Свежие посты   По годам   По датам
  • 06 Октября 2017 » Кто отвечает за убытки при доступе к Мобильному банку с дубликатом SIM-карты?
    Не буду долго в худших традициях SEO-копирайтинга ходить вокруг да около. С точки зрения Верховного суда РФ (ВС РФ) ответственность за убытки пользователя из-за получения злоумышленниками доступа к его «Мобильному банку» с помощью дубликата SIM-карты несёт оператор связи. Именно такой подход приводит ВС РФ в своём свежем Обзоре судебной практики по делам, связанным с защитой прав потребителей финансовых услуг: Выдача (замена) сим - карты является услугой связи. Оператор мобильной связи несет ответственность за неправомерные действия по выдаче дубликата сим - карты с абонентским номером пользователя другому лицу, последствием которых является получение таким лицом доступа к банковским счетам гражданина, использующего этот абонентский номер с подключением к нему услуги «мобильный банк». В качестве иллюстрации приведён вот такой случай (выдержка): Ш. обратилась в суд с иском к банку и оператору мобильной связи (далее – оператор связи) о защите прав потребителя, в котором просила признать незаконными действия оператора связи по передаче третьему лицу сим-карты и смс-сообщений по ее абонентскому номеру подвижной телефонной связи, взыскать солидарно с ответчиков незаконно списанные с ее банковского счета денежные средства, взыскать с банка проценты на эту сумму, взыскать с оператора связи денежные средства, незаконно списанные с ее абонентского лицевого счета, взыскать с ответчиков неустойку за отказ удовлетворить требования потребителя в добровольном порядке, компенсацию морального вреда и штраф. В декабре 2013 года оператор связи выдал неустановленному лицу дубликат сим-карты с ее абонентским номером, вследствие чего находящаяся у истицы сим-карта перестала обслуживаться. По заявлению истицы оператор связи произвел замену сим-карты. В результате выдачи дубликата сим-карты оператором неустановленному лицу сим-карта истца не обслуживалась менее суток до момента получения истицей новой сим-карты. При этом неустановленное лицо получило возможность пользоваться услугами связи с абонентского номера истицы, оплата которых производилась путем списания денежных средств с ее абонентского ли цевого счета. Кроме того, неустановленное лицо получило доступ к управлению ее банковским счетом и одноразовым паролям на списание денежных средств с банковского счета. За указанный период денежные средства были переведены с ее банковского счета на счета третьих лиц, а также за ее сче  были оказаны услуги связи третьим лицам. Разрешая спор и отказывая в удовлетворении исковых требований к банку, судебные инстанции сослались на то, что банк предоставил истице услуги по договору обслуживания международной карты и банковского вклада надлежащим образом, поскольку операции перевода денежных средств совершались банком на основании распоряжения клиента, направленного посредством услуги дистанционного доступа. Отказывая в удовлетворении иска к оператору связи, суд с ослался на недоказанность причинно-следственной связи между заменой сим-карты и хищением денежных средств, на недоказанность вины оператора связи, поскольку выдача дубликата сим-карты была произведена коммерческим представителем, за что оператор связи не несет ответственности, так как данные сервисные услуги не относятся к услугам связи и не предусмотрены договором об оказании услуг, заключенным между истицей и оператором связи, равно как и правилами оказания услуг подвижной связи. Однако, Судебная коллегия по гражданским делам Верховного Суда Российской Федерации признала, что выводы судов сделаны с нарушением норм материального и процессуального права: Согласно п. 2 Правил оказания услуг подвижной связи: абонентом является физическое лицо (гражданин) или юридическое лицо, с которым заключен договор об оказании услуг подвижной связи при выделении для этих целей абонентского номера или уникального кода идентификации; абонентским номером – номер, однозначно определяющий (идентифицирующий) подключенную к сети подвижной связи абонентскую станцию (абонентское устройство) с установленной в ней сим - картой; сим-картой – карта, с помощью которой обеспечивается идентификация абонентской станции (абонентского устройства), ее доступ к сети подвижной связи, а также защита от несанкционированного использования абонентского номера. Таким образом, сим-карта.... является неотъемлемым элементом предоставления услуги подвижной телефонной связи, обеспечивающим подключение и доступ к сети подвижной связи абонентского устройства, его идентификацию и защиту от несанкционированного использования абонентского номера. При этом сим-карта (электронный носитель информации) помимо информации, обеспечивающей выполнение указанных выше функций, может содержать дополнительную информацию об абоненте, его телефонных переговорах и коротких текстовых и иных сообщениях, в частности телефонную книгу абонента, списки входящих (исходящих) вызовов и сообщений, тексты коротких текстовых сообщений (смс-сообщений), сведения о подключенных услугах и т.д. Одновременно с выдачей (заменой, восстановлением) сим-карты происходит передача соответствующей информации, а также обеспечивается возможность доступа к сети подвижной связи с соответствующего абонентского номера, возможность получения входящих на этот номер сообщений, в том числе одноразовых паролей подтверждения, а также возможность использования подключенных к этому номеру услуг. Что ж, вполне разумный подход Верховного Суда. Ну, а, собственно, в свете последних законодательных инициатив: "Организатор сервиса мгновенных сообщений сможет самостоятельно идентифицировать пользователя по абонентскому номеру" "Не получится использовать фиктивные паспортные данные для заключения договоров об оказании услуг связи" действительно явно напрашивается ужесточение контроля процессов выдачи SIM-карт и их дубликатов. Так, глядишь, и получим тот самый "вход в Интернет по паспорту", правда через дополнительную привязку к абонентскому номеру.

  • 02 Октября 2017 » [промо] Вводный курс Инфраструктура Открытых Ключей (PKI)
    Много лет назад, когда я только знакомился с прекрасным миром инфраструктуры открытых ключей (Public Key Infrastructure), в качестве вводного в новую для меня тематику материала пришлось использовать (ничего другого не было) какую-то брошюру страниц на 50 (если не меньше) не самого мелкого шрифта, название и авторов которой уже и не вспомню. Зато отлично помню, как я продирался через абзацы новых терминов и объяснения, приведённые скорее для тех, кто уже “в теме”, чем для тех, кто только-только вникает в суть. Отдельные разделы перечитывал несколько раз, вновь и вновь ловя ускользающую мысль авторов. В итоге, во многом благодаря упорству и тому, что было кому задать вопросы, базовые основы PKI фактически заучил на много лет вперёд, но будь у меня тогда выбор, конечно, с удовольствием бы изучал новую для себя предметную область на более доступно и понятно изложенном материале. В наш век всеобщей информатизации, к счастью для современных специалистов, такого острого недостатка в информации нет: онлайн доступна масса ресурсов с учебными курсами на любой вкус. Правда, есть другая проблема - какой именно курс выбрать? Специально не изучал доступные сегодня курсы по Инфраструктуре Открытых Курсы, но, встретив в ленте друга Facebook информацию о курсе Инфраструктура Открытых Ключей (PKI). Часть № 1., заинтересовался и попросил у его автора Леонида Шапиро промокоды для читателей блога ZLONOV.ru Леонид любезно согласился и предоставил 30 промокодов со скидкой 29% ($25 вместо $35): PKI-N1-25-FOR-AK Пользуясь возможностью, сам также прослушал курс. Так что теперь могу рекомендовать его не только потому, что лично давно знаком с Леонидом, но и по итогам собственного впечатления. Курс является вводным: "Часть №1" в названии неспроста, так что ждём продолжения. Пара слайдов из курса для иллюстрации: [caption id="attachment_11109" align="aligncenter" width="1024"] Двухровневая модель УЦ (из курса Инфраструктура Открытых Ключей (PKI). Часть № 1)[/caption] [caption id="attachment_11110" align="aligncenter" width="1024"] Варианты защиты секретного (закрытого) ключа (из курса Инфраструктура Открытых Ключей (PKI). Часть № 1)[/caption] В первой части даны именно теоретические и именно основы, но даны они методологически грамотно, с учётом богатого преподавательского опыта автора. Так что начало положено отличное! Пожалуй, к недостаткам курса можно было бы отнести несоответствие используемой в нём терминологии и тех терминов, что фигурируют в законодательстве Российской Федерации. С другой стороны, "закрытый и открытый ключ" гораздо понятнее, чем "ключ электронной подписи и ключ проверки электронной почты": [caption id="attachment_11111" align="aligncenter" width="953"] Электронная подпись и термины из 63-ФЗ[/caption] Картинка выше - из моей презентации на Код ИБ в Новосибирске. Помню, как вместе с аудиторией сравнивали простоту восприятия: "сертификат ключа проверки электронной подписи" и "сертификат открытого ключа". Полагаю, итоги сравнения очевидны =) В заключение - прямая ссылка для получения скидки: https://www.udemy.com/pki-no-1/?couponCode=PKI-N1-25-FOR-AK Если решитесь, удачи вам в изучении PKI!

  • 28 Сентября 2017 » Неслучившийся удобный доступ к реестру запрещённых сайтов
    Приказом Роскомнадзора №100 от 9 июня 2017 года был утверждён: Порядок доступа к информации, содержащейся в единой автоматизированной информационной системе «Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» Проще говоря - порядок доступа к Реестру запрещённых сайтов. Порядок доступа предполагается такой: Уполномоченным федеральным органам исполнительной власти и правоохранительным органам: круглосуточно на основании обращений (запросов) посредством создания учетных записей в реестре. Операторам связи: круглосуточный автоматический доступ (порядок предоставления установлен приказом Роскомнадзора от 21.02.2013 №169). Интернет-пользователям: по запросу о конкретном доменном имени или сетевом адресе через электронную форму на сайте реестра (мне, например, нравится вот эта универсальная). Владельцу интернет-сайта: доступ предоставляется после регистрации на сайте реестра. Последний пункт меня, как владельца сайта (https://ZLONOV.ru), заинтересовал больше всего. Подождав, пока данный Приказ будет зарегистрирован в Минюсте РФ (18 августа 2017 года, Регистрационный № 47856) и вступит в законную силу (с 01 сентября 2017 года), написал запрос с просьбой пояснить, как же я могу пройти регистрацию на сайте реестра? К сожалению, ответ был быстрым, кратким и неутешительным: В настоящий момент доступ к информации из Единого реестра для владельцев сайтов в информационно-телекоммуникационной сети Интернет реализован посредством поисковой формы, размещенной на сайте https://eais.rkn.gov.ru/ на вкладке "Просмотр реестра". Консультант горячей линии по вопросам реализации статей 15.1-15.3 Федерального закона "Об информации, информационных технологиях и о защите информации" Так что удобного доступа не получилось. Ну, и из ответа так и не понятно - то ли просто не успели сделать регистрацию для владельцев сайтов, то ли вопреки Приказу Роскомнадзора не стали разделять доступ пользователей и владельцев. Впрочем, разница тут не велика. На примере другого ресурса, а именно https://regulation.gov.ru, можно убедиться, что даже года может не хватить на банальный перевыпуск сертификата для сайта, какая уж тут регистрация владельцев... [caption id="attachment_11103" align="aligncenter" width="467"] Сертификат сайта regulation.gov.ru просрочен более, чем на год[/caption]

  • 14 Сентября 2017 » Fortinet Security Day 2017
    Третий раз посетил мероприятие Fortinet Security Day (см. про 2015 год и 2016 год). Мероприятие явно прибавило, стало статуснее, как-то даже взрослее что ли. Чтобы в очередной раз подчеркнуть важность российского рынка для компании первым с докладом выступал вице-президент (Joe Sarno, VP, International Emerging, Fortinet). Посетителей было ещё больше, чем в прошлом году (со сцены прозвучала цифра - “более 550 регистраций”), место проведения было охвачено собственным оборудованием Fortinet для раздачи WiFi, скорость была отменной. Кстати, организаторы обещали в конце дня показать статистику по использованию ресурсов. К сожалению, я ушёл раньше, но, наверное, было интересно =) Если кто-то из вас видел результаты - поделитесь в комментариях. [caption id=”attachment_11077” align=”aligncenter” width=”640”] Скорость WiFi на Fortinet Security Day 2017[/caption] Коротко об успехах Fortinet (в продажах, маркетинге и финансовых показателях): [caption id=”attachment_11079” align=”aligncenter” width=”700”] Fortinet - лидер по числу проданных устройств безопасности[/caption] [caption id=”attachment_11080” align=”aligncenter” width=”700”] Сертификация (зарубежная) решений Fortinet и его конкурентов[/caption] [caption id=”attachment_11081” align=”aligncenter” width=”1024”] Финансовые показатели Fortinet[/caption] Про “горячие” темы типа безопасности интернета вещей и машинное обучение говорили и много, но тут парой фото слайдов не отделаться - лучше дождаться публикации презентаций, ну или посмотреть официальные материалы на сайте вендора. Традиционно отмечу вопросы, связанные с сертификацией. На сегодня сертифицированы 9 моделей FortiGate и виртуальное решение для VMware, они имеют сертификацию как МЭ типов А и Б четвёртого класса защищённости (ИТ.МЭ.А4.ПЗ и ИТ.МЭ.Б4.ПЗ) плюс сертификация как системы обнаружения вторжений (ИТ.СОВ.С4.ПЗ). [caption id=”attachment_11082” align=”aligncenter” width=”700”] Что сертифицировано у Fortinet?[/caption] [caption id=”attachment_11083” align=”aligncenter” width=”700”] На что сертифицированы решения Fortinet?[/caption] Отдельно было анонсировано, что в течение полутора месяцев будет представлен вариант решения с поддержкой отечественной криптографии. Суть выбранного подхода коллеги в кулуарах мне вкратце пояснили, но не думаю, что в праве публично говорить об этом сейчас. Подождём официального объявления. Кстати, свои мероприятия вендор проводит не только в Москве - например, “репетиция” столичного дня Fortinet состоялась на прошлой неделе в Уфе =) В общем, судя по увиденному мной на мероприятии, Fortinet в России всерьёз и надолго, несмотря на геополитику и прочие аспекты. Удачи коллегам!

  • 07 Сентября 2017 » Каналы в Telegram по информационной безопасности и около неё
    Вытеснят ли каналы Telegram со временем, например, тот же Twitter или давно умирающие, но всё никак не покинувшие нас RSS-ленты - вопрос открытый. Но если вы уже приноровились к этому (относительно) новому способу получения информации, то предлагаю вашему вниманию подборку тематических каналов, посвящённых тем или иным аспектам, связанным с информационной безопасностью. Заодно прорекламирую свой совсем свежий (запущен 31 июля этого года) телеграм-канал @ZLONOV.ru Пишите в комментариях другие подходящие каналы, которые вы знаете. [box type=”info” style=”rounded”]UPD. 08.09.2017 Добавлены новые каналы.[/box] [box type=”info” style=”rounded”]UPD. 22.01.2018 Далее из-за нецелесообразности (слишком устарел) пост обновляться не будет. Дополнительные ссылки на каналы указывайте (и ищите), пожалуйста, в комментариях ниже.[/box] Адрес Название Описание Подписчики @alexlitreev_channel Сайберсекьюрити и Ко. Канал @alexlitreev о безопасности в интернете, уязвимостях и прочих радостях жизни. 16687 </td> </tr> @alexmakus Информация опасносте Чаще про infosex (зачеркнуто) про infosec 7271 </td> </tr> @alukatsky Пост Лукацкого Трансляция блога и Твиттера Алексея Лукацкого 528 </td> </tr> @anti_malware Anti_Malware Самые актуальные и свежие события в мире информационной безопасности 1315 </td> </tr> @cnsec CNsec Информационная безопасность по версии журнала Connect #новости #поиб #кибербезопасность 100 </td> </tr> @CyberSecurity_webinars Вебинары по тематике ИБ/CyberSecurity Webinars Консолидация бесплатных вебинаров по тематике "Информационная безопасность". Всегда только актуальные вебинары в ленте! All Actual CyberSecurity WEBINARS in One Place! 883 </td> </tr> @cybershit Киберп@#$%ц Полезный канал про технологии и информационную безопасность. Нам не поИБ на ИБ. А вам? 2624 </td> </tr> @cypherpunkru Шифропанк Статьи, мануалы, гайды с пошаговой настройкой софта. Канал на котором ты узнаешь как сохранить анонимность и защитить свои личные данные в сети. 3499 </td> </tr> @darkinternet Darknet Статьи и мануалы. Обзор софта с пошаговой настройкой. Закрытые материалы. Все о темной стороне веб-паутины. 26799 </td> </tr> @Haccking Life-Hack [Жизнь-Взлом] Новости кибер индустрии, взлом, хакерские атаки, информационная безопасность, криптовалюта, darknet. Все самое свежее у нас. 25730 </td> </tr> @HNews Hacker News на русском Новости об информационной безопасности, хакерах, уязвимостях, взломах и околотематика на русском языке. 4263 </td> </tr> @ibach ИБач Канал об Информационной Безопасности ? #новости #статьи #исследования #журналы #книги 4704 </td> </tr> @InfoSecurityNews Security News Технологии защиты информации и смежных областей, киберпреступность и все вокруг информационной безопасности, только интересный контент, коротко о главном. 852 </td> </tr> @news_infosecurity ИБшнику Площадка актуальных новостей и событий в сфере информационной безопасности. 385 </td> </tr> @risspa Интересно #поИБэ Последние новости RISSPA и отрасли кибербезопасности 135 </td> </tr> @SecLabNews SecurityLab 547 </td> </tr> @sitesecurity WEBSITE SECURITY Все о безопасности сайтов: диагностика, лечение от вирусов и защита от взлома. 83 </td> </tr> @sncode SnCode Авторский канал о программировании, информационной безопасности, а так же новости из мира IT. 141 </td> </tr> @TeleSecur Безопасный ? О безопасности, о том как не стать легкой добычей. Рекомендации для людей без специальной или ИТ подготовки. 344 </td> </tr> @Torchik_brauser Торчик Коды взлома, криптовалюта, анонимность,хаккинг, софт и другие радости жизни. 4926 </td> </tr> @VendettaOfficial Водевильный ветеран Vi veri universum vivus vici 323 </td> </tr> @vschannel Vektor Security Channel Канал посвящен анонимности и безопасности в сети. На канале публикуются важные новости, предупреждения об угрозах, приватные материалы от VektorT13 и анонсы событий. 5402 </td> </tr> @zlonovru ZLONOV.ru Телеграм-канал сайта ZLONOV.ru #ИБ #ИТ #АСУТП #маркетинг Новости из сфер: информационная безопасность, информационные технологии, кибербезопасность. 63 </td> </tr> </tbody> </table>  

  • 06 Сентября 2017 » Новые угрозы в БДУ ФСТЭК
    Запущенный ФСТЭК весной 2015 года (20 марта, если верить дате включения в реестр первых 164 записей) Банк данных угроз безопасности информации на сегодня насчитывает 205 различных угроз. Большая их часть (182) была добавлена ещё в 2015 и сейчас лишь изредка появляются новые угрозы, да периодически вносятся правки к уже имеющимся. Динамика добавления новых угроз наглядно показывает, что была проделана большая подготовительная работа, а сейчас идёт шлифовка и доводка. Тем интереснее каждый раз смотреть, что же ФСТЭК добавил нового. [caption id=”attachment_11024” align=”aligncenter” width=”699”] Динамика добавления угроз в БДУ ФСТЭК[/caption] В этом сентябре, например, аккурат в день знаний появились три новые: УБИ.203 Угроза утечки информации с неподключенных к сети Интернет компьютеров УБИ.204 Угроза несанкционированного изменения вредоносной программой значений параметров программируемых логических контроллеров УБИ.205 Угроза нарушения работы компьютера и блокирования доступа к его данным из-за некорректной работы установленных на нем средств защиты Первая угроза УБИ.203 (Угроза утечки информации с неподключенных к сети Интернет компьютеров) заключается “в возможности хищения данных с неподключенных к сети Интернет компьютеров за счет компрометации их аппаратных элементов или устройств коммутационного оборудования (например, маршрутизаторов), оснащенных LED-индикаторами, фиксации мерцания этих индикаторов и расшифровки полученных результатов.” На самом деле отрадно, что ответственные за ведение реестра сотрудники следят за тенденциями в сфере информационной безопасности и реагируют на них. Вот, например, статья в Хакере на эту тему: Даже мигание обычного светодиода может использоваться для передачи и хищения данных. Та же новость на сайте SecurityLab: LED-индикаторы позволяют похищать данные с изолированных систем. Правда, есть ощущение, что авторами БДУ как раз второй ресурс был прочитан, а первый - нет. Ведь в дополнении к статье на Хакере есть упоминание и других вариантов утечки информации с неподключенных к сети Интернет компьютеров: SPEAKE(a)R: позволяет использовать наушники (без микрофона) для записи аудио и слежки за пользователями; USBee: превращает почти любой USB-девайс в RF-трасмиттер для передачи данных с защищенного ПК; DiskFiltration: перехватывает информацию посредством записи звуков, которые издает жесткий диск компьютера во время работы компьютера; AirHopper: использует FM-приемник в мобильном телефоне, чтобы анализировать электромагнитное излучение, исходящее от видеокарты компьютера, и превращает его в данные; Fansmitter: регулирует обороты кулера на зараженной машине, вследствие чего тональность работы кулера изменяется, ее можно прослушивать и записывать, извлекая данные; GSMem: передаст данные с зараженного ПК на любой, даже самый старый кнопочный телефон, используя GSM-частоты. Вторая угроза УБИ.204 (Угроза несанкционированного изменения вредоносной программой значений параметров ПЛК) ближе к теме ИБ АСУ ТП, про угрозы для этой сферы напишу ещё отдельно. А вот третья из свежих сентябрьских угроз УБИ.205 (Угроза нарушения работы компьютера и блокирования доступа к его данным из-за некорректной работы установленных на нем СрЗИ) никаких вопросов не вызывает и отлично дополняет три уже имеющиеся три угрозы, связанные со средствами защиты информации (СрЗИ): УБИ.176 Угроза нарушения технологического/производственного процесса из-за временны́х задержек, вносимых СрЗИ УБИ.185 Угроза несанкционированного изменения параметров настройки СрЗИ УБИ.187 Угроза несанкционированного воздействия на СрЗИ В отличие от УБИ.176, 185 и 187 в качестве объекта воздействия для новой УБИ.205 указано не само средство защиты, а “Аппаратное устройство, программное обеспечение”. На мой взгляд, это спорно - почему же тогда для УБИ.176 не указано то же самое? Чем в этом плане отличается нарушение работы компьютера из-за некорректной работы СрЗИ от нарушения техпроцесса из-за временных задержек, вносимых СрЗИ? Почему в первом случае объект воздействия - это устройство и ПО, а во втором - СрЗИ? Впрочем, такие небольшие мелочи и нелогичности (хотя, может это просто в моём понимании нелогичность) с учётом уже существенного количества самих угроз в БДУ вполне простительны. В любом случае, коллегам, которые ведут эту работу точно есть за что сказать спасибо!

  • 02 Августа 2017 » Как повторно установить некорректно удалённое приложение в macOS?
    Иногда при некорректном (например, ручном) удалении приложения не получается установить его повторно. На примере Check Point Endpoint Security VPN ошибка может быть такой:

  • 13 Июля 2017 » [майндкарта] Детальная диаграмма связей ФЗ о безопасности КИИ
    Вчера Госдума в третьем чтении приняла Законопроект № 47571-7 О безопасности критической информационной инфраструктуры Российской Федерации.

  • 11 Июля 2017 » Как я свой сайт сканером PT BlackBox Scanner проверял
    Не так давно компания Позитив Текнолоджиз объявила о запуске бета-версии “бесплатного облачного сервиса PT BlackBox Scanner для выявления уязвимостей веб-приложений”.

  • 26 Июня 2017 » Летние квадраты Гартнера
    Несмотря на самый разгар отпусков, аналитики Гартнер продолжают трудиться и на сегодняшний день успели опубликовать целый комплект свежих отчётов своей серии Gartner Magic Quadrant.