Материалы по тегу: безопасность

08.02.2023 [15:31], Андрей Крупин

Astra Linux Special Edition прошла сертификацию ФСТЭК России в части средств виртуализации

Компания Astra Linux сообщила о завершении первого этапа сертификации своих программных решений на соответствие требованиям безопасности информации ФСТЭК России к средствам виртуализации: защищённая платформа всей продуктовой экосистемы вендора, операционная система специального назначения Astra Linux Special Edition, получила сертификат, подтверждающий её возможности в части защиты среды виртуализации.

Напомним, что 22 декабря 2022 года вступили в силу новые «Требования по безопасности информации к средствам виртуализации», утверждённые приказом ФСТЭК России от 27.10.2022 № 187 (программные продукты, реализующие функции средств виртуализации, должны быть сертифицированы по одному из шести классов защиты). Astra Linux Special Edition стала первой и пока единственной ОС, которая прошла сертификацию по первому, максимальному, классу защиты.

 ОС Astra Linux Special Edition в составе программного комплекса средств виртуализации «Брест»

ОС Astra Linux Special Edition в составе программного комплекса средств виртуализации «Брест»

Выданный ведомством документ подтверждает, что ОС Astra Linux Special Edition является сертифицированным ФСТЭК России средством, разрешённым к применению в целях создания и защиты виртуальной инфраструктуры в информационных системах, обрабатывающих любую информацию ограниченного доступа, в том числе в государственных информационных системах, информационных системах персональных данных, в составе значимых объектов критической информационной инфраструктуры и др.

В ближайших планах разработчика — сертификация программного комплекса средств виртуализации «Брест» и остального стека решений на соответствие требованиям ФСТЭК России в части средств виртуализации.

Постоянный URL: http://servernews.ru/1081632
07.02.2023 [15:04], Сергей Карасёв

Волна атак обрушилась на серверы по всему миру: причиной стала двухлетняя дыра в ПО VMware

Эксперты в области информационной безопасности, как сообщает Bloomberg, зафиксировали масштабную киберкампанию, нацеленную на внедрение программы-вымогателя в IT-системы организаций по всему миру для последующего получения выкупа от жертв. Злоумышленники атакуют серверы, эксплуатируя уязвимость в гипервизоре VMware ESXi.

По оценкам, только в течение минувших выходных программа-вымогатель поразила более 2100 серверов. Наибольшее количество вторжений зафиксировано в США, Франции и Германии. Кроме того, пострадали корпоративные системы в других странах, в частности, в Италии и Канаде. Патч для этой дыры был выпущен ещё в феврале 2021 года, но нынешняя волна взломов говорит о том, что далеко не все компании загрузили апдейт.

 Источник изображения: pixabay.com

Источник изображения: pixabay.com

Уязвимость, описанная в бюллетене CVE-2021-21974, вызвана проблемой переполнения памяти в службе OpenSLP. Брешь может быть использована злоумышленниками, не прошедшими проверку подлинности, для выполнения произвольных команд. Проблема затрагивает ESXi версии 7.x до ESXi70U1c-17325551, ESXi версии 6.7.x до ESXi670-202102401-SG и ESXi версии 6.5.x до ESXi650-202102101-SG.

Эксплуатируя дыру, злоумышленники внедряют вредоносную программу ESXiArgs. Зловред шифрует файлы с расширениями .vmxf, .vmx, .vmdk, .vmsd и .nvram на поражённых серверах и создаёт файл .args для каждого зашифрованного документа с метаданными (вероятно, необходимыми для расшифровки). Кроме того, преступники оставляют сообщение с требованием выкупа. Анализ показывает, что ESXiArgs, вероятно, основан на исходном коде шифровальщика Babuk, который ранее использовался в ходе других кампаний по вымогательству.

Постоянный URL: http://servernews.ru/1081532
03.02.2023 [23:21], Алексей Степин

В прошивках BMC у 18 производителей серверного оборудования обнаружены серьёзные уязвимости

Как сообщает Dark Reading, исследователи из компании Eclypsium выявили в прошивках BMC у крупных производителей серверного оборудования опасные уязвимости под общим названием BMC&C, позволяющие злоумышленникам достаточно легко получить контроль над системой. Они затрагивают оборудование, поставляемое AMD, Ampere Computing, ASRock, Asus, Arm, Dell EMC, Gigabyte, HPE, Hitachi Vantara, Huawei, Inspur, Intel, Lenovo, NetApp, NVIDIA, Qualcomm, Quanta и Tyan.

Таким образом, под угрозу попадает большое количество серверов, используемых, в том числе, крупными провайдерами облачных услуг, однако Eclypsium пока затрудняется в оценке масштаба данной проблемы. Очевидно, что для атаки требуется подключение сервера к Сети. Последние прошивки AMI MegaRAC базируются на открытом проекте OpenBMC, поэтому их особенности известны широкому кругу разработчиков, включая потенциальных злоумышленников. О первых трёх уязвимостях Eclypsium сообщила ещё в декабре прошлого года, а публикацию информации об ещё двух было решено отложить до конца января, чтобы дать AMI время на выпуск патчей.

 Источник: Eclypsium

Источник: Eclypsium

Уязвимость CVE-2022-26872 позволяет атакующему удалённо сбросить пароль доступа в определённый момент между использованием одноразового пароля и заданием нового. Другая уязвимость, CVE-2022-40258, описывает хеширование паролей с помощью достаточно слабого алгоритма, который может быть взломан. Однако есть и более серьёзные проблемы: так, в API имеются опасные команды (CVE-2022-40259), а использование параметров доступа по умолчанию (CVE-2022-40242) и вовсе допускает выполнение произвольного кода. Еще одна уязвимость, CVE-2022-2827, позволяет получить список пользователей.

Как полагают специалисты Eclypsium, в утечке потенциально опасной информации вины AMI нет. Вероятнее всего, она произошла, когда один из поставщиков оборудования столкнулся с группой вымогателей. В настоящее время AMI выпущены «заплатки» для всех пяти уязвимостей и крупные компании уже сообщили своим клиентам о проблеме и способах её решения, однако далеко не все из них подготовили патчи для всех затронутых продуктов — в случае некоторых вендоров этот процесс затянется до мая 2023 года.

Постоянный URL: http://servernews.ru/1081382
31.01.2023 [18:52], Сергей Карасёв

ВТБ и «Ростелеком» помогут в цифровом развитии регионов — первым проектом станет система видеонаблюдения

«Ростелеком» и «ВТБ Инфраструктурный Холдинг» объявили о формировании совместного предприятия (СП) «Инфра-Телеком»: оно займётся организацией проектов по развитию цифровой инфраструктуры в российских регионах. Ожидается, что это поможет в повышении уровня безопасности и качества услуг для населения. Речь, в частности, идёт о создании комплексов видеонаблюдения и фотовидеофиксации, интеллектуальных транспортных систем, повышении энергоэффективности и автоматизации процессов в ЖКХ.

Кроме того, будут реализовываться другие инициативы, такие как «Безопасный город». Первым проектом нового предприятия станет создание системы видеонаблюдения в Мурманской области. Она объединит более 1000 камер и интеллектуальную систему видеоаналитики. Платформа позволит улучшить ситуацию с безопасностью в населённых пунктах региона, особенно в местах массового пребывания людей.

 Источник изображения: pixabay.com

Источник изображения: pixabay.com

Совместное предприятие намерено использовать механизмы государственно-частного партнёрства. По предварительным оценкам, совокупный объём реализованных проектов только до 2025 года составит до 35 млрд руб. «В результате внедрения цифровых решений жители разных уголков России получат новое качество жизни, более безопасное и комфортное. СП объединит цифровые компетенции «Ростелекома» и большой опыт группы ВТБ по организации финансирования региональных и муниципальных инфраструктурных проектов», — говорится в заявлении партнёров.

Постоянный URL: http://servernews.ru/1081137
30.01.2023 [18:00], Андрей Крупин

Аналитическая платформа «Форсайт» получила сертификат ФСТЭК России

Компания «Форсайт» сообщила о сертификации Федеральной службой по техническому и экспортному контролю программного комплекса «Форсайт. Аналитическая платформа».

Платформа «Форсайт» предназначена для создания приложений класса Business Intelligence и решения аналитических задач в корпоративной среде. Она позволяет разрабатывать настольные, веб- и мобильные приложения для визуализации и оперативного анализа данных, формирования отчётности, автоматизации бизнес-процессов, моделирования и прогнозирования показателей по различным сценариям. В активе продукта значатся широкие возможности интеграции с различными системами документооборота и управления предприятием, а также поддержка Hadoop Hive — инфраструктуры распределённого хранения и обработки «больших данных».

 Архитектура аналитической платформы «Форсайт»

Архитектура аналитической платформы «Форсайт»

Выданный ведомством документ подтверждает соответствие продукта 4 уровню доверия (согласно 76 приказу ФСТЭК России), 5 классу защиты (согласно руководящему документу «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации») и техническим условиям.

Сертификат позволяет использовать «Форсайт. Аналитическая платформа» в качестве средства защиты информации (не составляющей государственную тайну) от несанкционированного доступа в системах всех классов защищённости, в том числе в государственных информационных системах (ГИС), на объектах критической информационной инфраструктуры (КИИ), а также для построения систем по работе с источниками информации ограниченного доступа, персональными данными, служебной, коммерческой и иными видами конфиденциальной информации.

Постоянный URL: http://servernews.ru/1081080
27.01.2023 [23:15], Алексей Степин

Подписка на Ubuntu: Canonical объявила о всеобщей доступности сервиса Ubuntu Pro

Компания Canonical, разработчик дистрибутивов Ubuntu, начала тестирование подписки Ubuntu Pro осенью прошлого года. А вчера разработчики объявили о выходе программы из статуса бета-версии и о её полноценной доступности для всех пользователей. Действовать программа будет минимум до 2032 года. Оформить подписку можно на сайте Canonical.

Подписка Ubuntu Pro изначально была анонсирована для систем Ubuntu LTS, начиная с версии 16.04 LTS. Она включала в себя исправления и обновления для критических опасных уязвимостей, а даже для ряда менее опасных багов. А благодаря инструментарию Canonical Livepatch большую часть обновлений можно устанавливать без необходимости перезагрузки. Также подписка включает доступ к rt-ядрам, базе знаний, сертифицированным Windows-драйверам для KVM, расширенным политикам Active Directory для Ubuntu Desktop.

 Источник изображений здесь и далее: Canonical

Источник изображений здесь и далее: Canonical

Ubuntu Pro соответствует стандартам HIPAA и FedRAMP, имеются сертифицированные NIST и FIPS 140-3 (Level 1) криптомодули, опционально доступна поддержка в режиме 24×7. Поддержка LTS-версий расширилась, так как теперь под действие Ubuntu Pro подпадает версия 14.04 LTS, а максимально поддерживаемая версия — 22.04 LTS. Под действие программы Ubuntu Pro попадает свыше 2300 пакетов в главном репозитории Ubuntu и более 23 тыс. пакетов в репозитории Universe.

 Нововведения в Ubuntu Pro

Нововведения в Ubuntu Pro

Базовая стоимость подписки Ubuntu Pro составляет $25/год для рабочих станций и $500/год для серверов и IoT-устройств. Также есть более доступный вариант Infra-only, который предлагает меньшей опций и возможностей. Расширенная поддержка по телефону и онлайн, а также ряд дополнительных сервисов оплачиваются дополнительно. Бесплатная версия для индивидуальных пользователей и малого бизнеса также остаётся доступной — она включает в себя обновления для пяти систем (до 50 для официальных членов сообщества Ubuntu).

Постоянный URL: http://servernews.ru/1080998
27.01.2023 [13:43], Андрей Крупин

Среда разработки и запуска Java-программ Axiom JDK Pro получила поддержку TLS-сертификатов Минцифры России

Компания «Беллсофт» сообщила о включении в состав среды разработки и исполнения Java-приложений Axiom JDK Pro поддержки отечественных TLS-сертификатов безопасности. Теперь при установлении защищённых соединений с сетевыми ресурсами, использующими сертификаты Минцифры России, подключение программных решений будет происходить автоматически.

«Большинство государственных информационных систем и критических инфраструктур работают на Java и выпуск отечественных TLS-сертификатов — важное событие для рынка. Наши инженеры включили их в состав Axiom JDK Pro, чтобы обеспечить подключение «из коробки», сэкономив ресурсы разработчикам и пользователям. Теперь во всех защищённых TLS-соединениях, устанавливаемых в приложениях Java, подлинность сервера или клиента может автоматически удостоверяться российскими сертификатами», — говорится в заявлении компании «Беллсофт».

 Источник изображения: Innova Labs / pixabay.com

Источник изображения: Innova Labs / pixabay.com

Axiom JDK Pro создана на основе проекта с открытым исходным кодом OpenJDK, соответствует спецификациям Java SE и является полноценной заменой Oracle Java. В состав платформы включены все инструменты, исполняемые и бинарные файлы, которые необходимы для компиляции, отладки и выполнения программных продуктов. Среда совместима с различными операционными системами, поддерживается российскими разработчиками и полностью отвечает принципам импортозамещения.

Поддержка отечественных сертификатов включена в новые версии Axiom JDK Pro 19.0.2, 17.0.6, 11.0.18 и 8u382. Они реализуют квартальный цикл развития OpenJDK и доступны синхронно с Oracle Java SE. Таким образом, Java-приложениям, исполняемым на Axiom JDK Pro 8, 11, 17 и 19, не потребуется донастройки для установления безопасных соединений по протоколу TLS и проверки подлинности серверов, в отличие от продуктов, функционирующих на базе Oracle Java и других JDK.

Постоянный URL: http://servernews.ru/1080966
26.01.2023 [18:35], Владимир Мироненко

В 2024 году в России запустят Национальный технологический центр цифровой криптографии

Минцифры и ФСБ запустят в 2024 году Национальный технологический центр цифровой криптографии, для которого уже зарегистрировано юрлицо АНО «НТЦ ЦК». О планах ведомств по созданию центра стало известно в октябре прошлого года. Как сообщается на сайте Минцифры, АНО «НТЦ ЦК» создана с целью внедрить и популяризировать использование криптографических методов защиты, которые позволят государству обеспечить информационную безопасность россиян, в частности, защитить их персональные данные. Инициативу уже поддержали некоторые банки.

Специалисты АНО «НТЦ ЦК» также будут заниматься вопросами развития здоровой конкуренции у отечественных производителей средств криптозащиты, производства компонентов средств защиты персональных данных и ведением реестра производителей средств криптозащиты. Кроме того, в перечень задач центра будет входить практическое обучение ИБ-специалистов и определение стандартов в области криптографии и защиты информации.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Сообщается, что для достижения целей центра ведомство заручилось поддержкой крупнейших отечественных компаний, специализирующихся в области разработки средств криптографической защиты информации, включая «Информационные технологии и коммуникационные системы», «КРИПТО-ПРО» и «Код Безопасности»: «Мы стремимся, чтобы производители средств защиты были мотивированы создавать более качественные продукты, а будущие ИБ-специалисты могли учиться на программах, ориентированных не только на теорию, но и на практику».

Постоянный URL: http://servernews.ru/1080917
25.01.2023 [21:08], Андрей Крупин

DLP-платформа «Гарда предприятие» и система защиты баз данных «Гарда БД» прошли сертификационные испытания ФСТЭК России

Российский разработчик систем информационной безопасности «Гарда технологии» (входит в «ИКС Холдинг») сообщил о сертификации Федеральной службой по техническому и экспортному контролю сразу двух решений — DLP-системы для защиты и предотвращения утечек конфиденциальной информации «Гарда предприятие» и программного комплекса для защиты баз данных «Гарда БД».

Оба продукта обеспечивают защиту конфиденциальной информации и персональных данных и соответствуют требованиям безопасности информации по 4 уровню доверия.

 Пользовательский интерфейс системы защиты баз данных «Гарда БД»

Пользовательский интерфейс системы защиты баз данных «Гарда БД»

Выданные ФСТЭК России сертификаты допускают применение систем «Гарда предприятие» и «Гарда БД» для защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в значимых объектах критической информационной инфраструктуры, в государственных информационных системах, в автоматизированных системах управления производственными и технологическими процессами, в информационных системах персональных данных высших категорий и классов.

«Гарда предприятие» и «Гарда БД» зарегистрированы в реестре российского софта и могут представлять интерес для организаций, реализующих проекты в рамках программы импортозамещения ПО.

Постоянный URL: http://servernews.ru/1080872
24.01.2023 [15:57], Андрей Крупин

ФСТЭК России представила рекомендации по безопасной настройке Linux-систем

Федеральная служба по техническому и экспортному контролю разработала рекомендации по безопасной настройке операционных систем Linux и обеспечению их защиты от хакерских атак.

Соответствующий документ опубликован на сайте ведомства в форматах PDF и RTF. Представленные в нём инструкции подлежат исполнению в государственных информационных системах и на объектах критической информационной инфраструктуры Российской Федерации, построенных с использованием несертифицированных по требованиям безопасности ОС Linux, до их замены на сертифицированные отечественные решения.

 Источник изображения: MasterTux / pixabay.com

Источник изображения: MasterTux / pixabay.com

Предложенные ФСТЭК России рекомендации затрагивают аспекты, связанные с настройками авторизации пользователей, ограничением механизмов получения привилегий, конфигурированием прав доступа к объектам файловой системы и средств защиты ядра Linux. Отдельное внимание авторами документа уделено настройкам защиты пользовательского окружения программной платформы от цифровых угроз.

Напомним, что с 1 января 2018 года вступили в силу изменения в Уголовный кодекс РФ, которые предусматривают уголовную ответственность за кибератаки на национальную информационную инфраструктуру. Список объектов КИИ государства включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Постоянный URL: http://servernews.ru/1080780
Система Orphus