Top.Mail.Ru
Видеонаблюдение
СКУД
СКС
Телефония
IT Аутсорсинг 
АТТ

Министерство торговли США ввело новые ограничения на экспорт американских товаров в Россию и ряд других стран. Теперь для отправки в Россию компьютеров, телекоммуникационное оборудование, полупроводников и целого ряда других товаров для гражданского использования потребуется лицензия, которую Минторг может еще и не дать, а экспорт товаров для потребителей из оборонного сектора, включая ОС Windows и смартфоны Apple iPhone и вовсе стал практически невозможен.

Ограничения для военных

Власти США ужесточили экспортные правила в отношении России и ряда других стран. Новые ограничения не позволят российским военным пользоваться рядом американских ИТ-разработок, как программных, так и аппаратных.

Изменения связаны с вступившим в силу новым правилом Бюро промышленности и безопасности (Bureau of Industry and Security, BIS), входящего в состав Министерства торговли США. Оно расширяет определение «военного использования» американской продукции. Итогом этого станет сокращение возможностей для российского оборонного сектора в плане закупок ПО, технологий и других товаров, разработанных в США.

Новые правила накладывают ограничение, в том числе, и на закупку смартфонов Apple iPhone, а также на использование ОС Microsoft Windows, вне зависимости от их версий и поколений. Такое мнение, пишет РБК, высказала международная юридическая фирма Pillsbury Winthrop Shaw Pittman. Ее специалисты полагают, новые правила сделают практически невозможным закупку этих товаров для военных пользователей.

Изменения, внедренные BIS, распространяются не только на непосредственно вооруженные силы. Без iPhone и Windows останутся также различные разведслужбы, национальная гвардия, полиция и любая другая организация (и даже частное лицо), так или иначе способная использовать продукцию в «военных» целях.

Данные ограничения распространяются не только на Россию – санкции затронули также Венесуэлу и Китай. С последним США на протяжении нескольких лет ведут торговую войну.

Перечень устройств, которые по новым правилам BIS нельзя поставлять российским военным, входят, помимо iPhone и Windows, различные лазеры и сенсоры, генераторы для атомных электростанций, двигательные установки, а также целый спектр оборудования для морских судов и т. д.

Гражданские тоже не остались без внимания

Бюро промышленности и безопасности американского Министерства торговли ввело, в общей сложности, два новых правила экспорта, и если первое затрагивает военных КНР, России и Венесуэлы, то второе имеет отношение к товарам для гражданского потребления. Список стран, попавших под эти санкции, значительно шире: Россия, Венесуэла, Китай, Азербайджан, Армения, Белоруссия, Ирак, Казахстан и Украина.

«Гражданское» правило BIS лишит американских экспортеров возможности поставлять в Россию и другие перечисленные страны целый спектр товаров без лицензии. Раньше она не требовалась, если эта продукция предназначалась исключительно гражданского использования гражданскими потребителями.

Список товаров, на которые распространялись послабления, включал полупроводниковую продукцию, компьютеры, радиолокационные системы, подшипники, телекоммуникационное оборудование, а также устройства для сборки самолетных двигателей и т. д.

Новое правило американского Минторга предписывает обязательное получение лицензии на экспорт в Россию, КНР и другие страны перечисленных товаров. Это может сказаться на сроках поставок, поскольку такого рода бюрократия требует определенного времени, к тому же Минторг США может и вовсе по тем или иным причинам отказать экспортеру в предоставлении такой лицензии.

В чем провинились гражданские потребители

Представители BIS не уточнили, почему российским военным больше нельзя закупать iPhone, но раскрыли причину, по которой были введены ограничения для гражданского населения. По оценке Бюро, Россия, Китай и другие попавшие под новые санкции страны нередко используют стратегию интеграции гражданских и военных отраслей. Подобное мешает американским экспортерам определять, кому он поставляет ту или иную продукцию – военным или гражданским, и, как следствие, товары, отправляемые гражданской стороне, могут оказаться в военном секторе.

Санкции против госкомпаний и российской ИТ-сферы

Новые ограничения пополнили длинный список американских санкций против России. Так, в конце августа 2018 г. Госдепартамент США ввел запрет на поставки российским госпредприятиям товары, имеющие в американской торговой номенклатуре пометку «национальная безопасность».

Запрет коснулся широкого спектра техники и ПО, но при этом не распространился на гражданский сектор. Госпредприятия лишились возможности получать специализированные электронные компоненты, подводные аппараты, калибровочное оборудование, системы информационной безопасности и др.

Против российских ИТ-компаний США регулярно вводят санкции на протяжении нескольких лет. К примеру, в 2012 г. BIS ввело ограничения отношении 199 российских физических и юридических лиц и 46 их зарубежных партнеров, занимающихся продажей электронных компонентов.

В сентябре 2016 г. Власти США ввели санкции в отношении российских производителей электроники. В их число попал ряд зеленоградских микроэлектронных предприятий. Это «Микрон», который через холдинг РТИ принадлежит АФК «Система», и предприятия группы «Ангстрем»: ОАО «Ангстрем», «Ангстрем-Т» и «Ангстрем-М» (основным акционером этих предприятий является бывший министр связи Леонид Рейман).

Кроме того в списке оказались томский производитель телекоммуникационного и СВЧ-оборудования «Микран», московский производитель электронной радиокомпонентной базы «Внешнеэкономическое объединение Радиоэкспорт», (входит в госкорпорацию «Ростех»), производитель бортовых комплексов летательных аппаратов Пермская научно-производственная приборостроительная корпорация (ПНППК).

Помимо них, в списке фигурируют ранее не известные фирмы: петербургская НПО «Гранат», Giovan и Technopole. Две последние из них зарегистрированы как в Гонконге, так и в Индии.

Все имущество предприятий на территории США, попавших в санкционный список, подлежало замораживанию. Поставки технологий для данных компаний были ограничены: потребовалось получение лицензий от BIS, причем в отношении заявителей стала действовать «презумпция отказа». Исключения, которые позволили бы поставлять технологии без лицензий, в отношении этих предприятий были отменены.

 

Эксперты Cisco Talos выявили две критические уязвимости в Zoom класса Path traversal. Они открывают самые широкие возможности для кибератак прямо через чаты в клиенте Zoom.

Чат и вредоносный GIF

Две уязвимости в Zoom позволяют злоумышленникам прямо через чат взламывать систему, в которой установлен клиент.

В одной из самых популярных в мире платформ для проведения видеоконференций обнаружились две критические уязвимости, позволяющие злоумышленникам проникать в систему жертвы удалённо, используя групповой или персональный чат, пишет ресурс Securityaffairs.

Обе уязвимости - CVE-2020-6109 и CVE-2020-6110 - относятся к категории path traversal (обход пути), и позволяют злоумышленникам размещать или запускать в системе жертвы произвольный код - для этого понадобится просто отправить специально подготовленные сообщения.

Уязвимость CVE-2020-6109 связана с некорректным использованием службы GIPHY, позволяющей искать и пересылать друг другу анимированные изображения в формате GIF.

Эксперты Cisco Talos обнаружили, что Zoom не проверяет источник файлов GIF, что позволяет использовать файлы из сторонних источников; кроме того, не производится очистка имени файлов, что может привести ещё и к обходу каталога. В итоге у злоумышленников появляется возможность разместить любые файлы, закамуфлированные под GIF, в любой папке целевой системы.

Фрагменты кода - двоичного, вместо исходного

Уязвимость CVE-2020-6110 связана с некорректной обработкой фрагментов программного кода, пересылаемых через чат клиента. Специально сформированное сообщение может привести к запуску вредоносного кода на целевой системе.

Отправителю кода, впрочем, необходимо установить специальный плагин. Зато на получателей это ограничение не распространяется.

Как установили эксперты, при отправке фрагмента кода Zoom формирует архив ZIP, который разворачивается в системе получателя; но при этом содержимое архива не подвергается никаким проверкам, так что злоумышленник вполне может отправить жертве исполняемый код, а не исходники, и тем или иным способом заставить запустить его. Мало того, злоумышленник может вписать вредоносный файл в любой произвольный каталог в системе.

«Проблема проверки вводимых величин по-прежнему стоит остро, и разработчики даже самых раскрученных платформ до сих пор совершают ошибки, открывающие злоумышленникам самые широкие возможности, - указывает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Zoom сейчас находится в зоне особо пристального внимания и со стороны экспертов по кибербезопасности, и со стороны злоумышленников, в силу взрывного роста популярности. Уязвимости в нём ищут очень активно и, как видим, небезуспешно».

Обе уязвимости затрагивают версию клиента 4.6.10; обновление 4.6.12 их устраняет.

Источник

Эксплуатация уязвимостей позволяет удаленно выполнить произвольный код и раскрыть информацию.

Компания Google выпустила обновления безопасности для операционной системы Android, которые устраняют в общей сложности 43 уязвимости, включая несколько критических.

