Кибервойна
08.02.202517:11
За последние месяцы в Балтийском море произошло несколько инцидентов с повреждением подводных кабелей. Сегодня "Ростелеком" сообщил, что некоторое время назад из-за внешнего воздействия повреждён был и его кабель. Ведутся восстановительные работы.
05.02.202509:23
"Большая часть кибератак и мошеннических инцидентов от общего числа, совершенных в 2024 году против ряда секторов экономики, приходится на деятельность проукраинских группировок. Об этом сообщил на форуме по информационной безопасности «Инфофорум-2025» замдиректора созданного под эгидой ФСБ Национального координационного центра по компьютерным инцидентам Алексей Иванов".
https://www.rbc.ru/rbcfreenews/67a326b79a79472ceeaeea7e
https://www.rbc.ru/rbcfreenews/67a326b79a79472ceeaeea7e
03.02.202512:56
На этой неделе в Москве пройдёт «Инфофорум», в программе которого традиционно есть сессия по международной информационной безопасности. Ещё одна сессия по тематике канала посвящена киберинцидентам и защите КИИ. С форума будет вестись трансляция.
10.12.202418:25
Кстати, забыл добавить, что предложение российских экспертов-геополитиков проводить кибератаки против европейской критической инфраструктуры отлично рифмуется с представлениями некоторых европейских чиновников, например, британского министра Пэта Макфаддена. В конце ноября он заявил: «Но кибервойна также может оказать дестабилизирующее и разрушительное воздействие. С помощью кибератаки Россия может отключить свет миллионам людей. Она может вывести из строя электросети». Правда, ряд западных специалистов подверг это выступление критике за преувеличение угрозы со стороны России (а Financial Times выпустила карикатуру про состояние британской инфраструктуры).
08.10.202421:31
Появился официальный комментарий Судебного департамента при Верховном суде РФ по ситуации со сбоем ГАС «Правосудие»:
«С 7 октября 2024 г., в связи со сбоем в работе
ГАС «Правосудие», временно недоступны:
интернет-сайты федеральных судов (в доменах arbitr.ru, sudrf.ru), мировых судей (в домене msudrf.ru), Судебного департамента при Верховном Суде Российской Федерации, управлений Судебного департамента в субъектах Российской Федерации, органов судейского сообщества;
подача процессуальных обращений и жалоб в электронном виде через модули «Электронное правосудие» и «Система подачи жалоб на действие судей и работников аппаратов арбитражных судов» на сайтах судов и на едином портале государственных и муниципальных услуг (ЕПГУ).
Имеются затруднения в работе почтовых сервисов ГАС «Правосудие».
Не осуществляется рассылка уведомлений от ИС «Электронное правосудие».
Судебным департаментом и Информационно-аналитическим центром поддержки ГАС «Правосудие» проводятся работы по восстановлению работоспособности сервисов.
До окончания работ неотложные заявления и запросы могут быть направлены в суд на бумажном носителе в соответствии с действующим законодательством.
Подача документов в электронном виде через информационный сервис «Мой арбитр» в федеральные арбитражные суды осуществляется в штатном режиме».
«С 7 октября 2024 г., в связи со сбоем в работе
ГАС «Правосудие», временно недоступны:
интернет-сайты федеральных судов (в доменах arbitr.ru, sudrf.ru), мировых судей (в домене msudrf.ru), Судебного департамента при Верховном Суде Российской Федерации, управлений Судебного департамента в субъектах Российской Федерации, органов судейского сообщества;
подача процессуальных обращений и жалоб в электронном виде через модули «Электронное правосудие» и «Система подачи жалоб на действие судей и работников аппаратов арбитражных судов» на сайтах судов и на едином портале государственных и муниципальных услуг (ЕПГУ).
Имеются затруднения в работе почтовых сервисов ГАС «Правосудие».
Не осуществляется рассылка уведомлений от ИС «Электронное правосудие».
Судебным департаментом и Информационно-аналитическим центром поддержки ГАС «Правосудие» проводятся работы по восстановлению работоспособности сервисов.
До окончания работ неотложные заявления и запросы могут быть направлены в суд на бумажном носителе в соответствии с действующим законодательством.
Подача документов в электронном виде через информационный сервис «Мой арбитр» в федеральные арбитражные суды осуществляется в штатном режиме».
02.10.202406:43
Дело SugarLocker отправилось в суд
В Пресненском районном суде Москвы на 8 октября назначены заседания по делам Ермакова А.Г. и Ленина М.Б. Оба подсудимых проходят по ст. 273 ч. 2 УК — создание, использование или распространение вредоносных компьютерных программ, совершённые группой лиц или организованной группой / причинившие крупный ущерб или совершённые из корыстной заинтересованности.
Вероятно, обвиняемые — это Ермаков Александр Геннадьевич и Ленин (Шефель) Михаил Борисович, а дело связано с группой вымогателей SugarLocker.
В январе Александр Ермаков попал под санкции США, Австралии и Великобритании, обвинивших его в причастности ко взлому австралийского страховщика Medibank в 2022 году (см. хронологию взлома и переписку со злоумышленниками). Этот инцидент тогда стал причиной небольшого дипломатического скандала между Австралией и Россией.
США (но не Австралия и не Великобритания) тогда связали взломщиков Medibank с REvil — однако, судя по всему, ошибочно.
Через пару дней Брайан Кребс в своём расследовании о Ермакове обратил внимание, что пользователь с таким же ником (GustaveDore) был создателем ransomware-программы Sugar или Encoded01, работавшей с ноября 2021 года. Также GustaveDore рекламировал компанию по разработке ПО Shtazi-IT. Кребс нашёл ещё одного человека — Михаила Борисовича Шефеля, который рекламировал Shtazi-IT в своём инстаграме. На Шефеля Кребс наткнулся в другом расследовании, выяснив, что в конце 2018 тот взял фамилию Ленин.
В феврале F.A.C.C.T. сообщили, что при поддержке специалистов компании МВД задержало участников группы SugarLocker (или Encoded01). Из-за допущенных злоумышленниками ошибок F.A.C.C.T. ещё в январе 2022 года обнаружили панель управления программой-вымогателем.
«В ходе расследования были установлено несколько фигурантов, которые не только занимались продвижением своего шифровальщика, но и разрабатывали вредоносное программное обеспечение на заказ, создавали фишинговые сайты интернет-магазинов, нагоняли трафик пользователей на популярные в России и СНГ мошеннические схемы».
F.A.C.C.T. также отметили, что злоумышленники работали под вывеской легальной фирмы Shtazi-IT.
Согласно пресс-релизу, эту информацию компания передала Бюро специальных технических мероприятий МВД, и в январе 2024 были задержаны трое членов группы SugarLocker, в т.ч. обладатель ника GustaveDore, т.е. Александр Ермаков.
Со стороны МВД комментариев по этим задержаниям пока не было. Но поскольку имена фигурантов двух дел совпадают с лицами, причастными к Shtazi-IT, дело SugarLocker, похоже, дошло до суда.
В Пресненском районном суде Москвы на 8 октября назначены заседания по делам Ермакова А.Г. и Ленина М.Б. Оба подсудимых проходят по ст. 273 ч. 2 УК — создание, использование или распространение вредоносных компьютерных программ, совершённые группой лиц или организованной группой / причинившие крупный ущерб или совершённые из корыстной заинтересованности.
Вероятно, обвиняемые — это Ермаков Александр Геннадьевич и Ленин (Шефель) Михаил Борисович, а дело связано с группой вымогателей SugarLocker.
В январе Александр Ермаков попал под санкции США, Австралии и Великобритании, обвинивших его в причастности ко взлому австралийского страховщика Medibank в 2022 году (см. хронологию взлома и переписку со злоумышленниками). Этот инцидент тогда стал причиной небольшого дипломатического скандала между Австралией и Россией.
США (но не Австралия и не Великобритания) тогда связали взломщиков Medibank с REvil — однако, судя по всему, ошибочно.
Через пару дней Брайан Кребс в своём расследовании о Ермакове обратил внимание, что пользователь с таким же ником (GustaveDore) был создателем ransomware-программы Sugar или Encoded01, работавшей с ноября 2021 года. Также GustaveDore рекламировал компанию по разработке ПО Shtazi-IT. Кребс нашёл ещё одного человека — Михаила Борисовича Шефеля, который рекламировал Shtazi-IT в своём инстаграме. На Шефеля Кребс наткнулся в другом расследовании, выяснив, что в конце 2018 тот взял фамилию Ленин.
В феврале F.A.C.C.T. сообщили, что при поддержке специалистов компании МВД задержало участников группы SugarLocker (или Encoded01). Из-за допущенных злоумышленниками ошибок F.A.C.C.T. ещё в январе 2022 года обнаружили панель управления программой-вымогателем.
«В ходе расследования были установлено несколько фигурантов, которые не только занимались продвижением своего шифровальщика, но и разрабатывали вредоносное программное обеспечение на заказ, создавали фишинговые сайты интернет-магазинов, нагоняли трафик пользователей на популярные в России и СНГ мошеннические схемы».
F.A.C.C.T. также отметили, что злоумышленники работали под вывеской легальной фирмы Shtazi-IT.
Согласно пресс-релизу, эту информацию компания передала Бюро специальных технических мероприятий МВД, и в январе 2024 были задержаны трое членов группы SugarLocker, в т.ч. обладатель ника GustaveDore, т.е. Александр Ермаков.
Со стороны МВД комментариев по этим задержаниям пока не было. Но поскольку имена фигурантов двух дел совпадают с лицами, причастными к Shtazi-IT, дело SugarLocker, похоже, дошло до суда.
07.02.202517:15
Первая тенденция в этом году 👺
На российском IT-рынке сложилась на первый взгляд парадоксальная ситуация: количество кибератак, в том числе весьма критичных для компаний, продолжает расти. В то же время сам бизнес постепенно привыкает жить в условиях этой нагрузки и в ряде случаев даже сокращает инвестиции в средства противодействия угрозам.
Разбиралась, с чем это связано и как отражается на самом рынке кибербезопасности.
https://www.kommersant.ru/doc/7480689
На российском IT-рынке сложилась на первый взгляд парадоксальная ситуация: количество кибератак, в том числе весьма критичных для компаний, продолжает расти. В то же время сам бизнес постепенно привыкает жить в условиях этой нагрузки и в ряде случаев даже сокращает инвестиции в средства противодействия угрозам.
Разбиралась, с чем это связано и как отражается на самом рынке кибербезопасности.
https://www.kommersant.ru/doc/7480689
04.02.202513:35
Газета.Ru выпустила большой материал про Петра Левашова, хакера из России, также известного как Severa. В 2017 году он был задержан в Испании по американскому запросу, позднее экстрадирован в США и предстал там в суде по обвинениям в компьютерных преступлениях, связанных с управлением ботнетом Kelihos. В 2018 году Левашов признал вину, а летом 2021 в качестве наказания ему зачли время проведённое под стражей (чуть меньше 3 лет). История широко освещалась в России, всплывала даже ничем не подтверждённая версия о связи его преследования со скандалом вокруг первого избрания Трампа. В России в 2017 году на Левашова завели уголовное дело, видимо, в попытке добиться его экстрадиции на Родину. Но Испания не Казахстан, поэтому американский запрос победил.
Первая часть статьи посвящена пересказу перипетий уголовного дела, а во второй части обсуждается последующая деятельность хакера. В частности, со ссылкой на материалы по делу другого россиянина Олега Кошкина, также осуждённого в США за киберпреступления, сообщается, что показания против него давал в т.ч. Левашов. Более того, сотрудничество с ФБР для схваченных американцами хакеров из СНГ не редкость. Самая интересный фрагмент статьи — это комментарий Дмитрия Насковца, ранее осуждённого за компьютерные преступления, а теперь работающего в американской юрфирме, которая специализируется на защите российских киберпреступников в американских судах:
«Бизнес-менеджер и юрист из компании Sharova Law Firm Дмитрий Насковец в разговоре с «Газетой.Ru» рассказал, что сотрудничество русских хакеров с американскими спецслужбами распространенная, но вынужденная практика.
«Сомневаться в том, что Левашов стал информатором ФБР, не стоит. Однако он не первый и не последний русский хакер, который вынужденно согласился на эту сделку. Почти к каждому киберпреступнику из России и СНГ в США после ареста рано или поздно приходят с ультиматумом. Ему предлагают выбор: признать вину и отсидеть, допустим, 10 лет, не признать вину и отсидеть 30 лет, а также признать вину, начать сотрудничать со спецслужбами и получить минимальное наказание или остаться без него вовсе. Прокурор запрашивал от 12 лет для Левашова, а отсидел он 33 месяца. Тут все очевидно», — пояснил Насковец «Газете.Ru».
По его словам, завербованные хакеры для США — самое эффективное оружие против русскоязычных киберпреступников. Завербованные занимаются анализом информации в киберпреступном сообществе (на даркнет-форумах, в Telegram и соцсетях) в пользу США. Под анализом подразумевается сбор сведений, позволяющих раскрыть личности хакеров и выдвинуть против них обвинения, а также узнавать об их возможных целях.
«Насколько мне известно, какого-то давления на хакеров во время следствия в США не оказывается. Впрочем, им четко дают понять, что если не признать вину, срок будет огромный. Тут надо еще понимать, что в США дела против хакеров возбуждаются только после того, как ФБР предоставляет суду убедительные доказательства вины субъекта. То есть, отрицая вину и не приводя доказательств этого, довольно легко получить максимальное наказание, которое запрашивает прокурор», — объяснил Насковец».
Наконец, в статье выдвинута версия о том, что Пётр Левашов может стоять за личиной Bratva — пользователь под таким ником появился онлайн в 2022 году, стал модератором одного из разделов хакерского форума XSS, а также завёл телеграм-канал Cirque du Soleil. В канале публиковались посты о персонажах из русскоязычного хакерского сообщества, в том числе резонансная в узких кругах история о том, что арестованный в 2021 году сотрудник МВД якобы был лидером хакерской группировки REvil. На связь между Левашовым и Bratv'ой указывают несколько источников Газеты.Ru и закономерности, обнаруженные автором статьи, но железных доказательств нет.
Первая часть статьи посвящена пересказу перипетий уголовного дела, а во второй части обсуждается последующая деятельность хакера. В частности, со ссылкой на материалы по делу другого россиянина Олега Кошкина, также осуждённого в США за киберпреступления, сообщается, что показания против него давал в т.ч. Левашов. Более того, сотрудничество с ФБР для схваченных американцами хакеров из СНГ не редкость. Самая интересный фрагмент статьи — это комментарий Дмитрия Насковца, ранее осуждённого за компьютерные преступления, а теперь работающего в американской юрфирме, которая специализируется на защите российских киберпреступников в американских судах:
«Бизнес-менеджер и юрист из компании Sharova Law Firm Дмитрий Насковец в разговоре с «Газетой.Ru» рассказал, что сотрудничество русских хакеров с американскими спецслужбами распространенная, но вынужденная практика.
«Сомневаться в том, что Левашов стал информатором ФБР, не стоит. Однако он не первый и не последний русский хакер, который вынужденно согласился на эту сделку. Почти к каждому киберпреступнику из России и СНГ в США после ареста рано или поздно приходят с ультиматумом. Ему предлагают выбор: признать вину и отсидеть, допустим, 10 лет, не признать вину и отсидеть 30 лет, а также признать вину, начать сотрудничать со спецслужбами и получить минимальное наказание или остаться без него вовсе. Прокурор запрашивал от 12 лет для Левашова, а отсидел он 33 месяца. Тут все очевидно», — пояснил Насковец «Газете.Ru».
По его словам, завербованные хакеры для США — самое эффективное оружие против русскоязычных киберпреступников. Завербованные занимаются анализом информации в киберпреступном сообществе (на даркнет-форумах, в Telegram и соцсетях) в пользу США. Под анализом подразумевается сбор сведений, позволяющих раскрыть личности хакеров и выдвинуть против них обвинения, а также узнавать об их возможных целях.
«Насколько мне известно, какого-то давления на хакеров во время следствия в США не оказывается. Впрочем, им четко дают понять, что если не признать вину, срок будет огромный. Тут надо еще понимать, что в США дела против хакеров возбуждаются только после того, как ФБР предоставляет суду убедительные доказательства вины субъекта. То есть, отрицая вину и не приводя доказательств этого, довольно легко получить максимальное наказание, которое запрашивает прокурор», — объяснил Насковец».
Наконец, в статье выдвинута версия о том, что Пётр Левашов может стоять за личиной Bratva — пользователь под таким ником появился онлайн в 2022 году, стал модератором одного из разделов хакерского форума XSS, а также завёл телеграм-канал Cirque du Soleil. В канале публиковались посты о персонажах из русскоязычного хакерского сообщества, в том числе резонансная в узких кругах история о том, что арестованный в 2021 году сотрудник МВД якобы был лидером хакерской группировки REvil. На связь между Левашовым и Bratv'ой указывают несколько источников Газеты.Ru и закономерности, обнаруженные автором статьи, но железных доказательств нет.
03.02.202511:46
А вот исследователи из индийской компании Seqrite заподозрили в кибершпионаже в Центральной Азии уже казахстанских хакеров. В конце января у Seqrite вышел отчёт про новую хакерскую группировку Silent Lynx (тихая рысь), в числе мишеней которой оказались Национальный банк и Министерство финансов Кыргызстана, а также другие государственные организации в этой стране и Туркменистане. Исследователи со средней степенью уверенности, опираясь на сходства инструментария и похожу мотивацию, считают, что деятельность Silent Lynx частично пересекается с ранее известной группировкой YoroTrooper, участники которой, по оценке Cisco Talos, могут базироваться в Казахстане.
25.10.202409:38
Сингапурский компромисс в ООН
Интересные события происходят на полях переговоров в ООН по информационной безопасности. Россия — впервые с 1998 года! — не внесла в Первый комитет Генассамблеи проект резолюции на эту тему. Собственно, переговоры и начались с первой российской резолюции «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности». И на протяжении 25 лет Россия каждый год вносила по этому пункту повестки дня Генассамблеи проекты резолюций, которые всегда принимались, иногда консенсусом, иногда вопреки сопротивлению США и союзников, а один раз, в 2021, даже совместно с США. Почему же в этот раз отдельного проекта нет?
Дело в том, что единственный проект резолюции по информационной безопасности в этом году внёс Сингапур как председатель Рабочей группы открытого состава (РГОС) с тем условием, что другие страны не вносят свои проекты по этому пункту повестки дня.
Такой мораторий введён в связи с тем, что в РГОС наметился раскол по поводу будущего формата переговоров. Западная коалиция выступает за создание после завершения РГОС в следующем году нового постоянного формата — Программы действий по поощрению ответственного поведения государств в киберпространстве. Россия, несколько лет критиковавшая идею Программы действий, в прошлом году предложила после завершения работы нынешней РГОС созвать ещё одну рабочую группу открытого состава, но на этот раз бессрочную. Про различие этих подходов я уже писал чуть подробнее, но в процедурном плане расхождение проявилось в том, что в 2022 и 2023 годах в Генассамблее принимали одновременно две резолюции, российскую и западную, по информационной безопасности. Это могло привести к запуску двух параллельных и во многом дублирующих друг друга переговорных форматов, как уже было в 2019-2021 годах. Большинству стран это не нужно, не у всех есть ресурсы и на полноценное участие в одном.
Постпред Сингапура при ООН и председатель РГОС Бурхан Гафур пытается (и пока вполне успешно) привести участников РГОС к компромиссному решению. На последней сессии РГОС летом он предложил вместо новую нейтральную формулировку для обозначения будущего формата переговоров: Открытый прикладной постоянный механизма по безопасности ИКТ в контексте международной безопасности (Open-Ended Action-Oriented Permanent Mechanism on ICT Security in the context of international security). Участники РГОС согласились с этим вариантом и в качестве приложения к ежегодному докладу РГОС утвердили его основные параметры.
Именно этот формат (точнее, не формат, а его контуры) зафиксирован в сингапурской резолюции (см. пункт a) параграфа 2). Разумеется, этот компромиссный вариант работает только при условии, что государства не выдвигают одновременно свои собственные предложения. Поэтому даже Россия на этот раз беспрецедентным образом решила не вносить свой проект.
Сработает ли сингапурский компромисс, мы увидим в течение года, когда будет завершаться работа действующей РГОС. За разными названиями форматов кроются более глубокие разногласия по поводу мандата будущих переговоров, и, естественно, сторонники разных подходов продолжают борьбу именно за своё видение.
Интересные события происходят на полях переговоров в ООН по информационной безопасности. Россия — впервые с 1998 года! — не внесла в Первый комитет Генассамблеи проект резолюции на эту тему. Собственно, переговоры и начались с первой российской резолюции «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности». И на протяжении 25 лет Россия каждый год вносила по этому пункту повестки дня Генассамблеи проекты резолюций, которые всегда принимались, иногда консенсусом, иногда вопреки сопротивлению США и союзников, а один раз, в 2021, даже совместно с США. Почему же в этот раз отдельного проекта нет?
Дело в том, что единственный проект резолюции по информационной безопасности в этом году внёс Сингапур как председатель Рабочей группы открытого состава (РГОС) с тем условием, что другие страны не вносят свои проекты по этому пункту повестки дня.
Такой мораторий введён в связи с тем, что в РГОС наметился раскол по поводу будущего формата переговоров. Западная коалиция выступает за создание после завершения РГОС в следующем году нового постоянного формата — Программы действий по поощрению ответственного поведения государств в киберпространстве. Россия, несколько лет критиковавшая идею Программы действий, в прошлом году предложила после завершения работы нынешней РГОС созвать ещё одну рабочую группу открытого состава, но на этот раз бессрочную. Про различие этих подходов я уже писал чуть подробнее, но в процедурном плане расхождение проявилось в том, что в 2022 и 2023 годах в Генассамблее принимали одновременно две резолюции, российскую и западную, по информационной безопасности. Это могло привести к запуску двух параллельных и во многом дублирующих друг друга переговорных форматов, как уже было в 2019-2021 годах. Большинству стран это не нужно, не у всех есть ресурсы и на полноценное участие в одном.
Постпред Сингапура при ООН и председатель РГОС Бурхан Гафур пытается (и пока вполне успешно) привести участников РГОС к компромиссному решению. На последней сессии РГОС летом он предложил вместо новую нейтральную формулировку для обозначения будущего формата переговоров: Открытый прикладной постоянный механизма по безопасности ИКТ в контексте международной безопасности (Open-Ended Action-Oriented Permanent Mechanism on ICT Security in the context of international security). Участники РГОС согласились с этим вариантом и в качестве приложения к ежегодному докладу РГОС утвердили его основные параметры.
Именно этот формат (точнее, не формат, а его контуры) зафиксирован в сингапурской резолюции (см. пункт a) параграфа 2). Разумеется, этот компромиссный вариант работает только при условии, что государства не выдвигают одновременно свои собственные предложения. Поэтому даже Россия на этот раз беспрецедентным образом решила не вносить свой проект.
Сработает ли сингапурский компромисс, мы увидим в течение года, когда будет завершаться работа действующей РГОС. За разными названиями форматов кроются более глубокие разногласия по поводу мандата будущих переговоров, и, естественно, сторонники разных подходов продолжают борьбу именно за своё видение.
08.10.202420:11
Завтра выступаю на тему влияния киберконфликта на Россию, расскажу про заметные публичные инциденты, попробую изложить некоторые свои мысли общего характера. Решил для разогрева спросить у аудитории, что серьёзнее, атака на ВГТРК или сайты судов.
01.10.202406:14
На платформу для борьбы с мошенничеством «ТелекомЦерт» могут выделить более 6 млрд рублей, сообщает «Коммерсантъ». Предполагается, что в идеале через эту платформу все банки, операторы связи и интернет-платформы будут обмениваться информацией об угрозах. Благодаря этому фишинговые и мошеннические ресурсы будут блокироваться оперативнее — к 2030 году время блокировки сократится вдвое и составит 4 часа (видимо, в среднем). Но план всё ещё в работе.
«На создание «ТелекомЦерта» — общей платформы обмена информацией между банками, операторами связи и цифровыми платформами для борьбы с мошенничеством — планируется выделить 6,1 млрд руб. из федерального бюджета до 2030 года, следует из предварительной версии федерального проекта «Инфраструктура кибербезопасности» (есть у “Ъ”), который войдет в национальный проект «Экономика данных» (по поручению президента РФ должен стартовать в 2025 году).
Из документа следует, что платформу должны создать в 2025 году для «автоматизации взаимодействия уполномоченных органов и организаций, в том числе для мониторинга утечек персональных данных». К «ТелекомЦерту» к 2030 году планируют подключить все финорганизации, операторов связи и «цифровые платформы». [...]
В системе предполагается наличие «единого окна» для приема обращений граждан и компаний о мошенничестве. Авторы документа предполагают, что система позволит сократить время блокировки фишинговых и мошеннических ресурсов с восьми до четырех часов к 2030 году.
В аппарате профильного вице-премьера Дмитрия Григоренко “Ъ” сказали, что параметры федерального проекта еще прорабатываются, «а до его утверждения говорить о предусмотренных им планах преждевременно». В Минцифры “Ъ” подтвердили, что создание единой антифрод-платформы планируется, но ее параметры находятся на межведомственном согласовании.
Источник “Ъ” на телеком-рынке объясняет, что оператором системы будет Минцифры, однако исполнитель системы пока не определен. Источник “Ъ”, знакомый с ходом реализации нацпроекта, добавляет, что инициатива обсуждается с 2018 года, но пока не была реализована «из-за столкновений интересов операторов связи, банков и госорганов».
Опрошенные “Ъ” операторы связи и банки поддерживают проект. В «Вымпелкоме» считают, что создавать «подобную платформу необходимо с учетом всех имеющихся наработок и продуктов». В «МегаФоне» говорят, что сейчас Минцифры занимается «разработкой ее концепции». В t2 (бывший Tele2) добавляют, что «проект архитектуры системы» операторам не предоставили. В Т-банке (бывший Тинькофф-банк) считают, что оперативный обмен информацией между участниками рынка и силовыми ведомствами «поможет эффективнее предотвращать мошенничество по всем фронтам». В «Яндексе» и «Сбере» не ответили на запрос, в VK и МТС отказались от комментариев».
