uinC NewsLetter #43, 2015


Приветствуем!

Новости из Security Мира

20/10/2015 11:11 Сертификаты Let's Encrypt стали безопасными во всех браузерах
Проект Let’s Encrypt, нацеленный на создание простого, общедоступного и контролируемого сообществом удостоверяющего центра, объявил о перекрёстном подписании своих сертификатов организацией IdenTrust, что делает сертификаты Let's Encrypt автоматически подтверждёнными во всех основных веб-браузерах. Таким образом, сайты с сертификатами Let’s Encrypt отныне будут помечены в браузерах как безопасные. Клиентские сертификаты Let's Encrypt теперь считаются подтверждёнными удостоверяющим центром IdenTrust, несмотря на то, что пока не завершён процесс добавления информации о корневом сертификате Let's Encrypt в поддерживаемые браузерами списки заслуживающих доверия сертификатов. Без перекрёстной подписи, для обеспечения доверия к выписанным в Let’s Encrypt сертификатам требовалось ручное изменение настроек. Общедоступный запуск сервиса запланирован на 16 ноября. До этого времени планируется решить вопрос с рассмотрением заявок на включение Let's Encrypt в хранилище корневых сертификатов Mozilla, Google, Microsoft и Apple. В настоящий момент сервис доступен для участников ограниченной программы бета-тестирования. После публичного запуска любой желающий сможет бесплатно получить сертификат для HTTPS без лишней волокиты, просто продемонстрировав контроль над доменом через создание специальной записи на DNS-сервере или размещение кодовой фразы в файле на веб-сервере.
Источник

20/10/2015 15:02 Утвержден список госсайтов бесплатно доступных в РФ
Утвержден перечень информационных ресурсов интернета, к которым бесплатный доступ смогут получить пользователи универсальных услуг связи (УУС). Доступ будет предоставлен оператором универсального обслуживания. Соответствующий приказ подписал министр связи и массовых коммуникаций Российской Федерации Николай Никифоров. В перечень вошло более двух тысяч интернет-сайтов. Список опубликован на сайте Минкомсвязи России. Приказ разработан в целях реализации Федерального закона №9 «О внесении изменений в Федеральный закон “О связи”» от 3 февраля 2014 года и Правил оказания универсальных услуг связи, утвержденных постановлением Правительства РФ №241 от 21 апреля 2005 года. В соответствии с этими документами пользователям УУС должен быть обеспечен бесплатный доступ к сайтам органов государственной власти, федеральной государственной информационной системе «Единый портал государственных и муниципальных услуг» (ЕПГУ), а также к сайтам средств массовой информации, на которых официально публикуются федеральные конституционные законы, федеральные законы, акты палат Законодательного собрания и иные нормативно-правовые акты федеральных органов исполнительной власти. Ежегодно Минкомсвязь России будет обновлять перечень сайтов с бесплатным доступом. Напомним, реформа УУС предусмотрена Федеральным законом «О связи», согласно которому всем жителям РФ гарантируется равный доступ к услугам связи. Согласно утвержденным тарифам на УУС стоимость доступа к сети Интернет на скорости 10 Мбит/с составит 45 рублей в месяц без ограничений по объему переданной или полученной информации.
Список сайтов

20/10/2015 22:43 Sony Pictures возместит сотрудникам компрометацию их данных
Кинокомпания Sony Pictures Entertainment достигла внесудебного соглашения с трудовым коллективом о выплате 8 млн долларов в качестве компенсации за неспособность защитить личные данные сотрудников во время хакерской атаки на сети компании. Об этом сообщил сегодня телеканал NBC. В ноябре прошлого года накануне выхода в прокат комедийного боевика компании Sony Pictures "Интервью" (The Interview, 2014) на ее компьютерные сети была предпринята беспрецедентная для мирового кинематографа хакерская атака. В результате, согласно СМИ, хакерами были похищены 173 тыс. служебных электронных писем и сообщений, содержавших многочисленные конфиденциальные деловые и личные данные. Сотрудники Sony Pictures подали на компанию в суд иск, требуя компенсации за нанесенный им ущерб. Компания согласилась выплатить каждому пострадавшему работнику не более $10 тыс. При этом Sony Pictures взяла на себя все судебные расходы.
Источник

