ФСБ расширяет свои полномочия в интернете

Александр Панасенко 18 Октября 2013 - 17:10

...

ФСБ расширяет свои полномочия в интернете

В Государственную думу внесен законопроект, предусматривающий расширение полномочий ФСБ в сфере обеспечения информационной безопасности. Электронная копия соответствующего документа 17 октября появилась на официальном сайте Думы.

Согласно проекту закона, ФСБ получит возможность проводить оперативно-разыскные мероприятия, связанные с расследованием деятельности хакеров и распространением в Сети вирусного программного обеспечения. Также сотрудников спецслужб наделят правом собирать и анализировать все сведения, касающиеся информационных угроз безопасности страны. Законопроект был разработан в правительстве и получил одобрение Дмитрия Медведева, Lenta.ru.

Как говорится в пояснительной записке к документу, расширение полномочий ФСБ позволит справиться с увеличившимся количеством случаев использования информационных технологий для атак на системы органов государственной власти, СМИ, банки и другие организации. Также новые полномочия помогут ведомству противостоять кибератакам, ведущимся из-за рубежа.

На сегодняшний день оперативно-розыскные полномочия ФСБ ограничены действиями в отношении угроз государственной, военной, экономической или экологической безопасности. Теперь к этому списку предлагается добавить также и информационную безопасность.

Ранее стало известно о разработке ФСБ законопроекта по созданию единого Национального координационного центра по компьютерным инцидентам. Как предполагается, новая структура будет бороться с хакерами и компьютерными атаками. Также законопроект предлагает установить уголовную ответственность за неправомерный доступ к охраняемой компьютерной информации. В случае принятия закон должен вступить в силу в январе 2015 года.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: