Бортовой журнал

Так ведь и ящик Пандоры можно рано или поздно открыть: «…исследователи Google научили ПО машинного обучения создавать ПО машинного обучения. Причем, в некоторых случая ИИ справился с созданием себе подобных лучше разработчиков-людей». http://bit.ly/2xNAcB2

Статья про то, как специалисты Digital Security обходили (и обошли) Positive Technologies WAF. И в целом про WAF заодно тоже. http://bit.ly/2x1Bvbb

По приглашению Академии Информационных Систем рассказывал вчера про законодательство в области коммерческой тайны. Для собственного удобства и для удобства слушателей подготовил майндкарту Федеральнго закона от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» (с изменениями и дополнениями в самой свежей на сегодня редакции от 12 марта 2014 года). http://bit.ly/2gmPxAY

Приложения LinkedIn сейчас нет в App Store, но его можно скачать через Профиль -> Покупки -> Мои покупки (если раньше оно было установлено)

Сайт про KRACK: https://www.krackattacks.com (от исследователя, обнаружевшего уязвимости - Mathy Vanhoef)

Обновляемая информация о KRACK для продуктов CIsco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa

Деталей пока нет, но уже можно начинать бояться: «… важно, что существующая уязвимость позволяет не только прослушивать трафик, но и модифицировать его. Поэтому важно как можно скорее получить от производителя патч и установить его на все устройства которые являются/могут являтся точками доступа, а до тех пор по возможности или отказаться от использования Wi-Fi вообще или передавать данные по каналам с дополнительным шифрованием ( VPN/TLS/HTTPS)». http://bit.ly/2zsdjQK

Если это правда, то получается годный лайфхак ;) «Gett провёл собственный эксперимент, размещая заказы на «Яндекс.Такси» по одним адресам и в одно и то же время, но с разных мобильных устройств — с приложением Gett и без него. По словам Балакиревой, в 60% случаев «Яндекс.Такси» снижает цену поездки, если владелец телефона также пользуется приложением Gett.» http://bit.ly/2ymQ0K2

“Когда средство защиты надёжнее системы в целом” или придумайте свой вариант подписи =) #пятничное

Астрологи объявили полугодие опростоволосившихся консалтеров? =) “На незащищенных серверах Amazon Web Services S3 хранилось более 137 ГБ конфиденциальных данных клиентов крупной консалтинговой компании Accenture, в том числе 40 тыс. паролей.” http://bit.ly/2yd4Y5O

Согласно реестру ФСТЭК (bit.ly/reestr-fstec) у Symantec два сертифицированных продукта: Symantec Endpoint Protection (сертифицировано 1000 штук) и Symantec Data Loss Prevention (300 штук). Оба сертификата от марта 2012 года. Можно оценить объём продаж сертифицрованных решений за последние пять лет. Так что заявление сделано громкое (хотя, скорее, хайповое), но на бизнес особо не влияющее. http://bit.ly/2xAwp4Y

КриптоПро CSP (работа с ключами на классических токенах и в пассивных хранилищах) + КриптоПро ФКН (работа с неизвлекаемыми ключами на новых токенах) + КриптоПро DSS (ключи в облаке) = КриптоПро CSP 5.0 http://bit.ly/2i5wYlj

Грозит штраф до 200 тыс. рублей, ограничение свободы на срок до 4 лет либо принудительные работы на тот же период: По версии следствия, мужчина приобрел на торговой площадке Алиэкспресс Китайской Народной Республики шариковую ручку со встроенной видеокамерой и микрофоном, что является специальным техническим средством, которое предназначено для негласного (т.е. тайного, неочевидного, скрытного) получения информации, затрагивающей гарантированные статьями 23, 24 (часть 1) и 25 Конституции РФ права личности, и свободный оборот которого запрещен. http://bit.ly/2grsD8h

Предполагается ввести запрет на снятие наличных с помощью электронных кошельков. При этом предусматривается, что находящиеся на них остатки денежных средств физлица по его распоряжению могут быть переведены на счет юрлица, ИП, на его собственный счет, а также в счет исполнения его обязательств перед кредитной организацией. http://bit.ly/2yCt1f1

И снова про “Интернет по паспорту”: Минкомсвязи РФ порекомендовало регионам предоставлять пользователям доступ в интернет через публичные Wi-Fi-сети только после авторизации на портале госуслуг. http://bit.ly/2yagoq2

#пятничное #аутентификация #биометрия

Чтобы поймать нарушителя, надо думать как нарушитель, действовать как нарушитель, нужно самому стать нарушителем… “Новый департамент, по словам главы Роскомнадзора, также изучает поведение «нарушителей, пытающихся обойти блокировки и нарушить логику действия системы блокировок».” http://bit.ly/2wB7mip

[ZLONOV.ru] Кто отвечает за убытки при доступе к Мобильному банку с дубликатом SIM-карты? // Спойлер: оператор связи. https://buff.ly/2fMlM8H

Бесплатный курс от Политеха: “Наука о данных и аналитика больших объемов данных”. Обучение с 30 октября https://buff.ly/2fMe2DM #BigData https://buff.ly/2fMe2DM

МЧС России запустило в мессенджере Telegram бота-спасателя, который подробно инструктирует, как вести себя при любой природной и техногенной чрезвычайной ситуации, а также в быту. Всего описано 32 сценария безопасного поведения в случае самых разных экстремальных ситуаций – от утечки газа и пожара до землетрясения и даже цунами. Адрес бота: @mchs_bot https://buff.ly/2y18KOD

Сейчас в России блокируется около 90 тыс. ресурсов (домены и страницы). С учетом того что на один ресурс в среднем приходится примерно пять IP-адресов, в реестре сейчас около полумиллиона записей. Всего же можно внести порядка 1 млн записей (“ограничение связано с таблицей маршрутизации”). https://buff.ly/2fKLuKU

Законопроект об удаленной идентификации клиентов банков, штрафы за нарушение закона о запрете анонимайзеров, новые требования для банков по кибербезопасности и другие новости в ежемесячном “Обзоре изменений в законодательстве” от #УЦСБ. http://bit.ly/2fOmF4l

Осталось теперь, чтобы дизайн не подкачал: Кольца для бесконтактной оплаты с функциями карты «Тройка» должны появиться в продаже во второй половине октября 2017 года. bit.ly/2xYkVvY

Памятка: Электронная подпись и термины (на красном фоне) из 63-ФЗ #ЭП

Промокод для читателей на курс “Инфраструктура Открытых Ключей (PKI). Часть № 1.” - скидка 29%. http://bit.ly/2xahfTU

wp-cashing-in-on-atm-malware.pdf

Документ от Trend Micro про взлом банкоматов (в том числе удалённый) #ATM http://bit.ly/2xM1K8S

«Закон Яровой» будет иметь международные последствия. Под него попадают российские структуры зарубежных операторов, подтвердили в Институте исследований интернета. Если им придется раскрыть персональные данные пользователей спецслужбам, это приведет к нарушению европейского регламента о защите личной информации. Эти риски уже изучает входящая во France Telecom компания Orange Business Services. Сложности могут возникнуть и у иностранных интернет-сервисов, зарегистрированных в РФ как организаторы распространения информации. К такой категории Роскомнадзор относит около десяти компаний, включая мессенджер Telegram, разработчика браузера Opera Software и сервис знакомств Badoo. http://bit.ly/2xRDqSu

Госархив Татарстана заказывает исследование применимости технологии #блокчейн в своей деятельности http://bit.ly/2xCLkzB #госзакупки http://bit.ly/2xCLkzB

iPhone X пока ещё не поступил в продажу, но уже известны ограничения новой технологии Face ID. Как только начнётся массовое использование, наверняка всплывут новые нюансы. http://bit.ly/2fDB4A8

Законопроект, обязывающий соцсети под угрозой штрафа до 50 млн руб. удалять противоправный контент по заявлению любого пользователя, не нужно редактировать до первого чтения, сообщил “Ъ” его соавтор единоросс Сергей Боярский. Его рассмотрение было отложено из-за критики Кремля, где считают возможным удаление данных только по решению суда. Глава профильного думского комитета Леонид Левин говорит, что «комитет будет работать с тем, что есть», и обещает широкое обсуждение проекта. В Совете Европы «произвольную блокировку контента» называют вмешательством в свободу слова. http://bit.ly/2xIFxHZ

Есть лицо ВКонтакте? Не шали тогда в столице! “Власти Москвы подключили к видеонаблюдению систему распознавания лиц” http://bit.ly/2fTuGSn

Приказом Роскомнадзора №100 от 9 июня 2017 года был утверждён Порядок доступа к Реестру запрещённых сайтов. Для владельцев сайтов предполагалась процедура регистрации и, видимо, упрощённый доступ к реестру после её прохождения. Не случилось. http://bit.ly/2fUqiTd