21/10/2015 10:31 Роскомнадзор предложил помочь пиратам перейти на сторону света
Глава Роскомнадора Александр Жаров заявил, что его ведомство готово помочь интернет-пиратам в переходе на легальные модели бизнеса. Об этом сообщает корреспондент «Ленты.ру» с мероприятия Russian Interactive Week (RIW-2015). Жаров отметил, что его ведомство готово всячески способствовать «там, где пират хочет перейти на сторону света». При этом он напомнил, что за последнее время Роскомнадзор заблокировал более 10 торрент-трекеров и файлообменников, нарушающих права авторов интеллектуальной собственности. RIW-2015 включает конференционную и выставочную части и проходит с 21 по 23 октября. Участниками являются представители интернет-индустрии, как коммерческие компании, так и представители медиа регуляторов. Всего на мероприятии запланировано 600 докладчиков и ожидается более 4500 участников.
Источник

21/10/2015 11:24 Минкомсвязи рассказал об учениях по отключению интернета
Глава Минкомсвязи Николай Никифоров подтвердил, что ФСБ, ФСО и Минобороны действительно проводили учения, связанные с отключением интернета в РФ, однако задачей учений было не отключение России от сети, а наоборот – обеспечение доступа к интернету, несмотря на внешнее воздействие. Об этом сообщает «Интерфакс». «Напомню, что такие учения – более того, они проходили вместе с ФСБ, ФСО и министерством обороны – проходили летом 2014 года. Но они были направлены на анализ рисков и угроз по воздействию извне на структуру российского интернета. Нам важно сделать так, чтобы она продолжала свою работу вне зависимости от тех или иных геополитических мнений или геополитических решений тех или иных стран», – заявил Никифоров. 14 октября гендиректор провайдера «Эр-Телеком» рассказал, что весной 2015 года Минкомсвязи и Роскомнадзор провели эксперимент, в котором была смоделирована попытка отключения России от интернета. По его словам, полностью отключение не удалось из-за наличия небольших провайдеров, которые слабо контролируются государством. На следующий день пресс-секретарь Роскомнадзора Вадим Ампелонский назвал заявление об эксперименте «бредом». Согласно опросу, проведенному в августе 2015 года, 58% россиян, пользующихся интернетом, считают нормальным его временное отключение ради безопасности страны.
Источник

21/10/2015 12:00 Перехват сообщений «ВКонтакте» через мобильный Wi-Fi
В прошедшую субботу российские СМИ сообщили, что отечественный хакер научился взламывать переписку «ВКонтакте». Перехват SMS-уведомлений происходит через сеть Wi-Fi. До сих пор пользователи сети считали, что их личная переписка надежно защищена специалистами корпорации и является сугубо конфиденциальной информацией. Российским хакером стал Михаил Фирстов, являющийся сотрудником фирмы HeadLight Security, который и продемонстрировал заинтересованной публике специальный код, им написанный и внедренный в скрипт, с помощью которого можно взломать любую приватную переписку, ведущуюся с мобильных устройств, поддерживающих две самых распространенные операционные системы: iOS и Android. Как пояснил Фирстов, возможность доступа к личной переписке пользователей соцсети «ВКонтакте» изначально установлена в мобильные приложения этой сети. Таким образом, возможность получать сообщения в открытом, незашифрованном виде, имеется в мобильных приложениях «ВКонтакте», которые, неясно по какой причине, передают их через незащищенный протокол НТТР. Этим незашифрованным соединением легко воспользоваться даже в том случае, если устройство настроено на функцию «Всегда использовать защищенное соединение». Михаил Фирстов поспешил успокоить пользователей российской социальной сети, уточнив, что переписку может увидеть только хакер, пребывающий со своей «жертвой» в одной локальной сети.
Источник

