Информация без опасностей (безопасность)

Роскомнадзор блокирует порядка 150 популярных VPN-сервисов https://tass.ru/ekonomika/20622877

⚡️ VPN в России всё — РКН начал блокировать индивидуальные Outline серверы. Пользователи сообщают, что это происходит с серверами, которыми пользуются десятки человек (например, семья), но при этом адрес нигде в публичном пространстве не светится. Не спасает даже китайский Shadowsocks. РКН добивает выживших. @exploitex

Б значит не Безумие, а Безопасность: часть 1 / Хабр https://habr.com/ru/companies/nixys/articles/771290/

Запад осуществляет всемирную IT-слежку, страны БРИКС смогут бороться с ней, объединив усилия, считает президент "Крибрум", член СПЧ Игорь Ашманов.

"Есть страны, которые технологически этого себе позволить не могут. Индия, Китай и Россия могут многое вложить в этот пакет. С помощью БРИКС можно думать о создании цифрового суверенитета под ключ для стран-участниц", — заявил эксперт в интервью Аналитическому центру ТАСС.

ЦБ РФ хочет запустить в этом году эксперимент по видеоидентификации клиентов банков Банк России хочет разрешить в экспериментальном режиме видеоидентификацию клиентов банков. Эта функция должна обеспечить дополнительную защиту от мошенников, так как банк может убедиться в том, что банковской картой пользуется именно ее владелец. Тестирование планируют начать в этом году. Под него готовится законодательная база. Как заявила зампред ЦБ Ольга Полякова, практически уже готовы изменения в 115-й закон, передает ТАСС. В настоящее время действующее законодательство не позволяет банкам проводить удаленную идентификацию новых клиентов с использованием различных технических средств, включая средства видеосвязи. При этом банки могут использовать технологии видео-конференц-связи для аутентификации (подтверждения личности) уже находящихся на обслуживании клиентов. https://www.bfm.ru/news/548551

Скачай изображение и потеряй свой Telegram-аккаунт - Инфобезопасность https://infobezopasnost.ru/blog/news/skachaj-izobrazhenie-i-poteryaj-svoj-telegram-akkaunt/

Банк России разъяснил вопросы, связанные с кибербезопасностью и импортозамещением https://asros.ru/dialog/information-security/bank-rossii-razyasnil-voprosy-svyazannye-s-kiberbezopasnostyu-i-importozameshcheniem/

Банки не смогли перейти на зарубежный софт. К 1 января 2025 года они должны завершить переход с иностранного программного обеспечения на отечественный софт. Но с 2022 года в России так и не появился ряд IТ-решений, рассчитанных на высоконагруженные банковские системы. @banksta

Необычный способ кражи Telegram-аккаунтов придумали российские хакеры. Они установили в аэропортах Шереметьево и Внуково точку доступа Wi-Fi с привлекательными названиями SVO_Free и VKO_Free. После подключения к ней пользователей перекидывали на страницу авторизации в браузере смартфона, где нужно было ввести номер телефона и код доступа. Однако код этот приходил не по SMS, как обычно, а в Telegram – и, собственно, был одноразовым кодом авторизации в мессенджере. Введя его на странице авторизации, жертва не получала никакого доступа к Wi-Fi, зато лишалась доступа к своей «телеге». https://www.frequentflyers.ru/2024/04/18/svo_free/

Минцифры предложило правительству отложить создание национального репозитория открытого кода, запланированного к запуску до конца текущего месяца, а вместо этого использовать «один из существующих общедоступных отечественных репозиториев». Об этом написал «Коммерсант». https://ib-bank.ru/bisjournal/news/20483

«Солар» запустил сервис защищенного доступа к веб-ресурсам ГОСТ TLS https://rt-solar.ru/events/news/4267/

"Авито", "Билайн", "Тинькофф" и "Яндекс" подписали отраслевой стандарт защиты данных https://tass.ru/ekonomika/20582431

В Ижевске провели проповедь о кибербезопасности. Подполковник полиции и отец Владимир объяснили прихожанам, что делать, когда звонят мошенники 📢 Прямой эфир - подписаться

Microsoft Kubernetes Threat Matrix Всем привет! Продолжаем тематику моделирования угроз. Сегодняшний пост будет посвящен проекту Kubernetes Threat Matrix от Microsoft. Инструмент достаточно известный, но лишнее напоминание не повредит. Он уже пережил несколько доработок, последняя из которых была в конце 2022 года. Добавили новые техники: 🍭 Static pods 🍭 Collecting data from pod 🍭 Container service account 🍭 Exposed sensitive interfaces Помимо этого, реализован mapping между Kubernetes Threat Matrix и наработками MITRE ATT&CK. Еще одним удобством стал web-интерфейс, с которым можно ознакомиться по ссылке.

БРИКС создаст реестр контактных пунктов для обмена данными о компьютерных атаках https://tass.ru/politika/20576825

Страны БРИКС решили сформировать реестр контактных пунктов для обмена информацией о компьютерных атаках, сообщили в МИД РФ.

Щит для цифрового мира Безопасность в ИТ | IT-World.ru https://www.it-world.ru/security/214977.html

Отраслевой портал - Информационная безопасность банков https://ib-bank.ru/bisjournal/news/20468

Фейковое приложение Сбербанка под названием «Сбер: Онлайн Банк» появилось в AppStore, сообщает ТАСС. В кредитной организации подтвердили этот факт. В кол-центре Сбербанка предупредили, что скачивание мошеннического приложения в магазине приложений для устройств Apple может привести к потере личных данных.

Как клиенту банка доказать, что его подпись подделана, объяснил Верховный суд - Российская газета https://rg.ru/2024/04/14/tajna-roscherka.html

Главные правовые вызовы искусственного интеллекта https://workshops.mosdigitals.ru/webinar-24-04?utm_source=yandex_direct&utm_medium=cpc&utm_campaign=y_network_tg_web_wd&type=context&source=t.me&block=none&position=0&utm_term=---autotargeting&roistat=direct8_context_16061081730_---autotargeting&roistat_referrer=t.me&roistat_pos=none_0&yclid=1972944038879035391

РКН предупредил о рассылке фейковых писем от его имени руководителям СМИ https://www.interfax.ru/russia/955399

Документы по информационной безопасности: общие и частные примеры - Falcongaze https://falcongaze.com/ru/pressroom/publications/articles/dokumenty-po-informatsionnoj-bezopasnosti.html?cultureKey=ru&utm_source=telegram

Масштабной кибератаке с использованием вируса-шифровальщика подвергся Агрокомплекс им. Н. И. Ткачева — одно из крупнейших сельскохозяйственных предприятий в России. Компания еще устраняет последствия инцидента. По данным “Ъ”, ей пришлось столкнуться не только с трудностями в работе, но и с вымогательством 500 млн руб. https://www.kommersant.ru/doc/6635325

В минувшем году, мошенники похитили у россиян почти 16 млрд рублей. Жажда легкой наживы заставляет злоумышленников изобретать все новые и новые схемы хищения денежных средств у жителей нашей страны. Одну из таковых, основанную на призывах быстро и просто заработать онлайн, описала группа компаний «Гарда», а руководитель отдела информационной безопасности Виктор Иевелев составил перечень самых распространенных. https://nbj.ru/fingramotnost/eksperty-gk-garda-rasskazali-o-pravilakh-s/65060/

Обманчивая CAPTCHA: Латинская Америка страдает от новых способов фишинга https://www.securitylab.ru/news/547363.php

В МВД предупредили о фейковых приложениях ВТБ и Тинькофф банка в App Store, которые воруют личные данные. К банкам они никакого отношения не имеют. @bankrollo

Уровни доверия идентификации и аутентификации клиентов банков Не мог пройти мимо Стандарта Банка России СТО БР БФБО-1.8-2024, которым установлен состав и содержание мер для обеспечения доверия к результатам идентификации и аутентификации клиентов при дистанционном банковском обслуживании (ДБО), всё-таки он затрагивает вопросы применения средств электронной подписи.

Использование СКЗИ и (или) средств электронной подписи при проведении идентификации и аутентификации должно осуществляться в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» [4], приказом ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» [10] и технической документацией на СКЗИ и (или) средство электронной подписи

Итак, для финансовых организаций устанавливаются три уровня доверия идентификации (УДИ), определяющих уверенность в результатах идентификации: 🔹низкий (УДИ 1) - может использоваться для предоставления информационных сервисов физлицам, 🔹средний (УДИ 2) - предоставление информационных сервисов юрлицам, не самые рисковые финансовые операции физлиц, 🔹высокий (УДИ 3) - высокорисковые финансовые операции физлиц, финансовые операции ЮЛ. Примеры реализации процесса верификации в разрезе УДИ: 🔹УДИ 1 - подтверждение сведений через СМС; проверка паспорта по видеосвязи; проверка сведений о получателе поставщиком услуг; неподтвержденная УЗ ЕСИА. 🔹УДИ 2 - подтверждение сведений с использованием квалифицированного сертификата. 🔹УДИ 3 - подтвержденная УЗ ЕСИА+второй фактор аутентификации (например, СМС); подтверждение сведений посредством сервисов СМЭВ; подтверждение сведений с использованием загранпаспорта нового поколения; подтверждение с использованием ЕБС. Не согласен с данным примером, что подтвержденная УЗ ЕСИА с СМС (второй фактор включили у всех по-умолчанию прошлой осенью) соответствует более высокому уровню, чем использование квалифицированного сертификата. Это даже 63-ФЗ противоречит, например, для удаленной идентификации с целью получения квалифицированного сертификата можно использовать: загранпаспорт нового поколения (да, технология доступна только для одного УЦ), связку ЕСИА+ЕБС, либо действующий квалифицированный сертификат. УЗ ЕСИА со вторым фактором использовать нельзя для получения сертификата, однако данный способ подтверждения личности отнесен к самому высокому уровню- УДИ 3. Стандарт носит рекомендательный характер, вступает в силу с 01.07.2024.

По всей России случился массовый сбой в системе регистрации транспортных средств МВД приостановило выдачу прав и регистрацию автомобилей в ряде российских регионах из-за техсбоя. В отделениях ГИБДД Москвы, Московской области, Санк-Петербурга и других городов выстроились очереди. Известно, что сбой произошел в связи с переходом на новое программное обеспечение. Ведутся работы по восстановлению работоспособности системы. @notariat