-
Похожий контент
-
Автор KL FC Bot
WordPress — самая популярная система управления контентом в мире. Как очень любят упоминать сами разработчики этой системы, на WordPress построено более 40% веб-сайтов. Однако у этой популярности есть и обратная сторона: такое огромное количество потенциальных мишеней неизбежно притягивает злоумышленников. По той же причине и исследователи кибербезопасности внимательно изучают WordPress и регулярно рассказывают о тех или иных проблемах данной CMS.
В результате достаточно часто можно услышать мнение о том, что WordPress свойственны проблемы с безопасностью. Но у столь пристального внимания есть и позитивная сторона: благодаря ему хорошо известны и сами угрозы, и те методы, с помощью которых с ними можно справляться, чтобы сделать свой WordPress-сайт безопасным. Об этом мы сегодня и поговорим.
1. Уязвимости в плагинах, темах и WordPress core (именно в этом порядке)
Во всех подборках проблем с безопасностью WordPress, которые вы можете найти в интернете, стабильно фигурируют такие вещи, как межсайтовый скриптинг (XSS, cross-site scripting), внедрение SQL-кода (SQLi, SQL injection) и межсайтовая подделка запроса (CSRF, cross-site request forgery). Так вот, все эти атаки — а также ряд других — становятся возможны из-за уязвимостей либо в основном программном обеспечении WordPress (WordPress core), либо в плагинах и темах.
При этом следует иметь в виду, что, по статистике, непосредственно в WordPress core обнаруживают лишь малую часть уязвимостей. К примеру, за весь 2022 год в основном ПО WordPress нашли всего 23 уязвимости — что составляет 1,3% от всех 1779 уязвимостей, найденных в WordPress в прошлом году. Еще 97 багов (5,45%) были обнаружены в темах. Ну а львиная доля приходится на плагины: в них нашли 1659 уязвимостей, то есть аж 93,25% от общего числа.
Стоит заметить, что количество обнаруживаемых в WordPress уязвимостей не должно быть поводом для того, чтобы отказываться от использования этой CMS. Уязвимости есть везде, просто находят их в основном там, где активно ищут, — то есть в наиболее популярном программном обеспечении.
Как повысить безопасность:
Всегда вовремя обновляйте WordPress core — пусть уязвимости в нем находят не так часто, их эксплуатация может быть гораздо более массовой, так что опасно надолго оставлять их незапатченными. Также не забывайте обновлять темы и — в особенности — плагины. Именно плагины ответственны за большинство известных уязвимостей в экосистеме WordPress. Не устанавливайте «лишние» WordPress-плагины, то есть те, которые не требуются для работы вашего сайта. Это поможет существенно снизить количество потенциальных уязвимостей, которые есть на вашем WordPress-сайте. Вовремя деактивируйте или вовсе удаляйте те плагины, которые вам больше не нужны.
Посмотреть статью полностью
-
Автор KL FC Bot
Эксперты «Лаборатории Касперского» изучили безопасность популярного детского робота и нашли серьезные проблемы, из-за которых злоумышленники получали возможность сделать видеозвонок на любого робота, перехватить управление над родительским аккаунтом или — потенциально — загрузить на робота модифицированную прошивку. Рассказываем обо всем этом подробнее.
Что умеет игрушечный робот
Изученная нами модель детского робота — это своеобразный гибрид смартфона (или планшета, если угодно) и умной колонки, поставленный на колесное шасси, позволяющее ему перемещаться в пространстве. Конечностей у робота нет, так что возможность ездить по дому — единственный вариант его физического взаимодействия с окружающим миром.
Центральным элементом робота служит крупный сенсорный дисплей, на который могут выводиться интерфейс управления, интерактивные и обучающие приложения для ребенка, а также мультяшное лицо, хорошо и разнообразно анимированное. Естественно, анимация зависит от контекста — над персоной робота разработчики очень неплохо потрудились.
Также роботом можно управлять с помощью голосовых команд, но это работает далеко не со всеми функциями — часто робота все же приходится ловить и тыкать пальцем ему в лицо во встроенный дисплей.
Помимо встроенного микрофона и весьма громкого динамика, у робота есть широкоугольная камера, расположенная прямо над дисплеем. И одна из важных функций, активно рекламируемых производителем, — это возможность родителям совершать видеозвонки ребенку прямо на робота.
На передней стороне робота — примерно посередине между дисплеем и колесами — находится дополнительный оптический датчик для распознавания объектов, чтобы робот мог избегать препятствий при перемещении. Поскольку распознавание препятствий никак не зависит от основной камеры, то разработчики предусмотрели очень полезную штуку: физическую шторку, позволяющую полностью эту камеру закрыть.
Так что если вы опасаетесь, что через камеру кто-нибудь может подсматривать за вами или вашим ребенком (увы, небезосновательно, но об этом ниже), то ее можно просто прикрыть шторкой. Ну а если вы переживаете о подслушивании через встроенный микрофон, то робота можно полностью выключить — судя по тому, как долго после этого он загружается, это действительно честное отключение, а не «режим сна».
Разумеется, на стороне родителей для управления и контроля за игрушкой используется специализированное приложение. И, как вы вероятно догадываетесь, все это подключено к Интернету и под капотом задействует массу различных облачных сервисов (если вам интересны технические подробности, то их можно найти в полной версии исследования безопасности, опубликованной на Securelist).
А чем сложнее система, тем больше вероятность того, что в ней есть дыры, которые позволяют сделать с ней что-то нехорошее. И тут мы подходим к основной теме этого поста: внимательно изучив робота, мы обнаружили несколько серьезных уязвимостей.
Посмотреть статью полностью
-
Автор Maikl94
Здравствуйте! Нужно установить Kaspersky free (он же cloud) на windows 7x32 с процессором pentium 4 (поддерживает SSE2 (SSE3 не поддерживает). Мне просто с сайта можно скачать последнюю версию и все будет работать, или если нет, подскажите последнюю версию которая будет работать
-
Автор KL FC Bot
Наверняка вы хотя бы раз сталкивались с ситуацией, когда друзья или коллеги присылают вам файлы в формате, который вы не можете открыть. Например, вы просили отправить вам фотографии, рассчитывая получить .JPEG или .PNG, а получили файлы в формате .HEIC. Что делает в таком случае большинство людей? Правильно, обращается к бесплатным онлайн-конвертерам файлов.
Если вы давно читаете блог Kaspersky Daily, то уже наверняка знаете, что самый популярный способ — далеко не всегда правильный и безопасный. Сегодняшний случай в этом плане не уникален. Разберемся вместе, какие угрозы поджидают любителей конвертировать файлы быстро, бесплатно и онлайн и расскажем, как менять форматы безопасно.
Почему это важно? Да потому, что конвертировать файл — это не просто изменить ему расширение, иначе достаточно было бы переименовать нужный документ — например, из epub в mp3. Нет, программа-конвертер должна прочитать файл, понять, что в нем содержится, и пересохранить в другом формате — и на каждом из этих этапов есть свои угрозы.
Слив персональных данных, вредоносное ПО и другие угрозы
Первый риск, который приходит в голову, — слив персональных данных. И если вы сторонник концепции «да кому мои данные нужны», то все равно насторожитесь: ваши фотографии из отпуска, может, и правда никому не нужны, но конфиденциальные документы с работы — другое дело. Когда вы загружаете файл в онлайн-конвертер, вы никогда не можете быть уверены, что сайт не сохранит копию вашего файла для каких-то своих нужд. Загруженные данные могут запросто оказаться в руках мошенников и быть использованы даже для начала атаки на вашу компанию. И если вдруг впоследствии выяснится, что точкой входа злоумышленников в корпоративную сеть стали именно вы, то местная служба информационной безопасности точно не скажет вам спасибо.
И не стоит думать, что эта угроза распространяется только на текстовые или табличные документы, а фото какой-нибудь бухгалтерской ведомости можно спокойно загружать и конвертировать в PDF. OCR (оптическое распознавание символов) придумали еще в прошлом веке, а сейчас, с развитием ИИ, даже мобильные трояны научились вытаскивать из фотографий в галерее смартфона данные, интересующие злоумышленников.
Другая популярная угроза — риск заражения устройства вредоносными программами. Некоторые сомнительные сайты-конвертеры могут изменять ваши файлы или включать вредоносный код в конвертированный файл — без надежной защиты вы об этом узнаете не сразу или не узнаете вовсе. Полученные файлы могут содержать скрипты, трояны, макросы и другие гадости, о которых мы подробно рассказывали уже не раз.
View the full article
-
Автор KL FC Bot
Один из самых неприятных трендов последних лет — это рост количества кибератак на образовательные учреждения. К примеру, в США школьное образование стало одной из наиболее атакуемых сфер. По данным британского Управления уполномоченного по информации (ICO), количество атак на школы с 2022 по 2023 год выросло на 55%. Аналогичную картину можно наблюдать и в других регионах. В России, к счастью, сфера образования не столь часто подвергается атакам злоумышленников, тем не менее школы также уязвимы для киберугроз. Попробуем разобраться, почему так происходит и как школам правильно защищать свои компьютеры.
Причины уязвимости школ
Рост количества кибератак на образовательные учреждения обусловлен рядом факторов.
Зависимость от технологий. Образовательные учреждения быстро цифровизируются и, как следствие, все больше зависят от ИТ-инфраструктуры — как непосредственно в учебном процессе, так и в административной работе. А устоявшихся ИБ-практик в них, чаще всего, нет. Ценные данные. Школы хранят немало конфиденциальной информации, включая данные о студентах, преподавателях и финансах, утечка которых может иметь серьезнейшие последствия. Дефицит ресурсов. В образовательных учреждениях наблюдается серьезная нехватка бюджетов, а также квалифицированных ИТ-специалистов — и в особенности в сфере информационной безопасности. Низкая осведомленность пользователей. Изрядная часть пользователей компьютеров в школах — ученики, имеющие невысокий уровень знаний о кибербезопасности, что делает их более уязвимыми для фишинговых атак, заражения вредоносными программами и других киберугроз. Да и преподаватели зачастую разбираются в вопросе ИБ ненамного лучше. Если из-за атаки вымогателей временно закроется сеть магазинов, это, конечно же, неприятно, но в основном для самой организации, — покупатели, как правило, легко могут найти ей замену. Если же из-за кибератаки перестает работать школа, последствия намного серьезнее: учащиеся теряют доступ к образованию, из-за чего страдает их успеваемость, а родители сталкиваются с проблемами организации ухода за детьми.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти