Выпуск № 3 | Март 2019 года

News

Ежемесячная подборка новостей из области информационных технологий

Выпуск № 4 | Апрель 2019 года

Законодательство и рекомендации регуляторов

9 апреля

В Госдуме раскрыли детали поправок к законопроекту о защите Рунета

Роскомнадзор будет устанавливать порядок эксплуатации и модернизации в сети оператора связи технических средств противодействия угрозам, сообщил глава комитета Госдумы по информполитике Леонид Левин, говоря о поправках в проект о рунете ко второму чтению.

22 апреля

Совфед одобрил законопроект о безопасности Рунета

Совет Федерации РФ одобрил законопроект, направленный на обеспечение работоспособности Рунета в случае его изоляции от глобальной сети.

Госдума РФ приняла законопроект 16 апреля.

26 апреля

Минкомсвязи поддержало идею создания в России института цифровых "послов"

Минкомсвязи поддержало идею создания в России института цифровых атташе и упрощение въезда для высококлассных специалистов в сфере IT, следует из ответа главы министерства Константина Носкова депутату Госдумы Виктору Зубареву.

Наверх

Обезопась себя сам

7 марта

На одно веб-приложение в среднем приходится 33 уязвимости

Анализ 43 веб-приложений показал, что за последний год защищенность онлайн-продуктов снизилась.

11 марта

В апреле владельцы GPS-устройств могут столкнуться с глобальным сбоем

Владельцам классических GPS-навигаторов стоит поспешить с установкой последних обновлений, иначе 6 апреля они рискуют стать жертвами глобального сбоя системы.

13 марта

Функцию распознавания лиц в Samsung Galaxy S10 можно обойти

Смартфоны Samsung Galaxy S10 может разблокировать любой желающий из-за несовершенства алгоритмов распознавания лиц.

29 марта

Эксперты сообщили о росте числа атак на промышленные системы

Аналитики «Лаборатории Касперского» изучили угрозы для систем промышленной автоматизации во второй половине 2018 года. По сведениям экспертов, в России за этот период вредоносные объекты были обнаружены почти на половине компьютеров АСУ.

В Google Play Store найдена правительственная программа-шпион

Исследователи обнаружили новый вид правительственной вредоносной программы, которая располагалась у всех на виду в официальном магазине приложений для AndroidGoogle, Play Store.

Наверх

Информационные статьи

3 апреля

"Ростех" начал поставки защищенных от прослушки телефонов предприятиям ОПК

"Ростех" подписал с предприятиями оборонно-промышленного комплекса России соглашения на поставку защищенных от прослушки телефонов "Круиз-К", ведется подготовка к серийному производству, сообщили РИА Новости в пресс-службе госкорпорации.

5 апреля

В антивирусном приложении смартфонов Xiaomi нашли уязвимости

Исследователи из Check Point описали сценарий MitM-атаки через антивирусное приложение Guard Provider, предустановленное на смартфонах Xiaomi. Злоумышленник может взломать соединение, по которому обновляются базы сигнатур вредоносного ПО, и внедрить сторонний код на целевое устройство.

9 апреля

Онлайн-банки не прошли проверку на безопасность

Эксперты Positive Technologies обнаружили серьезные проблемы безопасности во всех существующих онлайн-банках, из которых более 60% содержат критические уязвимости. Существующие бреши грозят потерей денежных средств и раскрытием конфиденциальных данных.

15 апреля

Объявленное Visa повышение суммы покупок без ПИН-кода не будет всеобщим

С 13 апреля 2019 года банки, эмитирующие карты платежной системы Visa, смогут не запрашивать пин-код для подтверждения транзакций по бесконтактным картам Visa на сумму до 3 тыс. руб. Новые правила платежной системы повышают ранее установленный лимит в три раза с действовавшего до сих пор уровня в 1 тыс. руб. РБК опросил банки и выяснил, что часть будет запускать новшество поэтапно и не на всех устройствах для приема карт.

Взлом контрагента Microsoft затронул email-сервисы

Злоумышленники взломали аккаунт контрагента Microsoft по клиентской поддержке и получили доступ к содержимому email-ящиков пользователей Outlook, MSN и Hotmail. Корпоративные (платные) учетные записи взлом не затронул, остальным клиентам рекомендуется сменить пароль.

19 апреля

Главу Сбербанка заинтересовали технологии Revolut

Глава Сбербанка Герман Греф, пытающийся превратить госбанк в цифровую экосистему, оценил технические решения Revolut в сфере онлайн-переводов и конвертации валют. Он обсуждал с коллегами по Сбербанку возможность инвестировать в компанию или по крайней мере рассмотреть возможность стратегического партнерства с ней, рассказали Forbes два источника, близкие к руководству госбанка. «Сбербанк тогда разрабатывал свою систему переводов по номеру телефона без комиссии, и руководство банка интересовали все инновационные решения», — сказал один из банкиров.

25 апреля

Беспорядок в холодильнике мешает защите от ИБ-угроз

Эксперты «Лаборатории Касперского» установили связь между бытовыми привычками человека и его уязвимостью перед угрозами ИБ. Так, поддержание порядка в холодильнике свидетельствует об аккуратности с рабочими документами, что в свою очередь снижает риск попадания закрытой информации в чужие руки.

26 апреля

Сбербанк: убытки компаний от кибератак в 2019 году достигнут 2,5 трлн долларов

Специалисты Сбербанка прогнозируют рост ущерба от кибератак в текущем году до 2,5 трлн долларов, говорится в пресс-релизе кредитной организации. К 2022 году, по прогнозу Всемирного экономического форума, сумма планетарного ущерба от кибератак вырастет до 8 трлн долларов.

Банки предупредили о рисках увеличения лимита платежей

Увеличение лимитов бесконтактной оплаты по картам Visa без введения пин-кода приведет к росту мошенничеств, считают банкиры. В общих объемах операций доля проблемных незначительна, но в абсолютном выражении, по оценкам экспертов, может достигнуть 1 млрд руб. в год. Платежная система предлагает банкам самим решать, увеличивать лимиты или нет.

29 апреля

Apple объяснила удаление ряда приложений родительского контроля

Корпорация Apple сообщила, что удалила из App Store несколько приложений с функцией родительского контроля, которые «ставят под угрозу конфиденциальность и безопасность пользователей». О каких приложениях идет речь, компания не объяснила. Ранее на ограничения со стороны Apple жаловалась «Лаборатории Касперского», создавшая приложение Kaspersky Safe Kids.

Наверх

Узнай новое. Технологии и методы защиты информации

12 апреля

Сценарии атак с использованием технологии CORS

Аббревиатура CORS расшифровывается как Cross-Origin Resource Sharing (Совместное использование ресурсов между разными источниками). Эта технология используется современными браузерами для проверки прав удаленного доступа к веб-ресурсам и службам и позволяет обойти ограничения, связанные, например, с невозможностью использования шрифтов, находящихся вне сайта, или отсылки Ajax-запрос с внешнего домена.

16 апреля

Пинг HTML5 как инструмент проведения DDoS-атак

Специалисты по защите от DDoS из компании Imperva столкнулись с необычной атакой. Ее авторы использовали легитимную опцию HTML5 — команду ping, чтобы заставить браузеры посетителей сайта создавать и направлять на мишени мусорный поток интенсивностью до 7,5 тыс. запросов в секунду.

Атрибут ping позволяет владельцам сайтов отслеживать переходы по ссылкам и определять уровень обращений к различному контенту — например, рекламным окнам — или другим страницам в Интернете. (Этой же цели служит переадресация HTTP и JavaScript.)

19 апреля

Роль информационной безопасности в обеспечении непрерывности бизнеса

Современный бизнес зависит от информационные технологий и остро нуждается в обеспечении бесперебойности процессов: даже час простоя сервисов в кредитно-финансовых или телекоммуникационных компаниях может привести к огромным убыткам. Непрерывность деловой активности напрямую связана с ИТ и критически важна для любой организации, будь то крупные ритейлеры, агентства по продаже авиабилетов или государственные структуры.

Наверх

Foreigner’s corner

April 4

Organizations still use low levels or no automation of key security and incident response tasks

Most organizations understand that automation is the path to achieve optimal workflows in the face of staff shortages and alert fatigue.

Yet, 59% of the D3 Security 2019 Automation and Integration Survey respondents indicated that their organizations use low levels or no automation of key security and incident response tasks.

April 8

Insights gained from working on more than 750 cybersecurity incidents

Many entities face the same security risks so it is essential to have an insight on how to manage them and respond in case of occurrence.

BakerHostetler’s privacy and data protection team released its 2019 Data Security Incident Response Report, which leverages the metrics and insights drawn from 750 potential incidents in 2018 to help entities identify and prioritize the measures necessary to address their digital risk posture

April 11

Android 7.0+ Phones Can Now Double as Google Security Keys

Google this week made it easier for Android users to enable strong 2-factor authentication (2FA) when logging into Google’s various services. The company announced that all phones running Android 7.0 and higher can now be used as Security Keys, an additional authentication layer that helps thwart phishing sites and password theft.

April 18

Facebook says it uploaded email contacts of up to 1.5 million users

Facebook Inc said on Wednesday it may have "unintentionally uploaded" email contacts of 1.5 million new users since May 2016, in what seems to be the latest privacy-related issue faced by the social media company.

April 26

P2P Weakness Exposes Millions of IoT Devices

A peer-to-peer (P2P) communications technology built into millions of security cameras and other consumer electronics includes several critical security flaws that expose the devices to eavesdropping, credential theft and remote compromise, new research has found.

April 29

U.S. will rethink cooperation with allies who use Huawei

Washington does not see any distinction between core and non-core parts of 5G networks and will reassess sharing information with any allies which use equipment made by China's Huawei, a U.S. cybersecurity official said on Monday.

April 30

Data: E-Retail Hacks More Lucrative Than Ever

For many years and until quite recently, credit card data stolen from online merchants has been worth far less in the cybercrime underground than cards pilfered from hacked brick-and-mortar stores. But new data suggests that over the past year, the economics of supply-and-demand have helped to double the average price fetched by card-not-present data, meaning cybercrooks now have far more incentive than ever to target e-commerce stores.

Companies face regulatory fines and cybersecurity threats, still fail to protect sensitive data

22% of a company’s folders are accessible, on average, to every employee, according to the new report from the Varonis Data Lab, which analyzed more than 54 billion files. The report shines a light on security issues that put organizations at risk from data breaches, insider threats and crippling malware attacks..

Наверх

Did you find this useful?