Forwarded from РоскомнадZор
Подведомственный Роскомнадзору Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) совместно с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) выявили и временно ограничили доступ к 6000 зараженных сайтов.
❗️Ресурсы больше не несут угрозу для остального Рунета
Об устранении инцидента — в карточках ⤴️
Напомним, Роскомнадзор на базе ЦМУ ССОП создает отечественную доверенную систему сканирования Сети. Она позволит оперативно выявлять уязвимости информационной безопасности в российской IT-инфраструктуре.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Кибервойна
Photo
Прежде чем аплодировать защитникам Рунета, давайте разберёмся, о чём же идёт речь, потому что в пресс-релизе максимально неконкретно об этом сказано.
О каких шести тысячах сайтах идёт речь? Какая такая CMS? Когда была массовая атака?
Подсказку можно найти в сообщении ТАСС:
«"Совместно с Национальным координационным центром по компьютерным инцидентам с 26 мая 2023 года выявили около 6 000 российских сайтов, подвергшихся взлому. Доступ к ним ограничили, чтобы предотвратить распространение компьютерных атак", - рассказали в центре.
Как пояснили в ЦМУ ССОП, зафиксированная атака шла на устаревшие версии систем управления сайтами. С зараженных ресурсов злоумышленники совершали DDoS-атаки на инфраструктуру объектов государственного, транспортного, банковского, энергетического и других секторов. Кроме того, злоумышленники использовали взломанные сайты для незаконного получения персональных данных пользователей ресурсов.
К устранению проблемы центр подключил 117 организаций, предоставляющих услуги хостинга, на чьих IP-адресах были размещены взломанные домены. Каждой организации было направлено оперативное указание с рекомендациями по устранению уязвимостей и последствий взлома.
"Со стороны хостингов реакция на получение оперативного указания от ЦМУ ССОП с рекомендациями в целом положительная. Большинство организаций приняли информацию о взломе в работу и оповестили своих клиентов об угрозе. В настоящий момент более половины ресурсов устранили уязвимость и разблокированы, доступ к остальным ресурсам временно заблокирован, до устранения последствий взлома и уязвимости. Взломанные ресурсы не несут угрозы для остального Рунета", - заключили в центре».
Таким образом, речь идёт о майской атаке, о которой я уже писал подробно. Напомню, что произошло: 26 мая IT-армия Украины объявила о массовом дефейсе российских сайтов. Вскоре выяснилась, что атака была проведена на сайты на устаревшей версии CMS Битрикс, которая содержала обнаруженную в марте 2022 года уязвимость. Компания выпустила обновление вскоре после этого, но как-то особо об этом не распространялась — в июне 2022 года сообщалось, что всего 10% клиентов регулярно обновляют свои сайты. В итоге к маю 2023 тысячи сайтов были уязвимы, чем и воспользовались злоумышленники. После атаки CyberOK подготовил рекомендации по реагированию на такие атаки, а после реакции сообщества ИБ и публикаций в СМИ «1С-Битрикс» выпустил первый за несколько лет пресс-релиз, посвящённый безопасности, намекнув, что виноваты во всём владельцы сайтов.
Со стороны государства реакция была следующей: поскольку сайты подверглись дефейсу и на них был размещено послание IT-армии Украины, это было классифицировано как размещение противоправного контента. В итоге НКЦКИ и ЦМУ ССОП обнаружили около шести тысяч таких российских сайтов и заблокировали их, а через хостинги направили рекомендации.
На мой взгляд, немного странно в сентябре бравурно отчитываться о таком подвиге — всё-таки суть истории в том, что такая массовая атака вообще произошла спустя больше года после обнаружения уязвимости. Весьма удобно выставлять крайними владельцев сайтов.
Также интересно было бы посмотреть не только на количество заблокированных сайтов, но и на то, сколько из них в итоге было разблокировано по этой схеме с уведомлением через хостинги (более половины), сколько времени это заняло.
И, конечно, основной вопрос: были ли из всей ситуации вынесены какие-то уроки? Или стоит ждать очередных отчётов о блокировках российских сайтов?
Вопрос не праздный — буквально неделю назад в базу ФСТЭК была добавлена свежая уязвимость в модуле Битрикса. В курсе ли владельцы сайтов, что им надо обновиться?
О каких шести тысячах сайтах идёт речь? Какая такая CMS? Когда была массовая атака?
Подсказку можно найти в сообщении ТАСС:
«"Совместно с Национальным координационным центром по компьютерным инцидентам с 26 мая 2023 года выявили около 6 000 российских сайтов, подвергшихся взлому. Доступ к ним ограничили, чтобы предотвратить распространение компьютерных атак", - рассказали в центре.
Как пояснили в ЦМУ ССОП, зафиксированная атака шла на устаревшие версии систем управления сайтами. С зараженных ресурсов злоумышленники совершали DDoS-атаки на инфраструктуру объектов государственного, транспортного, банковского, энергетического и других секторов. Кроме того, злоумышленники использовали взломанные сайты для незаконного получения персональных данных пользователей ресурсов.
К устранению проблемы центр подключил 117 организаций, предоставляющих услуги хостинга, на чьих IP-адресах были размещены взломанные домены. Каждой организации было направлено оперативное указание с рекомендациями по устранению уязвимостей и последствий взлома.
"Со стороны хостингов реакция на получение оперативного указания от ЦМУ ССОП с рекомендациями в целом положительная. Большинство организаций приняли информацию о взломе в работу и оповестили своих клиентов об угрозе. В настоящий момент более половины ресурсов устранили уязвимость и разблокированы, доступ к остальным ресурсам временно заблокирован, до устранения последствий взлома и уязвимости. Взломанные ресурсы не несут угрозы для остального Рунета", - заключили в центре».
Таким образом, речь идёт о майской атаке, о которой я уже писал подробно. Напомню, что произошло: 26 мая IT-армия Украины объявила о массовом дефейсе российских сайтов. Вскоре выяснилась, что атака была проведена на сайты на устаревшей версии CMS Битрикс, которая содержала обнаруженную в марте 2022 года уязвимость. Компания выпустила обновление вскоре после этого, но как-то особо об этом не распространялась — в июне 2022 года сообщалось, что всего 10% клиентов регулярно обновляют свои сайты. В итоге к маю 2023 тысячи сайтов были уязвимы, чем и воспользовались злоумышленники. После атаки CyberOK подготовил рекомендации по реагированию на такие атаки, а после реакции сообщества ИБ и публикаций в СМИ «1С-Битрикс» выпустил первый за несколько лет пресс-релиз, посвящённый безопасности, намекнув, что виноваты во всём владельцы сайтов.
Со стороны государства реакция была следующей: поскольку сайты подверглись дефейсу и на них был размещено послание IT-армии Украины, это было классифицировано как размещение противоправного контента. В итоге НКЦКИ и ЦМУ ССОП обнаружили около шести тысяч таких российских сайтов и заблокировали их, а через хостинги направили рекомендации.
На мой взгляд, немного странно в сентябре бравурно отчитываться о таком подвиге — всё-таки суть истории в том, что такая массовая атака вообще произошла спустя больше года после обнаружения уязвимости. Весьма удобно выставлять крайними владельцев сайтов.
Также интересно было бы посмотреть не только на количество заблокированных сайтов, но и на то, сколько из них в итоге было разблокировано по этой схеме с уведомлением через хостинги (более половины), сколько времени это заняло.
И, конечно, основной вопрос: были ли из всей ситуации вынесены какие-то уроки? Или стоит ждать очередных отчётов о блокировках российских сайтов?
Вопрос не праздный — буквально неделю назад в базу ФСТЭК была добавлена свежая уязвимость в модуле Битрикса. В курсе ли владельцы сайтов, что им надо обновиться?
Telegram
Кибервойна
⚔️ Массовая атака на сайты в Рунете: 6000 зараженных ресурсов временно заблокированы
Подведомственный Роскомнадзору Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) совместно с Национальным координационным центром по компьютерным…
Подведомственный Роскомнадзору Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) совместно с Национальным координационным центром по компьютерным…
Кибервойна
Прежде чем аплодировать защитникам Рунета, давайте разберёмся, о чём же идёт речь, потому что в пресс-релизе максимально неконкретно об этом сказано. О каких шести тысячах сайтах идёт речь? Какая такая CMS? Когда была массовая атака? Подсказку можно найти…
Что делать госорганам с дефейснутыми сайтами?
Final Results
11%
Ничего, это не их проблема
18%
Уведомить о проблеме
20%
Помочь починить
27%
Уведомить и заблокировать
2%
Просто заблокировать
4%
Разделегировать домен
5%
Оштрафовать владельца
3%
Оштрафовать хостинг
11%
Конфисковать сервер, где размещён сайт
Forwarded from Пост Лукацкого
Сегодня (или уже вчера по местному времени) на Sakhalin Security 2023 в выступлении представителя НКЦКИ был упомянут Битрикс и массовые атаки на него. Говорилось это все в контексте, что многие пользователи Битрикса были взломаны за полгода до начала массовых атак, установлены шеллы и все такое. И все это прекрасно бэкапилось (резервное копирование - важная штука). После атак, когда все переустановили свои Битриксы из резервных копий... были снова установлены и забэкапленные шеллы и все такое. И снова атаки, снова компрометации, снова подмены страниц с политическими лозунгами, снова утечки информации.
Вдруг находится критическая RCE-уязвимость в Битриксе, позволяющая хакеру выполнить команды операционной системы на уязвимом сервере и, получив контроль над его ресурсами, проникнуть затем во внутреннюю сеть компании-заказчика. Дыра обнаружена 13 сентября и занесена в БДУ ФСТЭК. CVSS - 10. Вы думали Битрикс уведомил об этой уязвимости своих клиентов? Хрен!
Я это уже писал как-то, но повторю. Битриксу надо менять свое отношение к ИБ - и в части архитектуры собственных продуктов (разговоры про то, что нельзя удаленно за клиента обновлять его сервера, - это для бедных), и в части работы по вопросам ИБ со своими клиентами. А то вдруг внесут в законодательство ответственность ИТ-поставщиков за небезопасность их продуктов или выкинуть из реестра отечественного ПО за попустительское отношение к ИБ. А то чего хуже - обяжут на BugBounty выйти.
Вдруг находится критическая RCE-уязвимость в Битриксе, позволяющая хакеру выполнить команды операционной системы на уязвимом сервере и, получив контроль над его ресурсами, проникнуть затем во внутреннюю сеть компании-заказчика. Дыра обнаружена 13 сентября и занесена в БДУ ФСТЭК. CVSS - 10. Вы думали Битрикс уведомил об этой уязвимости своих клиентов? Хрен!
Я это уже писал как-то, но повторю. Битриксу надо менять свое отношение к ИБ - и в части архитектуры собственных продуктов (разговоры про то, что нельзя удаленно за клиента обновлять его сервера, - это для бедных), и в части работы по вопросам ИБ со своими клиентами. А то вдруг внесут в законодательство ответственность ИТ-поставщиков за небезопасность их продуктов или выкинуть из реестра отечественного ПО за попустительское отношение к ИБ. А то чего хуже - обяжут на BugBounty выйти.
Telegram
Кавычка
#bitrix 🚨🚨🚨
Уязвимость модуля landing системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление, позволяющая нарушителю выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть.
Bitrix > 23.850.0
RCE…
Уязвимость модуля landing системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление, позволяющая нарушителю выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть.
Bitrix > 23.850.0
RCE…
Фишинг от «Службы национальной безопасности» Армении
Исследователи обнаружили атаку с использованием письма якобы от Службы национальной безопасности Армении. Документ был впервые обнаружен 11 сентября. Он якобы был адресован государственным организациям Армении и эксплуатировал тему конфликта вокруг Нагорного-Карабаха. Примерный перевод письма:
«Уважаемые граждане,
Наша страна стоит перед опасностью новой войны. Пожалуйста, постарайтесь быть сплоченными в эту трудную минуту и не раскрывайте секретов врагу. Вам направлены инструкции относительно мер предосторожности в секретном разделе. Пожалуйста, нажмите кнопку «Включить контент», чтобы просмотреть полный текст».
Нажатие на кнопку запускало бы макрос, который загружал исполняемый файл с сайта karabakhtelekom[.]com — подделки под сайт kt[.]am единственного телеком-провайдера в Нагорном Карабахе Karabkah Telecom (поддельный домен зарегистрирован 5 сентября). В конечном счёте на компьютер жертвы устанавливался троян удалённого доступа AsyncRAT, который используется для шпионажа: записи с экрана, ввода с клавиатуры, загрузки дополнительной полезной нагрузки и пр.
О том, на кого была направлена рассылка и кто за ней стоял, пока оценок нет (один исследователь назвал это атакой APT).
Исследователи обнаружили атаку с использованием письма якобы от Службы национальной безопасности Армении. Документ был впервые обнаружен 11 сентября. Он якобы был адресован государственным организациям Армении и эксплуатировал тему конфликта вокруг Нагорного-Карабаха. Примерный перевод письма:
«Уважаемые граждане,
Наша страна стоит перед опасностью новой войны. Пожалуйста, постарайтесь быть сплоченными в эту трудную минуту и не раскрывайте секретов врагу. Вам направлены инструкции относительно мер предосторожности в секретном разделе. Пожалуйста, нажмите кнопку «Включить контент», чтобы просмотреть полный текст».
Нажатие на кнопку запускало бы макрос, который загружал исполняемый файл с сайта karabakhtelekom[.]com — подделки под сайт kt[.]am единственного телеком-провайдера в Нагорном Карабахе Karabkah Telecom (поддельный домен зарегистрирован 5 сентября). В конечном счёте на компьютер жертвы устанавливался троян удалённого доступа AsyncRAT, который используется для шпионажа: записи с экрана, ввода с клавиатуры, загрузки дополнительной полезной нагрузки и пр.
О том, на кого была направлена рассылка и кто за ней стоял, пока оценок нет (один исследователь назвал это атакой APT).
Forwarded from Персональные_данные
Около 80% операторов самостоятельно направляют уведомления об утечках персональных данных в установленные законом сроки; передача полной информации об инциденте может помочь оператору избежать ответственности по статье о повторном правонарушении, сообщил замруководителя Роскомнадзора Милош Вагнер.
"В уведомлении (об инциденте - ИФ) пишут, что "я увидел в сети интернет на таком-то сайте или в телеграм-канале, что такой-то объем данных у меня скомпрометирован", и "да, действительно такой объем у меня "угнали", и я уведомляю вас об этом". Но когда в следующий раз те же хакеры выкладывают следующий дамп (файл - ИФ) из этой утечки и говорят, что "вот ещё раз мы обнесли этого товарища". В такое случае слова оператора о том, что "это всё ещё первая утечка, меня взломали один раз", звучат уже неубедительно", - сказал Вагнер.
"В уведомлении (об инциденте - ИФ) пишут, что "я увидел в сети интернет на таком-то сайте или в телеграм-канале, что такой-то объем данных у меня скомпрометирован", и "да, действительно такой объем у меня "угнали", и я уведомляю вас об этом". Но когда в следующий раз те же хакеры выкладывают следующий дамп (файл - ИФ) из этой утечки и говорят, что "вот ещё раз мы обнесли этого товарища". В такое случае слова оператора о том, что "это всё ещё первая утечка, меня взломали один раз", звучат уже неубедительно", - сказал Вагнер.
www.interfax-russia.ru
РКН: около 80% операторов персональных данных вовремя уведомляют об утечках - Россия || Интерфакс Россия
21 сентября. Interfax-Russia.ru - Около 80% операторов самостоятельно направляют уведомления об утечках персональных данных в уста... читать далее на "Интерфакс-Россия"
Кибервойна
Сегодня (или уже вчера по местному времени) на Sakhalin Security 2023 в выступлении представителя НКЦКИ был упомянут Битрикс и массовые атаки на него. Говорилось это все в контексте, что многие пользователи Битрикса были взломаны за полгода до начала массовых…
Справедливости ради, Битрикс упомянул на сайте, что 14 сентября выпущено критическое обновление безопасности. Правда, ни по каким другим каналам (VK, Телеграм и т.д.) не сообщил об этом. Хотя о критической уязвимости можно было бы уведомить и более широко.
Также вчера был опубликован бюллетень НКЦКИ об этой же уязвимости.
Также вчера был опубликован бюллетень НКЦКИ об этой же уязвимости.
Утечка данных Сирена-Трэвел о бронировании авиабилетов
Не известная прежде хакерская группа заявила о краже данных Сирена-Трэвел, российского разработчика системы бронирования авиабилетов. Утверждается, что в похищенной базе 664,5 миллионов записей, то есть бронирований (за вычетом ошибок).
20 сентября в телеграмме был создан канал группы под названием Muppets. Также слив был анонсирован в канале украинского сообщества KibOrg.
В телеграме опубликованы два сэмпла базы. В одном содержатся более трёх миллионов бронирований: два за начало 2007 года и миллион за начало сентября 2023 года. Содержатся такие поля, как авиакомпания, город вылета, прилёта, данные паспорта/свидетельства о рождении, фамилия и имя, время бронирования билета и др.
Во втором сэмлпе, очевидно, из той же базы содержатся телефоны и адреса электронной почты, которые указывались при бронировании.
Я проверил по одному бронированию из 2023 года — данные сошлись. Похоже, база подлинная.
Только эти два сэмпла тянут на слив года. Если действительно утекли записи о бронированиях с 2007 года, то это фиаско.
Не известная прежде хакерская группа заявила о краже данных Сирена-Трэвел, российского разработчика системы бронирования авиабилетов. Утверждается, что в похищенной базе 664,5 миллионов записей, то есть бронирований (за вычетом ошибок).
20 сентября в телеграмме был создан канал группы под названием Muppets. Также слив был анонсирован в канале украинского сообщества KibOrg.
В телеграме опубликованы два сэмпла базы. В одном содержатся более трёх миллионов бронирований: два за начало 2007 года и миллион за начало сентября 2023 года. Содержатся такие поля, как авиакомпания, город вылета, прилёта, данные паспорта/свидетельства о рождении, фамилия и имя, время бронирования билета и др.
Во втором сэмлпе, очевидно, из той же базы содержатся телефоны и адреса электронной почты, которые указывались при бронировании.
Я проверил по одному бронированию из 2023 года — данные сошлись. Похоже, база подлинная.
Только эти два сэмпла тянут на слив года. Если действительно утекли записи о бронированиях с 2007 года, то это фиаско.
Кибервойна
Утечка данных Сирена-Трэвел о бронировании авиабилетов Не известная прежде хакерская группа заявила о краже данных Сирена-Трэвел, российского разработчика системы бронирования авиабилетов. Утверждается, что в похищенной базе 664,5 миллионов записей, то есть…
Вопрос только один: 60 тысяч рублей? (Или не назначать штраф в связи с тем, что «утечка персональных данных произошла ввиду хакерской атаки»?)
Для контекста, насколько чувствительны и востребованы эти данные. Вспомнился материал Forbes 2020 года о том, как ФБР легальным путём (со ссылкой на закон 1789 года) получала данные о поездках у Sabre — это американская компания — разработчик одной из лидирующих в мире систем бронирования авиабилетов. Международный аналог Сирены-Трэвел.
«Правительственные структуры США неоднократно обращались к Sabre, чтобы та передала им данные о путешественниках. Как минимум однажды американские власти даже требовали отслеживать перемещения подозреваемого в режиме реального времени».
«В 2015 году ФБР объявило в розыск Алексея Буркова, который, как считали в организации, руководил веб-сайтом Cardplanet с оборотом $20 млн, где можно было продать и купить краденые номера кредитных банковских карт. Чтобы выследить Буркова, ФБР обратилось за помощью не только к Sabre, но и к британской Travelport. Большая часть материалов по делу закрыта. В ноябре 2019 года Израиль экстрадировал Буркова в США, в январе 2020 года он признал себя виновным по обвинениям в электронном мошенничестве, в краже персональных данных, во вторжении в компьютерные системы и отмывании денег (в конце июня Буркова приговорили в США к девяти годам за кибермошенничество. — Forbes Russia)».
«Правительственные структуры США неоднократно обращались к Sabre, чтобы та передала им данные о путешественниках. Как минимум однажды американские власти даже требовали отслеживать перемещения подозреваемого в режиме реального времени».
«В 2015 году ФБР объявило в розыск Алексея Буркова, который, как считали в организации, руководил веб-сайтом Cardplanet с оборотом $20 млн, где можно было продать и купить краденые номера кредитных банковских карт. Чтобы выследить Буркова, ФБР обратилось за помощью не только к Sabre, но и к британской Travelport. Большая часть материалов по делу закрыта. В ноябре 2019 года Израиль экстрадировал Буркова в США, в январе 2020 года он признал себя виновным по обвинениям в электронном мошенничестве, в краже персональных данных, во вторжении в компьютерные системы и отмывании денег (в конце июня Буркова приговорили в США к девяти годам за кибермошенничество. — Forbes Russia)».
Forbes.ru
Как ФБР использует туристическую компанию стоимостью $2 млрд для слежки за преступниками со всего мира, в том числе из России
Об американской компании Sabre мало что известно, однако всякий, кто бронировал авиабилеты, скорее всего, уже есть в ее базе. Еще меньше известно о ее сотрудничестве с ФБР, которое осуществляется на основании закона XVIII века. Руководствуясь им, Sabre, в…
Кибервойна
Для контекста, насколько чувствительны и востребованы эти данные. Вспомнился материал Forbes 2020 года о том, как ФБР легальным путём (со ссылкой на закон 1789 года) получала данные о поездках у Sabre — это американская компания — разработчик одной из лидирующих…
На основе данных о бронированиях из системы Сирена-Трэвел, но за более короткий период (2014-2017) были сделаны около дюжины материалов Bellingcat, написал ранее работавший там Арик Толер.
Изучил разные материалы, связанных с утечкой данных Сирена-Трэвел (как утверждается). Вот пара моментов на полях.
Во-первых, Bellingcat утверждали, что они получили базу данных о бронированиях авиабилетов за 2014-2016 годы в рамках расследования отравлений в Солсбери. Якобы на тот момент база была доступна на нескольких сайтах с торрентами и у продавцов данных. Если это так, то это уже вторая крупная утечка из такой чувствительной системы. Интересно, что каких-то публичных разборов не было.
В этой связи интересна статья CISO Сирена-Трэвел от 2020 года о сложностях с ИБ в гражданской авиации. Например, автор не очень жизнеутверждающе пишет: «Стандарты информационной безопасности в российской авиации фактически отсутствуют».
Но особенно поразителен следующий фрагмент:
«По этому закону [ФЗ-152] в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки данных, если иное не предусмотрено федеральными законами, а также уведомить об этом субъекта персональных данных. Примерно того же от процессоров требует европейский регламент GDPR. Возникает вопрос, что считать моментом достижения целей обработки, и если этот момент не определен, то не будет ли являться нарушением закона неограниченное во времени пользование персональной информацией?
Совершенно очевидно, что удалять данные пассажира через три дня после авиаперелета нет никакой возможности. Это связано как минимум с претензионной работой авиакомпаний, осуществление которой напрямую связано с персональными данными пассажиров».
В статье этот вопрос остаётся подвешенным. Не знаю, сколько реально нужно хранить персональные данные пассажиров — наверно, три дня действительно мало. Но, if you ask me, 16 лет уж точно хранить не стоит, а именно такой давности записи есть в новом сливе. И, учитывая, что это был не первый случай, как будто можно было бы не абстрактно об этом говорить. Конечно, ни о первой, ни о нынешней утечках пока ничего неизвестно, так что это всё мысли вслух и спекуляции, но всё-таки.
Во-вторых, не все российские авиакомпании пользовались системой Сирена-Трэвел. Согласно Forbes, по состоянию на 2021 год крупнейшие авиакомпании, такие как Аэрофлот и S7 использовали иностранные системы бронирования — американские Sabre (ту самую) и Navitaire и испанскую Amadeus. С 2018 года власти в рамках общего курса на цифровой и прочий суверенитет добивались локализации данных зарубежных систем бронирования либо перехода российских авиакомпаний на российские системы от Сирена-Трэвел или ТАИС. В качестве ещё одного варианта рассматривалась передача в зарубежные системы анонимизированных данных пассажиров.
Система Сирены-Трэвел называется Леонардо, это именно её активно продвигает сейчас Ростех. Мотивируя это соображениями безопасности: «Система призвана защитить персональные данные пассажиров и заменить иностранные сервисы бронирования, дальнейшее использование которых несет риски для отрасли пассажирских перевозок».
