​🔝🔐Десктопная версия Telegram не шифрует сохраняемый контент

• Натаниэль Сачи (Nathaniel Suchy), студент-технолог Общественного технического университета округа Уэйк в Северной Каролине, обнаружил, что версия Telegram для настольных компьютеров записывает сообщения пользователей на жесткий диск в незашифрованном виде. По его словам, мессенджер «использует несколько сложную для чтения, но тем не менее незашифрованную базу данных SQLite для хранения сообщений».

• Основатель Telegram Павел Дуров отказался признавать находку Натаниэля Сачи уязвимостью. «C технической точки зрения, утверждение заявившего о мнимой уязвимости сводится к следующему: «Если бы у меня был доступ к Вашему компьютеру, я бы смог прочитать Ваши сообщения». Само по себе это утверждение очевидно, но его завуалированное описание позволяет запутать человека, далекого от технологий, — заявил бывший руководитель «ВКонтакте».

#Telegram #Безопасность

​💣 Центральный банк России хочет самостоятельно блокировать сайты

👥• Центральный банк России пытается добиться права на самостоятельную блокировку веб-ресурсов, на страницах которых размещена информация о мошеннических организациях. Соответствующий документ подготовили представители регулятора.

🛡• Предложение законодательно закрепить за Центробанком право блокировать сайты подано в концепции противодействия недобросовестным действиям на финансовом рынке.

⚔️• «В рамках борьбы с кибермошенничеством Банк России намерен развивать деятельность по совершенствованию нормативно-правового регулирования, обеспечивающего защиту информации при предоставлении финансовых сервисов в сети Интернет».

⚔️• «В частности, предполагается законодательно закрепить полномочия Банка России по блокированию сайтов сети интернет, распространяющих информацию о деятельности организаций, осуществляющих мошенническую деятельность под видом предоставления финансовых услуг», — гласит документ.

🤦🏼‍♂️• Регулятор рассчитывает, что новые полномочия помогут ему в борьбе с неправомерными финансовыми операциями и атаками в цифровом пространстве.

☝🏼• Еще один интересный момент в инициативе ЦБ — обязать поисковики присваивать сайтам финансовых организаций специальное обозначение.

👀• Пару недель назад Банк России и «Ростелеком» представили первое мобильное приложение, позволяющее удаленно идентифицировать клиентов банков.


#ЦБ #Блокировка #Безопасность

​Средства криптографической защиты информации (СКЗИ)
13 ноября 2018 года, 10:00 МСК

​🍔⛽️🛍💸Система лояльности или как жить бесплатно

• Система лояльности — одна большая дыра. Проведя некоторые эксперименты, мы пришли к выводу, что большое количество сайтов, где используется такая система, напрочь лишено логики при попытке ее использовании.

• Кулхацкеры могут бесплатно питаться, одеваться, кататься на авто, летать по городам, ну и многое другое.

• Конечно, кто-то смог внедрить хоть простую, но защиту, а кто-то представляет себе интернет в таком виде

​Системы обнаружения вторжений
15 ноября 2018 года в 10:00 МСК

​💣🔥🔝 Мессенджеры обяжут проверять личность пользователей

• Правительство подготовило новые правила проверки пользователей мессенджеров, в соответствии с которыми этими приложениями сможет пользоваться только тот человек, на которого оформлен номер телефона. Об этом сообщают «Известия» со ссылкой на проект соответствующего постановления.

• Мессенджеры будут передавать сотовым операторам информацию о своих клиентах для подтверждения личности. На ответ оператору связи отводится 20 минут. Если данные о пользователе совпадут с информацией в базе компании, идентификация будет считаться пройденной. Мессенджер присвоит абоненту уникальный код, который сотовые компании будут вносить в свои базы данных. Также операторы будут обязаны хранить сведения о том, какими мессенджерами пользуется человек.

• Если же сотовый оператор не обнаружит в базе номеров такого клиента, пользователю откажут в идентификации. В этом случае он не сможет воспользоваться услугами мессенджера. Также верификация будет провалена, если компания будет искать информацию об абоненте дольше 20 минут. Если пользователь сервиса сообщений поменяет информацию о себе или оператора связи, он должен будет пройти идентификацию повторно. За неисполнение этих правил для владельцев мессенджеров предусмотрена административная ответственность.

• Как пояснил глава Роскомнадзора Александр Жаров, такие меры необходимы для обеспечения безопасности граждан. «Возможность анонимной коммуникации в мессенджерах затрудняет деятельность правоохранительных органов при расследовании преступлений. Нынешнее постановление правительства — необходимый шаг к созданию безопасной коммуникационной среды как для граждан, так и для государства в целом», — подчеркнул Жаров.

​💣🔥🔝Вместе с личными данными сотрудников Сбербанка в Сеть утекли и служебные документы.

Около полутора недель назад стало известно об утечке имен и адресов электронной почты 420 тысяч сотрудников Сбербанка.

В том же файле, который б опубликован на одном из форумов и изучен специалистами, оказались нне только персональные данные сотрудников кредитной организации, но и ее служебные документы. 🤦🏼‍♂️

«Они относятся к интеграции процессов разработки и эксплуатации программного обеспечения», — объяснил изданию Алексей Раевский, генеральный директор компании Zecurion

🤦🏼‍♂️Глава службы информационной безопасности банка из топ-30 подтвердил это, отметив, чтчто документы — черновик проекта по конкретной системе. 😆

При этом оба собеседника издания сошлись во мнении, что, вероятнее всего, служебные документы Сбербанка оказались в свободном доступе в Сети не в результате спланированной атаки, а вследствие неосторожности одного из его сотрудников, который пересылал эти файлы с рабочего компьютера на домашний.

В пресс-службе кредитной организации ранее уже отмечали, что инфосистемы Сбербанка не были взломаны. 🤔

​💣 👍Google запускает reCAPTCHA v3 — действия юзера теперь не требуются

• Google выпустила очередное обновление своей технологии reCAPTCHA, которую используют для борьбы с ботами с 2007 года. Новая версия — reCAPTCHA v3 — является полностью пересмотренной системой, к которой мы ранее привыкли.

• Одним из плюсов новой версии оказалось отсутствие необходимости участия пользователя в процессе. То есть это не будет похоже ни на reCAPTCHA v1, где все пытались распознать текст на картинке, ни на reCAPTCHA v2, где всех раздражали бесконечные клики на изображениях (отнимали порой по 2-3 минуты).

• Таким образом, reCAPTCHA v3 будет использовать новую технологию Google, которая способна распознать и выучить нормальный трафик веб-сайта и поведения пользователя. В корпорации заявили, что активно изучают, насколько часто пользователи взаимодействуют с ресурсом и его секциями.

• В результате такой подход позволит выявить ненормальное поведение, присущее ботам и вредоносной активности в целом. Посетители сайта будут наделены некими «очками риска», которые будут присваиваться на основе источника и действий, которые они хотят совершить на сайте. Очки будут в диапазоне от 0.1 (плохой) до 1 (хороший).

• Администраторы ресурсов смогут сами для себя решить, как поступать с тем или иным статусом. Это можно сделать, добавив тег «action» на свои страницы или на целую секцию страниц, которые владельцы сайтов хотят защитить. Эти теги позволят Google автоматически применять действия.
Вся система намного сложнее, чем предыдущая reCAPTCHA v2, но у владельцев сайтов было достаточно времени для ее тестирования — с мая прошлого года. reCAPTCHA v3 будет официально доступна уже на этой неделе, больше информации о ней можно найти на официальном сайте Google.



#Google #Обноления

​🔥🔒VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.

• Результаты проверок файлов сервисом не зависят от какого-то одного производителя антивирусов. В VirusTotal используется несколько десятков антивирусных систем, что может позволить делать более надёжные выводы об опасности файла, по сравнению с каким-то одним продуктом, выявлять ложные срабатывания какого-то одного антивируса либо, наоборот, несрабатывания на свежую угрозу, возможно, уже внесённую другими производителями в свои базы.

• У компаний-разработчиков антивирусного программного обеспечения существуют собственные классификации и номенклатуры вредоносных программ, поэтому при проверке файла антивирусы на Virustotal могут выдавать разные результаты, например, одни антивирусы посчитают файл опасным, а другие - безопасным.

• Антивирусы на Virustotal не гарантируют 100%-го отсутствия вредоносного кода в файле.

• Все используемые сервисом антивирусные базы постоянно обновляются. В результатах проверки указываются даты последних обновлений всех баз.

• После загрузки файла система вычисляет его хэш и при наличии результатов проверки файла с таким же хэшем предлагает либо просмотреть последний анализ (указав дату первой и последней проверки), либо повторить анализ.

• Сервис постоянно развивается, постоянно подключаются новые сканеры (антивирусы и антитрояны).
VirusTotal отсылает подозрительные файлы производителям антивирусов на анализ.



