Автор
KL FC Bot,
в Новости и события из мира информационной безопасности
-
Похожий контент
-
От KL FC Bot
Потенциально умные машины дают своим пользователям массу преимуществ, в основном касающихся дополнительной информации и дистанционного управления транспортным средством. Однако, как это обычно случается, новые возможности привносят и новые угрозы. Часть из них связана с многочисленными сервисами и приложениями для автолюбителей, разрабатываемыми не автопроизводителями, а сторонними компаниями. Недавно наши коллеги исследовали популярные приложения и сервисы такого рода и описали основные их недочеты с точки зрения информационной безопасности. Результаты этого исследования опубликованы в нашем блоге Securelist. Недостатки приложений сформулированы в отчете скорее с точки зрения конечного пользователя, однако уроки, которые можно извлечь из этого труда, должны быть интересны именно создателям ПО.
Типичные недостатки приложений
Изрядная часть приложений служит неким промежуточным звеном между владельцем автомашины и сервисом производителя. То есть для работы они требуют пароль и логин (или же токен авторизации) от этих сервисов. По большому счету автолюбитель передает разработчику ключи от своего автомобиля. И не факт, что пользователь отдает себе в этом отчет.
View the full article
-
От KL FC Bot
Любой современный автомобиль — это компьютер на колесах. А многие из них еще и подключены к Интернету. Так что автопроизводители теперь разрабатывают не только сами машины, но и приложения для дистанционного управления ими. С помощью приложения можно проверять местоположение автомобиля, заранее включать подогрев или охлаждение, открывать и запирать двери и так далее.
Однако потребности пользователей могут быть очень разными, а вместить все функции в одно приложение невозможно. Поэтому помимо штатных программ для подключенных авто, созданных автопроизводителями, существует также сторонний софт для управления автомобилями на любой вкус. Это, безусловно, удобно. Но безопасно ли? Наши исследователи решили это проверить.
Кто управляет вашим авто?
Чтобы автомобиль понял, что вы — это вы, и выполнил команду, он, как и большинство современных систем, требует логин и пароль. Если вы пользуетесь приложением производителя, то учетные данные не передаются никаким третьим лицам. Хотя гарантировать, что они никогда и ни при каких обстоятельствах никуда не утекут, не может никто, существуют стандарты безопасности для производителей автомобилей, которым их продукция должна соответствовать.
Если вы выбрали стороннюю разработку, чтобы пользоваться уникальными функциями и удобствами, которых в официальном приложении нет, то ей нужно каким-то образом получить доступ к машине или данным ее телеметрии. Некоторые приложения используют решения, разработанные производителем автомобиля специально для этого. Они не требуют ваших учетных данных и получают ограниченный доступ к машине, который позволяет пользоваться их функциональностью, но не дает совершать опасные действия, такие как разблокировка дверей. Эти приложения более-менее безопасны, но пока их не так много.
Большинство же автомобильных приложений требуют логин и пароль от вашего аккаунта у производителя, то есть получают полный доступ к этому аккаунту. При этом требования к безопасности, которые применяются к производителям авто, на эти приложения не распространяются. И вот тут-то возникает проблема.
View the full article
-
От KL FC Bot
В мае традиционно отмечается «Всемирный день пароля», и в этом году к нему были приурочены анонсы сразу трех крупнейших технологических компаний. В этот день Google, Microsoft и Apple объявили о планах по поддержке технологии, которая позволит полностью отказаться от паролей.
Стандарт разрабатывает альянс FIDO совместно с консорциумом W3C, который в принципе определяет то, как выглядит и работает современный Интернет. Это достаточно серьезная попытка отказаться от паролей, а вместо них использовать в качестве средства аутентификации смартфон — по крайней мере, так это выглядит с точки зрения пользователя.
Тут стоит вспомнить, что разговоры о «смерти паролей» ведутся уже лет десять. И предыдущие попытки отказаться от такого ненадежного способа аутентификации пользователя в итоге особенно ни к чему не привели — пароли по-прежнему с нами. В этой статье мы расскажем о том, чем хорош новый стандарт FIDO и W3C. Но начнем с повторения очевидного: чем же плохи пароли?
Что не так с паролями
Главный и основной недостаток пароля — его достаточно легко украсть. На заре Интернета почти все коммуникации между компьютерами не были зашифрованы, пароли передавались открытым текстом. С ростом числа публичных точек доступа к Сети — в кафе, библиотеках, на транспорте — это стало реальной проблемой: злоумышленник мог перехватить незашифрованный пароль и остаться незамеченным.
Но наиболее серьезно проблема украденных паролей встала в начале-середине 2010-х годов, когда произошла целая серия громких взломов крупных сетевых сервисов с массовой кражей почтовых адресов и паролей пользователей. Можно с уверенностью утверждать, что все ваши пароли десятилетней давности где-то лежат в открытом доступе. Не верите? Проверьте на полезном сервисе HaveIBeenPwned.
Сервис HaveIBeenPwned позволяет проверить, встречался ли ваш пароль в одной из многочисленных утечек последних лет. Если паролю с десяток лет и больше, то результат почти наверняка будет таким
Конечно, сейчас уже далеко не все утечки содержат пароли в открытом виде: многие владельцы сетевых сервисов давно поняли, что такой способ хранения чувствительной пользовательской информации — порочная практика. Поэтому все чаще пароли хешируются, то есть хранятся в зашифрованном виде.
View the full article
-
От KL FC Bot
Когда компания подвергается кибератаке или происходит утечка корпоративных данных, бизнес лихорадочно пытается решить две задачи: минимизировать ущерб и как можно скорее вернуться к нормальному рабочему процессу. При этом основная нагрузка ложится на команду по реагированию на инциденты.
От грамотности и оперативности их действий зависит не только, как быстро будет найден источник проблемы, но и насколько надежно компания будет защищена от повторения инцидента. Ведь современные киберпреступники пытаются запутать расследование и уничтожить следы своего присутствия в инфраструктуре жертвы, а без точного выявления всей цепочки атаки нельзя гарантировать надежную защиту от использования тех же вредоносных тактик в будущем.
Наши эксперты определили набор ключевых навыков, необходимых специалисту по реагированию на инциденты:
выявление инцидента; сбор улик; анализ логов; анализ сетевой активности; создание индикаторов компрометации; исследование оперативной памяти.
View the full article
-
От KL FC Bot
18 мая компания VMware выпустила патчи для двух уязвимостей в своих продуктах: CVE-2022-22972, CVE-2022-22973. О степени их опасности говорит тот факт, что в тот же день Министерство внутренней безопасности США выпустило директиву, обязывающую все федеральные агентства в течение пяти дней устранить эти уязвимости в своей инфраструктуре — путем установки заплаток, а если это невозможно, то «удаления из своей сети» затронутых продуктов VMware. Судя по всему, есть смысл последовать примеру американских госучреждений и незамедлительно установить патчи.
Что за уязвимости?
Уязвимости затрагивают пять продуктов компании — VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation и vRealize Suite Lifecycle Manager.
Особую опасность представляет первая уязвимость, CVE-2022-22972, со степенью опасности 9,8 по шкале CVSS. Ее эксплуатация может позволить злоумышленника получить в системе права администратора без какой-либо аутентификации.
Вторая уязвимость, CVE-2022-22973, касается повышения привилегий. Для ее эксплуатации злоумышленники должны уже иметь какие-то права в атакуемой системе, поэтому ее степень опасности несколько ниже — 7,8 по шкале CVSS. Однако к ней также следует относиться серьезно, поскольку она позволяет повысить привилегии в системе до уровня root.
Дополнительную информацию можно найти в официальном документе FAQ, посвященном этой проблеме.
View the full article
-
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.