Материалы по тегу: информационная безопасность
04.07.2024 [15:06], Руслан Авдеев
Северная Корея тоже решила избавиться от китайского телеком-оборудования, посчитав его небезопаснымВ Северной Корее намерены заменить китайские комплекты мобильного телекоммуникационного оборудования на собственные разработки. Как сообщает южнокорейское издание Daily NK со ссылкой на источники в стране, это позволит уже в этом году повысить уровень сетевой безопасности. По сведениям издания, страна намерена обеспечить уровень защиты мобильных сетей в соответствии с международными стандартами, поскольку китайские телеком-решения якобы не соответствуют этим требованиями. Предполагается увеличение инвестиций в облачные системы и квантовые технологии. Стоит отметить, что Daily NK — преимущественно пропагандистское издание из Южной Кореи, поэтому к его информации следует относиться с осторожностью. ![]() Источник изображения: Random Institute/unspalsh.com Ссылаясь на пожелавших остаться анонимными источники, издание сообщает о прошедшей в июне конференции в Пхеньяне, где обсуждались возможности вывести мобильную инфраструктуру страны на «мировой уровень». По итогам Специальный комитет по экономическому развитию составить план замены китайских технологий местными. Ключевую роль в этом должны сыграть Научно-исследовательский институт информационных технологий и Государственная академия наук, а также эксперты IT-сектора. В прошлом году сообщалось, что Северная Корея начала импортировать бывшее в употреблении мобильное оборудование Huawei для обновления существующих сетей третьего поколения. Ранее в текущем году страна начала регистрировать 4G-абонентов. Сегодня в КНДР имеется два действующих оператора мобильных сетей — Koryolink и Kang Song NET. Koryolink создали в 2008 году в рамках сотрудничества с египетской Orascom Investment Holding (OIH) и государственной северокорейской Korean Post & Telecoms Corporation (KPTC). Kang Song NET основали в 2015 году.
02.07.2024 [12:19], Сергей Карасёв
Google заплатит за найденные в гипервизоре KVM дыры до $250 тыс.Компания Google, по сообщению ресурса DarkReading, дала старт соревнованию Bug Bounty по поиску уязвимостей нулевого дня в гипервизоре KVM (Kernel-based Virtual Machine) с открытым исходным кодом. Сумма вознаграждений за успешные атаки варьируется от $10 тыс. до $250 тыс. KVM обеспечивает виртуализацию в среде Linux. Компания Google является активным участником проекта KVM, применяя гипервизор в различных продуктах и системах, включая Android и облачную платформу Google Cloud. Состязание по взлому KVM проводится по модели Capture the Flag («Захват флага»). Участники резервируют временные интервалы для входа в виртуальную машину, работающую на «голом железе», а затем пытаются провести атаку «гость — хост». Целью является использование уязвимости нулевого дня в KVM. В случае успеха нападающий получит «флаг», подтверждающий факт проникновения. Размер вознаграждения определяется серьёзностью найденной дыры:
Подробности об уязвимости нулевого дня будут переданы Google после выпуска соответствующего патча, чтобы гарантировать, что компания получит информацию одновременно с остальным сообществом разработчиков open source.
01.07.2024 [15:42], Руслан Авдеев
Индонезийские власти не делали резервные копии зашифрованных хакерами государственных данных, хотя такая возможность былаПрезидент Индонезии Джоко Видодо (Joko Widodo) приказал провести аудит правительственных ЦОД после того, как злоумышленники зашифровали один из них с целью получения выкупа. По данным The Register, выяснилось, что для большинства данных в стране не делалось резервных копий. Атака на национальный дата-центр Temporary National Data Center (Pusat Data Nasional, PDN), организованная 20 июня и нарушившая работу многих государственных сервисов по всей стране, показала, насколько уязвимой оказалась её информационная сеть. Выяснилось, что речь идёт о свежем варианте вредоносного ПО LockBit 3.0 — Brain Cipher. Власти сообщили, что ПО шифрует все данные на атакованных серверах. За ключи для расшифровки информации злоумышленники потребовали Rp131 млрд ($8 млн), но правительство отказалось их платить и пытается восстановить доступ к данным. Приказ об аудите, по слухам, последовал за прошедшим за закрытыми дверями совещанием, но сроки окончания проверки не называются. В парламенте глава ведомства National Cyber and Encryption Agency (BSSN) Хинса Сибуриан (Hinsa Siburian) признал, что для 98 % данных, хранившихся в скомпрометированном ЦОД, бэкап не делался. До недавних пор в Индонезии правительственные ведомства могли делать резервные копии данных в доступных дата-центрах, но их создание было делом добровольным. Большинство структур не делали бэкапы из экономии, но в будущем это станет обязательным. Хотя отсутствие резервных копий сыграло очевидную роль в разразившемся кризисе, вице-президент Маруф Амин (Ma’ruf Amin) назвал причиной столь масштабного ущерба централизацию и унификацию IT-систем — в результате одного взлома пострадали все структуры. Чиновник заявил, что в прошлом таких серьёзных инцидентов не было.
26.06.2024 [23:18], Андрей Крупин
VK Cloud интегрировала Dev Platform с инструментами безопасной разработки
positive technologies
software
swordfish security
vk
vk cloud
информационная безопасность
облако
разработка
Облачная платформа VK Cloud сообщила об интеграции среды Dev Platform с инструментами безопасной разработки Positive Technologies и Swordfish Security. Dev Platform предоставляет набор предустановленных, прединтегрированных и преднастроенных инструментов, с помощью которых можно создать единую среду разработки, сделать прозрачным и эффективным весь жизненный цикл продукта. Архитектуру решения можно гибко масштабировать, добавляя к базовым компонентам платформы внешние инструменты через систему плагинов. Бизнес может развернуть Dev Platform в своей IT-инфраструктуре, в том числе в рамках Private Cloud, или в публичном облаке VK Cloud. Dev Platform совместима с инструментами для поиска уязвимостей в приложениях PT BlackBox и PT Application Inspector, а также с продуктом для защиты контейнерных сред PT Container Security, который выявляет и предотвращает атаки на системы компании, запущенные в контейнерах. ![]() Архитектура Dev Platform (источник изображения: cloud.vk.com/dev-platform) Кроме того, платформа интегрирована с решениями Swordfish Security — AppSec.Hub класса ASPM (Application Security Posture Management) и AppSec.Track класса OSA (Open Source Analysis) и SCA (Software Composition Analysis). AppSec.Hub — инструмент оркестрации сканеров уязвимостей, фильтрации ложных срабатываний на базе ИИ-технологий и отображения метрик качества построения процесса безопасной разработки. Инструмент AppSec.Track, позволяет не допустить попадания небезопасных внешних компонентов в контур разработки на самом начальном этапе и проверяет наличие ИБ-проблем в них на этапе сборки ПО.
26.06.2024 [16:49], Андрей Крупин
Компания «Пассворк» получила лицензии ФСТЭК России на деятельность в сфере защиты информацииКомпания «Пассворк», занимающаяся разработкой и развитием одноимённого менеджера паролей для бизнеса, сообщила о получении лицензий Федеральной службы по техническому и экспортному контролю на деятельность по разработке средств защиты конфиденциальной информации, а также на деятельность по её технической защите. Выданные ФСТЭК России лицензии подтверждают соответствие компании предъявляемым ведомством требованиям в области IT-безопасности. Согласно полученным документам, специалисты «Пассворка» вправе участвовать в разработке и доработке ПО и технических средств защиты информации, а также оказывать услуги по развёртыванию и настройке защитных решений. ![]() «Пассворк» повышает безопасность при работе с корпоративными паролями «Это важное событие для российского IT-сектора, так как теперь корпорации и госкомпании, для которых наличие упомянутых лицензий является обязательным условием, смогут обеспечивать сохранность своих данных, а также наладить удобный процесс работы с паролями, пользуясь отечественным решением», — говорится в заявлении компании-разработчика. «Пассворк» ведёт деятельность на российском IT-рынке с 2014 года. Разрабатываемый компанией продукт упрощает совместную работу с корпоративными паролями и обеспечивает их хранение на сервере организации в зашифрованном виде. Поддерживается интеграция с Active Directory/LDAP, авторизация с помощью SAML SSO, а также аудит безопасности паролей. Решение зарегистрировано в реестре отечественного софта и может представлять интерес для организаций, реализующих проекты в сфере импортозамещения ПО. Открытый для аудита исходный код менеджера паролей позволяет убедиться в отсутствии уязвимостей и скрытых функций.
