По словам Балакиревой, в 60% случаев «Яндекс.Такси» снижает цену поездки, если владелец телефона также пользуется приложением Gett.» http://bit.ly/2ymQ0K2
“Когда средство защиты надёжнее системы в целом” или придумайте свой вариант подписи =) #пятничное
Астрологи объявили полугодие опростоволосившихся консалтеров? =) “На незащищенных серверах Amazon Web Services S3 хранилось более 137 ГБ конфиденциальных данных клиентов крупной консалтинговой компании Accenture, в том числе 40 тыс. паролей.” http://bit.ly/2yd4Y5O
Согласно реестру ФСТЭК (bit.ly/reestr-fstec) у Symantec два сертифицированных продукта: Symantec Endpoint Protection (сертифицировано 1000 штук) и Symantec Data Loss Prevention (300 штук). Оба сертификата от марта 2012 года. Можно оценить объём продаж сертифицрованных решений за последние пять лет. Так что заявление сделано громкое (хотя, скорее, хайповое), но на бизнес особо не влияющее. http://bit.ly/2xAwp4Y
КриптоПро CSP (работа с ключами на классических токенах и в пассивных хранилищах) + КриптоПро ФКН (работа с неизвлекаемыми ключами на новых токенах) + КриптоПро DSS (ключи в облаке) = КриптоПро CSP 5.0 http://bit.ly/2i5wYlj
Грозит штраф до 200 тыс. рублей, ограничение свободы на срок до 4 лет либо принудительные работы на тот же период: По версии следствия, мужчина приобрел на торговой площадке Алиэкспресс Китайской Народной Республики шариковую ручку со встроенной видеокамерой и микрофоном, что является специальным техническим средством, которое предназначено для негласного (т.е. тайного, неочевидного, скрытного) получения информации, затрагивающей гарантированные статьями 23, 24 (часть 1) и 25 Конституции РФ права личности, и свободный оборот которого запрещен. http://bit.ly/2grsD8h
Предполагается ввести запрет на снятие наличных с помощью электронных кошельков. При этом предусматривается, что находящиеся на них остатки денежных средств физлица по его распоряжению могут быть переведены на счет юрлица, ИП, на его собственный счет, а также в счет исполнения его обязательств перед кредитной организацией. http://bit.ly/2yCt1f1
И снова про “Интернет по паспорту”: Минкомсвязи РФ порекомендовало регионам предоставлять пользователям доступ в интернет через публичные Wi-Fi-сети только после авторизации на портале госуслуг. http://bit.ly/2yagoq2
Чтобы поймать нарушителя, надо думать как нарушитель, действовать как нарушитель, нужно самому стать нарушителем… “Новый департамент, по словам главы Роскомнадзора, также изучает поведение «нарушителей, пытающихся обойти блокировки и нарушить логику действия системы блокировок».” http://bit.ly/2wB7mip
[ZLONOV.ru] Кто отвечает за убытки при доступе к Мобильному банку с дубликатом SIM-карты? // Спойлер: оператор связи. https://buff.ly/2fMlM8H
Бесплатный курс от Политеха: “Наука о данных и аналитика больших объемов данных”. Обучение с 30 октября https://buff.ly/2fMe2DM #BigData https://buff.ly/2fMe2DM
МЧС России запустило в мессенджере Telegram бота-спасателя, который подробно инструктирует, как вести себя при любой природной и техногенной чрезвычайной ситуации, а также в быту. Всего описано 32 сценария безопасного поведения в случае самых разных экстремальных ситуаций – от утечки газа и пожара до землетрясения и даже цунами. Адрес бота: @mchs_bot https://buff.ly/2y18KOD
Сейчас в России блокируется около 90 тыс. ресурсов (домены и страницы). С учетом того что на один ресурс в среднем приходится примерно пять IP-адресов, в реестре сейчас около полумиллиона записей. Всего же можно внести порядка 1 млн записей (“ограничение связано с таблицей маршрутизации”). https://buff.ly/2fKLuKU
Законопроект об удаленной идентификации клиентов банков, штрафы за нарушение закона о запрете анонимайзеров, новые требования для банков по кибербезопасности и другие новости в ежемесячном “Обзоре изменений в законодательстве” от #УЦСБ. http://bit.ly/2fOmF4l
Осталось теперь, чтобы дизайн не подкачал: Кольца для бесконтактной оплаты с функциями карты «Тройка» должны появиться в продаже во второй половине октября 2017 года. bit.ly/2xYkVvY
Памятка: Электронная подпись и термины (на красном фоне) из 63-ФЗ #ЭП
Промокод для читателей на курс “Инфраструктура Открытых Ключей (PKI). Часть № 1.” - скидка 29%. http://bit.ly/2xahfTU
wp-cashing-in-on-atm-malware.pdf
Документ от Trend Micro про взлом банкоматов (в том числе удалённый) #ATM http://bit.ly/2xM1K8S