Регуляторы. Законодательство.
Во время отпуска Государственной Думы было выдвинуто несколько законодательных инициатив, которые так или иначе связаны с информационной безопасностью. Наиболее интересной является
законопроект, который предполагает депутат Госдумы от фракции ЛДПР Михаил Дегтярев. В этом законопроекте предлагается ввести верификацию учетных записей в социальных сетях. При этом для верифицированных записей предлагается законодательно ограничить цитирование опубликованных текстов без согласия их владельца.
Ещё одной законодательной инициативой отметился вице-спикер нижней палаты Сергей Железняк, который
предложил хранить все данные о российских гражданах только на серверах, расположенных на территории России. Это была своеобразная реакция российских законодателей на скандал с прослушкой Интернет-компаний со стороны АНБ. Сведения об объёмах слежки рассекретил Эдвард Сноуден.
Новости безопасности
Разработчики браузера Firefox предложили
протокол для взаимодействия между браузером и антивирусной защитой. Протокол предполагает универсальный способ интеграции антивирусной проверки в браузер, которая могла бы упростить работу как разработчикам средств защиты, так и создателям браузеров.
Компания Infotecs подвела результаты своего конкурса проектов в области информационной безопасности под названием "
Инфотекс Академия 2012". В этом году компания определила 7 победителей, между которыми распределила 3 млн. руб. Из победителей четыре проекта были связаны с криптографией, два - с защитой от несанкционированного доступа и по одному - на тему защиты мобильных устройств и сетевой безопасности.
Инциденты и утечки
Обнаружена
потенциальная утечка данных учётных записей Twitter, которая, возможно, произошла из-за ошибки в реализации протокола федеративной аутентификации пользователей. Впрочем, сама компания отрицает наличие утечки и даже её возможность.
В системе межведомственного электронного взаимодействия (СМЭВ)
зафиксирован сбой, который привёл к временной недоступности портала госуслуг, а также возможности ведомствам обмениваться информацией в электронной форме.
Обнаружена
утечка записей видеонаблюдения из общественного транспорта в Интернет. В частности, на порносайты попали те фрагменты записей, на которых запечатлены сексуальные сцены. Хотя занятие сексом в общественных местах порицаемо в обществе, но утечка подобных данных прямо противоречит конституции и законодательству РФ.
Аналитика и тренды
Самое яркое высказывание аналитиков за август - это
заявление аналитика Gartner Джона Джирара, который рекомендует клиентам не сильно доверять заявлениям вендоров по информационной безопасности. Их поведение он сравнивает с финансовыми пирамидами.
Компания McAfee опубликовала
отчёт, в котором проанализировала вредоносную активность в Интернет. По данным McAfee можно сделать вывод, что разработчики вредоносных программ переключили своё внимание с Windows на платформу Android. Новых вредоносов для настольных компьютеров разрабатывается не очень много, в то время как активность разработчиков вредоносов для Android очень велика.
Вокруг света
В Wall Street Journal
опубликованы подробности о системе контроля за Интернет, которые обнародовал Эдвард Сноуден. В статье приводятся подробности построения инфраструктуры АНБ, построенную для контроля за информацией, передающейся по каналам Интернет. Утверждается, что американские спецслужбы могли контролировать до 75% всего трафика, проходящего по территории США.
Статья про возможности британских систем видеонаблюдения. Сейчас подобные системы являются достаточно распространёнными, а данные, которые они собирают, могут содержать много интересных сведений. Автор статьи попытался показать как именно наличие такой привычной системы видеонаблюдения может изменить представление о безопасности.
Статьи и выступления экспертов
В своём блоге Алексей Комаров
провёл исследование причин неудачи международных производителей UTM-устройств на российском рынке. Он отметил, что комплексные защитные решения, которые по данным Gartner достаточно популярны в мире, в России не получили должного распространения. Связано это по мнению Комарова с ментальностью российских потребителей.
В своём блоге Андрей Прозоров привёл
возможный алгоритм подсчёта стоимости утечки персональных данных - это необходимый элемент процесса организации их защиты. Предложенный им подход является первой попыткой вывести универсальную формулу, поэтому в дальнейшем подход вполне может быть модифицирован. Собственно, предлагаемый способ очень похож на вычисления риска использования персональных данных различных групп сотрудников для реализации различных типов угроз.
Посты в блогах
В электронных документах сохраняется много всякой информации, разглашение которой совсем необязательно. Конечно, далеко не все пользователи могут читать между строк, тем не менее полезно лишние данные из документа убирать перед его публикацией. Именно этому и посвящён
пост Артёма Агеева в его блоге.
Сергей Гордейчик в своём блоге продолжает тему поиска уязвимостей,
сравнивая два подхода к этой проблеме - статический и динамический. Спор о том, какой из них лучше ведётся уже давно, и мнение не последнего в отрасли человека является интересным для понимания проблемы.
Что посетить?
Системный интегратор "Крок" совместно с компанией Symantec впервые проводит 10 сентября
CROC Cyber Conference, на которой ожидается в том числе и выступление Кевина Митника. Мероприятие предназначено для топ-менеджеров компаний клиентов и для экспертов в области информационной безопасности.
Серия региональных конференций под общим названием "
Код информационной безопасности", которые пройдут в Екатеринбурге, Перми, Челябинске, Казани и Нижнем Новгороде. Основная цель - познакомить слушателей с новинками в области информационной безопасности.
Что почитать?
Сеть
Hyperboria основана на протоколе IPv6 и представляет собой децентрализованную одноранговую сеть, которая предназначена для объединения большого количества мобильных устройств. Проект уже имеет реализацию для UNIX-подобных платформ, и его результатами уже можно пользоваться для создания собственной сети мобильных устройств.
Эллиптические кривые сейчас основной вектор развития криптографии. Уже есть стандарты и их описания, есть программное обеспечение, которое позволяет реализовать заложенные в алгоритмах принципы. Однако лучше всего методы шифрования изучаются на практике. В частности, на Хабре недавно появилась
статья, в которой обсуждается реализация алгоритмов шифрования на эллиптических кривых на языке программирования Си++.