Уже не первый год звучат призывы передавать технологии развивающимся странам, чтобы освободить их от цифровой колониальной зависимости, но ни Китай, ни Россия по этому пути не идут. Интересно, почему?

❗️ Роскомнадзор разработал проект приказа о критериях запрета распространения в интернете материалов с информацией об обходе блокировок.

В ведомстве предлагают начать применение критериев с 1 марта 2024 года.

@kommersant

Штрафы держат планку

Попалась новость, что суд оштрафовал университет «Синергия» на 60 тыс. руб. за утечку данных пользователей (по ч. 1 ст. 13.11 КоАП РФ).

Из постановления суда можно узнать некоторые подробности. Известно, что речь идёт об утечке данных пользователей сайта synergy[.]ru, но неясно, какие именно данные стали доступны неограниченному кругу лиц и в каком объёме. «Синергия» сама уведомила Роскомнадзор об инциденте. Наконец, указана причина утечки, что в судебных решениях встречается далеко не всегда:

«Согласно Уведомлению о факте неправомерной или случайной передачи персональных данных Оператора причиной, повлекшей инцидент, является неправомерный доступ к компьютерной информации неустановленными лицами при помощи уязвимости CVE-2021-46433 РНР-компонента Fenom».

Но если информация о решении по «Синергии» попала в СМИ, то многие штрафы вообще в публичное поле не попадают. Вот некоторые организации, оштрафованные за допущение утечки персональных данных за последний месяц:

Ситилинк: на электронную почту сотрудника было направлено письмо, содержащее образец заявления и доверенности, в которых были персданные двух посторонних человек (фамилия, имя, отчество, номер телефона, адрес, дата рождения, паспортные данные, реквизиты банковского счета).

GeekBrains: очевидно, штраф за утечку 2022 года, с которой компания пыталась бороться путём жалоб на посты в профильных каналах. Тогда сообщалось, что утекли 105 тыс. строк, содержащие имя, email, телефон клиентов. Из решения суда выясняется, что причиной утечки стала «низкая осведомленность рядовых сотрудников в вопросах информационной безопасности». Отдельный привет работникам суда, оставившим в судебном решении электронные адреса 6 клиентов GeekBrains. (утечка?)

ТВОЁ: согласно уведомлению компании, утечка произошла в связи со взломом базы данных сайта tvoe[.]ru либо в результате sql-инъекций, либо в результате использования уязвимостей CMS Bitrix. В итоге были слиты более 2 млн записей с данными пользователей: ID пользователя, дата создания пользователя, логин, технический зашифрованный пароль, сведения о блокировке аккаунта, имя, фамилия, дата последней авторизации на сайте, номер телефона.

О3-Коутингс: в мае этого года в интернет утекла база с 2,5 млн строк с пользовательскими данными с сайта o3[.]com: запросы пользователей о качественных характеристиках продукции, имена, номера телефонов. Как это произошло, неизвестно, но оператор уведомил Роскомнадзор, обнаружив на сайте сообщение о хищении данных.

Фонд «Сколково»: штраф за майскую утечку 100 тыс. записей: ФИО, email, номер телефона.

Международная гимназия Сколково: видимо, поскольку это отдельное юрлицо, в отношении международной гимназии было заведено отдельное дело, хотя речь идёт о той же майской утечке, и в документе цитируется одно и то же уведомление, в котором предварительной причиной утечки названа «компьютерная атака, проведённая внешними злоумышленниками». В случае с международной гимназией Роскомнадзор обнаружил утечку базы данных с 273 записями: ФИО, ИНН, паспортные данные, свидетельство о рождении.

Уже только по этим примерам видно, насколько абсурдно сейчас выглядит система штрафов. Данные двух человек, двухсот, ста тысяч, двух миллионов? Сумма штрафа везде одна — 60 тысяч рублей (за исключением решения по GeekBrains, в котором сумма не указана).

В завершение пара забавных моментов:

Ситилинк в августе, за несколько дней до заседания по своему делу, вместе с другими членами Ассоциации компаний интернет-торговли обратился к Минфину и Минцифры с просьбой отложить вступление в силу закона об оборотных штрафах за утечки. Непонятно, что нужно откладывать, если законопроект в Госдуму так и не внесли и не факт, что в этом году внесут.

Сопротивление компаний большим оборотным штрафом, наверно, можно понять. Но некоторым не хочется платить и 60 тысяч. Так, ТВОЁ обжаловало решение суда — ещё на заседании представитель компании просила не назначать штраф, поскольку «утечка персональных данных произошла ввиду хакерской атаки». В Сколково до этого не додумались.

Международный уголовный суд подвергся кибератаке

МУС сообщил в Твиттере, что в конце прошлой недели он обнаружил «аномальную активность, затрагивающую его информационные системы». Ответственные службы суда отреагировали на инцидент, также помощь оказала принимающая страна — Нидерланды. Больше никаких подробностей пока нет.

Дополнение: согласно источнику голландского СМИ NOS, из МУС было похищено большое количество чувствительных документов, но суд не хочет это подтверждать.

По совпадению (или нет) прокурор МУС буквально несколько недель назад заявил о намерении расследовать военные киберпреступления.

У разработчика антивирусов Dr.Web приостановлена лицензия ФСТЭК для одного из ключевых продуктов за «несоответствие требованиям безопасности информации».

Участники рынка говорят, что подобная остановка действия сертификата — большая редкость, а в условиях постоянного роста кибератак и ухода зарубежных вендоров ситуация для пользователей антивируса может стать критичной.

Хэппи энд:

Действие сертификата соответствия № 3509 ФСТЭК России на Dr.Web Enterprise Security Suite возобновлено: https://news.drweb.ru/show/?i=14752&lng=ru

Уязвимость BDU:2014-00226 устранена: https://bdu.fstec.ru/vul/2014-00226

Прежде чем аплодировать защитникам Рунета, давайте разберёмся, о чём же идёт речь, потому что в пресс-релизе максимально неконкретно об этом сказано.

О каких шести тысячах сайтах идёт речь? Какая такая CMS? Когда была массовая атака?

Подсказку можно найти в сообщении ТАСС:

«"Совместно с Национальным координационным центром по компьютерным инцидентам с 26 мая 2023 года выявили около 6 000 российских сайтов, подвергшихся взлому. Доступ к ним ограничили, чтобы предотвратить распространение компьютерных атак", - рассказали в центре.

Как пояснили в ЦМУ ССОП, зафиксированная атака шла на устаревшие версии систем управления сайтами. С зараженных ресурсов злоумышленники совершали DDoS-атаки на инфраструктуру объектов государственного, транспортного, банковского, энергетического и других секторов. Кроме того, злоумышленники использовали взломанные сайты для незаконного получения персональных данных пользователей ресурсов.

К устранению проблемы центр подключил 117 организаций, предоставляющих услуги хостинга, на чьих IP-адресах были размещены взломанные домены. Каждой организации было направлено оперативное указание с рекомендациями по устранению уязвимостей и последствий взлома.

"Со стороны хостингов реакция на получение оперативного указания от ЦМУ ССОП с рекомендациями в целом положительная. Большинство организаций приняли информацию о взломе в работу и оповестили своих клиентов об угрозе. В настоящий момент более половины ресурсов устранили уязвимость и разблокированы, доступ к остальным ресурсам временно заблокирован, до устранения последствий взлома и уязвимости. Взломанные ресурсы не несут угрозы для остального Рунета", - заключили в центре».

Таким образом, речь идёт о майской атаке, о которой я уже писал подробно. Напомню, что произошло: 26 мая IT-армия Украины объявила о массовом дефейсе российских сайтов. Вскоре выяснилась, что атака была проведена на сайты на устаревшей версии CMS Битрикс, которая содержала обнаруженную в марте 2022 года уязвимость. Компания выпустила обновление вскоре после этого, но как-то особо об этом не распространялась — в июне 2022 года сообщалось, что всего 10% клиентов регулярно обновляют свои сайты. В итоге к маю 2023 тысячи сайтов были уязвимы, чем и воспользовались злоумышленники. После атаки CyberOK подготовил рекомендации по реагированию на такие атаки, а после реакции сообщества ИБ и публикаций в СМИ «1С-Битрикс» выпустил первый за несколько лет пресс-релиз, посвящённый безопасности, намекнув, что виноваты во всём владельцы сайтов.

Со стороны государства реакция была следующей: поскольку сайты подверглись дефейсу и на них был размещено послание IT-армии Украины, это было классифицировано как размещение противоправного контента. В итоге НКЦКИ и ЦМУ ССОП обнаружили около шести тысяч таких российских сайтов и заблокировали их, а через хостинги направили рекомендации.

На мой взгляд, немного странно в сентябре бравурно отчитываться о таком подвиге — всё-таки суть истории в том, что такая массовая атака вообще произошла спустя больше года после обнаружения уязвимости. Весьма удобно выставлять крайними владельцев сайтов.

Также интересно было бы посмотреть не только на количество заблокированных сайтов, но и на то, сколько из них в итоге было разблокировано по этой схеме с уведомлением через хостинги (более половины), сколько времени это заняло.

И, конечно, основной вопрос: были ли из всей ситуации вынесены какие-то уроки? Или стоит ждать очередных отчётов о блокировках российских сайтов?

Вопрос не праздный — буквально неделю назад в базу ФСТЭК была добавлена свежая уязвимость в модуле Битрикса. В курсе ли владельцы сайтов, что им надо обновиться?

Сегодня (или уже вчера по местному времени) на Sakhalin Security 2023 в выступлении представителя НКЦКИ был упомянут Битрикс и массовые атаки на него. Говорилось это все в контексте, что многие пользователи Битрикса были взломаны за полгода до начала массовых атак, установлены шеллы и все такое. И все это прекрасно бэкапилось (резервное копирование - важная штука). После атак, когда все переустановили свои Битриксы из резервных копий... были снова установлены и забэкапленные шеллы и все такое. И снова атаки, снова компрометации, снова подмены страниц с политическими лозунгами, снова утечки информации.