«На создание «ТелекомЦерта» — общей платформы обмена информацией между банками, операторами связи и цифровыми платформами для борьбы с мошенничеством — планируется выделить 6,1 млрд руб. из федерального бюджета до 2030 года, следует из предварительной версии федерального проекта «Инфраструктура кибербезопасности» (есть у “Ъ”), который войдет в национальный проект «Экономика данных» (по поручению президента РФ должен стартовать в 2025 году).
Из документа следует, что платформу должны создать в 2025 году для «автоматизации взаимодействия уполномоченных органов и организаций, в том числе для мониторинга утечек персональных данных». К «ТелекомЦерту» к 2030 году планируют подключить все финорганизации, операторов связи и «цифровые платформы». [...]
В системе предполагается наличие «единого окна» для приема обращений граждан и компаний о мошенничестве. Авторы документа предполагают, что система позволит сократить время блокировки фишинговых и мошеннических ресурсов с восьми до четырех часов к 2030 году.
В аппарате профильного вице-премьера Дмитрия Григоренко “Ъ” сказали, что параметры федерального проекта еще прорабатываются, «а до его утверждения говорить о предусмотренных им планах преждевременно». В Минцифры “Ъ” подтвердили, что создание единой антифрод-платформы планируется, но ее параметры находятся на межведомственном согласовании.
Источник “Ъ” на телеком-рынке объясняет, что оператором системы будет Минцифры, однако исполнитель системы пока не определен. Источник “Ъ”, знакомый с ходом реализации нацпроекта, добавляет, что инициатива обсуждается с 2018 года, но пока не была реализована «из-за столкновений интересов операторов связи, банков и госорганов».
Опрошенные “Ъ” операторы связи и банки поддерживают проект. В «Вымпелкоме» считают, что создавать «подобную платформу необходимо с учетом всех имеющихся наработок и продуктов». В «МегаФоне» говорят, что сейчас Минцифры занимается «разработкой ее концепции». В t2 (бывший Tele2) добавляют, что «проект архитектуры системы» операторам не предоставили. В Т-банке (бывший Тинькофф-банк) считают, что оперативный обмен информацией между участниками рынка и силовыми ведомствами «поможет эффективнее предотвращать мошенничество по всем фронтам». В «Яндексе» и «Сбере» не ответили на запрос, в VK и МТС отказались от комментариев».
07.02.202511:45
Те самые закладки
Один из сюжетов компьютерной истории, которые меня крайне интригуют, касается поставок в СССР вычислительной техники с закладками, встроенными американскими спецслужбами. Началось это где-то в начале 1980-х. США оценили масштаб ввоза западной техники в СССР контрабандой или разными обходными путями, и в трёхбуквенных организациях родилась идея, как бы сказали сегодня, скомпрометировать цепочку поставок, то есть поставлять компьютерную технику с дефектами или со скрытными возможностями. Примеры таких операций разнятся от самой известной, но, скорее всего, мифической истории про диверсию на газопроводе в Сибири в 1982 году до детально описанной в прошлом году Operation Intering.
Советские органы безопасности о проблеме знали (например, вот документальное свидетельство 1984 года) и старались этому противодействовать. О подобных закладках предупреждают авторы почти всех книг по информационной безопасности с 1990-х годов. Однако конкретные примеры выявления закладок встречаются крайне редко, да и то чаще всего на уровне слухов.
Сегодня я хочу поделиться находкой — самым подробным из встречавшихся мне описаний обнаруженных в компьютерной технике закладок, механизма их работы и предполагаемых целей злоумышленников (если вам кажется, что тут сказано мало, то поверьте, в других свидетельствах рассказано и того меньше).
В статье «Американские "жучки"» (Московские новости, №34, 1992) сообщается, что закладка была обнаружена в компьютере «Вакс» (VAX) от американской фирмы «ТЭК» (на самом деле DEC). Компьютер был приобретён несколько лет назад, то есть в позднем СССР, сотрудниками бывшего Минавиапрома СССР через третьи страны и был установлен в одном из закрытых подмосковных предприятий. Закладка была найдена случайно: один из процессоров компьютера вышел из строя, и сотрудники решили попробовать починить его самостоятельно.
«Вскрытие показало: барахлят источники питания. При ближайшем рассмотрении причина аварии была установлена еще точнее — сетевые фильтры, к тому же почему-то залитые специальной синтетической смесью — компаундом. Удалось отковырять зарубежную замазку, и тогда из-под слоя компаунда на свет божий были извлечены загадочная электронная схема и связанное с ней мощное реле. На жаргоне разведчиков такая находка называется закладкой».
Судя по тексту, к расследованию были привлечены специалисты Министерства безопасности — так с начала 1992 по конец 1993 называлось ведомство, образованное из части подразделений бывшего КГБ включая технические. По их оценке, хитроумная закладка была установлена ЦРУ и должна была действовать в несколько этапов: сперва создать повод для визита иностранных специалистов для копирования информации, а в конце полностью вывести машину из строя:
«По задумке цэрэушных фарадеев, вмонтированный в компьютер "жучок" был оснащен пятью счетчиками времени. Приблизительно через год после начала эксплуатации ЭВМ закладное устройство должно было вызвать сбой в работе машины. В таких случаях для профилактического ремонта обычно вызывают специалистов фирмы-изготовителя из-за рубежа. Разумеется, под видом мастеров приехали бы сотрудники спецслужб, чтобы во время осмотра компьютера списать информацию с его блока памяти. А еще через полгода, по истечении гарантийного срока, тот же "жучок" выдал бы еще одну команду — теперь уже направленную на уничтожение всей ЭВМ и самого себя».
После этой находки проверки прошли ещё на 107 оборонных предприятиях, и в 8 из них были найдены закладки.
Похожее описание закладок в 1991 году привёл в своей книге «Открытость и шпионаж» заместитель председателя Гостехкомиссии СССР Николай Брусницын — правда, он описывает ещё и закладные блоки, которые передавали информацию с ЭВМ по радио.
Если вам известны другие примеры обнаружения закладок, описанные в литературе, особенно в 80-х и 90-х, буду благодарен за подсказку.
Один из сюжетов компьютерной истории, которые меня крайне интригуют, касается поставок в СССР вычислительной техники с закладками, встроенными американскими спецслужбами. Началось это где-то в начале 1980-х. США оценили масштаб ввоза западной техники в СССР контрабандой или разными обходными путями, и в трёхбуквенных организациях родилась идея, как бы сказали сегодня, скомпрометировать цепочку поставок, то есть поставлять компьютерную технику с дефектами или со скрытными возможностями. Примеры таких операций разнятся от самой известной, но, скорее всего, мифической истории про диверсию на газопроводе в Сибири в 1982 году до детально описанной в прошлом году Operation Intering.
Советские органы безопасности о проблеме знали (например, вот документальное свидетельство 1984 года) и старались этому противодействовать. О подобных закладках предупреждают авторы почти всех книг по информационной безопасности с 1990-х годов. Однако конкретные примеры выявления закладок встречаются крайне редко, да и то чаще всего на уровне слухов.
Сегодня я хочу поделиться находкой — самым подробным из встречавшихся мне описаний обнаруженных в компьютерной технике закладок, механизма их работы и предполагаемых целей злоумышленников (если вам кажется, что тут сказано мало, то поверьте, в других свидетельствах рассказано и того меньше).
В статье «Американские "жучки"» (Московские новости, №34, 1992) сообщается, что закладка была обнаружена в компьютере «Вакс» (VAX) от американской фирмы «ТЭК» (на самом деле DEC). Компьютер был приобретён несколько лет назад, то есть в позднем СССР, сотрудниками бывшего Минавиапрома СССР через третьи страны и был установлен в одном из закрытых подмосковных предприятий. Закладка была найдена случайно: один из процессоров компьютера вышел из строя, и сотрудники решили попробовать починить его самостоятельно.
«Вскрытие показало: барахлят источники питания. При ближайшем рассмотрении причина аварии была установлена еще точнее — сетевые фильтры, к тому же почему-то залитые специальной синтетической смесью — компаундом. Удалось отковырять зарубежную замазку, и тогда из-под слоя компаунда на свет божий были извлечены загадочная электронная схема и связанное с ней мощное реле. На жаргоне разведчиков такая находка называется закладкой».
Судя по тексту, к расследованию были привлечены специалисты Министерства безопасности — так с начала 1992 по конец 1993 называлось ведомство, образованное из части подразделений бывшего КГБ включая технические. По их оценке, хитроумная закладка была установлена ЦРУ и должна была действовать в несколько этапов: сперва создать повод для визита иностранных специалистов для копирования информации, а в конце полностью вывести машину из строя:
«По задумке цэрэушных фарадеев, вмонтированный в компьютер "жучок" был оснащен пятью счетчиками времени. Приблизительно через год после начала эксплуатации ЭВМ закладное устройство должно было вызвать сбой в работе машины. В таких случаях для профилактического ремонта обычно вызывают специалистов фирмы-изготовителя из-за рубежа. Разумеется, под видом мастеров приехали бы сотрудники спецслужб, чтобы во время осмотра компьютера списать информацию с его блока памяти. А еще через полгода, по истечении гарантийного срока, тот же "жучок" выдал бы еще одну команду — теперь уже направленную на уничтожение всей ЭВМ и самого себя».
После этой находки проверки прошли ещё на 107 оборонных предприятиях, и в 8 из них были найдены закладки.
Похожее описание закладок в 1991 году привёл в своей книге «Открытость и шпионаж» заместитель председателя Гостехкомиссии СССР Николай Брусницын — правда, он описывает ещё и закладные блоки, которые передавали информацию с ЭВМ по радио.
Если вам известны другие примеры обнаружения закладок, описанные в литературе, особенно в 80-х и 90-х, буду благодарен за подсказку.
Reposted from:это Жабин
ЭЖ
04.02.202510:49
Накопал интересное. Для борьбы с мошенниками правительство планирует собирать и хранить векторы голосов «тех, кто ранее привлекал внимание компетентных органов противоправными действиями». Отдельно уточнял, кто же имеется в виду, но более точного определения пока нет.
Как все будет работать: ИИ-системы операторов, используя базу данных векторов голосов, будут анализировать звонки на совпадение с базой данных и ключевыми словами. Если будут совпадения, то системы предупредят абонентов, что им звонит мошенник.
И хотя собеседники на рынке распознавания уверяют, что вектор голоса нельзя ни восстановить в непосредственно голос и привязать к конкретному человеку, ИБшники предупреждают, что «с высокой долей вероятности» восстановить принадлежность данных возможно.
Вопросов остается много: что будет с человеком, который по ошибке попал в базу «мошеннических голосов»? В РФ вроде как презумпция невиновности, и значит, что мошенника нельзя называть таковым до вступления приговора в силу. А в формулировках в законопроекте говорится, что только вектора голосов тех, кто совершил преступление, будут предаваться в базу. Насколько тогда эта мера будет эффективной? А если предаваться будут не только вектора голосов преступников, то будет ли вообще законно передавать в систему биометрию россиян без их согласия?
В общем тема не простая, зацените
Как все будет работать: ИИ-системы операторов, используя базу данных векторов голосов, будут анализировать звонки на совпадение с базой данных и ключевыми словами. Если будут совпадения, то системы предупредят абонентов, что им звонит мошенник.
И хотя собеседники на рынке распознавания уверяют, что вектор голоса нельзя ни восстановить в непосредственно голос и привязать к конкретному человеку, ИБшники предупреждают, что «с высокой долей вероятности» восстановить принадлежность данных возможно.
Вопросов остается много: что будет с человеком, который по ошибке попал в базу «мошеннических голосов»? В РФ вроде как презумпция невиновности, и значит, что мошенника нельзя называть таковым до вступления приговора в силу. А в формулировках в законопроекте говорится, что только вектора голосов тех, кто совершил преступление, будут предаваться в базу. Насколько тогда эта мера будет эффективной? А если предаваться будут не только вектора голосов преступников, то будет ли вообще законно передавать в систему биометрию россиян без их согласия?
В общем тема не простая, зацените
28.01.202515:16
Ко Дню защиты данных (Data Privacy Day) "СёрчИнформ" выпустил обзор по публичным утечкам в России за 2024 год. Всего аналитики насчитали 74 инцидента, о которых становилось известно в СМИ и тематических телеграм-каналах, и, помимо прочего посмотрели, как компании реагировали на сообщения об утечках. На приведённом графике, правда, искусственно уменьшена высота первого столбца (никак не высказались). На самом деле 83% — это сильно больше всех остальных вариантов. Но суть ясна: подавляющее большинство жертв утечек никак их не комментирует или отрицает (при этом некоторые всё же уведомляют Роскомнадзор).
Ещё в обзоре приведены данные опроса из пока не опубликованного отчёта, согласно которым аж четверть опрошенных представителей компаний готовы информировать об утечках клиентов и партнёров:
"Кстати, в отрыве от исследования публичных инцидентов мы регулярно анонимно опрашиваем ИБ-специалистов из разных компаний (в этом году более 1000 человек), как у них обстоит с ИБ – и, в частности, как они поступают в случае утечки. В 2024 году только 3% ответили, что были бы готовы оповестить широкую общественность. Зато 26% информируют об инциденте клиентов и партнеров, а регулятору отчитывается 31%".
Мне, честно говоря, кажется, что на практике уведомляют клиентов единицы: требования такого к компаниям не предъявляется, а никакой выгоды для себя они не получают, даже наоборот — рискуют, что кто-то из клиентов решит выдвинуть претензии.
Ещё в обзоре приведены данные опроса из пока не опубликованного отчёта, согласно которым аж четверть опрошенных представителей компаний готовы информировать об утечках клиентов и партнёров:
"Кстати, в отрыве от исследования публичных инцидентов мы регулярно анонимно опрашиваем ИБ-специалистов из разных компаний (в этом году более 1000 человек), как у них обстоит с ИБ – и, в частности, как они поступают в случае утечки. В 2024 году только 3% ответили, что были бы готовы оповестить широкую общественность. Зато 26% информируют об инциденте клиентов и партнеров, а регулятору отчитывается 31%".
Мне, честно говоря, кажется, что на практике уведомляют клиентов единицы: требования такого к компаниям не предъявляется, а никакой выгоды для себя они не получают, даже наоборот — рискуют, что кто-то из клиентов решит выдвинуть претензии.
Reposted from:
Осторожно, новости
10.10.202413:58
Сотрудникам ВГТРК задерживают зарплату из-за масштабной хакерской атаки, которая обрушила работу вещания и внутренние сервисы.
По словам источников «Осторожно, новости», сотрудникам холдинга не выплатят зарплату, которая обычно приходит 10-го числа. Руководство объяснило задержку хакерской атакой, которая парализовала работу ВГТРК в начале недели. Получить деньги вовремя не смогли минимум 100 человек, о точных датах начисления им не говорят. Сотрудники предполагают, что и в понедельник выплат может не быть. По нашим данным, с задержками столкнулись также сотрудники канала «Москва 24».
Хакеры взломали каналы и радиостанции ВГТРК утром 7 октября. Были приостановлены онлайн-трансляции каналов «России 1», «России 24», «Культуры», «Вестей FM», радио «Маяк» и другие, в эфир ставили архивные видео. После взлома упал также внутренний сервер и весь архив холдинга.
По словам источников «Осторожно, новости», сотрудникам холдинга не выплатят зарплату, которая обычно приходит 10-го числа. Руководство объяснило задержку хакерской атакой, которая парализовала работу ВГТРК в начале недели. Получить деньги вовремя не смогли минимум 100 человек, о точных датах начисления им не говорят. Сотрудники предполагают, что и в понедельник выплат может не быть. По нашим данным, с задержками столкнулись также сотрудники канала «Москва 24».
Хакеры взломали каналы и радиостанции ВГТРК утром 7 октября. Были приостановлены онлайн-трансляции каналов «России 1», «России 24», «Культуры», «Вестей FM», радио «Маяк» и другие, в эфир ставили архивные видео. После взлома упал также внутренний сервер и весь архив холдинга.
02.10.202418:49
«Раздень девушку по фото!»
Так, маскируясь под сервис ИИ, русскоязычная группировка FIN7 распространяла вредоносное ПО.
Исследователи Silent Push выпустили отчёт о новой кампании киберпреступников, в которой в качестве приманок для жертв использовались сайты (по адресам типа aiNude[.]ai) с генератором голых фото. Пользователям рекламировали сервис DeepNude Generator, который якобы может раздеть реальную фотографию или сгенерировать желаемое изображение с помощью промтов. Для этого пользователю нужно было скачать бесплатную программу или в некоторых случаях начать бесплатный пробный период.
В действительности же по ссылкам загружался вредоносный файл, запуск которого по цепочке приводил к установке на машину стилера RedLine.
Хотя сайты были весьма содержательны с подробным FAQ и примерами готовых картинок, а где-то даже с возможностью загрузки фото, обещанную функцию они не выполняли, а жертва получала только инфостилер, крадущий учётные данные для последующих атак.
Так, маскируясь под сервис ИИ, русскоязычная группировка FIN7 распространяла вредоносное ПО.
Исследователи Silent Push выпустили отчёт о новой кампании киберпреступников, в которой в качестве приманок для жертв использовались сайты (по адресам типа aiNude[.]ai) с генератором голых фото. Пользователям рекламировали сервис DeepNude Generator, который якобы может раздеть реальную фотографию или сгенерировать желаемое изображение с помощью промтов. Для этого пользователю нужно было скачать бесплатную программу или в некоторых случаях начать бесплатный пробный период.
В действительности же по ссылкам загружался вредоносный файл, запуск которого по цепочке приводил к установке на машину стилера RedLine.
Хотя сайты были весьма содержательны с подробным FAQ и примерами готовых картинок, а где-то даже с возможностью загрузки фото, обещанную функцию они не выполняли, а жертва получала только инфостилер, крадущий учётные данные для последующих атак.
30.09.202413:12
Реестр контактных пунктов ООН
Под эгидой ООН продолжается создание глобального реестра контактных пунктов по использованию информационно-коммуникационных технологий в контексте глобальной безопасности (Global Intergovernmental Points of Contact Directory on the Use of Information and Communications Technologies in the Context of International Security).
По словам замминистра иностранных дел Сергея Вершинина, к реестру присоединились уже 105 государств. Полгода назад их было только 23. Обеспечением реестра занимается Секретариат ООН, а именно Управление по вопросам разоружения ООН, для чего был создан специальный сайт для государств-участников.
В июне Секретариат ООН провёл первый пинг-тест — пробное оповещение для проверки актуальности контактных данных («В рамках «пинг-теста» с контактными пунктами связывается администратор реестра и просит их в течение 48 часов ответить сообщением, свидетельствующим о получении запроса администратора реестра»). На декабрь запланирован второй пинг-тест, а на июнь третий. На апрель 2025 года запланирована публикация типового шаблона для обмена запросами.
Государства могут назначать в реестр технические (например, национальные CERT'ы) и дипломатические пункты (МИДы). Отдельная тема, что не у всех стран могут быть соответствующие ведомства, особенно это касается технических контактных центров.
Россия в марте представила в Рабочую группу открытого состава «Руководство по созданию технического контактного пункта ООН». Этот документ подготовлен НКЦКИ и описывает, как, с российской точки зрения, может быть организована работа технического пункта в других странах. Руководство охватывает вопросы оргструктуры и её нормативного обеспечения, персонала, принципов функционирования и взаимодействия с другими контактными центрами в рамках сети ООН. По мнению НКЦКИ, в таком техническом контактном пункте ООН должно работать как минимум 18 человек, в т.ч. специалисты по оценке защищённости, по ликвидации последствий компьютерных инцидентов, по установлению их причин, по обнаружению компьютерных атак и инцидентов, аналитики и др.
В приложении приведён перечень информации, необходимой для изучения компьютерной атаки или компьютерного инцидента. Например, в случае компьютерной атаки предлагается сообщать наименование ресурса, подвергшегося атаке, категорию и тип атаки (в т.ч. нарушение или замедление работы информационного ресурса; распространение вредоносного ПО; попытки осуществления мошеннической деятельности и пр.), технические сведения об атакованном ресурсе, источниках атаки, дополнительные сведения (такую как модули ВПО, образы электронных писем, log-файлы), а также информацию, связывающую компьютерную атаку с государством-адресатом («Почему вы вообще нам пишете?»).
Реестр контактных пунктов — первая попытка практического сотрудничества по теме информационной безопасности в ООН, до этого два с половиной десятилетия переговоров были посвящены выработке норм, поиску точек соприкосновения в части трактовки международного права, анализу угроз и т.д. Интересно следить за тем, что получится из этого начинания.
По моему мнению, реестр может быть полезен для улучшение взаимодействия по кибератакам, в которых нет (или почти нет) политической составляющей. Например, представим такую ситуацию: сайт банка подвергается DDoS-атаке, источники атаки — объединённые в ботнет устройства, находящиеся в разных странах. В теории, наличие реестра позволит быстрее и проще сделать некую общую рассылку и совместными усилиями нарушить работу всего ботнета (впрочем, некоторые страны справляются с этим и без реестра ООН).
Другое дело, что если речь идёт о политически мотивированной атаке или тем более о государственной кибероперации, то польза от реестра может сойти на нет. Как я уже писал, если государство А подозревает государство Б в кибершпионаже, будет ли оно связываться с его техническим контактным пунктом и сообщать, что ему известно? И если да, то будет ли государство-нарушитель добросовестно отвечать на этот запрос? А удовлетворит ли неполный ответ государство-жертву?
Под эгидой ООН продолжается создание глобального реестра контактных пунктов по использованию информационно-коммуникационных технологий в контексте глобальной безопасности (Global Intergovernmental Points of Contact Directory on the Use of Information and Communications Technologies in the Context of International Security).
По словам замминистра иностранных дел Сергея Вершинина, к реестру присоединились уже 105 государств. Полгода назад их было только 23. Обеспечением реестра занимается Секретариат ООН, а именно Управление по вопросам разоружения ООН, для чего был создан специальный сайт для государств-участников.
В июне Секретариат ООН провёл первый пинг-тест — пробное оповещение для проверки актуальности контактных данных («В рамках «пинг-теста» с контактными пунктами связывается администратор реестра и просит их в течение 48 часов ответить сообщением, свидетельствующим о получении запроса администратора реестра»). На декабрь запланирован второй пинг-тест, а на июнь третий. На апрель 2025 года запланирована публикация типового шаблона для обмена запросами.
Государства могут назначать в реестр технические (например, национальные CERT'ы) и дипломатические пункты (МИДы). Отдельная тема, что не у всех стран могут быть соответствующие ведомства, особенно это касается технических контактных центров.
Россия в марте представила в Рабочую группу открытого состава «Руководство по созданию технического контактного пункта ООН». Этот документ подготовлен НКЦКИ и описывает, как, с российской точки зрения, может быть организована работа технического пункта в других странах. Руководство охватывает вопросы оргструктуры и её нормативного обеспечения, персонала, принципов функционирования и взаимодействия с другими контактными центрами в рамках сети ООН. По мнению НКЦКИ, в таком техническом контактном пункте ООН должно работать как минимум 18 человек, в т.ч. специалисты по оценке защищённости, по ликвидации последствий компьютерных инцидентов, по установлению их причин, по обнаружению компьютерных атак и инцидентов, аналитики и др.
В приложении приведён перечень информации, необходимой для изучения компьютерной атаки или компьютерного инцидента. Например, в случае компьютерной атаки предлагается сообщать наименование ресурса, подвергшегося атаке, категорию и тип атаки (в т.ч. нарушение или замедление работы информационного ресурса; распространение вредоносного ПО; попытки осуществления мошеннической деятельности и пр.), технические сведения об атакованном ресурсе, источниках атаки, дополнительные сведения (такую как модули ВПО, образы электронных писем, log-файлы), а также информацию, связывающую компьютерную атаку с государством-адресатом («Почему вы вообще нам пишете?»).
Реестр контактных пунктов — первая попытка практического сотрудничества по теме информационной безопасности в ООН, до этого два с половиной десятилетия переговоров были посвящены выработке норм, поиску точек соприкосновения в части трактовки международного права, анализу угроз и т.д. Интересно следить за тем, что получится из этого начинания.
По моему мнению, реестр может быть полезен для улучшение взаимодействия по кибератакам, в которых нет (или почти нет) политической составляющей. Например, представим такую ситуацию: сайт банка подвергается DDoS-атаке, источники атаки — объединённые в ботнет устройства, находящиеся в разных странах. В теории, наличие реестра позволит быстрее и проще сделать некую общую рассылку и совместными усилиями нарушить работу всего ботнета (впрочем, некоторые страны справляются с этим и без реестра ООН).
Другое дело, что если речь идёт о политически мотивированной атаке или тем более о государственной кибероперации, то польза от реестра может сойти на нет. Как я уже писал, если государство А подозревает государство Б в кибершпионаже, будет ли оно связываться с его техническим контактным пунктом и сообщать, что ему известно? И если да, то будет ли государство-нарушитель добросовестно отвечать на этот запрос? А удовлетворит ли неполный ответ государство-жертву?
07.02.202509:34
Написал о китайско-американской гонке в сфере искусственного интеллекта, как на неё влияет успех DeepSeek и почему для остального мира она будет иметь двоякие последствия.
«AlphaGo одержала верх во всех трех матчах, что стало международной сенсацией. Триумф западного искусственного интеллекта над китайским игроком в традиционной китайской игре произвел огромное впечатление и в Китае. Ли Кайфу, предприниматель и автор влиятельной книги «Сверхдержавы искусственного интеллекта», сравнил произведенный эффект с «моментом «Спутника» (Sputnik moment). Запуск Советским Союзом первого искусственного спутника в 1957 году стал для США наглядным свидетельством отставания от их главного соперника в космической гонке и показал необходимость увеличения инвестиций в развитие науки и технологий. Аналогичным образом победа AlphaGo подстегнула китайское технологическое сообщество и чиновников всерьез заняться отраслью ИИ.
В начале 2025 года о «моменте «Спутника» заговорили снова, но уже в США, — только ленивый не использовал это выражение, чтобы описать реакцию американских технологических гигантов, рынка и политиков на внезапное появление на сцене больших языковых моделей продукта от китайского стартапа DeepSeek. Обозреватель CNN Фарид Закария даже предположил, что китайская модель — это больше, чем «момент «Спутника». Насколько справедливы такие оценки?»
«AlphaGo одержала верх во всех трех матчах, что стало международной сенсацией. Триумф западного искусственного интеллекта над китайским игроком в традиционной китайской игре произвел огромное впечатление и в Китае. Ли Кайфу, предприниматель и автор влиятельной книги «Сверхдержавы искусственного интеллекта», сравнил произведенный эффект с «моментом «Спутника» (Sputnik moment). Запуск Советским Союзом первого искусственного спутника в 1957 году стал для США наглядным свидетельством отставания от их главного соперника в космической гонке и показал необходимость увеличения инвестиций в развитие науки и технологий. Аналогичным образом победа AlphaGo подстегнула китайское технологическое сообщество и чиновников всерьез заняться отраслью ИИ.
В начале 2025 года о «моменте «Спутника» заговорили снова, но уже в США, — только ленивый не использовал это выражение, чтобы описать реакцию американских технологических гигантов, рынка и политиков на внезапное появление на сцене больших языковых моделей продукта от китайского стартапа DeepSeek. Обозреватель CNN Фарид Закария даже предположил, что китайская модель — это больше, чем «момент «Спутника». Насколько справедливы такие оценки?»
04.02.202509:34
Инициатива Совета Федерации по регулировании деятельности «белых хакеров» набирает обороты. Новая идея в рамках подготовки законопроекта — идентифицировать исследователей уязвимостей через Госуслуги:
«"Рекомендовать Министерству цифрового развития, связи и массовых коммуникаций РФ рассмотреть целесообразность использования Единой системы идентификации и аутентификации (ЕСИА) (портал "Госуслуги" - ред.) в качестве идентификации исследователей, осуществляющих поиск уязвимостей в отношении программ для электронных вычислительных машин, программно-аппаратных комплексов в рамках проекта федерального закона "О деятельности по поиску уязвимостей и оценке уровня защищенности объектов информационной инфраструктуры", - говорится в решении секции Совета по развитию цифровой экономики при СФ за подписью Шейкина».
«"Рекомендовать Министерству цифрового развития, связи и массовых коммуникаций РФ рассмотреть целесообразность использования Единой системы идентификации и аутентификации (ЕСИА) (портал "Госуслуги" - ред.) в качестве идентификации исследователей, осуществляющих поиск уязвимостей в отношении программ для электронных вычислительных машин, программно-аппаратных комплексов в рамках проекта федерального закона "О деятельности по поиску уязвимостей и оценке уровня защищенности объектов информационной инфраструктуры", - говорится в решении секции Совета по развитию цифровой экономики при СФ за подписью Шейкина».
11.12.202406:31
В следующую пятницу выступлю в Шанинке с лекцией на тему: «Как США расследуют трансграничные киберпреступления».
«Американские обвинения в адрес хакеров из других стран регулярно попадают в новости, но детали расследований обычно остаются за скобками. Как власти США ищут нарушителей за пределами своей территории? На примерах судебных материалов мы рассмотрим, на чём строятся громкие дела о киберпреступлениях, откуда американские правоохранители получают нужные данные и почему всё чаще стремятся вывести из строя инфраструктуру злоумышленников».
Лекция открытая, для участия нужно зарегистрироваться.
20 декабря, начало в 19:00.
Адрес: Газетный переулок, 3/5 строение 1, этаж 5.
«Американские обвинения в адрес хакеров из других стран регулярно попадают в новости, но детали расследований обычно остаются за скобками. Как власти США ищут нарушителей за пределами своей территории? На примерах судебных материалов мы рассмотрим, на чём строятся громкие дела о киберпреступлениях, откуда американские правоохранители получают нужные данные и почему всё чаще стремятся вывести из строя инфраструктуру злоумышленников».
Лекция открытая, для участия нужно зарегистрироваться.
20 декабря, начало в 19:00.
Адрес: Газетный переулок, 3/5 строение 1, этаж 5.
Reposted from:
ЦСР
10.10.202410:51
⚡️⚡️⚡️⚡️⚡️⚡️⚡️
Рынок кибербезопасности к 2028 году почти утроится и достигнет ₽715 млрд
⭐️⭐️провел исследование и подготовил прогноз развития рынка кибербезопасности в Российской Федерации на 2024-2028 годы, где выявил основные тренды и факторы развития этой сферы.
Заместитель генерального директора ЦСР Екатерина Кваша:
По результатам 2023 года рынок кибербезопасности России оценивается в ₽248,5 млрд, за год совокупный прирост составил 28,5%. Соотношение поставок средств защиты информации и услуг, как и в предыдущие годы, почти не изменилось: доля услуг составила 27% (26% по итогам 2022 года), а средств защиты информации – 73% (74% по итогам 2022 года).
С заметным отрывом от конкурентов из числа вендоров на рынке в 2023 голу лидируют Лаборатория Касперского и Positive Technologies. К крупным игрокам на российском рынке кибербезопасности следует отнести BIZONE, ГК Солар, ИнфоТеКС, Код Безопасности и UserGate. В совокупности они занимают половину отечественного рынка кибербезопасности.
В 2023 году продолжил расти рынок средств защиты информации темпом прироста в 27,6% и составил ₽182,6 млрд. Это значительно выше темпов прироста мирового рынка в 15,6%. Самую высокую динамику показал сегмент средств защиты данных, он вырос на 93,8%, а его объем составил ₽23 млрд.
Объем рынка услуг по итогам 2023 года вырос на 31,1% до ₽65,9 млрд. В этом сегменте рынка сильные позиции у интеграторов решений.
В текущем 2024 году интенсивность кибератак по сравнению с 2023 годом нарастает. Злоумышленники переходят от массовых атак к точечным, подготовленным.
#ЦСР #новости #исследование #мнениеэксперта #кибербез
⭐️скачать прогноз
⭐️подписаться на канал
Рынок кибербезопасности к 2028 году почти утроится и достигнет ₽715 млрд
⭐️⭐️провел исследование и подготовил прогноз развития рынка кибербезопасности в Российской Федерации на 2024-2028 годы, где выявил основные тренды и факторы развития этой сферы.
Заместитель генерального директора ЦСР Екатерина Кваша:
Российский рынок кибербезопасности продолжает активно расти, причем темпами, значительно опережающими рост мирового рынка ИБ. Рост объема рынка кибербезопасности в России в следующие 5-лет ожидается со среднегодовым темпом прироста в 23,6%. К 2028 году рынок достигнет 715 млрд рублей, на долю российских вендоров будет приходиться более 95% всего объема рынка.
По результатам 2023 года рынок кибербезопасности России оценивается в ₽248,5 млрд, за год совокупный прирост составил 28,5%. Соотношение поставок средств защиты информации и услуг, как и в предыдущие годы, почти не изменилось: доля услуг составила 27% (26% по итогам 2022 года), а средств защиты информации – 73% (74% по итогам 2022 года).
С заметным отрывом от конкурентов из числа вендоров на рынке в 2023 голу лидируют Лаборатория Касперского и Positive Technologies. К крупным игрокам на российском рынке кибербезопасности следует отнести BIZONE, ГК Солар, ИнфоТеКС, Код Безопасности и UserGate. В совокупности они занимают половину отечественного рынка кибербезопасности.
В 2023 году продолжил расти рынок средств защиты информации темпом прироста в 27,6% и составил ₽182,6 млрд. Это значительно выше темпов прироста мирового рынка в 15,6%. Самую высокую динамику показал сегмент средств защиты данных, он вырос на 93,8%, а его объем составил ₽23 млрд.
Это свидетельствует о том, что российский рынок продуктов кибербезопасности продолжает активно развиваться, при этом наблюдается довольно существенное замещение зарубежных продуктов отечественными. Это, в том числе, связано с повышение уровня зрелости отечественных решений. В итоге в 2023 году ещё усилилось доминирующее положение российских вендоров средств защиты информации, которые заняли уже 89% рынка средств защиты информации. Таким образом, по итогам 2023 года иностранные решения в совокупных затратах все еще занимали весомую часть рынка – 11%.
Объем рынка услуг по итогам 2023 года вырос на 31,1% до ₽65,9 млрд. В этом сегменте рынка сильные позиции у интеграторов решений.
В текущем 2024 году интенсивность кибератак по сравнению с 2023 годом нарастает. Злоумышленники переходят от массовых атак к точечным, подготовленным.
Вместе с тем, в 2024 году продолжилось развитие тенденции по нормативному регулированию требований к информационной безопасности и повышению ответственности, в том числе и по импортозамещению. Государство продолжает активно стимулировать развитие отрасли. Потребители на российском рынке постепенно перестраиваются и переходят к внедрению проактивной кибербезопасности. Кроме того, вендоры и регуляторы стали активнее применять методики Bug Baunty - поиска уязвимостей за вознаграждение.
#ЦСР #новости #исследование #мнениеэксперта #кибербез
⭐️скачать прогноз
⭐️подписаться на канал
Reposted from:
Коммерсантъ
02.10.202416:32
❗️ В Москве возбуждено уголовное дело в отношении создателей анонимной платежной системы «UAPS» и криптовалютной биржи «Cryptex», сообщает СКР.
По версии следствия, соучастники вели незаконную деятельность по обмену валют, криптовалют, доставке и приему наличных, продаже банковских карт и личных кабинетов. Основными клиентами данных сервисов являлись киберпреступники и хакеры, которые пользовались услугами сервисов, для легализации их преступного дохода.
За 2023 год денежный оборот незаконно созданных сервисов составил более 112 млрд руб., преступный доход фигурантов— 3,7 млрд руб., говорится в сообщении ведомства.
В рамках расследования дела обыски прошли в 14 регионах РФ, в Москву доставят 96 человек.
▪ Подписывайтесь на «Ъ»|Оставляйте «бусты»
По версии следствия, соучастники вели незаконную деятельность по обмену валют, криптовалют, доставке и приему наличных, продаже банковских карт и личных кабинетов. Основными клиентами данных сервисов являлись киберпреступники и хакеры, которые пользовались услугами сервисов, для легализации их преступного дохода.
За 2023 год денежный оборот незаконно созданных сервисов составил более 112 млрд руб., преступный доход фигурантов— 3,7 млрд руб., говорится в сообщении ведомства.
В рамках расследования дела обыски прошли в 14 регионах РФ, в Москву доставят 96 человек.
▪ Подписывайтесь на «Ъ»|Оставляйте «бусты»
30.09.202405:48
Инцидент произошёл в выходной
Министерство труда и социальной защиты России в августе получило административный штраф в размере 100 тысяч рублей за утечку персональных данных. Согласно постановлению, ведомство допустило утечку базы персданных сотрудников на 1400 строк.
Датой нарушения названо 27 ноября 2023 года. Речь, очевидно, идёт о кибератаке и последующем сливе внутренней информации Минтруда, организованных проукраинской группировкой Blackjack. 29 ноября она заявила в своём канале о краже и удалении 50 ТБ данных министерства, опубликовав в подтверждение скриншоты и архив с внутренними документами. Украинские СМИ сообщали тогда, что кибератака якобы была проведена Blackjack с помощью СБУ.
Blackjack — хактивистская группировка, выступающая публично с осени 2023. Согласно отчёту «Лаборатории Касперского», она использует только свободно распространяемое или опен-сорсное ПО и по инструментарию схожа с группировкой Twelve.
Постановление суда примечательно не только тем, что подтверждает прошлогоднюю атаку, но и относительно подробным описанием инцидента со слов представителей защиты. Минтруда было взломано через подрядчика, который имел легитимный доступ к его инфраструктуре. Злоумышленники, получив доступ к подрядчику, через VPN подключились к системам министерства и частично зашифровали серверы и рабочие станции.
Фрагмент с более детальным описанием прикрепляю в виде скриншота. На мой взгляд, он заслуживает изучения всеми, кто занимается обеспечением информационной безопасности организаций. Особенно в части оправданий (этой теме я посвятил несколько постов, а также выступление на PHDays).
Сразу обращает на себя внимание тезис о том, что «инцидент, в результате которого в отношении Министерства составлен протокол об административном правонарушении произошел в выходной день». С таким аргументом в постановлениях по административным делам я сталкиваюсь впервые, даже не знаю, сочувствовать или нет. Увы, у вас и злоумышленников может быть разный график работы.
Аргумент о том, что в организации «в полном объеме выполняется комплекс работ и организационно-технических мероприятий по обеспечению безопасности персональных данных» хорош до тех пор, пока ваши данные не оказываются в канале хакерской группировки.
Подрядчик действительно должен «обеспечивать соблюдение требований информационной безопасности при подключении к [инфраструктуре министерства], а также обеспечивать защиту своей инфраструктуры от возможности подключения к ней третьих лиц». Но имеет смысл проверить, а делает ли он всё это, а также быть готовым к худшему сценарию, особенно в условиях, когда число атак через подрядчиков растёт в разы.
Наконец, ещё отмечу такой момент: «не доказано, что обрабатываемая информация относилась к инфраструктуре [Минтруда], поскольку информационные системы Министерства не содержат той совокупности персональных данных , которые были размещены в Telegram-канале».
Действительно, согласно постановлению, судья принимал решение на основе протокола Роскомнадзора, двух уведомлений от Минтруда, скриншотов из телеграм-канала и др. материалов — но выездная проверка, в ходе которой специалисты Роскомнадзора сопоставляли бы данные из утечки с данными из информационных систем ведомства, похоже, не проводилась. В 2022 году Роскомнадзор регулярно проводил такие проверки, но их число сократилось, когда операторов персданных обязали направлять уведомления об инцидентах. После этого Роскомнадзор чаще всего ориентируется только на уведомления.
Тут и правда могут возникнуть проблемы: например, если организация уведомляет об утечке только на основании публикации в канале хакеров, а не собственного расследования, Роскомнадзор может составить протокол на основе этого уведомления и скриншотов, то есть не проверив, была ли утечка. Правда, в случае Минтруда, поскольку взлом действительно был, выездная проверка вряд ли была бы в его пользу.
В конце хочу сказать отдельное спасибо судье, не согласившегося с просьбой представителей министерства не публиковать судебный акт «в целях безопасности». Наоборот: это очень полезное чтиво в целях безопасности.
Министерство труда и социальной защиты России в августе получило административный штраф в размере 100 тысяч рублей за утечку персональных данных. Согласно постановлению, ведомство допустило утечку базы персданных сотрудников на 1400 строк.
Датой нарушения названо 27 ноября 2023 года. Речь, очевидно, идёт о кибератаке и последующем сливе внутренней информации Минтруда, организованных проукраинской группировкой Blackjack. 29 ноября она заявила в своём канале о краже и удалении 50 ТБ данных министерства, опубликовав в подтверждение скриншоты и архив с внутренними документами. Украинские СМИ сообщали тогда, что кибератака якобы была проведена Blackjack с помощью СБУ.
Blackjack — хактивистская группировка, выступающая публично с осени 2023. Согласно отчёту «Лаборатории Касперского», она использует только свободно распространяемое или опен-сорсное ПО и по инструментарию схожа с группировкой Twelve.
Постановление суда примечательно не только тем, что подтверждает прошлогоднюю атаку, но и относительно подробным описанием инцидента со слов представителей защиты. Минтруда было взломано через подрядчика, который имел легитимный доступ к его инфраструктуре. Злоумышленники, получив доступ к подрядчику, через VPN подключились к системам министерства и частично зашифровали серверы и рабочие станции.
Фрагмент с более детальным описанием прикрепляю в виде скриншота. На мой взгляд, он заслуживает изучения всеми, кто занимается обеспечением информационной безопасности организаций. Особенно в части оправданий (этой теме я посвятил несколько постов, а также выступление на PHDays).
Сразу обращает на себя внимание тезис о том, что «инцидент, в результате которого в отношении Министерства составлен протокол об административном правонарушении произошел в выходной день». С таким аргументом в постановлениях по административным делам я сталкиваюсь впервые, даже не знаю, сочувствовать или нет. Увы, у вас и злоумышленников может быть разный график работы.
Аргумент о том, что в организации «в полном объеме выполняется комплекс работ и организационно-технических мероприятий по обеспечению безопасности персональных данных» хорош до тех пор, пока ваши данные не оказываются в канале хакерской группировки.
Подрядчик действительно должен «обеспечивать соблюдение требований информационной безопасности при подключении к [инфраструктуре министерства], а также обеспечивать защиту своей инфраструктуры от возможности подключения к ней третьих лиц». Но имеет смысл проверить, а делает ли он всё это, а также быть готовым к худшему сценарию, особенно в условиях, когда число атак через подрядчиков растёт в разы.
Наконец, ещё отмечу такой момент: «не доказано, что обрабатываемая информация относилась к инфраструктуре [Минтруда], поскольку информационные системы Министерства не содержат той совокупности персональных данных , которые были размещены в Telegram-канале».
Действительно, согласно постановлению, судья принимал решение на основе протокола Роскомнадзора, двух уведомлений от Минтруда, скриншотов из телеграм-канала и др. материалов — но выездная проверка, в ходе которой специалисты Роскомнадзора сопоставляли бы данные из утечки с данными из информационных систем ведомства, похоже, не проводилась. В 2022 году Роскомнадзор регулярно проводил такие проверки, но их число сократилось, когда операторов персданных обязали направлять уведомления об инцидентах. После этого Роскомнадзор чаще всего ориентируется только на уведомления.
Тут и правда могут возникнуть проблемы: например, если организация уведомляет об утечке только на основании публикации в канале хакеров, а не собственного расследования, Роскомнадзор может составить протокол на основе этого уведомления и скриншотов, то есть не проверив, была ли утечка. Правда, в случае Минтруда, поскольку взлом действительно был, выездная проверка вряд ли была бы в его пользу.
В конце хочу сказать отдельное спасибо судье, не согласившегося с просьбой представителей министерства не публиковать судебный акт «в целях безопасности». Наоборот: это очень полезное чтиво в целях безопасности.
Shown 1 - 24 of 26
Log in to unlock more functionality.