3501
Телеграм-канал сайта ZLONOV.ru Новости и актуальные темы из сфер: информационная безопасность, информационные технологии, кибербезопасность и около. #ИБ #ИТ #АСУТП #маркетинг Для связи: https://zlonov.ru/contactme/
Несколько раз уже попадалось, но всё равно смешно =)
- Какая гадость эта ваша динамическая типизация!...
#пятничное во вторник
Фонд «Центр стратегических разработок» опубликовал отчёт “Оценка рынка безопасной разработки программного обеспечения в Российской Федерации”.
На самом деле оценён рынок только средств (инструментов) безопасной разработки без учёта сопутствующих услуг. Сама методология тоже не бесспорна, но в целом для примерной оценки - вполне можно опираться.
Ссылка: https://www.csr.ru/ru/research/otsenka-rynka-bezopasnoy-razrabotki-programmnogo-obespecheniya-v-rossiyskoy-federatsii/
Новость CNews: https://safe.cnews.ru/news/line/2024-08-30_issledovanie_tssr_obem_rossijskogo
Продолжается планомерная борьба с «левыми» и/или «обезличенными» SIM-картами:
- Внести оплату наличными можно будет […] только при предъявлении документа, удостоверяющего личность, или с использованием ЕСИА […];
- физлицу может быть выделено операторами сотовой связи и предоставлено в пользование абонентами - юридическими лицами либо ИП в совокупности не более 20 абонентских номеров;
- иностранному гражданину […] может быть выделено в совокупности не более 10 абонентских номеров (в это число входят и личные, и корпоративные номера);
- в договор об оказании услуг подвижной радиотелефонной связи с иностранным гражданином […] будут включать сведения о пользовательском оборудовании (об оконечном оборудовании) […].
Из удобств:
- у физлиц [С 1 апреля 2025 г.] появится возможность подавать через Единый портал госуслуг запрос о заключенных с ними договорах об оказании услуг подвижной радиотелефонной связи и выделенных по ним абонентских номерах в Роскомнадзор.
Подробнее: https://www.garant.ru/news/1748849/
Вообще не про ИБ, но впечатляет: мобильный лазерный комплекс (МЛК) впервые был использован для демонтажа выведенных из эксплуатации высотных металлоконструкций – кранов-перегружателей ТЭЦ в Кургане.
Пресс-релиз: https://atommedia.online/2024/08/14/lazernuju-ustanovku-rosatoma-vperv/
Характеристики МЛК: https://www.triniti.ru/catalog/lazernye-tekhnologii/mobilnyy-lazernyy-tekhnologicheskiy-kompleks-mltk/
Натуральное мороженое от АйТи Бастион - без винды и ГМО =)
Читать полностью…
Кто-то уже давно должен был такое сделать!
Специализированный мобильный браузер SFERRA от компании SafeTech - альтернатива работе с, например, личным кабинетом банка через обычный мобильный браузер. Ждём теперь появление в магазинах приложений и запуска совместных проектов с банками.
- Пресс-релиз: https://safe.cnews.ru/news/line/2024-06-06_vozmozhnosti_nativa_dlya_web-adaptiva
- Сайт производителя: https://safe-tech.ru/products/sferra/
- SFERRA на Хабе Злонова: https://hub.zlonov.ru/products/SFERRA
Мдаа... Думаю, у нас с "Алисой" шансов нет - даже подавать заявку не буду =)
Если у вас с фантазией получше - можете попробовать выиграть 250 тыс.руб: https://namesoc.ru
Обзор российского рынка инфраструктурного ПО от Strategy Partners:
- Российский рынок ПО вырос на 14% в 2023 году. Отмечается рост качества российских продуктов за счет притока финансовых и людских ресурсов на фоне ухода западных вендоров.
- Сегмент инфраструктурного ПО достиг 101 млрд рублей (прирост +31% к уровню 2022 года), но по-прежнему не достиг уровня 2021 года. Доля отечественных вендоров в сегменте превысила 50%.
- Прогноз ИТ-рынка в РФ на 2030 год сохраняется — он продолжит рост с темпами 13% год к году и достигнет 7,0 трлн рублей.
- Рынок средств резервного копирования вырос на 30% и приблизился к уровню 2021 года. Выручка лидера («Киберпротект») выросла на 122%
- Рынок решений для виртуализации вырос на 37% по причине высокого приоритета импортозамещения данного класса ПО у заказчиков
Пресс-релиз: https://strategy.ru/news/271
Новость Anti-Malware: https://www.anti-malware.ru/news/2024-05-30-114534/43479
Шикарный пример того, как из одного инфоповода сделать пять новостей =)
Подкину идею - у нас области и края ещё на районы и округа делятся...
На прошлой неделе НКЦКИ сообщил о запуске сервиса «Утекли ли Ваши данные? Проверьте» (УЛВДП). Естественно захотелось его сравнить с другим весьма популярным «Have i been pwned?» (HIBP).
Результаты навскидку такие:
- HIBP ищет только по электронной почте, УЛВДП - ещё и по логину и по номеру телефона;
- HIBP приводит краткую справку о самой утечке с ссылкой на более детальное описание, УЛВДП отображает только наименование источника утечки и дату;
- HIBP обычно находит больше утечек (сравнивал по нескольким адресам), но УЛВДП порой указывает на отсутствующие у HIBP - например, утечку Tele2.ru;
- HIBP позволяет подключить отдельный дашборд для поиска всех утечек для конкретного почтового домена;
- HIBP позволяет работать через API;
- на сайте HIBP есть общая статистическая информация и отдельная информация о всех подключенных базах, в сервисе УЛВДП такой информации нет.
В целом, для первой итерации - УЛВДП получился вполне рабочим, хотя о полной альтернативе HIBP говорить пока рано. Ну, а для бОльшего эффекта рекомендовал бы пользоваться ими обоими одновременно.
_______________________
Сервис НКЦКИ: https://chk.safe-surf.ru
Сервис Have i been pwned?: https://haveibeenpwned.com
Пресс-релиз: https://safe-surf.ru/specialists/news/706601/
Новость на AntiMalware: https://www.anti-malware.ru/news/2024-04-15-114534/43162 - новость с ошибкой: никакие пароли УЛВДП вводить не предлагает =)
Кобольдские письма
Оказывается, электронное письмо, полученное от доверенного лица, и даже подписанное его электронной подписью, - может оказать фишинговым.
Суть проблемы в том, что большинство почтовых клиентов позволяет использовать CSS (Cascading Style Sheets - каскадные таблицы стилей) для оформления электронных писем в формате HTML и грамотное использование особенностей DOM (Document Object Model - объектная модель документа) позволяет сформировать такое письмо, которое изначально выглядит вполне невинно, так как его часть просто скрыта (например, путём применения стиля «display: none;»), но при пересылке - изменяется и превращается в нечто совершенно иное.
Поэтому, как вариант, ваш шеф может переслать вам письмо с вопросами от потенциального клиента, а вы в свою очередь - получить от него уже указание необходимости перевода крупной суммы денег по неким банковским реквизитам.
«Кобольдскими» такие письма автор оригинальной статьи назвал как раз потому, что кобольды (нечистые духи в германской мифологии, сродни гномам) обычно невидимы и склонны к пакостям.
Уязвимость актуальна (в упомянутой статье приведены наглядные примеры) как минимум для:
- Thunderbird;
- веб-версии Outlook;
- Gmail.
В качестве меры защиты можно отключить HTML в почтовом клиенте и «включить» голову.
Автор, конечно, приводит пример с развитием событий в виде звонка шефу с просьбой подтвердить легитимность письма, и по его версии - необходимое подтверждение вы вполне можете получить, но, на мой взгляд, это уже притянуто за уши. Вряд ли кто-то спросит: «Вы пересылали мне сегодня письмо?», - но не упомянет его содержимое.
- Оригинальная статья (англ.): https://lutrasecurity.com/en/articles/kobold-letters/
- Пост Брюса Шнайера: https://www.schneier.com/blog/archives/2024/04/security-vulnerability-of-html-emails.html
- Про модель DOM: https://ru.wikipedia.org/wiki/Document_Object_Model
- Про CSS: https://ru.wikipedia.org/wiki/CSS
- Про кобольдов: https://ru.wikipedia.org/wiki/Кобольды
#пятничное Оригинал: https://pikabu.ru/story/urok_yurisprudentsii_11233505
Читать полностью…
Выборка сертифицированных операционных систем из реестра ФСТЭК России: https://zlonov.ru/fstec-os-2024/
Читать полностью…
Знаете, почему при поиске на странице с пресс-релизом про кражи eSim сочетания "F.A.C.C.T." находится 11 совпадений, а при поиске "F.A." - уже 18?
Вот на этой странице: https://www.facct.ru/media-center/press-releases/esim-bank-attacks/
Потому что 7 раз «F.A.С.С.T.» Написано с русскими «С» =)
Вот и думай - то ли это способ в очередной раз подчеркнуть российское происхождение компании, то ли наглядный урок по техникам тайпсквоттинга =)
А новость - да, интересная. И советы адекватные, разве что использование несуществующего термина «двухфакторная идентификация» меня традиционно забавляет =)
Хорошая подборка судебной практики по вопросам применения простой электронной подписи (ПЭП):
https://www.garant.ru/ia/opinion/author/deryujinskiy/1749540/
Спойлер: ПЭП часто не признают в суде.
Если кому-то вдруг не хватало отечественных NGFW, то вот, пожалуйста, ещё один игрок:
МТС RED, дочерняя компания ПАО «МТС»), выходит на рынок высокопроизводительных многофункциональных межсетевых экранов, представив на закрытом клиентском мероприятии прототип МТС RED NGFW. Уже сейчас решение показывает высокую скорость фильтрации трафика – до 50 Гбит/с в режиме NGFW, удовлетворяя потребности в сетевой защите крупных компаний. В перспективе года этот показатель планируется увеличить до 100 Гбит/с.
https://mts.red/articles/mts-red-vpervye-prodemonstriroval-prototip-mts-red-ngfw
(картинка - творчество YaART)
Общественный(?) проект Surveillance Watch предлагает ознакомиться с интерактивной картой “сети компаний, осуществляющих слежку, их дочерних компаний, партнеров и финансовых спонсоров”. Про Россию информация тоже представлена.
https://www.surveillancewatch.io/
Опыт — это то, что получаешь, когда не получил того, что хотел (с) Ну, или то, чем поделятся мои коллеги на очередном вебинаре цикла про безопасность КИИ.
Тема по безопасной разработке сейчас особенно актуальна, а когда без необходимости самостоятельно вникать во все нюансы и штудировать свежую нормативку тебе всё раскладывают по полочкам, да ещё и с примерами (конечно, немало реализованных УЦСБ по этой теме проектов мне знакомы “изнутри”, но, понятно, далеко не все) - устоять просто не возможно! Пожалуй, я и не устою =) И вы не устаивайте, если заявленные тезисы интересны:
_______________________
9 июля (вторник) в 12:00 (мск) состоится вебинар УЦСБ «Безопасная разработка ПО для значимых объектов КИИ».
Мы расскажем:
- Какие существуют требования регуляторов к прикладному ПО, которое обеспечивает выполнение функций значимых объектов КИИ
- Кто должен реализовать требования Приказа ФСТЭК России от 25 декабря 2017 г. N 239 и как им соответствовать
- Как выстроить процессы безопасной разработки в организации и какие инструменты для этого необходимы
- А также поделимся практическими кейсами
Вебинар ориентирован на:
- Топ-менеджмент организаций, подпадающих под сферу действия 187-ФЗ
- Руководителей и сотрудников отделов кибербезопасности субъектов КИИ
- Всех, кто интересуется защитой данных и кибербезопасностью
Для участия в вебинаре необходимо зарегистрироваться на его странице: https://www.kiiussc.ru
Участники мероприятия получат запись встречи и презентацию, а также приятный подарок (мерч УЦСБ) за самый интересный вопрос.
Смотрю, тема импортозамещения - прямо кладезь вдохновения для маркетологов :) #IT_IS_conf_2024
Читать полностью…
Учебный центр Эшелон, преподаватели которого сами имеют сертификаты CISSP (Certified Information Systems Security Professional) и ранее проводили курсы по подготовке к сдаче соответствующего зарубежного экзамена, теперь будет готовить к сертификации ЦЫССП (зачёркнуто) к ССК (Сертифицированный специалист по кибербезопасности).
Как заявлено в описании: «Данный сертификационный экзамен является отечественным аналогом американского CISSP».
Что особо интересно в наше меркантильное время: «Онлайн-подготовка к сдаче экзамена и онлайн-экзамен будут бесплатными для соискателей».
И вот это тоже примечательный ход: «Отдельное преимущество для всех граждан России, обладающих действующим сертификатом CISSP: они смогут получить сертификат ССК без сдачи экзамена».
Пора уже Заказчикам в требованиях к исполнителю в ТЗ начинать писать: «Наличие в штате сертифицированных специалистов CISSP и/или ССК», как считаете?
- Пресс-релиз: https://npo-echelon.ru/news/12030/
- Регистрация на бесплатный курс подготовки кандидатов: https://etecs.ru/ssc/
- Примеры вопросов: https://uc-echelon.ru/wp-content/uploads/2024/05/ssk_290524_primernye_voprosy.pdf
Выборка сертифицированных средств виртуализации из реестра ФСТЭК России: https://zlonov.ru/fstec-virtualization-2024/
Читать полностью…
Подборка от NIST бесплатных и "недорогих" (less than $100) учебных онлайн-материалов по кибербезопасности: https://www.nist.gov/itl/applied-cybersecurity/nice/resources/online-learning-content
> The following links are for free and low-cost online educational content on topics such as information technology and cybersecurity. Some, not all, may contribute towards professional learning objectives or lead to industry certifications and online degrees.
Мусасимару победил и сравнялся по количеству побед с Таканоханой:
Мобильная ОС «Ред ОС М», созданная на базе AOSP, осталась в Реестре российского ПО. Против признания данного продукта российским выступал «Ростелеком», который разрабатывает конкурирующую ОС – «Аврора».
https://www.cnews.ru/news/top/2024-04-10_rostelekom_proigral_bitvu
Добавил к списку докладов ИБ АСУ ТП КВО 2024 ссылки на краткие пересказы видео выступлений, сгенерированные нейросетью YandexGPT: https://zlonov.ru/events/2024-03-13-14-ибкво/
Вот как это выглядит на примере доклада Павла Сергеевича Зенкина из ФСТЭК России: https://300.ya.ru/v_UsvAYNSG
Лучшие доклады ИБ АСУ ТП КВО 2024: https://zlonov.ru/best-reports-ibkvo-2024/
Читать полностью…
Серия вебинаров УЦСБ «Безопасность КИИ и требования 187-ФЗ» в далёком доВСЕГОшнем, как говорится, 2018 году пользовалась весьма неплохой популярностью - суммарная пара десятков тысяч просмотров не даст тут соврать. Но с тех пор и законодательных актов существенно прибавилось, да и практического опыта удалось накопить немало - первые клиенты, для которых проводилось категорирование, успели уже и СОИБ построить и плановые проверки ФСТЭК России пройти.
В общем, думаю, понятно, куда я клоню =) Всё верно - мои коллеги из аналитического центра УЦСБ "перезапускают легендарную франшизу" и завтра, 19 марта, проводят первый вебинар серии «Как защитить КИИ от киберугроз». Присоединяйтесь и вы к слушателям: https://www.kiiussc.ru
Центр национальной компьютерной безопасности Великобритании (NCSC) представил набор бесплатных простых онлайн-утилит для проверки IP-адреса, почтового домена и браузера. На российские домены и IP вроде не ругается - проверяет и даёт дельные советы.
Цитата: «Все проверки проводятся удаленно, без необходимости установки программного обеспечения и используют ту же общедоступную информацию, которую киберпреступники используют для поиска легких целей».
Утилиты: https://emailsecuritycheck.service.ncsc.gov.uk
Пост в блоге: https://www.ncsc.gov.uk/blog-post/cyes-protect-customers