26.06.2024 [15:48], Андрей Крупин
Шлюз веб-безопасности Solar webProxy дополнился аналитикой центра исследования киберугроз Solar 4RAYSКомпания «Солар» (дочернее предприятие «Ростелекома», работающее в сфере информационной безопасности) выпустила новую версию шлюза веб-безопасности Solar webProxy 4.1. Solar webProxy относится к классу SWG-решений (Secure Web Gateways). Программный комплекс устанавливается в разрыв сети и контролирует все данные, передаваемые между сотрудниками, внутренними IT-системами организации и интернет-ресурсами. При фильтрации и маршрутизации данных определяются их формат и кодировка передаваемых данных, вскрываются содержимое и заголовки сетевых пакетов, категоризируются веб-запросы и ресурсы. Возможна проверка трафика встроенным антивирусом или другими средствами защиты с помощью протокола ICAP. ![]() Принцип работы Solar webProxy С релизом Solar webProxy 4.1 в состав шлюза вошла сформированная и регулярно обновляемая специалистами центра исследования киберугроз Solar 4RAYS база данных, содержащая URL-адреса, домены и IP-адреса вредоносных ресурсов. Также в продукте появились возможности проксирования трафика, передаваемого по протоколу SOCKS5, и создания правил фильтрации для протоколов WebSocket и WebSocket Secure. В числе прочих доработок Solar webProxy 4.1 фигурируют возможность исключения проверки не валидных сертификатов и расширенные настройки политик безопасности. Ещё одно дополнительное улучшение касается повышения удобства взаимодействия с системой, в том числе со стороны сотрудников. Теперь администратор может создать собственный HTML-шаблон в корпоративном стиле, который будет понятным для пользователя языком оповещать о блокировке запрашиваемого ресурса.
25.06.2024 [11:35], Руслан Авдеев
Хакеры-вымогатели заблокировали правительственный ЦОД в Индонезии и требуют $8 млн [Обновлено]Индонезийские государственные IT-сервисы пострадали от атаки хакеров-вымогателей. The Register сообщает, что местные власти сообщили о заражении национального дата-центра, из-за которого нарушено обслуживание как граждан страны, так и иностранцев. Речь идёт об управляемом Министерством связи и информационных технологий (Kominfo) ЦОД National Data Center (он же Pusat Data Nasional, PDN). Инцидент зарегистрирован 20 июня, но правительство объявило о проблеме только в понедельник. Работа PDN заблокирована, это сказалось как минимум на 210 местных организациях, серьёзно пострадали некоторые местные IT-сервисы. В частности, нарушена работа миграционной службы, из-за чего страна не может своевременно справляться с выдачей виз, паспортов и разрешений на проживание. Это уже привело к очередям в аэропортах, но власти уверяют, что автоматизированные сканеры паспортов уже вновь заработали. ![]() Источник изображения: Fikri Rasyid/unsplash.com Пострадала и онлайн-регистрация новых учащихся в некоторых регионах, из-за чего органы самоуправления на местах были вынуждены продлить сроки регистрации. ПО, поразившее системы PDN, представляет собой вариант LockBit 3.0 — версию Brain Cipher. В Broadcom обнаружили этот «штамм» более недели назад. Как сообщили журналистам представители властей, вымогатели требуют выкуп в размере 131 млрд местных рупий ($8 млн), но пока неизвестно, намерены ли его выплачивать. Для того, чтобы оценить значимость суммы для страны, стоит отметить, что президент Индонезии Джоко Видодо (Joko Widodo) в прошлом месяце приказал чиновникам прекратить разработку новых приложений после того, как те запросили 6,2 трлн рупий ($386,3 млн) для разработки нового софта в этом году. По словам президента, 27 тыс. приложений центральных и местных властей дублируют функции друг друга или не интегрированы должным образом. Небрежность с обеспечением устойчивости работы iT-инфраструктуры может привести к непредсказуемым последствиям. В начале июня сообщалось, что вся информационная система одного из муниципалитетов Западной Австралии зависит от одного-единственного сервера без возможности оперативной замены и в случае инцидента последствия могут оказаться катастрофическими. UPD 26.06.2024: правительство Индонезии отказалось выплачивать выкуп и попытается своими силами восстановить работу ЦОД и сервисов. Говорится об обнаружении образцов LockBit 3.0. Это самая крупная атака на госслужбы с 2017 года.
22.06.2024 [00:05], Алексей Степин
Альянс CHERI будет продвигать технологию надёжной защиты памяти от атак — первой её могут получить процессоры RISC-VВ современных процессорах немало возможностей для атак связано с особенностями работы современных подсистем памяти. Для противостояния подобным угрозам Capabilities Limited, Codasip, FreeBSD Foundation, lowRISC, SCI Semiconducto и Кембриджский университет объявили о создании альянса CHERI (Capability Hardware Enhanced RISC Instructions). Целью новой организации должна стать помощь в стандартизации, популяризации и продвижении на рынок разработанных Кембриджским университетом совместно с исследовательским центром SRI International процессорных расширений, позволяющих аппаратно реализовывать механизмы защиты памяти, исключающие целый ряд потенциальных уязвимостей, например, переполнение буфера или некорректная работа с указателями. Сама технология имеет «модульный» характер. Она может применяться выборочно для защиты функций от конкретных атак и требует лишь весьма скромной адаптации кода. Согласно заявлению CHERI Alliance, огромный пул уже наработанного ПО на языках семейств С и C++ может быть легко доработан для серьёзного повышения уровня безопасности. Кроме того, данная технология позволяет реализовать высокопроизводительные и масштабируемые механизмы компартментализации (compartmentalization) и обеспечения минимально необходимых прав (least privilege). Такое «разделение на отсеки» должно защитить уже скомпрометированную систему и не позволить злоумышленнику развить атаку, даже если он воспользовался ранее неизвестной уязвимостью. Технологии, предлагаемые альянсом CHERI, хорошо проработаны — их развитие идёт с 2010 года, а актуальность массового внедрения подобных решений за прошедшее время успела лишь назреть. Однако для успеха данной инициативы потребуется широкое содействие со стороны индустрии как аппаратного обеспечения, так и программного. Участники альянса настроены оптимистично, однако в их число пока не входит ни один из крупных разработчиков CPU, в частности, Arm. В настоящее время главной архитектурой для приложения своих усилий они видят RISC-V, о чём свидетельствует документация на CHERI ISAv9. Впрочем, черновой вариант расширений имеется и для x86-64. Сама Arm этого оптимизма не разделяет. Компания имеет за плечами пятилетний опыт разработки проекта Morello, основанному на идеях CHERI, но, по словам представителя Arm, процесс тестирования прототипов защищённых систем выявил ряд ограничений, пока препятствующий их широкому распространению на рынке. Тем не менее, работы над платформой Morello будут продолжены. При этом буквально на днях для Arm-процессоров была выявлена атака TikTag, направленная на обход механизма защиты памяти Memory Tagging Extensions (MTE).
19.06.2024 [15:24], Андрей Крупин
«Базальт СПО» дополнила свои платформы описанием закрытых уязвимостей на языке OVALКомпания «Базальт СПО», занимающаяся разработкой системного программного обеспечения на базе Linux, в том числе по требованиям российского законодательства в области защиты информации, реализовала описание закрытых уязвимостей ОС семейства «Альт» на языке OVAL (Open Vulnerability and Assessment Language, «Открытый язык уязвимостей и оценки»). Нововведение позволит заказчикам оперативно получать сведения об исправлениях и централизованно управлять обновлениями безопасности ПО внутри организации. В формируемых «Базальт СПО» файлах OVAL содержатся описания целевых конфигураций операционных систем для применённого исправления и ссылка на информационный бюллетень с подробными сведениями. Доступны данные для баз БДУ (Банк данных угроз безопасности информации ФСТЭК России) и CVE (Common Vulnerabilities and Exposures). ![]() Источник изображения: pikisuperstar / freepik.com Отмечается, что для каждой программной платформы, на которой базируется одно поколение операционных систем «Альт», создаётся отдельный файл формата OVAL. Файлы обновляются ежедневно после публикации репозитория. Информация об исправлениях сохраняется в них в реальном времени и сразу становится публичной. С использованием данных OVAL и соответствующих программных инструментов IT-администраторы могут управлять обновлением операционных систем в сети организации. Дистрибутивы «Альт» поставляются с приложением Trivy, поддерживающим работу с упомянутым форматом. В составе платформ «Альт СП» и «Альт Виртуализация» также имеются средства для взаимодействия с файлами OVAL и своевременного развёртывания апдейтов.