22/10/2015 19:31 Tele2 пришел в Москву и не выполнил предзаказы
Как и было обещано, 22 октября в Москве появился четвертый мобильный оператор Ростелеком (ООО «Т2 РТК Холдинг») под торговой маркой Tele2. Оператор Tele2 позиционирует себя как дискаунтер с прозрачной системой расчетов. За день до запуска сотовой сети в СМИ появилась информация об основных тарифах оператора: «Оранжевый» без абонентской платы и стоимостью 1 рубль за минуту разговора, SMS или 1Мб трафика; «Черный» 99 рублей (интернет-трафик 2Гб), «Очень черный» 299 рублей (4Гб, 400 минут и SMS на все номера России) и «Самый черный» 599 рублей (10Гб, 1000 минут и SMS на все номера России). Параллельно с этим на сайте компании заработал сервис предзаказа с возможностью выбора номера в запускаемой сети. В SMS, после оформления заказа, сообщалось "...Ваш предзаказ № оформлен. Вы можете получить его по адресу ... с 22 октября 2015 года. Tele2.". По информации Tele2, таких предзаказов у них накопилось 30 тысяч. Однако большинство из них не получили выбранные номера, и причиной стал даже не отказ кассового оборудования в пяти салонах Tele2 из 400 открытых в этот день. Как заявил один из менеджеров точки продажи, номера к ним просто не поступали, обманутым клиентам предлагалось оставить свои координаты, по которым им обещали перезвонить, сразу после поступления номеров к ним. Вежливые консультанты предлагали выбрать один из имеющихся номеров в салоне или же оставить свои координаты для последующего извещения о факте доставки. Примечательно, что координаты аккуратно записывались на обычные листы бумаги, коих на момент опроса менеджера, в одной из точек продаж, уже накопилось 3 штуки. Что же касается запуска сети Tele2, она была запущена точно в срок, а вернее в ночь на 22 октября. Важно отметить, что в Москве и области, сеть работает на стандарте 3G и LTE, что ограничивает возможность подключения к ней устаревших моделей телефонов. Запуск московского сайта Tele2 этой ночью прошел не также гладко как в случае с сетью. Часть разделов сайта имела иностранные названия, например "Buy beatiful number", а вместо интернет-магазина красовалось зарубежное "Shop". Теперь немного о тарифах на интернет, они оказались существенно выше региональных, для сравнения: «Пакет интернета» (Москва - 299 руб. (7Гб); Калуга - 190 руб. (5Гб)), «Портфель интернета» (Москва - 599 руб. (15 Гб); Калуга - 290 руб. (15Гб)), "Чемодан интернета" (Москва - 899 руб. (30Гб); Калуга - 490 руб. (30Гб)). И это, учитывая тот факт, что интернет для абонентов из регионов доступен по всей России в сети Tele2. Напомним, что ООО «Т2 РТК Холдинг» к моменту запуска в столице построило в Московском регионе 5 тыс. базовых станций в стандарте третьего поколения сотовой связи (3G) и около 2 тыс. базовых станций четвертого поколения (стандарт LTE). В ближайших планах оператора оснащением сотовой связи столичного метрополитена.
Источник

23/10/2015 10:40 Британский интернет-провайдер TalkTalk подвергся взлому
Злоумышленники могли похитить личную информацию, в том числе данные банковских карт пользователей услуг британской телекоммуникационной компании TalkTalk после совершенной в среду мощной кибер-атаки на ее веб-сайт. Об этом говорится в официальном заявлении компании, пользователями услуг которой являются 4 млн человек. "К сожалению, существует вероятность, что какая-то из следующей информации могла быть вскрыта: имена, домашние адреса, даты рождения, телефонные номера, адреса электронной почты, информация об аккаунтах TalkTalk, подробные детали, касающиеся кредитных карт и/или банковской информации", - констатировала компания, которая работает в сферах интернет-услуг, стационарной и мобильной телефонной связи и оказания поддержки в области информационных технологий. TalkTalk рекомендовала пользователям ее сайта информировать свои кредитные организации о малейших недоразумениях, которые гипотетически могут быть связаны с мошенничеством. Однако многие клиенты компании уже сообщили о том, что в течение 24 часов, предшествовавших объявлению о атаке, они испытывали проблемы с работой электронной почты и интернета. Нынешняя хакерская акция против TalkTalk является уже третьей по счету в течение нынешнего года. Система безопасности компании также подвергалась кибер-атакам в феврале и августе.
Источник

23/10/2015 15:36 Путина попросят закрыть торренты на уровне протокола
Новость из жизни сумасшедших. Институт развития интернета (ИРИ) подготовил революционные предложения по борьбе с пиратством интернета. Госструктуры и корпорации должны будут фильтровать пиратский трафик, а поисковики - выдачу ссылок на нелегальные ресурсы. В распоряжении оказался проект подготовленной Институтом развития интернета (ИРИ) дорожной карты «Медиа и информация», которая является приложением к Программе долгосрочного развития интернета до 2025 г. Документ содержит предложения по развитию медиа и коммуникационной отрасли, которые, как ожидается, до 1 ноября 2015 г. будут представлены Президенту России Владимиру Путину. Разработчиками этой дорожной карты были «Медиа-коммуникационный союз» (руководитель - замгендиректора «СТС-медиа» Сергей Петров), кластер «РАЭК/медиа» (руководитель - гендиректор Tvzavr Марина Сурыгина, координатор - глава «Ассоциации интернет-видео» Алексей Бырдин. В частности, в дорожной карте говорится о предложениях по борьбе с пиратством в интернете. которые должны быть реализованы до конца 2016 г. В корпоративных сетях должен быть установлен запрет на пиратский трафик. А за использование юридическими лицами трафика по протоколу UDP предполагается ввести судебную ответственность. UDP - это один из двух протоколов транспортного уровня в стеке TCP/IP, на базе которого работает интернет. Протокол UDP обеспечивает отправку пакетов данных без подтверждения доставки. Предложение о запрете данного протокола связано с тем, что в последние годы большинство торрент-клиентов перешли на использование UDP вместо другого протокола транспортного уровня - TCP, который отправляет пакеты данных с подтверждением доставки. Кроме того, протокол UDP применяется для передачи потокового аудио и видео в сервисах трансляции ТВ по интернету (IPTV). Собеседники среди интернет-провайдеров не в восторге от таких инициатив. «В России доля в ВВП от деятельности правообладателей ничтожно мала, у нас нет такого количества контента как в США, да и за рубежом наш контент не покупают, - отмечает источник в одном из крупных телеком-операторов. - И если медиа-отрасль начнёт запрещать использование стандартных протоколов, например, предприятиям сырьевых отраслей - «Норникель», «Транснефть» или «Лукойл» - это будет выглядеть, по меньшей мере, странно».
Источник

24/10/2015 14:17 Уязвимости в NTP позволяют путешествовать во времени
Группа исследователей из Бостонского университета разработала серию новых методов атаки на клиентские и серверные системы, использующие протокол NTP для синхронизации времени без применения аутентификации. Проблемы проявляются в пакете ntpd и устранены в выпущенной на днях версии 4.2.8p4 (всего исправлено 13 уязвимостей). Большинство выявленных уязвимостей позволяют осуществить отказ в обслуживании и заблокировать процесс синхронизации времени. Две проблемы дают возможность добиться установки фиктивного времени. На первый взгляд изменение показания часов выглядит безобидной шалостью, но на деле может применяться для совершения комплексных атак на системы шифрования. В частности, смещение времени позволяет организовать работу с просроченными или изъятыми TLS-сертификатами, обойти проверки DNSSEC, игнорировать ограничения HSTS и инициировать отклонение легитимных записей в цепочке криптовалюты Bitcoin. Например, атакующий может сместить время на системе жертвы на середину 2014 года и воспользоваться одним из ста тысяч отозванных сертификатов, скомпрометированных в результате уязвимости Heartbleed, или перевести часы на 2008 год и применить сертификат, выписанный без достаточной энтропии на системах с проблемным пакетом OpenSSL в Debian. Также можно воспользоваться смещением времени для использования подобранных 1024-разрядных ключей RSA на сайтах уже отозвавших ненадёжные RSA-сертификаты.
Источник

25/10/2015 16:23 Школьница в соцсети, обещая кредит, собрала 359 тыс. рублей
Сотрудники полиции Отдела МВД России по Нижнеингашскому району задержали 17-летнюю местную жительницу, которая подозревается в мошенничестве. Полицейские установили, что с ноября 2014 года школьница зарегистрировалась в одной из социальных сетей и под вымышленными фамилиями давала объявления о предоставлении кредита на выгодных условиях. На указанную ей банковскую карту 239 граждан из разных регионов России отправили предварительный взнос в размере 1500 рублей каждый. Таким образом злоумышленница путем мошеннических действий завладела денежными средствами на сумму 359 тысяч рублей, которые впоследствии потратила на личные нужды. Ранее девушка уже пять раз привлекалась к уголовной ответственности. Семья состоит на учете в ПДН. По данным фактам следователями возбуждено уголовное дело по признакам состава преступления, предусмотренного ст. 159 УК РФ «Мошенничество». Ведется расследование.
Источник


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru