Метка: уязвимости

Минцифры РФ планирует в этом году запустить программы поиска уязвимостей за вознаграждение bug bounty для 20 информационных систем, сообщил заместитель директора департамента обеспечения кибербезопасности Минцифры Евгений Хасин на проходящей в Туле Межрегиональной конференции по информбезопасности «Инфофорум-Центр», пишет RSpectr.com в среду. По словам представителя министерства, эффективность такой практики доказана. В начале 2023 года Минцифры уже опробовала программу bug bounty на едином портале госуслуг. Общая сумма выплат белым хакерам за найденные уязвимости составила около двух миллионов рублей. «Работы проводились Минцифры вместе с Ростелекомом. Платформа bug bounty для госуслуг предоставлялась компаниями Positive Technologies и BI.ZONE», – отметил Хасин. Как ранее сообщало Минцифры, у ... Подробнее

Microsoft провела расследование инцидента со взломом своей облачной почты, в результате которого пострадали в том числе федеральные агентства США, и заявила, что взлом стал возможен в результате «серии внутренних ошибок», пишет The Verge. Напомним, в первой половине июля корпорация сообщила, что китайские хакеры взломали сервис Microsoft 365, чтобы похитить данные госслужащих. Хакерская группировка Storm-0558 получила доступ примерно к 25 организациям, включая американские министерства и ведомства. Инцидент произошел в июне; устранение последствий атаки целиком возложили на Microsoft. Согласно результатам расследования, группировка получила доступ к электронной почте, завладев «ключом к аккаунту клиента Microsoft» (Microsoft account consumer key), что позволило создать токены доступа ... Подробнее

Positive Technologies представила результаты анализа пилотных проектов по внедрению MaxPatrol VM, проведенных в государственных учреждениях, финансовых организациях, промышленных и других компаниях с начала 2022 года по февраль 2023 года. Были исследованы результаты 30 пилотных проектов MaxPatrol VM. В выборку вошли проекты, в которых объем работ и состав пилотной зоны позволили получить объективные данные о процессах управления уязвимостями. В среднем в рамках одного проекта было проанализировано около 1500 активов. Отраслевое распределение участников пилотных проектов. В ходе исследования на одном пилотном проекте в среднем было выявлено более 700 трендовых уязвимостей (опасные уязвимости, которые активно используются в атаках или с высокой степенью вероятности ... Подробнее

Сотни подключённых к Интернету устройств, используемых в федеральных информационных сетях США, остаются уязвимы перед критическими киберугрозами, несмотря на требование властей изъять данные устройства из сетей, сообщил в четверг FCW со ссылкой на результаты исследования ИБ-компании Censys. Сотрудники Censys обнаружили более 13 тысяч хостов — от роутеров и межсетевых экранов, конфигурации которых находятся в открытом доступе, до виртуальных частных сетей с уязвимостями в области удалённого доступа — в «более чем 100 автономных системах, связанных с более чем 50 гражданскими органами исполнительной власти и подведомственными организациями». Как отмечает издание, ранее в июне Агентство по кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure ... Подробнее

Российская платформа Bug Bounty — Standoff 365 — запустила в среду собственную публичную программу для поиска уязвимостей, которая будет доступна для всех исследователей, а вознаграждение за наиболее опасные уязвимости составит 1 миллион рублей, сообщает платформа. В IV квартале 2022 года количество атак хакеров на IT-компании увеличилось на 18%. Сфера IT вплотную приблизилась к тройке лидеров в списке самых атакуемых отраслей. Злоумышленникам интересны IT-компании, поскольку их компрометация открывает путь для дальнейших атак на их клиентов — пользователей продуктов и сервисов. В рамках Bug Bounty-программы Standoff 365 исследователям будут доступны все поддомены сайта платформы — standoff365.com, включая домены авторизации (auth.standoff365.com), Bug Bounty ... Подробнее

Минцифры запустило проект по поиску уязвимости (bug bounty) единого портала госуслуг (ЕПГУ) и других ресурсов электронного правительства; тестирование доступно на платформах Bi.zone и Positive Technologies, сообщает министерство в пятницу. Программа пройдёт в несколько этапов. На первом независимые исследователи проверят ЕПГУ и единую систему идентификации и аутентификации (ЕСИА). На следующих этапах список ресурсов будет расширен, а условия — обновлены. За успешную работу «охотники за уязвимостями» могут получить до миллиона рублей. Программу спонсирует «Ростелеком». Вознаграждение зависит от степени уязвимости: низкая — подарки с символикой проекта; средняя — до 50 тысяч рублей; высокая — от 50 до 200 тысяч рублей; критическая — до ... Подробнее

Согласно новому опросу Positive Technologies среди экспертов по ИБ, с февраля 2022 года 74% специалистов изменили свой подход к обновлению программного обеспечения: четверть опрошенных решили приостановить установку обновлений, а еще четверть увеличили сроки тестирования ПО. В опросе участвовали специалисты по ИБ из IT-компаний (21%), госсектора (18%), кредитно-финансовых организаций (13%), промышленности (10%) и ТЭК (10%), ретейла (9%) и других отраслей экономики (19%). Размер компаний, участвовавших в опросе. Как показал опрос, компаниям пришлось пересмотреть выстроенный процесс обновления ПО. Лишь 11% участников исследования не внесли изменения в свой регламент. Радикально к вопросу закрытия уязвимостей подошли 26% опрошенных: они отключили обновления на всех узлах. ... Подробнее

От федеральных агентств США в скором времени потребуют регулярно проверять информационные сети и «цифровые активы» на наличие потенциальных уязвимостей, сообщил в понедельник FCW со ссылкой на Агентство по кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA). Инициатива призвана повысить возможности CISA отслеживать угрозы для информационных сетей федеральных ведомств. Так, с апреля 2023 все гражданские органы исполнительной власти должны будут проводить «еженедельную автоматизированную проверку активов и каждые 14 дней инициировать составление списка уязвимостей». От агентств также потребуют направлять в CISA по специальной форме – с помощью специального онлайн-сервиса – результаты проверок на уязвимости каждые 72 часа. По словам ... Подробнее

В честь десятилетия конкурса «Охота за ошибками» (программа bug bounty) «Яндекс» на месяц в десять раз увеличил вознаграждение «белым хакерам» за найденные уязвимости в его сервисах. См. также: «Яндекс» с помощью новой нейросети усовершенствовал поиск для запросов о программировании – СМИ >>> С 20 сентября по 19 октября включительно «приз» может составить до 7,5 миллиона рублей за одну найденную уязвимость. Размер вознаграждения зависит от выбранного направления и критичности обнаруженной ошибки. Направления четыре: «Инфраструктура, веб-сервисы, мобильные приложения «Яндекса»; «АнтиСпам»; «Умные устройства с Алисой»; «Яндекс Браузер». Поиск «Яндекса» деградирует, и дело не в уязвимостях Не будучи хакерами, можем тем не менее указать ... Подробнее

В российской компании Positive Technologies проанализировали все известные 39 семейств буткитов (вредоносный код, который запускается до загрузки операционной системы) и пришли к выводу, что госучреждения и промышленность России наиболее уязвимы для такого вредоносного кода, сообщила компания. Основная задача буткита — помочь другому вредоносному программному обеспечению закрепиться в операционной системе до её запуска. Поскольку большинство систем защиты, например, антивирусных программ, запускается одновременно с ОС, вероятность обнаружения буткита уменьшается. «Ещё недавно была распространена точка зрения, что буткиты, внедряемые на стадии запуска низкоуровневого ПО BIOS или UEFI, практически не встречаются в реальных атаках, однако это миф. Из 39 проанализированных семейств буткитов как минимум ... Подробнее

Множественные уязвимости в контроллерах Mitsubishi обнаружила Positive Technologies, чтобы минимизировать риск эксплуатации найденных уязвимостей, Mitsubishi рекомендует использовать шифрование и межсетевые экраны, сообщает в четверг Positive Technologies. Контроллеры линейки FX применяются для автоматизации инженерных систем зданий, в деревообработке, типографиях, пищевой и легкой промышленности, водном хозяйстве, судоходстве и в других сферах. Mitsubishi занимает третье место в мире на рынке промышленных контроллеров, выпустив свыше 17 миллионов компактных программируемых логических контроллеров (ПЛК). Подразделение промышленной автоматизации Mitsubishi присутствует на российском рынке более 20 лет. Проблемы найдены в моноблочных компактных контроллерах FX5U серии MELSEC iQ-F из линейки MELSEX FX. Уязвимости обнаружили эксперты Positive Technologies Антон Дорфман, ... Подробнее

Нейронные сети применяются в различных областях: компьютерное зрение, обработка естественного языка (включая перевод с языка на язык), распознавание речи. При распознавании изображений свёрточные нейронные сети (CNN) могут классифицировать различные неизвестные изображения. При обработке естественного языка рекуррентные нейронные сети (RNN) или сети долговременной памяти (LSTM) помогают переводить и обобщать текстовую информацию. При этом сами нейронные сети и необходимое для их использования т.н. «глубокое обучение» имеют ряд принципиальных уязвимостей, которые могут приводить к серьёзным последствиям. Незначительные намеренные изменения в исходных данных или в работе сети порождают неверное распознавание, утечку конфиденциальной информации или замедление работы ИИ-систем. Эти атаки могут принимать различные формы и ... Подробнее

Уязвимости в решениях для резервного копирования Veeam, опасные для дата-центров и Windows-систем, устранены благодаря Positive Technologies; среди возможных последствий атак — запуск программ-шифровальщиков, кража данных, отказ в обслуживании, сообщает компания в среду. Уязвимости обнаружил эксперт Positive Technologies Никита Петров. Две из них касаются Veeam Backup & Replication, популярной системы резервного копирования, которая позволяет автоматизировать процессы создания бэкапа и аварийного восстановления. Еще одна уязвимость выявлена в Veeam Agent for Microsoft Windows — ПО для резервного копирования данных Windows. Решения Veeam, по данным разработчика, используют порядка 400 тыс. клиентов из разных стран, включая 83% компаний из списка Fortune Global 500 и 69% ... Подробнее

Представители бельгийского министерства обороны заявили о фиксации кибератаки на информационные сети ведомства, которая была проведена с использованием уязвимости Log4j, сообщил в понедельник ZDNet. Ранее ИБ-специалисты сообщили об обнаружении в библиотеке Apache Log4j уязвимости с максимально высоким уровнем опасности. Данная библиотека широко используется разработчиками Java-приложений. Как уточнили в министерстве, атаку обнаружили в минувший четверг. Злоумышленникам удалось получить доступ к одному из ведомственных компьютеров, подключённых к Интернету, после бельгийское минобороны предприняло «карантинные меры». О подробностях не сообщается. Напомним, на прошлой неделе в связи с обнаружением уязвимости Log4j министерство внутренней безопасности США (Department of Homeland Security, DHS) объявило о запуске программы, предусматривающей выплату ... Подробнее

Министерство внутренней безопасности США (Department of Homeland Security, DHS) объявило о запуске программы, предусматривающей выплату вознаграждения хакерам за выявление уязвимостей в компьютерных сетях DHS, сообщает во вторник FCW. Издание отметило, что об инициативе объявлено после сообщений об обнаружении в библиотеке Apache Log4j уязвимости с максимально высоким уровнем опасности. Данная библиотека используется миллионами Java-приложений. Программа министерства названа «Hack DHS» (что можно перевести как «Хакни DHS»). Обнаружившие уязвимости специалисты получат вознаграждение от 500 долларов до 5 тысяч долларов в зависимости от опасности потенциальной угрозы выявленной проблемы. Как заявили в субботу в Агентстве по кибербезопасности и безопасности инфраструктуры США (US Cybersecurity and Infrastructure ... Подробнее

Новое коалиционное правительство Германии решило отказаться от покупки эксплойтов – вредоносных программ, для пользования уязвимостями нулевого дня в программных продуктах, сообщил в среду The Record. Кроме того, члены коалиции договорились ограничить применение ПО, предназначенного для шпионажа. «Использование слабых звеньев IT-систем очень проблематично с точки зрения IT-безопасности и гражданских прав», – подчеркнули в правительстве. В коалиции также пообещали устранять известные уязвимости как можно быстрее в рамках специальной программы, ответственность за реализацию которой возложена на Федеральное ведомство по безопасности в сфере информационных технологий (BSI). Термин «уязвимость нулевого дня» означает, что о дефекте разработчику ПО стало известно одновременно с появлением информации в открытом ... Подробнее

Разработанный компанией «Ростелеком-Солар» инструмент статического анализа кода Solar appScreener успешно прошёл тестирование на совместимость с РЕД ОС, операционной системой на основе ядра Linux, корректность работы подтверждена двусторонним сертификатом, сообщает во вторник пресс-служба «Ростелеком-Солар». Solar appScreener и РЕД ОС сертифицированы ФСТЭК России и включены в Единый реестр отечественного ПО, что подтверждает их соответствие требованиям информационной безопасности и допускает применение в государственных информационных системах. Solar appScreener – анализатор безопасности приложений, который позволяет эффективно выявлять уязвимости и недекларированные возможности благодаря статическому анализу не только исходного кода, но и исполняемых файлов. Это единственный SAST-инструмент с поддержкой 36 языков программирования и бинарного статического анализа (9 ... Подробнее

За первые шесть месяцев 2021 года больше всего уязвимостей обнаружено в продуктах компаний Google и Microsoft, следует из опубликованных во вторник результатов исследования компании Atlas VPN. В программных продуктах Google обнаружено 547 уязвимостей. Наиболее популярен у злоумышленников, эксплуатирующих эти уязвимости, браузер Chrome (три миллиарда пользователей). В продуктах Microsoft выявлено 432 «дыры», ими, в частности, воспользовались хакеры для взлома почтовых серверов Microsoft Exchange Server. В продуктах Oracle обнаружено 316 уязвимостей. Большая их часть сосредоточена в продукте WebLogic Server. Четвёртое и пятое места достались компаниям Cisco и SAP, 200 и 118 выявленных уязвимостей соответственно. Бо́льшая часть уязвимостей получила оценку более 7 баллов ... Подробнее

Эксперты Positive Technologies отметили низкую защищенность компаний промышленного сектора. В ходе тестов на проникновение специалисты компании получили доступ в технологический сегмент сети 75% промышленных компаний. Как отмечают эксперты, вектор атаки для доступа к критически важным системам может быть простым, а потенциальный ущерб — серьезным. Так, получение доступа к системам управления технологическим процессом злоумышленником может привести к остановке производства, выводу из строя промышленного оборудования, порче продукции и аварии. «На сегодняшний день защищенность в большинстве промышленных компаний находится на низком уровне, — отмечает старший аналитик Positive Technologies Ольга Зиненко. — Главными недостатками являются слабая защита внешнего периметра сети, доступного из сети Интернет, ... Подробнее

Агентство по кибербезопасности и безопасности инфраструктуры США (US Cybersecurity and Infrastructure Security Agency, CISA) запустило платформу, которая позволит сторонним специалистам и рядовым американским гражданам сообщать об обнаруженных уязвимостях сайтов федеральных агентств, говорится в опубликованном в четверг сообщении CISA. Ожидается, что платформа (Vulnerability disclosure platform, VDP) сэкономит федеральному бюджету около 10 миллионов долларов (за какой период, не уточняется – ред.). VDP поощряет сотрудничество и обмен информацией между рядовыми американскими гражданами и частным бизнесом. Поступившие от специалистов данные об обнаружении «дыр» будут проанализированы компаниями-разработчиками платформы – BugCrowd и EnDyna. Это высвободит ресурсы агентств, позволив им тратить время и средства на устранение действительно ... Подробнее