Вдруг находится критическая RCE-уязвимость в Битриксе, позволяющая хакеру выполнить команды операционной системы на уязвимом сервере и, получив контроль над его ресурсами, проникнуть затем во внутреннюю сеть компании-заказчика. Дыра обнаружена 13 сентября и занесена в БДУ ФСТЭК. CVSS - 10. Вы думали Битрикс уведомил об этой уязвимости своих клиентов? Хрен!

Я это уже писал как-то, но повторю. Битриксу надо менять свое отношение к ИБ - и в части архитектуры собственных продуктов (разговоры про то, что нельзя удаленно за клиента обновлять его сервера, - это для бедных), и в части работы по вопросам ИБ со своими клиентами. А то вдруг внесут в законодательство ответственность ИТ-поставщиков за небезопасность их продуктов или выкинуть из реестра отечественного ПО за попустительское отношение к ИБ. А то чего хуже - обяжут на BugBounty выйти.

Фишинг от «Службы национальной безопасности» Армении

Исследователи обнаружили атаку с использованием письма якобы от Службы национальной безопасности Армении. Документ был впервые обнаружен 11 сентября. Он якобы был адресован государственным организациям Армении и эксплуатировал тему конфликта вокруг Нагорного-Карабаха. Примерный перевод письма:

«Уважаемые граждане,

Наша страна стоит перед опасностью новой войны. Пожалуйста, постарайтесь быть сплоченными в эту трудную минуту и не раскрывайте секретов врагу. Вам направлены инструкции относительно мер предосторожности в секретном разделе. Пожалуйста, нажмите кнопку «Включить контент», чтобы просмотреть полный текст».

Нажатие на кнопку запускало бы макрос, который загружал исполняемый файл с сайта karabakhtelekom[.]com — подделки под сайт kt[.]am единственного телеком-провайдера в Нагорном Карабахе Karabkah Telecom (поддельный домен зарегистрирован 5 сентября). В конечном счёте на компьютер жертвы устанавливался троян удалённого доступа AsyncRAT, который используется для шпионажа: записи с экрана, ввода с клавиатуры, загрузки дополнительной полезной нагрузки и пр.

О том, на кого была направлена рассылка и кто за ней стоял, пока оценок нет (один исследователь назвал это атакой APT).

Около 80% операторов самостоятельно направляют уведомления об утечках персональных данных в установленные законом сроки; передача полной информации об инциденте может помочь оператору избежать ответственности по статье о повторном правонарушении, сообщил замруководителя Роскомнадзора Милош Вагнер.
"В уведомлении (об инциденте - ИФ) пишут, что "я увидел в сети интернет на таком-то сайте или в телеграм-канале, что такой-то объем данных у меня скомпрометирован", и "да, действительно такой объем у меня "угнали", и я уведомляю вас об этом". Но когда в следующий раз те же хакеры выкладывают следующий дамп (файл - ИФ) из этой утечки и говорят, что "вот ещё раз мы обнесли этого товарища". В такое случае слова оператора о том, что "это всё ещё первая утечка, меня взломали один раз", звучат уже неубедительно", - сказал Вагнер.

Справедливости ради, Битрикс упомянул на сайте, что 14 сентября выпущено критическое обновление безопасности. Правда, ни по каким другим каналам (VK, Телеграм и т.д.) не сообщил об этом. Хотя о критической уязвимости можно было бы уведомить и более широко.

Также вчера был опубликован бюллетень НКЦКИ об этой же уязвимости.

Утечка данных Сирена-Трэвел о бронировании авиабилетов

Не известная прежде хакерская группа заявила о краже данных Сирена-Трэвел, российского разработчика системы бронирования авиабилетов. Утверждается, что в похищенной базе 664,5 миллионов записей, то есть бронирований (за вычетом ошибок).

20 сентября в телеграмме был создан канал группы под названием Muppets. Также слив был анонсирован в канале украинского сообщества KibOrg.

В телеграме опубликованы два сэмпла базы. В одном содержатся более трёх миллионов бронирований: два за начало 2007 года и миллион за начало сентября 2023 года. Содержатся такие поля, как авиакомпания, город вылета, прилёта, данные паспорта/свидетельства о рождении, фамилия и имя, время бронирования билета и др.

Во втором сэмлпе, очевидно, из той же базы содержатся телефоны и адреса электронной почты, которые указывались при бронировании.

Я проверил по одному бронированию из 2023 года — данные сошлись. Похоже, база подлинная.

Только эти два сэмпла тянут на слив года. Если действительно утекли записи о бронированиях с 2007 года, то это фиаско.

Вопрос только один: 60 тысяч рублей? (Или не назначать штраф в связи с тем, что «утечка персональных данных произошла ввиду хакерской атаки»?)