Это интересно

Россия заняла 10 место в индексе кибербезопасности ООН

В Глобальном индексе кибербезопасности ООН (GCI) Россия заняла десятое место, поднявшись на два пункта по сравнению с результатами 2014 г. Лидерами рейтинга стали Сингапур и США, разместившиеся на первом и втором местах соответственно.

Рейтинг кибербезопасности ООН

В исследовании, которое проводилось Международным союзом электросвязи – специализированным учреждением ООН, изучены разные аспекты обеспечения кибербезопасности в странах-членах этой международной организации. В первую очередь рассматривались технические, организационные и юридические вопросы. На основе комплекса данных был составлен рейтинг, определяющий готовность и возможность каждой страны противостоять кибератаке. Важнейшим значением для оценки уровня киберзащиты каждого государства стало принятие национальной программы безопасности. Но отчет показал, что почти у половины из 195 стран-участниц ООН такой программы нет.

Десятое место России: серьезные успехи и новые проекты

Российская Федерация в отчете названа одним из лидеров региона, который в отчете обозначается как СНГ, но включает вышедшую из его состава Грузию. Россия поднялась на десятое место, набрав 0,788 балла в общемировом рейтинге, в котором занимала 12 место с индексом 0,5 в 2014 г. Эксперты отмечают успехи России в области разработки стандартов кибербезопасности и повышении осведомленности общественности в этом вопросе. Кроме того, в стране есть крупные представители рынка киберзащиты, среди которых «Лаборатория Касперского», созданная в 1997 г. Программное обеспечение компании защищает более 400 млн пользователей и около 270 тыс. организаций.

Одна из причин, по которой Россия находится среди лидеров индекса кибербезопасности ООН — внимание государства к проблеме киберзащиты. В конце июля 2017 г. в России была утверждена программа развития цифровой экономики. Целью программы является развитие и внедрение цифровых технологий во все области жизни: от городского и сельского хозяйства до госуправления. До 2024 г. планируется обеспечить широкополосным доступом в интернет до 97% домашних хозяйств.

Стратегия национальной кибербезопасности должна соответствовать направлениям развития цифровой экономики в России. Данной программой до 2024 г. определены базовые направления развития цифровой экономики. В соответствии с распоряжением правительства РФ №1632-р от 28 июля 2017 г. «Об утверждении программы "Цифровая экономика Российской Федерации"» определены цели, задачи, направления и сроки реализации основных мер государственной политики по созданию необходимых условий для развития в России цифровой экономики, в которой данные в цифровом виде являются ключевым фактором производства во всех сферах социально-экономической деятельности. Стратегия национальной кибербезопасности должна предусматривать защиту от внешних угроз, развитие отраслевых стандартов безопасности, информационной инфраструктуры и компетенции в области информационной безопасности, начиная со школьных методик обучения.

Лидеры индекса

Лидером по уровню обеспечения кибербезопасности стал Сингапур. Это государство имеет долгую историю инициатив в сфере кибербезопасности, которые страна начала в 2005 г. В 2015 г. в Сингапуре было создано агентство по кибербезопасности, которое наблюдает за ситуацией в сфере компьютерной и сетевой защиты в стране. Кроме того, в 2016 г. в Сингапуре принята национальная стратегия кибербезопасности.

Соединенные Штаты Америки, занявшие второе место в рейтинге, получили наиболее высокие оценки за принятые юридические нормы. Кроме того, эксперты высоко оценили координацию действий в сфере кибербезопасности между всеми штатами страны. Малайзия оказалась на высоком третьем месте в глобальном рейтинге благодаря государственной поддержке профессиональной подготовки кадров в сфере кибербезопасности в высших учебных заведениях страны.

Готовность к киберзащите

В своем докладе ООН предупреждает правительства стран мира о том, что высокое благосостояние граждан – это повышенный риск кибератак. Более обеспеченные пользователи становятся потенциальными мишенями вымогателей. Но вместе с тем, высокие экономические показатели страны не являются гарантией наличия в ней налаженной системы киберзащиты. Мероприятия по осведомленности граждан и предприятий о возможных кибератаках, подготовка квалифицированных кадров и формирование национальных стратегий по защите информации должны стать первоочередными задачами любого государства.

 

Автор: Михаил Левкевич

Опубликовано 2 августа 2017 года на сайте CNews.
Подробнее...
Источник: http://safe.cnews.ru/news/top/2017-08-01_rossiya_na_11_meste_v_indekse_kiberbezopasnosti

Мошенники крадут платежные данные, предлагая продлить подписку на WhatsApp

Эксперты ESET предупреждают пользователей WhatsApp о новой фишинговой атаке. Мошенники сообщают об окончании подписки на сервис и под этим предлогом крадут платежные данные.

Потенциальная жертва получает по электронной почте письмо от лица WhatsApp. В нем сообщается, что пробный период использования мессенджера завершен. Чтобы продлить подписку, пользователю предлагают перейти по ссылке и обновить платежную информацию.

Ссылка ведет на фишинговый сайт мошенников с формой ввода данных банковской карты. Излишне уточнять, что введенная информация отправится напрямую злоумышленникам и будет использована для снятия средств со счета жертвы.

Обману способствует тот факт, что в прошлом WhatsApp действительно взимал абонентскую плату после года бесплатного использования. Но сервис отказался от этой модели еще в январе 2016 г. и сейчас бесплатен для абонентов.

 

Опубликовано 2 августа 2017 года на сайте CNews.
Подробнее...
Источник: http://safe.cnews.ru/news/line/2017-08-02_moshenniki_kradut_platezhnye_dannyepredlagaya_prodlit

Эксперт Positive Technologies рассказал о способах компрометации Apple Pay

Эксперт Positive Technologies Тимур Юнусов на прошедшей 22―27 июля в США конференции по информационной безопасности BlackHat представил результаты исследования защищенности платежной системы Apple Pay. Исследователю удалось обнаружить несколько проблем безопасности, которые могут позволить злоумышленникам скомпрометировать привязанные к кошельку Apple Pay банковские карты, а также осуществлять неавторизованные платежи на внешних ресурсах.

Масштабные проблемы защищенности Apple Pay были обнаружены на смартфонах, прошедших процедуру джейлбрейка (JailBreak — это процесс, при котором появляется возможность свободного доступа к файловой системе, простыми словами это взлом прошивки iPhone, iPad, iPod Touch). На таких аппаратах при добавлении карты в кошелек возможна полная компрометация платежных данных. Кроме того, в ходе исследования был обнаружен ряд недостатков, актуальных для обычных смартфонов, без установленного джейлбрейка. В частности, злоумышленник, обладающий способностью перехвата SSL-трафика, может подделывать и повторять транзакции. Это открывает возможность для совершения неавторизованных платежей в различных приложениях и на веб-сайтах.

Использующие Apple Pay владельцы iPhone после джейлбрейка рискуют полностью скомпрометировать свои банковские карты и потерять средства. При этом от кражи денег при работе с Apple Pay не защищены и пользователи смартфонов, не подвергшихся процедуре джейлбрейка.

«Серьезная ответственность в деле обеспечения безопасности лежит на мерчантах, то есть ресурсах, принимающих оплату через Apple Pay, — сказал Тимур Юнусов, руководитель отдела безопасности банковских систем, Positive Technologies. — Однако и сами пользователи должны соблюдать базовые меры безопасности, например, не устанавливать Apple Pay и не привязывать к системе банковские карты на iPhone после джейлбрейка, а также не использовать незащищенные соединения в публичных местах для совершения финансовых транзакций».

Эксперты Positive Technologies советуют магазинам, поддерживающим технологию Apple Pay, обратить внимание на реализацию передачи данных с платежными шлюзами и клиентами. Пользователям системы, в свою очередь, рекомендуется подключить технологию 3D-Secure и активировать SMS-информирование о финансовых операциях — это позволит оперативно выявить потенциальную компрометацию банковских карт.

Автор: Владимир Бахур

Опубликовано 28 Июля 2017 года на сайте CNews
Подробнее...
Источник: http://safe.cnews.ru/news/line/2017-07-28_ekspert_positive_technologies_rasskazal_o_sposobah

ЦБ и Минэкономразвития предупредили о коллапсе рынка электронных подписей

Предлагаемая Минкомсвязью реформа в сфере электронной подписи приведет к полной ликвидации данного рынка, заявили в Минэкономразвития. Центробанк опасается потерь финансовых организаций от этого проекта.

