Некоммерческая организация HITRUST, занимающаяся разработкой стандартов безопасности данных и сертификацией, запустила новую инициативу, призванную стимулировать ИБ-специалистов к улучшению средств контроля кибербезопасности в своих компаниях. HITRUST также представила результаты исследования, подтверждающие, что оценка зрелости и проработанности средств управления безопасностью позволяет определить их дальнейшую эффективность.
HITRUST ввела оценку зрелости средств управления безопасностью
HITRUST ввела оценку зрелости средств управления безопасностью
SecurityLab.ru
HITRUST ввела оценку зрелости средств управления безопасностью
Чем выше оценка HITRUST CSF, тем меньше ошибок в управлении и ниже риск для клиентов компаний.
Уязвимости в фотоаппаратах Canon позволяют заражать их вредоносным ПО, в том числе вымогательским. Уязвимости можно проэксплуатировать как с помощью беспроводного подключения (по Wi-Fi), так и при подключении фотоаппарата к компьютеру через USB-порт.
Уязвимости в Canon EOS 80D позволяют заразить камеру вымогательским ПО
Уязвимости в Canon EOS 80D позволяют заразить камеру вымогательским ПО
SecurityLab.ru
Уязвимости в Canon EOS 80D позволяют заразить камеру вымогательским ПО
Атаковать устройство можно как по Wi-Fi, так и через USB-подключение к компьютеру.
Недавно злоумышленники придумали новый способ телефонного мошенничества. Преступники в телефонном разговоре представляются работниками банка и сообщают жертве о несанкционированной попытке вывести ее денежные средства в другом регионе. Как сообщается в издании «Российская газета», мошенники не запрашивают у жертв никакой конфиденциальной информации.
Злоумышленники придумали новый вид телефонного мошенничества
Злоумышленники придумали новый вид телефонного мошенничества
SecurityLab.ru
Злоумышленники придумали новый вид телефонного мошенничества
Жертвам поступает звонок от «сотрудника» банка, который хочет приостановить финансовую операцию.
Исследователи безопасности из Pen Test Partners обнаружили многочисленные уязвимости в маршрутизаторах 4G от разных компаний, эксплуатация которых позволяет злоумышленникам получить доступ к конфиденциальной информации пользователей и выполнять команды.
В маршрутизаторах 4G обнаружены критические уязвимости
В маршрутизаторах 4G обнаружены критические уязвимости
SecurityLab.ru
В маршрутизаторах 4G обнаружены критические уязвимости
Уязвимости позволяют злоумышленникам получить доступ к конфиденциальной информации пользователей и выполнять команды.
Android-устройства могут поставляться со встроенным вредоносным ПО и бэкдорами из-за недостаточного контроля и проверки. По словам исследователя Мэдди Стоун (Maddie Stone) из Google Project Zero, злоумышленники пользуются этой возможностью для размещения вредоносного кода прямо на стадии разработки и заражения таким образом цепочки поставок.
Android-устройства могут поставляться со встроенным вредоносным ПО
Android-устройства могут поставляться со встроенным вредоносным ПО
SecurityLab.ru
Android-устройства могут поставляться со встроенным вредоносным ПО
Злоумышленники могут размещать вредоносный код на стадии разработки устройства и заражать таким образом цепь поставок.
Консорциум удостоверяющих центров, разработчиков браузеров и операционных систем CA/Browser Forum предложил вдвое сократить срок действия SSL-сертификатов для HTTPS – с 27 до 13 месяцев. Предложение, в прошлом месяце озвученное представителем Google Райаном Сливи (Ryan Sleevi), все еще находится на стадии проекта, и дата голосования пока не назначена.
CA/Browser Forum предложил вдвое сократить срок действия SSL-сертификатов
CA/Browser Forum предложил вдвое сократить срок действия SSL-сертификатов
SecurityLab.ru
CA/Browser Forum предложил вдвое сократить срок действия SSL-сертификатов
Сокращение жизненного цикла сертификатов увеличит затраты компаний и доставит дополнительные хлопоты.
На пользователей в Израиле была направлена новая мошенническая кампания, в рамках которой использовался SMS-фишинг. Злоумышленники от имени легитимных организаций отправляли SMS-сообщения с целью убедить жертву загрузить вредоносное приложение, перейти по ссылке или предоставить личную информацию, такую как данные банковского счета или кредитной карты.
