| ← Декабрь 2016 → | ||||||
|
1
|
3
|
4
|
||||
|---|---|---|---|---|---|---|
|
5
|
6
|
7
|
8
|
10
|
11
|
|
|
12
|
13
|
14
|
15
|
17
|
18
|
|
|
19
|
20
|
21
|
22
|
24
|
25
|
|
|
26
|
27
|
28
|
29
|
31
|
||
За последние 60 дней 12 выпусков (1-2 раза в неделю)
Сайт рассылки:
http://www.newlist.ru/
Открыта:
01-09-2003
Адрес
автора: comp.inet.news.newlist-owner@subscribe.ru
Статистика
0 за неделю
Власти Китая проконтролируют трансляции в интернете
|
Власти Китая проконтролируют трансляции в интернете 2016-12-12 00:00 http://www.itsec.ru/newstext.php?news_id=114107
Китайское правительство намерено усилить контроль за онлайн-трансляциями в интернете для борьбы с порнографией и безнравственностью. Как передает RNS, об этом заявил глава Государственного управления прессой, публикациями, радио, кино и телевидением КНР Ни Ченси. Ранее сообщалось, что Китай ввел надзор за онлайн-трансляциями в интернете 1 декабря и блокирует те из них, что угрожают национальной безопасности, подрываю общественный порядок и ущемляют права и интересы групп граждан, равно как распространяют запрещенный контент, включая порнографию. Отмечается, что количество пользователей онлайн-трансляциями, в том числе и стримом, в Китае достигло в 2016 году 514 млн человек: это 72,4% всех пользователей интернета в КНР.
"Лаборатория Касперского" пожалуется на Microsoft в Еврокомиссию 2016-12-12 00:00 http://www.itsec.ru/newstext.php?news_id=114102
По словам представителя компании Юлии Кривошеиной, обращение планируется подать "в начале-середине января", а тем временем ЛК готовит все необходимые документы. Согласно представителям ЛК, Microsoft создала ситуацию, лишающую конкурентов, а в их числе и "Лабораторию Касперского", возможности в полной мере исполнять обязательства перед клиентами. В результате пользователи остаются без защиты и с ограниченной возможностью выбирать антивирусные решения, а производители несут финансовые потери. В частности, речь идет об изменении политики Microsoft относительно сроков обеспечения совместимости антивирусного ПО от других разработчиков с Windows 10. Изначально срок составлял два месяца, однако потом был сокращен до шести дней. Если сторонние решения не успевают адаптироваться к Windows 10, запускается собственный антивирус Microsoft - Windows Defender. МВД предложило ужесточнить наказание для хакеров 2016-12-12 00:00 http://www.itsec.ru/newstext.php?news_id=114111
МВД России может ужесточить уголовное наказание за киберпреступления. Как передает ТАСС, об этом заявил официальный представитель управления "К" МВД России Александр Вураско. "В рамках ужесточения наказания предлагается передать статью 159.6 УК РФ — „Мошенничество в сфере компьютерной информации" — из состава мошенничества в состав ст. 158 УК РФ — „Кража". Кроме того, срок наказания за киберпреступления может составить до 5?10 лет лишения свободы", — сказал Вураско. По его словам, МВД принимало участие в разработке законопроекта об ужесточении наказания хакерам. "Надеюсь, что уже в следующем году этот закон будет принят", — добавил он. Вураско также отметил, что за последние годы появились профильные статьи за совершение киберпреступлений — это ст. 159.3 и 159.6 УК РФ — "Мошенничество", которые непосредственно затрагивают хищения в кредитно-финансовой сфере. Кибератаки с целью кражи финансовых средств — распространенная в интернет-пространстве проблема. Так, в последнее время сообщалось о подготовке иностранными спецслужбами масштабных кибератак, целью которых должна была стать дестабилизация российской финансовой системы, в том числе деятельности ряда крупнейших российских банков. По данным службы, серверные мощности и командные центры для проведения кибератак расположены на территории Нидерландов и принадлежат Blazing Fast. Позже компания пообещала проверить своих клиентов на возможную причастность к готовящимся кибератакам. В свою очередь Минфин, комментируя ситуацию, отметил, что банковскую систему невозможно дестабилизировать с помощью кибератаки. 5 декабря сайты банковской группы ВТБ подверглись DDоS-атаке. Но, как отметили в компании, это не сказалось на их работе. Советник президента РФ по вопросам развития интернета Герман Клименко позже заявил, что эти хакерские атаки не нанесли серьезного ущерба серверам российских госорганов и финансовых институтов.
Белоруссия "криво" заблокировала Tor. Пользоваться трудно, но можно 2016-12-12 00:00 http://www.itsec.ru/newstext.php?news_id=114114
Белоруссия против Tor Министерство связи и информатизации Белоруссии заблокировало в стране анонимную сеть Tor. Как сообщается в официальном блоге Tor, эта сеть начала полномасштабно блокироваться на территории страны в декабре 2016 г., хотя о планах блокировки Tor власти Белоруссии сообщали еще в 2015 г. Сеть Tor позволяет анонимно размещать в Сети веб-сайты и предоставлять пользователям доступ к ним на условиях анонимности. В числе прочих задач она используется для распространения запрещенного контента и другой противоправной деятельности, вести которую, благодаря этому, становится безопаснее. Представители Минсвязи Белоруссии заявили, что блокировка Tor производится для борьбы с доступом пользователей к ресурсам, содержащим запрещенную информацию, отметив, что такие меры применяются во многих странах мира, передает издание БелТА. "Не преследуется цель запретить анонимный доступ пользователей в интернет. Задачей является ограничение доступа к интернет-ресурсам, содержащим информацию, распространение которой запрещено", - говорится в комментарии Минсвязи. Способ блокировки Tor Пользователи Tor отмечают на профильных ресурсах, что блокировка анонимной сети в Белоруссии осуществляется посредством подстановки TCP RST-пакетов, что приводит к обрыву соединения при обращении к публичным шлюзам Tor. RST-пакеты (от английского reset - перезагрузка) заставляют сервер посылать сигнал на разрыв соединения. При этом, непосредственный доступ пользователей к серверам директорий Tor не блокируют. По словам пользователей, подобный метод блокировки Tor напоминает ранние попытки борьбы с данной системой властей Китая, которые нельзя было назвать особенно удачными. Чтобы обойти такую блокировку, пользователю достаточно настроить игнорирование TCP-пакетов с флагом RST. Помимо этого советуют использовать не отмеченные в основном каталоге Tor скрытые шлюзы. Борьба с анонимайзерами В феврале 2015 г. Министерство связи и информатизации Белоруссии запретило использовать в стране любые анонимайзеры. Тогда же уточнялось, что под это постановление подпадает и Tor, способы блокировки которого будут прорабатываться. Впрочем, многие эксперты отмечают, что полностью заблокировать Tor властям Белоруссии едва ли удастся, как не удалось этого добиться и в других странах, где ведут борьбу с этой анонимной сетью. Наиболее известен борьбой с Tor Китай, где власти постоянно совершенствуют свой интернет-фильтр, стремясь не давать пользователям обходить блокировки запрещенных сайтов. Несмотря на все усилия, аудитория данной системы в Китае продолжает стабильно расти. Tor и правительство США Проект Tor разрабатывает и поддерживает пакет Tor Browser, основанный на браузере Firefox. Он позволяет пользователям выходить в интернет анонимно, пропуская трафик от исходного пункта (начального сервера) к пункту назначения (ПК пользователя) и в обратном направлении через цепочку узлов. Принцип работы сети заключается в том, что информация об адресе предыдущего узла на каждом новом узле, куда пришли данные, отсутствует. Таким образом, никто не может узнать, откуда пришел запрос на сервер, то есть откуда и с какого ПК человек выходил в сеть. В ноябре 2015 г. сообщалось о том,, что в 2014 г. на сеть Tor была проведена атака, целью которой была деанонимиация пользователей сети. Атака была проведена Университетом Карнеги-Меллон и оплачена ФБР. Бюро само обратилось к специалистам университета. Взлом был ему необходим, чтобы узнать активность нарушителей закона, пользующихся этой сетью для скрытия своего местонахождения. Гонорар за работу составил не менее $1 млн, что сообщил администрации Tor анонимный осведомленный источник. В ноябре 2016 г. стало известно, что ФБР незаконно взломало почтовые ящики пользователей сервиса TorMail, расследуя дело о детской порнографии в 2013 г. Полученный судебный ордер разрешал взломать лишь некоторое количество определенных учетных записей, однако бюро на этом не остановилось. К такому выводу пришел Американский союз защиты гражданских свобод (ACLU), который занимается расследованием инцидента. Технология, лежащая в основе Tor, была разработана ВМС США для шифрования военных коммуникаций, но впоследствии приобрела статус открытого проекта, доступного всем желающим. Основная часть средств на развитие Tor поступает от правительства США. В 2013 г. Tor в общей сложности получил от разных правительственных структур США гранты на сумму $1,82 млн по сравнению с $1,24 млн в 2012 г. Из этой суммы $882,3 тыс. были выделены Госдепартаментом США, $830,3 тыс. — Министерством обороны США, $100,3 тыс. — Национальным научным фондом при правительстве США и $10 тыс. — Агентством США по международному развитию. Сумма пожертвований на развитие Tor в 2013 г. увеличилась на 47% по сравнению с 2012 г.
В Госдуму внесен законопроект о требованиях к защите информации в информационных системах, используемых госорганами 2016-12-13 00:00 http://www.itsec.ru/newstext.php?news_id=114138
В законопроекте предлагается установить наряду с требованиями о защите информации в государственных информационных системах требования о защите информации, содержащейся в других информационных системах, в которых на основании договоров или на других законных основаниях обрабатывается информация, принадлежащая госорганам. "В ходе оценки состояния технической защиты информации ограниченного доступа в органах власти установлено, что значительные объемы данных о гражданах, сведения в экономической, социальной, политической, правоохранительной и других областях деятельности государства, подлежащих защите, обрабатываются государственными органами с использованием информационных систем, которые не относятся к государственным информационным системам", — говорится в пояснительной записке к документу. Авторы законопроекта утверждают, что эти обстоятельства приводят к снижению уровня защищенности информации, являющейся государственным информационным ресурсом, в процессе информационного взаимодействия между различными информационными системами, используемыми госорганами и организациями. С-Терра Шлюз под контролем HP ArcSight 2016-12-13 00:00 http://www.itsec.ru/newstext.php?news_id=114152
Компании "С-Терра СиЭсПи" и "ДиалогНаука" успешно завершили работы по интеграции шлюзов безопасности С-Терра Шлюз с SIEM решением HP ArcSight. В преддверии выхода новой версии продуктов С-Терра 4.2, компания "ДиалогНаука" обновила специализированный FlexConnector, который позволяет детально сохранять данные о событиях, поступающих от шлюза безопасности С-Терра в ArcSight. Процедура обработки сообщений также была оптимизирована – появилась возможность дальнейшей интерпретации данных подсистемой формирования отчетов. Тестовые испытания совместной работы HP ArcSight и С-Терра Шлюз подтвердили корректность и стабильность взаимодействия. "Совместимость этих двух продуктов важна для многих пользователей, – отметил технический директор ООО "С-Терра СиЭсПи" Христофор Газаров. – Особенно удобно, что решение HP ArcSight можно применять для территориально-распределенных информационных систем, где чаще всего и используется оборудование С-Терра. Мы уже проходили процедуру интеграции в предыдущей версии шлюза безопасности С-Терра, и, благодаря продолжающемуся сотрудничеству наших компаний, теперь можно использовать HP ArcSight для взаимодействия как с актуальной версией С-Терра 4.1, так и с выходящей в ближайшее время версией 4.2". С-Терра Шлюз применяются для защиты трафика в информационных системах, оперирующих данными, которые требуется защищать в соответствии с российским законодательством, а SIEM решение HP ArcSight ESM является одной из ведущих систем, предназначенных для сбора, обработки и хранения событий безопасности. Совместное использование этих мощных инструментов многократно повышает эффективность и надежность работы всей системы безопасности. "На сегодняшний день многие заказчики уже используют решения HP ArcSight для управления инцидентами информационной безопасности, – комментирует Виктор Сердюк, генеральный директор АО "ДиалогНаука". – Разработанный нами новый коннектор позволит системе мониторинга и корреляции событий безопасности HP ArcSight получать и обрабатывать информацию с шлюза С-Терра последней версии, что в целом повысит эффективность обнаружения и реагирования на инциденты". За год в РФ выявлено около 26 тысяч экстремистских интернет-ресурсов 2016-12-13 00:00 http://www.itsec.ru/newstext.php?news_id=114151
За текущий год российские спецслужбы и правоохранительные органы выявили в сети порядка 26 тысяч экстремистских и террористических ресурсов. Об этом заявил директор ФСБ, председатель Национального антитеррористического комитета Александр Бортников. Отмечается, что этот показатель почти вдвое превышает прошлогодный. "Принятие дополнительных мер по защите информационного пространства позволило выявить около 26 тысяч экстремистских и террористических ресурсов, что более чем в два раза превышает показатель 2015 года, а также пресечь преступную пропаганду в сети интернет ряда таких организаций и групп", — цитирует Бортникова РИА "Новости". На заседании Национального антитеррористического комитета его глава рассказал, что совместными усилиями МВД и ФСБ в августе года на территории России были ликвидированы ячейки международного интернет-сообщества, в котором состояли более 100 тысяч последователей со всего мира. Это сообщество, по словам Бортникова, распространяло радикальные идеи, проводило рекрутирование боевиков в состав международных террористических организаций и собирало средства для финансирования ИГ (террористическая организация "Исламское государство", запрещена в РФ). Левин: "Пакет Яровой" могут вернуть в Госдуму для корректировки 2016-12-14 00:00 http://www.itsec.ru/newstext.php?news_id=114177
Правительство может вернуть на рассмотрение Госдумы антитеррористический "пакет Яровой" для корректировки. Об этом сообщил в ходе конференция "Рунет 2016: Итоги года. Курс - на цифровую экономику России" председатель комитета Госдумы по информационной политике, информационным технологиям и связи Леонид Левин. "Есть примеры успешного сотрудничества с индустрией, есть примеры безуспешного. Безуспешным сотрудничеством, точнее отсутствием сотрудничества можно назвать "закон Яровой", решения которого приходится искать исполнительной власти, не исключено, что они вернутся к нам с точки зрения законодательной корректировки этого закона, эта проблема дошла и до президента, как вы знаете", - сказал Левин. Ранее президент РФ Владимир Путин на встрече с представителями фракции "Единой России" заявил, что "пакет Яровой" может быть скорректирован. Пакет с "антитеррористическими поправками", инициированный депутатом Ириной Яровой и сенатором Виктором Озеровым, был принят Госдумой и Советом Федерации в конце июня, 7 июля "пакет Яровой" подписал президент РФ В.Путин. Согласно поправкам, операторов связи и интернет-провайдеров законодательно обязывают хранить пользовательские данные в течение шести месяцев. Кроме того, в Уголовный кодекс вводятся новые статьи и пункты статьей, например, за недоносительство. Возраст уголовной ответственности по статьям "террористической направленности" снижается до 14 лет.
Совбез всерьез займется регулированием соцсетей и СМИ 2016-12-14 00:00 http://www.itsec.ru/newstext.php?news_id=114167
Согласно Доктрине информационной безопасности Совет безопасности РФ намеревается усилить правовое регулирование деятельности соцсетей, мессенджеров, интернет-телевидения и СМИ. Как следует из проекта стратегии развития информационного общества на 2017?2030 годы, который опубликован на сайте Совбеза, для формирования информационного пространства знаний решаются многие задачи. Среди них, в частности, совершенствование механизмов законодательного регулирования всех видов средств массовой информации, а также средств обеспечения доступа к информации, которые по многим признакам могут быть отнесены к СМИ, но не являются таковыми (интернет-телевидение, новостные агрегаторы, соцсети, сайты в интернете, мессенджеры). Также к задачам отнесены меры по эффективному использованию современных информационных платформ для распространения разнообразных, достоверных и качественных данных отечественного производства. Более того, в документе приводятся базовые принципы, на которые опирается стратегия. Среди них — соблюдение прав и свобод человека по доступу к информации; обеспечение свободы выбора средств получения знаний при работе с информацией; приоритет традиционных для России духовно-нравственных ценностей и основанных на этих ценностях социальных норм при использовании информационных и коммуникационных технологий; обеспечение государственной защиты российских граждан в информационном пространстве. Напомним, Доктрина информационной безопасности РФ вступила в силу 6 декабря. В ней изложены официальные взгляды на обеспечение безопасности государства в информационной сфере. В эту сферу входят совокупность информации, информационных систем, сайтов, сетей связи и компаний, деятельность которых связана с созданием и обработкой информации, развитием IT-технологий. Доктрина служит основой для формирования государственной политики в области обеспечения инфобезопасности России, подготовки предложений по изменению ее правового и научно-технического обеспечения и разработки целевых программ в этом направлении. Добавим, накануне участники заседания межведомственной комиссии Совета безопасности обратили внимание на тенденцию к росту угроз в информационной сфере.
В Госдуму внесен законопроект об усилении защиты информации госорганов 2016-12-14 00:00 http://www.itsec.ru/newstext.php?news_id=114161
Проект закона "О внесении изменений в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации"" представлен Министерством обороны РФ. Соответствующий документ опубликован на сайте правительства. Согласно документу, в настоящее время закон "Об информации, информационных технологиях и о защите информации" (Федеральный закон №149-ФЗ) не предусматривает "прохождение какой-либо процедуры для отнесения информационной системы к государственным информационным системам". Как отмечается в пояснительной записке к документу, "значительные объемы данных о гражданах, сведения в экономической, социальной, политической, правоохранительной и других областях деятельности государства, подлежащих защите, обрабатываются государственными органами с использованием информационных систем, которые не относятся к государственным информационным системам", что приводит к снижению уровня защищенности данных при взаимодействии между различными инфосистемами. Авторы законопроекта предлагают внести изменения в ч. 5 ст. 16 Федерального закона №149-ФЗ, предусматривающие установление требований о защите информации, содержащихся в других инфосистемах, в которых обрабатываются данные, принадлежащие госорганам. Документ также предлагает дополнить ст. 16 вышеуказанного закона положениями, обязывающими операторов информационных систем обеспечивать функционирование систем защиты информации в соответствии с требованиями, установленными ч. 5 ст. 16 Федерального закона №149-ФЗ. Кроме того, операторов обяжут информировать о компьютерных инцидентах. "Информирование необходимо для анализа причин возникновения инцидента, по результатам которого определяется достаточность установленных требований о защите информации", - поясняется в сопроводительной записке к проекту закона. КС РФ решил вопрос со справедливым наказанием для пиратов 2016-12-14 00:00 http://www.itsec.ru/newstext.php?news_id=114159
КС РФ огласил вердикт по итогам рассмотрения дела, инициированного судьями Арбитражного суда Алтайского края, которые оспаривали ряд статей Гражданского кодекса (ст.1301, 1311 и 1515). Данные статьи устанавливают минимальный размер компенсации за нарушение исключительных авторских прав. Согласно законодательству, с нарушителя авторских прав необходимо взыскивать не менее 10 тыс. рублей за каждое произведение, распространяемое без лицензии. При этом суд не может снизить размер компенсации. В производстве Арбитражного суда Алтайского края находятся два иска, по которым правообладатели требуют взыскать с предпринимателей значительные суммы компенсации за нарушение авторских и смежных прав и незаконное использование товарного знака. Согласно нормам ГК РФ, правообладатель может потребовать от нарушителя вместо возмещения убытков выплатить компенсацию в размере от 10 тыс. до 5 млн рублей. В одном случае истцы просят взыскать 900 тыс. рублей с предпринимательницы Юлии Любиной за продажу нелицензионных дисков Стаса Михайлова. Второе дело связано с нарушением прав на товарные знаки. Речь идет о незаконной продаже игрушек из мультфильма "Фиксики". Согласно решению Конституционного суда, действующий порядок назначения компенсации не позволяет судьям устанавливать суммы выплат с учетом вины и причиненного ущерба. Кроме того, он не отвечает принципам справедливости и соразмерности. "Суду должна предоставляться возможность уменьшать явно несправедливый размер санкции ниже указанного в законе минимального предела при наличии ряда обстоятельств. Если правонарушение совершено впервые, нарушение прав на объекты интеллектуальной собственности не является для лица существенной частью его деятельности и не носило грубый характер, а размер компенсации многократно превышает размер причиненных правообладателю убытков", - говорится в постановлении суда. Судьи также указали, что "иной подход к взысканию компенсации подрывает доверие граждан к закону и суду". "Лаборатория Касперского" покидает Украину 2016-12-15 00:00 http://www.itsec.ru/newstext.php?news_id=114194
"Было принято решение о закрытии регионально офиса в связи с тем, что правительство страны ограничило внешнеэкономическую деятельность Kaspersky Lab Ukraine", — рассказала агентству ТАСС представитель компании Юлия Кривошеина. В "Лаборатории" также отметили, что продукты компании будут продаваться на Украине через дистрибуторские каналы. Напомним, в октябре стало известно, что Украина вывела из санкционного списка компанию "Лаборатория Касперского". Сохранились санкции только в отношении украинской "дочки" компании. Сообщалось, что санкции с российской компании были сняты указом президента Украины Петра Порошенко. В сентябре прошлого года Порошенко на год запретил государственные закупки и использование продуктов российских разработчиков антивирусов "Лаборатория Касперского" и "Доктор Веб". Компании попали под санкции. Добавим, недавно в компании сообщили, что планируют начать сотрудничество со Всемирным антидопинговым агентством (WADA). Джон Макафи продолжает судиться с Intel из-за бренда McAfee 2016-12-15 00:00 http://www.itsec.ru/newstext.php?news_id=114188
В соответствии с американскими законами о патентах и товарных знаках, Intel владеет брендом McAfee, который был приобретен в 2011 году. В сентябре нынешнего года Джон Макафи подал в суд на Intel за право использовать его имя для другой компании, планируя совершить ребрендинг от MGT Capital Investments Inc. к John McAfee Global Technologies, Inc. Судебные баталии пока продолжаются. В минувшем сентябре Intel объявила о подписании соглашения с компанией TPG о расширении бизнеса Intel Security и создании отдельного предприятия под названием McAfee. Существует высокая вероятность, что Intel продаст полные права на использование полного имени Джона Макафи новому предприятию, утверждается в заявлении Макафи и MGT Capital Investments. Истцы намерены потребовать наложения предварительного судебного запрета на "продажу, обмен, назначение, лизинг или другие методы передачи прав, полностью или частично, связанных с любыми торговыми знаками, торговыми именами или юридическими лицами, содержащими слово "McAfee"", пока спор не будет решен. Как заявляла Intel в сентябре текущего года, Макафи "утратил какие-либо права на использование собственной фамилии тогда, когда продал все права на одноименный антивирус" в 1990-х. Евросоюз ужесточит требования к Skype и WhatsApp 2016-12-15 00:00 http://www.itsec.ru/newstext.php?news_id=114187
Согласно документу, законодательные нормы обяжут сервисы, предоставляющие услуги связи через интернет, гарантировать конфиденциальность коммуникаций и запрашивать согласие пользователей на получение и обработку данных. За несоблюдение требований нарушителям грозит штраф в размере до 4% от мирового оборота компаний. Представитель Еврокомиссии отказалась комментировать законопроект, но уточнила, что новые нормы будут адаптированы в соответствии с правилами защиты данных, которые вступят в силу в 2018 году. Также ЕК пересмотрит положения закона о файлах cookie и разрешит web-сайтам не запрашивать разрешение пользователей на запись в браузере файлов cookie в случае, если пользователь уже дал согласие на их размещение в настройках интернет-обозревателя. Согласно действующим правилам, интернет-ресурсы обязаны получать согласие пользователя на размещение cookie-файлов и объяснять, для чего они используются. Новые требования будут представлены в январе 2017 года. Gartner: по размеру бюджета нельзя судить о надежности защиты информации 2016-12-15 00:00 http://www.itsec.ru/newstext.php?news_id=114203
Таким образом, размер бюджета не может быть надежным признаком успеха программы. Сравнение со средним в отрасли значением мало что говорит о состоянии безопасности в компании. Тем не менее, как полагают аналитики, в большинстве компаний в ближайшие годы по-прежнему будут пользоваться именно этим показателем. Явные расходы на обеспечение безопасности состоят из расходов на оборудование, программы, услуги (аутсорсинг и консультирование) и зарплату. Однако, они не показывают истинных вложений в эту сферу, так как многие функции, связанные с безопасностью, реализуются в оборудовании, программах и различных проектах, не связанных напрямую с безопасностью. По мнению аналитиков, на безопасность следует выделять от 4% до 7% бюджета ИТ — меньше, если в компании уже внедрены современные методы работы ИТ, снижающие общую сложность инфраструктуры, и больше, если системы безопасности несовершенны и подвергаются риску. PwC прибегла к угрозам, чтобы скрыть "дыры" в своей системе 2016-12-15 00:00 http://www.itsec.ru/newstext.php?news_id=114201
Досудебная претензия Консалтинговая корпорация Pricewaterhousecoopers (PwC) безуспешно попыталась запретить публикацию сведений о серьезной уязвимости, которую в ее программной разработке на добровольных началах обнаружила немецко-американская фирма ESNC, специализирующаяся на исследовании безопасности систем SAP. Юристы PwC грозили ESNC юридической расправой и дважды направляли в компанию досудебные претензии с требованием не предавать гласности баг, выявленный в ее продукте Automated Controls Evaluator (ACE) для ERP-системы SAP. В ESNC решили, что подчиняться этим требованиям не станут, и в начале декабря 2016 г. опубликовали данные об уязвимости в свободном доступе. Баг был обнаружен еще в августе 2016 г., о чем PwC была поставлена в известность в тот же момент. После этого в ESNC просто выдержали принятый в отрасли период в три месяца, который обычно дается создателям уязвимой системы на устранение ошибок, прежде чем они станут общим достоянием. Уязвимость была выявлена в версии ACE 8.10.304 и, вполне вероятно, присутствует и в более ранних версиях. После выхода нежелательной для разработчиков ACE информации, представители PwC выступили с утверждением о том, что ошибка уже исправлена, и что вероятность ее эксплуатации очень невелика. Суть проблемы ACE представляет собой диагностический инструмент для SAP, написанный программистами PwC. ACE извлекает из систем SAP информацию о настройках и безопасности, анализирует ее на предмет наличия ошибок, уязвимостей и бэкдоров, и автоматически генерирует отчет для ИТ-специалистов, работающих с системой. Исследователи ESNC обнаружили в ACE серьезные ошибки, позволяющие хакерам удаленно производить манипуляции с документами внутри ERP-системы SAP, запускать произвольный код и устанавливать бэкдоры. По утверждению исследователей ESNC, уязвимость позволяет злоумышленникам производить всевозможные манипуляции с бухгалтерскими документами, финансовыми отчетами, обходить ограничения на доступ к определенным данным и менять внутренние настройки управления. "Следствием этого могут стать мошеннические действия, хищение или видоизменение конфиденциальных данных, включая персональные, например, исходные данные о клиентах, информация о расчетах с персоналом, несанкционированные финансовые транзакции", — говорится в отчете ESNC. Комментарии сторон и внешних экспертов Генеральный директор российской компании "Монитор безопасности" Дмитрий Гвоздев в разговоре с CNews отметил, что подобные ситуации на рынке не редкость, и досудебные претензии — это еще не самая жесткая реакция. Например, весной этого года программист и исследователь безопасности компьютерных систем Джастин Шэфер (Justin Shafer) был задержан агентами ФБР после того, как обнаружил общедоступный FTP-сервер с личными данными клиентов крупной стоматологической клиники Patterson Dental, и уведомил руководство этой организации о своей находке. В ответ компания Pattersonподала против него жалобу о нарушении Акта о компьютерном мошенничестве и злоупотреблении. Со своей стороны, исполнительный директор ESNC Эртунга Арсал (Ertunga Arsal) отметил, что впервые сталкивается с подобной реакцией. Исследователи ESNC ранее помогли найти и заделать более сотни серьезных багов в разработках SAP и других производителей ПО, и никаких претензий не получали. В PwC продолжают пребывать в уверенности, что ESNC не имели права проводить аудит безопасности ACE уже потому, что у них не было законной возможности получить доступ к этой программе. Она доступна только лицензированным партнерам PwC, а ESNCк ним не относится. Описанный в бюллетене ESNC сценарий атаки представители PwC назвали "гипотетическим и маловероятным", отметив, что у них нет сведений о фактических попытках эксплуатации уязвимости.
Сотрудники Evernote смогут читать заметки пользователей с 2017 года 2016-12-15 00:00 http://www.itsec.ru/newstext.php?news_id=114208
С первого января 2017 года всем пользователям сервиса Evernote придется принять новое соглашение о конфиденциальности. В первую очередь это необходимо компании для того, чтобы наладить технологию "машинного обучения". В частности, для этого сотрудники сервиса должны будут следить за корректной работой этой технологии. Как отмечают в компании, доступ к заметкам и файлам пользователей будет у ограниченного числа уполномоченных сотрудников, которые будут проходить строгие меры аутентификации для защиты этого доступа. Кроме того список таких сотрудников обещают не увеличивать. Что касается пользователей, то новая политика конфиденциальности никак не отразиться на их работе с приложением. Кроме того у пользователей, которые категорически не желают давать доступ сотрудникам Evernote к своим записям, есть возможность либо зашифровать их, либо совсем отказаться от технологии машинного обучения в настройках приватности. Однако в компании предупреждают, что те, кто отказался от доступа, не смогут "получить максимальную отдачу от сервиса". |
| В избранное | ||
