fstecru

Разработчики ПО публично выступили против идеи полной блокировки VPN в России 27 апреля КИБЕР МЕДИА Ассоциация АРПП Отечественный софт направила премьер министру Михаилу Мишустину и главе администрации президента Антону Вайно письмо с критикой курса на ужесточение ограничений VPN Поводом стала волна апрельских сбоев и попытки бороться с обходом блокировок на уровне провайдеров и платформ В опубликованных материалах ассоциация прямо утверждает что полностью заблокировать VPN технически невозможно а дальнейшая эскалация может только усилить проблемы со связью и работой сервисов Письмо не осталось на уровне пересказов в медиа АРПП сама опубликовала сообщение о направлении обращения 22 апреля и приложила к нему два отдельных документа о технической невозможности полной блокировки VPN и о сбоях интернета с начала апреля 2026 года Это означает что речь идет об официально оформленной позиции отраслевого объединения а не об утечке или неофициальном комментарии На фоне этого Наталья Касперская публично подтвердила что экспертная группа готова обсуждать конкретные меры но сначала хочет понять какую задачу государство вообще пытается решить Параллельно Роскомнадзор заявил что использование VPN российскими компаниями внутри страны в корпоративных целях не ограничивается а для доступа к зарубежным ресурсам исключения уже предоставлены более чем для 57 тысяч адресов и подсетей 1730 организаций История развивается на фоне более широкого давления на VPN инфраструктуру Ранее Meduza сообщала что с 15 апреля платформам и провайдерам предписали выявлять пользователей которые применяют VPN для обхода ограничений а 6 апреля издание писало о методичке Минцифры для крупных интернет компаний по обнаружению VPN на устройствах пользователей Пока признаков того что власти публично ответили на само письмо АРПП по существу в открытых источниках не видно Подписывайтесь на наш канал в МАХ

40 миллионов за фотосессию купюр Как москвички поверили в безопасный счет и остались без денег и машины 27 апреля securitylab ru Почти 40 млн руб похитили телефонные мошенники у 80 летней пенсионерки и ее взрослой дочери в Москве сообщила столичная прокуратура Пенсионерке позвонил человек представившийся сотрудником госуслуг Собеседник заявил что произошла утечка персональных данных женщины а от ее имени якобы оформили доверенность После звонка мошенники убедили пенсионерку выполнять инструкции лжесотрудников финансового органа снять сбережения сфотографировать деньги и передать купюры для проверки Присутствие взрослой дочери не остановило злоумышленников Мошенники попросили пенсионерку передать телефон дочери и продолжили разговор с обеими женщинами После этого пенсионерка стала частями снимать деньги со счетов фотографировать купюры упаковывать наличные и передавать дочери Дочь в свою очередь отдавала деньги курьерам и называла им якобы номер обращения в финансовый орган После получения сбережений пенсионерки мошенники убедили дочь закрыть вклады и перевести деньги на временный счет Женщина передала курьерам собственные накопления Позже злоумышленники сообщили ей что неизвестные якобы выставили на продажу ее автомобиль Дочь пенсионерки согласилась продать машину самостоятельно а вырученные деньги также передала на безопасный счет Установление лиц причастных к мошенничеству контролирует Тушинская межрайонная прокуратура Ведомство напомнило что просьбы перевести сбережения на безопасный счет указывают на действия мошенников Правоохранители и сотрудники банков не просят граждан снимать деньги передавать наличные курьерам или совершать сделки с имуществом При сообщениях о попытке хищения денег со счета или оформлении кредита прокуратура советует самостоятельно связаться с банком и уточнить информацию Подписывайтесь на наш канал в МАХ

Пощечина Берлину хакеры залезли в чат ко второму лицу германского государства 25 апреля securitylab ru Волна атак на пользователей мессенджера Signal добралась до высших эшелонов власти Германии Под удар попала одна из ключевых фигур федеральной политики инцидент затронул личную переписку на самом высоком уровне и усилил тревогу вокруг масштабной киберкампании По данным издания Der Spiegel аккаунт в Signal принадлежащий председателю Бундестага Юлии Клёкнер оказался скомпрометирован в результате фишинговой атаки Источники издания утверждают что злоумышленники получили доступ к переписке политика Официальный представитель Клёкнер отказался подтверждать или опровергать информацию сославшись на практику не раскрывать детали связанные с безопасностью Атаки на Signal продолжаются уже несколько месяцев Немецкие ведомства предупреждают что целью злоумышленников становятся политики военные и представители СМИ В центре внимания закрытые групповые чаты где обсуждаются конфиденциальные темы Ситуация вызывает особое беспокойство учитывая роль Клёкнер в государстве Председатель Бундестага занимает вторую по значимости должность после федерального президента Кроме того Клёкнер входит в руководство партии CDU Христианско демократический союз Германии По информации Der Spiegel партийное руководство активно использует Signal для внутренней коммуникации включая общий чат в котором участвует канцлер Фридрих Мерц Сотрудники Федерального ведомства по охране Конституции Германии уже проинформировали канцлера о ситуации Проверка его смартфона не выявила признаков компрометации При этом спецслужбы ранее направили предупреждения руководству парламентских фракций и партийным структурам Ведомство считает что злоумышленники могли незаметно получить доступ к большому числу чатов в парламентской среде Известно о нескольких случаях среди высокопоставленных лиц однако реальный масштаб может оказаться значительно шире Кампания продолжается а риски утечки конфиденциальной информации остаются высокими

Минцифры расширило список сервисов доступных при отключениях мобильного интернета 24 апреля КИБЕР МЕДИА Минцифры обновило перечень сайтов и сервисов которые продолжают работать в периоды ограничений мобильного интернета В обновленный список добавили новые ИТ сервисы приложения компаний из разных отраслей и ряд общественно значимых платформ По данным Минцифры в перечне сейчас более 500 российских ресурсов Ключевое условие для включения размещение всех вычислительных мощностей на территории России В ведомстве называют этот механизм способом снизить неудобства для граждан во время вынужденных ограничений связи по соображениям безопасности Среди новых позиций в списке указаны 1С TrueConf Цифровые решения регионов Рувики Газпромбанк HRlink Федеральное казначейство ГИС электронных перевозочных документов КХЛ а также ряд сервисов из сфер медицины ритейла медиа доставки и транспорта В уже действующем перечне также остаются Госуслуги сайты органов власти крупные маркетплейсы часть сервисов Яндекса транспортные платформы отдельные СМИ и телеком операторы При этом речь идет именно о мобильном интернете В материале отдельно отмечается что в марте 2026 года Минцифры операторы связи и Госдума опровергали сообщения о распространении таких белых списков на домашний интернет

АРПП предложила создать орган для выработки политики в отношении VPN 23 апреля anti malware ru Ассоциация разработчиков программных продуктов АРПП Отечественный софт объединяющая более 300 разработчиков ПО предложила создать согласительный орган который смог бы выработать взвешенную политику в отношении VPN Компании входящие в ассоциацию готовы направить в него своих лучших специалистов Соответствующее предложение содержится в письме которое АРПП Отечественный софт направила премьер министру Михаилу Мишустину и главе администрации президента Антону Вайно Документ оказался в распоряжении РБК В ассоциации подтвердили его подлинность ИТ сообщество умеет достаточно эффективно бороться с негативными явлениями в интернете вирусами атаками мошенничеством фишингом и спамом и эти компетенции можно и нужно использовать говорится в письме за подписью главы ассоциации Натальи Касперской В АРПП заявили о готовности выделить в такой согласительный орган лучших технических специалистов чтобы проработать и предложить взвешенные меры по суверенизации информационного пространства России без разрушения инфраструктуры Рунета Идею белых списков VPN создать которые ранее предложили на круглом столе с участием представителей ряда других отраслевых ассоциаций в АРПП назвали неэффективной и потенциально опасной В ассоциации считают что фиксированный перечень известных сервисов неустойчив к санкционным ограничениям При этом многие используют VPN для доступа к сервисам которые недоступны российским компаниям из за санкционной политики

Сертификация СЗИ требует представить сведения о заимствованных программных компонентах приказ ФСТЭК 22 апреля D Russia ru ФСТЭК внесла изменения в положение о сертификации средств защиты информации СЗИ сделав обязательным представление сведений о заимствованных программных компонентах с открытым исходным кодом Кроме того обязательным стало представление заявителем на сертификацию СЗИ перечня образов контейнеров входящих в состав средства защиты информации в случае наличия в средстве защиты информации образов контейнеров В документе также уточняется комплектность материалов сертификационных испытаний средств защиты информации направляемых испытательной лабораторией в орган по сертификации порядок их представления в ФСТЭК России уточняется порядок внесения изменений в сертифицированное средство защиты информации а также в материалы представляемые в ФСТЭК России по результатам проведения испытаний средств защиты информации в связи с внесением в них изменений Подписывайтесь на наш канал в МАХ

За нарушения на объектах критической инфраструктуры введут новые штрафы 20 апреля ВЕДОМОСТИ Минцифры может ввести новые штрафы за нарушения при переходе на доверенные программно аппаратные комплексы ПАК на объектах критической инфраструктуры КИИ Оно по поручению вице премьера Дмитрия Григоренко готовит соответствующие поправки в Кодекс об административных правонарушениях КоАП Ведомости ознакомились с документом Из него следует что санкции будут действовать для ведомств госкомпаний и организаций с госучастием которые не перейдут на отечественные решения до 1 января 2030 г Президент России Владимир Путин еще в 2022 г подписал указ согласно которому все значимые объекты КИИ госкомпаний и госорганизаций включая органы власти с 1 января 2025 г не могут использовать программное обеспечение ПО и железо из недружественных стран Штрафы за непереход на доверенные ПАКи законодательством в данный момент не предусмотрены Сейчас каждый субъект КИИ фактически сам определяет какие именно системы относятся к таким объектам Исчерпывающей методологии мониторинга по переходу на доверенные ПАКи также не предусмотрено Процедура определения комплексов проводится внутренней комиссией Минцифры а отчет направляется в Федеральную службу по техническому и экспортному контролю ФСТЭК

Telegram превратил Login Widget в универсальный ключ Вход номер телефона канал связи всё в одной кнопке 19 апреля securitylab ru Telegram показал обновлённый Login Widget для сайтов и сервисов Через него можно не только войти с помощью аккаунта Telegram но и отдельно запросить у пользователя номер телефона и разрешение писать ему в мессенджере Павел Дуров описал новый инструмент как бесплатную связку из регистрации входа подтверждения номера и канала для дальнейшего общения Для разработчиков здесь важнее всего не сама кнопка входа а то что Telegram теперь оформляет этот механизм как более современную систему авторизации на базе OpenID Connect В официальной документации говорится о Telegram Login как о решении на базе OpenID Connect с discovery через oauth telegram org поддержкой authorization code flow PKCE а также выдачей Client ID и Client Secret через BotFather По смыслу Telegram пытается закрыть сразу несколько шагов которые обычно живут отдельно Сервису не нужно сначала авторизовать человека потом отдельно подтверждать номер и потом ещё искать способ связаться с ним после регистрации Новый Login Widget позволяет собрать всё это в одной точке входа если пользователь сам даст нужные разрешения При этом сама идея не новая Telegram запустил Login Widget ещё в 2018 году Тогда виджет уже умел авторизовать пользователя на внешнем сайте при первом входе запрашивал номер телефона отправлял подтверждение через Telegram и позволял сайту попросить разрешение на сообщения от бота При этом номер телефона владельцу сайта по умолчанию не раскрывался Нынешнее обновление выглядит как развитие старой схемы но уже в формате который проще встроить в привычную веб инфраструктуру Старый вариант в документации Telegram по прежнему описан как простой виджет для авторизации на сайте через бота и привязанный домен Для бизнеса смысл тут вполне приземлённый Telegram предлагает не просто логин через мессенджер а способ сразу получить подтверждённый контакт и согласованный канал связи внутри того же приложения Если инструмент начнут активно подключать Telegram станет для части сервисов не только местом переписки но и точкой входа для регистрации и дальнейшего общения с пользователем Этот вывод уже следует из того как сам Telegram описывает новый виджет и его функции

ФНС остудила разговоры о массовом контроле переводов между гражданами 17 апреля anti malware ru Федеральная налоговая служба решила немного сбавить градус вокруг темы переводов между физлицами Ведомство опровергло сообщения о том что под новый налоговый контроль якобы могут попасть сразу 10 млн человек и заявило что такие оценки сейчас делать просто рано В ФНС пояснили ни форма ни периодичность обмена данными с ЦБ ещё не утверждены потому что соответствующее соглашение пока не подписано а сами критерии всё ещё находятся в стадии проработки По сути налоговая говорит следующее механизм ещё не готов поэтому любые громкие цифры пока скорее гадание чем реальный прогноз В ФНС отдельно подчеркнули что у внешних экспертов нет необходимых административных данных по переводам между физлицами а значит и оценить масштаб будущего контроля объективно они не могут При этом сама идея дополнительного контроля никуда не исчезла Речь идёт о законопроекте в рамках которого ФНС сможет получать от Банка России сведения о физлицах на чьих счетах есть признаки предпринимательской деятельности или поступления похожие на незадекларированный доход от других граждан Среди признаков риска называется не только сумма переводов но и системность ритмичность поступлений круг контрагентов и другие существенные факторы Сумма 2 4 млн рублей в год действительно фигурирует в обсуждении но не как единственный и автоматический повод для проверки Это лишь один из ориентиров на который могут смотреть налоговые органы при анализе подозрительной активности Ранее именно вокруг этой цифры и начали появляться громкие публикации о миллионах россиян которые якобы рискуют попасть в зону внимания ФНС

Умные часы превратились в источник данных для киберпреступников 14 апреля КИБЕР МЕДИА Умные часы все чаще рассматриваются не как самостоятельная цель атаки а как точка входа к связанным сервисам здоровья По заявлению специалистов злоумышленников в первую очередь интересуют аккаунты где хранятся данные с носимых устройств а компрометация таких учетных записей возможна например через обычный фишинг Цепочка атаки выглядит достаточно прямолинейно Сначала атакующий получает доступ к аккаунту который синхронизирован с часами либо находит пользователя с некорректно настроенной приватностью После этого ему открывается массив телеметрии из фитнес приложений пульс число шагов пройденная дистанция перепад высот и геолокация особенно если владелец регулярно тренируется на улице Дальше эти данные превращаются уже не в бытовую статистику а в материал для эксплуатации Информация о местоположении и маршрутах может использоваться для слежки и преследования а сведения о здоровье и физической активности в сценариях социальной инженерии и даже для шантажа В этой модели слабое место находится не столько в прошивке самих часов сколько в экосистеме вокруг них облачном аккаунте политике доступа и пользовательских настройках приватности Отдельной статистики по взломам умных часов как отмечает эксперт нет но это не снижает значимость риска По его оценке смарт часами пользуются около 70 владельцев устройств для мониторинга здоровья а значит даже редкие ошибки в настройках приватности или единичные компрометации аккаунтов могут затрагивать заметное число людей Поэтому основная зона защиты здесь очевидна контроль учетной записи проверка параметров конфиденциальности и понимание того какие именно данные приложение собирает и может передавать третьим сторонам Подписывайтесь на наш канал в МАХ