⚡️Дайджест 25-29 декабря

Минцифры разработают способы распознавания дипфейков
К 19 марта Минцифры проработают способы выявления недостоверных данных, созданных с помощью технологий ИИ.

Правительство упростило закупку ПО на «Госмаркете»
Принят закон № 624-ФЗ, упрощающий закупку программного обеспечения на «Госмаркете» в рамках федерального закона о контрактной системе (44-ФЗ).

В России растет спрос на Red Teaming и пентест в режиме белого ящика
Спрос на услуги по анализу защищенности наиболее высок в таких сферах, как финансы, страхование (совокупно ~ 40% проектов), телеком и ИТ (вместе 28,8%).

Сбербанк предотвратил 99,6% мошенничеств, связанных с социальной инженерией
Также в 2023 году департаменты информационной безопасности Сбера смогли сохранить на счетах клиентов около 200 миллиардов рублей.

Новая технология шифрования FHE делает данные неуязвимыми ко взлому
Полностью гомоморфное шифрование позволяет обрабатывать данные, не раскрывая их содержимое.

Вымогательское ПО LockBit нарушило работу немецких больниц
Хакеры получили доступ к ИТ-системам больниц и зашифровали данные.

Вирус Carbanak возвращается с новыми методами распространения
Carbanak теперь используется для удаленного управления системами и извлечения данных, вместо прежней цели — кражи банковских данных.

SSH-серверы Linux подверглись атаке для майнинга криптовалюты
Злоумышленники используют сканеры портов и инструменты для брутфорс атак с целью найти другие уязвимые серверы и объединить их в сеть для майнинга криптовалюты и проведения DDoS-атак.

Barracuda Networks исправила уязвимость нулевого дня, которую уже активно атаковали хакеры из Китая
Уязвимость получила идентификатор CVE-2023-7102 и оказалась связана с багом в сторонней библиотеке Spreadsheet::ParseExcel.

Китай использует ИИ для обнаружения американских агентов
Система мгновенно формирует досье на любого человека в районе, отслеживает его перемещения и контакты, что позволяет выявлять связи и потенциальные уязвимости.

👀 Больше новостей по теме информационной безопасности в нашем еженедельном мониторинге, который доступен для скачивания по ссылке.

🎄 ФГБУ «НИИ «Интеграл» от всего сердца поздравляет всех своих коллег и друзей с наступающим Новым 2024 годом!

В уходящем году мы все вместе поработали от души, сделали много хорошего и полезного. И вот, до Нового года остаётся всего несколько часов.

Новогодний праздник — это время радостных надежд и светлых ожиданий, точка отсчета новых проектов и потрясающих идей. Так пусть же они станут успешным продолжением всех добрых дел уходящего года, принесут уверенность и оптимизм, удачу и свершения!

Желаем, чтобы в наступающем Новом году вам неизменно сопутствовал успех в том важном труде, которым вы занимаетесь! Пусть ваши лучшие начинания всегда будут освещены творческим вдохновением и созидательной инициативой, а энергия и смекалка служат залогом успешного выполнения всех намеченных планов!

Желаем, чтобы вы всегда были окружены уважением и заслуженным авторитетом на работе, теплом и безграничной любовью дома. Желаем быть добрее друг к другу в будущем году, и тогда, возможно, мы сами и мир вокруг нас станет чуточку лучше.

Примите наши самые искренние поздравления с наступающим Новым годом! Крепкого здоровья, огромного счастья и благополучия вам и вашим близким!

🇨🇳 «... В раннем детстве человек идет сразу во все стороны, поэтому можно считать, что его сначала как бы нет; личность возникает позже, когда появляется привязанность к какому-то одному направлению»
(Виктор Пелевин, роман «Омон Ра»)

«…Китайцы обновляются быстрее айфонов…»
(Гай Ричи, кинофильм «Джентльмены»)

Мы живем в мире, который не стоит на месте. Нас окружает огромное количество знаний, сведений, данных; они дают нам возможности для быстрого, эффективного и полноценного функционирования, и для саморазвития, конечно. Однако очевидно, что не всё то золото, что блестит. Проблема опознания реальности и фактического осознания происходящего — бич времени. И если в этом замутненном потоке зачастую теряются и «дуреют» взрослые люди, то что же сказать о детях?
По этой причине, ужесточение правовых мер по ограничению влияния нежелательной и опасной информации на подрастающее поколение является основным текущим трендом развитых стран в части регулирования виртуального пространства.

20 сентября 2023 года на 15-м исполнительном заседании Государственного совета КНР было принято «Положение о защите несовершеннолетних в сети Интернет». Нормативный документ вступил в силу 1 января 2024 года.

Мы в своём репертуаре. И как обычно у наших страниц нет границ. Предлагаем вам ознакомиться с полным переводом этого постановления.

🔊«Только сострадание, только любовь, только личная гигиена…» (В. Пелевин, «Искусство лёгких касаний»)

Программирование — слишком молодая сфера деятельности, которая очень быстро меняется и чересчур сложна для стабильной оценки результативности тех или иных подходов. Мы — «дети галактики», работаем в мире мнений, ощущений и непроверенных сведений.

Считается, что библиотеки, которые изначально пишутся open source, как правило, имеют код более высокого качества, поскольку (спойлер: миф) программисты знают, что этот код увидят тысячи людей и написать его хорошо является вопросом чести. Однако, когда мы пытаемся широко обсудить проблемы программного кода, мы в большинстве случаев рассуждаем о и в словах или символах реально понятных только специалистам, остальные просто сочувствуют. В этой связи, на наших глазах формируется и развивается новая система социальных регуляторов, которая в своем генезисе, на самом деле, не имеет ни общественного договора, ни государственной воли, ни международного консенсуса. А надо бы.

И еще. В 1975 году один из создателей водородной бомбы советский ученый-ядерщик, академик и диссидент Дмитрий Сахаров получил Нобелевскую премию мира. В речи награжденного, зачитанной без его присутствия, были и такие слова: «Совершенно очевидно, что в руках безответственных бюрократических и действующих под покровом секретности учреждений все научные исследования могут оказаться необыкновенно опасными, но в то же время они могут стать крайне важными и необходимыми для человечества, если их осуществлять под контролем гласности, обсуждения и научного социального анализа».

И вправду, в конце концов мы живем в свободной стране, поэтому можем себе позволить и даже обязаны читать и под контролем гласности обсуждать, что думает, например, про открытый код ФБР или АНБ США.

Предлагаем вашему вниманию наш полный перевод документа «Повышение уровня безопасности программного обеспечения с открытым кодом в операционных технологиях и промышленных системах управления», разработанный американскими силовиками.

🔼Дайджест 8—12 января

НКЦКИ опубликовал бюллетень об уязвимостях «нулевого дня»
Их эксплуатация позволяет изменить настройки оборудования, вызвать ошибку типа «отказ в обслуживании».

МВД планирует внедрить ИИ в свою работу
В 2024 году МВД подготовит базу данных для обучения и тестирования нейросетей, а в 2025 году планирует запустить две системы на базе ИИ.

В России улучшат скорость блокировки фишинговых сайтов
Роскомнадзор, Минцифры и Генпрокуратура разрабатывают механизм для оперативного выявления и блокировки фишинговых сайтов без судебного решения.

Пять терабайт персональных данных утекло в сеть в России в 2024 году
Финансовый сектор лидирует по объему опубликованных данных в начале года (115,2 миллиона строк).

Банк России предупредил о новом виде мошенничества
Злоумышленники начали предлагать россиянам решить вопросы с активами, заблокированными иностранными учетными институтами.

Турецкие хакеры атакуют незащищённые серверы MS SQL в США и ЕС
После получения доступа к серверам, хакеры используют метод перебора, затем применяют параметр конфигурации xp_cmdshell для запуска команд оболочки на скомпрометированном хосте.

Личная информация населения Бразилии оказалась в открытом доступе
На облачном сервере был расположен кластер с данными, содержащий данные с полными именами, датами рождения, полом и номерами CPF.

Минобороны Парагвая предупреждает о кибератаках Black Hunt
Хакерская атака на компанию Tigo Business, которая предоставляет облачные сервисы и хостинг, привела к зашифровке более 330 серверов и компрометации резервных копий.

Почти 11 миллионов SSH-серверов в Интернете уязвимы для атаки Terrapin
Больше всего уязвимых систем было выявлено в США (3,3 млн), затем следует Китай (1,3 млн), Германия (1 млн), Россия (700 000), Сингапур (390 000) и Япония (380 000).

Выпущен бесплатный дешифратор для жертв Black Basta и Babuk Tortilla
Дешифровщик позволяет жертвам вредоносной программы восстановить доступ к своим файлам.

👀 Больше новостей по теме информационной безопасности в нашем еженедельном мониторинге, который доступен для скачивания по ссылке.

➡️ Дайджест 13 — 14 января

Обнаружена критическая уязвимость RCE в брандмауэрах Juniper SRX и коммутаторах EX
Уязвимость CVE-2024-21591 имеет рейтинг 9.8 по системе оценки CVSS и позволяет злоумышленнику вызвать отказ в обслуживании или удаленное выполнение кода.

43% отечественных организаций будут инвестировать в средства обнаружения киберугроз в 2024 году
43% организаций инвестируют в новое ПО для выявления киберугроз, 30% выделят бюджет на обучение сотрудников, 39% — на тренинги для ИБ специалистов, и 32% — на киберграмотность персонала из неспециализированных подразделений.

В 2023 году от вымогательского ПО пострадало около 5200 организаций
Несмотря на высокую активность вымогателей, количество уникальных типов вредоносного программного обеспечения уменьшилось более чем в два раза.

CVE-2023-29357 в SharePoint: вымогателям стало еще проще повысить привилегии и выполнить код удаленно
Преступники, распространяющие вирусы-вымогатели, используют рабочий эксплойт для уязвимости в Microsoft SharePoint. Этот баг недавно был включен в список критических проблем, требующих немедленного устранения.

В Конгресс США внесен законопроект о дипфейках
Предусматривается штраф за использование ИИ с целью создания фото- и видеоматериалов, а также имитации голосов людей.