#Информационнаябезопасность

​💣💣💣 Роскомнадзор на пороге внесения IPv6 записей в реестр запрещённых сайтов

• Компания Carbon Soft выпустила новую версию DPI (deep packet inspection) решения для фильтрации трафика псо спискам Роскомнадзора для операторов связи и интернет-провайдеров.

• С 1 ноября произошли существенные изменения. Роскомнадзор изменил формат выгрузок для операторов связи, теперь там присутствует формат для IPv6 записей. Разработчик ПО добавил поддержку нового типа реестра, унифицировал файрвол, добавил поддержку анонсирования IPv6-адресов по BGP (один из способов фильтрации трафика).

• В данный момент IPv6 записей в реестре ещё не добавлено. Вероятно, они появятся в ближайшие дни, так как весь механизм государственное ведомство уже подготовило.

• Что значат эти изменения для рядовых абонентов? Даже пользуясь IPv6-адресом для выхода интернет, пользователю не удастся посетить запрещённые в России сайты.


#Роскомнадзор #Блокировки #Безопасность

​💣☑️🤦🏼‍♂️Бурятская полиция затребовала IP-адреса критикующих власть комментаторов

• Правоохранительные органы Бурятии затребовали у местного издания IP-адреса пользователей, критикующих местных чиновников. С соответствующим заявлением сотрудники отдела «К» ГУ МВД по Бурятии обратились в редакцию «Номер один», на страницах которой посетители оставляли критикующие комментарии.

• Об этом сообщило само издание, которое пишет следующее:
«7 ноября в адрес редакции сайта "Номер один" поступили сразу два письма из МВД Бурятии. Одно из них пришло из Центра по противодействию экстремизму, второе – из отдела «К». Оба они касались одной статьи, вернее, комментариев, оставленных под ней читателями нашего сайта. Стражи порядка потребовали предоставить им IP-адреса комментаторов».

• В «Номер один» объяснили, что дело касается публикации под названием «Правительство Бурятии потратит миллионы на обновление автопарка и мебели», в ней, помимо всего прочего, говорилось о закупке дорогих машин и мебели для чиновников.

• Само собой, такая информация встретила резкий негатив со стороны простого населения, комментаторы тут же начали выражать свой гнев. В редакции, кстати, отметили, что нарушения законодательства в проблемных высказываниях выявлено не было. Этой же точки зрения придерживается Роскомнадзор. Но представители Центра по противодействию экстремизму считают иначе — было высказано мнение, что подобные комментарии «склоняют к воспрепятствованию деятельности государственных органов власти».

• 🤷🏼‍♂️«В отделе "К" вообще никак не обосновали свое требование, сославшись лишь на законы "О полиции" и "Об оперативно-розыскной деятельности"»

#Безопасность #ОтделК #IPПользователей

​💣🔥Роскомнадзор в течение года запустит новую систему веб-фильтрации

• Глава Роскомнадзора Александр Жаров сообщил, что ведомство в течение года запустит новую систему веб-фильтрации, которая позволит более успешно блокировать незаконный контент вроде детской порнографии, продажи наркотических препаратов, пропаганды терроризма и суицида.

• Жаров согласился с тем, что Роскомнадзор чаще отстает в своих действиях, а запрещенные материалы продолжают быть доступными рядовому пользователю. Глава ведомства видит решение вопроса в блокировке информации на том этапе, пока она еще не распространилась на просторах Сети.

«Полагаю, что ситуацию в течение года изменится. Мы сейчас работаем над абсолютно новой системой фильтрации и блокировки запрещенного контента, в течение года, думаю, она заработает», — заявил Жаров.


#Роскомнадзор #Блокировки #Безопасность

​☑️🔝МВД будет мониторить посты людей в ВК, ища экстремистский контент

• Министерство внутренних дел выступило с инициативой создания специальной поисковой системы, которая будет использоваться для мониторинга постов в социальных сетях. Планируется разработать программу, которая возьмет на себя анализ постов на экстремизм. Нюансом является анализ даже удаленных публикаций.

• Одним из шагов в этом направлении станет создание для «ВК» специальной базы данных, куда занесут всю информацию об учетных записях пользователей с октября 2006 года. В БД будут находиться все контакты, личная информация, пост и репосты, комментарии, фотографии и видео.

«Программы должны обеспечивать обновление данных, предполагающее дозагрузку данных (контента, данных и метаданных пользователей, размещенных в открытом доступе социальной сети «ВКонтакте»). Обновление должно осуществляться ежесуточно в автоматическом режиме», — сказано в тексте закупки.

#МВД #Мониторинг #Безопасность

​ВКонтакте опубликовала правила выдачи персональных данных пользователей

• Социальная сеть «ВКонтакте» опубликовала правила взаимодействия с правоохранительными органами по части предоставления персональной информации пользователей. Согласно этим правилам, структуры могут запросить номер телефона, адрес электронной почты, время размещения спорного контента и другие данные без соответствующего решения суда.

• Ознакомиться с новыми правилами социальной платформы можно в специально созданном разделе. Узнать все вышеозначенные данные могут: прокуратура, МВД, ФСБ, Роскомнадзор, Федеральная антимонопольная служба и некоторые другие органы.

«К сожалению, уведомлять пользователей о поступивших запросах в большинстве стран мира, включая Россию, запрещено. В России мы, как и другие сервисы, ограничены ст. 12 Федерального закона 144-ФЗ «Об оперативно-розыскной деятельности», п. 15 Постановления Правительства РФ № 759 от 31 июля 2014 года и ст. 161 Уголовно-процессуального кодекса. Сам факт получения запроса относится к конфиденциальным данным, мы не вправе их раскрывать», — отметили в «ВК».

​💣🛡💸Хакеры придумали новый способ кражи денег из банкоматов

• Специальный вирус даёт команду машинам выдавать злоумышленникам неограниченные суммы денег.

• Эксперты компании Symantec обвинили хакеров из группировки Lazarus в похищении десятков миллионов долларов из банкоматов. Кража средств осуществляется благодаря специальному трояну.

• По словам специалистов, преступники взломали сеть из банкоматов в 30 странах и заразили их вирусом Trojan.Fastcash. Данный вирус имитирует сигнал от банка, разрешающий снимать деньги, и выдаёт злоумышленникам наличные. По подсчётам экспертов, в результате кибератаки были похищены крупные суммы, порядка десятков миллионов долларов.

• Хакеров из Lazarus обвиняют не только в краже денег из банкоматов. Ранее эксперты назвали злоумышленников причастными, например, к распространению вируса WannaCry и масштабной краже криптовалюты в Южной Корее.


#Банкоматы #Безопасность #Вирусы

​Доброго времени суток, Господа!

🛡👨‍👩‍👧‍👦 Краткая информация для родителей, по безопасности детей в сети.

​💣🔥Реальные случаи взломов и что помогло бы защититься
20 ноября 2018, 11-00 МСК 🔝

​💣🔥🤦🏼‍♂️МФЦ допускает утечки персональных данных Россиян
💿 ⏳Берем USB-флешку и идём в МФЦ для сбора копий паспортов, СНИЛСов и прочих документов. Ведь их никто не удаляет с компьютеров, да и зачем?

•🤷🏼‍♂️ Такое положение безалаберное положение вещей со стороны государственных учреждений в области обработки и хранения персональных данных граждан России недопустимо.

• Роскомнадзор большей частью фиктивно печется о сохранности личных данных россиян, наказывает отдельные коммерческие компании, но не обращает внимание на положение дел в государственном секторе по данной теме.

• Никто из чиновников не несет ответственности за риски утечек и даже не стоит вопрос о порядке компенсации гражданам в случае выявления такого безответственного отношения к персональным данным со стороны гослиц.

• Для госорганов как будто это мёртвая зона, когда дело касается порядка хранения и ответственности за нарушения в крайне чувствительной для граждан области личных данных.

• Данные без проблем можно продать через интернет, а мошенники могут использовать их как для рекламных рассылок, так и для получения микрозаймов в МФО.​

• Добиться компенсации в случае ущерба от использования персональных данных граждан с общих компьютеров МФЦ не так просто. Компенсация возможна лишь в случае, если удастся доказать прямую связь между сканированием документов в МФЦ и полученным ущербом, что практически нереально.

• 😀🤔Скорее суд увидит в действиях самого человека небрежное отношение к документам.


#Безответственность #Законипорядок #Данныедлявсех

​🔥🛡Обнаружение и предотвращение компьютерных атак

☑️ 🏢В рамках выставки INFOSECURITY RUSSIA состоится секция "Обнаружение и предотвращение компьютерных атак"
22 ноября с 10.00, зал В, КВЦ "Сокольники" Павильон 4.1


#Безопасность #Защита #Обнаружение

​В России ввели запрет на анонимное пользование мессенджерами