Пользователи в Израиле подверглись новой фишинг-атаке
Пользователи в Израиле подверглись новой фишинг-атаке
SecurityLab.ru
Пользователи в Израиле подверглись новой фишинг-атаке
Пользователям поступали SMS-сообщения от имени одного из крупнейших банков Израиля.
Недавно обнаруженная киберпреступная группировка из Нигерии под названием Curious Orca перед осуществлением BEC-атаки вручную проверяет подлинность электронных адресов своих жертв.
Мошенники проверяют подлинность данных перед BEC-атаками
Мошенники проверяют подлинность данных перед BEC-атаками
SecurityLab.ru
Мошенники проверяют подлинность данных перед BEC-атаками
Группировка Curious Orca вручную проверяет подлинность электронных адресов, отправляя пустые письма.
Национальная служба по вопросам кибер- и информационной безопасности Чехии подозревает в недавней кибератаке на компьютеры Министерства иностранных дел зарубежные государства. Служба не уточняет, какая именно страна подозревается, сообщает издание Denik N.
Чехия подозревает зарубежные страны в кибератаках на МИД
Чехия подозревает зарубежные страны в кибератаках на МИД
SecurityLab.ru
Чехия подозревает зарубежные страны в кибератаках на МИД
Председатель партии STAN Вит Ракушан потребовал созвать комитет по вопросам безопасности парламента в связи с атакой.
Специалисты компании Microsoft обнаружили в Remote Desktop Services (RDS) четыре новые критические уязвимости наподобие недавно исправленных уязвимостей BlueKeep. Как сообщают эксперты, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 и CVE-2019-1226 позволяют неавторизованному атакующему получить удаленный контроль над системой без какого-либо участия со стороны пользователя.
Новые червеобразные уязвимости затрагивают все версии Windows 10
Новые червеобразные уязвимости затрагивают все версии Windows 10
SecurityLab.ru
Новые червеобразные уязвимости затрагивают все версии Windows 10
Microsoft исправила четыре новые BlueKeep-подобные уязвимости в RDS.
Правительство США подписало с компанией Cray 600-миллионный контракт на создание первого в мире эксафлопсного суперкомпьютера под названием El Capitan. Суперкомпьютер должен стать самым производительным на земле и будет использоваться для управления ядерными запасами США. Дата выхода El Capitan назначена на конец 2023 года.
Эксафлопный суперкомпьютер обеспечит безопасность ПО для управления ядерным арсеналом США
Эксафлопный суперкомпьютер обеспечит безопасность ПО для управления ядерным арсеналом США
SecurityLab.ru
Эксафлопный суперкомпьютер обеспечит безопасность ПО для управления ядерным арсеналом США
Компания Cray получит $600 млн на создание первого в мире эксафлопного суперкомпьютера El Capitan.
Исследователи из Netflix и Google обнаружили ряд уязвимостей в нескольких реализациях протокола HTTP/2. Эксплуатация уязвимостей позволяет злоумышленникам вызвать отказ в обслуживании на необновленных серверах.
В реализациях HTTP/2 обнаружены опасные DoS-уязвимости
В реализациях HTTP/2 обнаружены опасные DoS-уязвимости
SecurityLab.ru
В реализациях HTTP/2 обнаружены опасные DoS-уязвимости
Уязвимости затрагивают продукты таких поставщиков, как Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js и Ubuntu.
В Delta Industrial Automation DOPSoft от тайваньской компании Delta Electronics обнаружены уязвимости, позволяющие спровоцировать утечку информации, удаленное выполнение кода и аварийное завершение работы приложения.
В Delta Industrial Automation DOPSoft исправлены критические уязвимости
В Delta Industrial Automation DOPSoft исправлены критические уязвимости
SecurityLab.ru
В Delta Industrial Automation DOPSoft исправлены критические уязвимости
Обе проблемы были исправлены в версии DOPSoft 4.00.06.47.
Компания Facebook платила сотням сторонних подрядчиков за расшифровку аудиозаписей пользователей своих сервисов. Об этом сообщили изданию Bloomberg сотрудники, пожелавшие сохранить анонимность.
Facebook платила подрядчикам за расшифровку аудиочатов пользователей
Facebook платила подрядчикам за расшифровку аудиочатов пользователей
SecurityLab.ru
Facebook платила подрядчикам за расшифровку аудиочатов пользователей
Нанятым сотрудникам не сообщали, где были записаны аудиоданные или каким образом они были получены.
Компания Mozilla решила внести несколько изменений в сборке браузера Firefox 70, выпуск которой намечен на 22 октября.
Новые изменения в Firefox 70 затронут уведомления и FTP
Новые изменения в Firefox 70 затронут уведомления и FTP
SecurityLab.ru
Новые изменения в Firefox 70 затронут уведомления и FTP
В Firefox 70 перестанут отрисовыватся данные файлов, загруженных через FTP, а загрузка файла на диск будет инициироваться сразу при открытии.
ПО, «закопанное» в Windows еще со времен Windows XP, позволяет получить полный контроль над системой. Атака возможна благодаря уязвимости CVE-2019-1162, исправленной компанией Microsoft с выходом обновлений безопасности во вторник, 13 августа.
Взломать Windows можно через «Блокнот»
Взломать Windows можно через «Блокнот»
SecurityLab.ru
Взломать Windows можно через «Блокнот»
Исследователь продемонстрировал, как с помощью уязвимости в CTF можно повысить свои привилегии до уровня системы.
Роскомнадзор совместно с МВД провел 194 контрольных мероприятия против незаконного распространения SIM-карт операторов сотовой связи. Больше всего рейдов пришлось на территории Приволжского и Северо-Кавказского федеральных округов, по 49 на каждый.
Роскомнадзор совместно с МВД изъял около 9,7 тыс. незаконных SIM-карт
Роскомнадзор совместно с МВД изъял около 9,7 тыс. незаконных SIM-карт
SecurityLab.ru
Роскомнадзор совместно с МВД изъял около 9,7 тыс. незаконных SIM-карт
Больше всего преступлений связано с продажей SIM-карт без заключения договора и предоставления покупателем удостоверений личности.
Уязвимость в Bluetooth, получившая название KNOB, облегчает подбор ключа шифрования, используемого во время подключения устройств, и позволяет манипулировать данными, передаваемыми между двумя девайсами. Проблема затрагивает устройства с поддержкой Bluetooth BR/EDR (Bluetooth Classic) с версиями спецификаций 1.0 - 5.1.
Уязвимость KNOB в Bluetooth позволяет манипулировать передаваемыми данными
Уязвимость KNOB в Bluetooth позволяет манипулировать передаваемыми данными
SecurityLab.ru
Уязвимость KNOB в Bluetooth позволяет манипулировать передаваемыми данными
С помощью уязвимости злоумышленник может уменьшить длину ключа шифрования, что позволит его легче взломать.
Несмотря на то, что тестированию безопасности приложений в последнее время уделяется все больше внимания, темпы исправления уязвимостей продолжают сокращаться. К такому выводу пришли специалисты компании WhiteHat Security по результатам своего исследования.
Внедрение безопасности в DevOps снижает риск компаний стать жертвами утечек
Внедрение безопасности в DevOps снижает риск компаний стать жертвами утечек
SecurityLab.ru
Внедрение безопасности в DevOps снижает риск компаний стать жертвами утечек
У компаний, тестирующих безопасность своих приложений в процессе разработки, снижается вероятность взломов.
Исследователи из компании Palo Alto Networks обнаружили 34 млн уязвимостей в крупных облачных сервисах. По словам специалистов, проблемы появились не по вине провайдеров, а из-за приложений, которые развертывают клиенты в облаке.
В Google Cloud, AWS и Azure обнаружили 34 млн уязвимостей
В Google Cloud, AWS и Azure обнаружили 34 млн уязвимостей
SecurityLab.ru
В Google Cloud, AWS и Azure обнаружили 34 млн уязвимостей
Главными причинами возникновения уязвимостей являются устаревшие серверы Apache и уязвимые пакеты jQuery.
Специалисты компании Nozomi Networks Юнес Драгони (Younes Dragoni) и Алессандро ДиПинто (Alessandro Di Pinto) обнаружили в управляемых коммутаторах Siemens SCALANCE X опасную уязвимость. Путем многократного отправления службе Telnet больших пакетов данных злоумышленник может вызвать отказ в обслуживании (DoS).
В Siemens SCALANCE X обнаружена DoS-уязвимость
В Siemens SCALANCE X обнаружена DoS-уязвимость
SecurityLab.ru
В Siemens SCALANCE X обнаружена DoS-уязвимость
Проблема затрагивает все версии SCALANCE X-200, SCALANCE X-200IRT и SCALANCE X-200RNA.