👨‍💻 Nim 2.0: вышел язык системного программирования

Nim использует статическую типизацию и создан с оглядкой на Pascal, C++, Python и Lisp. Исходный код компилируется в представление на C, C++, Objective-C или JavaScript.

✔️ В дальнейшем полученный C/C++ код компилируется в исполняемый файл при помощи любого доступного компилятора, что позволяет добиться производительности, близкой к Си.

🟡 Поддерживаются средства метапрограммирования и возможности для создания предметно-ориентированных языков (DSL). Проект доступен на GitHub под открытой лицензией MIT.

👋 Можно и отдохнуть

Отличных выходных, друзья!

📌 «Литрес»: утечка данных

В открытом доступе оказались 3,083,408 строк данных пользователей сервиса электронных книг «Литрес» (litres.ru):

🗣 имя/фамилия (не для всех)
🗣 адрес эл. почты (590 тыс. уникальных адресов)
🗣 хешированный пароль (SHA1 без соли)

Самая "свежая" запись датируется 03.08.2023.

❗️ Источник - сервис «Shiptor», который ранее "сливал" информацию «СберЛогистики», «GeekBrains», «Delivery Club» и других. Он утверждает, что полный дамп содержит 97 млн строк.

#утечки

🟡 GitHub Copilot начнет показывать источник предложенного кода

В бета-версии GitHub Copilot добавили функцию показа ссылок на фрагменты кода, предложенные из других репозиториев. Можно увидеть список публичных репозиториев, уже использующих этот код, и лицензии.

👨‍💻 Функция ссылки на код даст возможность отклонить или использовать код напрямую. Также есть вариант, при котором Copilot перепишет код, чтобы он не соответствовал исходному.

⚖️ С юридической стороны это может снять ответственность с корпорации за нарушение лицензии на свободное ПО, приравняв GitHub Copilot к продвинутой поисковой системе.

⌨️ Утечка базы форума sysadmins.ru

Хакеры из группы CyberSec опубликовали дамп базы форума системных администраторов sysadmins.ru.

❗️ Файл размером 4.45 ГБ содержит личные данные пользователей (включая адреса электронных почт и хэшированные пароли), а также приватные переписки. База актуальна по состоянию на 18 августа 2022 года.

Взломщики заявляют, что опубликовали дамп лишь после того, как подобрали хэши большинства паролей, после чего база потеряла для них ценность.

#утечки

🤝 #нечаянный_инфобез

В связи с кратно участившимися утечками ПДн (2 ярких примера - выше), нам стали регулярно поступать вопросы о защите информационных систем. Один из самых популярных приведён на скриншоте.

Комментарий Вероники Нечаевой, директора по ИБ:

🅰️По умолчанию не все системы "Битрикс" и другие CMS имеют встроенную систему защиты информации. Поэтому оператор ПДн может:
🟢 либо "обязать" CMS защитить систему;
🟢 либо защищать CMS самостоятельно;
🟢 либо перенести защищаемую информацию на другие защищенные ресурсы.

Отмечу, что не все средства защиты информации предназначены для использования в рамках защиты веб. Здесь необходим комбинированный подход к комплексу технических мер, например, классическая связка требуемых по ФСТЭК СЗИ + межсетевой экран уровня веб (типа Г) и защита от атак различного вида и уровня🅱️

❗️ Поставьте "+" в комментариях, если интересен подробный разбор данной темы.

Пока можно ознакомиться с другими материалами по теме информационной безопасности:

🗣 Средства защиты информации: реально ли в 2023 году перейти на все отечественное

🗣 Информационная безопасность: главное за 10 минут - коротко и понятно о том, как построить защиту информации в организации

🗣 Мошенники в интернете и СЗИ - о технических и организационных мерах защиты от мошенников

🗣 Защита персональных данных. Как выполнить 152-ФЗ? - инструкция по выполнению требований закона о персданных

#персданные #инфобез #польза

⚠️ «Ненадежный оператор персональных данных»

Зампред Госдумы Борис Чернышов направил Максуту Шадаеву письмо с предложением разработать и внедрить специальный знак "ненадежного оператора" для компаний, допустивших утечку ПДн клиентов.

🅰️Прошу вас рассмотреть возможность разработки и внедрения специального графического знака "ненадежный оператор персональных данных", а также маркировки компаний, допустивших утечку персональных данных клиентов, таким графическим символом🅱️ - говорится в тексте письма.

По словам Чернышова, такой знак поможет россиянам при выборе той или иной компании сразу понять, стоит ли ей доверять.

#персданные

💬 Массовая блокировка VPN-протоколов OpenVPN и WireGuard

Пользователи по всей России говорят о постоянных разрывах и «вечной загрузке».

👋 Роскомнадзор: цель визитов к операторам ПДн

В 2023 году продолжает действовать мораторий на проведение плановых проверок бизнеса (подробнее рассказывали тут).

❗️ Однако, дружеские профилактические визиты остались – напомнил Роскомнадзор. Это – эффективный способ:
🟢 повысить уровень правовой грамотности операторов в рамках соблюдения №152-ФЗ;
🔵 предотвратить возможные нарушения прав и законных интересов граждан.

Некоторые особенности профилактических визитов:
1️⃣ Уведомления о предстоящем мероприятии получают операторы, которые только в этом году приступили к обработке ПДн.

2️⃣ От проведения визита можно отказаться.

3️⃣ Во время визита сотрудники РКН дают разъяснения и рекомендации по организации обработки ПДн.

4️⃣ Предписания по итогам мероприятий не выносятся.

#персданные

⚖️ К теме требований регуляторов

Друзья, если вы хотите первыми узнавать об обновлениях регуляторов – рекомендуем подписаться на канал нашего партнёра – «Листок бюрократической защиты информации».

🤝 В нём – коротко и по делу об организационной и правовой защите информации в РФ.

Дайджест интересных публикаций:
🟢 Требования по безопасности информации к СУБД.
🟢 Требования по безопасности информации к многофункциональным МЭ уровня сети.
🔴 Полномочия ФСТЭК.

✔️ Роскомнадзор: рекомендации операторам ПДн

Ведомство проанализировало содержание скомпрометированных БД и составило рекомендации для операторов ПДн:

1️⃣ Собирать и обрабатывать только необходимые ПДн. Исключить из перечня данные, которые не обязательны для деятельности.

2️⃣ Обеспечить раздельное хранение ПДн разных категорий. Клиенты - отдельно, сотрудники - отдельно, и т.д.

3️⃣ Обеспечить раздельное хранение идентификаторов, указывающих на конкретного человека (ФИО, возраст, номер телефона) - и действий с ним (оказанные услуги, проданные товары и т.д.

4️⃣ Используйте для связи баз синтетические идентификаторы, которые не позволят отнести информацию к конкретному человеку.

5️⃣ Уничтожать ненужные ПДн при достижении цели обработки, отказаться от практики "пригодится".

6️⃣ Использовать СЗИ и защищать данные. Передача данных третьему лицу не снимает с него ответственности по ФЗ-152 (подробнее об этом рассказывали тут).

7️⃣ Своевременно уведомлять РКН о признаках или наступивших инцидентах.

8️⃣ Применять дополнительные физические меры контроля доступа к данным.

9️⃣ Назначить ответственного за обработку и защиту ПДн. Подробную, пошаговую инструкцию по назначению ответственного разместили тут.

#персданные

⌨️ 44 процессора Intel удалены из списка совместимых с Windows 11

Удалённые процессоры относятся к линейке Xeon E. Список начинается с 4-ядерной 4-поточной модели E-2104G и заканчивается 8-ядерной 16-поточной E-2388G, максимальная частота которой достигает 5,1 ГГц.

❓ Почему процессоры исчезли из списка, не объясняется

Тем временем, список AMD расширился, добавлено несколько моделей AMD Ryzen 3 и 5 PRO 4000 серии, Athlon Gold PRO 4150GE, Ryzen 5 7640H и 7 7840H.

❗️ Отсутствие процессора в списке не означает, что Windows 11 не будет работать, но совместимость и стабильная работа в данном случае не гарантирована.

💻 Первый комплекс для работы с большими данными

Минцифры включило в реестр российского софта первый программно-аппаратный комплекс для обработки больших данных.

Из описания решения «Машина больших данных Скала-Р МБД.Х» следует, что ПАК:
📱 позволяет строить статистический и предсказательный анализ на основе слабоструктурированных сведений;
🌐 должен стать заменой иностранным решениям от Oracle и Amazon.

💼 Такие ПАКи используются в госведомствах и крупном бизнесе, который работает с big data.

❣️ Кстати, в нашем блоге есть целая рубрика по импортозамещению, где уже подробно исследованы и протестированы:

👨‍💻 Российские виртуальные рабочие столы
🔐 Отечественные решения в инфобезе
🧭 Российские системы видеоконференцсвязи
🟡 Отечественные платформы виртуализации

⌨️ Управление уязвимостями — это базовый ИБ-процесс для любой организации

Согласно IBM X-Force Threat Intelligence Index 2023, эксплуатация уязвимостей в публично доступном приложении занимает первое местов в ТОПе векторов атаки для получения первичного доступа к инфраструктуре.

А когда злоумышленник проникает внутрь инфраструктуры, без эксплуатации уязвимостей не обходится практически никогда — заброшенные хосты можно найти, есть, из чего выбрать. 😏

Если бы в организациях все системы своевременно обновлялись и безопасно настраивались, то злоумышленникам жилось бы гораздо сложнее. 😇 Но без эффективного Vulnerability Management-процесса контролировать это не получится. 🤷‍♂️

🔻 А как его выстроить?
🔻 На какие уязвимости обращать внимание в первую очередь?
🔻 Да так, чтобы регуляторы по ИБ остались довольны?

Рекомендуем подписаться на телеграм-канал Александра Леонова "Управление уязвимостями и прочее".

Там вы найдете:

🟢 Обзоры актуальных уязвимостей, например из прошлого Microsoft Patch Tuesday или "2022's Top Routinely Exploited Vulnerabilities"
🟢 Обзоры методик и руководств от ФСТЭК и НКЦКИ
🟢 Впечатления от использования отечественных VM решений, например MaxPatrol VM, RedCheck, Vulns.io.

Подпишитесь сами и скиньте коллегам-VMщикам!

📱 Скрипты PowerShell для работы с AD аккаунтами

#польза

📣 Atlassian отключит профили россиян в Jira и Trello

Atlassian начала рассылать российским клиентам уведомления о грядущем закрытии профилей. Компания уведомила, что с момента получения ими письма с предупреждением, деактивация аккаунта произойдет в течение 30 дней.

❗️Напомним, что Atlassian, в том числе, принадлежит Trellо, Jira и система для совместной работы Confluence

Компания не сообщает, что ждет профили россиян в дальнейшем – окончательное удаление или потенциальная возможность восстановления.

❤️ Персональные данные: медицинская отрасль

Опубликован Приказ Министерства здравоохранения РФ от 03.07.2023 № 340н.

Согласно тексту документа, угрозами безопасности ПДн являются:

1️⃣ Угрозы безопасности ПДн, защищаемых без использования средств криптографической защиты информации, в т.ч. связанные с:
🔵 особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации;
🔴 несанкционированным доступом к ПДн;
🟡 воздействием вредоносной программы;
🟢 использованием новых информационных технологий и др.

2️⃣ Угрозы реализации целенаправленных действий с использованием аппаратных и/или программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ ПДн или создания условий для этого. Причиной могут быть:
🟢 создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ;
🟡 проведение атак нарушителями, находящимися вне контролируемой зоны;
🔴 проведение на этапе эксплуатации СКЗИ атак на ПДн, ключевую, аутентифицирующую и парольную информацию СКЗИ и т.д.
🔵 получение из находящихся в свободном доступе источников данных об информационной системе и др.

❗️ Приказ вступает в силу с 18 августа 2023 года.

#персданные

🇷🇺 Российские средства защиты информации: Соболь-4

По традиции, к четвергу подготовили подробный предметный обзор российского СЗИ «Соболь-4», который используем для обеспечения необходимого класса средств криптографической защиты информации, в том числе, в сервисе Safe Cloud 152-ФЗ.

Разобрали:
⚙️ аппаратную часть;
👨‍💻 процесс эксплуатации;
📱 процесс интеграции с Secret Net Studio;
👮‍♀️ соответствие требованиям регуляторов;
🟢 задачи «Соболь-4».

👉🏻Читать тут👈🏻

#импортозамещение #инфобез

🔥GitHub: карта репозиториев

Разработчик из Сиэтла создал атлас цифрового мира репозиториев GitHub.

Он собрал данные с июня 2020 года по март 2023 года и объединил 400 тысяч репозиториев, преобразовав их в "страны" и "города" на интерактивной карте.

📍 Каждая "страна" представляет язык программирования или технологическую платформу, а "города" и "деревни" в этих странах – отдельные проекты, базирующиеся на этой технологии.

👨‍💻 Путешественники могут увидеть, как связаны проекты, и перейти к исходным данным с одного клика.

#польза

📌 КИИ в сферах транспорта и энергетики: важное

Опубликованы и доступны для скачивания:

✈️ Перечень типовых отраслевых объектов КИИ сферы транспорта

⚡️ Перечень типовых отраслевых объектов КИИ сферы энергетики

☔️ Windows — все

С 30 сентября Microsoft перестанет обновлять подписки для корпоративных клиентов из России. Продлить их будет невозможно.

⚡️ Первой пострадает защита компаний — без лицензии ОС и другой софт не будут получать обновления безопасности.

❗️ Опасность подстерегает и пользователей — в распространяемый образ Windows можно вшить любые вредоносные программы.