Фото: Петр Ковалев / Интерпресс / ТАСС

Минэкономразвития подготовило отрицательное заключение на разработанные Минкомсвязью поправки в закон «Об электронной подписи», которыми предполагается передать функции выдачи усиленной квалифицированной электронной подписи (УКЭП) от частных компаний государству, следует из данных, размещенных на федеральном портале проектов нормативных правовых актов.

«Минэкономразвития России отмечает нецелесообразность принятия предлагаемого регулирования в связи со значительным объемом бюджетных расходов, наличием административных и иных рисков, способных негативно повлиять на развитие рынка по созданию и выдаче квалифицированных сертификатов, ключей проверки электронной подписи, а также смежных отраслей экономики», — говорится в заключении, подписанном заместителем министра экономического развития Саввой Шиповым.

В документе также отмечено, что предлагаемое Минкомсвязью регулирование может привести к ликвидации рынка услуг по выдаче УКЭП как такового вместе с потерей всей созданной инфраструктуры, закрытию соответствующих организаций, увольнению квалифицированных сотрудников удостоверяющих центров. «Централизация механизма выдачи УКЭП, перевод выдачи УКЭП в разряд государственных услуг, повышенный размер государственной пошлины за выдачу УКЭП будут препятствовать широкому распространению современных технологий электронного документооборота среди граждан и юридических лиц, что не отвечает целям информатизации экономики, приведет к усложнению порядка взаимодействия хозяйствующих субъектов и государства», — говорится в документе.

Представитель Минэкономразвития Елена Лашкина подтвердила РБК, что заключение об оценке регулирующего воздействия было направлено разработчику законопроекта — в Минкомсвязь. Ее представитель Анна Ахмадиева, в свою очередь, сообщила РБК, что министерство сохраняет свою позицию по законопроекту и будет вносить его на рассмотрение в правительство.

От частного к государственному

УКЭП является аналогом собственноручной подписи и позволяет юридическим и физическим лицам подписывать документы в электронном виде. Сертификаты и ключи электронной подписи выдаются аккредитованными Минкомсвязью удостоверяющими центрами (УЦ), по состоянию на 20 июля их более 450 по всей стране.

«УКЭП является необходимым инструментом осуществления электронных торгов, закупочной деятельности, а также получения государственных услуг в электронном виде. Электронной подписью пользуются миллионы граждан, индивидуальных предпринимателей, компаний и организаций. Бизнесу УКЭП нужна, например, для ведения электронного документооборота, получения справок, удаленного доступа к банковскому счету. Граждане используют УКЭП для сдачи отчетностей в Федеральную налоговую службу», — рассказывает президент ассоциации «Разработчики и операторы систем электронных услуг» (РОСЭУ) Юрий Малинин.

Согласно статистике крупных участников рынка, среди которых компании «СКБ Контур» и «Инфотекс Интернет Траст» (данные есть в распоряжении РБК), к началу 2017 года в России было выдано более 3,5 млн УКЭП, и их количество растет не менее чем на 30% ежегодно. Средняя цена за полный комплект УКЭП — 1,4 тыс. руб. Мировой рынок электронной подписи, по данным MarketsАndMarkets, в 2016 году составил $662,7 млн. 

В марте 2017 года Минкомсвязь обнародовала законопроект с изменениями в процедуру выдачи УКЭП. Поправками предлагается лишить частные компании права выдавать УКЭП и передать данную функцию нескольким государственным структурам. В отчете к законопроекту говорится, что он призван устранить нарушения при идентификации граждан при выдаче УКЭП, так как ведомства не могут «всецело доверять информации, внесенной в квалифицированный сертификат УЦ». В конце 2016 года для устранения проблемы был принят закон, вводящий штрафы до 500 тыс. руб. для центров, выдавших сертификат с заведомо недостоверной информацией о его владельце.

В отзыве Минэкономразвития отмечено, что фактически проект акта предполагает проведение коренной реформы системы аккредитованных удостоверяющих центров. Вместо существующей сети частных УЦ государству необходимо будет создать собственную инфраструктуру для выдачи электронных подписей. На закупку оборудования и лицензий на софт государственным УЦ придется потратить до 150 млрд руб., еще 1,8 млрд руб. ежегодно будут уходить на фонд оплаты труда. Компенсировать эти расходы предполагается за счет взимания пошлины в размере 2,5 тыс. руб. за выдачу УКЭП, что на 40% выше текущих цен, говорится в заключении Минэкономразвития. Там также говорится, что помимо расходов на воссоздание соответствующей инфраструктуры Минкомсвязь не учла потери бюджетной системы России от налоговых поступлений. Недополучение бюджета от сборов налога на доходы физических лиц Минэкономразвития оценивает в 2 млрд руб.

«Замена конкурентного рынка из более чем 400 участников государственной монополией также может негативно повлиять на развитие научного потенциала в области разработки программного и аппаратного обеспечения криптографической защиты информации, в котором активно участвуют коммерческие удостоверяющие центры», — написал Савва Шипов. Речь идет, например, о применении электронной подписи в облачных технологиях и на сим-картах.

Всеобщий протест

Против нового законопроекта выступил и Центробанк. 30 июня заместитель председателя правления ЦБ Ольга Скоробогатова направила обращение с критикой данного законопроекта в некоммерческое партнерство «Национальный совет финансового рынка» (есть в распоряжении РБК). «Отдельные положения законопроекта в части исключения возможности аккредитации УЦ, являющихся юридическими лицами, не поддерживаются Банком России, поскольку их принятие может привести к ряду негативных последствий для участников финансового рынка, в том числе финансовым потерям кредитных организаций в связи с невозможностью использования собственных удостоверяющих центров, аккредитованных ранее, а также снижению доступности и качества и повышению стоимости услуг по созданию и обслуживанию ключей квалифицированных электронных подписей», — пишет Скоробогатова. Собственные УЦ для выдачи электронных подписей есть у Сбербанка, Альфа-банка, группы ВТБ, Московского индустриального банка и др. В ЦБ не ответили на запрос РБК.

«Электронная подпись из узкопрофильного инструмента для сдачи отчетности в контролирующие органы превратилась в товар первой необходимости. Новые сферы применения УКЭП появляются ежегодно по причине активного развития электронного документооборота», — отмечает эксперт УЦ «СКБ Контур» Михаил Добровольский. Он говорит, что она используется во множестве государственных систем, таких как электронные больничные, отправка документов в суды, а также для обмена электронными счетами-фактурами и договорами. «На текущий момент уже насчитывается более 100 сценариев применения электронной подписи. Фактически все сферы жизни становятся доступными в электронном виде. Не вызывает сомнений, что рынок электронной подписи будет развиваться с каждым годом все активнее, и в данный момент критически важно создавать правильные условия для этого. Одним из важнейших аспектов является сохранение конкурентной основы деятельности УЦ и продуктивное использование наработанных технологий», — говорит Добровольский.

Предлагаемое Минкомсвязью регулирование в первую очередь может затронуть сферу электронных госзакупок и электронных госуслуг для населения и бизнеса, от него может пострадать и сфера трансграничных электронных торгов в рамках Евразийского экономического сообщества, «члены которого лишь относительно недавно договорились об общих правилах игры», говорит Юрий Малинин из РОСЭУ. «Если сократить число УЦ с нынешних 450 до нескольких государственных, можно представить, какие очереди возникнут на получение новых сертификатов УКЭП. А без них остановится коммерция в сфере B2B и B2G», — говорит Малинин.

Автор: Мария Коломыченко.

Опубликовано 21 июля 2017 года на сайте rbc.ru
Подробнее...
Источник: http://www.rbc.ru/technology_and_media/21/07/2017/59721af29a794728e0a2d817

«Доктор Веб»: опасный Android-банкер получает контроль над мобильными устройствами

Вирусные аналитики компании «Доктор Веб» исследовали многофункционального банковского троянца Android.BankBot.211.origin, который вынуждает пользователей предоставить ему доступ к специальным возможностям (Accessibility Service). С их помощью вредоносная программа управляет мобильными устройствами и крадет конфиденциальную информацию клиентов кредитно-финансовых организаций. В самом начале наблюдения троянец атаковал только жителей Турции, однако вскоре список его целей расширился, и теперь он угрожает пользователям десятков стран.

Android.BankBot.211.origin распространяется под видом безобидных приложений, например, проигрывателя Adobe Flash Player. После того как пользователь устанавливает и запускает троянца, банкер пытается получить доступ к специальным возможностям (Accessibility Service). Для этого Android.BankBot.211.origin показывает окно с запросом, которое при каждом его закрытии появляется вновь и не дает работать с устройством.

