Запрет спам-обзвонов уже запланирован на лето

Яков Шпунт 20 Февраля 2025 - 15:55

Домашние пользователи

Государство

Соответствие требованиям регуляторов

Спам

Соответствие законодательству РФ

...

Запрет спам-обзвонов уже запланирован на лето

Министр цифрового развития, связи и массовых коммуникаций России анонсировал запрет на массовые спам-обзвоны. Этот шаг станет возможным после внедрения обязательной маркировки звонков и возможности для абонентов блокировать рекламные звонки с помощью одной кнопки в мобильном приложении оператора.

Мера входит в число из 30 предложенных правительством поправок, которые были направлены в Госдуму 16 февраля.

«Звонки будут маркироваться в зависимости от типа организации — банка, сервисных услуг и т. д. — но они не будут касаться частных разговоров, а персональные данные абонентов не передаются», — прокомментировали инициативу в Минцифры.

Согласно новым правилам, компании, совершающие массовые звонки, обязаны предоставлять информацию о себе оператору связи. В случае невыполнения этого требования их вызовы, как с мобильных, так и с стационарных номеров, будут блокироваться. Некоторые операторы уже внедрили подобные функции, например, сервис «Этикетка» от «Билайна».

Как напомнили в МТС, еще в 2021 году операторы мобильной связи подписали меморандум под эгидой Федеральной антимонопольной службы. В рамках этого соглашения были введены меры, ограничивающие массовые маркетинговые обзвоны. Абоненты получили возможность подать заявку на запрет маркетинговых звонков или жалобу на конкретный номер.

Эти меры показали свою эффективность: по данным Минцифры, операторы ежемесячно блокируют около 500 млн звонков. Новая инициатива поможет усилить защиту от телефонного спама, часто связанного с сомнительными предложениями.

Тем не менее в правительственных поправках пока не предусмотрено наказание для операторов, которые пропускают спам-звонки. В Минцифры сообщили, что этот вопрос может быть решен в ходе дальнейших обсуждений.

Эксперты, опрошенные «Ведомостями», отметили, что уже по действующему законодательству, в частности, по статье 14.3 Кодекса об административных правонарушениях, операторы несут ответственность за распространение несанкционированной рекламы. Однако представители операторов предупреждают, что они не могут анализировать содержание звонков, поскольку это нарушает закон о тайне связи.

Кроме того, в отрасли связи предупреждают, что новые меры могут затронуть, например, оповещения от сервисов курьерской доставки. Аналитик Алексей Бойко отметил, что граница между рекламой и информированием о новых условиях обслуживания зачастую бывает размыта.

Еще одной проблемой является тот факт, что массовые обзвоны часто осуществляются с номеров, которые рекламодатель отрицает. В таких случаях абоненты могут заблокировать рекламу, но звонки все равно поступают. Привлечь к ответственности таких рекламодателей бывает крайне сложно.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 21 Января 2026 - 09:50

Linux Уязвимости программ Малый и средний бизнес Корпорации

Критическая уязвимость в telnetd жила почти 10 лет и давала root-доступ

Исследователь по информационной безопасности Саймон Йозефссон обнаружил критическую уязвимость в компоненте telnetd, входящем в состав GNU InetUtils. Брешь незаметно существовала почти десять лет — с мая 2015 года — и позволяла удалённо входить в систему без аутентификации, сразу под пользователем root.

Проблема затрагивает все версии GNU InetUtils с 1.9.3 по 2.7 включительно. По сути, любой злоумышленник при определённых условиях мог получить полный контроль над системой, даже не зная пароля.

Как поясняет Йозефссон, сервер telnetd запускает системную утилиту /usr/bin/login, обычно от имени root, и передаёт ей имя пользователя. В уязвимой реализации это имя можно получить из переменной окружения, переданной клиентом.

Если клиент подсовывает значение -f root и подключается к серверу с опцией telnet -a (режим автологина), происходит следующее:

telnetd передаёт значение переменной окружения USER напрямую в login(1);
никакой проверки или экранирования не выполняется;
login(1) воспринимает -f root как служебный параметр;
а параметр -f означает вход без проверки пароля.

В итоге сервер автоматически аутентифицирует подключение как root — полностью обходя процесс валидации.

Обычное подключение по telnet не позволяет указать имя пользователя в таком виде. Однако в режиме автологина (-a) имя пользователя берётся не из командной строки, а именно из переменной окружения USER.

Именно здесь и кроется корень проблемы: telnetd доверял содержимому USER без какой-либо валидации. Достаточно было установить переменную окружения в значение -f root, и система сама открывала дверь.

Йозефссон показал рабочий пример атаки на системе Trisquel GNU/Linux 11, где после одной команды пользователь моментально получал root-доступ.

Как выяснилось, уязвимость появилась в коммите от 19 марта 2015 года и попала в релиз GNU InetUtils 1.9.3 от 12 мая того же года. Изначально изменение задумывалось как исправление проблемы с автологином в средах с Kerberos — разработчики добавили передачу имени пользователя через переменную окружения, но забыли проверить её содержимое.

Саймон Йозефссон рекомендует как можно скорее ограничить сетевой доступ к telnet-порту только для доверенных клиентов; установить патч или обновиться до версии GNU InetUtils, в которой уязвимости нет; в идеале — ещё раз задуматься, нужен ли telnet в инфраструктуре вообще.

Напомним, в этом месяце мы сообщали об опасной уязвимости в GNU Wget2, которая позволяет удалённо перезаписывать файлы.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »