Телеграм канал «Об ЭП и УЦ»

✍️Новый стандарт ФСБ и Банка России: как оценивать влияние приложений на криптографию

Опубликован стандарт платформы цифрового рубля, утверждённый ФСБ России и Банком России. Документ регулирует порядок оценки влияния приложений клиентов на работу СКЗИ.

🔹Стандарт разработан для финансовых организаций - участников ПлЦР, которые разрабатывают или привлекают подрядчиков для создания клиентских приложений, использующих криптографию.
🔹Оценивается как работа ПО влияет на криптографические функции (генерация ключей, подпись, шифрование, TLS-каналы по ГОСТ и др.).
🔹 Финансовая организация должна:
- создать службу безопасности и контроля (штат с профильным образованием и опытом от 3 лет).
- заключить договор с испытательной лабораторией, уполномоченной 8 Центром ФСБ.
- передать в лабораторию исходный код, контрольные суммы и документацию на клиентское приложение.
🔹Лаборатория исследует приложение и выдаёт заключение. После этого участник получает выписку, которая даёт право применять упрощённый порядок при изменениях.
🔹Если изменения в приложении не затронули критический перечень (например, контрольные суммы или систему логирования), служба безопасности может сама зафиксировать изменения и отправить отчёт в лабораторию - повторная оценка требоваться не будет, поэтому возможны обновления клиентского приложения.
🔹Служба безопасности обязана не реже 1 раза в месяц сверять контрольные суммы приложения и криптографических средств.
🔹Если лаборатория выявит несоответствия или участник предоставил ложные данные, Банк России по согласованию с ФСБ может признать согласие неисполненным - участник потеряет право работы по упрощённой схеме.

📎 Приложением к стандарту идёт  обязательное "Согласие финансовой организации об обеспечении информационной безопасности" - без подписания которого работы не начнутся.

Порядок вступает в силу с 2026 года. Участникам ПлЦР стоит проверить свою организационную структуру и наличие лицензии ФСБ с пунктом 2 из перечня 313-ПП.

✍️"Об ЭП и УЦ"

Не грузится? Понимаем.

Бесплатный мессенджер для вашей компании - Битрикс24.
Личные и групповые чаты, видеозвонки, каналы и нейросеть. Всё привычно и удобно.

Можно перенести рабочие чаты и файлы из Telegram в Битрикс24.

Начните работать на бесплатном тарифе уже сейчас.

Узнать больше

#реклама 16+
bitrix24.ru
О рекламодателе

🚨 Microsoft подан иск на мошенников, выдававших сертификаты подписи кода

Кто не испугался открыть Signspace[.]cloud могли узнать, что домен был изъят Microsoft и сейчас установлен редирект, а также что Microsoft подан иск в Нью-Йорка, т.к. владелецы этого веб-сайта причастны к глобальной схеме "Вредоносная подпись как услуга" (Malware Signing-as-a-Service).

Сообщается, что сайт был создан, чтобы позволить злоумышленникам мошенническим путем получать сертификаты подписи кода Microsoft, чтобы подписывать вредоносное ПО как легитимный код и развертывать вредоносную нагрузку для облегчения киберпреступлений, таких как атаки с использованием программ-вымогателей и финансовое мошенничество. Размещена ссылка на более подробную информацию о судебном иске.

Иск Microsoft подан на Джонов Доу (организаторов Fox Tempest и исполнителей Vanilla Tempest) по мошенническому получению сертификатов подписи кода через облачный сервис Microsoft Artifact Signing.

В иске раскрывается схема работы, которая была поставлена на поток:
🔹Группировка Fox Tempest создала >580 мошеннических клиентов Microsoft. Они подделывали документы, регистрировали компании и использовали фейковые ID.
🔹Через эти клиенты они получали доступ к сервису Artifact Signing и создавали сертификаты подписи кода.
🔹Эти сертификаты продавались (цена до $9500) через Telegram-чаты и Google Forms группировке Vanilla Tempest.
🔹Vanilla Tempest использовала сертификаты для подписи троянов (в частности, Oyster), маскируя их под установщики Microsoft Teams. Подписанный софт проходил защиту Windows (включая Smart App Control).

В итоге вредоносное ПО Oyster воровало данные, развертывало троянов-вымогателей Ransomware Rhysida. Под угрозой оказались тысячи компьютеров в США, включая серверы Microsoft. Подсчитан ущерб Microsoft: только расследование стоило $1,5 млн и 8000 часов работы.

Microsoft была проведена контрольная закупка,  чтобы зафиксировать передачу биткоинов, доступ к VPS и сам факт продажи сертификатов. Сейчас компания требует в суде отозвать домены, заблокировать инфраструктуру и взыскать убытки.

За последние 10 лет ситуация с сертификатами подписи кода изменилась. Если раньше воровали ключи разработчиков, то теперь просто фейковым путем получают новые сертификаты в облачных сервисах.
В иске указано, что в Artifact Signing используется "digest signing" (сервис не видит код файла), что и стало идеальной лазейкой. Microsoft позволили этой уязвимости существовать, как архитектурной особенности.
Разработчик вычисляет хеш своего ПО, который нужно подписать, и отправляет только этот хеш. Microsoft подписывает хеш, сам файл ПО, чтобы можно было его проверить, в Microsoft не попадает. Microsoft никто не взламывал, воспользовались стандартными процедурами.

Технология от Microsoft, позиционируемая как защищенная (FIPS 140-2 Level 3), использовалась мошенниками в промышленных масштабах.

Отдельно прикрепил из иска скриншоты переписки Microsoft с мошенниками, которые до сих пор активны в Телеграм.

✍️"Об ЭП и УЦ"

Сегодня кандидатом на PKI-Профанацию года стал Озон seller, которые не может установить новую цепочку доверия сертификатов.

Фактура простая - УЦ Тензор 21 мая выдал квалифицированный сертификат своему клиенту на новом подчинённом сертификате, который в свою очередь получен на новом корневом сертификате Минцифры.

«перевыпустите подпись» - это не решение проблемы, с новым сертификатом будет такая же история.

УЦ Тензор в данном случае тоже не особо хочет решать проблему своего клиента и связаться с Озон, чтобы пояснить что и где установить.

Уважаемые подписчики, а вы понимаете, что имела в виду свердловский омбудсмен, когда говорила про "усложнение схемы электронной подписи, поскольку она сегодня становится уязвимым местом"?

Изменить процедуру идентификации заявителя, вместо токенов всем использовать HSM, закрытый ключ на 512 бит, а не 256?

Не электронная подпись, а массовая безграмотность, в том числе таких омбудсменов, является уязвимым местом.

Татьяна Мерзлякова призвала усложнить схему электронной подписи из-за роста мошенничества

«Тему мошенничества с жильем мы должны вести дальше. У нас слабо работает финансовое просвещение, а сейчас появились первые и очень опасные тенденции, когда заявители не признают юридических последствий цифровой подписи.

Необходимо усложнять схему электронной подписи, поскольку она сегодня становится уязвимым местом», - призвала член СПЧ, свердловский омбудсмен Татьяна Мерзлякова, выступая в Светлогорске на международной конференции по линии «Петербургского диалога» на тему: «Участие гражданского общества в защите прав жертв киберпреступлений: риски цифровизации и успешные практики».

СПЧ в МАХ

Застрахуйте квартиру, чтобы чувствовать себя спокойнее

Компенсируем расходы, если вас затопили соседи или у них случился пожар.

Перейти на сайт

Финансовые услуги оказывает: АО "Тинькофф Страхование".

#реклама
tbank.ru
О рекламодателе