Информационная и кадровая безопасность на работе и в жизни.

[Adm]

Информационная и кадровая безопасность на работе и в жизни.

Полезная информация в шапке и теме постоянно обновляется, читайте новые статьи и рекомендации в сообщениях ниже!

У нас есть отдельный раздел форума для самых интересных новостей, полезных статей и их обсуждения по данной тематике, который находится ЗДЕСЬ.

[Adm]

Стало известно, сколько зарабатывают киберпреступники.

Как сообщают российские антивирусные эксперты, доходы киберпреступников могут более чем в 20 раз превышать их затраты на организацию атак. Это стало известно после сравнения стоимости распространенных хакерских инструментов и «прибыли», которую злоумышленники получают в случае успешной вредоносной операции.

Так, создание фишинговой страницы одной из популярных социальных сетей и организация спам-рассылки с упоминанием сайта-подделки обходятся мошенникам сегодня в среднем в 150 долларов США. Однако если на их удочку «клюнут» 100 человек, то злоумышленники смогут заработать до 10 тысяч долларов, продав конфиденциальные данные пользователей. Пострадавшие же люди, в свою очередь, потеряют ценные для них списки контактов, личные фотографии и сообщения.

Мобильный троянец-блокер обойдется преступникам уже заметно дороже — сегодня за саму программу и ее распространение приходится выкладывать в среднем тысячу долларов. Однако и «выхлоп» в этом случае получается больше. Цены, которые злоумышленники устанавливают за разблокировку смартфона, варьируются от 10 до 200 долларов, а значит, со ста потенциальных жертв они смогут получить до 20 тысяч.

Такую же сумму можно заработать и с помощью программ-шифровальщиков, однако «стартовые инвестиции» будут в среднем в два раза выше — около 2000 долларов. Пользователи также понесут бóльшие потери, поскольку минимальный размер выкупа, требуемый злоумышленниками за расшифровку данных, составляет в среднем 100 долларов.

Наибольший же куш мошенники могут сорвать, если задействуют банковских троянцев, которые охотятся напрямую за деньгами пользователей. Потратив около 3000 долларов на приобретение подобного зловреда в комплекте с эксплойтом и специально организованной для этого спам-рассылкой, киберпреступники имеют шанс получить до 72 тысяч. В этом случае средняя потеря одного пострадавшего пользователя составит 722 доллара.

Исследование прокомментировал генеральный директор REG.RU Алексей Королюк: «С ростом популярности Интернета, количество и качество преступлений в Сети неизменно растет. По различным данным, суммы ущерба от действий киберпреступников только в России исчисляются миллионами долларов. К сожалению, уровень грамотности пользователей в стране остается невысоким, что и порождает достаточно банальные, но действенные способы мошенничества. Для изменения ситуации участникам индустрии необходимо заниматься просвещением интернет-аудитории о способах защиты персональных данных и продолжать совершенствовать собственные системы безопасности».

Стало известно, сколько зарабатывают киберпреступники. Это интересно? Поделитесь с друзьями! —→

[Adm]

Какие сайты являются самыми уязвимыми.

Компании Positive Technologies провели интересное исследование, чтобы выяснить, какие интернет-сайты являются самыми уязвимыми для кибератак.

Специалисты изучили около 500 веб-сайтов, при этом для 61 из них проводился углубленный анализ на наличие уязвимостей. Исследовались сайты банков, СМИ, государственных учреждений, телекоммуникационных компаний и промышленных предприятий.

Оказалось, что у большинства сайтов (62%) имеются уязвимости высокой степени риска, что существенно больше, чем было в 2012 году (45%).

Больше всего уязвимостей было найдено на сайтах СМИ – около 80%. При этом сайты дистанционного банковского обслуживания тоже не блещут безопасностью – ни один из них полностью не соответствует требованиям стандарта безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS).

Специалисты также выявили наиболее распространенные типы уязвимостей для интернет-сайтов.

Межсайтовое выполнение сценариев (Cross Site Scripting) – проблема 78% исследованных сайтов. Эта «дыра» позволяет злоумышленникам менять содержимое веб-страницы, отображаемой в браузере пользователя, и таким образом распространять вредоносный код или похищать учетные данные пользователей.

Второе место (69% сайтов) занимает недостаточная защита от подбора идентификаторов или паролей пользователей (Brute Force).

Самыми небезопасными оказались сайты, созданные на основе языка PHP: 76% из них содержат опасные уязвимости. Чуть менее уязвимы веб-ресурсы на Java (70%) и ASP.NET (55%).

«Ежегодно качество сайтов, с точки зрения пользователя, растет, и как следствие – увеличивается программная насыщенность размещенных на них сервисов. В будущем, деятельность абсолютного большинства представителей офлайн-бизнеса будет оцифрована и, так или иначе, представлена в Интернете, отвечая потребностям пользователей. А это означает увеличение объема персональных данных, расположенных в сети, в том числе – конфиденциальных. Одновременно с ростом числа онлайн-сервисов и данных, размещенных в Интернете, растет заинтересованность в них со стороны хакеров. Чтобы обезопасить онлайн-проекты от потенциальных кибератак, необходимо все более качественно подходить к разработке программного кода и систем администрирования серверов, а также не пренебрегать тестированием на потенциальные уязвимости. Поднимая сложность программирования ресурсов, нужно заботиться и о достойном уровне защиты данных», – считает эксперт IT-индустрии Генеральный директор REG.RU Алексей Королюк.

Какие сайты являются самыми уязвимыми. Это интересно? Поделитесь с друзьями! —→

[Adm]

Apple исправила уязвимость с утечкой интимных фотографий.

Компания Apple обнаружила и исправила уязвимость в сервисе Find My iPhone, предположительно из-за которой хакеры получили доступ к фотографиям обнаженных знаменитостей, сообщает ZDNet.

Подробней можно прочитать ЗДЕСЬ.

[Adm]

Российский Интернет предлагают раздавать «с флешки».

Депутат Госдумы, член комитета по безопасности и противодействию коррупции, Илья Костунов предложил придать российскому сегменту Интернета автономность, чтобы обезопасить его от целенаправленного блокирования.

Депутат считает, что в России должен быть создан «План гражданской обороны при отключении Интернета». Костунов отметил, что сейчас работа Интернета (и Рунета в частности) зависит от американской некоммерческой корпорации ICANN.

В качестве спасительной меры он предложил довольно неожиданное решение. «У каждого гражданина нашей страны, на каждом предприятии должна быть флешка с программой, которую при отключении Интернета можно установить, запустить альтернативную систему адресации и как минимум обеспечить работу российского сегмента Интернета», – считает депутат.

Соответствующую инициативу он направил в Минкомсвязи РФ и МЧС. По мнению парламентария, неожиданное отключение России от Интернета создаст чрезвычайную ситуацию в стране, особенно в свете санкций Запада и США.

Костунов заявил, что есть страны, внутренние сегменты Интернета в которых работают вне зависимости от ICANN (Беларусь и Китай). Депутат уверен, что при отключении Интернета в стране должна быть возможность запустить альтернативную систему адресации.

Напомним, это уже не первая инициатива Госдумы создать автономный Интернет в России. Ранее сенатор Максим Кавджарадзе предлагал создать внутрироссийскую сеть «Чебурашка», закрытую для США и стран Евросоюза.

Российский Интернет предлагают раздавать «с флешки». Это интересно? Поделитесь с друзьями! —→

[Adm]

Пользователям есть что скрывать в Интернете.

Не менее 3/4 россиян скрывают те или иные детали своей активности в Интернете. К этому выводу пришла международная антивирусная компания ESET (Словакия) в результате опроса пользователей.

Участникам опроса было предложено выбрать один вариант ответа на вопрос: «Какую сторону вашей сетевой жизни вы бы не хотели обнародовать ни при каких обстоятельствах?».

