Информационные технологии. Выпуск № 4 | Апрель 2016 года

Новости

Ежемесячная подбор­ка новостей из области информацион­ных техноло­гий

Выпуск № 4 | Апрель 2016 года

18 апреля

Следственный комитет РФ предлагает усилить цензуру в Интернете

Председатель Следственного комитета РФ Александр Бастрыкин в статье, написанной специально для журнала «Коммерсантъ Власть», озвучил концепцию официальных представителей власти касательно действий, предпринимаемых в так называемой информационной войне. Бастрыкин, в частности, предложил несколько мер по ужесточению контроля над Интернетом (усиление слежки за интернет-пользователями, контроль онлайн-СМИ, запрет криптовалют, ужесточение цензуры).

Трехлетнее хранение содержимого звонков будет стоить отрасли не менее $60–70 млрд

В рамках действий по противодействию терроризму 7 апреля депутат Госдумы РФ Ирина Яровая и член Совета Федерации Виктор Озеров предложили внести несколько поправок в федеральное законодательство, среди которых была поправка к закону «О связи». Согласно законопроекту, операторам предстоит три года хранить звонки и сообщения абонентов, «а также изображения, звуки и иные сообщения пользователей».

«Наша система безопасности будет сканировать лицо каждого пассажира»

Начальник Московского метрополитена Дмитрий Пегов дал интервью корреспонденту «Известий», где, в частности, сообщил о будущих изменениях в системе безопасности данного вида городского транспорта. В частности, Пегов рассказал, что на всех входах на станции метрополитена и на всех платформах до конца 2016 года планируется установить специальные камеры, которые будут сканировать лицо каждого человека.

 

18 апреля

В Евросоюзе приняли новый закон о защите данных

Европарламент ратифицировал закон о защите персональных данных — после более четырех лет интенсивного обсуждения законопроекта Советом Европы и представителями бизнеса и гражданского общества. Последняя редакция Общеевропейского закона о защите данных была наконец одобрена Комитетом гражданских свобод в Европарламенте, а также министерствами юстиции и внутренних дел.

 

19 апреля

Российские власти решили взять под контроль шифрованный интернет-трафик

Национальный антитеррористический комитет примет меры по контролю шифрованного интернет-трафика и сервисов типа FireChat. Представители отрасли опасаются, что такие действия комитета могут привести к утечке персональных данных граждан.

 

27 апреля

Мизулина: использование Интернета — отягчающее обстоятельство при совершении преступлений

Зампредседатель комитета Совета Федерации по конституционному законодательству Елена Мизулина выступила с новой инициативой изменения российского законодательства. На недавно прошедшемФоруме безопасного Интернета Мизулина сообщила, что в ближайшее время Совет Федерации подготовит законопроект, в котором использование Интернета при совершении преступлений будет считаться отягчающим обстоятельством. Соответствующие поправки планируют внести в ст. 63 УК («Обстоятельства, отягчающие уголовное наказание»).

 

28 апреля

Роскомнадзор предложил отдельно регулировать мобильный Интернет

Глава Роскомнадзора заявил, что в ведомстве считают необходимым создание возможностей для контроля и регулирования Интернета на мобильных устройствах.

 

30 апреля

Верховный суд США разрешил обыск компьютеров в любой юрисдикции

Верховный суд США утвердил поправки к Правилу 41 в федеральные правила уголовного судопроизводства, которые разрешают судам низшей инстанции выдавать ордеры на обыск (взлом) компьютеров в любой юрисдикции, то есть в любой стране мира. Решение принято несмотря на сильную оппозицию со стороны технологических компаний и правозащитных организаций. Они считают, что это чрезмерно расширяет полномочия ФБР, а также открывает возможность для необоснованных обысков.

 

Наверх

Законодательство и рекомендации регуляторов

6 апреля

Не называй меня по имени: криптовымогатель распространяется в электронной почте с точными данными получателя

Фишинг существует уже много лет, это один из наиболее популярных приемов, который используют злоумышленники для получения каких-либо данных пользователей Сети. Существует интересная разновидность технологии — целевой фишинг (spear phishing). Атаки такого рода ограничены по масштабу, поскольку обычно данные пользователя, которые можно использовать для целевого фишинга, достать не так просто (если речь идет о топ-менеджерах, высокопоставленных чиновниках и т.п.). В течение многих лет целевой фишинг применялся только в случае, если выгода от получения определенной информации была выше трудовых и финансовых затрат злоумышленников по получению личных данных пользователей. Но теперь ситуация изменилась.

 

11 апреля

Google предупредил журналиста о возможном взломе почты, с которой он писал только ВТБ

Google предупредил журналиста Романа Шлейнова о возможной попытке взлома спецслужбами его почтового ящика. По словам Шлейнова, с этого адреса он отправлял только запросы ВТБ.

 

16 апреля

Facebook будет автоматически отмечать людей на видео

Facebook активно разрабатывает свою систему искусственного интеллекта для распознавания образов на фотографиях и теперь работает над внедрением данной технологии в видео. На конференции F8 в Сан-Франциско представитель Facebook рассказал о том, что в компании есть отдельная команда, которая работает над функцией, позволяющей автоматически отмечать людей на видеороликах.

 

17 апреля

Приложение Uber запросило доступ к истории браузера, закладкам и запущенным приложениям

После обновления мобильного приложения Uber для Android до версии 3.98.2. пользователи программы сразу обратили внимание, что Uber запрашивает доступ к истории посещаемых страниц в браузере, закладкам и запущенным приложениям.

 

27 апреля

Уязвимость Facebook позволяла захватывать аккаунты на других сайтах

Компания Bitdefender обнаружила опасную уязвимость в процессе регистрации учетных записей в Facebook. С ее помощью злоумышленники могли захватывать чужие учетные записи на сайтах, которые позволяют логиниться при помощи Facebook Social Login.

 

28 апреля

ФБР получило ПО для идентификации пользователей Tor от бывшего разработчика Tor

Команда Tor Project, занимающаяся разработкой одноименной системы для анонимной работы в Сети, заявила о том, что бывший сотрудник проекта создал «ключ» для спецслужб. Это специальное программное обеспечение, помогающее спецслужбам идентифицировать пользователей системы. «Мы узнали, что Мэтт Эдман, работавший в Tor Project до 2009 года, получил работу от ФБР, его задачей было создать анти-Tor malware», сообщили представители команды проекта онлайн-СМИ Dalily Dot.

 

Наверх

Обезопась себя сам

Финансовый сектор
 

1 апреля

Мошенники стали чаще красть деньги россиян с помощью интернет-банков

ЦБ РФ отметил рост числа мошеннических операций по банковским карточкам, совершенных дистанционно. Большинство таких транзакций было выявлено после их проведения, когда остановить утечку денег со счетов было уже невозможно.

 

7 апреля

Клиентам Сбербанка придется чаще звонить в call-центр

Сбербанк первым среди российских банков ввел дополнительный контроль при осуществлении клиентами денежных переводов и платежей через интернет-банк. Чтобы подтвердить операцию, гражданам нужно позвонить в call-центр банка и сообщить так называемую контрольную информацию. Это набор букв и цифр, который клиент самостоятельно устанавливает в офисе банка по заявлению. Эксперты считают, что клиенты будут нервно реагировать на нововведение, поэтому при введении новых мер безопасности важно соблюсти баланс между защитой и удобством.

 

12 апреля

Суд в Москве приговорил семерых хакеров к длительному заключению за взлом сайтов банков
Замоскворецкий суд Москвы признал семерых хакеров виновными во взломе ряда сайтов банков и приговорил их к наказанию от 5,5 до 8 лет заключения. Хакеры осуществляли неправомерный доступ к охраняемой законом компьютерной информации, осуществляли взломы сайтов, размещали вредоносные программы и т.п. Ущерб от действий подсудимых составил более 25 млн рублей.