В сэмпле базы, опубликованном хакерской группировкой, за период с 7 по 10 сентября 2023 больше всего бронирований Аэрофлота, который, похоже, перешёл на отечественную систему (ещё в конце 2022). А вот бронирований S7 там нет («S7 вообще разработала свою собственную [систему]»).
Во-первых, Bellingcat утверждали, что они получили базу данных о бронированиях авиабилетов за 2014-2016 годы в рамках расследования отравлений в Солсбери. Якобы на тот момент база была доступна на нескольких сайтах с торрентами и у продавцов данных. Если это так, то это уже вторая крупная утечка из такой чувствительной системы. Интересно, что каких-то публичных разборов не было.
В этой связи интересна статья CISO Сирена-Трэвел от 2020 года о сложностях с ИБ в гражданской авиации. Например, автор не очень жизнеутверждающе пишет: «Стандарты информационной безопасности в российской авиации фактически отсутствуют».
Но особенно поразителен следующий фрагмент:
«По этому закону [ФЗ-152] в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки данных, если иное не предусмотрено федеральными законами, а также уведомить об этом субъекта персональных данных. Примерно того же от процессоров требует европейский регламент GDPR. Возникает вопрос, что считать моментом достижения целей обработки, и если этот момент не определен, то не будет ли являться нарушением закона неограниченное во времени пользование персональной информацией?
Совершенно очевидно, что удалять данные пассажира через три дня после авиаперелета нет никакой возможности. Это связано как минимум с претензионной работой авиакомпаний, осуществление которой напрямую связано с персональными данными пассажиров».
В статье этот вопрос остаётся подвешенным. Не знаю, сколько реально нужно хранить персональные данные пассажиров — наверно, три дня действительно мало. Но, if you ask me, 16 лет уж точно хранить не стоит, а именно такой давности записи есть в новом сливе. И, учитывая, что это был не первый случай, как будто можно было бы не абстрактно об этом говорить. Конечно, ни о первой, ни о нынешней утечках пока ничего неизвестно, так что это всё мысли вслух и спекуляции, но всё-таки.
Во-вторых, не все российские авиакомпании пользовались системой Сирена-Трэвел. Согласно Forbes, по состоянию на 2021 год крупнейшие авиакомпании, такие как Аэрофлот и S7 использовали иностранные системы бронирования — американские Sabre (ту самую) и Navitaire и испанскую Amadeus. С 2018 года власти в рамках общего курса на цифровой и прочий суверенитет добивались локализации данных зарубежных систем бронирования либо перехода российских авиакомпаний на российские системы от Сирена-Трэвел или ТАИС. В качестве ещё одного варианта рассматривалась передача в зарубежные системы анонимизированных данных пассажиров.
Система Сирены-Трэвел называется Леонардо, это именно её активно продвигает сейчас Ростех. Мотивируя это соображениями безопасности: «Система призвана защитить персональные данные пассажиров и заменить иностранные сервисы бронирования, дальнейшее использование которых несет риски для отрасли пассажирских перевозок».
В сэмпле базы, опубликованном хакерской группировкой, за период с 7 по 10 сентября 2023 больше всего бронирований Аэрофлота, который, похоже, перешёл на отечественную систему (ещё в конце 2022). А вот бронирований S7 там нет («S7 вообще разработала свою собственную [систему]»).
Forwarded from SecurityLab.ru
Хостинг-провайдеры будут вынуждены раскрывать личность клиентов
⏰ С 1 декабря 2023 года хостинги обяжут идентифицировать своих клиентов.
⏰ Идентификация будет проходить через «Госуслуги», Единую биометрическую систему или по паспорту.
⏰ Поправки в законы «О связи» и «Об информации» ужесточают регулирование хостинг-провайдеров в России.
#Хостинг #Минцифры #НовыеПравила @SecLabNews
#Хостинг #Минцифры #НовыеПравила @SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Конец анонимности: Хостинги обяжут раскрывать личность своих клиентов
Можно ли сохранить анонимность после новых правил?
Кибервойна
Форум по международной информационной безопасности пройдёт 18-20 сентября в Москве Национальная ассоциация международной информационной безопасности (НАМИБ) в сентябре проведёт в Москве очередной форум по безопасности в ИКТ-среде. Мероприятие проходит уже…
Российский бизнес (снова) подключают к международной информационной безопасности
На прошедшем форуме «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», организованном Национальной ассоциацией международной информационной безопасности, была представлена новая организация, которая должна заняться развитием связей между ИБ-компаниями и государством в контексте международной политики.
Организация называется КОМИБ, а полностью АНО “Центр Координации государственно-частного партнерства в области международной информационной безопасности”. Директором КОМИБ стал вице-президент НАМИБ Дмитрий Григорьев, ранее директор департамент защиты информации и IT-инфраструктуры Норникеля — что неслучайно (см. ниже).
