Security Advisory



Было обнаружено несколько проблем безопасности, затрагивающих версии Blesta с 5.0.0 по 5.9.1. Нет никаких оснований полагать, что эти уязвимости общеизвестны или используются, но вам следует принять меры прямо сейчас.

Уязвимость обхода пути может привести к компрометации учетной записи и RCE (удаленному выполнению кода) через цепочку уязвимостей. Мы рекомендуем как можно скорее применить соответствующий патч для вашей версии или выполнить обновление до версии 5.9.2. Учитывая комплексный характер этих уязвимостей, мы присваиваем им критический рейтинг воздействия.

Более подробную информацию о том, как мы оцениваем уязвимости, можно найти на нашей странице рекомендаций по безопасности.
www.blesta.com/2024/02/08/security-advisory/

Топ-5 менеджеров паролей



Ни для кого не секрет, что у каждого из нас множество аккаунтов на разных сайтах, для доступа к которым нужен пароль. Использовать везде одинаковый пароль в таком случае удобно, но небезопасно, а постоянно помнить десятки разных комбинаций под силу далеко не всем. Упростить эту задачу помогают специальные программы для хранения паролей и логинов в защищенной базе данных и безопасной авторизации – менеджеры паролей.

О них и поговорим.

Первый менеджер паролей появился в далеком 1997 г. Это была утилита для Windows 95 с примитивным интерфейсом и базой данных в виде файла. Тогда не существовало многофакторной аутентификации и возможности делиться данными с коллегами, были лишь категории, горячие клавиши и простейший автогенератор.

За последние 25 с лишним лет программы для безопасного хранения паролей эволюционировали – сейчас это полноценные кроссплатформенные приложения с продвинутым интерфейсом и разными полезными фичами. Современные менеджеры паролей удобны, могут использоваться в качестве отдельных приложений, браузерных расширений, а некоторые из них даже можно развернуть на собственном VPS-сервере. Благодаря парольным менеджерам нет необходимости держать в голове разные сведения для входа, достаточно запомнить лишь один мастер-пароль, который зашифровывает всю базу данных.

Сегодня существует множество менеджеров паролей, остановимся на пяти самых популярных из них.



Технически KeePass – это обыкновенный файл, который шифруется с помощью мастер-ключа.

Среди полезных функций KeePass – настраиваемый генератор паролей и оценка надежности комбинации. Программа позволяет группировать и искать записи, а также импортировать их в виде RTF- и TXT-файлов.

KeePass работает автономно, подключение к интернету необходимо лишь для проверки обновлений. Файлы базы данных шифруются с использованием алгоритмов AES-256, ChaCha20 и Twofish. При открытии файла базы данных программа загружает весь файл в зашифрованном виде в память процесса и расшифровывает его там.

Программа бесплатна, загрузить последнюю на данный момент версию 2.55 можно на официальном сайте.

Системные требования:
Windows 11 (64-bit)
Windows 10 / 8.1 / 8 / 7 (32-bit и 64-bit)



Эта кроссплатформенная программа позволяет хранить пароли, данные банковских карт, лицензии на ПО и прочую конфиденциальную информацию в защищенном виртуальном хранилище, заблокированном с использованием стандарта PBKDF2.

Также 1Password дает возможность генерировать и автоматически заполнять пароли для всех аккаунтов на любых устройствах. Благодаря функции синхронизации доступ к информации можно получить с разных устройств. Все данные при этом шифруются алгоритмом AES 256 GCM.

1Password является платным, подобрать подходящий тарифный план можно на официальной странице.

Системные требования:
Windows 11 64-bit или Windows 10 64-bit
macOS Catalina 10.15 или новее
Linux: Ubuntu, Debian, Linux Mint, Fedora, CentOS, RHEL, openSUSE, Arch Linux и другие
iOS 15.5 и новее
iOS 12.2 и новее
Android 9.0 и выше
Android 5.0 и выше
Google Chrome



Среди экспертов по кибербезопасности бытует мнение, что самое безопасное для хранения паролей решение – это развернуть менеджер на своем виртуальном сервере. Ведь в таком случае все данные хранятся на собственном сервере и при этом есть полный контроль над установкой и обновлением менеджера паролей, что позволяет настроить его под свои нужды.

Bitwarden – это менеджер паролей и других важных данных, который позволяет безопасно хранить данные для авторизации, данные о банковских картах, заметки и прочую информацию. Bitwarden использует сквозное шифрование, может генерировать пароли и проверять их надежность, поддерживает безопасную отправку файлов и синхронизацию данных между разными устройствами.

Использовать хранящиеся в Bitwarden данные можно не только через веб-интерфейс, но и с помощью клиентов для всех популярных платформ и расширений для большинства браузеров. А благодаря расширениям в веб-браузере и мобильным приложениям данные из Bitwarden можно использовать для автоматического заполнения форм авторизации, регистрации и оплаты карт, что довольно удобно.

Именно поэтому мы, восхитившись потенциалом Bitwarden, решили добавить его в наш маркетплейс готовых решений, чтобы все могли по достоинству оценить возможности этого менеджера паролей, – и теперь, чтобы получить настроенный облачный менеджер для безопасного хранения паролей и других ваших данных, вы можете развернуть VPS с Bitwarden буквально в пару кликов.

Системные требования:
Windows 7, 8, 10, 11 (x86 и x64)
Linux (x64)
OS X 10.9.0 и выше
Android 5.0 и выше
iOS 10.0 и выше
Google Chrome
Mozilla Firefox
Opera
Microsoft Edge
Safari
Vivaldi
Brave
Tor Browser



Программа позволяет генерировать пароли, хранить их в едином пространстве и распределять по категориям. При шифровании паролей используется алгоритм AES-256.

LastPass – самый популярный менеджер паролей в мире, с долей рынка 23,3 % и, возможно, именно поэтому он чаще других подвергается хакерским атакам.

Существует две версии LastPass: в версии для персонального использования предусмотрено хранилище заметок, данных банковских карт, адресов, контактов, фото и других документов, а в корпоративной версии есть панель администратора, в которой можно создавать общие пароли и настраивать доступ отдельным сотрудникам.

Базовая версия LastPass с одной учетной записью пользователя и доступом на одном устройстве предоставляется бесплатно.

Системные требования:
Windows 7 / 8.1 / 10 / 11
Mac OS X 10.7+
Linux
Internet Explorer 11+
Firefox (2 последние версии)
Safari (2 последние версии)
Google Chrome (2 последние версии)
Opera (2 последние версии)
Microsoft Edge (2 последние версии)
Maxthon (2 последние версии)
iPhone и IPad с iOS 14+
Blackberry OS 4.2.1+
Android 5.0+
Windows Phone
Dolphin Browser



Kaspersky Password Manager позволяет хранить пароли, личные записи, фотографии и другие документы, а также синхронизировать данные на компьютерах и мобильных устройствах. Шифрование данных происходит с помощью симметричного алгоритма на базе AES-стандарта.

Среди ключевых особенностей Kaspersky Password Manager – встроенный генератор сложных паролей, поддержка криптографического хеширования SHA-256, возможность отключить автосохранение и автозаполнение на определенных сайтах.

Kaspersky Password Manager платный, подобрать подходящий тарифный план можно на официальном сайте.

Системные требования:
Microsoft Edge на базе Chromium (версия 106 или выше)
Firefox (последняя версия)
Google Chrome (версия 106 или выше)
Яндекс.Браузер (последняя версия)
Vivaldi (версия 6.0 или выше)
Brave (версия 1.44 или выше)
Comodo Dragon (версия 106.0 или выше)
Opera (версия 98.0 или выше)
Opera GX (версия 95.0 или выше)
Safari 15.6 или более поздняя версия
macOS 10.13 и выше, 64-bit
Android 5.0 и выше
iOS 13.0 или более поздняя версия

Заключение

В 2023 году самым популярным в мире стал пароль “123456”. Аккаунт с таким паролем можно взломать менее чем за одну секунду. Сегодня, когда слабые пароли стали основной причиной нарушений онлайн-безопасности, использование менеджера паролей является одним из самых простых способов защитить себя, свою семью и бизнес.

