Просроченные TLS-сертификаты не давали зайти на правительственные сайты

Просроченные TLS-сертификаты не давали зайти на правительственные сайты

Просроченные TLS-сертификаты не давали зайти на правительственные сайты

По словам аналитиков компании Netcraft, срок действия более 80 TLS-сертификатов, используемых на сайтах, расположенных в доменной зоне .gov, истек, при этом перевыпуска не последовало. В результате множество правительственных сайтов, защищенных протоколом HTTPS, оказались просто недоступны.

Инцидент затронул такие серьезные ресурсы, как сайт NASA, посвященный тестированию ракет (дата окончания действия — 5 января 2019 года), или сайт Национальной лаборатории имени Лоуренса в Беркли (истек 8 января 2019 года).

Таким образом, посетители этих сайтов сталкивались с ошибками, которые возникали в браузере при попытке перехода на затронутые ресурсы. В этом случае следует особо отметить механизм HTTP Strict Transport Security (HSTS), который должен предотвращать посещение сайтов с истекшими сертификатами.

Как сообщили в Netcraft, поскольку многие правительственные сайты не смогли правильно имплементировать HSTS, пользователи все равно могли обойти предупреждения, что давало почву для успешной атаки «Человек посередине».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Роскомнадзор обсуждает с маркетплейсами проверку сим-карт

Роскомнадзор совместно с маркетплейсами обсуждает возможность внедрения механизмов проверки сим-карт на предмет их использования мигрантами. По мнению ведомства, это может затруднить использование чужих номеров в мошеннических схемах.

Как сообщил источник ТАСС, соответствующая инициатива обсуждалась на совещании в Роскомнадзоре с участием представителей крупных маркетплейсов. Одной из ключевых тем стала проверка сим-карт, которые используются иностранными гражданами.

«Как показывает практика, иностранные граждане при устройстве на работу нередко используют сим-карты, зарегистрированные на других лиц. Нововведение поможет решить, в том числе, проблему мошенничества с использованием чужих номеров», — отметил источник агентства.

На совещании рассматривались возможные варианты реализации такого контроля. В частности, работодателей, нанимающих мигрантов, могут обязать проверять, кому принадлежат номера, указанные в анкетных данных при приёме на работу. В случае нарушений ответственность будет нести работодатель.

Представители маркетплейсов предложили создать единую систему, с помощью которой можно было бы проверять принадлежность телефонных номеров. По их мнению, только такой централизованный подход может обеспечить эффективность механизма.

В свою очередь, представители Роскомнадзора рекомендовали тем отраслям, где доля мигрантов особенно высока, разработать меры контроля в рамках саморегулирования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru