В РФ запустят промышленное производство оборудования для криптографической защиты каналов связи
Разработчик оборудования для информационной защиты каналов связи «Инфотекс» запустит новый завод в Томске в 2024 г. Это позволит нарастить производство решений для кибербезопасности в 5–10 раз.
Сейчас «Инфотекс» выпускает ежегодно небольшие партии – по 100 комплектов квантовых криптографических систем генерации и распределения уникальных ключей для защиты информации.
По словам гендиректора компании Андрея Чапчаева, 60 таких комплектов в 2023 г. пришлось на поставки для РЖД. Такие системы используются в основном для защиты магистральных каналов связи.
Россия переходит на отечественную систему шифрования электронных платежей
В России появился первый HSM-модуль на замену продукции ушедшей из России Thales, которая сегодня обеспечивает шифрование карточных платежей в нашей стране, да и в большинстве стран мира. «Таким образом, наша компания впервые в стране разработала и сертифицировала платежный HSM, который является полноценной заменой продуктов компании Thales» – говорится в официальном заявлении компании
На прошлой неделе первый производитель платежных HSM-модулей «КриптоПро» получил все необходимые сертификаты. Теперь оборудование могут использовать банки и процессинговые компании для защиты карточных платежей.
Как неоднократно отмечалось, отсутствие обновлений от иностранных поставщиков может привести серьёзным негативным последствиям, вплоть до остановки работы банковских карт.
Решение о замене иностранных модулей на отечественные было принято еще в апреле, на совещании ЦБ с банками и отечественными производителями.
Впрочем, переход на отечественные HSM-модули будет дорогим и небыстрым. Стоиморсть одного модуля составляет порядка 3 млн рублей за штуку для неплатежных модулей, тогда как платежные могут стоить в разы дороже. К тому же их производство – долгий и трудоемкий процесс. По оценкам участников рынка, оснащение банковской системы отечественными HSM-модулями займет до девяти месяцев.
Б - безопасность
Разработчиков обяжут совмещать софт с отечественными ОС
Разработчики должны будут обеспечить совместимость своего софта минимум с двумя отечественными операционными системами (ОС), для того чтобы продукт мог претендовать на включение в реестр российского ПО. Соответствующий проект постановления правительства подготовлен Минцифры.
При этом, данные требования будут распространяться как на новое ПО, так и на уже включенное в реестр. Сейчас, по мнению экспертов, этим требованиям не соответствует около половины наименований в реестре.
Требования будут вводиться поэтапно для разных классов ПО, а для уже включенного в реестр ПО , - предоставлен переходный период для его доработки . Какой именно по продолжительности будет этот период не уточняется.
Требование это, несомненно разумное. Без внедрения отечественных операционных систем взамен импортных не возможно обеспечить информационно-технологическую независимость России. Поэтому отечественное ПО изначально должно разрабатываться с учетом совместимости с отечественными ОС. Посмотрим, как дело пойдет на практике.
В данный момент проект документа прорабатывается с отраслевыми ассоциациями.
«Цифровая индустрия промышленной России»
Конференция «Цифровая индустрия промышленной России» – самое представительное деловое мероприятие, входящее в пятерку крупнейших мероприятий в области цифровой экономики в России. На протяжении многих лет является ключевой площадкой для обсуждения цифровой трансформации общества и ключевых отраслей экономики. ЦИПР — это место встречи лидеров рынка и трансляции лучших практик, технологий и идей.
Конференция объединяет ведущих акторов цифровой экономики со стороны крупного и среднего бизнеса, стартап сообщества, науки и цифрового искусства. ЦИПР – экспертная площадка для обсуждения новых инициатив и предложений. ЦИПР также является площадкой проведения хакатонов, питчинг сессий и выставки NFT-искусства.
VIII ежегодная конференция "Цифровая индустрия промышленной России" проходит в конгрессно-выставочном центре "Нижегородская Ярмарка". Организатором конференции является компания "ОМГ". Стратегическим партнером выступают Госкорпорация Ростех, Госкорпорация "Росатом", "Ростелеком". Мероприятие проходит при поддержке Министерства цифрового развития, связи и массовых коммуникаций РФ, Правительства Москвы и Правительства Нижегородской области.
Конференция ЦИПР-2023 стартовала в Нижнем Новгороде.
В первый день конференции было подписано 33 соглашения между ключевыми игроками рынка, федеральными и региональными органами исполнительной власти, представлен российский планшет Kvadra_T под управлением Kvadra OS, автоматизированная система сервиса гражданской авиационной техники, первая полностью российская система управления движением судов для портов «СиТрафик» и AI и metaverse-галерея новостных картин, созданных нейросетью Midjourney.
Почётные гости конференции:
Заместитель председателя Правительства Российской Федерации Дмитрий Чернышенко в рамках рабочего визита в Нижний Новгород принял участие в конференции ЦИПР.
"Для 80% всех решений уже существуют российские аналоги средней и высокой степени зрелости. Их мы включили в перечень особо значимых проектов, которые дорабатываются и внедряются в разных отраслях. К I кварталу текущего года были полностью реализованы 10 таких проектов, до конца года завершим еще 9, остальные проекты воплотим в жизнь в горизонте 3-5 лет", - рассказал Чернышенко о текущей ситуации и планах в сфере импортозамещения промышленного ПО.
Традиционное участие в конференции принимают и сотрудники РУСС по Приволжскому региону – начальник Сергей Логунов и руководитель направления по оптимизации бизнес процессов Наталья Вологдина. Спецсвязисты провели ряд рабочих встреч, а также посетили конференции, связанные с цифровой логистикой в условиях санкций.
Как Microsoft встраивает вирусы в софт
Предыстория
В обычный будничный вечер при написании очередной горы кода обнаруживаю подключение к рабочему столу и перехват управления курсором.
В спешке отрубаю Wi-Fi соединение и начинаю думать.
Первым делом проверяю статусы антивирусов: antimalwarebytes покинул чат (спасибо санкциям за это) как и брандмауэр Windows, который был вырублен вместе с обновлением при установке Windows в 2019 году.
Анализатора трафика отсутствовал, так как мне он нахрен тогда был нужен. (а зря).
Поиск проблемы
В голову пришла идея, скачать чистилищик и прогнать систему, выбор пал на паука с зелёным щитом от известного доктора
(dr web cureit если кому интересно)
Скачал на ноут жены, перенёс на флешку, запустил и..
Развязка
Какого было моё удивление, в файле ServiceHub.RoslynCodeAnalysisServiceS.exe был обнаружен BackDoor.Dandle.5. Который является компонентом IDE Microsoft Visual Studio 2019 версия 16.11.21
Думаю ерунда, подцепил, бывает, но нужно убедиться в том, что я не верблюд.
В рамках эксперимента прихожу в офис и прогоняю все компьютеры с установленной MS VS 2019 с различными версиями и версия с тем кто верблюд встала на свои места.
В подавляющем большинстве в версиях 16.11.16, 16 11.18, 16.11.21 из них проблема имела место быть, в версиях 16.11.09 и ниже проблема не наблюдалась, остальные версии не проверялись.
Самое хреновое, что этот зверь обнаруживается чистильщиком только тогда, когда запущена сама IDE.
Попытка его убить, переместить, заменить файлы, успехом не увенчались, он снова и снова возражлался как феникс.
Помог только полный откат на версию 16.11.09.
Обращение в поддержку
Для тех кто хаит наши поддержки скажу, что для поддержки Microsoft приготовлен отдельный котёл, она осуществляется строго по подписке, если у вас community, то хрен вам на воротник и барабан на шею.
Достучаться до оператора не получилось от слова совсем, можете попробовать сами, может я чего не знаю.
Тогда было принято решение зайти со стороны отсутствия входа в аккаунт, так как при попытке входа в него меня выкидывало с ошибкой 715-123150.
Ок, подумал я и решил сообщить в лоб об имеющей проблеме:
Пока идёт всё хорошо, верно? Они запрашивают необходимую информацию и больше подробностей, что в принципе логично.
И вот дальше началось просто какой-то сюр, в письмо описываю проблему, прикрепляю заражённые файлы, честно её об этом предупредив и другие данные.
Я начал получать уведомления о том, что они закрывают мой трек из за отсутствия ответа, причём с дублирование в некий промежуток
Как оказалось письма от Microsoft о том, что содержимое сообщения содержит файлы, поэтому они их не принимают падали в папку спам и до конечного получателя они не доходили.
В итоге окольными путями меня поставили в белый список? и после этого файлы были отправлены.
Отлично, информация передана, ждём ответа и пьём кофе.. думал я, но спустя время на почту мне прилетает письмо счастья о том что мы забили болт на вас и вообще хрен ли вам надо? трекер закрыт по причине:
ПОПЫТКА ФИШИНГА ЧЕРЕЗ ФОРМУ ОБРАТНОЙ СВЯЗИ!
С этого начало дико подгарать, в письме есть возможность оспорить закрытие(ага, ага, удачи), но обратной связи всё также же и нет.
Было принято решение отправить рассылку этой Лилии и сразу на все возможные аккаунты Microsoft
Как вы уже догадались обратной связи снова нет, как и на последующие.
Вывод
Да какой тут вывод, следите за состоянием и процессами на своём ПК и заводите песочницу для тестирования и анализа обновлений, кто его знает, какую следующую пакость сотворят компании, кладующие болт на своих пользователей.
Целью данной публикации хотелось бы понять масштаб проблемы или его отсутствия.
Можете кидать тапками, искать орфографию и прочие полезные вещи, но было бы здорово услышать конструктив и понять, на каких этапах мной были допущены ошибки и что я пропустил.
Берегите себя и своих близких
P.S.
В версиях MS VS 2012 и 2022 бэкдур не найден.
Поиграем в бизнесменов?
Одна вакансия, два кандидата. Сможете выбрать лучшего? И так пять раз.
ИТ-аутсорсинг: развеиваем страхи на лету
Когда в начале 19 века Стефенсон изобрёл паровоз, нашлось немало людей, считавших, что человеческий не способен выдержать такую скорость. Если что, паровоз Стефенсона «мчался» со скоростью 50-60 км/час. Сейчас такую скорость развивает даже моноколесо...
В общем, боится человек нового.
Например, ИТ-аутсорсинга. Хоть это и не моноколесо. И уж тем более, не паровоз Стефенсона.
Если вдруг вы не знали, чем занимается аутсорсер, скажем кратко, что он берёт на себя все работы по управлению и поддержке ИТ-инфраструктуры. В 5-55 это называется IT as a service – то есть, целый комплекс всех необходимых услуг с поддержкой в режиме 24/7.
Проще говоря – ИТ больше не ваша головная боль.
Но заказчики продолжают бояться.
Вот «ТОП-5» страхов:
Уничтожение данных: изъятие техники, пожары, наводнения, землетрясения. И прилёт инопланетян, — добавим мы. И тут же поясним: если сервер стоит в подсобке вашего офиса, все эти беды руинируют ваш бизнес. Если ваши данные хранятся у нас в ЦОДе (Центр обработки данных), максимум, что вам придётся сделать после катастрофы – купить новый компьютер. Удалённый доступ мы вам настроим.
Кража данных. «Если сервер стоит у меня в подсобке (подвале, чердаке, багажнике лимузина), все мои данные со мной», – рассуждает непосвящённый. Посвящённый понимает, что такая философия – это складирование всех яиц в одну корзину. Если корзину украдут, всё пропадёт. Приведём простую аналогию.
ВНИМАНИЕ: сейчас будет очень точная аналогия: Ваши данные = ваш бизнес = ваши деньги. Если вы разгуливаете по городу со всеми деньгами в кармане, не удивляйтесь, что рано или поздно деньги украдут. А вот если вы храните деньги в банковской ячейке, например, украсть их будет намного сложнее. Так вот, ЦОД – это такая «банковская ячейка», в которой надёжно хранятся ваши данные. Наш ЦОД защищён почти как швейцарский банк.
«Моё «железо» – мои правила». Ага. Потратьте на покупку сервера пару миллионов и посмотрите лет через пять, насколько вы израсходовали его ресурс. Да, не забудьте про апгрейды, покупку дополнительных дисков и так далее. А ведь можно было арендовать сервер у нас. Или не весь сервер, а место на сервере. И тогда расширением памяти, апгрейдами и прочими техническими вопросами занималась бы компания-аутсорсер, а не вы. При этом, правила по-прежнему были б вашими – в 5-55 мы всегда ориентируемся на нужды и потребности заказчиков.
«Шеф, усё пропало, шеф!» Это про вирусы. Каждый год они новые. Вот 2019 год, например, был «годом шифровальщика». Открыл пользователь ссылку и… через пару минут вся информация на компьютере зашифрована. А дальше – либо плати выкуп шифровальщику, либо плати деньги дешифровщику. Повезло тем, у кого информация хранилась в ЦОДе. ЦОД делает резервные копии. Как минимум один раз в сутки. Восстановить потерянную информацию можно за сутки максимум. И никому ничего платить не надо. Кстати, обычных вирусов это тоже касается.
Публичное «облако» или терминальный сервер?
Когда бизнес построен на работе сотрудников через публичные облачные сервисы, работодатель часто сталкивается с тем, что сотрудник ушёл, и вместе с ним ушли все данные. Например, к конкурентам.
Когда сотрудник работает на терминальных серверах, расположенных в ЦОДе руководитель сам решает, какую информацию оставить уходящему сотруднику, а к чему заблокировать доступ.
Вернёмся к рассказу об услугах аутсорсера:
Удалённые рабочие места. Можно работать из любой точки мира. Пользователь получает мобильность и вседоступность. А заказчик получает возможность нанимать квалифицированных специалистов из регионов, которые получают хорошую зарплату в своём регионе, но всё-таки меньше, чем если бы они работали в офисе, в пределах Садового кольца.
Круглосуточный Service Desk и единая точка ввода. Круглосуточный сервис – достаточно дорогое удовольствие. Ведь сисадмин должен быть всегда доступен. Не болеть. Не ходить в отпуск.
А у нас, в 5-55, есть Service Desk. Где работает не один, а сразу несколько сотрудников. В режиме 24/7. Наш заказчик звонит по единому номеру – у нас единая точка ввода. Звонит с любым вопросом: от неработающей 1С до перегоревшей лампочки.
Service Desk и отчётность.
Идеальный инструмент для руководителя, потому что Service Desk отправляет ежедневные отчёты в автоматическом режиме. Это исключает человеческий фактор и позволяет видеть весь бизнес как на ладони. А ещё, можно настроить отчёт под себя, под свои нужды. Например, какие-то региональные филиалы контролировать жёстче. Автоматический отчёт позволяет увидеть всё. При определённых масштабах бизнеса, это необходимо.
Вот так выглядят страхи и боли наших потенциальных заказчиков.
Вроде, ничего не забыли.