 

25 апреля

«Кибермошенники стали переключаться на корсчета банков»

Замначальника главного управления безопасности и защиты информации Центробанка Артем Сычев рассказал «Известиям», почему кибермошенники в этом году сменили свои приоритеты, какие поправки необходимо внести в действующее законодательство о национальной платежной системе, как россиянам защититься от хакеров и где учатся лучшие специалисты по кибербезопасности.

Кражу 81 млн долларов у бангладешского ЦБ связали с уязвимостью в системе SWIFT

Хакеры, укравшие $81 млн у Центрального банка Бангладеш, вероятнее всего воспользовались уязвимостью в SWIFT, которой пользуются тысячи финансовых институтов. Она позволяла стирать записи о недозволенных переводах.

 

27 апреля

Устаревшее ПО — одна из главных причин уязвимости банкоматов

Об этом говорится в отчете «Лаборатория Касперского» «Джекпот в банкомате: зловреды и другие способы обогащения», рассказывающем о проблемах безопасности современных программно-технических комплексов, предназначенных для выдачи и приема наличных денежных средств. В частности, большинство банкоматов до сих пор базируются на Windows XP. А это значит, что новые уязвимости этих систем никогда не будут устранены.

 

29 апреля

В Москве похитили студента, чтобы он написал банковский троян

Студент третьего курса МАДИ был похищен преступниками, которые пытались заставить молодого человека написать программу, предназначенную для мошенничества с банковскими картами. Полицейскими уже задержаны пять подозреваемых.

 

30 апреля

Три новых банковских трояна для Android пытаются занять нишу GM bot

Исследователи IBM X-Force рассказали, что автор популярного мобильного банкера GM Bot недавно был заблокирован на крупнейших торговых площадках даркнета из-за конфликта с покупателем. В отсутствие главного конкурента авторы трех других троянов для Android теперь борются за лидерство на черном рынке.

 

Интернет и телекоммуникации

 

2 апреля

Как китайские мошенники чуть не ограбили Барби на 3 миллиона долларов

Недавно стали известны детали аферы, которую в прошлом году почти удалось провернуть мошенникам из Китая. Их жертвой могла бы стать американская компания Mattel, известный производитель игрушек, а уловом — $3 миллиона.

 

15 апреля

rm -rf: легкий способ уничтожить свой интернет-бизнес и свою репутацию

Недавно пользователь сайта Serverfault разместил на ресурсе интересный вопрос. Марко Марсала (Marco Marsala) спросил у других пользователей, можно ли после запуска команды rm -rf {foo}/{bar} оперативно восстановить данные. Как оказалось, Марсала является владельцем небольшой хостинг-компании, обслуживающей около 1500 клиентов. Для управления данными и автоматизации процессов он использовал Ansible.

 

16 апреля

Взломавшие iPhone террориста хакеры не спешат делиться секретами

В ближайшее время мы точно не узнаем, как был взломан iPhone террориста, из-за которого Apple долго судилась с ФБР. Иск был отозван после того, как телефон был взломан без содействия Apple. Источники из администрации президента США поделились с агентством Reuters информацией о том, что взломавшая телефон организация владеет эксклюзивным правом на этот метод.

 

19 апреля

Утечка документов с личными данными пассажиров РЖД и «Аэрофлота»

Хакерская группа Hello Kitty сообщила, что в открытом доступе на сайте traveladmin.ru лежит около 3500 документов с личными данными клиентов.

 

26 апреля

За два месяца DDoS-вымогателям, которые на самом деле никого не ддосят, выплатили $100000 «отступных»

Вымогательство — давний «бизнес». Настолько давний, что отследить историю появления этого вида преступлений просто невозможно. Но уже в наше время появилась новая разновидность вымогательства, которую используют киберпреступники. Это так называемое DDoS-вымогательство.

 

27 апреля

Германия создаст «кибервойска»
Компьютерные сети Германии подвергаются киберугрозам бесчисленное количество раз за день. Хотя серьезные повреждения являются редкостью, министр обороны фон дер Лайен хочет лучше оснастить бундесвер против цифровых угроз.

 

28 апреля

Интерпол просит МВД России помочь в борьбе с хакерами

В МВД России обсуждается вопрос взаимодействия различных департаментов министерства при поступлении запросов из Интерпола на раскрытие преступлений в сфере высоких технологий. Об этом заявил представитель Национального центрального бюро Интерпола России Вадим Сущик.

 

29 апреля

Веб-клиент Telegram был уязвим перед кликджекингом

Не можешь атаковать шифрование ― ищи проблемы в клиенте. Именно таким принципом руководствовался египетский исследователь Мохамед А. Басет, когда искал возможность скомпрометировать Telegram. Данная тактика принесла плоды: Басет обнаружил уязвимость в веб-клиенте популярного мессенджера.

 

Промышленность и услуги

 

13 апреля

Uber выдал властям США данные о 12 млн пользователей и опубликовал свидетельство канарейки

Uber последовал примеру 60 других технологических компаний и опубликовал свой первый Transparency Report со статистикой по количеству запросов от государственных органов и регуляторов на получение информации о пользователях компании. Опубликованная статистика немного шокирует. В период с июля по декабрь 2015 года фирма выдала различным регуляторам данные о более 12 миллионах пассажиров и водителей. Это примерно 3,7% населения США. Возможно, речь идет вообще обо всех пользователях Uber в США (статистику по другим странам компания пока не публикует).

 

20 апреля

Датчики дорожного движения, следящие за дорогами Москвы, легко взломать

Исследователь из «Лаборатории Касперского» продемонстрировал полную незащищенность датчиков дорожного движения, которые собирают информацию о загрузке московских дорог для Центра организации дорожного движения. Злоумышленник может подключиться к ним, изменить собранную датчиками информацию и даже загрузить новую прошивку.

 

22 апреля

Исследователь взломал Facebook и обнаружил чужой вредоносный скрипт
Исследователь Оранж Цай (Orange Tsai), консультант DevCore, искал уязвимости в сервисах Facebook, желая поучаствовать в bug bounty программе компании. Однако вместо какой-нибудь XSS уязвимости, исследователь обнаружил бэкдор неизвестного злоумышленника, который собирал учетные данные сотрудников Facebook.

 

Наверх

Информационные статьи

16 апреля

Угнано за шесть символов. Сокращатели ссылок поддались брутфорсу

Сокращатели ссылок вроде bit.ly, goo.gl и другие генерируют ссылки с токеном из 5, 6 или 7 символов. Как выяснилось, этого слишком мало, так что все адресное пространство можно сбрутфорсить. Профессор Виталий Шматиков из Корнелльского технологического университета с коллегой, независимым исследователем Мартином Георгиевым, просканировали адресное пространство сокращенных ссылок — и нашли немало документов на облачных хостингах.

 

24 апреля

Иранцы нашли оригинальный способ обойти государственную цензуру

Власти Ирана проводят очень жесткую политику по фильтрации Интернета. В стране заблокированы YouTube, Facebook, Twitter, Google+ и сотни других популярных информационных сайтов, социальных сетей, спортивных сайтов, новостных ресурсов, интернет-магазинов и проч. Вообще, из 500 самых популярных сайтов интернета в Иране заблокировано почти 50%. После кибератаки Stuxnet в 2012 году государственные власти с большим подозрением относятся к западным технологиям, фильтруют интернет-трафик, а также приступили к организации самодостаточного «внутреннего интернета», изолированного от внешней Сети, запрету иностранных почтовых сервисов и иностранного программного обеспечения.

 

25 апреля

Спамеры научились обманывать защиту сайтов невидимыми буквами

Специалисты компании Sucuri, занимающейся защитой сайтов от вторжений и DDoS-атак, обнаружили необычную разновидность спама, появляющегося на взломанных сайтах. Чтобы скрыться от фильтров, он возрождает полузабытые трюки, которые были в ходу у поисковых оптимизаторов двадцать лет назад.