Большинство респондентов (49%) опасаются рассекретить личные сообщения в социальных сетях, онлайн-мессенджерах или электронной почте.

Второй по популярности вариант ответа – «история поисковых запросов». Ее публикации опасаются 14% опрошенных.

У 9% участников опроса есть фотографии в «закрытых» альбомах в социальных сетях. Эти снимки они не хотели бы увидеть в общем доступе.

Наименее секретной информацией респонденты считают историю своих покупок в онлайн-магазинах (4%), а также списки друзей в социальных сетях (2%).

При этом почти четверть российских пользователей не боятся публикации данных о своей сетевой жизни. 22% участников опроса сообщили, что у них вообще нет секретов.

«Все предельно просто – чем меньше информации о себе вы оставляете в сети, тем меньше шансов, что нежелательные сведения попадут в открытый доступ, – комментирует Алексей Оськин, руководитель отдела технического и маркетингового сопровождения ESET Russia. – Если вы активно общаетесь онлайн, регулярно проверяйте настройки конфиденциальности аккаунтов в соцсетях, освобождайте почтовые ящики от старых писем и используйте сложные неповторяющиеся пароли для всех веб-сервисов».

Опрос ESET проходил в августе-сентябре 2014 года. В нем приняли участие более 1000 подписчиков официальных групп ESET Russia в социальных сетях и пользователей портала «Мы ESET».

По материалам пресс-релиза.

Пользователям есть что скрывать в Интернете. Это интересно? Поделитесь с друзьями! —→

[Adm]

Россию хотят отключить от Всемирной паутины.

В Совете безопасности РФ обсудят возможность временного отключения российского сегмента Интернета от глобальной сети. Об этом сообщает газета «Ведомости».

Следует отметить, что власти не планируют совсем отключать Россию от Интернета.

Однако, операторы связи должны быть готовы оперативно перенастроить оборудование, чтобы в случае чрезвычайной ситуации (массовые протестные выступления или военные действия внутри страны) Рунет можно было отключить от глобального Интернета. Каким образом будет осуществляться переключение на автономную работу и в каких случаях – пока неясно.

Сообщается, что такие меры укрепят суверенитет Рунета в связи с санкциями Европы и США. По словам экспертов, цель нашего государства – защитить Рунет от изоляции. Например, если Америка решит отключить Россию от системы IP-адресации.

Помимо этого, правительство планирует обсудить передачу администрирования доменов государственной организации. Сейчас этим занимается общественная организация «Координационный центр национального домена сети Интернет».

Напомним, сразу после введения санкций в отношении России, депутаты озаботились защитой государственных интересов. В частности, было предложено создать национальную операционную систему. А позже было объявлено о сотрудничестве с Китаем для создания независимого от запада софта.

Россию хотят отключить от Всемирной паутины. Это интересно? Поделитесь с друзьями! —→

[Adm]

Хакеры выложили в сеть очередные скандальные фото звезд.

Хакеры устроили второй масштабный слив откровенных фотографий звезд Голливуда на сайте 4chan. Фотографий успели моментально распространиться в соцсетях, несмотря на то, что администраторы ресурса быстро удалили оригиналы.

На этот раз хакерам удалось заполучить откровенные фотографии актрисы сериала «Теория Большого Взрыва» Кейли Куоко, актрисы Эммы Стоун, фотомодели Ким Кардашьян, певицы Аврил Лавин, актрисы Мэри-Кейт Олсен, актрисы и певицы Хейден Панеттьер, которая также является невестой Владимира Кличко. Кроме того, в Интернете оказались снимки вратаря женской сборной США по футболу Хоуп Соло.

Представители знаменитостей пока отказываются от комментариев прессе.

Напомним, это уже второй случай, когда интимные фотографии звезд становятся достоянием общественности. Впервые скандальные снимки появились в сети 1 сентября. Тогда жертвами злоумышленников стали актрисы Дженнифер Лоуренс, Кирстен Данст и другие. Предположительно, злоумышленники воспользовались «дырой» в безопасности iCloud, однако компания Apple опровергла эту информацию.

Расследованием утечек занимается ФБР.

Хакеры выложили в сеть очередные скандальные фото звезд. Это интересно? Поделитесь с друзьями! —→

[Adm]

Иностранные компании обязали хранить данные россиян на серверах в РФ.

Госдума приняла во втором чтении законопроект, обязывающий иностранные компании с 1 января 2015 года хранить персональные данные россиян исключительно на серверах в РФ. Таким образом, принятый ранее на эту тему закон вступит в силу на полтора года раньше. Однако компании могут не успеть подготовиться к новой дате.

Напомним, что изначально планировалось вступление этой нормы в силу с сентября 2016 года. Президент РФ Владимир Путин в июле 2014 года подписал закон, которым обязал все иностранные интернет-компании, осуществляющие продажи в России (в том числе авиабилетов, товаров народного потребления, а также соцсети), хранить персональные данные россиян только в России. Таким образом, иностранные компании, такие как Twitter, Facebook и Booking.com, должны открыть свои представительства в России для хранения персональных данных граждан РФ.

По новому законопроекту, такое обязательство появится уже со следующего года.

По мнению авторов инициативы, внесенные коррективы будут способствовать «более оперативному и эффективному обеспечению прав граждан РФ на сохранность персональных данных и соблюдение тайны переписки в информационно- телекоммуникационных сетях». Зампред профильного комитета Госдумы по информационной политике Леонид Левин (СР) ранее назвал документ своевременным. По его мнению, с учетом изменения международной обстановки срок январь 2015 года — разумный компромисс между возможностью предпринимателей и соображениями национальной безопасности. Депутат также отмечал, что этот закон исключит накапливание массивов персональной информации вне защиты российского законодательства и пресечет возможность передачи персональных данных граждан за рубеж без их согласия.

Эксперты, впрочем, опасаются, что до 2015 года компании просто не успеют построить собственные хранилища, а существующих в РФ будет недостаточно.

В профильном комитете Госдумы по информполитике подчеркивают, что нововведения не затронут популярные иностранные сервисы, связанные с бронированием номеров в зарубежных отелях, заказа такси, билетов и так далее. «Если кто-то хочет заказать отель, машину, поехать за рубеж, он может, как и раньше, пользоваться передачей трансграничных данных, но давать персональное разрешение на это», — заверил первый зампред комитета Леонид Левин.

Законопроектом предусмотрены также определенные санкции. Так, доменные имена и сетевые адреса, которые не будут соблюдать положений документа, предлагается вносить в специальный «Реестр нарушителей прав субъектов персональных данных». Вести его должен Роскомнадзор, а основанием для включения в список будет имеющий законную силу судебный акт. Кроме того, нарушение закона повлечет ограничение доступа к данному ресурсу, но после устранения нарушений доступ восстановят.

Иностранные компании обязали хранить данные россиян на серверах в РФ. Это интересно? Поделитесь с друзьями! —→

[Adm]

В Linux и OS Х нашли многолетнюю «дыру» в безопасности.

Эксперты компаний Qrator Labs и Wallarm предупреждают о чрезвычайной угрозе из-за уязвимости Shellshock, позволяющей несанкционированно выполнять код на удаленных системах – серверах, маршрутизаторах, ноутбуках.

«После нашумевшей Heartbleed уязвимость Shellshock – это уже второй «крякер Интернета» за 2014 год, позволяющий злоумышленникам массово получать доступ к удаленным системам. Пикантность ситуации добавляет то, что «заплатки», исправляющей уязвимость, нет до сих пор», – отмечает Степан Ильин, директор по продуктам Wallarm.

Огромное количество устройств разом оказались под ударом после публикации информации об уязвимости Shellshock, открывающей злоумышленникам удаленный доступ к различным устройствам – серверам, маршрутизаторам (в том числе домашним роутерам), ноутбукам (на OS X и Linux).

Критические ошибки (CVE-2014-6271 и CVE-2014-7169) были обнаружены в командной оболочке Bash, повсеместно используемой в Linux/BSD для управления операционной системой. Вскоре были озвучены способы использовать эту уязвимость удаленно – в результате хакеры могут взламывать веб-приложения, использующие в работе популярный интерфейс CGI, и выполнять на уязвимой системе произвольные команды. В некоторых случаях атака может быть произведена через протоколы SSH (используется для удаленного управления) и DHCP (применяется для раздачи клиентам IP-адресов).

Прямо сейчас фиксируются распределенные сканирования различных сегментов Интернета, выполняемых злоумышленниками и направленные на поиск уязвимых серверов и заражение их вредоносным программным обеспечением.

Угрозе подвержены и обычные пользователи. Злоумышленники могут получить доступ к домашним роутерам, веб-камерам и другим устройствам в результате атаки на веб-интерфейс, используемый для их удаленного администрирования и настройки. Хакеру в этом случае даже не надо знать логин и пароль для входа в панель управления.

«На сегодняшний день уже зафиксирован ботнет, который распространяется с использованием уязвимости Shellshock и ориентирован на MIPS и x86 архитектуры – серверы и маршрутизаторы. Данный ботнет распространяется с огромной скоростью, – комментирует Александр Лямин, генеральный директор и основатель Qrator Labs. – По моему мнению, Shellshock по своим последствиям уступает только нашумевшей уязвимости HeartBleed, и о Shellshock мы будем слышать еще многие годы».

Как защититься от Shellshock

Меры в целом для систем:

• Немедленное обновление используемой версии Bash или замена Bash на альтернативный интерпретатор. На данный момент существует исправление только для уязвимости CVE-2014-6271. При этом уязвимость CVE-2014-7169 представляет не меньшую угрозу и по-прежнему может быть использована злоумышленниками
• Проверка всех сетевых устройств, имеющихся в инфраструктуре
• Ограничение доступа к уязвимым сервисам и устройствам (например, с помощью файрвола)

Для веб-приложений:

• В качестве экстренной меры (на время обновления) – отключение функционала, реализованного через интерфейс CGI
• Фильтрация пользовательского ввода к веб-приложениям на уязвимых серверах
• Включение файрвола веб-приложений, блокирующего попытки использования Shellshock и других уязвимостей приложения.

По материалам пресс-релиза.

В Linux и OS Х нашли многолетнюю «дыру» в безопасности. Это интересно? Поделитесь с друзьями! —→

[Adm]

ФБР беспокоит защищенность iOS и Android.

В Федеральном бюро расследований крайне обеспокоены действиями компаний Google и Apple, направленными на усиление приватности пользователей мобильных устройств. Об этом заявил глава ведомства Джеймс Коми.

Он также добавил, что для него главное – это верховенства закона, и он верит, что никто в США не стоит выше закона. Коми беспокоит то, что такие известные компании, как Google и Apple, этого не понимают.

По его словам, приватность мобильных операционных систем приведет к росту уровня преступности в США. И правительство должно обязательно иметь доступ к мобильным телефонам граждан для раскрытия страшных преступлений, таких как террористические акты или массовые убийства.

Джеймс Коми не доволен тем, что сотрудникам ФБР впредь необходимо будет получить ордер независимого судьи, чтобы изучить чей-либо мобильник.

Напомним, недавно Apple заявила, что больше не сможет передавать спецслужбам личные сведения пользователей iOS 8, так как они будут защищены особым кодом. Компания больше не будет хранить криптографические ключи, дающие возможность получать доступ к данным в обход установленного пароля.

Также сообщалось, что новая версия операционной системы Android отныне будет шифровать данные по умолчанию, что также будет мешать полиции получить доступ к личной информации, хранящейся на смартфонах.

По словам Коми, в настоящее время правоохранительные органы ведут переговоры с обеими компаниями, чтобы попытаться убедить их в необходимости отказаться от подобных планов.

ФБР беспокоит защищенность iOS и Android. Это интересно? Поделитесь с друзьями! —→