С менеджером паролей не нужно запоминать множество комбинаций, программа всё сделает за вас и при этом ваши пароли точно будут сложными и уникальными. Кроме того, помимо хранения информации, менеджеры паролей могут иметь и другие полезные в наше время функции – например, синхронизацию на всех устройствах, автозаполнение учетных данных и т. д.

На этом всё, выбирайте удобный менеджер паролей – и пусть ваши данные всегда будут в безопасности/

Если у вас возникли какие-либо вопросы, свяжитесь с нами удобным для вас способом – и мы обязательно ответим, а обсудить возможности менеджеров паролей с коллегами по цеху и сотрудниками Бегета можно в нашем уютном сообществе в Telegram.
t.me/beget_chat

Внутри — повод расширить ваш парк серверов



С 7 февраля по 5 марта все гибкие конфигурации на базе процессоров Intel Xeon E3 можно заказать со скидкой 30%.

В акции участвуют серверы с четырёхъядерными процессорами
Intel Xeon:
  • E3-1230v6 3.5-3.9ГГц
  • E3-1240v6 3.7-4.1ГГц
  • E3-1270v6 3.8-4.2ГГц
Например, конфигурация на базе Intel Xeon E3-1230v6 (4 ядра, 3.5-3.9ГГц, 16 Гб RAM и 2х240 Гб SSD) будет стоить 4 655 ₽ в месяц вместо 6 650 ₽.

Скидка применится на выбранный период заказа сервера — 1, 3, 6 или 12 месяцев при единовременной оплате. При заказе от 3 месяцев добавится скидка за период.

Заказать и оплатить сервер по акции можно до 5 марта 2024 года. Количество процессоров ограничено.
https://firstdedic.ru

Аттестация объектов информатизации в облаке Cloud4Y

13 февраля в 15.00 состоится вебинар по информационной безопасности на тему «Аттестация объектов информатизации в облаке Cloud4Y». Вы узнаете, что такое аттестация объектов информатизации, почему важно её пройти и как аттестацию проводит облачный провайдер Cloud4Y.



Подключайтесь! Участие бесплатное.

ИБ-специалист Cloud4Y Иван Шилов расскажет, на что стоит обращать внимание при выборе органа по аттестации, как проходит аттестация, затронет тему оценки эффективности мер по защите персональных данных.

Темы вебинара
  • Что такое аттестация объекта информатизации, зачем она нужна, кто проводит;
  • Что входит в состав работ по аттестации;
  • Что входит в оценку защищенности информационных систем;
  • Какие работы выполняют специалисты Cloud4Y, для кого и в каких случаях;
  • Ваши вопросы.

Кому полезен вебинар
  • Руководителям и сотрудникам структурных ИБ-подразделений;
  • Руководителям компаний;
  • Техническим специалистам, ответственным за защиту персональных данных;
  • Всем, кто интересуется темой аттестации объектов информатизации.

Регистрация на бесплатный вебинар.
www.cloud4y.ru/webinars/vebinar-attestatsiya-obektov-informatizatsii-v-oblake/

Спринтхост — Итоги января



Сейл серверов. В Спринтхост появились свободные выделенные серверы, да еще и со скидкой до 60%. Если ваш проект стремительно развивается и скоро потребует еще больших ресурсов, заказывайте собственный сервер по суперцене dedic.sprinthost.ru

SSD-боксы снова в деле. VDS на SSD-дисках вернулись в Спринтбокс — можно создавать боксы не только на NVMe! Скорость чтения и записи у SSD будет чуть ниже, как и стоимость в месяц. Создавайте новые боксы в Панели управления cp.sprintbox.ru/customer/boxes/list

HTML-разметка в Спринтсайте. Да-да, ее можно использовать в Спринтсайте. Экспериментируйте со шрифтами, создавайте списки и добавляйте ссылки в текст. Если вы еще не пробовали, вперед! cp.sprinthost.ru/customer/sprintsite/index

Сводка по DDoS. В январе на нашу площадку было совершено 20 атак типа HTTP‑флуд, 6 — UDP‑флуд, 15 — TCP‑флуд и 27 смешанных атак. Пиковый объем — 6,5 Гбит/с. Защита от DDoS справилась с ними cp.sprinthost.ru/customer/ddos/index

Мы в реестре провайдеров. Это небольшое, но важное событие. Мы продолжим предоставлять наши услуги качественно и законно, будьте уверены. Спасибо, что вы с нами!

GlobalSign переходит на новые корневые сертификаты Alpha SSL

На днях удостоверяющий центр GlobalSign объявил о переходе на новую иерархию корневых сертификатов Alpha SSL – с R1 на R6. Сделано это с целью соответствия обновленной политике корневого хранилища Mozilla и базовым требованиям CA/B Forum.

С 29 января 2024 года все процедуры перевыпуска или продления сертификатов будут автоматически осуществляться уже через новый выпускающий R6 CA, именуемый GlobalSign GCC R6 AlphaSSL CA 2023.

С этой даты все выпущенные сертификаты (включая продленные) потребуют установки нового промежуточного сертификата.

Нужно ли мне прямо сейчас совершать какие-либо действия, если у меня есть активный сертификат GlobalSign?

Нет. Сертификаты, выпущенные R1 CA, будут функционировать в течение всего срока действия (их перевыпуск не требуется). Если же Ваш сертификат был перевыпущен по какой-либо другой причине, установить его необходимо будет уже вместе с новым промежуточным сертификатом.

Что от меня требуется, если я в настоящее время занимаюсь покупкой сертификата GlobalSign (или продлеваю сертификат, у которого заканчивается срок действия)?

Если новый сертификат будет выпущен после 29 января 2024 года, то установить Ваш сертификат необходимо будет уже вместе с новым промежуточным сертификатом.

Anydesk - смените пароли!



Уважаемые клиенты, в связи с новостями securitylab о кибератаке на Anydesk, повлекшуюутечку исходных кодов — настоятельно рекомендуем вам сменить пароли для доступа, которыебыли использованы в этой программе, а так же по рекомендации Anydesk — обновитьпрограмму до версии 8.0.8.
www.securitylab.ru/news/545794.php

Настоятельно рекомендуем не оставлять незаблокированным рабочий стол, приотключении сеанса удалённого доступа через Anydesk.

Прокачайте Ваш VDS - добавьте дополнительные ядра и оперативную память



Больше мощности, больше гибкости — больше возможностей.
Наши VDS уже предлагают высокую производительность и надежность, но мы понимаем, что некоторым проектам требуется больше ресурсов или индивидуальные тарифные планы. Теперь вы не будете ограничены стандартными тарифными планами и сможете настроить сервер с учетом ваших требований добавив туда столько ядер процессора или гигабайт оперативной памяти, сколько необходимо именно вашему проекту.

Как это работает?
Заказать дополнительные ядра CPU и оперативную память проще простого:
  • Войдите в свой личный кабинет.
  • Выберите необходимый VDS и нажмите «Управление сервером».
  • Перейдите во вкладу Дополнения и просто укажите необходимое количество ядер и оперативной памяти.

Спустя непродолжительное время конфигурация VDS будет изменена автоматически. Вам останется лишь следовать инструкциям и перезагрузить сервер из личного кабинета.

Ваш успех — наша цель!
friendhosting.net/ru/vps.php

С уважением,
Friendhosting LTD

Подтверждение аккаунта



Как вы уже, наверное, слышали, в России вступил в силу закон № 406-ФЗ, регулирующий деятельность хостинг-провайдеров. Наша компания, как и все российские хостеры, попадает под его действие и входит в реестр провайдеров хостинга (№189).

Одним из правил работы хостинг-провайдеров является идентификация клиентов согласно Постановлению Правительства РФ от 29.11.2023 N 2011 «Об утверждении Правил прохождения идентификации…». В связи с этим вам необходимо подтвердить аккаунт любым из предложенных способов:
  1. по sms на любой российский номер +79ххyyyyyyy Настройки аккаунта -> Уведомления -> …подтвердить аккаунт по SMS (к сожалению, номера других стран не подходят для идентификации);
  2. или совершить платёж на любую сумму через
  • систему быстрых платежей (СБП);
  • безналичным переводом рублей через банк;
  • российской картой (не подходят карты Киви/Озон/Юмани/Яндекс, подходят карты Сбербанк, Тинькофф, Альфа-Банк и других российских банков, а также белорусские карты Белкарт/Мир).