 

28 апреля

Хакеры из группы Platinum обратили систему обновлений Windows против самой ОС

Исследователи команды Windows Defender Advanced Threat Hunting рассказали об обнаружении новой APT-группы хакеров — Platinum. По данным специалистов, группировка активна как минимум с 2009 года и атакует в основном организации в странах Южной и Юго-восточной Азии. Группа не только применяет в своих кампаниях разные 0-day уязвимости, но и демонстрирует инновационные техники атак, к примеру, технику hotpatching.

Хакеры используют для атак легальный инструмент

Согласно сведениям «Лаборатории Касперского», ряд российских и зарубежных сайтов подверглись атакам со стороны различных хакерских группировок, которые использовали один и тот же легальный инструмент. Фреймворк BeEF был разработан для тестирования безопасности браузеров и широко используется в отрасли. Однако его возможности пригодились злоумышленникам: они используют BeEF для проведения атак типа watering hole.

 

Наверх

Узнай новое. Технологии и методы защиты информации

April 1

Artist using museums to amplify Tor’s anonymity network

For the past few years, Trevor Paglen has been at the vanguard of a movement of fine artists who have led gallery-goers to grapple with the realities of online privacy and government spying. Now he has gone beyond using museums to merely observe and study surveillance – he is enlisting those same institutions to fight it.

 

April 2

Cyber security fail at water treatment systems

In March 2016, Verizon investigated several cyber attacks; according to their data breach digest, one of them was aimed at the systems of Kemuri Water Company.

 

April 6

Apple lock-screen flaw lays open contacts and photos

A security flaw on the iPhone 6S and 6S Plus has recently been discovered; it allows for an unauthorized access to the phone via Siri and Twitter.

 

April 11

Tens of millions of desktops still run Windows XP

Microsoft ended support for Windows XP two years ago, but millions of desktops still haven’t been upgraded.

 

April 14

Personal data of 50 million Turkish citizens including president leaked online

The database of a massive leak posted online claims to contain the personal data of almost 50 million Turkish citizens, including the country's president, Recep Tayyip Erdogan, his predecessor Abdullah Gul and Prime Minister Ahmet Davutoglu.

 

April 18

MIT is teaching AI how to help stop cyberattacks

Finding evidence that someone compromised your cyber defenses is a grind. Sifting through all of the data to find abnormalities takes a lot of time and effort, and analysts can only work so many hours a day. However, AI never gets tired, and can work with humans to deliver far better results.

MoD email blunder leaks secret NATO report

The Ministry of Defense (MoD) has been left red-faced after it was discovered that an administrative error led to the accidental leak of a secret NATO document detailing ongoing military exercises.

 

April 22

Adobe customers may have to stick with buggy QuickTime

AThis week, Apple finally admitted that it has ceased supporting QuickTime for Windows. Some Adobe customers will have to stick with the flawed software or risk not being able to use their Adobe products.

 

April 25

US presidential primary apps leak sensitive data

As the 2016 presidential primaries have progressed, the number of presidential primary apps installed on mobile devices has grown considerably, becoming more prevalent than ever. And that’s a bit of a problem considering that most of them leak personal data about their users.

 

April 26

'Blackhole' exploit kit creator sentenced to 7 years

Dmitry Fedotov, a Russian national who created the infamous Blackhole exploit kit, was sentenced to 7 years in prison by a Moscow court. Known as the “paunch” in the cybercrime world, Fedotov, along with his seven accomplices, was arrested in October 2013 for his involvement in a criminal organization.

 

April 28

Critical hole at the heart of our cell phone networks

The U.S. ambassador to Ukraine suffered an embarrassing leak. A secret conversation between him and the U.S. Assistant Secretary of State, Victoria Nuland, was posted on YouTube, in which Nuland spoke disparagingly about the European Union.

 

May 1

FBI paid $1.3 million for hacking an iPhone

Apple's war with the USA over the decryption of the iPhone came to halt when the director of the FBI revealed that they paid at least $1.3 million to an undisclosed group of hackers to hack the encrypted iPhone used by an attacker in the mass shooting in San Bernardino, California.

 

Back to the top

Foreigner’s corner

Эта информация была полезна для вас?