В пост-релизе форума подчёркнуто, что за последние полтора года российские компании получили уникальный опыт защиты страны от кибератак и теперь готовы предложить свои решения и знания дружественным государствам. А помочь в этом должен как раз КОМИБ:
«В условиях развернутой коллективным западом тотальной гибридной войны против России и её партнеров российский ИКТ-бизнес приобрел уникальный опыт обеспечения безопасности телекоммуникационных и информационных систем. Участвовавшие в Форуме представители российских ИКТ-компаний послали четкий сигнал дружественным государствам о готовности предложить свои технологические решения в сфере информационной безопасности, поделиться накопленным опытом реагирования на компьютерные атаки, осуществить программы обучения. На Форуме была представлена автономная некоммерческая организация «Центр координации государственно-частного партнерства в области международной информационной безопасности» (АНО КОМИБ), созданная НАМИБ в качестве инструмента и операционного механизма для решения этих задач. В ходе Форума руководители ведущих российских компаний в сфере информационной безопасности поддержали этот шаг, отметив его своевременность».
Это уже не первая попытка вовлечь бизнес в российскую кибердипломатию. В 2010 году в Гармиш-Партенкирхене по российской инициативе был учреждён Международный исследовательский консорциум информационной безопасности, куда вошли исследовательские центры и частные компании из России, США, Европы и других стран.
Так, к МИКИБ присоединился Норникель. В 2017 компания на очередном форуме в Гармише выступила с инициативой разработки международной хартии об информационной безопасности критических объектов промышленности — это был период, когда аналогичные предложения выдвигали западные частные компании вроде Microsoft, Siemens и в целом набирала популярность идея, что бизнесу нужен свой киберкодекс. В 2018 году проект хартии был поддержан участниками форума и затем продвигался на международных площадках, в том числе в ОБСЕ. Однако дальше дело не пошло, и в какой-то момент активная работа над развитием хартии как будто бы прекратилась.
В 2018 году Россия инициировала в ООН создание Рабочей группы открытого состава (РГОС) для обсуждения киберугроз и впервые создала возможность для участия в обсуждениях не только государств, но и негосударственных игроков, включая бизнес. Парадоксальным образом в первом созыве РГОС из российских организаций не участвовал не только Норникель, но и вообще никто (за исключением Лаборатории Касперского, которая позиционировала себя как международную компанию). После 2021 года в новом созыве РГОС, а также при Спецкомитете по разработке конвенции о киберпреступности время от времени участвуют российские компании, но без особой активности.
Так что создание КОМИБ — это дальнейшее развитие идеи вовлечения бизнеса в международную повестку. Пока за редким исключением особого интереса к мировой политике у российских компаний не наблюдалось.
На прошедшем форуме «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», организованном Национальной ассоциацией международной информационной безопасности, была представлена новая организация, которая должна заняться развитием связей между ИБ-компаниями и государством в контексте международной политики.
Организация называется КОМИБ, а полностью АНО “Центр Координации государственно-частного партнерства в области международной информационной безопасности”. Директором КОМИБ стал вице-президент НАМИБ Дмитрий Григорьев, ранее директор департамент защиты информации и IT-инфраструктуры Норникеля — что неслучайно (см. ниже).
В пост-релизе форума подчёркнуто, что за последние полтора года российские компании получили уникальный опыт защиты страны от кибератак и теперь готовы предложить свои решения и знания дружественным государствам. А помочь в этом должен как раз КОМИБ:
«В условиях развернутой коллективным западом тотальной гибридной войны против России и её партнеров российский ИКТ-бизнес приобрел уникальный опыт обеспечения безопасности телекоммуникационных и информационных систем. Участвовавшие в Форуме представители российских ИКТ-компаний послали четкий сигнал дружественным государствам о готовности предложить свои технологические решения в сфере информационной безопасности, поделиться накопленным опытом реагирования на компьютерные атаки, осуществить программы обучения. На Форуме была представлена автономная некоммерческая организация «Центр координации государственно-частного партнерства в области международной информационной безопасности» (АНО КОМИБ), созданная НАМИБ в качестве инструмента и операционного механизма для решения этих задач. В ходе Форума руководители ведущих российских компаний в сфере информационной безопасности поддержали этот шаг, отметив его своевременность».
Это уже не первая попытка вовлечь бизнес в российскую кибердипломатию. В 2010 году в Гармиш-Партенкирхене по российской инициативе был учреждён Международный исследовательский консорциум информационной безопасности, куда вошли исследовательские центры и частные компании из России, США, Европы и других стран.
Так, к МИКИБ присоединился Норникель. В 2017 компания на очередном форуме в Гармише выступила с инициативой разработки международной хартии об информационной безопасности критических объектов промышленности — это был период, когда аналогичные предложения выдвигали западные частные компании вроде Microsoft, Siemens и в целом набирала популярность идея, что бизнесу нужен свой киберкодекс. В 2018 году проект хартии был поддержан участниками форума и затем продвигался на международных площадках, в том числе в ОБСЕ. Однако дальше дело не пошло, и в какой-то момент активная работа над развитием хартии как будто бы прекратилась.
