Государственные инициативы.
- К 2030 году каждому гражданину присвоят цифровой медицинский профиль – министр здравоохранения. Цифровой медицинский профиль гражданина будет сформирован к 2030 году, сообщил в пятницу министр здравоохранения РФ Михаил Мурашко на расширенном заседании коллегии Минздрава России. «Принципиально важно, что доступ к этому профилю будет гарантирован не только медицинским работникам для принятия клинических решений, но и самому пациенту — для повышения его информированности и вовлечённости в заботу о собственном здоровье», — сказал министр. По словам Мурашко, «цифровизация пронизывает абсолютно все задачи, стоящие перед отраслью». К 2030 году завершится создание единой цифровой платформы по управлению здоровьем. Эта платформа должна агрегировать всю совокупность знаний о пациенте, ресурсах медицинской организации и компетенциях медицинского работника, накопленных в системе здравоохранения. Глава Минздрава России отметил, что в системе здравоохранения меняется подход к работе с данными — уход от бумажного формата к цифровому. С прошлого года уже действуют все формы электронных медицинских документов, утвержденные решением президиума правительственной комиссии по цифровому развитию. Активно расширяется применение медицинских изделий с искусственным интеллектом.
- Эксперимент по внедрению электронного кадрового документооборота в ФОИВ продлевается с увеличением числа участников. Для общественного обсуждения опубликован проект постановления, продлевающего срок проведения эксперимента по использованию электронных документов в кадровой работе отдельных федеральных органов исполнительной власти (ФОИВ) с 29 мая 2026 года до 31 мая 2027 года. Также проектом документа расширяется количество участников – к ним добавляются Минобрнауки, ФАС, Роскомнадзор и Федеральная пробирная палата. Эксперимент проводится с 1 июня 2023 года, согласно постановлению от 18 марта 2023 г. № 413. До сих пор в нём принимали участие: Минцифры; Минтруд; Минфин; Минэкономразвития; Минэнерго; Федеральное казначейство; ФНС; Росреестр; Роспатент; Рособрнадзор; Росавиация; Рослесхоз; Росстандарт; федеральные государственные гражданские служащие указанных органов (на добровольной основе); граждане РФ, претендующие на замещение должностей федеральной государственной гражданской службы или поступающие на федеральную государственную гражданскую службу в указанные органы (на добровольной основе). С перенесением срока завершения эксперимента меняется также и дата предоставления отчёта о его результатах: с 26 июня 2026 года на 30 июня 2027 года. В ходе эксперимента документы, используемые в кадровой работе, в отношении которых предусмотрено их оформление на бумажном носителе и (или) ознакомление с ними в письменной форме, формируются в виде электронных документов во ФГИС «Единая информационная система управления кадровым составом государственной гражданской службы Российской Федерации» (ЕИСУКС).
- В России придумали, как сохранить домены для иностранных компаний. Группа «Рунити», в которую входят «Руцентр», «Рег.ру», «Рег.облако», SpaceWeb и другие компании, собирается к лету запустить сервис, который должен упростить регистрацию доменов в России для иностранных компаний. Об этом на Russian Internet Governance Forum рассказал глава группы Андрей Кузьмичев. По сути, речь идёт об аналоге trustee-сервиса. Это схема, при которой местная компания формально становится держателем домена, а реальный владелец управляет им на основании договора. Такой механизм давно используется в странах, где национальные домены можно регистрировать только при наличии местного присутствия — например, в Австралии, Сингапуре, Италии и Франции. Для России это новая история. До сих пор иностранные компании могли напрямую регистрировать домены в зонах .RU, .РФ и .SU. Но ситуация меняется: с 1 сентября 2026 года в стране должно заработать новое требование — верификация владельца домена через ЕСИА. А вот отдельный порядок для иностранных компаний в проекте правил пока не прописан. Именно на этом фоне и появляется идея нового сервиса. Предполагается, что он поможет нерезидентам сохранить возможность администрировать домены в российских зонах, даже если прямое подключение к ЕСИА для них окажется слишком сложным. Заодно, по задумке разработчиков, это должно усложнить жизнь мошенникам, которые нередко прячутся именно за иностранной регистрацией. По словам Андрея Кузьмичева, сейчас «Рунити» работает над интерактивной процедурой идентификации клиентов. То есть сервис, судя по всему, будет не просто формальной прокладкой, а ещё и инструментом проверки тех, кто хочет воспользоваться этой схемой.
Инциденты и угрозы.
- Облака больше не гарантируют тайну. Взломана главная технология безопасности чипов AMD. Одна ошибка в маршрутизации обнулила безопасность чипов. Облачные серверы, которые обещают полную защиту данных, оказались не такими уж неприступными. Специалисты нашли способ обойти одну из ключевых технологий защиты в процессорах AMD – причём без физического доступа к оборудованию. Атака под названием FABRICKED нацелена на технологию защищённых виртуальных машин AMD SEV-SNP, которую используют облачные провайдеры для изоляции клиентских данных. Суть проблемы кроется в том, как внутри процессора передаются данные между компонентами. В современных чипах AMD используется внутренняя шина Infinity Fabric. Она связывает ядра, память и устройства ввода-вывода. Когда система запускается, прошивка настраивает правила маршрутизации: какие данные куда отправлять. Предполагалось, что даже при недоверенной прошивке защита SEV-SNP останется надёжной. Однако FABRICKED показывает обратное. Злоумышленник с доступом к гипервизору или прошивке может изменить правила маршрутизации и перенаправить важные операции. В результате защитный сопроцессор получает ложную картину системы и инициализирует её неправильно. Атака позволяет читать и записывать произвольные данные в память защищённой виртуальной машины. Более того, злоумышленник может подделывать отчёты проверки подлинности, которые должны подтверждать, что система работает в безопасном режиме. Ключевая проблема связана с таблицей RMP, которая отвечает за контроль доступа к памяти. Когда система запускается, сопроцессор должен заполнить эту таблицу корректными данными. Но если перенаправить записи, таблица остаётся в небезопасном состоянии. Тогда гипервизор получает доступ к памяти виртуальной машины, хотя не должен его иметь.
- Старая дыра в Excel снова в деле: CISA внесла 17-летний баг в список реально эксплуатируемых. В США в каталог Known Exploited Vulnerabilities добавили CVE-2009-0238 – старую, но все еще рабочую уязвимость Microsoft Excel, для которой уже зафиксирована эксплуатация в атаках. Речь идет не о новом 0-day, а о давно известной бреши, которую снова начали использовать против систем с устаревшими версиями Office. Механика атаки классическая для офисных документов: жертву нужно убедить открыть специально подготовленный Excel-файл. Если внутри есть поврежденный объект, Excel может выполнить произвольный код с правами текущего пользователя, а в удачном сценарии злоумышленник получает полный контроль над машиной. Microsoft еще в 2009 году описывала этот баг как remote code execution и выпускала под него критическое обновление MS09-009. Уязвимость затрагивает совсем старые редакции – Excel 2000 SP3, 2002 SP3, 2003 SP3, 2007 SP1, Excel Viewer, Compatibility Pack 2007 SP1, а также Office 2004 и 2008 для Mac. В описании CVE отдельно указано, что этот баг уже использовался вживую еще в феврале 2009 года для доставки Trojan.Mdropper.AC. То, что он снова попал в KEV, показывает неприятную вещь: даже уязвимости почти двадцатилетней давности продолжают работать там, где в ходу старый Office и слабая гигиена по вложениям. Защите здесь максимально простая: риск привязан не к новым версиям Excel, а к легаси-системам, которые давно должны были уйти из эксплуатации. Но именно такие «мертвые» офисные сборки до сих пор остаются удобной точкой входа через фишинг и вредоносные документы.
- Школьников заманивают в ловушку от имени школы ради аккаунтов в MAX. Аналитики сервиса Smart Business Alert (SBA) компании ЕСА ПРО, входящей в ГК «Кросс технолоджис», предупредили о волне атак на школьников, в которых злоумышленники действуют от имени руководства учебных заведений. Конечная цель таких схем — кража аккаунтов в российском мессенджере MAX. Как отмечают в SBA, выбор этой аудитории не случаен. Он связан с началом периода подготовки к экзаменам, когда школьники и их родители становятся особенно восприимчивыми к манипуляциям на темы, связанные со школой. Наиболее распространённый сценарий — фишинговая схема. Ученикам предлагают проголосовать за свою школу в некоем конкурсе. Для этого нужно перейти по ссылке и подтвердить участие. Затем жертву просят ввести номер телефона, к которому привязан аккаунт в MAX, а также код из СМС. Поскольку аккаунт в MAX тесно связан с учётной записью на Госуслугах, перехват этих данных может открыть злоумышленникам доступ и к личному кабинету пользователя. Атака может развиваться и по более сложному сценарию: в неё подключаются лжесотрудники правоохранительных органов, которые начинают запугивать жертву уголовной ответственностью за использование «мошеннического ресурса».
- Claude взломал Chrome за 2283 доллара. Anthropic пыталась это предотвратить — и не смогла. Компания решила не выпускать модель для хакеров — но обычная справилась сама. Anthropic решила не выпускать в открытый доступ модель Mythos, заточенную под поиск уязвимостей. Причина простая: риск оказался слишком очевидным. Инструмент, который умеет находить слабые места в коде, с той же лёгкостью может подсказать, как их использовать, причём быстрее, чем разработчики успеют закрыть дыру. При этом даже без Mythos ситуация уже изменилась. Исследователь Мохан Педхапати, технический директор Hacktron, показал, что доступная модель Opus 4.6 способна довести атаку до конца. Он собрал полноценную цепочку эксплуатации для движка V8, который используется в Chrome и встроен в приложения вроде Discord. Эксперимент занял около недели. За это время модель прогнала примерно 2,3 миллиарда токенов, а расходы на API составили 2283 доллара. Педхапати вручную направлял процесс, вытаскивая модель из тупиков и корректируя ход работы. В итоге удалось добиться классического результата для демонстрации уязвимости — запустить калькулятор на целевой системе. В профессиональной среде это стандартный признак того, что выполнение кода удалось перехватить. Главная деталь в том, что использованная уязвимость – не какая-нибудь экзотика. Речь идёт об ошибке выхода за границы памяти в V8, известной по более свежим версиям Chrome. Та же ветка движка используется, например, в настольном клиенте Claude. В качестве цели выбрали Discord, потому что его версия Electron заметно отстаёт: внутри работает Chrome 138, тогда как актуальные релизы ушли далеко вперёд.
- Эксперты «Лаборатории Касперского» обнаружили в App Store фальшивые приложения, мимикрирующие под популярные криптокошельки. Злоумышленники используют их как приманку: если скачать такую программу, она перенаправит пользователя на фишинговую страницу, где ему предложат повторно скачать «нужное» приложение. Об этом CNews сообщили представители «Лаборатории Касперского». На самом деле так атакующие распространяют троянизированные версии криптокошельков. Согласно метаданным из обнаруженных образцов, кампания активна как минимум с осени 2025 г. Предположительно, за ней стоят злоумышленники, ответственные за атаки SparkKitty. Обо всех выявленных вредоносных приложениях «Лаборатория Касперского» уведомила Apple. Как троянец попадает на устройство. Всего эксперты обнаружили 26 фальшивых приложений, имитирующих популярные криптокошельки, включая MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie. Чтобы такие приложения выглядели легитимно и не вызывали подозрений, злоумышленники копировали оригинальные визуальные элементы — иконки и названия, а также добавляли в них так называемые функции-заглушки: игры, калькулятор, менеджеры задач. После установки и запуска приложение открывает в браузере пользователя фишинговую страницу, имитирующую App Store, где ему предлагается повторно скачать «нужное» приложение для управления криптовалютой. На самом деле через такие страницы распространяются троянизированные версии криптокошельков. Механизм установки вредоносного ПО аналогичен ранее описанной кампании SparkKitty: злоумышленники используют инструменты разработчика для распространения корпоративных приложений. В расчете на доверчивость пользователя они побуждают его установить на устройство профиль разработчика, что в дальнейшем позволяет загрузить вредоносное приложение.
- Ноутбучные фермы для КНДР: в США вынесли приговор по схеме фиктивных IT-наймов. В США к длительным срокам приговорили двух граждан страны, которые помогали северокорейским IT-специалистам устраиваться на удаленную работу под видом американских сотрудников. Следствие считает, что схема работала с 2021 по октябрь 2024 года, затронула более 100 компаний, включая Fortune 500, использовала личности как минимум 80 граждан США и принесла КНДР свыше $5 млн. Технически схема строилась вокруг так называемых laptop farms. Организаторы получали корпоративные ноутбуки на адреса в США и размещали их у себя дома, чтобы работодатель видел подключение с американской территории. Затем устройства подключали к KVM-переключателям, после чего зарубежные исполнители получали удаленный доступ к рабочим машинам. Для легализации найма использовались подставные компании и связанные с ними банковские счета, через которые проходили выплаты от работодателей. По данным Минюста США, один из фигурантов получил 108 месяцев тюрьмы, второй – 92 месяца. Суд также назначил по три года надзора после освобождения, конфискацию в общей сложности $600 тыс. и отдельную реституцию в размере $29 236,03. В материалах дела отдельно говорится, что участники схемы получили доступ к чувствительным данным работодателей, включая ITAR-информацию оборонного подрядчика из Калифорнии и исходный код. Ущерб американским компаниям, включая юррасходы и восстановление сетей, оценен минимум в $3 млн.
Исследования.
- Рынок e-commerce теряет сотни миллионов в день. Виной всему война с VPN. Борьба с блокировками убивает удобство онлайн-заказов. Маркетплейсы, похоже, начали терять продажи из-за борьбы с VPN. В аффилиат- и рекламных чатах жалуются, что трафик из Telegram, Instagram* и YouTube стал хуже доходить до карточек товаров: приложения требуют отключить VPN, не открывают ссылки или сбиваются при переходе. В результате часть покупателей просто не завершает путь до заказа. О проблеме написал канал AiGenda Live со ссылкой на обсуждения в профильной среде. По словам участников рынка, конверсия такого трафика просела как минимум на 40%, а сильнее всего страдают импульсивные покупки, где человек должен быстро перейти по рекламе и сразу оформить заказ. Когда вместо карточки товара пользователь видит предупреждение, загрузку или отказ в доступе, продажа часто срывается. Авторы жалоб считают, что последствия уже заметны не только для продавцов, но и для всей рекламной воронки. При падении конверсии снижается эффективность размещений, проседает средний чек, а потери для e-commerce могут исчисляться сотнями миллионов рублей в день. Дополнительные сбои, как утверждают пользователи, задевают и клиентов с российскими аккаунтами, которые выходят в интернет через Беларусь и Казахстан.
- TCP, подвинься. Почему протокол QUIC скоро станет основой интернет. Как на ходу перестроить фундамент интернета и не сломать его — объясняем на примере протокола QUIC. Интернет держался на двух старых опорах почти полвека: TCP переносил данные, UDP помогал там, где важнее скорость, чем надежность. Теперь у сетевого стека появился третий серьезный претендент на роль базового протокола. QUIC уже давно работает под капотом веба, но по мере роста нагрузки и усложнения сервисов становится ясно: речь идет не просто о техническом улучшении HTTP, а о более глубокой перестройке логики сетевого обмена. Авторы новой редакции Computer Networks: A Systems Approach решили заметно расширить раздел о QUIC. Причина проста: в ближайшие годы значение протокола может оказаться сопоставимым с ролью TCP. Ради такого обновления один из авторов, Брюс Дэви, заново прошелся по RFC, ранним спецификациям QUIC и публикациям о развитии SPDY и HTTP/2, чтобы собрать более полную и точную картину. Одна из первых сложностей оказалась почти бытовой, но показательной. Спецификации QUIC занимают сотни страниц, однако почти не дают наглядных схем заголовков пакетов. Для сетевых инженеров и разработчиков, которые привыкли разбирать протоколы буквально по битам, такой подход усложняет чтение. QUIC активно использует поля переменной длины, многие из которых не выровнены по 32-битным границам, поэтому классические аккуратные схемы здесь рисовать неудобно. Именно поэтому автор решил подготовить собственные иллюстрации заголовков, чтобы упростить восприятие структуры пакета. Такая архитектура отражает саму философию QUIC. Протокол старается одновременно решить две задачи: не тратить лишние байты и не упереться в старые ограничения, как раньше случалось с TCP и IP. В предыдущих поколениях сетевых протоколов разработчики не раз закладывали поля фиксированной длины, а спустя годы выяснялось, что размеров уже не хватает. QUIC уходит от ловушки за счет переменной длины полей. Например, идентификаторы соединения могут достигать 160 бит.
Инновации.
- Помехи? Нет, не слышали. Компактный приемник Франции стал головной болью для РЭБ систем. Французы сделали навигатор для дронов, который не тупит, когда эфир превращается в кашу. Французская Thales показала компактную военную систему, которая помогает не потерять навигацию и связь там, где радиоэфир уже забит помехами, а спутниковый сигнал пытаются заглушить или подменить. Новый приемник TopStar Smart Receiver рассчитан на технику сухопутных войск, беспилотники и боеприпасы и должен сохранять работоспособность даже в сложной обстановке радиоэлектронной борьбы. TopStar Smart Receiver объединяет сразу три функции: позиционирование, навигацию и точное время. Такой набор особенно важен для армии, потому что сбой координат или рассинхронизация быстро ломают связь между подразделениями, мешают управлению техникой и снижают точность работы беспилотных систем. Thales делает ставку на устойчивость комплекса к помехам, чтобы военные платформы не теряли ориентирование в момент, когда обычные спутниковые приемники уже начинают давать сбои. Внутри стоит двухсозвездный GNSS-приемник, который работает с военными сигналами, Galileo PRS и гражданским GPS. Такая схема повышает точность и доступность навигации, а заодно помогает защищаться от спуфинга, когда противник подсовывает ложные координаты. Для современной армии такая угроза стала обычной проблемой: подмена сигнала может увести дрон с маршрута, сорвать движение техники или испортить работу высокоточного оружия. Еще одна важная часть системы – защита от глушения. Thales сообщает, что адаптивная антенна CRPA снижает влияние помех и позволяет работать на расстоянии до 30 раз ближе к источнику глушения по сравнению с обычным GPS-приемником. Для боевой техники и беспилотников разница принципиальная, потому что именно вблизи зоны подавления навигация обычно начинает рушиться первой.
Обзор по ИБ подготовил Дмитрий Рожков.