18.06.2024 [10:30], SN Team
«Базис» в два раза сократил сроки проведения испытаний собственных решений для ФСТЭК«Базис», российский разработчик решений для организации динамической инфраструктуры, виртуальных рабочих мест и оказания облачных услуг, сократил срок прохождения испытаний ФСТЭК России с 6 до 3 месяцев. Это стало возможным благодаря внедрению в компании инструментов безопасной разработки и активной работе специалистов вендора в Центре исследований безопасности системного ПО, созданного на базе ИСП РАН по инициативе ФСТЭК России. Сертифицированные решения обязаны проходить испытания в связи с внесением изменений в сертифицированное ранее средство защиты информации (СЗИ) после каждого значимого обновления. Процесс проверки ФСТЭК может занимать около полугода, из-за чего выход сертифицированной версии откладывается, а вместе с этим может откладываться и получение новой функциональности продукта его заказчиком. Выбранный командой «Базиса» подход к разработке экосистемы позволил компании выпускать новые релизы продуктов, сертифицированные и нет, с минимальной разницей во времени. В частности, решение для защиты систем виртуализации и облачных платформ Basis Virtual Security и платформа для управления виртуальными средами Basis Dynamix прошли испытания всего за три месяца. Basis Virtual Security и Basis Dynamix ранее были сертифицированы по 4 уровню доверия на соответствие требованиям ФСТЭК к средствам виртуализации. Достижение столь высокого уровня и получение сертификата стали возможным благодаря использованию методов безопасной разработки и существующим в Basis Virtual Security средствам обеспечения информационной безопасности. Решение «Базиса» позволяет управлять доступом к информационным системам (ИС), реализует технологию единого входа (single sign-on, SSO) в ИС, контролирует целостность средств виртуализации, обеспечивает многофакторную аутентификацию, регистрирует события безопасности и т.д. В целом, предлагаемые Basis Virtual Security инструменты реализуют подавляющее большинство технических мер защиты виртуальной среды. Сертифицированные Basis Dynamix и Basis Virtual Security можно использовать в:
«Для того, чтобы продукт мог называться защищенным, недостаточно единожды получить сертификат — после выхода каждого обновления нужно проходить испытания на соответствие стандартам ФСТЭК, а это серьезно задерживает релиз. Команде «Базис» в сотрудничестве с ИСП РАН и НТЦ Фобос-НТ удалось выстроить вокруг продуктов такой процесс безопасной разработки и проектирования, что новый релиз может проходить испытания всего за три месяца вместо полугода. В совместных планах у нас еще большее сокращение сроков, а также дальнейшее повышение безопасности разработки: «Базис» является активным участником Центра исследования безопасности системного ПО, и проводимые работы по статическому и динамическому анализу исходных кодов регулярно приводят к выявлению и исправлению дефектов. Одним из последних успехов стало выявление уязвимости высокого уровня критичности BDU-2024-04430. Все это говорит о правильности выбранного компанией подхода к разработке и зрелости наших продуктов. Заказчики могут быть уверены, что решения «Базиса» создают безопасную основу для динамической инфраструктуры их организации», — прокомментировал Дмитрий Сорокин, технический директор компании «Базис». Справка о компании «Базис» — ведущий российский разработчик платформы динамической инфраструктуры, виртуализации и облачных решений. Образован в 2021 году путем объединения IT-активов «Ростелеком», YADRO и Rubytech («ТИОНИКС», Digital Energy и «Скала Софтвер»). Компания предлагает клиентам импортонезависимую экосистему продуктов — от инструментов управления виртуальной инфраструктурой и средств ее защиты до конвейера для организации полного цикла разработки. Решения «Базиса» используются в 120 государственных информационных системах и сервисах, и в более чем 700 компаниях различного масштаба — от крупнейших корпораций до малых и средних предприятий. Продукты разработчика интегрированы в ключевые государственные проекты, такие как Гособлако (ГЕОП), Гостех и Госуслуги, а также применяются в федеральных и региональных органах исполнительной власти. Функциональность на уровне зарубежных аналогов и наличие собственной кодовой базы позволяют клиентам «Базиса» увеличить долю использования отечественного ПО в рамках стратегий цифровой трансформации и импортозамещения. Решения компании включены в реестр российского программного обеспечения, сертифицированы ФСТЭК и ФСБ и соответствуют требованиям регуляторов до 1 класса защищенности. |
|