Дайджест информационной безопасности №189 за период с 8 по 19 июня 2020

Новости законодательства

• Владимир Путин подписал закон «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации». В новом регистре будут храниться ФИО, номера СНИЛС, ИНН, информация о половой принадлежности, гражданстве, семейном положении и дате рождения жителей страна, а его оператором станет Федеральная налоговая служба (ФНС). Комментарии к закону можно прочитать в блоге Михаила Емельянникова.
• Президент РФ подписал закон, которым откладывается вступление в силу поправок в сфере регулирования применения электронной подписи. В частности, действие квалифицированных сертификатов электронной подписи, сроки которых истекают до 1 августа текущего года, будут пролонгированы на три месяца с даты прекращения действия таких сертификатов.

Новости ИБ

• Российские банки просят главу правительства перенести на четыре года перевод на отечественное программное обеспечение и оборудование КИИ. По мнению участников рынка, нынешняя редакция проекта с требованиями замещения многих видов иностранного ПО и ИТ-оборудования в сжатые сроки «сложно выполнимы», а в отдельных случаях «практически невыполнимы».
• IBM опубликовала набор инструментов, который упрощает гомоморфное шифрование (FHE) в приложениях для iOS и MacOS. По словам исследователя IBM Флавио Бергамаски, новая технология разрешает обработку данных без получения доступа к ним. Это совершенно новый уровень безопасности.
• ИБ-специалист опубликовал эксплойт и информацию о новой уязвимости в UPnP, получившей название CallStranger (CVE-2020-12695). Проблема позволяет злоумышленникам захватывать контроль над различными «умными» устройствами, использовать их для DDoS-атак, а также для обхода защитных решений, сканирования внутренней сети жертвы и хищения данных.
• Один из доменов WhatsApp (wa.me) «сливает» телефонные номера пользователей, позволяя Google их индексировать, сообщил эксперт по безопасности. Домен wa.me используется для размещения специальных ссылок типа click to chat, после нажатия на которые можно начать чат с кем-то, чьего номера телефона нет в контактах.
• Эксперты «Лаборатории Касперского» обнаружили малварь USBCulprit, созданную хакерской группой Cycldek. Данная малварь предназначена для кражи данных из корпоративных сетей и дает злоумышленникам возможность проникнуть на отключенные от сети и физически изолированные устройства. По данным специалистов, вредонос активен с 2014 года, и новые образцы появлялись в 2019 году.
• Компания Microsoft выпустила обновления безопасности за июнь. В блоге Microsoft рассказано о самых главных моментах этого выпуска.
• Процессоры Intel уязвимы перед новой формой атаки — SGAxe. Уязвимость нивелирует защитные функции SGX-анклав (Software Guard eXtensions). Эксплуатация проблемы SGAxe позволяет осуществить атаку типа transient execution, а та приводит к восстановлению криптографических ключей SGX, которым доверяет сервер аттестации Intel.
• С помощью спутника «Мо-Цзы» физики из Китая, Сингапура и Великобритании объединили города Наньшань и Дэлинха полноценной квантовой линией связи длиной 1120 км , которая защищена от взлома.

Интересные посты русскоязычных блогов по ИБ

• За много лет наблюдений в архивах лаборатории Касперского накопилось много данных о цифровых злодеях и их повадках, так что эксперты решили ими поделиться. По таким сигналам как поведение, оформление кода и прочим не всегда заметным непрофессиональному взгляду мелочам можно выяснить очень многое. Включая направление на источник атаки.
• Алексей Лукацкий сформировал для себя некую процедуру, ответив на вопросы которой, можно понять, насколько стоит вообще задумываться о выполнении тех или иных НПА (приказов, постановлений, положений, указаний, информационных сообщений и т.п.).
• Алексей Лукацкий поделился рассуждениями о том, кто должен обеспечивать ИБ в компании. Информационная безопасность в нормальной жизни давно уже вышла за пределы выделенного подразделения и рассматривать ее необходимо как самостоятельную функцию в рамках всего предприятия.
• В рамках исполнения плана деятельности рабочей группы по направлению «Персональные данные» Центра компетенций Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в Южном федеральном округе на 2020 год, подготовлен обзор правоприменительной практики в Южном федеральном округе. Обзор подготовлен за 1 квартал 2020 года по результатам рассмотрения обращений граждан и анализа контрольно-надзорной деятельности в сфере персональных данных.

Интересные посты англоязычных блогов по ИБ

• SANS Institute приводит список полезных ресурсов для OSINT (Open-Source Intel), которые могут помочь в расследовании, тестировании на проникновение или поиске информации об утечках в организации.
• В своём блоге исследователь в области кибербезопасности Скотт Хелм предупреждает о возможных последствиях устаревших корневых сертификатов. Эксперты подчёркивают, что в конце мая ряд онлайн-платформ уже столкнулся с этой проблемой. Мы подходим к той точке, в которой срок действия многих коренных сертификатов заканчивается. Ведь уже прошло более 20 лет с момента их выпуска.
• Trisha Paine из Checkpoint в своей статье про контейнеризацию рассказывает историю создания контейнеров, описывает их сильные стороны и недостатки, делится прогнозами о будущем технологии.
• Chris Schueler размышляет, как подразделения информационной безопасности могут бороться с угрозами, используя решения уровня Managed security services (MSS), Endpoint detection and response (EDR) и Managed detection and response (MDR). Особое внимание уделяется EDR и MDR, так как решения этого уровня, по мнению автора статьи,  могут быть эффективны для предотвращения наиболее опасных современных угроз.
• Matthew Chiodi из Palo Alto Networks рассуждает о создании здоровой культуры DevSecOps (DevOps + Security), в которой все три области (Dev, Sec и Ops) находятся в гармонии.

