Устаревший ключ DNSSEC подверг угрозе корневые сервера

Как сообщает VeriSign, корневые сервера DNS подверглись массовой атаке запросами о данных DNNSEC после того, как был обновлён главный криптографический ключ.

Начиная с октября, когда было произведено обновление, количество запросов к корневым серверам увеличилось в 75 раз — с 15 миллионов в день до 1,15 миллиарда. Наиболее резкий скачок числа запросов был в январе этого года.

Такой рост объема запросов неизвестного происхождения мог угрожать стабильности всего Интернета. Как мы знаем, ICANN долго оттягивала момент обновления ключа из соображений безопасности, но единственным предметом опасений была возможная потеря доступа к сети некоторых групп пользователей. То, что обновление ключа DNNSEC может принести вред самим корневым серверам — не предвидел никто.

Специалист по безопасности Дуэйн Уэсселс смог обнаружить источник проблемы. Им стал старый криптографический ключ, который всё еще присутствовал в корневой зоне, хотя и был отмечен как «аннулированный». Уэсселс сообщил, что присутствие старого ключа спровоцировало непредсказуемое поведение валидирующих резолверов — систем, проверяющих запросы к DNS в соответствии с протоколом DNSSEC.

22 марта старый криптографический ключ DNSSEC был полностью удалён из корневой зоны, после чего объемы трафика пришли в норму.

Сейчас эксперты работают над подробным исследованием причины произошедшего сбоя, чтобы выявить возможные уязвимости протокола DNSSEC.

www.webnames.ru

CA/B Forum уточнил использование атрибутов поля Subject в SSL-сертификатах



На днях CA/B Forum, регулирующий орган индустрии SSL, большинством голосов принял Ballot SC16, призванный уточнить использование атрибутов поля Subject в SSL-сертификатах.

Суть предложения Ballot SC16
В секцию 7.1.4.2 базовых требований (Baseline Requirements) теперь добавляется уточнение: «атрибуты Subject не должны состоять из одних метаданных (нельзя в качестве значения приводить такие символы, как точка, дефис или пробел). Недопустимым является любое указание на то, что значение отсутствует, неполное или не применяется».

Секция 7.1.4.2.2(j.) была дополнена следующим уточнением: «в поле Subject могут присутствовать другие атрибуты. Если они имеются, то они должны содержать информацию, проверенную удостоверяющим центром».

Также Ballot SC16 меняет и правила расширенной проверки «Guidelines For The Issuance And Management Of Extended Validation Certificates».

Секция 9.2.8 теперь содержит следующее уточнение:
В атрибуте OU не должно содержаться название, торговая марка, адрес, расположение или любой другой текст, относящийся к конкретному физическому или юридическому лицу, пока удостоверяющий центр не проверит эту информацию в соответствии с секцией 11. В этом поле не должны быть метаданные, включая точку, дефис или пробел; также нельзя использовать любые другие указания на то, что значение отсутствует, является неполным или неприменимым

Также добавляется секция 9.2.9, гласящая:
Удостоверяющий центр может добавлять только те атрибуты Subject, которые указаны в секции 9.2

Яндекс вводит более активные предупреждения о небезопасности HTTP-сайтов



Предупреждения о небезопасности сайтов, передаваемых по HTTP, появятся в новой версии Яндекс.Браузера, на поиске, а также в других сервисах компании.

Яндекс еще в конце февраля предупредил пользователей о том, что в дальнейшем компания планирует вводить более явные сигналы о небезопасности HTTP-сайтов для посетителей.

Также специалисты Яндекс косвенно намекнули о том, что HTTPS является одним из факторов ранжирования сайтов в поисковой выдаче. Из заметки в блоге Яндекса следует, что при ранжировании учитывается вся информация, указывающая на качество сайта. При этом HTTPS – это признак качественного сайта.

Реализацию предупреждений о HTTP можно уже посмотреть в бета-версии Яндекс.Браузера 19.3.1. Нечто подобное в ближайшее время появится и в поисковой системе Яндекс.

Начиная с конца января 2019, в сервисе Яндекс.Вебмастер также стали появляться уведомления о том, что сайт использует протокол HTTP, и давались рекомендации по переходу на HTTPS.

Многие вебмастера считают, что со временем влияние HTTPS на ранжирование страниц в Яндексе будет только расти.

Если вы до сих пор используете протокол HTTP на своих сайтах, мы настоятельно рекомендуем перейти на HTTPS. Это позволит вам избежать утечки пользователей в результате новых уведомлений Яндекса о небезопасности HTTP-сайтов.