Аналитический центр “МФИ Софт” систематизировал объявления о продаже баз данных страховых компаний на теневых торговых интернет-площадках. Цель исследования – выяснить уровень доступности баз данных, содержащих информацию о клиентах страховых компаний Российской Федерации, выявить причины и источники появления баз данных в открытом доступе и проанализировать ущерб, наносимый подобными инцидентами. http://bit.ly/2xA9lr0

Госпротекционизм - лучшее конкурентное преимущество;) С 1 октября крупные продавцы обязаны будут принимать карты Мир http://bit.ly/2fzpGpf

Комитет Госдумы по госстроительству и законодательству рекомендовал палате принять в первом чтении поправки в УК РФ, устанавливающие отдельное наказание за хищение средств с банковского счета и электронных денег. http://bit.ly/2y85Fxl

19644 CYLANCE INFOGRAPHIC 02GDPREMEA.pdf

Инфографика по #GDPR: GDPR CHAIN REACTION http://bit.ly/2xGUVVS

Колонка про тот самый “кусок пластика с чипом” и его будущее. http://bit.ly/2huc9fd

Если стрелять из пушки по воробьям, можно отстрелить себе ногу: В России заблокирован сервер обновлений Joomla! http://bit.ly/2fvUib6

МТС предупреждает, что сайт Президента РФ “может нанести вред вашему компьютеру или мобильному устройству”… http://bit.ly/kremlinru

“Как пояснили в Генпрокуратуре, Telegram-каналы не включены в ежедневный мониторинг, но это не значит, что они оставлены без внимания.” http://bit.ly/2ht90MK

5 вопросов о санации «Открытия» и «Бинбанка»: 1. Почему санация, а не отзыв лицензии? 2. Можно ли полностью исключить финансовые проблемы в самых больших российских банках, включая «Сбербанк»? 3. Есть ли в России банковский кризис? 4. Почему рушатся крупные российские банки? 5. Что будет с санируемыми банками и когда можно ждать улучшения ситуации? http://bit.ly/2wgFFeX

Услуга от Почты России: “Заказные письма в электронном виде”. Пока не все организации перешли на электронные письма, но уже доставляются постановления о возбуждении исполнительного производства (в части задолженности по штрафам в области дорожного движения), судебные повестки мировых судей города Москвы, а также постановления о нарушениях в области дорожного движения в городе Москве, Московской и Ростовской областях. http://bit.ly/2fLhfUs

Согласно проведенному организацией «Руссофт» исследованию, в прошлом году продажи отечественного ПО на внутреннем рынке восстановились, а в нынешнем даже следует ожидать роста на 14-25%. С 2014 года на 11-13% увеличиваются доходы от продаж на зарубежном рынке, однако с 2016 года основной прирост обеспечивается за счет российского рынка. Как отмечают исследователи, еще в 2015 году продажи ПО на внутреннем рынке стремительно падали. Тем не менее, в прошлом году отечественные разработчики заработали на родине не менее $4,4 млрд (рост на 21%). Подробнее: http://bit.ly/2xs1vQx

Текущих механизмов, оказывается, не хватает, поэтому: «Правообладатели могут получить новые антипиратские механизмы. Минкульт предложил внесудебно блокировать в выдаче поисковиков страницы с нелегальным контентом и навечно закрывать доступ к анонимным пиратским сайтам.» http://bit.ly/2y2BFmQ

[демотиватор] Кто я в ИБ? // (больше демотиваторов тут: http://bit.ly/2wNA5jj)

Будет ли итоговый отчёт публичным? - Госдума потратит на исследование блокчейна и криптовалют 2,5 млн рублей http://bit.ly/2waoPOI

Журнал РБК опубликовал очередной рейтинг 500 крупнейших российских компаний «РБК 500» http://bit.ly/2w9sNXW

Двухчасовая задержка рейса Нордавиа - Региональные авиалинии - отличный повод дослушать авторский курс Леонида Шапиро! Мог бы рекомендовать и без прослушивания, но теперь - со знанием дела ;) Инфраструктура Открытых Ключей (PKI). Часть № 1. https://www.udemy.com/pki-no-1/

Обзор уязвимостей от #УЦСБ. Выпуск 1. Простым и понятным языком про EternalBlue (WannaCry, notPetya), EternalRed (SambaCry) и др. http://bit.ly/2hhFEkt