fstecru

ФСТЭК стандарт безопасной разработки систем ИИ появится до конца года 19 сентября RSpectr Об этом на конференции BIS Summit заявил заместитель директора ФСТЭК России Виталий Лютиков Мы представим проект стандарта безопасной разработки систем ИИ как дополнение к стандарту безопасной разработки ПО именно в части уязвимостей и угроз характерных для этих технологий До конца года появится проект документа который мы представим экспертному сообществу для обсуждения сообщил Виталий Лютиков

Лаборатория Касперского идёт волна кибератак на отели с использованием ИИ 18 сентября C NEWS Летом 2025 г эксперты Kaspersky GReAT Глобального центра исследования и анализа угроз Лаборатории Касперского обнаружили новую волну кибератак группы RevengeHotels Злоумышленники атакуют информационные системы отелей в разных странах с целью кражи данных банковских карт постояльцев Группа активна с 2015 г и с тех пор усовершенствовала свои методы Отличительной особенностью этой кампании стало то что многие из новых образцов вредоносного ПО были созданы с применением ИИ Основные мишени кибератак гостиницы в Бразилии однако цели выявлены и в нескольких испаноговорящих странах Аргентине Боливии Чили Коста Рике Мексике Испании В предыдущих кампаниях группа RevengeHotels атаковала пользователей в России Белоруссии Турции Малайзии Италии и Египте Как происходит заражение Злоумышленники рассылают фишинговые письма которые маскируются под запросы о бронировании номера отеля или обращения соискателей о поиске работы в сфере гостевого сервиса Они содержат вложение со ссылкой на вредоносный сайт Если перейти по ней на устройство загрузится троянец VenomRAT позволяющий удалённо контролировать скомпрометированные системы красть данные банковских карт постояльцев и другую конфиденциальную информацию Чтобы не стать жертвой таких атак Лаборатория Касперского рекомендует владельцам и ИТ отделам отелей проводить тренинги по кибербезопасности для сотрудников обучать их распознавать техники социальной инженерии например с помощью платформы Kaspersky Automated Security Awareness Platform для комплексной безопасности использовать решение для защиты рабочих мест например такое как Kaspersky Security для бизнеса а в дополнение к нему специализированный инструмент для корпоративной почты Kaspersky Security для почтовых серверов который автоматически будет отправлять подобные письма в спам Чтобы защитить свои данные во время поездок и проживания в отелях Лаборатория Касперского рекомендуют пользователям обращать внимание на репутацию онлайн ресурсов при заказе билетов пользоваться проверенными и известными платформами бронирования сайтами авиакомпаний и отелей остерегаться незнакомых или подозрительных площадок предлагающих невероятно низкие цены или требующих предоставления избыточной персональной информации проверять подлинность сайтов прежде чем совершать какие либо операции или предоставлять личные данные дважды просматривать URL адрес на наличие безопасного соединения не вводить свои данные на ресурсах с опечатками или необычными доменными именами использовать на всех устройствах надёжное защитное решение с защитой от онлайн мошенничества и фишинга например Kaspersky Premium

Названы результаты масштабного тестирования российских решений для управления уязвимостями в 2025 году 18 сентября CYBER MEDIA Представлены результаты масштабного независимого тестирования актуальных версий российских продуктов по управлению уязвимостями Vulnerability Management VM Исследование охватившее популярные на рынке решения провели на базе лаборатории Инфосистемы Джет С помощью открытой методики были протестированы пять продуктов Max Patrol VM V 2 8 27 3 Security Vision V 5 0 1748968449 ScanFactory V 6 12 55 RedCheck V 2 9 1 Vulns io Enterprise VM V 1 35 3 Эксперты провели функциональное тестирование каждого продукта по 94 критериям Каждое решение проверялось по единому сценарию от обнаружения уязвимостей до формирования отчетов и интеграции с другими системами безопасности Эксперты учитывали и ожидания которые ставятся перед современным требованиям к функционалу и удобству их использования Наиболее функциональным признано решение Security Vision например в отличие от Max Patrol VM ScanFactory и Vulns io Enterprise VM в нем присутствует интеграция с SIEM в части отправки событий В Инфосистемы Джет заявляют что данные тестирования помогут организациям при выборе решений и для дальнейшего проведения пилотных тестов В процессе тестирования лабораторией еще три продукта результаты которого также будут опубликованы Напомним портал Cyber Media в 2024 году провел собственное независимое аналитическое сравнение российских продуктов по управлению уязвимостями

Инженер Яндекса помог закрыть опасную уязвимость в Chromium 17 сентября ANTI MALWARE Инженер по информационной безопасности Яндекса нашёл и помог исправить серьёзную уязвимость в проекте Chromium на его базе работают такие браузеры как Google Chrome Microsoft Edge и Яндекс Браузер Баг обнаружили в движке V8 который отвечает за работу JavaScript в браузере Уязвимость могла стать частью сложных атак позволяя злоумышленникам выполнять нежелательные действия через браузер Инженер Яндекса не только нашёл ошибку но и предложил вариант исправления Google включила его в обновление движка выпущенное в сентябре Важно что Яндекс Браузер уязвимости не содержал там использовалась версия V8 без ошибки Теперь в продукте будут доступны обновления с уже исправленным кодом В компании напоминают что они регулярно выпускают патчи безопасности для браузера не дожидаясь глобальных апдейтов Chromium Это помогает быстрее закрывать потенциальные угрозы и защищать пользователей

Хакеры показали как легко взломать инфраструктуру Burger King и других сетей RBI 16 сентября CYBER MEDIA Корпорация Restaurant Brands International которая управляет Burger King Popeyes и Tim Hortons стала примером того как огромная сеть может рухнуть на элементарных ошибках в коде Два исследователя под псевдонимами BobDaHacker и BobTheShoplifter доказали для взлома внутренних сервисов RBI не нужны суперкомпьютеры и сложные эксплойты достаточно чуть чуть настойчивости и логина admin Главная уязвимость выглядела почти абсурдно Через API можно было выдавать себе права администратора без всякой аутентификации Внутренняя база ресторанов открывалась без сопротивления а вместе с ней данные сотрудников и настройки оборудования Нашлись и страницы для диагностики с паролем зашитым прямо в код Более того сайт для заказа техники позволял оформить поставку планшетов и комплектов оборудования потому что пароль там тоже лежал в открытом HTML Но самое неприятное скрывалось не в каталогах и не в коде Исследователи смогли получить доступ к аудиозаписям реальных заказов в drive thru Это именно те файлы что использовались для анализа качества сервиса и обучения искусственного интеллекта На плёнках голоса клиентов детали заказов иногда личная информация И всё это можно было прослушать со стороны словно подслушиваешь разговор в окне ресторана В довесок обнаружился ещё один штрих система отзывов о туалетах Любой желающий мог оставить оценку от имени любого ресторана никакой проверки не было Исследователи уверяют что не собирали пользовательские данные и сообщили о находках в рамках ответственного раскрытия Но компания по их словам не только не поблагодарила но и поспешила удалить отчёт с подробностями В итоге уязвимости остались в памяти специалистов а у RBI неприятная репутационная отметка

В Москве пройдет BIS Summit 2025 12 сентября ТАСС В Москве 18 сентября состоится одна из ключевых конференций по информационной безопасности BIS Summit 2025 18 Свое участие подтвердили представители Банка России Госдумы Минпромторга России Минцифры России Минэнерго России Московской биржи НКЦКИ Роскомнадзора и ФСТЭК России Тема события Технологический суверенитет новая эра ответственности Конференция откроется пленарной сессией Диалог с регулятором модератором которой выступит президент ГК InfoWatch и председатель правления АРПП Отечественный софт Наталья Касперская Участники диалога дадут оценку новациям в области оборота персональных данных и требований к безопасности критической информационной инфраструктуры а также обсудят насколько государство должно вовлекаться в регулирование рынка ИТ платформ и ИБ решений В России IT рынок развивался снизу то есть предприниматели создавали компании далее эти компании занимались продажей чего либо или создавали свои собственные продукты в результате чего сформировался практически нерегулируемый рынок Примерно с 2015 года к IT компаниям и продуктам стали применять все больше требований и с одной стороны это правильно но при этом снижается конкуренция так как появляется большое количество новых вводных Возникает вопрос как несмотря на рост регуляторики сохранить здоровую конкуренцию и здоровый баланс на рынке чтобы продукты оставались качественными и у заказчиков был выбор На саммите вместе с регуляторами и представителями ИТ и ИБ компаний мы обсудим где должны пролегать эти границы как пройти между Сциллой и Харибдой чтобы избежать крайностей и вырулить на оптимальную траекторию развития отечественного IT рынка поделилась Наталья Касперская

Т Банк аттестовал биометрические сервисы на соответствие требованиям ФСТЭК 11 сентября РИА Новости Биометрические сервисы Т Банка получили аттестаты соответствия требованиям безопасности информации ФСТЭК России подтверждающие безопасность процессов сбора хранения и иной обработки биометрических персональных данных в коммерческой биометрической системе сообщает банк В набор биометрических сервисов Т Банка входят биоэквайринг технология бесконтактной оплаты покупок с помощью биометрии доступ к сервисам банка в банкоматах с биометрической аутентификацией система биометрического контроля доступа для прохода в офисы выездной сбор данных для внесения в Единую биометрическую систему ЕБС а также биометрическая аутентификация в мобильном приложении 0 Как отметили в банке биометрическая идентификация один из самых безопасных и удобных способов подтверждения личности Банк получает только уникальный цифровой код биометрический вектор а сами биометрические данные хранятся в ЕБС и не покидают периметр государственной системы Это исключает возможность их использования третьими лицами для доступа к счетам и вкладам

Фишер украл у кировчанина виртуальные ценности CS GO на 90 000 рублей 11 сентября ANTI MALWARE В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS GO Фигурант тоже кировчанин уже признал свою вину и возместил ущерб который потерпевший оценил в 90 тыс рублей Как оказалось похититель в поисках легких денег нашел в интернете видео показывающее получение доступа к игровым аккаунтам с помощью фишинговых сайтов Недолго думая он применил приобретенные знания на практике Обнаружив в шутере хорошо упакованного участника молодой человек завязал знакомство и предложил объединиться для совместной игры и с этой целью обговорить детали взаимодействия в Discord в России заблокирован за несоблюдение требований законодательства Когда намеченная жертва согласилась и перешла по предоставленной ссылке в закрытый канал у нее появились новые друзья В скором времени они предложили сыграть посерьезнее на Faceit присоединившись к конкретному сообществу В фальшивом клубе была закреплена ссылка для авторизации которая вела на поддельную страницу Faceit с предупреждением о переходе на якобы новую версию платформы 2 0 Когда легковерный геймер подтвердил согласие его попросили зарегистрироваться из под аккаунта Steam по QR коду Последовав всем инструкциям жертва обмана через несколько дней обнаружила пропажу виртуального имущества на общую сумму свыше 90 тыс рублей Как выяснилось похититель его уже продал а вырученные деньги потратил Уголовное дело возбуждено по факту совершения преступления предусмотренного ч 2 ст 158 УК РФ кража по сговору либо с причинением значительного ущерба до пяти лет лишения свободы У фигуранта взяли подписку о невыезде и проверяют его причастность к другим эпизодам подобного мошенничества

Атака s1ngularity взломала 2180 GitHub аккаунтов и раскрыла тысячи секретов 8 сентября CYBER MEDIA Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx получившей название s1ngularity По их данным злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома В результате были скомпрометированы 2180 аккаунтов GitHub и более 7200 репозиториев Атака проходила в несколько этапов Сначала хакеры встроили вредоносный код в модифицированные пакеты Nx которые автоматически устанавливали у разработчиков бэкдоры Затем происходил сбор токенов доступа и секретов репозиториев а финальным шагом стало распространение украденных данных через сторонние каналы По оценке Wiz масштабы утечки могут оказаться ещё больше скомпрометированные токены дают злоумышленникам возможность выполнять произвольные операции в экосистеме GitHub включая кражу исходного кода и заражение других проектов Особую опасность атака представляет для компаний которые используют Nx в корпоративной разработке Эксперты рекомендуют немедленно отозвать все скомпрометированные токены обновить Nx до последних версий и тщательно проверить журналы доступа к репозиториям Инцидент с s1ngularity стал одним из самых показательных примеров того как вредоносное ПО на базе ИИ способно массово автоматизировать взломы и усиливать риски для всей экосистемы open source

Бесплатная программа льготного обучения программированию для детей открылась для всех желающих Занятия для детей 8 17 лет проведут преподаватели с опытом работы в IT компаниях В ходе трехдневного интенсива от Алгоритмики школьников познакомят с IT профессиям обучат языку программирования Python а также 3D анимации В конце все участники получат именные сертификаты которые помогут выпускнику в будущей карьере Записаться можно до 15 сентября оставить заявку по нужному направлению и возрасту можно тут s algoritmika org 8t3v0e erid 2W5zFHdRCeL