Чтобы перейти на HTTPS, вам необходимо приобрести SSL-сертификат. Для бизнеса мы советуем приобретать EV SSL-сертификаты, которые позволяют вывести наименование организации в адресной строке браузера.
www.leaderssl.ru/suppliers/comodo/products/ev

Владельцам обычных информационных сайтов и блогов подойдет самый простой сертификат Positive SSL.
www.leaderssl.ru/suppliers/comodo/products/positivessl

Приглашаем на 10-й Российский форум по управлению интернетом RIGF 2019



Уже через неделю, 8 апреля 2019 года в Москве пройдет 10-й Российский форум по управлению интернетом RIGF 2019.

В рамках мероприятия российские и зарубежные эксперты расскажут о принципах устройства всемирной сети, перспективах развития интернета на ближайшие годы, поговорят о международной информационной безопасности и защите от киберугроз.

Одна из главных тем RIGF 2019 — 25-летие домена .RU. Этому событию будет посвящена торжественная церемония, а также тематическая секция с докладами о становлении Рунета, его будущем и вкладе в цифровую и мобильную экономику.
Также с лекцией выступит Йован Курбалийя, автор книги «Управление интернетом» — одного из самых популярных изданий по теме Internet Governance, выходящего более десяти лет в разных странах мира.

Организатор Форума: Координационный центр доменов .RU/.РФ.
Поддержка: Министерство цифрового развития, связи и массовых коммуникаций России.
Место проведения: Москва, Лотте Отель, Новинский бул. 8, строение 2.
Участие бесплатное по предварительной регистрации.
rigf2019.ru/reg/

Открываем регистрацию на двухдневный курс «Основы сетевых технологий»



Открываем регистрацию на бесплатный двухдневный курс «Основы сетевых технологий». Он направлен на получение теоретических знаний о принципах работы сетей и их применении на практике.
Основные темы курса:
  • понятие и виды сетей;
  • функции сетевых адаптеров;
  • особенности создания сетевых проектов;
  • принципы сетевого взаимодействия;
  • обзор и эволюция технологии Ethernet;
  • базовые свойства протоколов TCP, UDP и IP.
Мероприятие проходит в конференц-зале Selectel. Оно рассчитано на молодых специалистов из IT-компаний, а также инженеров, интересующихся сетевыми технологиями.


go.selectel.ru/osnovy_setevyh_tekhnologij

Сообщаем, что 4.04.2019 в 8:00 по МСК будут проводиться плановые работы

Уважаемые Абоненты, сообщаем, что 4.04.2019 в 8:00 по МСК будут проводиться плановые работы по переносу кластеров VDS на отдельные VLAN на уровне дата-центра. Целью данных работ является улучшение текущей сетевой инфраструктуры. В результате проведённых работ будет улучшено резервирование и распределение нагрузки.

Умные устройства на производстве — вызов для ИТ-инфраструктуры?

Носимые устройства, или wearables, к которым относятся любимые нами фитнес-браслеты, смарт-часы и умные очки, — неотъемлемые атрибуты современного тренда цифровизации. Сегодня генерируемые ими данные пополняют нашу датасферу ничуть не меньше, чем данные от ПК или дата-центров. И если раньше такие гаджеты считались исключительно продуктами потребительской электроники, сейчас их часто можно увидеть в серьезном деле — на производстве. Да, они способны упростить немало рабочих процессов, но готовы ли ИТ-инфраструктуры компаний к работе с новыми устройствами?

Смарт-очки в цеху
Один из самых популярных носимых гаджетов, который используют промышленные компании, — умные очки. Среди известных брендов — Google Glass, Vaunt от Intel, Spectacles от Snap Inc, Microsoft HoloLens. Сегодня такие устройства нашли свое применение в автомобильной отрасли, логистике, hi-tech компаниях. С помощью смарт-очков отслеживают комплектацию заказов, автоматизируют контроль качества, налаживают логистику доставки и отгрузки товаров и т.д. Один крупный немецкий поставщик промышленных услуг через умные очки даже сумел организовать процесс поддержки клиентов в аварийных ситуациях на производстве. На основании анализа самых популярных случаев поломок сотрудники компании создали полезные видеоролики, в которых показаны меры по устранению часто встречающихся неисправностей. Видео сохраняется на смарт-очках клиента, и в случае форс-мажора человеку объясняется, в какое помещение он должен войти и что сделать. Например, он видит, в каком положении должны находиться клапаны установки; ему отображаются правильные значения настроек на приборах и т.д. То есть это своеобразная удаленная техподдержка на случай, если нужно оперативно решить проблему, не дожидаясь приезда специалистов.

Как это работает?
Данные на цифровые очки отправляются через сервер. В свою очередь сервер получает их через интерфейсы существующих ИТ-систем — таких, как ERP (англ. Enterprise Resource Planning — планирование ресурсов предприятия), WMS (англ. Warehouse Management System — система управления складом) или PMS (англ. Production Management Systems — система управления производством). Затем локально на очках запускается приложение: оно использует полученные данные и генерирует информацию, отображаемую впоследствии сотруднику.

Серверные платформы для работы с носимыми устройствами могут быть самыми разными — выделенные или виртуальные серверы, локальные (on-premise) или облачные (публичные и частные). Доступ к серверам осуществляется через интернет и по умолчанию защищен HTTPS-протоколом с шифрованием RSA с 2048-битным ключом.

В производственной среде для работы киберочков необходимы сети Wi-Fi/WLAN. Вне помещения они могут передавать данные по Bluetooth, соединяясь, например, со смартфоном. Из-за небольшого размера устройства и малой емкости батарей в очках используется антенна с низкой мощностью передатчика. Поэтому в производственном цехе требуется очень хорошее покрытие сети WLAN. Очки работают как на частоте 2,4 ГГц, так и 5 ГГц.

В режиме офлайн информация может храниться в локальной памяти устройства. После повторного подключения данные автоматически передаются на сервер. Размеры внутренней памяти носимого гаджета тоже постепенно увеличиваются. Например, анонсированная вторая версия Google Glass Enterprise Edition будет иметь 32 ГБ локального хранилища.

Безопасность устройства
Многие производители не планировали превращать носимые устройства в мощные инструменты для бизнеса и видели их место исключительно на потребительском рынке. Из-за такого недальновидного подхода сейчас гаджетам не хватает вычислительной мощности и возможностей подключения. Это является препятствием для обеспечения нужного уровня конфиденциальности корпоративных данных.

Кроме того, необходимо учитывать и политику конфиденциальности производителей носимых устройств. Например, для руководителей компаний часто становится неожиданностью тот факт, что данные, хранящиеся на умных гаджетах, принадлежат не им, а… производителю. Тот же, в свою очередь, в любое время может менять свою политику конфиденциальности, не ставя никого в известность.

Советы от ФБР
Безопасность носимых устройств способна стать серьезной угрозой для современного бизнеса. Взломав гаджет, киберпреступники могут использовать его для атаки на другие системы или сети компании, рассылки спам-сообщений, кражи личных данных, DDoS-атак. Чтобы уберечь компании от такого печального опыта, ФБР подготовило несколько важных рекомендация по цифровой безопасности.

Меняйте имена пользователей и пароли, установленные по умолчанию на устройстве.
Изолируйте устройства, используя только собственные защищенные сети.
Настройте брандмауэры, чтобы избежать трафика с неавторизованных IP-адресов.
Выполняйте рекомендации по безопасности от производителя устройства.
Выключайте устройства, когда они не используются.
Регулярно обновляйте патчи безопасности устройства.
Используйте безопасный маршрутизатор с соответствующими методами безопасности и аутентификации.
Популярность носимых устройств стремительно растет, поэтому важно, чтобы компании рассматривали вопрос безопасности внедряемых решений более основательно и заранее, чтобы избежать неприятных последствий.

Заключение
Носимые вычислительные устройства, такие как смарт-очки, облегчают работу на производстве, делая жизнь бизнеса проще и гибче. Однако они также требуют тщательного планирования серверов и покрытия Wi-Fi, в некоторых случаях — надежной интеграции с существующими информационными технологиями. А применяемые решения по безопасности необходимо проверить на соответствие новым реалиям, и если нужно — пересмотреть свою политику ИБ в целом.

Любовь и ненависть программистов: базы данных, платформы, фреймворки

Цифровизация стремительно завоевывает все сферы жизни. Новые удобные сервисы, приложения, облегчающие жизнь, инструменты, о которых только могли мечтали, — все это уже воспринимается как должное. Однако запуская очередную программу, вы вряд ли увидите списки людей, работавших над ней (конечно, Adobe Photoshop не в счет), или финальные титры с именами участников проекта, как на телевидении. А ведь без программистов все высокие технологии, которые мы имеем сегодня, так и остались бы мечтами о лучшем будущем.

Сегодня в инфографике мы приоткрываем завесу над внутренней кухней разработчиков и рассказываем об их предпочтениях.

Об опросе
В опросе Stack Overflow, одного из самых известных и горячо любимых программистами ресурсов, приняли участие более 100 000 пользователей из 183 стран. Большая часть из них (39 001 человек) — европейцы. Конечно, в анкете фигурировало множество вопросов, но мы выбрали три самых наболевших — о базах данных, платформах и библиотеках. Результаты оказались очень интересными, и поскольку в исследовании принимало участие огромное количество людей, их можно считать объективными

SQL или NoSQL?
Наиболее часто программисты работают с СУБД MySQL и SQL Server, причем MySQL использует больше половины респондентов (58,7%). В прошлом году ситуация выглядела аналогично, поэтому можно предположить, что реляционные базы данных и соответствующие системы управления сохранят популярность надолго.

Как выяснилось, 41,2% рынка СУБД приходится на SQL Server. Вряд ли это вызовет большое удивление, так как ее вместе с Windows Server продвигает Microsoft. Эксперты подчеркивают, что SQL Server также может привлечь новых клиентов благодаря возможности работать с технологиями искусственного интеллекта.

В последние несколько лет большим спросом разработчиков стала пользоваться система управления базами данных с открытым исходным кодом PostgreSQL. Ее популярность набирает обороты с 2014 года, многие называет ее закономерной заменой Oracle. В списке самых популярных СУБД от Stack Overflow PostgreSQL занимает третью позицию с достойным показателем в 32,9%.

Отметим, что в целом реляционные базы данных все еще более распространены, чем базы данных NoSQL. Однако новые технологии начинают отвоевывать свою долю на рынке и с каждым годом укрепляют свои позиции. Например, MongoDB — документоориентированная система управления базами данных класса NoSQL — является самой желанной СУБД (в контексте исследования Stack Overflow «желанный» означает, что если разработчики эту технологию еще не используют, то хотели бы научиться с ней работать — прим. ред.). За нее отдали свой голос 18,6% специалистов. Самой любимой СУБД (в контексте исследования Stack Overflow «любимый» означает, что пропорционально больше разработчиков хотели бы продолжать работать именно с этой технологией, а не какой-либо другой — прим. ред.) участники назвали Redis (от англ.— remote dictionary server). Эта опенсорсная СУБД, которая тоже относится к категории NoSQL, работает со структурами данных, имеющими тип «ключ — значение». Redis любят больше половины участников опроса — 64,5%.

В тоже время самой «страшной» и раздражающей считается Db2 от компании IBM — по крайней мере, такой ее назвали 78,2% разработчиков.

Linux в лидерах
Чаще всего программисты используют платформы Linux и Windows Desktop/Server. Linux также является самой желанной платформой разработки для 76,5% пользователей. Многим нравится, что это система с открытым исходным кодом и в ней можно использовать набор мелких простых инструментов, которые легко комбинируются друг с другом для более эффективной работы.

Интересно, что многие разработчики хотели бы начать писать проекты под Android и Raspberry Pi. Также растет популярность бессерверных вычислений.

Самой раздражающей платформой для разработки стала SharePoint (71,8%), которая вот уже второй год не меняет своего места в рейтинге. На втором и третьем местах расположились, соответственно, Drupal (70,4%) и Salesforce (69,7%).

Все любят TensorFlow
В категории самых популярных библиотек, фреймворков и инструментов лидируют Node.js, AngularJS, React и .NET Core. Самой любимой библиотекой 73,5% пользователей назвали TensorFlow от компании Google. Этот тренд может быть связан с растущей популярностью машинного обучения и необходимостью выполнения высокопроизводительных вычислений, например, для обработки большого количества данных в режиме реального времени.

В свою очередь, разработчики оказались не в восторге от мобильной среды разработки Cordova (59,6%) и Xamarin (51%).

Заключение
Опрос Stack Overflow является масштабным исследованием предпочтений программистов со всего мира. Наверняка некоторые результаты удивили админов, работающих в ИТ-компаниях. Однако эти данные могут им помочь лучше приспособить свою ИТ-инфраструктуру под требования разработчиков и самого проекта.

«Старые новые» vs «новые новые»: в какие технологии вкладывают больше?

Еще десять лет назад будучи «новыми», телеком- и информационные технологии сегодня называются не иначе, как «традиционные». К ним, например, причисляют облачные вычисления, социальные и аналитические платформы, мобильную связь. А вот современными «новыми» окрестили ноу-хау в области робототехники, дополненной и виртуальной реальности, интернета вещей и, естественно, любые разработки в сфере искусственного интеллекта. В течение следующих 5-10 лет они, по прогнозам, будут представлять значительный и уверенно растущий сегмент в совокупных расходах на технологии во всем мире.

4 к 1: рост продолжается
IDC прогнозирует, что в 2019 году на традиционные ИТ и телеком в мире потратят больше 4 млрд долларов. На новейшие технологии выделят ощутимо меньше — 962 млн долларов. Однако через год сумма инвестиций в старые добрые ИТ достигнет 4,3 млрд, а в ноу-хау вложат 1,1 млрд долларов. Рост в обеих категориях будет наблюдаться до 2022 года и, скорее всего, продолжится и после этого.

Эксперты считают, что рост в традиционном сегменте в первую очередь обусловлен вложениями в четыре основных группы технологий: облачные, мобильные, социальные и аналитические (включая big data). Отметим, что именно использование «старых новых» технологий, например — облачных вычислений, позволило компаниям автоматизировать множество процессов и достигнуть заметной экономии. Это способствовало тому, что организации стали выделять больше средств на современные ноу-хау.

Бум для всех
Бум новейших технологий обязан своим стремительным развитием индустрии интернета вещей. Связанные с ней решения активно используются в промышленности и в транспортной сфере, особенно в государствах со зрелой экономикой. В свою очередь развивающимся странам для внедрения новейших технологий требуется больше усилий. Причиной тому, например, может стать устаревшая ИТ-инфраструктура, которая не обеспечивает достаточной вычислительной мощности для развертывания решений на основе искусственного интеллекта. Важную роль играет и законодательство отдельно взятой страны, и если оно по какой-либо причине ограничивает свободу действий игроков технологического рынка (как, например, может быть в случае с построением мультиоблака), скорость внедрения инноваций также снижается.

Однако, по мнению IDC, многие компании на развивающих рынках, решили сосредоточить усилия на быстром внедрении новых технологий, ожидая такую же быструю окупаемость инвестиций.

В целом же затраты на технологические новинки в 2019 году во всем мире увеличатся на 16%. Как, собственно, это и произошло в 2018 году.

Традиционные ИТ — основа цифровизации
Рост вложений в традиционные технологии не так впечатляет, но так же остается стабильным и в 2018-м, и в 2019-м — на уровне 3%. Эксперты подчеркивают, что в этом сегменте многое будет зависеть от мобильных и облачных технологий. Именно на них приходится стабильная доля совокупных расходов бизнеса и потребителей. Для компаний «старые новые» технологии являются основой цифровых стратегий. Без них продолжать цифровизацию бизнеса невозможно. Традиционное ПО также вносит огромный вклад в повышение производительности труда. Да и благодаря инвестициям в облачные платформы у компаний появилась возможность быстро разворачивать новые программные инструменты и продукты.

Цифровая трансформация бизнеса обеспечит значительную долю роста сегмента «старых новых» технологий в ближайшие 5-10 лет.

Естественная связь
Традиционные и современные ноу-хау неразрывно связаны между собой. Облачные и мобильные технологии обеспечивают быстрое внедрение решений и высокую коннективность. Они помогают сократить затраты и упростить рабочие процессы, помогая бизнесу сконцентрировать усилия на цифровых инновациях. И несмотря на то, что основное внимание уделяется развитию новых категорий и тем возможностям, которые они могут дать бизнесу, связь между традиционными телекоммуникационными/информационными и новейшими технологиями усиливается. Растущая доля расходов на серверы и хранилища обусловлена увеличением количества нагрузок, связанных с внедрением интернета вещей, виртуальной и дополненной реальностью. В свою очередь традиционные приложения и решения системной инфраструктуры остаются в выигрыше от использования новых технологий (например, машинного обучения), так как те помогают оптимизировать работу, снижать расходы и получать конкурентные преимущества.

Заключение
Таким образом, говорить о том, на чьей стороне будущее — «старых новых»» или «новых новых» технологий, — не приходится. Это взаимовыгодный симбиоз, который продлится по крайней мере еще 5-10 лет. А вот что будет потом, пока сказать сложно.