Главное на рынке информационной безопасности: 26-30 октября

Много шума наделала публикация ответа ФСТЭК на депутатский запрос члена комитета ГД по безопасности и противодействия коррупции Ильи Костунова. Собственно, вопрос об использовании на государственных сайтах протокола HTTP вместо шифрованного HTTPS уже поднимался депутатом на прошедшей 17 сентября практической конференции "Инфофорум - Мобильная безопасность". Ситуацию с ответом ФСТЭК подробно проанализировал Алексей Лукацкий, хотя не исключён и "пиар во время чумы" и самого депутата. Тот же Илья Костунов на этой неделе отметился еще одним  законопроектом  об уголовной ответственности за фишинг.

Опубликованы материалы дела о том, как Google был оштрафован за чтение переписки россиянина в Gmail. Хотя внешне всё выглядит так будто юристы ООО " Гугл" налажали. Об этом пишет в своём блоге  Андрей Прозоров. Тем не менее все может быть сложнее. Фраза из постановления "доказательств об обратном со стороны ответчика судебной коллегии не представлено" иногда может означать предвзятость суда, который просто не хочет приобщать к делу очевидные доказательства, типа заключений "неправильных" экспертов.

Эксперты компании CompTIA опубликовали результаты исследования, в котором изучили как пользователи используют найденные USB-накопители. Эксперты компании оставили 200 устройств в общественных местах и проанализировали их судьбу. Оказалось, что один из пяти пользователей "применяет устройство способами, представляющими риск для его собственных данных, а также несущими потенциальную угрозу корпоративным девайсам и информации".

Эксперты компании Secunia опубликовали результаты исследования уязвимых версий программного обеспечения, которое используют пользователи. Обнаружилось, что на 80% персональных компьютеров в США установлена уязвимая версия Adobe Flash Player 18, не смотря на то, что сервисы YouTube, Netfix и Twitch пропагандируют отказ от этой платформы. Пользователи не склоны менять свои привычки, поэтому достаточно редко устанавливают исправления даже для найденных уязвимостей и ещё реже удаляют уязвимое программное обеспечение.

Появились сообщения о том, что приложение " Госуслуги" для Android собирает очень много данных о геопозиционировании. Естественно, сразу все подумали о слежке за гражданами со стороны российского государства, хотя судя по топорности работы - это скорее проблемы с программистам у "Ростелекома", который является разработчиком данного приложения.

Пентагон предупреждает, что российский подводный флот может разорвать Интернет с помощью подводных лодок на несколько сегментов - перерезав океанские кабели. Отмечается даже активность российских подводных кораблей в ключевых точках. С другой стороны, эту же возможность имеют и американские корабли - от россиян расположение кабелей хотя бы засекречено, а американские военные точно знают, где кабели лучше всего резать.

Развивается конфликт между Symantec и Google о проверке подлинности SSL-сертификатов - этим бизнесом занимается Symantec. Google же уличила ИБ-компанию в выдаче 164 сертификата, выпущенных для 76 доменных имён, которые не принадлежат компании, и 2458 сертификатов для незарегистрированных доменных имён. Естественно, что всем хочется узнать подробности этой "ошибки", которые больше похожи на подпольный бизнес.

Появился сервис для ручной генерации надёжных парольных фраз. Слова в фразах выбираются из огромного словаря с помощью броска кубика - пять бросков для выбора одного слова. Словари существуют для 10 языков, в том числе и для русского. Стоимость одной парольной фразы - 2 долл. Услуги представляет американская шестиклассница Майра Моди (Mira Modi).

Сергей Борисов предложил упростить процедуру аттестации средств защиты ИСПДн, опираясь при этом на российские стандарты ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013, которые допускают аттестацию типовых информационных систем один раз и возможность распространять результаты этой аттестации на аналогичные информационные системы с соблюдением определённых условий.

Алексей Лукацкий рассказал об игре-симуляторе Kaspersky Industrial Protection Simulation, которая предназначена для обучения сотрудников основам безопасности критически важных объектов. Использование игр - хороший способ объяснения принципов информационной безопасности как для сотрудников служб ИБ, так и для всех сотрудников компании в целом.

Алексей Лукацкий сравнивает два региональных мероприятия: VI форум "Информационная безопасность 2015", проводимый челябинской компанией Аста74, и уже 11-ое региональное роадшоу "Код информационной безопасности" в Казани. По его словам региональные мероприятия по-прежнему привлекают большое количество специалистов, причём даже если им приходится платить за посещение.

Андрей Прозоров опубликовал презентации, которые он готовил для мероприятия SECURE IT WORLD в Санкт-Петербурге, но из-за болезни приехать на мероприятие ему не удалось. Тем не менее в блоге можно будет обсудить подготовленные презентации.