Режим специальных возможностей упрощает работу с Android-смартфонами и планшетами и применяется в том числе для помощи пользователям с ограниченными возможностями. Он позволяет программам самостоятельно нажимать на различные элементы интерфейса, такие как кнопки в диалоговых окнах и системных меню. Вынудив пользователя предоставить троянцу эти полномочия, Android.BankBot.211.origin с их помощью самостоятельно добавляется в список администраторов устройства, устанавливает себя менеджером сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана. Все эти действия сопровождаются показом системных запросов, которые можно вовсе не заметить, т. к. вредоносная программа мгновенно подтверждает их. Если же владелец устройства в дальнейшем пытается отключить какую-либо из полученных Android.BankBot.211.origin функций, банкер не позволяет это сделать и возвращает пользователя в предыдущие системные меню.

После успешного заражения троянец подключается к управляющему серверу, регистрирует на нем мобильное устройство и ожидает дальнейших команд. Android.BankBot.211.origin способен выполнять следующие действия: отправлять СМС с заданным текстом на указанный в команде номер; передавать на сервер сведения об СМС, которые хранятся в памяти устройства; загружать на сервер информацию об установленных приложениях, список контактов и сведения о телефонных вызовах; открывать заданную в команде ссылку; изменять адрес командного центра.

Кроме того, вредоносная программа отслеживает все входящие СМС и также передает их киберпреступникам.

Помимо стандартных команд, злоумышленники могут отправлять троянцу специальные директивы. В них в зашифрованном виде содержится информация о приложениях, которые банкеру необходимо атаковать. При получении таких команд Android.BankBot.211.origin может показывать поддельные формы ввода логина и пароля поверх запускаемых банковских программ; отображать фишинговое окно настроек платежного сервиса с запросом ввода информации о банковской карте (например, при работе с программой Google Play); блокировать работу антивирусов и других приложений, которые могут помешать троянцу.

Android.BankBot.211.origin может атаковать пользователей любых приложений. Киберпреступникам достаточно лишь обновить конфигурационный файл со списком целевых программ, который банкер получает при соединении с управляющим сервером. Например, в начале наблюдения за троянцем вирусописателей интересовали только клиенты кредитных организаций Турции, однако позднее к ним добавились жители других стран, среди которых Германия, Австралия, Польша, Франция, Англия и США. На момент публикации этого материала в списке атакуемых троянцем программ содержится более 50 приложений, предназначенных для работы с платежными системами и ДБО, а также другое ПО.

Троянец также собирает информацию обо всех запускаемых приложениях и действиях, которые пользователь в них выполняет. Например, он отслеживает доступные текстовые поля, такие как элементы меню, а также фиксирует нажатия на кнопки и другие компоненты пользовательского интерфейса.

Android.BankBot.211.origin способен похищать логины, пароли и другую аутентификационную информацию, которую пользователь вводит в любых программах и на любых сайтах при авторизации. Для кражи паролей троянец делает скриншот при каждом нажатии клавиатуры, в результате чего он получает необходимую последовательность символов до того, как они будут скрыты. После этого информация, которая указывается в видимых полях, и все сохраненные скриншоты передаются на управляющий сервер.

Так как Android.BankBot.211.origin препятствует собственному удалению, для борьбы с ним необходимо выполнить следующие действия: загрузить зараженный смартфон или планшет в безопасном режиме; зайти в системные настройки и перейти к списку администраторов устройства; найти троянца в этом списке и отозвать у него соответствующие права (при этом вредоносная программа попытается напугать владельца устройства, предупредив о неизбежной потере всех важных данных, однако это лишь уловка, и никакой опасности для файлов нет); перезагрузить устройство, выполнить его полное сканирование антивирусом и удалить троянца после окончания проверки.

Все известные модификации Android.BankBot.211.origin детектируются антивирусом Dr.Web, поэтому для пользователей антивируса этот банкер опасности не представляет.

 

Автор: Владимир Бахур

Опубликовано 19 июля 2017 года на сайте CNews
Подробнее...
Источник: http://safe.cnews.ru/news/line/2017-07-19_doktor_veb_opasnyj_androidbanker_poluchaet

Страницы