• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Здравия всем, дамы и господа. Аккурат к концу месяца выходит очередной дайджест. И в начале его я хотел бы высказать всем читателям искренние поздравления по поводу скорого, или уже произошедшего, наступления лета. Как по мне — это прекрасная пора — время идей, возможностей и отдыха. На этом с поздравлениями, пожалуй, закончу и перейдём к вопросам насущным, а что, собственно, произошло за прошедшую неделю?

IBIT.jpg


Вы любите штрафы?
Про них я писал!

Писал, не раз и не два, но это ведь не значит что не напишу сегодня. В этот раз на рассмотрении целых четыре случая в которых кого-то оштрафовали или планируют это сделать, и угадайте, кто же становится штрафующим в этих случаях? … Если вы сказали Россия, то вы правы. Во всех четырёх случаях инициатором штрафных санкций становятся гос. Структуры РФ.
Первой жертвой дубины для выбивания денег пал Google, отдавший 6 млн рублей по трём протоколам. Все они, разумеется, «за неудаление запрещённого контента».

Вторым по голове получил многострадальный Twitter, который теперь должен выплатить 19 млн рублей за 3 протокола и 6 административных дел.

Третьим в этой цепочке стал Facebook, что закономерно. Он получил штраф на 26 млн рублей, за 6 протоколов.

А теперь немного отвлечёмся от нескончаемой череды штрафов. Ведь РКН пока не собирается замедлять Facebook и Google, желая обойтись лишь штрафами. Ну ладно, не получилось отвлечься, с кем не бывает.
«Во всем должен быть баланс. Если угрозы, которые будут исходить от той или иной соцсети будут превышать пользу от этой соцсети, значит, к ним будут применяться меры более радикальные. На сегодняшний день мы считаем, что пока штрафов достаточно»
«У сотрудников соцсетей появляется свой внутренний KPI [ключевые показатели] ответственности, и это работает. В отношении даже наших компаний это стало эффективнее, потому что менеджеров стало спрашивать руководство: «Почему нас штрафуют?»»


Посторонним вход воспрещён (не совсем)

МТС планирует оснастить люки кабельных канализаций датчиками открытия, чтобы уменьшить количество случаев вандализма и обычного воровства кабелей. Для теста была запущена пилотная система и она доказала эффективность.
«За счет повышения скорости реагирования службы безопасности компании количество краж кабеля снизилось на 42%, число актов вандализма, сопровождающихся порчей линий связи, – на 27%»
Количество средств, которое уже затрачено или планируется потратить доподлинно неизвестно, но интересно другое. В конце 2020 года МТС протестировала в Самарское области решение «Цифровой водоканал», в рамках которого снабдили люки датчиками, срабатывающими на повреждение или движение люка. Вот что примечательно, те люки работали на частотах стандарта NB-IoT, который предназначен для устройств интернета вещей, ниже приведён список этих частот:
453—457,4 МГц, 463—467,4 МГц, 791—820 МГц, 832—862 МГц, 880—890 МГц, 890—915 МГц, 925—935 МГц, 935—960 МГц, 1710—1785 МГц, 1805—1880 МГц, 1920—1980 МГц, 2110—2170 МГц, 2500—2570 МГц и 2620—2690 МГц
Отбросим тот факт, что некоторые испытывают неприязнь к такому устройству, как Hack RF One и получим, что все вышеупомянутые частоты входят в рабочий диапазон этого устройства (1МГц-6ГГц), а если ещё и вспомнить, что сей замечательный девайс умеет шуметь на частотах, глуша, тем самым, сигнал, получаем, что новая система, если она будет работать на этих же частотах, будет не так уж неуязвима.


ПО теперь ещё и экологичное

Microsoft, GitHub, Accenture и ThoughtWorks при поддержке Linux Foundation основали фонд Green Software Foundation, который будет заниматься повышением экологичности работы различных систем, связанных с IT. Например, уменьшением энергопотребления ЦОД’ов путём оптимизации их работы с помощью свободно распространяемого ПО. Новообразованный фонд ставит перед собой ряд задач:
  • Установление отраслевых стандартов по разработке экологичного программного обеспечения. Члены Фонда считают, что создание и принятие подобных стандартов позволит сформировать единый подход к измерению и оценке влияния программного обеспечения на экологию. Кроме того, компании-партнеры Фонда будет прилагать усилия для направления регуляторной политики в сторону принятия этих стандартов, чтобы обеспечить последовательный подход к решению данной проблемы.
  • Ускорение инноваций. Фонд будут стимулировать создание проектов с открытым исходным кодом и открытыми данными, которые нацелены на создание экологичных приложений. Кроме того, Фонд будет тесно работать вместе с некоммерческими партнерами и научными группами, выделяя гранты на исследования в данной области.
  • Повышение осведомленности. Фонд будет способствовать информированности компаний и разработчиков об экологичном подходе к разработке программного обеспечения — создавать программы для информирования разработчиков, организовывать их обучение, а также проводить мероприятия для привлечения внимание к данной теме.
Фонд приглашает в свой состав компании, сочувствующие проблемам экологии.


Не отвлекайте программистов

Именно такую мысль можно использовать в качестве вывода к исследованию, проведённому GitHub. 25 мая компания рассказала о проведённой комплексной оценке влияния отвлекающих факторов на удалённую работу программиста, которую назвали Good Day Project. В опросе поучаствовали 40 человек, удалённо работающих программистами в GitHub. На протяжении четырёх недель они фиксировали проблемы, связанные с продуктивностью и удовлетворением от работы. Если разработчик проводит 2 встречи в день, то уровень продуктивности составляет в среднем 74%. Однако, если таких собраний будет 3 и более, то происходит существенное снижение — опрашиваемые оценили его на уровне 14% и ниже. Проще говоря, если вы начальник — не отвлекайте программистов, а если вы программист — не отвлекайтесь.


«...не регулировать ее невозможно»

В заголовке вы можете наблюдать часть цитаты госпожи Матвеевой. О чём? Разумеется о ситуации в интернете. Вот полная цитата:
«Государство стало активно регулировать интернет-среду, потому что текущая ситуация, которая происходит в интернете, достаточно, скажем так, стала критической. И не регулировать ее невозможно»
Автор вышеприведённой цитаты, кстати, является начальником управления президента России по развитию информационно-коммуникационных технологий и инфраструктуры связи. И по её данным...
  • в среднем россияне проводят в Интернете более семи часов в день;
  • около 40% из всех пользователей сталкиваются с агрессией в Интернете;
  • 20% российских пользователей отвечают агрессией на агрессию;
  • при условии, что в Интернете доминирует токсичная информация, в том числе агрессивная, то происходит «некоторое увеличение агрессивности, в том числе в оффлайне».
Именно это и было названо «критической ситуацией», а для исправления её будут использовать ТСПУ РКН (технические средства противодействия угрозам), а точнее системы, на них базирующиеся.


Уязвимости

Увидел я пару новостей про найденные уязвимости и подумал, а почему бы не объединить их в один блок.
M1RACLES
Интересное название, а точнее аббревиатура. M1ssing Register Access Controls Leak EL0 State (утечка контроля доступа к регистру состояния в режиме EL0) — именно так называется уязвимость, которая недавно была найдена исследователем по имени Гектор Мартин, тем самым, который занимается портированием Linux на M1. Смысл уязвимости в том, что в архитектуре имеется регистр, к которому может получить доступ любой процесс и записать/считать из него данные, а если учесть, что доступ может быть одновременным, то возможна реализация передачи данных. Господин Мартин создал приложение, демонстрирующее этот процесс. Скорость передачи данных, кстати, весьма приличная, ведь, не утруждаясь оптимизацией, исследователю удалось достичь скорости чуть более 1 МБ/с. Обмен может проводиться между совершенно разными процессами, даже запущеными от разных пользователей.