Исследования и аналитика

• Специалисты компании Positive Technologies изучили кибератаки за первый квартал 2020 года и пришли к выводу, что их число увеличилось в сравнении с предыдущим аналогичным периодом. По данным исследователей, около 13% от общего числа зафиксированных кибернападений так или иначе спекулировали на коронавирусной инфекции.
• 40% потребителей считают бизнес-лидеров лично ответственными за атаки вымогателей, от которых страдают компании, согласно глобальному исследованию Veritas Technologies. Кроме того, исследования показывают, что общественность часто хочет возмещения убытков от компаний, которые попадают в ловушку вымогателей — 65% респондентов хотят компенсации, а 9% даже хотят отправить генерального директора в тюрьму.
• Специалисты компании RiskSense представили отчет об уязвимостях в проектах с открытым исходным кодом. В общей сложности были проанализированы 54 проекта с открытым исходным кодом, и оказалось, что количество уязвимостей в этих продуктах удвоилось в 2019 году: от 421 ошибки в 2018 году до 968 уязвимостей в прошлом году.
• Незаконный криптомайнинг все еще существует. SophosLabs опубликовали отчет «An insider view into the increasingly complex kingminer botnet», который следит за эволюцией и функционированием банды киберпреступников, стоящей за ботнетом, известным как Kingminer. Криптомайнинг, похоже, является главным видом деятельности Kingminer, и они преследуют, в первую очередь, корпоративные сети и все компьютеры на них.
• В отчете 2020 Incident Response & Data Breach Report исследователи компании Crypsis Group раскрыли, что средний размер выкупа за расшифровку файлов в 2019 году составил $115 123 в биткоинах. Средняя же сумма выкупа увеличилась в три раза и составила $21 700. Аналитики объясняют рост суммы выкупа тем, что злоумышленники стали чаще атаковать крупные организации и выбирают жертв, которые могут заплатить больше.
• Новый индекс воздействия кибербезопасности (CEI) 2020 показывает, какие страны наиболее и наименее подвержены киберпреступности. Согласно индексу, наиболее уязвимой страной является Афганистан, за ним следуют Мьянма, Эфиопия, Палестина и Венесуэла. Финляндия-наименее уязвимая страна, за ней следуют Дания, Люксембург, Австралия и Эстония.
• Check Point и Dimensional Research провели опрос 400 мировых лидеров в области безопасности об их отношении к консолидации инструментов. В результате выяснилось, что 98% организаций управляют своими продуктами безопасности с помощью нескольких консолей, создавая видимые бункеры. При этом 79% специалистов по безопасности говорят, что работа с несколькими поставщиками представляет значительные проблемы. 69% согласны с тем, что приоритетная консолидация поставщиков приведет к повышению безопасности.

Громкие инциденты ИБ

• Компьютерные системы девяти заводов японского автопроизводителя Honda, расположенные в шести разных странах, подверглись кибератакам в течение недели. От хакерских атак пострадали заводы Honda в Японии, Италии, Турции, Великобритании и США. Производство на двух заводах в США и Бразилии было временно приостановлено.
• Норвежское подразделение крупнейшей итальянской судостроительной компании Fincantieri SpA подверглось кибератаке. Компьютерные сети судостроительной компании были заражены вирусом-вымогателем.
• Данные не менее 300 000 пользователей японской компании Nintendо пострадали в результате хакерской атаки, о которой стало известно в апреле. После проведенного компанией расследования выяснилось, что число сетевых идентификаторов, которые подверглись взлому в марте, вдвое больше, чем предполагалось ранее.
• Атака хакеров привела к временному отключению компьютерных сетей муниципальных служб города Ноксвилла (штат Теннесси, США) 11 июня. Когда специалисты по кибербезопасности обнаружили атаку, часть сетей уже была заражена вредоносным программным обеспечением.
• Министерство внутренней безопасности США выпустило документ, предупреждающий о том, что личные данные американских полицейских просочились в Интернет. Согласно неклассифицированному разведывательному документу, злоумышленники выявляют личную информацию о полицейских, работающих в департаментах по всей стране, и публикуют ее в Интернете используя кибератаку, известную как doxxing.
• Крупный австрийский провайдер A1 Telekom подвергся взлому со стороны киберпреступников. Ведущим австрийским и европейским специалистам в сфере информационной безопасности потребовалось 6 месяцев, чтобы полностью удалить вредоносный софт из внутренней сети компании.
• Специалисты по кибербезопасности из Cyble Research Team обнаружили в Сети выставленную на продажу базу данных. В ней была информация о миллионах пользователей Интернета, в том числе 300 миллионов пользователей AliExpress, 145 миллионов пользователей Ebay, 77 миллионов пользователей Sony PlayStation Network и 35 миллионов пользователей Steam (Valve).
• Южноафриканский Postbank сообщил, что заменит карты миллионам получателей социальных выплат и владельцев счетов, пострадавшим в результате серьезного нарушения. В сообщении банка говорится, что инцидент носил внутренний характер. Неназванные сотрудники смогли скопировать мастер-ключ – основной электронный идентификатор.