Минцифры намерено возложить ответственность на операторов за незаблокированные сайты, распространение которых в России запрещено. Об этом сообщает Forbes со ссылкой на отзывы участников отрасли на проект приказа Минцифры. Министерство предлагает ввести новый индикатор — незаблокированные запрещенные ресурсы в трафике операторов, на чьих сетях установлены технические средства противодействия угрозам (ТСПУ).

Сейчас по закону о «суверенном интернете», вступившем в силу 1 ноября 2019 года, если оператор разместил на сетях ТСПУ от Роскомнадзора (РКН), то может самостоятельно не блокировать запрещенные ресурсы из соответствующего реестра. РКН устанавливает и обслуживает ТСПУ — у операторов нет контроля над работой этих «черных ящиков».

В отзывах на проект приказа Минцифры комиссия по связи Российского союза промышленников и предпринимателей (РСПП), «Медиа-коммуникационный союз» (МКС), «Вымпелком» и «Tele2» напоминают, что, согласно закону «О связи», оператор не обязан ограничивать доступ к информации в интернете при наличии ТСПУ.

Источник изображения: Firmbee/pixabay.com

В Минцифры отметили, что новый индикатор поможет РКН проверять операторов, в отношении которых есть риск нарушения требования по пропуску трафика через ТСПУ. По мнению собеседников Forbes, РКН подозревает, что не все операторы пропускают трафик через ТСПУ. Либо Минцифры хочет заставить операторов дублировать блокировки РКН, так как ТСПУ может неэффективно работать.

Служба безопасности SAP начала расследование, связанное с появлением на eBay одного из накопителей, пропавших в одном из ЦОД компании. Как сообщает издание The Register, инцидент произошёл ещё в ноябре прошлого года в немецком городе Вальдорф земли Баден-Вюртмеберг. Известно, что из дата-центра компании пропали сразу четыре SSD. Это уже пятый инцидент с исчезновением накопителей из европейских ЦОД SAP за последние два года, передаёт издание.

В результате расследования выяснилось, что охрана была организована очень плохо, поскольку никто не проверял людей, покидавших считавшийся защищённым ЦОД. В результате диски переместили в «небезопасное» здание в комплексе строений штаб-квартиры, откуда они и были украдены без особых проблем. В компании отметили, что на дисках не хранилось какой-либо личной информации, но, как оказалось, эти данные не вполне соответствовали действительности.

В своё время в SAP утверждали, что подходят к безопасности данных очень серьёзно, и, хотя служебная информация не подлежит разглашению, представители разработчика ПО заверили, что свидетельства утраты данных клиентов или сотрудников отсутствуют. Однако один из четырёх SSD, оказавшийся на eBay, приобрёл сотрудник самой SAP, после чего выяснилось, что накопитель содержал персональные записи о сотне сотрудников компании. Местонахождение трёх оставшихся дисков неизвестно до сих пор.

Изображение: Bru-nO / Pixabay

Хотя свою роль сыграла человеческая ошибка и несоблюдение протоколов безопасности, основной причиной утери всё-таки назвали кражу. Инцидент не может не вызывать беспокойства как у самих разработчиков, так и у их клиентов, поскольку в последние годы SAP активно продвигает собственные облачные решения и продажу ПО по модели услуг, предоставляемых как на базе собственных ЦОД, так и дата-центров партнёров.

Инцидент в IT-индустрии не первый и, вероятнее всего, не последний. В 2019 году финская компания Blancco, занимающаяся безопасной очисткой накопителей, обнаружила, что из 159 случайным образом выбранных на eBay накопителях из США и Европы 42 % несли данные, оставшиеся от прежних владельцев. Доступ к ним могли получить даже люди, имеющие базовую компьютерную грамотность. Более того, в 15 % случаев накопители хранили и персональные сведения.

Впрочем, даже неправильный вывод из экплуатации может привести к проблемам. Так, банк Morgan Stanley, сэкономив $100 тыс. на утилизации HDD, в итоге потерял $120 млн. Но это касается и другого оборудования. Недавний анализ, проведённый ESET, показал, что выставляемые на продажу сетевые устройства зачастую содержат массу информации, позволяющей как минимум скомпрометировать сети крупных компаний.

«Лаборатория Касперского» («ЛК») и «Систэм электрик» (Systeme Electric) создадут кибериммунные устройства на основе операционной системы KasperskyOS для промышленных и энергетических предприятий. Systeme Electric является правопреемником Schneider Electric, которая в 2022 году продала бизнес в РФ и Беларуси локальному руководству.

«ЛК» оптимизирует KasperskyOS под функции таких устройств, как терминалы релейной защиты и автоматики (РЗА), программируемые логические контроллеры (ПЛК), которые планируются к выпуску. Также партнеры будут разрабатывать прикладные приложения, к примеру, для защиты от внештатных режимов работы, контроля и управления технологическими процессами на электроэнергетических объектах, нефтеперерабатывающих предприятиях и металлургических заводах.

На ПМЭФ-2023 партнеры объявили о создании мини-компьютеров на базе KasperskyOS для обеспечения безопасности электросетей на промышленных и энергетических объектах. Помимо этого было объявлено о разработке киберимунного смартфона с этой защищённой ОС, который выйдут в России и за рубежом. Кибериммунитет — это относительно молодая отраслевая дисциплина, базирующаяся на принципе Secure-by-Design, который заключается в проектировании устройства и его ПО с учетом всевозможных киберрисков.

Oracle объявила о запуске облачного сервиса EU Sovereign Cloud, предназначенного для Европейского союза (ЕС). Новый сервис призван обеспечить организациям ЕС больший контроль над выполнением требований к конфиденциальности и суверенности данных. Oracle подчеркнула, что новый сервис расположен в ЕС, поддерживается персоналом из ЕС и управляется принадлежащими Oracle юридическими лицами, зарегистрированными в ЕС.

В EU Sovereign Cloud используется облачная архитектура, физически и логически отделённая от коммерческих и государственных облачных регионов Oracle, в том числе в Европе. В настоящее время платформа включает два облачных региона (по три зоны в кажлом) — во Франкфурте (Германия) на базе ЦОД Equinix и в Мадриде (Испания) на базе ЦОД Digital Realty. Компания заявила, что деятельность регионов ведётся в соответствии с правилами и рекомендациями ЕС, которые ограничивают передачу данных за пределы ЕС, например, в соответствии с постановлением Европейского суда и решениями Европейского совета по защите данных.

Источник изображения: Oracle

Следует отметить, что Microsoft запустила в 2022 году сервис Cloud for Sovereignty, нацеленный на госсектор в ЕС. Google предлагает подобные услуги через партнёрства с местными игроками, такими как T-Sytems Deutsche Telekom в Германии, Thales во Франции и Proximus в Бельгии и Люксембурге. AWS же называет суверенное облако «маркетинговым термином больше, чем что-либо ещё», подразумевая, что существующие средства контроля уже обеспечивают конфиденциальность и защиту данных в соответствии с законодательством ЕС. Вместе с тем ранее AWS выступила с заявлением о цифровом суверенитете, закрепив свои обязательства в отношении защиты данных клиентов в Европе.

В прошлом году иностранные удостоверяющие центры стали отказывать в продлении сертификатов безопасности подсанкционным российским компаниям, в связи с чем Минцифры разработало собственные TLS-сертификаты, на которые уже в прошлом году начался переход. По словам представителя Сбербанка, на данный момент российские сертификаты установлены лишь на 25–30 % устройств россиян, передают «Ведомости».

Выпуском TLS-сертификатов занимается Национальный удостоверяющий центр (НУЦ). В марте 2022 г. на «Госуслугах» был запущен сервис по их выдаче. И в этом же году на сертификаты НУЦ перешли сервисы и сайты Сбера. Для полноценной работы требуется вручную установить сертификаты, но в качестве временной меры можно воспользоваться отечественными браузерами, например, «Яндекс Браузер» и VK «Атом». По данным Минцифры, такими ежемесячно пользуются более 75 млн человек.

Источник изображения: freestocks/unsplash.com

По словам представителя Сбербанка, лишь у 25–30 % устройств, заходящих на сайт банка, установлен такой сертификат. «Это большая проблема, потому что это означает, что в 70 % случаев мы пользуемся сертификатами из неизвестного для нас источника. С этим надо бороться разными способами, прежде всего просветительским путём — просвещением и пропагандой, если хотите», — заявил он, призвав соответствующие ведомства объединить усилия, чтобы повысить процент пользователей с российскими сертификатами безопасности.

Сторонние эксперты отмечают, что на сайтах некоторых лидирующих российских банков используются иностранные сертификаты, в случае отзыва которых пользователи устройств без национальных сертификатов потеряют доступ к их услугам. Впрочем, даже достигнутый уровень проникновения российских сертификатов достаточно велик, если учитывать необходимость ручной установки. Также отмечается, что в таких сертификатах нуждаются устройства, используемые для выполнения финансовых операций на крупные суммы или юридически значимых операций. Поэтому национальные сертификаты преимущественно используются в корпоративном секторе.

Специалисты по кибербезопасности из принадлежащей Google Cloud компании Mandiant, привлечённой Barracuda для расследования обстоятельств взлома устройств Barracuda Email Security Gateway (ESG), установили связь атаковавшей шлюзы хакерской группы с Китаем. Этой группе компания присвоила название UNC4841. Barracuda настоятельно рекомендует избавиться от взломанных ESG, обещая бесплатно предоставить замену.

По словам Чарльза Кармакала (Charles Carmakal), технического директора Mandiant Consulting, кампания по кибершпионажу была самой масштабной со времён хакерских атак с использованием бага в Microsoft Exchange Server в начале 2021 года. «В случае с Barracuda злоумышленники взломали средства защиты электронной почты сотен организаций. У части жертв они украли электронные письма известных сотрудников, занимающихся вопросами, представляющими интерес для китайского правительства», — добавил он.

По данным Mandiant, UNC4841 поддерживается государством и выполняет разведывательные задачи для китайского правительства. Также были обнаружены точки пересечения UNC4841 с инфраструктурой, приписываемой другим китайским субъектам шпионажа, что указывает на то, что Пекин использует объединенный подход к своим операциям по взлому. «Mandiant с высокой уверенностью полагает, что UNC4841 вела шпионскую деятельность в поддержку Китайской Народной Республики», — сообщили исследователи в отчёте.

Источник изображения: Barracuda Networks

Mandiant отметила, что хакеры изменили свое вредоносное ПО вскоре после выпуска патча в мае. Кроме того, они задействовали дополнительные механизмы, чтобы сохранить доступ к сетям жертв. После взлома сетей хакеры нацеливались на конкретные данные, «представляющие интерес для эксфильтрации», а также попытались использовать скомпрометированные компоненты для заражения других систем.

В ходе семимесячной кампании UNC4841 использовала три вредоносные программы — Saltwater, Seaspy и Seaside, замаскированные под модули или сервисы Barracuda ESG. После своего раскрытия UNC4841 занялась модификацией некоторых компонентов Saltwater и Seaspy, чтобы предотвратить эффективное исправление уязвимостей. Компания также запустила новый руткит в виде модуля ядра Linux, получившего название Sandbar, которым троянизировал некоторые официальные модули Barracuda.

«UNC4841 продемонстрировала высокую чувствительность к оборонительным усилиям и активно модифицирует TTP для поддержания их функционирования. Mandiant настоятельно рекомендует пострадавшим клиентам Barracuda продолжать поиск этого субъекта и исследовать затронутые сети», — сообщили исследователи.

Разработчик программного обеспечения «СберТех» и Институт системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН) в рамках Петербургского международного экономического форума подписали соглашение о стратегическом сотрудничестве.

Документ предусматривает взаимодействие в сфере повышения уровня безопасности программного обеспечения. В частности, стороны договорились об участии в консорциуме в области исследования безопасности ядра Linux. Кроме того, планируется совместная работа в части создания доверенного системного ПО и технологий безопасной разработки.

Генеральный директор «СберТеха» Максим Тятюшев и директор ИСП РАН, академик РАН Арутюн Аветисян (источник фото: пресс-служба ИСП РАН)

«Сотрудничество со «СберТехом» для нас очень ценно — особенно в контексте разработки компанией СУБД Platform V, необходимой для обеспечения технологической независимости нашей страны. Уверен, что вместе мы создадим надёжную экосистему вокруг платформы, а также будем успешно сотрудничать в области создания открытого репозитория доверенного ПО», — заявил директор ИСП РАН Арутюн Аветисян.

Ранее, 15 июня, на ПМЭФ было заключено соглашение о сотрудничестве между «Сбером» и РАН. Стороны договорились взаимодействовать в научно-образовательной сфере, а также работать над совместными научно-исследовательскими проектами.

Компания «Информационные технологии и коммуникационные системы» («ИнфоТеКС»), занимающаяся разработкой VPN-решений и средств криптографической защиты информации, сообщила о получении положительного заключения Федеральной службы безопасности Российской Федерации на программный комплекс ViPNet OSSL версии 5.0.

ViPNet OSSL представляет собой ПО на базе библиотеки с открытым исходным кодом OpenSSL, которое позволяет использовать российские криптографические алгоритмы ГОСТ в прикладных системах. Продукт позволяет реализовать подписание документов и проверку электронной подписи, устанавливать защищённые соединения по протоколам TLS 1.2 и 1.3, создавать криптографически защищённые сообщения в формате CMS, работать с различными форматами электронной подписи CAdES и XAdES. За счёт возможности экспорта и импорта ключей формата PKCS в ViPNet OSSL обеспечивается совместимость форматов ключей с другими криптопровайдерами.

Схема работы ViPNet OSSL

Выданный ФСБ России сертификат подтверждает соответствие программного комплекса ViPNet OSSL 5.0 требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС1 (для исполнений 1, 4, 7, 8, 9), класса КС2 (для исполнений 2,5), требованиям к средствам электронной подписи, установленным для класса КС1 (для исполнений 1, 4, 7, 8, 9), класса КС2 (для исполнений 2, 5).

Сертифицированная версия ViPNet OSSL 5.0 является кроссплатформенной и может быть интегрирована в прикладные системы на операционных системах Windows, Linux, macOS, iOS, Android и «Аврора». Продукт может быть использован на клиентской и серверной стороне, поддерживается совместная работа с веб-серверами nginx, apache, stunnel. Решение поддерживает аппаратные токены «Рутокен» и JaCarta, кроме того, возможно использование встроенного программного токена.

Поставщик ИБ-решений Barracuda Networks заявил, что клиентам необходимо немедленно заменить затронутые эксплойтом шлюзы Email Security Gateway (ESG), даже если те установили все доступные патчи. При этом компания пообещала оказывать клиентам, в числе которых Samsung, Delta Airlines, Mitsubishi и Kraft Heinz, необходимую помощь в замене ESG.

Шлюзы ESG предназначены для защиты входящего и исходящего трафика электронной почты. Они доступны как в виде физических серверов, так и в виде программных комплексов, в том числе в AWS и Microsoft Azure. Уязвимость в ESG была обнаружена в мае этого года. 18 мая компания заявила о том, что обратилась за помощью к Mandiant, специализирующейся на сложных кибератаках, после того как был обнаружен аномальный трафик, направлявшийся с устройств ESG.

Изображение: Barracuda Networks

19 мая в устройствах была выявлена критическая уязвимость нулевого дня CVE-2023-2868, позволявшая хакерам удалённо выполнять произвольный код на шлюзах ESG. Уязвимость затрагивает версии ПО ESG с 5.1.3.001 по 9.2.0.006, позволяя злоумышленнику добиться удалённого выполнения кода (RCE) с повышенными привилегиями. Расследование Mandiant и Barracuda показало, что уязвимость активно используется хакерами с октября 2022 года.

Было установлено, что уязвимость использовалась для получения несанкционированного доступа к множеству шлюзов ESG, на которых сначала размещались бэкдоры Saltwater и Seaspy, а затем модуль Seaside, отслеживающий входящий трафик и устанавливающий оболочку для выполнения команд на удалённом сервере. Всё вместе это даёт возможность хакеру сохранять доступ к серверу или шлюзу даже после устранения уязвимости основного ПО с помощью патча.

20–21 мая компания выпустила патчи против уязвимости, однако это не дало результата, поскольку злоумышленники оставили вредоносное ПО на затронутых системах, которое продолжало действовать. «Если вы не заменили своё устройство после получения уведомления в пользовательском интерфейсе, обратитесь в службу поддержки сейчас, — сообщила компания клиентам. — Рекомендация Barracuda по исправлению в настоящее время заключается в полной замене затронутых ESG».

Изображение: Barracuda Networks

По словам Rapid7, решение о полной замене «подразумевает, что вредоносное ПО, установленное злоумышленниками, каким-то образом достигает устойчивости на достаточно низком уровне, так что даже очистка устройства не уничтожит доступ к нему злоумышленника». К Сети может быть подключено до 11 тыс. устройств ESG — Rapid7 выявила значительные объёмы вредоносной активности в те же сроки, о которых сообщила Barracuda.

В дополнение к прекращению использования и замене уязвимых устройств ESG компания Barracuda рекомендовала клиентам немедленно обновить учётные данные любых устройств или служб, подключавшихся к ESG. Также было предложено провести проверку сетевых журналов, которая может помочь выявить любое потенциальное вторжение.

Компания «Конфидент» сообщила о сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК России) обновлённой системы защиты информации Dallas Lock Linux версии 3.25.21.

Dallas Lock Linux обеспечивает защиту конфиденциальной информации, в том числе персональных данных, от несанкционированного доступа. Решение предназначено для рабочих станций под управлением Linux — как автономных, так и функционирующих в составе локальной вычислительной сети организации. Продукт поддерживает взаимодействие с аппаратными идентификаторами (токенами), включён в реестр российских программ, упрощает приведение корпоративных и производственных IT-систем в соответствие нормативным требованиям регуляторов в области информационной безопасности.

Функции Dallas Lock Linux

В Dallas Lock Linux версии 3.25.21 реализована поддержка ядра Linux 5.10, существенно расширен перечень поддерживаемых Linux-систем и аппаратных идентификаторов, включена возможность управления расписанием работы пользователей, добавлена новая роль администрирования — «Аудитор», который обладает всеми привилегиями в части аудита, обеспечено взаимодействие с контроллерами домена Active Directory, FreeIPA и Samba. Также в продукте задействована возможность сквозной авторизации доменных учётных записей пользователей на внешних ресурсах и реализованы прочие дополнительные функции.

Выданный ФСТЭК России сертификат подтверждает соответствие Dallas Lock Linux требованиям ведомства по 5 классу защищённости средств вычислительной техники от несанкционированного доступа, по 4 классу защиты средств контроля съёмных машинных носителей информации и по 4 уровню доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Продукт может использоваться для защиты информации в автоматизированных системах до класса защищённости 1Г включительно, в информационных системах 1 уровня защищённости персональных данных, в государственных информационных системах 1 класса защищённости, в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах 1 класса защищённости и в значимых объектах критической информационной инфраструктуры до 1 категории включительно.