Информационные технологии. Выпуск № 8−9 | Август — сентябрь 2017 года

Новости

Ежемесячная подборка новостей из области информационных технологий

Выпуск № 8−9 | Август — сентябрь 2017 года

Законодательство и рекомендации регуляторов

3 августа

Роскомнадзор определил порядок удаления ссылок на «зеркала» пиратских сайтов

Роскомнадзор разработал проект приказа, устанавливающего порядок взаимодействия ведомства с операторами поисковых систем для удаления ссылок на копии («зеркала») заблокированных пиратских сайтов.

 

12 августа

В РФ утвержден новый стандарт безопасности банковских операций

Национальный стандарт будет введен с 1 января 2018 года согласно приказу Росстандарта от 8 августа 2017 года.

 

14 августа

В ближайшие 5 лет в России может появиться «цифровое законодательство»

По мнению замминистра экономического развития РФ Саввы Шипова, в течение ближайших пяти лет в России должно быть создано «цифровое законодательство».

 

24 августа

Чайка заявил о шестикратном росте числа киберпреступлений с 2013 года

В России с 2013 по 2016 год количество случаев киберпреступности выросло в шесть раз — до 66 тысяч. Об этом заявил генеральный прокурор России Юрий Чайка на встрече руководителей прокурорских служб стран БРИКС, посвященной вопросам противодействия киберпреступности.

 

29 августа

ЦБ разработал стандарт по аутсорсингу кибербезопасности

Согласно новому стандарту ЦБ РФ по аутсорсингу информационной безопасности, если у банка нет потенциала, необходимого для самостоятельной разработки и апгрейда систем кибербезопасности, он должен передать эти функции сторонней компании, специализирующейся на борьбе с хакерами, то есть на аутсорсинг.

 

4 сентября

В Таджикистане созданы отряды киберполиции

Причиной для создания подразделения киберполиции стали участившиеся случаи вербовки через веб-сайты в ряды террористов граждан республики (только за последний год в Таджикистане было выявлено более 130 человек, контактировавших через веб-сервисы с запрещенными в стране организациями).

 

5 сентября

В Казахстане предложили усилить ответственность за неоповещения об инцидентах в области ИБ на критически важных объектах

Profit.kz изучил и скомпилировал некоторые предлагаемые изменения в законы Республики Казахстан в части информационной безопасности.

 

25 сентября

Этапы внедрения требований «пакета Яровой» будет определять ФСБ

Об этом средствам массовой информации сообщил министр связи и массовых коммуникаций РФ Николай Никифоров: «С каждым оператором, исходя из того, какая у него сеть, ФСБ будет обсуждать этот план внедрения отдельно, потому что есть операторы федеральные, есть региональные, есть совсем маленькие, которые работают вообще, так сказать, в трех селах».

 

26 сентября

Facebook может прекратить работу в России

Facebook прекратит работу в России, если не исполнит закон о персональных данных, это может произойти в 2018 году.

 

27 сентября

Законопроект об удаленной идентификации клиентов банков принят в первом чтении

Депутаты Госдумы приняли в первом чтении законопроект, согласно которому у физических лиц появится возможность открывать банковские счета удаленно.

 

28 сентября

Центробанк хотят наделить правом блокировать мошенническую информацию на сайтах

«Проблема мошеннических сайтов приобретает государственный масштаб. Разработан законопроект по наделению Банка России полномочиями по блокировке размещаемой информации, используемой для мошеннических действий», — пояснили в Центробанке.

 

29 сентября

Правительство допускает идентификацию мессенджерами пользователей без их согласия

При этом подчеркивается, что если мессенджер зарегистрирован на территории России, то он сможет осуществить идентификацию пользователя по абонентскому номеру.

Обезопась себя сам

1 августа

Мобильный банковский троян Svpeng обзавелся кейлоггером

Мобильные банковские трояны семейства Svpeng теперь умеют перехватывать информацию, вводимую пользователем на клавиатуре Android-устройства.

 

10 августа

Microsoft патчит критический баг в поиске Windows и 20+ других

Microsoft закрыла более двух десятков уязвимостей, позволявших удаленно исполнять код на компьютере. Одна из них давала атакующему возможность получить полный контроль над сервером или рабочей станцией через поиск Windows.

 

11 августа

Juniper предупредила о проблеме в роутерах и маршрутизаторах

Компания Juniper Networks предупредила своих клиентов о серьезной уязвимости в графической библиотеке GD, которая может позволить злоумышленнику удаленно взять под контроль систему, работающую под управлением некоторых версий Junos OS.

 

14 августа

Подключение через USB может привести к утечке конфиденциальных данных

USB-соединения, самый распространенный интерфейс для подключения внешних устройств к компьютерам, позволяют перехватывать данные с устройств, подключенных к соседним USB-портам, выяснила группа исследователей из университета Аделаиды (Австралия).

 

16 августа

Троянец Trickbot рассылается под видом писем от известных банков

Исследователи из британской компании My Online Security и Института SANS Internet Storm Center констатируют, что Santander — не единственный банк, чьим именем воспользовались авторы спам-рассылок, и что поддельные домены действительно очень легко спутать с настоящими.

 

17 августа

«Лаборатория Касперского» нашла зловред, атакующий приложения для вызова такси

В новой версии вирус умеет красть финансовые данные пользователей из приложений для заказа такси и оплаты штрафов за нарушение правил дорожного движения, а также сервисов бронирования авиабилетов и гостиниц, сообщают разработчики антивирусов.

 

21 августа

Обнаружен способ обхода экрана блокировки iPhone 7 и iPhone 7 Plus

На YouTube-канале EverythingApplePro появился видеоролик, демонстрирующий устройство для взлома iPhone 7 и iPhone 7 Plus. Небольшой прибор позволяет осуществить брутфорс-атаку и обойти экран блокировки, однако работает только на последних версиях прошивки (iOS 10.3.3 и iOS 11 beta).

 

22 сентября

McAfee назвала самого опасного человека для поиска в Интернете

Компания McAfee, специализирующаяся на антивирусной продукции, выпустила ежегодный отчет о самых опасных знаменитостях для поиска в Интернете. Как пишет Guardian, на этот раз первое место досталось певице Аврил Лавин.

Данный отчет показывает, поиск каких знаменитостей в Интернете наиболее опасен. Информация в Сети о них связана с риском получения вредоносного ПО на компьютер.

 

25 сентября

Криптографические уязвимости в Skype для бизнеса

Недавно специалисты компании GDS обнаружили и раскрыли бреши в приложении Skype для бизнеса, связанные с неправильной обработкой криптографической информации.

 

28 сентября

В Интернете доступны данные 5,7 млн клиентов страховых компаний

На открытых пиратских форумах в Интернете можно приобрести 5,7 млн записей данных россиян — клиентов страховых компаний.

Информационные статьи

7 августа

Хакеры использовали тайпсквоттинг для кражи учетных данных разработчиков

Тайпсквоттинг (обычно используется в значении регистрации доменных имен, близких по написанию с популярными сайтами) — способ заполучить учетные данные разработчиков, которым воспользовались киберпреступники, распространив в онлайн-репозитории NPM зловредный код. По информации, полученной от разработчиков, 40 пакетов оказались заражены и были удалены из репозитория.

На Украине задержали подозреваемого в распространении вируса Petya.A

На Украине задержали подозреваемого в распространении вируса Petya.A.

 

9 августа

Электроэнергетическая инфраструктура Dell, Oracle и Texas Instruments – в открытом доступе

Такие данные, как сведения об электроэнергетической инфраструктуре, являются критически важными и обычно берегутся от глаз посторонних. Однако не в случае с клиентами техасской компании Power Quality Engineering. Среди клиентов фирмы, данные которых утекли в открытый доступ, оказались Dell Technologies, SBC, Freescale, Oracle, Texas Instruments и городская администрация Остина.

В США двух иранцев обвинили в хакерских атаках ради доступа к данным о картах и в мошенничестве

Власти США предъявили заочно обвинения в многочисленных кибератаках и мошенничестве двум гражданам Ирана — Арашу Амири Абедину и Даниалу Джелудару.

 

11 августа

Школьник получил $10 000 за ошибку Google

На баг, принесший ему $10 000, уругвайский школьник Иезекииль Перейра, наткнулся «со скуки».

 

18 августа

Хакер обнародовал ключ дешифрования Secure Enclave в iPhone

Хакер xerub говорит, что ключ разблокирует только прошивку SEP и что это не влияет на пользовательские данные: «теперь все могут посмотреть и потыкать SEP».

 

28 августа

Вредоносная программа Zminer, ориентированная на майнинг криптовалют, размещалась в хранилище Amazon S3

Для загрузки программ, предназначенных для майнинга криптовалюты на скомпрометированных компьютерах ничего не подозревающих пользователей, злоумышленники стали использовать старые проверенные технологии, зарекомендовавшие себя на распространении рекламного ПО, кликеров и шпионских программ.

 

29 августа

Стать киборгом: как бывший ИТ-консультант зарабатывает на вживлении чипов

Бывший ИТ-консультант Амаль Граафстра носит под кожей четыре NFC- и RFID-чипа собственной разработки. Он продает тысячи таких же девайсов «киборгам»-энтузиастам по всему миру, в том числе в России.

 

1 сентября

Хакеры за полгода 2,5 тыс. раз безуспешно атаковали «Ростелеком»

Глава «Ростелекома» Михаил Осеевский заявил, что инфраструктура госоператора и его клиентов за последние полгода подверглась 2,5 тыс. атак со стороны хакеров, однако ни одна из этих попыток не увенчалась успехом для злоумышленников.

 

6 сентября

Двух членов хакерской группы «Шалтай-Болтай» приговорили к трем годам колонии

Мосгорсуд приговорил к трем годам колонии общего режима двух членов хакерской группы «Шалтай-Болтай» — Константина Теплякова и Александра Филинова.

 

8 сентября

Кибермошенники получили доступ к данным 143 млн клиентов компании Equifax

Бюро кредитных историй Equifax в США сообщило о совершенных на его серверы кибератаках, из-за которых пострадали порядка 143 млн клиентов компании.

Полицейские задержали злоумышленников, похищавших деньги через фишинговые сайты

Полицейские задержали злоумышленников, осуществлявших хищения денег с банковских счетов граждан с помощью фишинговых ресурсов.

 

13 сентября

США призвали госучреждения отказаться от ПО «Лаборатории Касперского»

Министерство внутренней безопасности (МВБ) США призвало американские госучреждения отказаться от продуктов разработчика антивирусного программного обеспечения «Лаборатория Касперского».

 

21 сентября

Комиссия по ценным бумагам и биржам США сообщила о взломе своей базы данных

Неизвестные хакеры взломали систему защиты базы данных Комиссии по ценным бумагам и биржам США, в которой хранятся сведения и документы тысяч частных компаний и финансовых организаций.

 

24 сентября

Греческие хакеры атаковали сайт аукциона по продаже жилья должников

Группа хакеров Anonymous Greece на своей странице в Facebook опубликовала послание «греческому правительству», предупредив, что не позволит «иностранным стервятникам» захватывать имущество бедных греков через аукционы.

 

25 сентября

Россиянин проведет почти три года в тюрьме США за кибермошенничество

Один из фигурантов дела о мошенничестве с банковскими картами в США гражданин РФ Дмитрий Федосеев приговорен Федеральным судом Центрального округа Калифорнии к 33 месяцам заключения. Кроме того, по решению суда он обязан возместить причиненный ущерб в 232 тыс. долларов.

 

27 сентября

Европол: интернет-вымогательство — самая большая угроза в сфере киберпреступлений

Европол выделяет мошенничество с платежами и прямые атаки на банковские сети, с помощью которых мошенники получают контроль над картами, банкоматами и счетами, как одну из серьезных возникающих угроз в этой области.

Банки в Казахстане скрывают данные о хакерских атаках — КНБ РК

Спецслужбы считают, что своевременная информированность может помочь вовремя отреагировать на факты мошенничества.

 

28 сентября

РФ вступила в спор с США за арестованного в Греции по обвинению в кибермошенничестве россиянина

Россия и США требуют выдачи арестованного в Греции гражданина РФ Александра Винника. Американцы предъявили ему заочное обвинение в отмывании 4 млрд долларов через криптовалютную биржу BTC-Е.

Более двух тысяч атак на сайт EXPO-2017 отразили в дни выставки

«По результатам совместной работы с КНБ и государственной технической службой мы выявили уязвимые места в защите объектов. Было заблокировано порядка 700 тысяч вредоносных сетевых пакетов на сайт, уничтожено порядка двух тысяч вредоносных программ: вирусы, трояны и прочие», — рассказал заместитель директора по безопасности исполнительной дирекции АО НК «Астана ЭКСПО-2017» Денис Давыдов.

 

29 сентября

Homebank подвергся DDoS-атаке

В Казахстане наблюдается повышенная активность хакеров. Крупнейший коммерческий банк Казахстана Qazkom распространил сообщение о повышенной активности хакеров и атаках на серверы ряда казахстанских банков, включая интернет-портал Homebank.

Узнай новое. Технологии и методы защиты информации

21 августа

Шесть мифов о блокчейне и Биткойне, или Почему это не такая уж эффективная технология

Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского», анализирует тот вариант реализации технологии блокчейн, который используется в криптовалюте Биткойн.

 

28 августа

Доступно о криптографии на эллиптических кривых

В данной серии статей автор знакомит читателей с основами мира криптографии на эллиптических кривых.

 

31 августа

Российское шифрование протестируют на сайте госуслуг

В России начали внедрять российские сертификаты шифрования (SSL) интернет-трафика. Пилотные испытания будут проведены на портале госуслуг и сайтах проектов национальной поисковой системы «Спутник».

 

14 сентября

Люди как цифры или знакомство с Privacy Engineering

С развитием информационных технологий проблема конфиденциальности данных приобрела огромную значимость. В частности, компании столкнулись с рядом проблем. Ответы на многие вопросы, касающиеся конфиденциальности, дает новое направление — Privacy Engineering. Специалисты Службы кибербезопасности Сбербанка активно изучают новую дисциплину как одно из перспективных направлений в области обеспечения безопасности банка и своих клиентов.

 

20 сентября

Как защититься от вредоносного ПО, эксплуатирующего уязвимость Windows CVE-2017-8759

Эксперты Positive Technologies предупреждают о росте угроз для пользователей Windows с установленным .NET Framework и дают рекомендации по защите.

 

21 сентября

Автоматизация получения прав администратора домена в Active Directory

С момента появления фреймворка Empire и приложения BloodHound пентесты систем на базе Active Directory становятся все проще и прямолинейнее для 95% сред.

Foreigner’s corner

2 August

Cyber heist crooks who stole USD 39 million caught by Omani agency

Omani forensic specialists helped track down online crooks who stole USD 39 million from a government bank, the director of the Internet Technology Agency has revealed.

 

3 August

New virus called “Invisible Man” going after Android users

Security researchers warn that a new form of malware is targeting Android devices, posing as a Flash update that needs to be installed as soon as possible.

Cisco fixes DoS, authentication bypass vulnerabilities, OSPF bug

Cisco fixed 15 vulnerabilities this week in more than a dozen products, including two high severity vulnerabilities that could have let an attacker trigger a denial of service condition or bypass local authentication.

 

7 August

Web law offers ‘right to be forgotten’ online

Social media firms will have to erase personal information on individuals when asked under a new law allowing people the ‘right to be forgotten’ online.

 

8 August

UK organisations could face huge fines for cyber security failures

British organisations could face fines of up to GBP 17 million, or four percent of global turnover, if they fail to take measures to prevent cyber-attacks that could result in major disruption to services such as transport, health or electricity networks.

The guy who invented those annoying password rules now regrets wasting your time

We’ve all been forced to do it: create a password with at least so many characters, so many numbers, so many special characters, and maybe an uppercase letter. Guess what? The guy who invented these standards nearly 15 years ago now admits that they’re basically useless. He is also very sorry.

 

9 August

SAP patch Tuesday update resolves 19 flaws, three high severity vulnerabilities 

The most pressing fixes are for a directory traversal vulnerability in the company’s Netweaver AS Java Web Container, a code injection vulnerability in its Visual Composer design tool, and a cross-site AJAX request vulnerability in its BusinessObjects suite of applications.

 

20 August

Pentagon thinks blockchain technology can be used as cybersecurity shield

Just like any currency, Bitcoin has been involved in cases of money-laundering, drug transactions, and terrorism in previous years. However, it has also caught the Pentagon’s eye as a potential cybersecurity shield.

 

23 August

Simple exploit allows attackers to modify email content—even after it’s sent!

This can be done even after the email has already been delivered to the recipient and has made it through all the necessary spam and security filters, without requiring direct access to the recipient’s computer or email application, exposing hundreds of millions of desktop email users to malicious attacks.

 

29 August

Intel ME controller chip has secret kill switch

Intel’s ME consists of a microcontroller that works with the Platform Controller Hub chip, in conjunction with integrated peripherals. It handles much of the data travelling between the processor and external devices, and thus has access to most of the data on the host computer.

 

14 September

North Korean hackers blamed for Bitcoin attacks

Hermit nation could be looking for new ways to fund the regime.

 

20 September

Vodafone: cybersecurity enables new business opportunities

There are perceived benefits that strong cybersecurity can bring to the relationship between an organization and its customers.

 

25 September

China blocks WhatsApp, broadening online censorship

Censorship has prompted many people in mainland China to switch to communications methods that function smoothly and quickly, but that are easily monitored by the Chinese authorities.

 

29 September

Whole Foods investigates payment card breach

Whole Foods Market has disclosed a point of sale (PoS) breach, where hackers were able to access payment card information for plastic used at taprooms and full table-service restaurants located within some stores.

European Commission presses social media on illegal content

The European Commission has turned up the heat on social media companies by issuing new guidelines designed to increase swift and proactive removal of illegal online content inciting hatred, violence and terrorism.

Источники

При подготовке материала использовались следующие информационные ресурсы:

http://banki.ru

http://tass.ru

http://rbc.ru

http://ria.ru

http://infosecurity-magazine.com

http://news.ifmo.ru

http://anti-malware.ru

https://threatpost.ru

https://habrahabr.ru

https://gizmodo.com

https://www.cybersecurity-review.com

http://ehackingnews.com

http://securitylab.ru

https://xakep.ru

https://blog.kaspersky.ru

http://infoworld.com/

http://news.nationalpost.com

http://kommersant.ru

http://lenta.ru

http://www.rbc.ru/

https://www.vedomosti.ru/

https://www.meduza.io/

https://www.nytimes.com

http://profit.kz

Поделитесь с нами своими идеями и предложениями!

Спасибо всем, кто порекомендовал статьи для этого выпуска.

Эта информация была полезна для вас?