Самыми опасными проблемами являются две критические уязвимости (CVE-2020-0117 и CVE-2020-8597) в компоненте System, которые могут быть проэксплуатирована злоумышленником для удаленного выполнения произвольного кода путем отправки специально сформированных данных. RCE-уязвимости затрагивают версии Android с 8.0, 8.1, 9 и 10.

В System также были исправлены две опасные проблемы, которые можно использовать для раскрытия информации. Уязвимости затрагивают только версию Android 10.

Компания Google также исправила три опасные проблемы в компоненте Framework (две уязвимости повышения привилегий и одна уязвимость раскрытия информации) и две опасные проблемы во фреймворке Media (одна уязвимость повышения привилегий и одна уязвимость раскрытия информации).

Среди остальных 25 проблем, исправленных в этом месяце, была уязвимость раскрытия информации в компоненте Framework, уязвимость повышения привилегий в System, две уязвимости повышения привилегий и одна уязвимость раскрытия информации в компонентах ядра и 20 уязвимостей, не получивших идентификатор CVE, в компонентах Qualcomm и компонентах с закрытым исходным кодом Qualcomm.

Роскомнадзор разработал критерии оценки информации на предмет включения сайтов в «черный список».

Роскомнадзор определился с критериями блокировки сайтов

Роскомнадзор разработал критерии оценки размещенной в интернете информации, которые ведомство планирует применять при рассмотрении вопроса о включении, содержащих ее веб-ресурсов, в Единый реестр запрещенных сайтов. Проект соответствующего приказа опубликован на официальном портале проектов правовых актов. Обсуждение документа продлится до 12 июня 2020 г.

Согласно пояснительной записке к документу, проект разработан в связи с февральскими изменениями (внесены Постановлением Правительства России от 18 февраля 2020 г. №175) в правилах принятия уполномоченными федеральными органами исполнительной власти решений о внесении ресурсов, содержащих запрещенную информацию, в так называемый черный список. Теперь уполномоченные органы исполнительной власти, среди которых, в частности, МВД и Роспотребнадзор, устанавливают критерии оценки запрещенной информации, относящейся к их ведению, по согласованию с Роскомнадзором.

По действующим нормам, регулятор и сам принимает решение о блокировке сайтов, распространяющих детскую порнографию и информацию о несовершеннолетних, пострадавших в результате противоправных действий. Кроме того, ведомство уполномочено блокировать интернет-ресурсы, содержащие запрещенную судом информацию, а также может блокировать приравненные к СМИ порталы, размещающие сведения о методах изготовления наркотических средств и способах совершения самоубийства.

Полномочия по утверждению критериев, на которые опирается Роскомнадзор при принятии решений о блокировке, отмеченными выше поправками, также возложены на ведомство. Другими словами, регулятор теперь самостоятельно разрабатывает и утверждает эти критерии.

Подробнее о критериях

Перечень критериев, разработанных Роскомнадзором, разделен на три группы.

Первые два касаются оценки материалов с «порнографическими изображениями несовершеннолетних и объявлений о привлечении несовершеннолетних в качестве исполнителей для участия в зрелищных мероприятиях порнографического характера», а также «способах, методах разработки, изготовления и использования наркотических средств, психотропных веществ и их прекурсоров, новых потенциально опасных психоактивных веществ, местах их приобретения, способах и местах культивирования наркосодержащих растений, о способах совершения самоубийства, а также призывов к совершению самоубийства, информации о несовершеннолетнем, пострадавшем в результате противоправных действий (бездействия), распространение которой запрещено федеральными законами».

Отдельно стоит отметить третий раздел, в котором сформулированы критерии оценки информации, решение ‎о запрете к распространению которой на территории России было принято уполномоченными органами исполнительной власти или судом. Под них, во-первых, подпадают интернет-ресурсы, содержащие сведения, которые ранее были внесены в «черный список». Во-вторых, согласно критериям, разработанным Роскомнадзором, под блокировку могут попасть сайты, содержащие описание запрещенной информации или упоминание адресов/ссылок на запрещенные веб-ресурсы.

Роскомнадзор и блокировки

Роскомнадзор является уполномоченным федеральным органом исполнительной власти, осуществляющим во внесудебном порядке ограничение доступа к информации в Сети на основании статей 15.1 и 15.3 Федерального закона от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации». Ограничение доступа к сайтам в соответствии со статьей 15.1 осуществляется также на основании решения суда о признании информации, содержащейся на интернет-ресурсе, запрещенной к распространению на территории России.

Как сообщил CNews в марте 2020 г., в России заработала система контроля VPN и прокси-сервисов, а также поисковых систем, которой управляет Роскомнадзор. Новый инструмент в автоматическом режиме проверяет, блокируют ли разрешенные в России VPN, прокси-сервисы и поисковые системы доступ к ресурсам, попавшим в реестр запрещенных сайтов. По информации ТАСС, создание системы обошлось в 19,92 млн руб. Ее разработчик был определен в результате конкурсных закупочных процедур, состоявшихся в апреле 2019 г. Им стал Федеральный испытательный центр (ФИЦ) «Информатика и управление» Российской академии наук (РАН). Изначально контракт оценивался в 25 млн руб.

В марте 2019 г. Роскомнадзор начал борьбу за прекращение доступа к запрещенным сайтам через VPN-сервисы. Владельцам 10 из них направлены уведомления о необходимости подключения к реестру запрещенных сайтов. Уведомления получили владельцы сервисов Kaspersky Secure Connection (принадлежит «Лаборатории Касперского»), NordVPN, Hide my Ass, Hola VPN, Vypr VPN, ExpressVPN, TorGuard, IPVAnish и VPN Unlimited. «Лаборатория Касперского» сразу пообещала выполнить требования регулятора.

Напомним, что популярный мессенджер Telegram Павла Дурова с 2018 г. остается формально заблокированным на территории России, хотя и продолжает при этом работать.

В апреле 2020 г. депутаты Госдумы от «Справедливой России» Федот Тумусов и Дмитрий Ионин предложили законопроект, нацеленный на снятие блокировки, однако инициативу не поддержало Минкомсвязи из-за серьезных изъянов в тексте законопроекта.

Источник

Опубликовано в Интернет

Срок действия корневого сертификата AddTrust, обеспечивающего совместимость с устаревшими устройствами, истек 30 мая. Это привело к нарушению работы инфраструктур, использующих шифрованные каналы связи для взаимодействия между компонентами.

В субботу, 30 мая истек 20-летний срок действия корневого сертификата AddTrust, который применялся для формирования перекрёстной подписи (cross-signed) в сертификатах одного из крупнейших удостоверяющих центров Sectigo (Comodo), сообщает портал OpenNET.

Перекрестная подпись обеспечивала совместимость с устаревшими устройствами. И теоретически прекращение действия корневого сертификата AddTrust AddTrust должно было привести лишь к нарушению совместимости с устаревшими системами (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9). Но на практике обнаружились неожиданные сложности.

Как отмечают эксперты, обнаружились проблемы с проверкой перекрёстной подписи в не использующих браузеры TLS-клиентах, в том числе на базе OpenSSL 1.0.x и GnuTLS. Безопасное соединение перестало устанавливаться с выводом ошибки об устаревании сертификата, если на сервере используется сертификат Sectigo, связанный цепочкой доверия с корневым сертификатом AddTrust.

Если пользователи современных браузеров не заметили устаревания корневого сертификата AddTrust при обработке перекрестно подписанных сертификатов Sectigo, то в различных сторонних приложениях и серверных обработчиках начали всплывать проблемы, что привело к нарушению работы многих инфраструктур, использующих шифрованные каналы связи для взаимодействия между компонентами.

Источник

Опубликовано в Интернет

Несмотря на самое большое количество уязвимостей, Microsoft исправляет их быстрее всех остальных разработчиков систем

Kenna Security, которая занимается анализом рисков к уязвимостям программного обеспечения и предлагает действия по их исправлению, провела новое исследование. В отчёте компания впервые привела сравнительный анализ корпоративных систем на базе платформ Microsoft, Apple, Linux или Unix, а также сетевых устройств. Результаты показали, что совокупность определённого оборудования играет ключевую роль в определении количества уязвимостей безопасности, с которыми та или иная организация сталкивается каждый месяц. Исследование проливает свет на волнующий многих вопрос: «Являются ли некоторые устройства более подверженными риску, чем остальные?».

Сразу стоит отметить, что любые устройства, независимо от используемой операционной системы, подвержены уязвимостям. Они были обнаружены везде, даже в IoT-устройствах и сетевых гаджетах. Их количество зависит от того, какое оборудование организация использует больше. Для половины корпоративного сегмента устройства с Windows 10 составляют 85% от общего количества. Разумеется, риски здесь будут довольно высокими. 70% всего оборудования, работающего на этой операционной системе, имеет как минимум одну уязвимость с высокой степенью риска, но Windows 10, как правило, получает исправления быстрее, чем другие системы. Важную роль в этом играют частота и автоматизация обновлений.

