Обзор важных материалов по ИБ 09.10.2023

Государственные инициативы.

• Владимир Путин поручил выделить средства на улучшение ИКТ-инфраструктуры в школах дотационных регионов. Президент России поручил правительству обеспечить в необходимом объёме за счёт средств федерального бюджета софинансирование расходов, осуществляемых субъектами РФ с низким уровнем бюджетной обеспеченности, на создание (развитие) информационно-коммуникационной инфраструктуры в образовательных организациях, расположенных в этих регионах; поручение дано по итогам совещания с членами правительства, состоявшегося 16 августа 2023 года. Доклад – до 15 октября 2023 года и до 1 февраля 2024 года. На этом совещании, напомним, обсуждалось, что из почти 46 тысяч российских школ только девять тысяч (около 20%) имеют Wi-Fi-доступ к Интернету.

• Двухфакторная аутентификация на ЕПГУ стала обязательной при восстановлении учётной записи и для новых пользователей. С 1 октября дополнительное, т.е. в дополнение к вводу пары логин-пароль, подтверждение для входа на единый портал госуслуг (ЕПГУ) стало обязательным для новых пользователей и для тех, кто восстанавливает учётную запись, сообщило Минцифры в воскресенье. Впоследствии после принятия соответствующего постановления правительства второй фактор аутентификации будет обязателен для всех. «Проект постановления о двухфакторной аутентификации в ближайшее время примет правительство. После этого пользователи смогут в последний раз войти в аккаунт без подтверждения [права доступа вторым фактором]», – сообщило Минцифры. Предусмотрены три варианта второго фактора: код из SMS, одноразовый код из специального приложения, вход по биометрии. Сделать второй фактор обязательным планировалось с 1 июня 2023, потом срок перенесли на 1 октября.

• ФСБ хочет получить доступ к геолокации и платежам россиян. Эксперты переживают, что забота о безопасности населения может превратиться в тотальную слежку. Федеральная служба безопасности подготовила проект постановления, обязывающего российских организаторов распространения информации открыть силовикам доступ к геолокации и платежам пользователей. В список ОРИ (организаторов распространения информации) входят банки, социальные сети, проекты Яндекса и другие организации. Силовики хотят получить доступ к транзакциям, сообщениям, геолокации и другим данным пользователей, объясняя это повышением уровня безопасности населения. В список ОРИ, которых хотят обязать раскрывать эти данные, входит более 200 компаний. Эксперты отрасли опасаются, что забота о населении может превратиться в тотальную слежку. Они указывают на «размытые формулировки» в проекте постановления и возможность заставить передавать ФСБ данные даже те компании, которые не входят в реестр ОРИ. Передавать все перечисленные данные компании будут только по запросу ФСБ, однако основания для такого запроса не регламентируются. А кроме нарушения конфиденциальности данных подобные изменения могут и серьёзно отразиться на компаниях, которым придётся потратиться на подготовку инфраструктуры. Что касается принятия постановления, то задержек в данном случае не предусмотрено и оно может вступить в силу совсем скоро, даже несмотря на недовольства в IT-сфере.

• О переходе Госдумы на ОС Astra Linux и пакет «МойОфис» сообщил её председатель. Аппарат Госдумы приобрел для депутатов и государственных служащих 1,8 тысячи лицензий отечественных аналогов операционной системы Windows и пакета офисных программ Microsoft Office, сообщил председатель ГД Вячеслав Володин в среду. Вместо Windows закуплена Astra Linux, вместо Microsoft Office — пакет «Мой офис». На отечественное ПО уже перешли сотрудники четырёх управлений аппарата. «Работа по переустановке операционных систем и офисных программ на компьютерах сотрудников Аппарата ГД, аппаратов фракций и депутатов идет уже больше года и в 2024 году будет продолжена», — сообщается на сайте Госдумы.

• «Обратные» релоканты: Россия планирует вернуть уехавших из страны программистов. Предложен план по удержанию и привлечению IT-специалистов РФ. В России проблема оттока IT-специалистов становится всё более острой, что может негативно сказаться на экономической безопасности страны. Выходом из сложившейся ситуации может стать создание программ поддержки «обратных» релокантов. Такое предложение приводятся в статье «Человеческий капитал в IT-индустрии, экономическая безопасность и технологический суверенитет», с которой ознакомилось издание «Известия». Авторы указывают на необходимость оказания поддержки гражданам, вернувшимся на родину, в вопросах трудоустройства и адаптации. К числу предлагаемых мер относятся: помощь в поиске работы, психологическая поддержка, предоставление временного жилья и материальных пособий. По данным пресс-службы ВНИИ труда, в 2023 году сохраняется высокий спрос на IT-специалистов. Так, за период с января по август было опубликовано 120 тыс. вакансий (около 15 тыс. ежемесячно). Работодатели особенно ценят специалистов с опытом от шести лет, предлагая им зарплату от 150 тыс. рублей по всей стране и до 200 тыс. рублей в Москве. При этом, спрос на начинающих айтишников относительно удовлетворен на рынке.

• Стало известно о намерении Минцифры относительно программ bug bounty. Минцифры РФ планирует в этом году запустить программы поиска уязвимостей за вознаграждение bug bounty для 20 информационных систем, сообщил заместитель директора департамента обеспечения кибербезопасности Минцифры Евгений Хасин на проходящей в Туле Межрегиональной конференции по информбезопасности «Инфофорум-Центр», пишет RSpectr.com в среду.

Инциденты и угрозы.

• 1/3 россиян уже сталкивалась с фейковыми банковскими приложениями. Мошеннические клоны банковских приложений максимально похожи на официальные ресурсы, показывают исследования ITFB Group. Эксперты компании также предупредили об основных уловках создателей фейковых программ для банкинга. По данным исследования, подавляющее большинство россиян (76 процентов) продолжает пользоваться приложениями банков, удаленных с AppStore и Google Play. Однако, несмотря на это, каждый третий житель страны (33 процента) все равно сталкивался с мошенническими программами. При этом четыре процента россиян поддались на уловки преступников и потеряли из-за этого деньги. «Распространять вредоносное ПО через магазины приложений у мошенников получается не всегда, поэтому они широко используют социальную инженерию и убеждают пользователей установить программу с помощью соцсетей, мессенджеров, телефонных обзвонов», – констатировал руководитель отдела iOS-разработки департамента мобильной разработки ITFB Group Никита Бородкин. «Еще до блокировки приложений российских банков в официальных маркетплейсах была вероятность того, что пользователи могут установить фейковый дубликат и стать жертвой мошенников. Сейчас, когда установка приложений производится из сторонних источников, такой риск значительно вырос. При этом, мошенники не ждут у моря погоды, а активно применяют методы социальной инженерии для обмана пользователей мобильных банков: фишинговые письма и телефонные звонки от лица банков. Кроме дубликатов приложений банков, еще есть шпионское ПО, которое крадет информацию с вашего телефона: пароли от социальных сетей, список контактов, номер банковской карты и другую платежную информацию», – говорит главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.

• Безопасность iPhone на грани: новая 0day-уязвимость вызвала массовые атаки на пользователей. Apple экстренно устраняет ошибку, позволяющую захватить контроль над устройством. Apple выпустила экстренные обновления безопасности для устранения новой уязвимости нулевого дня, которая была эксплуатирована в атаках на пользователей iPhone и iPad. В официальном заявлении Apple сообщило, что знает об активной эксплуатации ошибки в версиях iOS до iOS 16.6. 0day-уязвимость CVE-2023-42824 вызвана ошибкой в ядре XNU, которая позволяет локальному пользователю повысить привилегии на уязвимых iPhone и iPad. Хотя Apple утверждает, что устранила проблему, улучшив проверки, компания пока не раскрыла, кто обнаружил и сообщил о недостатке.

• Очередной разгром НАТО: в сеть утекли стратегические документы Альянса. Новая утечка данных вызвала беспокойство за уровень защиты ведомства. НАТО заявляет, что активно устраняет последствия инцидента, затронувшего сайты Альянса после того, как хакерская группа SiegedSec заявила, что украла у НАТО многочисленные документы стратегического планирования и исследований. Отмечается, что содержание документов не засекречено и предназначено для официального использования только среди стран НАТО и стран, входящих в разведывательный альянс Five Eyes. По утверждениям хакеров, среди украденных документов были материалы по гиперзвуковому оружию, дронам и процедурам тестирования радиоактивных отходов. Недавние киберинциденты, затронувшие сайты НАТО, вызвали беспокойство относительно способности альянса обеспечивать безопасность своих коммуникационных сетей. НАТО принимает серьезные меры по улучшению кибербезопасности в ответ на подобные инциденты. Официальный представитель НАТО заявил, что специалисты активно работают над решением проблем, связанных с инцидентами на некоторых несекретных сайтах альянса, и ввели дополнительные меры по кибербезопасности. В НАТО также подчеркнули, что инциденты не повлияли на миссии и операции НАТО.

• Хакеры начали использовать инновационные решения, построенные на ИИ. 2 октября в галерее «Цифергауз» состоялись завершающие мероприятия Всероссийских киберучений по информационной безопасности с участием студенческих команд и ведущих экспертов из области инфобеза. Заместитель генерального директора компании «Газинформсервис» Роман Пустарнаков рассказал, как сегодня атакуют хакеры и об эффективных методах борьбы с ними. Эксперты наградили победителей учений и обсудили вопросы подготовки специалистов в области ИБ в ходе круглого стола. Участники ответили на актуальные вопросы – кто такой специалист по информационной безопасности, как научить сейчас тому, что будет нужно через 5 лет и какие возможности открывает в информационной безопасности искусственный интеллект. В дискуссии, которую модерировала, кандидат технических наук Лидия Виткова, приняли участие ректор СПбГУТ Руслан Киричек, заместитель председателя ФУМО ИБ ВО, председатель ФУМО ИБ СПО Евгений Белов, руководитель управления ФСТЭК России по СЗФО Дмитрий Шакин, заместитель руководителя Роскомнадзора по СЗФО Сергей Мельников, директор Института кибербезопасности и защиты информации СПбПУ, член-корреспондент академии РАН Дмитрий Зегжда, заместитель генерального директора «Газинформсервиса» Роман Пустарнаков. «Специалист по информационной безопасности должен быть сильным в совершенно разных областях. Так как с одной стороны карьера может быть построена в разработке, с другой – в работе с заказчиками или в проектировании защиты и в управлении ИБ. Важно, чтобы специалист был эрудирован и хотел познавать новое», – отметил Роман Пустарнаков. Цитируя одного из своих преподавателей, спикер поделился с аудиторией – «Что такое образование? Образование – это то, что останется, когда все выученное забудется. А что же останется? Останется умение работать с информацией и умение учиться и развиваться».

• 10% владельцев отремонтированных в сервисах смартфонов становятся жертвами утечек. В год россияне приносят на ремонт в сервисы порядка 4,7 миллиона смартфонов. Как подсчитала компании Artezio, в более чем 10% случаев хозяева отремонтированных мобильных телефонов становятся жертвами утечек данных. Результаты исследования опубликовала Газета.ру. В 7,3% случаев предметом утечек стали личные фотографии и видео. В 4,8% случаев выполнявшие ремонт мастера несанкционированно использовали установленные на смартфоне приложения. Наконец в 3,5% случаев злоумышленники получили данные для входа в учетные записи и облачные хранилища. В 2,4% от общего количества случае утечка информации со смартфона в процессе его ремонта обернулась репутационными и финансовыми потерями. Среди столкнувшихся с утечками 58% заявили, что больше не отдадут свое устройство на ремонт непроверенным мастерам. 25% после инцидента перешли на двухфакторную аутентификацию. Организаторы исследования также опросили отдававших свои смартфоны в ремонт, и тех, кто никогда этого не делал. 70% респондентов в этой части исследования заявили, что риск компрометации данных не является для них достаточным мотиватором для профилактических мер. 80% опрошенных пояснили свою позицию тем, что не хранят на смартфонах какие-либо значимые данные.

• Новые уязвимости в Supermicro BMC поставили тысячи серверов под удар. Компания Supermicro выпустила обновления, чтобы закрыть семь уязвимостей в прошивках IPMI. Одна из них позволяет через инъекцию команд получить root-доступ и полностью скомпрометировать BMC-систему. Проблема, обнаруженная, как и остальные, экспертами Binarly, получила идентификатор CVE-2023-40289. Эксплойт требует аутентификации и прав администратора; в случае успеха злоумышленник сможет закрепиться в системе и развить атаку, продвигаясь вширь по сети. Степень опасности уязвимости Supermicro оценила в 7,2 балла по шкале CVSS — как высокую. Авторы находки сочли дыру критической (9,1 балла CVSS).

Исследования.

• В системе цифровых платежей в Индии зафиксирован рекорд – сравниваем с РФ. В Unified Payments Interface (UPI), сервисе цифровых платежей в Индии, зафиксирован рекордный объём переводов в сентябре 2023 — 15,80 триллиона рупий, количество транзакций составило 10,56 миллиарда, сообщает в понедельник The Economic Times, издание пишет об этом как о достижении. Месяцем ранее количество транзакций в UPI составило 10,58 миллиарда на общую сумму 15,76 триллиона рупий. Это значительный рост по сравнению с январём 2018. Тогда в UPI был фиксирован 151 миллион транзакций. Резкое увеличение количества операций издание связывает с ростом оплаты физическими лицами товаров и услуг. Сравним с отечественной СБП. Во втором квартале 2023 года граждане провели через СБП более 1,6 миллиарда операций на сумму 7 триллионов рублей, что превышает показатели аналогичного периода прошлого года более чем в два раза. Средняя сумма транзакции – 4375 рублей. В июне в Индии посредством UPI было совершено 9,3 миллиарда операций, или 6,7 операции на душу населения. Общим объём транзакций – 14,75 триллиона рупий. Средняя транзакция – менее 1600 рупий. Гражданин РФ переводит в месяц через СБП 16 с лишним тысяч рублей, гражданин Индии (по курсу рупии на день публикации) – около 20 тысяч. СБП в России не единственная система цифровых платежей – большей популярностью пользуются цифровые платёжные сервисы банков, прежде всего Сбера, мобильное приложение которого для граждан стало де-факто универсальным средством цифровых переводов.

• Дипфейки медийных личностей начали использовать в рекламе. В США набирает обороты тенденция использования в рекламе различных продуктов дипфейков известных личностей. Сразу о двух случаях такой рекламы пишет ARS Technika. Сначала своих подписчиков в признанном в РФ экстремистским Instagram предупредил о новой опасности актер и продюсер Том Хэнкс. Он рассказал, что созданная искусственным интеллектом его копия использовать для продаж плана обслуживания в стоматологической клинике. С похожей проблемой столкнулась и американская телеведущая Гейл Кинг. Ее созданное искусственным интеллектом подобие рекламировало программу потери веса. Обе медийных персоны заявили в социальных сетях, что не имеют ничего общего с предлагаемым продуктом и никогда не использовали его. Они призвали подписчиков с осторожностью относиться к такой рекламе.

• OpenAI рассматривает возможность создания собственных чипов для искусственного интеллекта. Что творится в лабораториях OpenAI? Они готовят что-то грандиозное в мире чипов. Компания OpenAI, стоящая за ChatGPT, рассматривает возможность создания собственных чипов для искусственного интеллекта. В рамках этого исследования она даже оценивала потенциальные объекты для приобретения, согласно источникам, знакомым с планами компании. На данный момент компания еще не приняла окончательного решения о создании чипов, однако рассматривает различные варианты для решения проблемы дефицита дорогостоящих чипов AI, на которых зависит OpenAI. К числу рассматриваемых вариантов относятся создание собственного чипа AI, усиление сотрудничества с другими производителями чипов, включая Nvidia, а также расширение круга поставщиков. Генеральный директор OpenAI, Сэм Альтман, считает приобретение большего количества чипов AI приоритетом для компании. Он выразил свою обеспокоенность относительно дефицита графических процессоров, рынок которых на 80% контролируется Nvidia.

• Мировые продажи чипов упали год к году на 6,8% – данные SIA. Глобальные объёмы реализации микросхем упали в августе 2023 на 6,8% год к году до 44 миллиардов долларов, следует из опубликованной в среду статистики Ассоциации полупроводниковой промышленности США (Semiconductor Industry Association, SIA). По сравнению с июлем 2023 продажи в августе увеличились на 1,9%. В SIA выразили надежду на сохранение этой тенденции в последующие месяцы. Что касается годовых показателей, то с августа 2022 по август 2023 объёмы реализации чипов выросли в Европе на 3,5% и в Америке на 0,3%. В Японии, Китае, Азиатско-Тихоокеанском /остальных регионах падение продаж составило соответственно 2,9%, 12,6%, 11,3%.

Инновации.

• Сингапурские ученые создали супергибкий и самовосстанавливающийся материал. Схемы на жидком металле устанавливают новые стандарты электроники будущего. Ученые из Национального университета Сингапура (NUS) создали уникальный материал, идеально подходящий для гибких электронных схем. Этот прорыв может кардинально улучшить работу носимых технологий, мягких роботов и других умных устройств. Созданный материал, получивший название Биламинарный жидко-твердый проводник (BiLiSC), способен растягиваться до 22 раз относительно своей первоначальной длины без значительной потери в электропроводимости. Этот электромеханический показатель, которого ранее не достигали, улучшает взаимодействие человека с устройством и расширяет возможности его использования в медицинских носимых устройствах. Профессор Лим Чви Тек, руководитель исследовательской группы, подчеркнул: “Мы разработали эту технологию, чтобы удовлетворить потребность в прочной схеме с высокой функциональностью для следующего поколения носимых, роботизированных и умных устройств.” BiLiSC представляет собой двухслойную технологию. Первый слой — это чистый жидкий металл, который обеспечивает высокую проводимость даже при высоких деформациях. Второй слой состоит из композитного материала с микрочастицами жидкого металла, который может восстанавливаться после повреждения. При образовании трещин или разрывов жидкий металл, вытекающий из микрочастицы, заполняет зазор, позволяя материалу почти мгновенно восстановить свою проводимость. Для коммерческой пригодности команда NUS разработала метод быстрого и экономичного производства BiLiSC. Результаты исследования были опубликованы в журнале Advanced Materials в ноябре 2022 года.

• Разработано устройство, устанавливающее новые стандарты в чувствительности обнаружения ДНК. Представляем устройство, которое обнаруживает ДНК быстрее, чем вы готовите кофе. Когда врачи хотят узнать, страдает ли пациент от определенного заболевания, они могут проверить кровь или мочу пациента на наличие ДНК конкретного вируса или бактерии или на мутированную версию собственной ДНК пациента. Новое устройство должно сделать этот процесс намного быстрее и проще. Одной из проблем современных электронных методов обнаружения ДНК является то, что целевая ДНК изначально может присутствовать в низких концентрациях. В результате электростатические и электрохимические сигналы, производимые другими молекулами в образце крови или мочи, могут заглушить характерные сигналы, производимые ДНК.

Обзор по ИБ подготовил Дмитрий Рожков.