В 2018 году Россия инициировала в ООН создание Рабочей группы открытого состава (РГОС) для обсуждения киберугроз и впервые создала возможность для участия в обсуждениях не только государств, но и негосударственных игроков, включая бизнес. Парадоксальным образом в первом созыве РГОС из российских организаций не участвовал не только Норникель, но и вообще никто (за исключением Лаборатории Касперского, которая позиционировала себя как международную компанию). После 2021 года в новом созыве РГОС, а также при Спецкомитете по разработке конвенции о киберпреступности время от времени участвуют российские компании, но без особой активности.
Так что создание КОМИБ — это дальнейшее развитие идеи вовлечения бизнеса в международную повестку. Пока за редким исключением особого интереса к мировой политике у российских компаний не наблюдалось.
НАМИБ
Расширенный пост-релиз: XVII Международный форум «Партнерство государства, бизнеса и гражданского общества при обеспечении международной…
«Международная безопасность в глобальной ИКТ-средев условиях формирования многополярного мира» 20 сентября 2023 года завершился XVII Международный форум «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной…
Forwarded from Пост Лукацкого
Олег задается рядом вопросов касательно возможной утечки из "Сирена-Трэвел" ✈️ и мне есть что сказать по этому поводу.
🔤 Олег пишет, что 16 лет хранения (а именно об этом сроке говорится в утечке "Сирены-Трэвел") - это перебор. Тут, конечно, можно поспорить, так как помимо наших с вами желаний есть еще и требования по транспортной безопасности. И боюсь, что именно ради них все это и хранится так долго. Об этом говорят и поправки в Воздушный кодекс и закон "О транспортной безопасности", которые гласят, что срок хранения информации о пассажирах определяется Минтрансом по согласованию с ФСБ и МВД. И хотя этот закон вступает в силу только с 1-го марта 2024 года, не исключаю, что и раньше ради нацбезопасности данные о перемещениях накапливались достаточно длительное время.
🔤 Тот же Аэрофлот в своей политике конфиденциальности не указывает этот срок, ссылаясь на стандартную отписку про "в течение срока, необходимого для достижения соответствующей цели" или "когда закон устанавливает более продолжительный срок хранения". О том же говорит и их политика конфиденциальности в области ПДн. В политике обработки ПДн "Сирены-Трэвел", принятой в мае этого года, аналогичная конструкция.
🔤 ИКАО в своих рекомендациях в отношении записей регистрации пассажиров этот срок тоже не устанавливает, отсылая всех к локальному законодательству. Так что вроде запрета на долгое хранение нет.
🔤 Система менеджмента ИБ "Сирены-Трэвел" сертифицирована по требованиям ISO/IEC 27001:2013. Сертификат действует с января 2021 по январь 2024 года.
🔤 Информационная система персональных данных "Сирены-Трэвел" была в августе 2020-го аттестована по требованиям ФСТЭК. Аттестат закончил свое действие в августе этого года.
🔤 В феврале 2023-го "Сирена-Трэвел" была сертифицирована еще и по PCI DSS 3.2.1 (сертификат действует до февраля 2024-го).
Если факт утечки в системе бронирования авиаперевозок✈️ подтвердится (а семпл позволяет сделать такой вывод), то это будет очередной демонстрацией, что наличие сертификатов/аттестатов никак не гарантирует реальную кибербезопасность и не может служить никаким доказательством, что данные находятся в сохранности. Но и это еще не все.
Пассажиры✈️ ведь не заключают никаких соглашений с "Сиреной-Трэвел", они свои данные сдают авиакомпаниям, а то и всяким транспортным и туристическим агентствам, которые затем "сдают" их Сирене. И поэтому сразу возникает вопрос ❓ - кому предъявлять претензии, что персональные данные мои или моих детей утекли? Можно ли вообще их предъявлять, если никто официально не подтвердит факт утечки? А что-то пока про это все официальные лица молчат; что тоже понятно, "Сирену" продвигают солидные организации.
ЗЫ. Ну а пока ждем очередных журналистских расследований. Вспоминая то, что писал в свое время Bellingcat (признан иноагентом), опираясь на данные за меньший период времени, утечка об авиаперевозках за столько лет может всякое раскрыть.
Если факт утечки в системе бронирования авиаперевозок
Пассажиры
ЗЫ. Ну а пока ждем очередных журналистских расследований. Вспоминая то, что писал в свое время Bellingcat (признан иноагентом), опираясь на данные за меньший период времени, утечка об авиаперевозках за столько лет может всякое раскрыть.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Кибервойна
Изучил разные материалы, связанных с утечкой данных Сирена-Трэвел (как утверждается). Вот пара моментов на полях.
Во-первых, Bellingcat утверждали, что они получили базу данных о бронированиях авиабилетов за 2014-2016 годы в рамках расследования отравлений…
Во-первых, Bellingcat утверждали, что они получили базу данных о бронированиях авиабилетов за 2014-2016 годы в рамках расследования отравлений…