Перейти к содержанию
  • *** ПРИВЕТСТВУЕМ ВСЕХ! ***

    Если вы хотите задать какой-либо интересующий вас вопрос, но не знаете, где его разместить, - для этого создан Раздел на форуме Задай вопрос-получишь ответ

    Создана база данных, предотвращающая установку уязвимых PHP-библиотек

    DiW
    От DiW,
      Влиятельные участники сообщества PHP объединились для улучшения безопасности PHP-экосистемы. Созданная ими группа FriendsOfPHP создала базу данных, содержащую ссылки и подробности об известных уязвимостях в различных PHP-библиотеках и проектах. База данных должна помочь разработчикам в выборе безопасных версий PHP-библиотек и проектов для установки или обновлений.   Запущенный группой проект под названием PHP Security Advisories Database постепенно приобретает все большую популярность на GitHub. Проект также лег в основу уже готовой PHP-библиотеки Roave / Security Advisories, которую можно использовать в любом PHP-проекте.   «Roave / SecurityAdvisories использует FriendsOfPHP в качестве источника данных для создания противоречивого набора требуемых инструкций для предотвращения установки небезопасных зависимостей», - пояснил порталу Bleeping Computer старший разработчик Paragon Initiative Enterprise Скотт Арцишевски (Scott Arciszewski). Другими словами, любой разработчик может встроить библиотеку в свой PHP-проект и тем самым обезопасить себя от создания уязвимого кода.   Недавно база данных получила обновление и теперь также может встраивать информацию о проектах, содержащих неисправленные уязвимости. Обновление добавляет дополнительный уровень защиты от неиспользуемых, покинутых библиотек.   Апдейт FriendsOfPHP, соответственно, касается и Roave / Security Advisories. То есть, если одна из используемых разработчиком PHP-библиотек будет содержать неисправленную уязвимость, появится ошибка Composer.   securitylab.ru

    Проект Open Bug Bounty сообщил об исправлении более 100 тыс. уязвимостей

    DiW
    От DiW,
    Число проблем, раскрытых и исправленных в рамках проекта по поиску уязвимостей Open Bug Bounty, преодолело отметку в 100 тыс. Помимо этого, площадка завершила переход на стандарт ISO 29147. Команда Open Bug Bounty состоит из менее чем 10 исследователей из разных стран, имеющих опыт работы в области информационных технологий, кибербезопасности и права, которые работают над обнаружением уязвимостей и оперативно уведомляют владельцев web-сайтов о проблемах. Площадка позволяет любому исследователю безопасности сообщать об уязвимостях, если они были обнаружены без использования интрузивных методов тестирования, а информация о них опубликована в соответствии с рекомендациями по ответственному раскрытию информации об уязвимостях. Напомним, ранее представители Open Bug Bounty заявили о начале перехода на стандарт, утвержденный Международной организацией по стандартизации (International Organization for Standardization, ISO) ISO 29147:2014, в котором задокументированы нормы, правила и рекомендации по публикации информации об обнаруженных уязвимостях. Open Bug Bounty – некоммерческий проект, призванный объединить исследователей безопасности и владельцев web-сайтов с целью сделать интернет безопаснее без существенных или необоснованных затрат со стороны владельцев интернет-ресурсов. Координированная программа раскрытия уязвимостей позволяет любому исследователю сообщать об уязвимостях на любом сайте при условии, если проблемы были обнаружены без использования инвазивных методов и раскрыты в соответствии с требованиями ответственного раскрытия уязвимостей. Подробнее: https://www.securitylab.ru/news/491712.php   Число проблем, раскрытых и исправленных в рамках проекта по поиску уязвимостей Open Bug Bounty, преодолело отметку в 100 тыс. Помимо этого, площадка завершила переход на стандарт ISO 29147.   Команда Open Bug Bounty состоит из менее чем 10 исследователей из разных стран, имеющих опыт работы в области информационных технологий, кибербезопасности и права, которые работают над обнаружением уязвимостей и оперативно уведомляют владельцев web-сайтов о проблемах.   Площадка позволяет любому исследователю безопасности сообщать об уязвимостях, если они были обнаружены без использования интрузивных методов тестирования, а информация о них опубликована в соответствии с рекомендациями по ответственному раскрытию информации об уязвимостях.   Напомним, ранее представители Open Bug Bounty заявили о начале перехода на стандарт, утвержденный Международной организацией по стандартизации (International Organization for Standardization, ISO) ISO 29147:2014, в котором задокументированы нормы, правила и рекомендации по публикации информации об обнаруженных уязвимостях.   Open Bug Bounty – некоммерческий проект, призванный объединить исследователей безопасности и владельцев web-сайтов с целью сделать интернет безопаснее без существенных или необоснованных затрат со стороны владельцев интернет-ресурсов. Координированная программа раскрытия уязвимостей позволяет любому исследователю сообщать об уязвимостях на любом сайте при условии, если проблемы были обнаружены без использования инвазивных методов и раскрыты в соответствии с требованиями ответственного раскрытия уязвимостей.   securitylab.ru

    Intel возобновила выпуск исправлений для уязвимости Spectre

    DiW
    От DiW,
      Компания Intel возобновила выпуск обновлений микрокода, исправляющих второй вариант уязвимости Spectre (CVE-2017-5715). Ранее обновления были доступны только для процессоров Skylake.   В январе 2018 года Intel была вынуждена приостановить выпуск обновлений для опасных уязвимостей Meltdown и Spectre из-за частых перезагрузок и других непредсказуемых действий системы, появлявшихся после установки патчей. 8 февраля компания заявила о выпуске новых исправлений, не нарушающих работу системы, однако данные обновления были доступны только для процессоров Skylake.   Во вторник, 20 февраля, Intel выпустила новую версию обновлений микрокода для ОЕМ-вендоров. Пакет включает обновления для процессоров моделей Kaby Lake, Coffee Lake, а также для Intel Core X, Intel Xeon Scalable и Intel Xeon D - последние два семейства используются в системах центров обработки данных.   Помимо этого, компания выпустила руководство для системных администраторов с подробными сведениями о процессе исправления уязвимостей и опубликовала документ для инженеров с описанием техники Retpoline, позволяющей предотвратить эксплуатацию Spectre v2 на уровне ПО.   Напомним, ранее Intel запустила публичную программу вознаграждения за найденные уязвимости в своих программных и аппаратных продуктах, позволяющую получить до $250 тыс. за найденную проблему.   securitylab.ru

    Эксперт «угнал» 700 доменов GitLab менее чем за минуту

    DiW
    От DiW,
      Исследователю безопасности Эдвину Фудилу (Edwin Foudil), известному под псевдонимом EdOverflow, удалось перехватить сотни доменов GitLab всего за несколько секунд, проэксплуатировав уязвимость в механизме проверки домена.   Портал GitLab позволяет пользователям размещать контент и проекты под собственным доменным именем. 5 февраля текущего года администрация сервиса уведомила пользователей об отсутствии проверки подлинности при привязке домена к учетной записи GitLab. Данная проблема позволяла злоумышленнику обнаружить DNS-записи, указывающие на страницу GitLab с никому не принадлежащим IP-адресом и потенциально перехватить домен. Уязвимость затрагивала всех пользователей, которые создавали, а затем удаляли свои домены с помощью функции GitLab Pages.   1 февраля был опубликован отчет о данной уязвимости, содержащий код PoC-эксплоита. На основе данных из отчета Фудил написал небольшой скрипт для перехвата доменов. Поскольку GitLab позволяет указывать неограниченное количество доменов для одного репозитория, исследователь смог перехватить множество доменов за короткий промежуток времени.   «Я смог перехватить 700 доменов и поддоменов всего за одну минуту», - отметил специалист. По его словам, после перехвата домена злоумышленник потенциально может загрузить на него произвольный контент. В настоящее время проблема уже исправлена.   GitLab - платформа управления Git-репозиториями, анализа кода, отслеживания ошибок, тестирования, деплоя, ведения каналов и вики-страниц. GitLab помогает разработчикам вести непрерывный процесс развертывания для тестирования, создания и деплоя кода, следить за ходом тестов, повышать контроль над качеством, фокусирования на построении продукта вместо настройки инструментов.   securitylab.ru

    Уязвимость в Account Kit оставила пользователей Tinder беззащитными против хакеров

    DiW
    От DiW,
      Разработчикам приложений стоит обратить внимание на то, как они используют инструмент Account Kit от Facebook для идентификации пользователей. Ананд Пракаш (Anand Prakash) из Appsecure обнаружил в нем уязвимость, из-за которой пользователи популярного приложения для знакомств Tinder оказались открытыми для взломов. Когда пользователь Tinder заходит в свой профиль, используя в качестве логина номер телефона, с помощью сайта AccountKit.com приложение проверяет, действительно ли он является законным владельцем учетной записи. Система работает следующим образом. На телефон пользователя приходит текстовое сообщение с кодом подтверждения, который нужно ввести на сайте Account Kit. Сайт проверяет подлинность кода и в случае успеха отправляет Tinder токен авторизации, после чего пользователь заходит в свою учетную запись без необходимости вводить пароль. Tinder привязан к номеру телефона, и пока пользователь способен получать текстовые сообщения, он может с легкостью заходить в свой профиль. Тем не менее, Ананд Пракаш обнаружил, что Account Kit не проверяет подлинность проверочного кода, если его API используется определенным образом. Злоумышленник может использовать номер телефона в качестве параметра new_phone_number в HTTP-запросе, отправляемом API, и тем самым избежать проверки кода, но получить при этом токен авторизации. Другими словами, можно отправить Account Kit любой номер телефона и получить токен в качестве cookie-файла в HTTP-ответе на запрос, отправленный API. Пракаш сообщил о своем открытии Facebook и Tinder и получил от них $5 тыс. и $1,25 тыс. соответственно в рамках программ выплаты вознаграждений за обнаруженные уязвимости. Исследователь опубликовал подробности о проблеме после выхода исправлений. Никаких свидетельств эксплуатации уязвимости в реальных атаках обнаружено не было. Подробнее: https://www.securitylab.ru/news/491697.php Разработчикам приложений стоит обратить внимание на то, как они используют инструмент Account Kit от Facebook для идентификации пользователей. Ананд Пракаш (Anand Prakash) из Appsecure обнаружил в нем уязвимость, из-за которой пользователи популярного приложения для знакомств Tinder оказались открытыми для взломов.   Когда пользователь Tinder заходит в свой профиль, используя в качестве логина номер телефона, с помощью сайта AccountKit.com приложение проверяет, действительно ли он является законным владельцем учетной записи.   Система работает следующим образом. На телефон пользователя приходит текстовое сообщение с кодом подтверждения, который нужно ввести на сайте Account Kit. Сайт проверяет подлинность кода и в случае успеха отправляет Tinder токен авторизации, после чего пользователь заходит в свою учетную запись без необходимости вводить пароль. Tinder привязан к номеру телефона, и пока пользователь способен получать текстовые сообщения, он может с легкостью заходить в свой профиль.   Тем не менее, Ананд Пракаш обнаружил, что Account Kit не проверяет подлинность проверочного кода, если его API используется определенным образом. Злоумышленник может использовать номер телефона в качестве параметра new_phone_number в HTTP-запросе, отправляемом API, и тем самым избежать проверки кода, но получить при этом токен авторизации. Другими словами, можно отправить Account Kit любой номер телефона и получить токен в качестве cookie-файла в HTTP-ответе на запрос, отправленный API.   Пракаш сообщил о своем открытии Facebook и Tinder и получил от них $5 тыс. и $1,25 тыс. соответственно в рамках программ выплаты вознаграждений за обнаруженные уязвимости. Исследователь опубликовал подробности о проблеме после выхода исправлений. Никаких свидетельств эксплуатации уязвимости в реальных атаках обнаружено не было.   securitylab.ru

    Правительство утвердило правила госконтроля безопасности объектов КИИ

    DiW
    От DiW,
      Правительство РФ утвердило правила государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры страны (КИИ). Соответствующее постановление опубликовано на официальном портале правовой информации.   Согласно документу, правила устанавливают порядок осуществления органом госконтроля (федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры РФ и его территориальными структурами) мероприятий по государственному контролю в области обеспечения безопасности значимых объектов КИИ.   Госконтроль проводится в целях проверки соблюдения субъектами КИИ требований закона «О безопасности критической информационной инфраструктуры Российской Федерации». Государственный контроль проводится путем проведения плановых и внеплановых выездных проверок, отмечается в постановлении.   О плановой проверке субъекты КИИ будут уведомлены «не менее чем за три дня» до ее проведения. В числе оснований для внеплановых проверок указаны истечение срока выполнения субъектом КИИ предписания об устранении нарушения требований в области обеспечения безопасности; компьютерные инциденты, повлекшие негативные последствия; приказ об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.   О внеплановой проверке органы госконтроля должны уведомить субъект КИИ не менее чем за 24 часа, за исключением случаев, когда речь идет о компьютерных инцидентах, тогда проверка может быть проведена незамедлительно.   Закон о безопасности критической информационной инфраструктуры РФ вступил в силу 1 января 2018 года. Закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры РФ в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.   Под объектами КИИ понимаются информационные системы госорганов, предприятий оборонно-промышленного комплекса, организаций здравоохранения, транспорта, связи, кредитно-финансовой сферы, энергетики, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.   securitylab.ru

    Экономические консультанты Белого дома назвали РФ «хакерской державой»

    DiW
    От DiW,
      Совет экономических консультантов при президенте США составил список так называемых «хакерских держав», куда вошли Россия, Иран, Китай и КНДР. Об этом сообщается в 62-страничном докладе совета под названием «Стоимость вредоносной киберактивности для экономики США» («The Cost of Malicious Cyber Activity to the U.S. Economy»). В своем докладе экономисты выделили шесть категорий киберпреступников в зависимости от преследуемых ими целей. В первую вошли государства, вовлеченные в международное соперничество. Сюда входят вышеупомянутые Россия, Иран, Китай и КНДР. Государственные хакеры преследуют политические, экономические, технологические и военные цели, говорится в докладе. Далее следуют корпорации-конкуренты, жаждущие заполучить в свои руки чужие производственные секреты и интеллектуальную собственность. Многие из них финансируются государством. Третья категория – «хактивисты», чья активность в киберпространстве носит характер акций протеста. Их действия носят пропагандистский характер, а ущерб организациям наносится из идеологических соображений. В четвертую категорию входят организованные киберпреступные группировки, осуществляющие таргетированные атаки с целью получения прибыли. Далее следуют так называемые «оппортунисты» - непрофессиональные хакеры, жаждущие известности. В своих атаках они используют широкодоступные техники и коды. В последнюю категорию входят инсайдеры – действующие или бывшие сотрудники компаний, движимые жаждой мести или наживы. Согласно докладу, в прошлом году источники 75% кибератак и утечек находились за пределами США и только 25% - на территории страны. 18% атак были осуществлены правительственными хакерами, а 51% - организованными преступными группировками. Главными источниками кибератак являлись РФ, Северная Корея, Иран и Китай. Совет экономических консультантов – группа академических экономистов при президенте США; часть системы исполнительной власти США. Был учрежден в 1946 году. Совместно с президентом оказывает определяющее воздействие на формирование экономической политики страны. В Совет входят три экономиста, и один из них является председателем. Подробнее: https://www.securitylab.ru/news/491695.php Совет экономических консультантов при президенте США составил список так называемых «хакерских держав», куда вошли Россия, Иран, Китай и КНДР. Об этом сообщается в 62-страничном докладе совета под названием «Стоимость вредоносной киберактивности для экономики США» («The Cost of Malicious Cyber Activity to the U.S. Economy»).   В своем докладе экономисты выделили шесть категорий киберпреступников в зависимости от преследуемых ими целей. В первую вошли государства, вовлеченные в международное соперничество. Сюда входят вышеупомянутые Россия, Иран, Китай и КНДР. Государственные хакеры преследуют политические, экономические, технологические и военные цели, говорится в докладе.   Далее следуют корпорации-конкуренты, жаждущие заполучить в свои руки чужие производственные секреты и интеллектуальную собственность. Многие из них финансируются государством.   Третья категория – «хактивисты», чья активность в киберпространстве носит характер акций протеста. Их действия носят пропагандистский характер, а ущерб организациям наносится из идеологических соображений.   В четвертую категорию входят организованные киберпреступные группировки, осуществляющие таргетированные атаки с целью получения прибыли. Далее следуют так называемые «оппортунисты» - непрофессиональные хакеры, жаждущие известности. В своих атаках они используют широкодоступные техники и коды. В последнюю категорию входят инсайдеры – действующие или бывшие сотрудники компаний, движимые жаждой мести или наживы.   Согласно докладу, в прошлом году источники 75% кибератак и утечек находились за пределами США и только 25% - на территории страны. 18% атак были осуществлены правительственными хакерами, а 51% - организованными преступными группировками. Главными источниками кибератак являлись РФ, Северная Корея, Иран и Китай.   Совет экономических консультантов – группа академических экономистов при президенте США; часть системы исполнительной власти США. Был учрежден в 1946 году. Совместно с президентом оказывает определяющее воздействие на формирование экономической политики страны. В Совет входят три экономиста, и один из них является председателем.   securitylab.ru

    Российским офицерам выдали защищенные мобильные телефоны

    DiW
    От DiW,
      Командирам российской армии, имеющим доступ к документам «особой важности» (высшая категория секретности в РФ), начали выдавать защищенные мобильные телефоны М-633С «Атлас». Новые устройства позволяют выходить на зашифрованные каналы коммуникаций через гражданские сотовые сети, в том числе из-за границы, сообщают «Известия».   Как рассказали изданию в Минобороны, стоимость одного такого телефона составляет 115 тыс. рублей. Аппарат разработан на базе гражданской модели GSM-телефона SMP-АТЛАС/2, однако в варианте для военных был добавлен ряд мер по защите от физического воздействия. В частности, телефоны обладают металлопластиковым корпусом с противоударной прорезиненной накладкой, сапфировым стеклом и способностью принимать звонки при температурах от -20 до +50 градусов, а также после получасового погружения в воду на метровую глубину. Устройство оснащено цветным дисплеем и MP3-плеером. Вес аппарата составляет 130 г.   Новая модель мобильного телефона оснащена аппаратной криптографической защитой речевой информации, выполненной в виде специального блока, шифрующего сигнал. Устройство работает с SIM-картами «Мегафона», поскольку только у этого оператора связи есть лицензия на шифрованную связь. Лимит средств на переговоры равномерно распределен между пользователями и составляет 24 млн рублей в год. В телефоне также предусмотрена возможность активации дистанционного режима пропажи, при котором аппарат обеспечивает экстренное стирание ключей шифрования.   Аппаратная и программная составляющая телефонов полностью российские. Устройство выпускается ограниченной партией – порядка 100 единиц в год. Каждый телефон собирается по индивидуальному заказу вручную на ФГУП «Научно-технический центр «Атлас».   securitylab.ru

  • Кто в онлайне (Посмотреть всех)

    Зарегистрированных пользователей в онлайне нет

  • Темы

  • Статистика портала

    • Всего тем
      10 832
    • Всего сообщений
      29 381
    • Пользователей
      1 326
    • Максимум онлайн
      1 046
      27.01.2018 21:24

    Новый пользователь
    egore
    Регистрация 21.02.2018 12:41
  • Заказ услуг

    Тема поддержки Заказать услугу
  • Поиск в Интернете

    Фраза: GO!
    MSDN RSDN
  • Онлайн Антивирус

    ПРОВЕРЬ ФАЙЛЫ



  • Помощь порталу

    Если Вы желаете поддержать портал:

    WMR - R124516874021
    WMR - Z710827566240
    ЯД - 410011732301196

    СПАСИБО!

    Вы также можете поддержать портал через кнопку Яндекс.Деньги

  • Счетчик посетителей




    Яндекс.Метрика

    Регистрация сайта в каталогах, раскрутка и оптимизация сайта, контекстная реклама

×

Важная информация

Используя этот сайт, вы соглашаетесь с нашими Условия использования.