Метка: уязвимости

Большая часть интерактивных ресурсов (57%) содержит критические уязвимости, которые позволяют хакерам похищать конфиденциальные данные, внедрять и исполнять свой код, полностью контролировать работу атакуемого ресурса, свидетельствуют распространённые в четверг результаты анализа защищённости российских компаний, проведённого экспертами «Ростелеком-Солар». Объектами исследования, которое велось в течение года, стали организации из сферы финансов, энергетического комплекса, информационных технологий, телекома и других отраслей. Самые распространённые веб-уязвимости – это некорректная настройка прав доступа и раскрытие конфигурационных данных, что позволяет злоумышленнику получить информацию о структуре веб-приложения (внутренние IP-адреса, API-ключи, отладочные сценарии, журналы приложений), а иногда и даёт доступ к персональным данным клиентов и сотрудников организации. Некоторые обнаруженные уязвимости позволяют ... Подробнее

Российский разработчик решений для видеоконференцсвязи TrueConf устранил найденные в своем ПО уязвимости, которые обнаружили Илья Карпов и Евгений Дружинин, исследователи Лаборатории кибербезопасности АСУ ТП компании «Ростелеком-Солар», сообщает «Ростелеком». Обновленные версии ПО TrueConf с повышенным уровнем безопасности уже доступны для загрузки с сайта компании, говорится в сообщении. В результате анализа и тестирования ПО TrueConf эксперты «Ростелеком-Солар» выявили ряд уязвимостей, связанных с недостаточно жесткими требованиями к сложности пользовательских паролей, возможному хранению информации на сервере в оперативной памяти в незашифрованном виде и другими механизмами, требующими доработки. По итогам исследования специалисты TrueConf устранили все найденные в ПО TrueConf уязвимости, а также оптимизировали работу встроенного ... Подробнее

Компания Palo Alto Networks, специализирующаяся на сетевой безопасности, опубликовала исследование о рисках Интернета вещей, в котором предупреждает, что сектор здравоохранения находится в «критическом состоянии», поскольку 82% медицинского оборудования, подключённого к Интернету, работает на устаревших операционных системах, для которых более не выпускаются обновления безопасности. Хранилища медицинских данных уязвимы для 400 млн записей – исследование Среди таких ОС – Windows XP (2001), Windows Vista (2006) и Windows 7 (2009). Microsoft прекратила поддержку Windows XP в апреле 2014, а Windows 7 – в январе 2020. Медицинские учреждения же до сих пор используют рентгеновские аппараты, МРТ-устройства и компьютерные томографы под этими ОС, что делает ... Подробнее

В октябре государства-члены ЕС опубликовали «согласованный отчёт» о рисках, связанных с технологиями 5G, внедрение которых в ближайшее время для «миллиардов связанных объектов и систем … в энергетике, на транспорте, банковском деле, здравоохранении, промышленных системах контроля, содержащих конфиденциальную информацию» считается, следует из контекста, делом решённым. Доклад основан на результатах национальных оценок рисков кибербезопасности, проведённых всеми государствами-членами ЕС в связи с проблематикой 5G. В нём определяются основные угрозы и субъекты угроз, определяются стратегические риски. (Отдельно отмечается, что еврокомиссар по вопросам безопасности британец сэр Джулиан Кинг (Julian King) предварительно просмотрел доклад во время визита в США 1 октября.) Общий и главный смысл документа ... Подробнее

Пьеррик Годри (Pierrick Gaudry), французский эксперт по криптографии, который ранее нашёл уязвимости в системе онлайн-голосования на выборах депутатов в Мосгордуму, заявил, что принимает обещанную премию от организаторов тестирования, сообщает РИА Новости. «Я получил официальное уведомление о предоставлении мне вознаграждения в 1 миллион рублей, вознаграждения, которое я принял», — сказал Годри. Напомним, экспериментальное электронное голосование пройдет 8 сентября на выборах депутатов Мосгордумы седьмого созыва. В нём смогут принять участие жители трёх районов столицы: Зеленограда, Северного Лианозова – Бибирева и округа «Чертаново Центральное — Чертаново Южное». Закон об экспериментальном электронном голосовании президент РФ подписал 30 мая. Как ранее рассказал D-Russia.ru президент фонда ... Подробнее

Эксперты Positive Technologies протестировали мобильные приложения для iOS и Android и выяснили, что в большинстве приложений данные хранятся небезопасно, а хакеру редко требуется физический доступ к смартфону жертвы для их кражи. По данным исследования, приложения для Android с критически опасными уязвимостями встречаются несколько чаще, чем программы для iOS (43% против 38%). Однако эта разница несущественна, считают эксперты, и общий уровень защищенности клиентских частей мобильных приложений для обеих платформ примерно одинаков. Максимальная степень риска уязвимостей (указана доля клиентских частей). Около трети всех уязвимостей в клиентских частях мобильных приложений для обеих платформ имеют высокий уровень риска. Согласно статистике, в 2018 году мобильные приложения ... Подробнее

Семнадцатого апреля французское правительство представило Android-мессенджер Tchap, предназначенный для защищенного внутреннего общения госслужащих; через два дня исследователю в области кибербезопасности Баптисту Роберу (Baptiste Robert) удалось подсоединиться к госмессенджеру и получить доступ ко всем «публичным» чатам пользователей, сообщает ArsTechnica во вторник. Tchap разработан французским межведомственным управлением по информационным системам (DINSIC) на базе свободного ПО. Напомним, как поясняли в управлении, идея была в том, чтобы данные о переговорах госслужащих оставались на территории Франции, а не уходили на серверы Facebook и Telegram. Официально Tchap пока находится в стадии бета-тестирования. По словам Робера, за три дня он обнаружил в приложении пять уязвимостей. Главная из ... Подробнее

Киберкомандование морской пехоты США подвело итоги месячной программы по выплате вознаграждений за обнаруженные в IT-системах уязвимости (bug bounty program); добровольцы проверили более 200 сайтов и обнаружили 150 уязвимостей, сообщает FCW. Программа была частью инициативы «Хакни Пентагон» (Hack the Pentagon), начатой в 2016 году и включающей 11 программ. Благодаря акции «Хакни Армию» на сайтах американского министерства обороны 400 раз найдены уязвимости Эксперт по цифровым сервисам Службы цифровых сервисов (Defense Digital Service; основана в 2014 году, входит в состав исполнительного офиса президента США; предоставляет федеральным агентствам консультации в IT-сфере – ред.) Александр Ромеро (Alexander Romero) рассказал, что хотел бы расширить программу, включив ... Подробнее

Комитет по нацбезопасности палаты представителей США одобрил во вторник законопроект, который позволит запустить в агентстве внутренней безопасности (Department of Homeland Security, DHS) пилотную программу по выплате вознаграждений за обнаруженные в системах агентства уязвимости (bug bounty program), сообщает MeriTalk. Как писал D-Russia.ru, законопроект был внесен в Сенат в прошлом году и в апреле уже получил первоначальное одобрение. В том числе была утверждена сумма возможных расходов на программу — 250 тысяч долларов в 2018 году. Как США включают противодействие киберугрозам в число оборонных задач Предполагается, что агентство будет временно авторизовывать частные лица или компании на поиск и отчет о найденных уязвимостях в имеющих ... Подробнее

Злоумышленники проявляют активный интерес к аккаунтам в каршеринговых приложениях – «угнанные», т.е. краденые учётные записи в соцсетях и взломанные почтовые аккаунты стоят совсем мало, а вот цены на краденые аккаунты в системах каршеринга достаточно высоки — от 18 долларов за штуку. Специалисты «Лаборатории Касперского» проверили, насколько безопасны приложения таких сервисов и изучили на предмет уязвимости 13 Android-приложений (названия сервисов не приводятся). Среди потенциальных покупателей краденых каршеринговых аккаунтов – любители прокатиться за чужой счет, молодые люди, не достигшие 21 года, лица без достаточного стажа вождения или вообще без водительских прав, а также те, кого в сервисах каршеринга уже заблокировали за нарушения. ... Подробнее

Американские компании, поставляющие программное обеспечение министерству обороны США, обязаны будут сообщать о фактах предоставления своих программных продуктов для изучения государствами–«противниками» Штатов, в частности, Россией и Китаем; такой законопроект внесён в Сенат на этой неделе, пишет Reuters. Изучение ПО, в том числе исходных кодов – стандартная процедура, необходимая для сертификации программных продуктов в России для применения в государственных учреждениях. Анализ ПО проводится для поиска недокументированных функций, «закладок», фрагментов кода, способного, например, похитить обрабатываемые данные. Американцев в этой связи взволновало предположение, что русские и китайцы, изучив код, найдут в нём уязвимости, которые станут эксплуатировать, атакуя этот же софт в военных учреждениях США. ... Подробнее

В четверг на сайте нижней палаты конгресса США опубликованы итоги заседания по окончательной доработке законопроекта об ассигнованиях на военные расходы (2019 National Defense Authorization Act). Документ включает ряд положений и рекомендаций, направленных на расширение кибервойск, защиту критической инфраструктуры и объединение «киберответственности» за счёт усиления сотрудничества в этой сфере Минобороны с другими правительственными агентствами. Ключевые положения документа таковы. Изучение ситуации с «кибердружинами» (cyber teams). Документ призывает Минобороны и агентство внутренней безопасности совместно оценить и отчитаться о готовности «кибердружин» в каждом штате. Такие «кибердружины» должны включать служащих запаса, работать под руководством губернаторов штатов и «быть готовыми к киберинцидентам, кибератакам и ответам на ... Подробнее

Сенат США во вторник одобрил запуск программы по поиску уязвимостей в IT-системах агентства внутренней безопасности (Department of Homeland Security, DHS) – всего в 2018 году на эти цели предполагается выделить 250 тысяч долларов. Программы Bug bounty (букв. «награда за баги» — ред.) позволяют «белым» хакерам помочь ИБ-специалистам госструктур и компаний укрепить свою защиту. Законопроект даёт DHS шесть месяцев для создания программы выплаты бонусов за найденные уязвимости в информационных системах агентства. По завершении эксперимента ведомству необходимо будет представить отчет, который будет содержать данные о количестве лиц, организаций или компаний, участвующих в пилотной программе, количество и серьезность уязвимостей, сколько человек получили компенсации, ... Подробнее

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT) опубликовал в понедельник результаты исследований ландшафта угроз для систем промышленной автоматизации, полученные в течение второго полугодия 2017 года. Большая часть уязвимостей затрагивает автоматизированные системы, управляющие энергетикой (178), производственными процессами различных предприятий (164), водоснабжением (97) и транспортом (74), сказано в сообщении. В 2017 году общее число опубликованных на сайте ICS-CERT уязвимостей, выявленных в различных компонентах АСУ ТП, составило 322. В это число входят уязвимости в ПО общего назначения и в сетевых протоколах, которые также актуальны для промышленного ПО и оборудования. Больше половины выявленных в системах АСУ ТП ... Подробнее

Правительство США опубликовало документ, описывающий принципы и процедуры раскрытия найденных федералами уязвимостей в программном обеспечении и IT-системах их производителям и другим заинтересованным сторонам — как выяснилось, каждый десятый инцидент такого рода утаивается в интересах спецслужб. Напомним, ранее СМИ обвиняли разведывательные агентства, в частности, АНБ, в активном поиске уязвимостей (прежде всего в популярных открытых протоколах), которыми они затем пользовались в интересах спецслужб, не сообщая общественности об опасности. Это оставляло данные миллионов пользователей уязвимыми, в том числе доступными для преступников. В июне 2017 бывший советник по кибербезопасности президентов Джорджа Буша и Барака Обамы Мелисса Хэтэуэй (Melissa Hathaway) заявила, что власти США при ... Подробнее

Власти США при принятии решений, следует ли раскрывать обнаруженные уязвимости в программном обеспечении, должны отдать приоритет последствиям для американской экономики, а не действовать в угоду разведслужбам, считает бывший советник по кибербезопасности президентов Джорджа Буша и Барака Обамы, ныне работающая старшим советником по проекту «Кибербезопасность» в школе управления им. Кеннеди Гарвардского университета (Harvard University’s Kennedy School of Government) Мелисса Хэтэуэй (Melissa Hathaway). Как пишет FCW, в настоящее время администрация президента США при обнаружении уязвимостей оценивает, стоит ли раскрывать данные о них, или же «дыры» могут послужить для целей нацбезопасности и разведки, т.е. принимается решение: перевешивают ли разведывательные цели IT-безопасность граждан и ... Подробнее

Через несколько месяцев после того, как Минобороны США провело свою первую программу «Хакни Пентагон», Армия США совместно со службой цифровой защиты объявили о старте аналогичного проекта — «Хакни Армию», сообщает компания HackerOne, оказывающая содействие в проведении конкурса. «Эксперимент, проведенный Пентагоном, доказал, что существует огромное количество технических специалистов и инноваторов, желающих внести свой вклад в дело безопасности нашей нации, но не имеющих прямой возможности для этого», — сказал министр армии США Эрик Фэннинг (Eric Fanning), представляя инициативу 11 ноября. Премии за обнаруженные уязвимости в программном обеспечении (bug bounty — букв. «награда за баги» — ред.) позволяют «белым» хакерам помочь ИБ-специалистам госструктур укрепить ... Подробнее

У новой версии протокола HTTP (HTTP/2) имеются четыре «стратегически важных» дефекта, заявили на проходящей в Лас-Вегасе конференции по кибербезопасности Black Hat исследователи из компании Imperva, сообщает Tech Week Europe. Работы над финальной версией HTTP/2 завершены в феврале 2015, и сейчас популярность протокола растёт. HTTP/2 разрабатывался с целью ускорить веб-связи и сделать их безопаснее, однако обнаруженные уязвимости ставят достижение этих целей под сомнение, считают эксперты. HTTP/2 – это крупное обновление HTTP (Hypertext Transfer Protocol, протокол передачи гипертекста, с которого начиналась история WWW). Самым распространенным на сегодняшний день стандартом протокола, используемым в мире, является HTTP/1.1 (выпущенный в 1999 году), но 8,7% всех ... Подробнее

Год назад «Одноклассники» запустили программу вознаграждений за уязвимости, найденные на основной и мобильной версии сайта. К середине июля ОК выплатили пользователям более одного миллиона рублей за найденные ошибки, сказано в сообщении соцети. За это время команда соцсети получила от участников 1328 сообщений. При этом только 167 из них были признаны действительными. Всего за год в программе HackerOne приняло участие 140 хакеров, сообщила компания. В соответствии с политикой «Одноклассников», поощрительная премия участникам HackerOne выплачивается при обнаружении серьёзных ошибок, угрожающих безопасности сайта или сохранности данных пользователя. Вознаграждение получили только те специалисты, которые первыми обнаружили ту или иную уязвимость. Средняя стоимость ошибки в ... Подробнее

Заработала первая российская биржа, на которой разработчики и хакеры будут продавать уязвимости в популярном программном обеспечении – она запущена на сайте expocod.com, пишет «Коммерсант». Компания основана бывшим сотрудником Росфинмониторинга Андреем Шороховым, сообщает издание. Она намерена перепродавать информацию госструктурам и компаниям в сфере информационной безопасности, говорится на сайте. Также на сайте сообщаетсяя, что за программу, демонстрирующую уязвимость в Adobe Flash, компания готова заплатить 55 тысяч долларов, а уязвимости в различных браузерах могут быть проданы за 35-60 тысяч долларов. Дыра в анонимайзере Tor стоит до 80 тысяч долларов, а в операционных системах Windows, OS X, Linux и др.— 35-80 тысяч долларов. Основатель ... Подробнее