Лаборатория 009
Информационных технологий

30 июня 2017

«Доктор Веб» объявил о том, что защита от Trojan. Encoder.12544 с использованием файла perfc неэффективна.

27 июня исследователь Амит Серпер (Amit Serper) опубликовал твит, утверждающий, что найден «стопроцентный» способ предотвращения шифрования файлов вымогателем Petya. Инструкции о том, как это сделать, разместило множество интернет-ресурсов. 

Компания «Доктор Веб» выступила с опровержением этой информации.

В опубликованных статьях говорится, что существует способ предотвратить срабатывание на компьютере троянца Trojan. Encoder.12544, создав в папке C:\Windows файл perfc. Некоторые даже предлагают командные файлы, делающие это за пользователя, например: https://download.bleepingcomputer.com/bats/nopetyavac.bat.

Компания «Доктор Веб» утверждает, что этот способ борьбы с троянцем Trojan. Encoder.12544, также известным под именами Petya, Petya. A, ExPetya и WannaCry-2, неэффективен по нескольким причинам.

Файл, с помощью которого Trojan. Encoder.12544 осуществляет контроль повторного запуска, зависит от имени файла троянца. Стоит злоумышленникам переименовать вредоносный файл, и наличие в папке C:\Windows файла perfc уже не спасет компьютер от заражения.

Троянец осуществляет проверку наличия файла perfc, только если у него достаточно для этого привилегий в операционной системе.

Источник: www.cnews.ru

30 июня 2017

«Ростелеком» объявил об отражении атаки новой модификации вируса Petya, как и недавних атак WannaCry, которым подверглись многие российские компании и государственные учреждения. Организации, пользующиеся защитой от «Ростелекома», смогли быстро остановить распространение этих вирусов и минимизировать ущерб от него.

В качестве одного из основных векторов заражения злоумышленники использовали «фишинговые» письма - как только пользователь открывал письмо, вирус загружался на компьютер пользователя и продолжал распространятся по сети на ПК других пользователей корпоративной сети.

«Команда центра мониторинга и реагирования на инциденты безопасности «Ростелекома» непрерывно изучает оперативную информацию о новых киберугрозах и индикаторах компрометации и незамедлительно реагирует, принимая оперативные меры с целью минимизации риска для защищаемого сегмента, проводит детальный анализ инцидента и предлагает дополнительные меры для адаптации контура защиты к новым угрозам», - сказал директор продуктового офиса «Информационная безопасность» «Ростелекома» Станислав Барташевич.

«Ростелеком» запустил управляемые сервисы информационной безопасности (MSS), которые позволяют с минимумом затрат за 1-2 месяца значительно увеличить устойчивость организации к кибер-атакам, а также застраховать кибер-риски для обеспечения непрерывности бизнеса.   

Поскольку основным каналом заражения являет рассылка мошеннических писем, то для своих заказчиков «Ростелеком» запустил новый проект по управлению навыками ИБ пользователей, что значительно повышает вероятность распознавания и удаления сотрудником «фишингового» письма с вредоносным вложением или ссылкой.

«Еще при атаке WannaCry наши службы показали слаженную работу и достойно отразили атаку на периметр Национальной облачной платформы и инфраструктуру электронного правительства благодаря использованию актуальных средств защиты и высокой квалификации специалистов ИБ», - отметил директор продуктового офиса перспективных продуктов «Ростелекома» Александр Обухов. - «Кроме того, для клиентов услуги «Виртуальный ЦОД» доступна возможность резервного копирования важных данных заказчиков, размещенных в облачной инфраструктуре, что позволяет восстановить практически все важные файлы из резервной копии даже в случае заражения локальной и облачной инфраструктур». 

Источник: www.cnews.ru

30 июня 2017

Массовая закупка защищенных ПК для Минобороны

Министерство обороны России намерено приобрести десятки серверов и тысячи ноутбуков и ПК в защищенном исполнении. На всю технику будет предустановлена российская ОС Astra Linux Special Edition (версии от 1.5) с пакетом офисных программ (за исключением серверов). Применение эквивалентов этого ПО министерство исключает, объясняя это требуемой совместимостью с уже используемым софтом.

Часть ноутбуков требуется Минобороны для военных вузов, остальная электроника — для обработки информации должностными лицами министерства в ряде городов по всей России. Закупка произойдет в рамках четырех объявленных ведомством тендеров с начальными ценами контрактов на общую сумму в p1,21 млрд.

Вычислительные средства будут оснащены модулями доверенной загрузки с двумя идентификаторами, обеспечивающими бесконфликтное функционирование с системой защиты информации Secret Net компании «Код безопасности» и сертифицированными ФСБ, ФСТЭК или Минобороны в части отсутствия недекларированных возможностей.

Минобороны потребовалась защищенная компьютерная техника на российской ОС за 1,2 млрд рублей

Кроме того, для части техники предполагается отсутствие встроенных жестких дисков и Flash-памяти или использование съемных носителей, место установки которых должно иметь приспособления для опечатывания двумя печатями.

Конкретные модели компьютеров в конкурсной документации не прописаны. Торги по тендеру для вузов намечены на 13 июля 2017 г., по остальным — 31 июля. Поставка «железа» в вузы должна завершиться до 20 августа 2017 г., для сотрудников министерства — до 10 ноября.

Что именно закупается

Как следует из документов, размещенных на сайте госзакупок, для военных вузов Минобороны приобретает 5 тыс. ноутбуков с начальной ценой контракта в p537,4 млн — p107,5 тыс. за штуку. Они будут оснащены процессорами с числом ядер не менее двух, с частотой не менее 3,6 ГГц, кэш-памятью не менее 3 МБ, основной памятью не менее 8 ГБ (DDR4) и жестким диском не менее 500 ГБ.

Для сотрудников в рамках тендера с начальной ценой контракта в p366,6 млн министерство приобретает два типа ПК: 1815 единиц одного типа за p351 млн (p193,4 тыс. за штуку) и 100 единиц второго за p15,5 млн (p155,4 тыс. за штуку). В них процессоры должны иметь не менее двух ядер, частота равняться не менее 3,6 ГГц, кэш-память — не менее 3 МБ, основная память — не менее 8 ГБ (DDR4). Для первого типа в комплект входит лазерный принтер.

В рамках тендера с начальной ценой контракта в p224,8 млн министерство приобретает 1077 ПК за p206,4 млн (p191,7 тыс. за штуку), два типа ноутбуков: 100 единиц за p10,4 млн (p103,6 тыс. за штуку) и 50 за p5,7 млн (p113 тыс. за штуку), а также 1,3 тыс. устройств внешней памяти за p2,4 млн (p1,8 тыс. за штуку). Базовые характеристики для ПК и ноутбуков совпадают с представленными выше, но в комплект ПК входит МФУ. Что касается внешней памяти, то они должна представлять собой USB-носители на 16 ГБ.

В рамках последнего тендера с начальной ценой контракта в p81,5 млн Минобороны закупает два типа ПК: 100 единиц одного типа за p20,6 млн (p206,4 тыс. за штуку) и 100 единиц второго за p19,7 млн (p197,3 тыс. за штуку), а также 30 серверов за p41,2 млн (p1,37 млн за штуку). Базовые характеристики ПК все те же, только в комплект к первому типу входит МФУ, а ко второму — лазерный принтер. Серверы должны включать не менее двух процессоров (как минимум с двумя ядрами в каждом), оперативную память не менее 32 ГБ и не меньше 10 жестких дисков на 600 ГБ каждый.

Источник: www.cnews.ru

29 июня 2017

Уязвимость в Microsoft Azure

В облачном сервисе Microsoft Azure Active Directory Connect выявлена уязвимость, позволяющая злоумышленникам перехватывать пароли к локальным аккаунтам, а точнее, устанавливать их без ведома владельцев самих аккаунтов. Об этом сообщила сама корпорация.

Azure Active Directory (Azure AD) — многопользовательский облачный каталог и служба управления удостоверениями Microsoft. Она предоставляет системным администраторам возможность давать сотрудникам и деловым партнерам компании доступ на основе единого входа к тысячами облачных приложений SaaS — Office 365, Salesforce.com, DropBox и Concur.

Уязвимость кроется в функции под названием «обратная запись паролей». Она позволяет записывать пароли Azure AD обратно в локальный каталог, чтобы упростить процедуру переустановки пароля и дать пользователям возможность менять локальные и облачные пароли одновременно. Функция позволяет осуществлять сброс паролей из среды Office365 и также разрешает администраторам давать команду на сброс локального пароля к AD из портала Azure.

Уязвимость в Azure AD Connect позволяет переустанавливать пароли без ведома пользователей

Microsoft рекомендует обновить Azure AD Connect до версии 1.1.553.0.

В этой версии запросы на обратную запись паролей к локальным привилегированным аккаунтам блокируются, если запрашивающий их администратор не является непосредственным владельцем локального аккаунта.

В чем именно проблема

Как указывается в бюллетене безопасности Microsoft, если функция обратной записи пароля некорректно сконфигурирована, у злоумышленников появляется гипотетическая возможность перехватывать новые пароли.

Чтобы активировать функцию обратной записи пароля, у Azure AD Connect должно быть разрешение на переустановку пароля в локальных аккаунтах пользователей AD. При установке такого разрешения, локальный пользователь AD с администраторскими полномочиями может случайно выдать Azure AD Connect разрешение на сброс пароля к локальным привилегированным аккаунтам, в том числе уровня Enterprise и Domain Administrator.

«Такую конфигурацию использовать не рекомендуется, поскольку в этом случае у потенциально злонамеренного администратора Azure AD появляется возможность переустанавливать пароли к произвольным локальным привилегированным аккаунтам на известные ему величины, используя обратную запись пароля. Это, в свою очередь, позволяет злонамеренному администратору получать привилегированный доступ к локальным аккаунтам пользователей», — указывают в Microsoft.

Источник: www.cnews.ru

29 июня 2017

InfoWatch и RuSIEM объявили о завершении интеграции решения для предотвращения утечек конфиденциальной информации и защиты бизнеса от внутренних угроз InfoWatch Traffic Monitor и системы управления событиями информационной безопасности RuSIEM.

В результате интеграции технологий двух российских разработчиков, InfoWatch Traffic Monitor Enterprise автоматически подключается к системе RuSIEM в качестве источника событий информационной безопасности. Данные, поступающие из DLP-системы InfoWatch, одновременно становятся доступны для обработки и анализа в системе управления событиями информационной безопасности RuSIEM.

Офицер безопасности, использующий в своей работе SIEM-систему RuSIEM в связке c DLP-решением InfoWatch, может контролировать передачу конфиденциальных данных организации и действия привилегированных пользователей в режиме реального времени, отслеживать корреляции между разными типами событий и предотвращать несанкционированные действия сотрудников. Помимо информации из DLP-системы, в SIEM отображаются данные из системы обнаружения вторжений (IDS), маршрутизаторов, межсетевых экранов, серверов и автоматизированных рабочих мест пользователей. Широкий горизонт охвата инцидентов упрощает процесс выявления злоумышленников в организации и сбор доказательной базы при проведении служебных расследований.

«Многие вендоры решений в области информационной безопасности получают сегодня запрос со стороны заказчиков на интеграцию с системами DLP, поскольку количество утечек конфиденциальных данных из организаций ежегодно растет, — отметила Марина Баталова, ведущий менеджер по развитию продуктов компании InfoWatch. — Благодаря возможности реализации интеграций InfoWatch Traffic Monitor со сторонними решениями, мы регулярно получаем запросы на технологическое сотрудничество. В результате интеграции c RuSIEM, зрелые технологии анализа и широкий спектр каналов перехвата данных InfoWatch Traffic Monitor станут доступны на единой панели SIEM-cистемы RuSIEM».

«Совместное решение позволит своевременно обнаруживать и фиксировать действительно важные инциденты, осуществлять оперативный контекстный поиск по используемым сервисам, кругу общения, интересам персонала и движению критических данных по различным каналам связи», — сказала генеральный директор RuSIEM Олеся Шелестова.

Источник: www.cnews.ru

29 июня 2017

Согласно последним данным лаборатории Bitdefender, для распространения атак вымогателя Petya-GoldenEye, эпидемия которого началась 27 июня, как и предыдущий шифровальщик WannaCry, используется уязвимость в Windows под кодовым названием EnternalBlue для распространения с одного компьютера на другой.

Атаки нового шифровальщика гораздо агрессивнее, чем недавние атаки WannaCry. У него гораздо больше путей распространения — он может распространяться через электронные письма, при этом первые письма были замаскированы под резюме.

При заражении, в первую очередь, вирус шифрует отдельные файлы и просит пользователя перезагрузить компьютер. Далее он шифрует структуру файловой системы NTFS. После перезагрузки восстановление файлов из резервного копирования уже невозможно.

Petya автоматически запускает программу, которая маскируется под утилиту CHKDSK, но она, вместо того, чтобы проверять жёсткий диск на ошибки шифрует его.

После шифрования на мониторе появляется чёрный экран с сообщением о том, что пользователь стал жертвой вируса-вымогателя Petya. Для разблокировки и восстановления данных хакеры просят 300 долларов США для восстановления данных.

В Украине вирусом были заражены виртуальные сети правительства, в России — ряд крупных компаний, в том числе «Роснефть», «Башнефть», «Хоум Кредит банк» и другие.

Источник: www.cnews.ru

29 июня 2017

«Доктор Веб» опубликовал инструкцию для тех, кто пострадал от нового вида троянца-вымогателя Trojan.Encoder.12544, также известного как Petya, Petya.A, ExPetya и WannaCry-2.

Троянец Trojan.Encoder.12544 распространяется с помощью уязвимости в протоколе SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), которая была реализована через эксплойт NSA "ETERNAL_BLUE", использует 139 и 445 TCP-порты для распространения. Это уязвимость класса Remote code execution, что означает возможность заражения компьютера удалeнно.

Чтобы восстановить возможность входа в операционную систему, необходимо восстановить MBR (в том числе стандартными средствами консоли восстановления Windows, запуском утилиты bootrec.exe /FixMbr).

Также для этого можно использовать Dr.Web LiveDisk — создайте загрузочный диск или флешку, выполните загрузку с этого съемного устройства, запустите сканер Dr.Web, выполните проверку пострадавшего диска, найденное обезвредить.

После этого: отключите ПК от ЛВС, выполните запуск системы, установите патч MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам. Windows XP SP3:

download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe; Windows Server 2003 x86:

download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe; Windows Server 2003 x64: download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe.

Далее установите антивирус Dr.Web, нужно подключить интернет, выполнить обновление вирусных баз и запустить контрольную полную проверку.

Троянец заменяет MBR (главная загрузочная запись диска) и создает, а затем и выполняет задание в планировщике системы на перезагрузку системы, после которой загрузка ОС уже невозможна из-за подмены загрузочного сектора диска. Сразу после создания задания на перезагрузку запускается процесс шифрования файлов. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования диска. Он шифруется на открытом ключе RSA и удаляется. После перезагрузки, при успешной подмене MBR, также шифруется главная файловая таблица MFT, в которой хранится информация о содержимом диска. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно.

В настоящий момент расшифровки файлов нет, ведется анализ и поиск решений, в компании «Доктор Веб» обещают сообщить дополнительно об окончательных результатах.

Источник: www.cnews.ru

29 июня 2017

Специалисты «Доктор Веб» изучают новый троянец-шифровальщик Trojan.Encoder.12544, упоминаемый в СМИ как Petya, Petya.A, ExPetya и WannaCry-2. На основании предварительного анализа вредоносной программы «Доктор Веб» представляет рекомендации, как избежать заражения, рассказывает, что делать, если заражение уже произошло, и раскрывает технические подробности атаки.

Наделавший много шума червь-шифровальщик Trojan.Encoder.12544 представляет серьезную опасность для персональных компьютеров, работающих под управлением Microsoft Windows. Различные источники называют его модификацией троянца, известного под именем Petya (Trojan.Ransom.369), но Trojan.Encoder.12544 имеет с ним лишь некоторое сходство. Эта вредоносная программа проникла в информационные системы целого ряда госструктур, банков и коммерческих организаций, а также заразила ПК пользователей в нескольких странах.

Сейчас известно, что троянец заражает компьютеры при помощи того же набора уязвимостей, которые ранее использовались злоумышленниками для внедрения на компьютеры жертв троянца WannaCry. Массовое распространение Trojan.Encoder.12544 началось в первой половине дня 27.06.2017. При запуске на атакуемом компьютере троянец несколькими способами ищет доступные в локальной сети ПК, после чего по списку полученных IP-адресов начинает сканировать порты 445 и 139. Обнаружив в сети машины, на которых открыты эти порты, Trojan.Encoder.12544 пытается инфицировать их с использованием широко известной уязвимости в протоколе SMB (MS17-10).

В своем теле троянец содержит 4 сжатых ресурса, 2 из которых являются 32- и 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей открытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответствующую версию утилиты, сохраняет ее во временную папку, после чего запускает. При помощи утилиты Mimikatz, а также двумя другими способами Trojan.Encoder.12544 получает список локальных и доменных пользователей, авторизованных на зараженном компьютере. Затем он ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию. Чтобы инфицировать компьютеры, к которым ему удалось получить доступ, Trojan.Encoder.12544 использует утилиту для управления удаленным компьютером PsExec (она также хранится в ресурсах троянца) или стандартную консольную утилиту для вызова объектов Wmic.exe.

Контроль своего повторного запуска энкодер осуществляет с помощью файла, сохраняемого им в папке C:\Windows\. Этот файл имеет имя, соответствующее имени троянца без расширения. Поскольку распространяемый злоумышленниками в настоящий момент образец червя имеет имя perfc.dat, то файл, предотвращающий его повторный запуск, будет иметь имя C:\Windows\perfc. Однако стоит злоумышленникам изменить исходное имя троянца, и создание в папке C:\Windows\ файла с именем perfc без расширения (как советуют некоторые антивирусные компании), уже не спасет компьютер от заражения. Кроме того, троянец осуществляет проверку наличия файла, только если у него достаточно для этого привилегий в операционной системе.

После старта троянец настраивает для себя привилегии, загружает собственную копию в память и передает ей управление. Затем энкодер перезаписывает собственный файл на диске мусорными данными и удаляет его. В первую очередь Trojan.Encoder.12544 портит VBR (Volume Boot Record, загрузочная запись раздела) диска C:, первый сектор диска заполняется мусорными данными. Затем шифровальщик копирует оригинальную загрузочную запись Windows в другой участок диска, предварительно зашифровав ее с использованием алгоритма XOR, а вместо нее записывает свою. Далее он создает задание на перезагрузку компьютера, и начинает шифровать все обнаруженные на локальных физических дисках файлы с расширениями .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

Троянец шифрует файлы только на фиксированных дисках компьютера, данные на каждом диске шифруются в отдельном потоке. Шифрование осуществляется с использованием алгоритмов AES-128-CBC, для каждого диска создается собственный ключ (это — отличительная особенность троянца, не отмеченная другими исследователями). Этот ключ шифруется с использованием алгоритма RSA-2048 (другие исследователи сообщали, что используется 800-битный ключ) и сохраняется в корневую папку зашифрованного диска в файл с именем README.TXT. Зашифрованные файлы не получают дополнительного расширения.

После выполнения созданного ранее задания компьютер перезагружается, и управление передается троянской загрузочной записи. Она демонстрирует на экране зараженного компьютера текст, напоминающий сообщение стандартной утилиты для проверки дисков CHDISK.

В это время Trojan.Encoder.12544 шифрует MFT (Master File Table). Завершив шифрование, Trojan.Encoder.12544 демонстрирует на экране требование злоумышленников об уплате выкупа.

Если в момент запуска на экране появилось сообщение о запуске утилиты CHDISK, незамедлительно выключите питание ПК. Загрузочная запись в этом случае будет повреждена, но ее можно исправить при помощи утилиты восстановления Windows или Консоли восстановления, загрузившись с дистрибутивного диска. Восстановление загрузочной записи обычно возможно в ОС Windows версии 7 и более поздних, если на диске имеется используемый системой скрытый раздел с резервной копией критичных для работы Windows данных. В Windows XP такой способ восстановления загрузки не сработает. Также для этого можно использовать Dr.Web LiveDisk — создайте загрузочный диск или флешку, выполните загрузку с этого съемного устройства, запустите сканер Dr.Web, выполните проверку пострадавшего диска, выберите функцию «Обезвредить» для найденных угроз.

По сообщениям из различных источников единственный используемый распространителями Trojan.Encoder.12544 ящик электронной почты в настоящее время заблокирован, поэтому они в принципе не могут связаться со своими жертвами (чтобы, например, предложить расшифровку файлов).

С целью профилактики заражения троянцем Trojan.Encoder.12544 компания «Доктор Веб» рекомендует своевременно создавать резервные копии всех критичных данных на независимых носителях, а также использовать функцию «Защита от потери данных» Dr.Web Security Space. Кроме того, необходимо устанавливать все обновления безопасности операционной системы. Специалисты компании «Доктор Веб» продолжают исследование шифровальщика Trojan.Encoder.12544.

Источник: www.cnews.ru

28 июня 2017

ФБР наведалось в гости к «Касперскому»

Федеральное бюро расследований США (ФБР) провело беседы с рядом сотрудников американского представительства «Лаборатории Касперского». Об этом сообщает издание NBC News. Опрошено было как минимум 12 человек в различных местах. Беседы происходили в жилых домах сотрудников — сыщики посетили их по окончании рабочего дня. Опросы состоялись как на Восточном, так и в Западном побережьях США.

ФБР интересовалось подробностями работы «Лаборатории Касперского» и тем, в какой степени американское представительство компании отчитывается перед головным офисом в Москве. Самих сотрудников компании заверили, что им не о чем беспокоится.

Как лаборатория сотрудничала с экс-советником Трампа

В последнее время «Лаборатория Касперского» привлекает к себе все больше внимания в США. Майкл Флинн (Michael Flynn), которого недавно избранный президент США Дональд Трамп (Donald Trump) назначил своим советником по безопасности, вынужден был спешно подать в отставку. Причиной стало получение Флином гонораров от российских компаний: «Касперского», телеканала RussiaToday и авиакомпания «Волга-Днепр».

В дома сотрудников «Касперского» постучалось ФБР

В США очень обеспокоены возможными связями команды Трампа с российскими властями и вмешательством последних в президентские выборы. Ранее Минюст США назначил спецпрокурора Роберта Мюллера (Robert Mueller) для расследования данного вопроса. Правда, NBC News утверждает, что допросы сотрудников лаборатории не связаны с этим расследованием.

С другой стороны, ранее издание NBC News сообщало о секретном меморандуме, подготовленном Комитетом по разведке Сената США и направленном главе Национальной разведки Дэну Коутсу (Dan Coats) и генеральному прокурору Джеффу Сешнсу (Jeff Sessions). В нем утверждалось, что российские спецслужбы могут использоваться продукты «Касперского» для шпионажа за американцами и саботажа объектов инфраструктуры.

Выводы в докладе делались на том, что некоторые высокопоставленные сотрудники лаборатории являются отставными офицерами российских спецслужб. В частности основатель компании Евгений Касперский — выпускник Высшей школы КГБ.

«Касперского» могут запретить в армии США

Позже стало известно, что использование продуктов «Лаборатории Касперского» может оказаться под запретом в армейских структурах США.

По данным зарубежных СМИ, сенатор-демократ Джин Шахин (Jeanne Shaheen) рекомендовала внести в проект военного бюджета, принятый Сенатом США, поправку, закрывающую в них дорогу ПО антивирусной компании. Шахин считает, что «связи "Лаборатории Касперского" с Кремлем вызывают серьезные опасения».

Евгений Касперский готов ответить на вопросы американских властей

Со своей стороны, в «Касперском» утверждают, что не помогают властям каких-либо стран в вопросах кибершпионажа. «”Лаборатория Касперского” считает абсолютно неприемлемой ситуацию, когда против компании выдвигаются ложные и голословные обвинения, не подкрепленные никакими фактами, — заявили в компании. — “Лаборатория Касперского” готова отвечать на любые вопросы и помогать любым государственным органам в их расследованиях ее деятельности, так как компания абсолютно убеждена, что любое глубокое изучение ее работы может только подтвердить, что обвинения в ангажированности не имеют под собой никаких оснований».

Ранее Евгений Касперский выражал готовность выступить перед Сенатом США и ответить на любые их вопросы. Также в компании говорили о готовности раскрыть американским властям исходные коды своего ПО с целью избавиться от обвинений в кибершпионаже.

Источник: www.cnews.ru

28 июня 2017

Дуров сообщил властям контактные данные Telegram

Создатель мессенджера Telegram Павел Дуров заявил о готовности пойти на компромисс с российскими властями. На своей странице в социальной сети «Вконтакте» Дуров рассказал, что предоставил Роскомнадзору контактные данные своей компании, добавив, что они и так находятся в открытом доступе.

Предоставление контактных данных необходимо для того, чтобы Роскомнадзор включил Telegram в Реестр организаторов распространения информации (ОРИ). Дуров говорит, что он не возражает против включения Telegram в данный реестр. В то же время создатель Telegram заверил, что ни о каком исполнении его мессенджером «антиконституционных и технически нереализуемых» требований «закона Яровой» не может быть и речи.

Что такое ОРИ

Напомним, в 2014 г. в России был принят антитеррористический пакет законов, который, в числе прочего, ввел понятие Организатора распространения информации (ОРИ). К ОРИ может быть отнесен любой сайт и сервис, который позволяет пользователям интернета обмениваться сообщениями, кроме сайтов для личных и семейных нужд. В случае отказа от включения в реестр сервис будет блокироваться на территории России.

Павел Дуров пошел на формальный компромисс с Роскомнадзором

Владелец ОРИ первоначально должен был хранить на территории России всю информацию о действиях российских пользователей в течение полугода и предоставлять данные о своих абонентах российским правоохранительным органом. В 2016 г. был принят так называемый «закон Яровой», расширивший требования к ОРИ.

Теперь они должны хранить информацию о действиях российских пользователей в течение года, а с лета 2018 г. им необходимо будет хранить содержимое самих сообщений сроком до полугода. Кроме того, если пользователи ОРИ применяют шифрование при обмене сообщениями, спецслужбам должны быть предоставлены ключи для дешифровки этих сообщений.

Последнее требование особенно актуально для Telegram: данный мессенджер стал первым из крупных сервисов обмена сообщениями, обеспечивший шифрование на уровне конечных пользователей. Также фирменной особенностью Telegram являются «секретные чаты», содержимое которых не только не хранится на сервере, но и удаляется с телефонов самих пользователей.

Какие мессенджеры уже заблокированы Роскомнадзором 

Хотя требования к ОРИ вступили в силу еще осенью 2014 г., до недавнего времени иностранные сервисы их игнорировали, а Роскомнадзор на это закрывал глаза. Однако с начала 2017 г. Роскомнадзор заблокировал ряд мессенджеров «второго эшелона» за отказ регистрироваться в Реестре ОРИ. 

Под блокировкой оказались Zello (аналог рации для смартфонов), Blackberry Messenger, Line и Vchat. Также на некоторое время блокировались китайский мессенджер Wechat и японский Imo, но затем они согласились вступить в Реестр и были разблокированы. Кроме того, в Реестр ОРИ вошел мессенджеры Snaappy и Threema.

Как ФСБ и Роскомнадзор давили на Telegram 

На прошлой недели «дошла очередь» и до Telegram. Глава Роскомнадзора Александр Жаров лично обратился к Павлу Дурову с просьбой войти в Реестр ОРИ, пригрозив в противном случае блокировкой сервиса. При этом Жаров заверил, что речь идет только о предоставлении контактных данных, а не перлюстрации сообщений пользователей. 

К давлению на Telegram подключилось и ФСБ: служба заявила, что террористы, устроившие недавние теракты в петербургском метро, пользовались Telegram. Отметим, что именно ФСБ является «выгодоприобретателем» Реестра ОРИ.

Дуров изначально говорил, что Telegram не будет предоставлять переписку своих пользователей ни российским властями, ни спецслужбам каких-либо стран мира. Теперь же, проанализировав высказывание Жарова, создатель Telegram заявил, что готов на предоставление своих контактных данных. Сотрудничество же с российскими властями, как и с властями других государства, будет осуществляться только с целью удаления материалов, пропагандирующих терроризм, наркотики, призывы к насилию и детскую порнографию, а также для борьбы со спамом. 

В ответ на сообщение Дурова Александр Жаров заявил «Интерфаксу», что ведомство проверит, предоставил ли основатель Telegram все контактные данные, необходимые для включения в Реестр ОРИ. Позднее Жаров сообщил, что Telegram будет включен в данный реестр, что означает начало его работы на территории России «в правовом поле».

Руководитель проекта «Роскомсвобода» Артем Козлюк считает, что шаг, на который пошел Дуров, является «спасительным» для Роскомнадзора. «Роскомнадзор получит контактные данные и включит Telegram в Реестр ОРИ, — говорит Козлюк. — Каково же на самом деле будет сотрудничество Telegram с российскими властями, останется тайным, так как запросы спецслужб на предоставление информации о пользователей осуществляются в секретном режиме».

Источник: www.cnews.ru