#пятничное Оригинал: https://pikabu.ru/story/urok_yurisprudentsii_11233505

Добавил к списку докладов ИБ АСУ ТП КВО 2024 ссылки на краткие пересказы видео выступлений, сгенерированные нейросетью YandexGPT: https://zlonov.ru/events/2024-03-13-14-ибкво/

Вот как это выглядит на примере доклада Павла Сергеевича Зенкина из ФСТЭК России: https://300.ya.ru/v_UsvAYNSG

Кобольдские письма

Оказывается, электронное письмо, полученное от доверенного лица, и даже подписанное его электронной подписью, - может оказать фишинговым.

Суть проблемы в том, что большинство почтовых клиентов позволяет использовать CSS (Cascading Style Sheets - каскадные таблицы стилей) для оформления электронных писем в формате HTML и грамотное использование особенностей DOM (Document Object Model - объектная модель документа) позволяет сформировать такое письмо, которое изначально выглядит вполне невинно, так как его часть просто скрыта (например, путём применения стиля «display: none;»), но при пересылке - изменяется и превращается в нечто совершенно иное.

Поэтому, как вариант, ваш шеф может переслать вам письмо с вопросами от потенциального клиента, а вы в свою очередь - получить от него уже указание необходимости перевода крупной суммы денег по неким банковским реквизитам.

«Кобольдскими» такие письма автор оригинальной статьи назвал как раз потому, что кобольды (нечистые духи в германской мифологии, сродни гномам или домовым) обычно невидимы и склонны к пакостям.

Уязвимость актуальна (в упомянутой статье приведены наглядные примеры) как минимум для:
- Thunderbird;
- веб-версии Outlook;
- Gmail.

В качестве меры защиты можно отключить HTML в почтовом клиенте и «включить» критическое мышление.

Автор, конечно, приводит пример с развитием событий в виде звонка шефу с просьбой подтвердить легитимность письма, и по его версии - необходимое подтверждение вы вполне можете получить, но, на мой взгляд, это уже притянуто за уши. Вряд ли кто-то спросит: «Вы пересылали мне сегодня письмо?», - но не упомянет его содержимое.

- Оригинальная статья (англ.): https://lutrasecurity.com/en/articles/kobold-letters/
- Пост Брюса Шнайера: https://www.schneier.com/blog/archives/2024/04/security-vulnerability-of-html-emails.html

- Про модель DOM: https://ru.wikipedia.org/wiki/Document_Object_Model
- Про CSS: https://ru.wikipedia.org/wiki/CSS
- Про кобольдов: https://ru.wikipedia.org/wiki/Кобольды

Мусасимару победил и сравнялся по количеству побед с Таканоханой:

Мобильная ОС «Ред ОС М», созданная на базе AOSP, осталась в Реестре российского ПО. Против признания данного продукта российским выступал «Ростелеком», который разрабатывает конкурирующую ОС – «Аврора».

https://www.cnews.ru/news/top/2024-04-10_rostelekom_proigral_bitvu

На прошлой неделе НКЦКИ сообщил о запуске сервиса «Утекли ли Ваши данные? Проверьте» (УЛВДП). Естественно захотелось его сравнить с другим весьма популярным «Have i been pwned?» (HIBP).

Результаты навскидку такие:
- HIBP ищет только по электронной почте, УЛВДП - ещё и по логину и по номеру телефона;
- HIBP приводит краткую справку о самой утечке с ссылкой на более детальное описание, УЛВДП отображает только наименование источника утечки и дату;
- HIBP обычно находит больше утечек (сравнивал по нескольким адресам), но УЛВДП порой указывает на отсутствующие у HIBP - например, утечку Tele2.ru;
- HIBP позволяет подключить отдельный дашборд для поиска всех утечек для конкретного почтового домена;
- HIBP позволяет работать через API;
- на сайте HIBP есть общая статистическая информация и отдельная информация о всех подключенных базах, в сервисе УЛВДП такой информации нет.

В целом, для первой итерации - УЛВДП получился вполне рабочим, хотя о полной альтернативе HIBP говорить пока рано. Ну, а для бОльшего эффекта рекомендовал бы пользоваться ими обоими одновременно.

_______________________

- Сервис НКЦКИ: https://chk.safe-surf.ru
- Сервис Have i been pwned?: https://haveibeenpwned.com
- Пресс-релиз: https://safe-surf.ru/specialists/news/706601/
- Новость на AntiMalware: https://www.anti-malware.ru/news/2024-04-15-114534/43162 - новость с ошибкой: никакие пароли УЛВДП вводить не предлагает =)

UPDATE 18.04
Обнаружился ещё один адрес: https://safe-surf.ru/leak-check/ - тут есть поиск по паролю, но сервис проверки работает гораздо менее стабильно: результат поиска пароля "qwerty" я так и не смог получить.

Так и живём... #пятничное

Шикарный пример того, как из одного инфоповода сделать пять новостей =)

Подкину идею - у нас области и края ещё на районы и округа делятся...

Подборка от NIST бесплатных и "недорогих" (less than $100) учебных онлайн-материалов по кибербезопасности: https://www.nist.gov/itl/applied-cybersecurity/nice/resources/online-learning-content

> The following links are for free and low-cost online educational content on topics such as information technology and cybersecurity. Some, not all, may contribute towards professional learning objectives or lead to industry certifications and online degrees.

Обзор российского рынка инфраструктурного ПО от Strategy Partners:
- Российский рынок ПО вырос на 14% в 2023 году. Отмечается рост качества российских продуктов за счет притока финансовых и людских ресурсов на фоне ухода западных вендоров.
- Сегмент инфраструктурного ПО достиг 101 млрд рублей (прирост +31% к уровню 2022 года), но по-прежнему не достиг уровня 2021 года. Доля отечественных вендоров в сегменте превысила 50%.
- Прогноз ИТ-рынка в РФ на 2030 год сохраняется — он продолжит рост с темпами 13% год к году и достигнет 7,0 трлн рублей.
- Рынок средств резервного копирования вырос на 30% и приблизился к уровню 2021 года. Выручка лидера («Киберпротект») выросла на 122%
- Рынок решений для виртуализации вырос на 37% по причине высокого приоритета импортозамещения данного класса ПО у заказчиков

Пресс-релиз: https://strategy.ru/news/271
Новость Anti-Malware: https://www.anti-malware.ru/news/2024-05-30-114534/43479

#пятничное про пароли

(с)просторовинтернета

Мдаа... Думаю, у нас с "Алисой" шансов нет - даже подавать заявку не буду =)

Если у вас с фантазией получше - можете попробовать выиграть 250 тыс.руб: https://namesoc.ru

Выборка сертифицированных средств виртуализации из реестра ФСТЭК России: https://zlonov.ru/fstec-virtualization-2024/

Кто-то уже давно должен был такое сделать!

Специализированный мобильный браузер SFERRA от компании SafeTech - альтернатива работе с, например, личным кабинетом банка через обычный мобильный браузер. Ждём теперь появление в магазинах приложений и запуска совместных проектов с банками.

- Пресс-релиз: https://safe.cnews.ru/news/line/2024-06-06_vozmozhnosti_nativa_dlya_web-adaptiva
- Сайт производителя: https://safe-tech.ru/products/sferra/
- SFERRA на Хабе Злонова: https://hub.zlonov.ru/products/SFERRA

Учебный центр Эшелон, преподаватели которого сами имеют сертификаты CISSP (Certified Information Systems Security Professional) и ранее проводили курсы по подготовке к сдаче соответствующего зарубежного экзамена, теперь будет готовить к сертификации ЦЫССП (зачёркнуто) к ССК (Сертифицированный специалист по кибербезопасности).

Как заявлено в описании: «Данный сертификационный экзамен является отечественным аналогом американского CISSP».

Что особо интересно в наше меркантильное время: «Онлайн-подготовка к сдаче экзамена и онлайн-экзамен будут бесплатными для соискателей».

И вот это тоже примечательный ход: «Отдельное преимущество для всех граждан России, обладающих действующим сертификатом CISSP: они смогут получить сертификат ССК без сдачи экзамена».

Пора уже Заказчикам в требованиях к исполнителю в ТЗ начинать писать: «Наличие в штате сертифицированных специалистов CISSP и/или ССК», как считаете?

- Пресс-релиз: https://npo-echelon.ru/news/12030/
- Регистрация на бесплатный курс подготовки кандидатов: https://etecs.ru/ssc/
- Примеры вопросов: https://uc-echelon.ru/wp-content/uploads/2024/05/ssk_290524_primernye_voprosy.pdf

Натуральное мороженое от АйТи Бастион - без винды и ГМО =)

Смотрю, тема импортозамещения - прямо кладезь вдохновения для маркетологов :) #IT_IS_conf_2024

Отличное дополнение к мерам ОДТ.1 #пятничное

Опыт — это то, что получаешь, когда не получил того, что хотел (с) Ну, или то, чем поделятся мои коллеги на очередном вебинаре цикла про безопасность КИИ.

Тема по безопасной разработке сейчас особенно актуальна, а когда без необходимости самостоятельно вникать во все нюансы и штудировать свежую нормативку тебе всё раскладывают по полочкам, да ещё и с примерами (конечно, немало реализованных УЦСБ по этой теме проектов мне знакомы “изнутри”, но, понятно, далеко не все) - устоять просто не возможно! Пожалуй, я и не устою =) И вы не устаивайте, если заявленные тезисы интересны:
_______________________

9 июля (вторник) в 12:00 (мск) состоится вебинар УЦСБ «Безопасная разработка ПО для значимых объектов КИИ».

Мы расскажем:
- Какие существуют требования регуляторов к прикладному ПО, которое обеспечивает выполнение функций значимых объектов КИИ
- Кто должен реализовать требования Приказа ФСТЭК России от 25 декабря 2017 г. N 239 и как им соответствовать
- Как выстроить процессы безопасной разработки в организации и какие инструменты для этого необходимы
- А также поделимся практическими кейсами

Вебинар ориентирован на:
- Топ-менеджмент организаций, подпадающих под сферу действия 187-ФЗ
- Руководителей и сотрудников отделов кибербезопасности субъектов КИИ
- Всех, кто интересуется защитой данных и кибербезопасностью

Для участия в вебинаре необходимо зарегистрироваться на его странице: https://www.kiiussc.ru

Участники мероприятия получат запись встречи и презентацию, а также приятный подарок (мерч УЦСБ) за самый интересный вопрос.