vCenter
Разумеется, это не название уязвимости, это название продукта, в котором нашли дыры. Нет, не уязвимости, а, буквально, дыры, ведь серьёзность их никак не тянет на слово «уязвимость».
CVE-2021-21985 — например, эта позволяет исполнять любой код на хост-машине при условии доступа к порту 443, который, я напоминаю, используется для службы https, а значит, это самое «подключение» очень даже возможно на многих серверах. (9.8 баллов CVSSv3)
CVE-2021-21986 — позволяет без аутентификации выполнять действия, разрешенные плагинами. (5.6 баллов CVSSv3)
Нужно напоминать о необходимости обновиться или сами догадаетесь?
VMware предупредила о критических уязвимостях в удаленном исполнении кода в vCenter
Windows 10, Windows server 2019.
CVE-2021-31166. Чтобы понять опасность этой уязвимости достаточно обратить внимание на её рейтинг. Она получила 9.8 из 10 по шкале CVSSv3. Суть уязвимости заключается в исполнении кода на уровне ядра системы, кроме того, возможно использование для создания червя. Был опубликован эксплойт, под угрозой оказались Windows 10 и Windows Server версий 2004 и 20H2. Уязвима также и служба WinRM, так как использует уязвимый HTTP.sys.



Whatsapp переобулся

Мало того, он сделал это, что называется «на лету». Помните, как они обещали сначала удалить аккаунты, потом решили ограничить функциональность, теперь же компания решила, что пользователи дороже данных и будут просто иногда напоминать об обновлении политики конфиденциальности, не предпринимая никаких активных действий.


С кого же начать?

Именно этим вопросом задалась госдума, когда думала о том, чтобы обязать иностранные компании открывать представительства в РФ. Господин Хинштейн опубликовал список тех, кто начнёт череду открытия представительств.
  • соцсети: Facebook, Instagram, TikTok, Twitter;
  • видеохостинги: YouTube, Twitch.tv;
  • мессенджеры/почт.сервисы: WhatsApp, Telegram, Viber, Gmail;
  • поисковики: Google, Bing.com;
  • провайдеры хостинга: Amazon, Digital Ocean, Cloudflare, GoDaddy;
  • онлайн-торговля: Aliexpress.com, Ikea.com, Iherb.com;
  • прочие:Wikipedia.org.
Представленным выше компаниям были направлены электронные письма с приглашением на вечеринку в честь конца света заседание комитета госдумы, на котором будут обсуждаться возможные доработки и/или изменения.
Александр Хинштейн

Не закупайте иностранные ноутбуки!

Такая инициатива была выдвинута Дмитрию Чернышенко, ведь, по мнению российских ИТ-компаний, школы и ВУЗ’ы подстраивают всё так, чтобы отечественные производители не могли участвовать в заказах. Обращение к Чернышенко направили руководитель Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» Ренат Лашин и глава Ассоциации российских разработчиков и производителей электроники (АРПЭ) Иван Покровский. Минцифры уже работает над этим вопросом. По видимому, скоро мы увидим российские ноутбуки в учебных заведениях.


Glovo

Эта компания занимается доставкой еды из ресторанов и магазинов в Испании, но как же они попали сюда? Всё просто, у них полностью слили базу. На продаже выставлено 480 Гб данных, а именно
  • полные имена;
  • адреса эл. почты;
  • хешированные (SHA-256) пароли;
  • адреса;
  • полные данные платежных карт.
Что интересно, официальные представители говорили, что не хранят данные банковских карт, из чего следует вывод, что при утечке они пострадать не могли, но тут мы видим прямо противоположную ситуацию.
Утечки информации
За информацию благодарю специалистов группы компаний «Анлим».


Блиц

  • Поддержка до 240 Вт мощности в новых USB Type-C 2.1!
  • Срок локализации баз данных российских пользователей увеличен до 1 июля.
  • Проверка на бота фрагментом Doom.
  • Не качайте торрент, пацаны, вы DMCA ещё нужны.
  • Ваши данные отдадут без вашего согласия.
  • Как же всё-таки хорошо ТСПУ всё блокирует…
На этом новости подошли к концу, но я хотел извиниться за одну маленькую оплошность, во многих предыдущих дайджестах я называл главой Роскомнадзора Александра Жарова, хотя с 23 марта этот пост занимает Андрей Липов. На этом предпочту закончить, спасибо за внимание, за сим откланяюсь.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!