• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Здравия всем, дамы и господа. Позади ещё одна неделя и сегодня, как и каждый понедельник, я представляю вам новости. Но сегодня попрошу обратить особое внимание на концовку, т.к. там будет содержаться информация о некоторых изменениях в том как я буду публиковать другие свои статьи.

IbIt.jpg


Проблемы Microsoft

Новое обновление Windows привело к проблемам. Эта фраза уже такая родная, такая знакомая, да и проблемы-то, надо сказать, не новые. Опять не работает печать и процессор слишком греется. Хотя нет, вроде бы проблем с перегревом раньше не было. Как писали Microsoft, обновление KB5010414 содержит множество обновлений и доработок. К счастью, всё перечисленное касается лишь пользователей, включённых в программу Windows Insider, а значит смело можно сказать: Они знали на что шли! Часть пользователей связывают проблему перегрева процессора с новым механизмом обработки виджетов. Как и при любой проблеме, связанной с обновлениями, для её решения, нужно просто удалить обновление.


Наполеон

Видимо именно им мнит себя вице-премьер Дмитрий Чернышенко, когда говорит, что к 2030 году рынок РФ будет полностью обеспечен отечественной электроникой. На недавней крупной конференции он озвучил ряд целей для производителей российской электроники, одна из которых — постараться обеспечить рынок внутри страны своей электроникой и постараться выйти на мировой. Кроме того…
  • российские производители высокотехнологичной продукции должны лидировать на внутреннем рынке;​
  • при производстве продукции они должны использовать отечественные компоненты;​
  • объем экспорта их продукции должен превышать объем продаж на внутреннем рынке;​
  • они должны войти в топ-5 мировых производителей;​
  • в стране должны появиться собственные уникальные компетенции производства или технологические этапы в рамках мировой кооперации;​
  • доля российской электронной промышленности в ВВП должна вырасти в три раза (в 2020 году составляла 2,2%).​
Сделать это за 8 лет… Возможно, но очень сложно. Господин Чернышенко напомнил, что раньше импортозамещение было только в рамках оборонного сегмента, а гражданский рынок был целиком отдан зарубежным компаниям. Теперь он предлагает до 2030 года обеспечить и этот сегмент российской техникой. Причем акцент сделан не на копировании зарубежных аналогов, а создании «чего-то своего». Честно говоря, я бы очень хотел верить, что в этом направлении всё получится и все вложенные деньги не осядут в карманах, а идеи на бумагах.


Свершилось, господа!

15 числа текущего месяца Центробанк РФ сообщил, что первые переводы цифрового рубля от клиента к клиенту были совершены успешно! Ещё 29 июня 2021 года ЦБ объявил об организации первой пилотной группы из 12 финансовых учреждений страны для тестирования платформы цифрового рубля. В пилотном проекте тестирования и подготовки для внедрения цифрового рубля в РФ принимают участие: «Сбер», ВТБ, «Ак Барс Банк», «Альфа-банк», банк «ДОМ.РФ», «Газпромбанк», «Тинькофф Банк», «Промсвязьбанк», «Росбанк», «СКБ-банк», банк «Союз» и «ТКБ банк». И в начале этого года три банка из вышеперечисленных уже опробовали новую технологию. Клиенты двух из трех банков успешно провели полный цикл операций по работе с платформой цифрового рубля с использованием банковских мобильных приложений. Они создали и активировали через приложения цифровые кошельки на платформе цифрового рубля, обменяли безналичные рубли со своих банковских счетов на цифровые рубли, провели операции по переводу части цифровых рублей между собой. Данный этап тестирования еще будет продолжен некоторое время. К нему вскоре должны подключиться и другие банки по мере доработки IT-систем и банковских приложений. Центробанк уточнил, что на первом этапе эксперимента, который сейчас проводится, будет опробован выпуск цифровых рублей, открытие цифровых кошельков банкам и физлицам, а также переводы между физлицами. На втором этапе эксперимента с внедрением цифровых рублей ЦБ планирует протестировать операции по оплате с помощью российских цифровых денег по покупке товаров или услуг физлицами у компаний, платежи за государственные услуги, реализацию смарт-контрактов, а также взаимодействие с Федеральным казначейством.


О крипте

Криптовалюта — тема ныне животрепещущая и по её теме сразу две новости.

Минфин придумал, как можно совершать налогообложение для владельцев криптовалюты. Основное изменение — налог на переоценку криптовалюты для юридических лиц, от криптобирж до майнинговых ферм и прочих подобных вещей. По словам заместителя министра финансов Алексея Моисеева, даже если компании не продавали криптовалюту, в июле они должны будет провести переоценку ее стоимости на своих счетах и заплатить налог. Минфин оценивает налоговые поступления от легализации рынка криптовалют примерно в 10-15 млрд рублей. Основной объем выплат придется на майнеров. Но Моисеев говорит, что с криптовалют не надо брать налог на имущество. Он считает, что с налогами можно переусердствовать, после чего мало какие криптобиржи и граждане согласятся работать вбелую. Минфин предлагает отменить для криптоплощадок налог на добавленную стоимость (НДС), а работу с криптовалютами приравнять к финансовым услугами, по аналогии с банковской отраслью.
Здравая мысль? Вполне и даже очень. А по другую сторону медали у нас ЦБ.

Центробанк. Как много в этом слове. Но сегодня мы вытащим из этого «всего» только самое интересное — запреты. ЦБ разработал законопроект, в котором запрещается производство и оборот частных цифровых валют в России. за несоблюдение запрета на прием платежей в криптовалюте граждан и должностных лиц ждет штраф в размере от 30 до 50 тысяч рублей. Юридические лица могут быть оштрафованы на сумму от 700 тысяч до миллиона рублей. Также там предусматриваются санкции за владение частными цифровыми валютами: для обычных граждан и должностных лиц это штраф от 300 до 500 тысяч рублей; для юридических лиц — от 700 тысяч до миллиона рублей. Регулятор предлагает запретить переводить средства в пользу организаторов выпуска или обращения криптовалют как на территории России, так и за ее пределами, а также запретить рекламу этой отрасли. По документу обязанность по надзору в этой сфере среди участников финансового рынка предлагается возложить на Центробанк. Остальными субъектами займутся налоговые органы. Срок давности для подобных нарушений составит один год. Абсолютно не понимаю, зачем ЦБ до сих пор пытается продавить свои запреты. Неужели действительно не понимает, что все остальные ведомства хотят получать деньги с налогов а не со штрафов?



Россия — криптовымогающая

Небезызвестная аналитическая компания Chainalysis опубликовала отчёт, согласно которому, за 2021 года 74% доходов с программ вымогателей в итоге осело на счетах хакеров, связанных с Россией. Если говорить конкретнее, то это сумма около $400 млн. Вывод о происхождении хакеров был сделан исходя из того, что код был написан так, чтобы не повреждать устройства из РФ и СНГ, а также из того, что общение злоумышленников происходило через русскоязычные форумы. Кроме того, отмыв средств происходил преимущественно через российские компании.


Россия — взламывающая

Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований и Агентство национальной безопасности США сообщили о регулярных атаках на американских оборонных подрядчиков и субподрядчиков Пентагона со стороны хакеров, спонсируемых российскими властями. По данным правоохранителей, злоумышленники собирали информацию о разработке оружия и ракет, проектировании наземных транспортных средств и самолетов. Также интерес для хакеров представляли сведения о системе боевой связи и другие разведданные. Скомпрометированным оказались подрядчики Армии США, ВВС, ВМС, Космических сил, Министерства обороны и разведки США. В результате атак злоумышленники получили конфиденциальную несекретную информацию. Несмотря на то, что данные не имеют грифа «секретно», они дают возможность сформировать понимание военных операций США. В качестве векторов заражения использовались фишинг, сбор скомпрометированных учётных записей и эксплуатацию уязвимостей. Отдельно говорится о сроках проведения операций. Заявляется, что атаки проводились в период с начало 2021 года по начало 2022. Во время нападений в 2021 году в распоряжении хакеров оказались сотни документов, которые содержали данные о продуктах подрядчиков, отношениях с другими государствами, внутренних кадровых и юридических вопросах. Правоохранители США призывают подрядчиков провести расследования по фактам взломов и выявить попдозрительую активность в корпоративных и облачных средах. Власти заявили, что на 99.9% уверены, что к влому причастны российские хакеры.


Snap – root up!

Если вы пользователь Linux, то вам не нужно объяснять, что такое snap. Если же нет, скажу — snap – самостоятельные приложения linux, устанавливаемые через snapd. В функционале snap-confine была обнаружена функция, которая там быть не должна, а именно повышение привелегий. Эта уязвимость получила идентификатор CVE-2021-44731. CVSS оценила уязвимость в 7.8 баллов. С помощью snap-confine утилита выстраивает внутреннее пространство для выполнения программы и именно тут возникла проблема. Как написано на сайте Ubuntu, в snap-confine при подготовке для снэпa закрытого пространства имен mount существует состояние гонки. Это позволяет локальному атакующему получить корневые права путем монтирования (bind mount) собственного содержимого в это пространство имен, что приводит к выполнению snap-confine произвольного кода, повышающего привилегии.

Кроме вышеописанной были обнаружены ещё 6 уязвимостей:
  • CVE-2021-3995 – логическая ошибка в одной из функций библиотеки libmount, позволяющая непривелигированному пользователю размонтировать файловую систему FUSE;​
  • CVE-2021-3996 – неавторизованное размонтирование в libmount (см. выше);​
  • CVE-2021-3997 –неуправляемая рекурсия в systemd-tmpfiles, способная привести к отказу в обслуживании при загрузке из-за создания в /tmp слишком большого числа вложенных каталогов;​
  • CVE-2021-3998 – Функция realpath() библиотеки glibc может ошибочно вернуть неожиданное значение, что потенциально ведет к утечке информации и раскрытию чувствительных данных.​
  • CVE-2021-3999 – Переполнение/антипереполнение буфера в getcwd() библиотеки glibc может привести к повреждению памяти, когда размер файла буфера составляет ровно 1.​
  • CVE-2021-44730 – snapd 2.54.2 ошибочно определял расположение исполняемого файла snap-confine. Локальный атакующий мог привязать этот файл через жесткую ссылку к другому расположению, чтобы snap-confine выполнял другие файлы, приводящие к повышению привилегий. Исправлено в версиях snapd 2.54.3+18.04, 2.54.3+20.04 и 2.54.3+21.10.1.​



Гос.сайты под защитой!

Первый вопрос, возникший у меня после прочтения этой новости был следующий:

А, то есть раньше нет?

Вопрос вполне логичен при прочтения заголовка, но становится менее логичным после более глубокого разбора вопроса. Министерств цифровизации запустило отраслевой центр кибербезопасности, в задачи которого входит защита государственных информационных систем от хакерских атак. Отличительной особенностью центра станет широкий функционал — кроме защиты, он займется поиском инициаторов атак, а также выявлением их причастности к хакерским группировкам. Ранее всеми вопросам кибербезопасности занималось управление «К», теперь же для гос.органов есть отдельная защищающая организация.


На этом новости подошли к к концу и теперь обещанная информация. Администратор мне не так давно сказал, что форум, как оказалось, не особо нуждается в повествовательном контенте и подобные статьи оплачиваться не будут. Что ж, хозяин — барин. Теперь рубрика «А как это было?» переезжает на мой сайт, который вы можете найти в подписи профиля. Также туда отправятся и другие рубрики, которые я планировал вскоре запустить здесь. Хоть это и не самая приятная новость, я получил от этого некоторую выгоду, т.к. был вынужден в кратчайшие сроки активизировать работу сайта. Теперь там ежедневно выходят новости, и чуточку реже другие рубрики. Однако мы всё ещё ищем авторов (и рекламщиков) и если у вас есть о чём написать, но вы не уверены, что на форуме это нужно или что вам хватит навыка, то пишите мне, возможно вы станете частью команды itsnews. А за сим откланяюсь и благодарю всех за прочтение.
 
  • Нравится
Реакции: Mogen
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!