Tekhnonacional

Такие уязвимости находят через перебор пользователей и паролей. И если система возвращает разные сообщения об ошибках при неверном логине и пароле — это позволяет определить, какие логины существуют. Дальше идёт подбор. Через форму восстановления пароля можно отправить десятки писем с подменой адресов и ссылок. Разные ответы сервера также можно найти и в форме восстановления пароля, там в поле в основном вводится почта пользователя, соответственно можно собрать список почт для использования в фишинге.

Форма восстановления пароля может таить в себе ещё и возможность DOS-атак.

Если разработчики не предусмотрели ограничения, злоумышленник может отправлять огромное количество писем на один и тот же адрес, модифицируя его (например, user@mail.com, user+1@mail.com, user+2@mail.com). А если на сайте есть ещё и уязвимость, связанная с обработкой заголовка Host, ситуация становится ещё серьёзнее: атакующий может подменить адрес сайта в письме. Тогда пользователь получит письмо со ссылкой на внешний, подконтрольный злоумышленнику ресурс — и передаст свой код подтверждения не тому, кому нужно.

Как защититься

Чтобы защитить форму аутентификации от уязвимостей, важно реализовать несколько ключевых мер:

🔺Унифицировать ответы сервера при неверных логине и пароле — сообщения об ошибке не должны давать понять, существует ли такой пользователь.

🔺Ввести ограничения на количество попыток входа — использовать rate limiting, капчу или блокировку IP/учётки.

🔺Обеспечить жёсткую политику паролей: минимальную длину, наличие цифр, букв разных регистров и специальных символов.

🔺Защитить форму восстановления пароля от enumeration и флуда — проверять частоту запросов, использовать токены с ограничением по времени и одноразовые ссылки.

🔺Исключить возможность Host header injection — проверять заголовок Host на соответствие допустимому списку доменов при генерации ссылок в письмах.

Согласно проекту изменений к постановлению №506, под ограничение попадают только ноутбуки и серверы, тогда как другая продукция этих брендов останется доступной.

В данный момент документ проходит межведомственное согласование.

Ранее первый вице-премьер Денис Мантуров поручил проработать вопрос ограничений для брендов, чья техника производится в России. Участники рынка ожидают, что вслед за HP и Fujitsu из списка могут исключить и другие компании, например Dell.

Зачем нужен USB-токен для ЭП для работы с ФНС?

Сертификат ЭП, выданный удостоверяющим центром ФНС России или его доверенным лицом, нельзя скопировать на компьютер или хранить в облаке. Согласно требованиям налоговой службы, электронная подпись должна быть записана только на сертифицированный токен, что обеспечивает защиту от несанкционированного доступа и копирования.

Требования к USB-токенам для ФНС

При выборе устройства важно учитывать несколько критериев:

- Сертификация. Токен должен быть сертифицирован Федеральной службой по техническому и экспортному контролю (ФСТЭК) или Федеральной службой безопасности (ФСБ). При покупке можно запросить сертификат подлинности, подтверждающий соответствие модели требованиям безопасности.

- Формат носителя. ФНС России работает с токенами USB тип-A.

- Совместимость с криптографическим ПО. В зависимости от модели, токен должен поддерживать работу с КриптоПро CSP, VipNet CSP или другими сертифицированными средствами защиты информации.

Какие бывают USB-токены для ЭП для работы с ФНС?

Все токены можно разделить на простые и продвинутые.

- Простые USB-токены требуют установки СКЗИ (средства криптографической защиты информации) на компьютер.

- Продвинутые USB-токены имеют встроенный чип шифрования и не требуют установки дополнительного программного обеспечения. Однако, если нужно подписывать документы в браузере, потребуется установка плагинов.

Какой токен для ЭП купить для ФНС?

Для отчетности в ФНС подойдет любой сертифицированный USB-токен.

Для работы в ЕГАИС («Алкоголь», «Лес») нужен продвинутый носитель со встроенной криптографией.

Для участия в торгах и подписания документов через электронный документооборот (ЭДО) рекомендуется выбирать токены, выданные сертифицированными УЦ с усиленной КЭП для защиты вашего бизнеса. Мы писали ранее о том, какие риски может нести непроверенная ЭП и как ее проверить самостоятельно .

Где купить токен для ЭП ФНС?

Купить сертифицированный USB-токен можно:

- В удостоверяющем центре ФНС – самый надежный вариант, так как центр гарантирует подлинность и совместимость устройства.

-  У официальных представителей производителей – можно запросить сертификат соответствия.

- В специализированных интернет-магазинах – важно проверять наличие сертификации ФСБ или ФСТЭК.

Как это происходит?

Сотрудники УЦ регистрировали фирмы на подставных лиц, которые узнавали, что являются руководителями десятка организаций, зачастую лишь после возбуждения уголовных дел. Коммерсанты жаловались на фактический захват бизнеса неизвестными лицами, вовлечение компаний в незаконные налоговые схемы, списание средств со счетов, которое, по сути, происходит без ведома реальных руководителей.

Несмотря на все возрастающую защиту персональных данных и развития средств криптозащиты, мошенники все чаще прибегают к использованию данных  добропорядочных граждан. Для этого мошенники выкупают в различных структурах (банках, частных медцентрах и пр.) копии паспортов клиентов этих организаций, которые и отправляют по электронной почте от их имени в удостоверяющие центры. В ответ получают файл с электронной подписью. В дальнейшем аферистам не составляет особого труда, используя ЭЦП ничего не подозревающего человека, получить, например, на его имя кредит или продать его недвижимость. При этом, когда обман вскрывается, доказать ничтожность сделки оказывается весьма сложно. Наиболее часто поддельные ЭП используются в криминальных схемах с так называемым «бумажным НДС», а также при получении кредитов и сделках с недвижимостью.

Почему важна проверка ЭП?

Масштаб проблемы мы пока трудно. Только в рамках упомянутого расследования была зафиксирована выдача 500 поддельных ЭП. Для защиты бизнеса от подобных угроз, важно проводить регулярную проверку ЭП контрагентов. Только так можно удостовериться в подлинности подписей на документах и избежать фальсификаций, которые могут привести к серьезным последствиям.

Как проверить КЭП и НЭП мы писали ранее.Сегодня же мы поговорим о новом законопроекте Минцифры "О требованиях к проверке простой электронной подписи, которой в АО, ООО подписаны бюллетени для голосования...".

Согласно пояснительной записки актом Правительства предлагается утвердить порядок проверки ПЭП ЕСИА (простая электронная подпись для получения государственных и муниципальных услуг в электронном виде).  Норма о требованиях к проверке ПЭП ЕСИА введена Федеральным законом 287-ФЗ , но в настоящее время отсутствует механизм реализации данного права.

Проект предусматривает новые требования к проверки ПЭП:

- Документ устанавливает требования к проверке ПЭП, которой подписаны бюллетени для голосования в электронной форме.

- Проверка подлинности ПЭП осуществляется в соответствии с пунктом 23 Правил использования ПЭП посредством сервиса ЕСИА.

- С использованием сервиса обеспечивается также проверка подлинности ПЭП, ключ которой хранится не менее 5 лет в ЕСИА, в случае замены лицом, подписавшим бюллетень, ключа ПЭП после подписания такого бюллетеня.

- Проверка подлинности ПЭП осуществляется в отношении бюллетеней, хранение которых происходит с использованием личного кабинета ЕПГУ участника АО или ООО.

- Проверка подлинности ПЭП, которой подписан (заверен) бюллетень, осуществляется АО или ООО с использованием сервиса.

- Оператор единой системы идентификации и аутентификации предоставляет АО или ООО доступ к сервису в целях проверки подлинности ПЭП.

- Результат проверки подлинности ПЭП предоставляется АО или ООО в электронной форме и содержит в том числе сведения о дате и времени такой проверки.

Как оно часто бывает, пока не случится какой-то большой публичной проблемы, никто не задумывается об ИБ как важном ежедневном процессе. Проверка ЭП для каждого нового контрагента должна стать частью рутины как частных, так и коммерческих лиц.

Компания-разработчик «Бюро 1440» сообщила, что в ходе испытаний два спутниковых аппарата передали 200 Гб информации со скоростью 10 гигабит в секунду, находясь на расстоянии 30 км друг от друга. Подчеркивается, что это первый успешный опыт в сфере космической связи в РФ.

Проект, над которым работают  уже более десяти лет, включает в себя новый протокол спутниковой связи на низких орбитах, фазированные антенные решетки и ПО для обслуживания этих компонентов. Первый в мире спутник с данными технологиями был продемонстрирован еще в 2013 году на Международном авиакосмическом салоне и был там отмечен высокой наградой.

Остается вопрос в оснащенности России  достаточным количеством подобных спутников на низкой орбите.

Starlink в ходе конфликта на Украине стал одним из ключевых преимуществ противника в области быстрой и надежной передачи информации. В Пентагоне неоднократно заявляли, что министерство обороны США сотрудничает с Илоном Маском для предотвращения незаконного использования интернета от Starlink со стороны России.