Forbes: в среднем на один ПК с Windows 10 приходится 14 серьёзных уязвимостей
 

Устройство на Windows имеет в среднем 119 уязвимостей в месяц, которые исправляются в течение 36 дней. Для сравнения, в сетевом оборудовании (маршрутизаторы, принтеры, IoT-устройства) обнаруживают в среднем только 3,6 уязвимости ежемесячно, но для их исправления требуется примерно год. Несмотря на быстрые исправления, наличие огромного количества машин с Windows приводит к большому числу уязвимостей в сетях. За исследуемый период компания Kenna Security обнаружила 215 млн уязвимостей, 179 млн из них были исправлены. Остальные 36 млн остались незакрытыми. Это больше, чем все уязвимости, обнаруженные на Mac, Linux, Unix и сетевых устройствах.

Forbes: в среднем на один ПК с Windows 10 приходится 14 серьёзных уязвимостей
 

Как посчитало издание Forbes, на один Windows-компьютер в среднем приходится 14 открытых уязвимостей с известными эксплойтами. Хорошая новость для пользователей Windows заключается в том, что Microsoft исправляет их быстрее, чем разработчики остальных систем. Устройства Apple, использующие Mac OS X, идут вторыми по частоте критических исправлений (79%). На Linux, Unix и сетевых устройствах было исправлено всего две трети уязвимостей с высокой степенью риска.

Источник

Опубликовано в Программное обеспечение
Вторник, 03 марта 2020 17:27

Охранные системы

Защитить ваше имущество и деньги от грабителей это лишь часть задачи. Важно не потратить при этом средств на оборудование и монтаж больше, чем смогли бы унести злоумышленники.

Охранные системы не защищают, а своевременно информируют! Как правило, охранная сигнализация устанавливается на том или ином объекте с целью выполнения единственной задачи: быстро и эффективно информировать владельцев или специальные службы, о том, что произошла попытка проникновения в помещение, поставленное на охрану или о происходящем ЧП (Начинающийся пожар, затопление и т.д.). Правильный монтаж и дальнейшее обслуживание охранной сигнализации – сложный высокотехнологичный процесс, производить его должны исключительно специалисты.

Что необходимо для охраны имущества? Вообще система охранной сигнализации состоит из несколько модулей. Главным модулем считается главная панель, она же централь ну или в некоторых случаях - хаб. На этот модуль поступает информация от всей совокупности датчиков, находящихся на периферии системы, и здесь же происходит ее анализ. Панель способна выполнять определённый алгоритм действий, заложенный в неё при установке. При получении с датчиков сигналов тревоги, охранная панель начинает реализовывать заложенный в неё алгоритм.

Хочется чего-то большего? В процессе проектирования, необходимо учитывать возможные потребности клиента в будущем. Ведь современные системы охранных сигнализаций, это комплект различных систем, собранных в одном устройстве. Например, вы можете контролировать температуру в помещениях, Следить за утечкой газа или воды, отслеживать возникновение пожара, включать или отключать электроэнергию или некоторые устройства и т.д. При этом все это осуществлять удаленно со смартфона или через интернет. 

Охранным системам требуется регулярное сервисное обслуживание. Системы предназначены для того, чтобы срабатывать только в особых ситуациях. И чтобы быть уверенными, что они выполнят свою основную задачу, и правильно сработают, необходимы услуги проведения технического обслуживания. Они гарантируют надёжность работы системы, обеспечат сохранность объекта, на котором она установлена, и спокойствие его владельцев.

Вам нужна сигнализация. но вы не знаете какую выбрать и какой комплект датчиков вам необходим - обращайтесь, наши специалисты помогут вам с подбором оборудования и проведет качественный профессиональный монтаж. Для этого вам необходимо связаться с нами по телефонам: +7 (937) 720-11-88 или +7 (8442) 45-94-00. Мы располагаемся в г. Михайловка, Волгоградской области.

Россияне зачастую во время поездок, активного общения с клиентами или загрузки на работе быстро просматривают сообщения, не вдаваясь в детали, однако, этими минутами невнимательности активно пользуются злоумышленники. О том, как отличить фишинговое письмо и не стать жертвой кибермошенников, рассказал директор по IT-безопасности в компании Avast Джайя Балу.

На осуществление атаки неизвестный преступник потратил от $3600 до $7200.

Эксплуатация уязвимости позволяет создавать приложения для кражи логинов и паролей для банковских учетных записей.

Страница 1 из 8

© 2007-2020 ООО "Центр Информационных Технологий"

Яндекс.Метрика