Cyber Week – კვირის მნიშვნელოვანი მოვლენები 17-24 მაისი

კომპანიები მოუმზადებლები არიან ადამიანურ ფაქტორთან დაკავშირებული რისკების მიმართ

ინსაიდერული რისკებიცნობილია, რომ კომპანიისთვის კიბერუსაფრთხოების მხრივ ნომერ პირველ საფრთხეს მათივე თანამშრომლების ამ სფეროში გაუთვითცნობიერებლობა წარმოადგენს. პონემის ინსტიტუტის მიერ ჩატარებული კვლევის მიხედვით, ორგანიზაციები არ დგამენ ადეკვატურ ნაბიჯებს თანამშრომელთა ცოდნის დონის ასამაღლებლად. სხვადასხვა კომპანიებში მომუშავე 600 ინდივიდის გამოკითხვის შედეგად გაირკვა, რომ კომპანიათა 55%-ს ერთხელ მაინც მოსვლია ინციდენტი. კომპანიათა 60%-ს მიაჩნია, რომ თანამშრომლებს არ აქვთ სათანადო ცოდნა კომპანიის წინაშე არსებული რისკების თაობაზე. კომპანიათა მხოლოდ 46%-ში იმართება შესაბამისი ტრეინინგები მუდმივად. სასწავლო პროგრამათა უმრავლესობა საბაზისო ხასიათისაა და კომპანიათა 43%-ს მხოლოდ ერთი ასეთი კურსი გააჩნია.

https://www.helpnetsecurity.com/2016/05/23/employee-caused-security-incidents/

OWASP-მა API-ს უსაფრთხოების პროექტი წამოიწყო

OWASP-მა ახალი პროექტი წამოიწყო და აპირებს გამოაქვეყნოს სახელმძღვანელო უსაფრთხოების რისკების თაობაზე. ამჯერად საუბარია API-ს უსაფრთხოებაზე. პროექტის მიზანია დეველოპერებს მიაწოდოს ინფორმაცია, თუ რა საფრთხეებს შეიცავს დაუცველი API და როგორ შეიძლება მათი გამოსწორება. ბაგების შეტყობინების ონლაინ პლათფორმა Bugcrowd-დან აღებული მონაცემების მიხედვით შეიქმნა მნიშვნელოვანი საფრთხეების ჩამონათვალი. ის მოიცავს მონაცემთა არასათანადო გაფილტვრას, არასაკმარის კონტროლს, მნიშვნელოვანი ინფორმაციის დაუცველობას, სუსტ უსაფრთხოებას სერვერის მხარეს და სხვა. პროექტი ალფა ფაზაშია და ლისტის ჩამოყალიბება ჯერ კიდევ მიმდინარეობს.

https://www.helpnetsecurity.com/2016/05/23/owasp-api-security-risks/

LinkedIn-ის მომხმარებელთა ბაზა დარქ ვებში იყიდება

ლინკდინიდარქ ვებში არსებულ მაღაზიაში სახელად The Real Deal ჰაკერმა გასაყიდად წარმოადგინა ინფორმაცია 167 მილიონი LinkedIn-ის მომხმარებლის თაობაზე, საიდანაც 117 მილიონი შეიცავს იმეილებსა და დაჰეშილ პაროლებს. მონაცემები 2012 წელს გაიჟონა. მაშინ ფიქრობდნენ, რომ გამჟღავნდა მხოლოდ 6.5 მილიონი ჩანაწერი, თუმცა როგორც აღმოჩნდა მათი რაოდენობა ბევრად მეტია. LinkedIn-მა დაადასტურა მონაცემთა ნამდვილობა და მომხმარებლებს მოუწოდა შეცვალონ პაროლები. LeakedSource-მა გაანალიზა გაჟონილი მონაცემების პაროლები. გამოყენებულ პაროლებს სიხშირის მიხედვით თქვენ სურათზე ხედავთ. როგორც ჩანს მომხმარებლებს უსაფრთხოება არ ადარდებთ.

https://www.helpnetsecurity.com/2016/05/19/linkedin-users-account-data-sale-dark-web/

უფრთხილდით ტელეფონის დამტენ ქილოგერებს

ქილოგერი დამტენშიგამოძიებათა ფედერალური ბიურო კომპანიებს აფრთხილებს ყურადღებით იყვნენ ტელეფონის დამტენების მიმართ, რადგან ბაზარზე უკვე 10 დოლარად შესაძლებელია დამტენი ქილოგერების ყიდვა. ასეთი სახის ქილოგერები ინფორმაციას იღებენ უსადენო კლავიატურიდან. ყველაფერი რასაც თქვენ ასეთ კლავიატურაზე აკრეფთ, შესაძლოა ჰაკერების ხელში აღმოჩნდეს, მათ შორის პაროლები და საკრედიტო მონაცემები. მაიკროსოფტის წარმომადგენლის თქმით ასეთი შეტევები მუშაობს ყველა wi-fi მოწყობილობის მიმართ, რომელიც მონაცემთა გადაცემისას არ იყენებს ძლიერ შიფრაციას.

http://arstechnica.com/security/2016/05/beware-of-keystroke-loggers-disguised-as-usb-phone-chargers-fbi-warns/

ბრაუზერების ფუნქციების უმეტესობა გამოუყენებელია და უსაფრთხოების რისკს წარმოადგენს

ბრაუზერების ფუნქციათა 83%-ს ვებსაიტების მხოლოდ 1% იყენებს. ილინოისის უნივერსიტეტის მკვლევარებმა შეისწავლეს რამდენად იყენებენ მომხმარებლები და ვებსაიტების დეველოპერები ბრაუზერებში არსებულ თვისებებს და დაადგინეს, რომ მათ აბსოლუტურ უმრავლესობას არავინ იყენებს. ასეთ ფუნქციებს შორის არს რეკლამების ბლოკირების ფუნქციები. ასევე გამოუყენებელი ფუნქციების მაგალითებია ALS, “ambient light events” რომელიც საშუალებას იძლევა ლეპტოპებზე არსებული გარე განათების მიხედვით შეიცვალოს ბრაუზერის განათების დონე. ამ ფუნქციას 10,000-დან მხოლოდ 14 ვებსაიტი იყენებს. ყველასათვის ცნობილი iFrame-ებიც ამ კატეგორიაშია, თუმცა ცოტამ თუ იცის, რომ მათი 77% მუდმივად იბლოკება სხვადასხვა ექსთენშენების მეშვეობით.

http://www.theregister.co.uk/2016/05/24/pointless_features_add_to_browser_bloat_and_insecurity/

შვეიცარიის CERT უსაფრთხოების კონტრაქტორი კომპანიის დაჰაკვის დეტალებს აქვეყნებს

2014 წელს ჰაკერებმა გატეხეს შვეიცარიის სამთავრობო დაცვის კონტრაქტორი კომპანია RUAG და წვდომა მოიპოვეს 23 GB მონაცემებზე. მონაცემთა გაჟონვის შესახებ ინფორმაცია მხოლოდ წელს გახდა ცნობილი, როდესაც NZZ am Sonntag-მა გამოაქვეყნა სტატია, სადაც ნათქვამი იყო რომ RUAG-ში შეღწევის შემდეგ ჰაკერებმა წვდომა მოიპოვეს შვეიცარული DRA10 საიდუმლო სპეცდანაყოფის შესახებ. აღსანიშნავია, რომ შეტევის ხერხი არ ყოფილა განსაკუთრებულად რთული და სერიოზული დონის. ჰაკერებმა ქსელში ჯერ დაბალი პრივილეგიის წვდომა მოიპოვეს. საბოლოოდ კი RUAG-ის Active Directory-ის სერვერამდეც მივიდნენ, რამაც საშუალება მისცა ეკონტროლებინათ ქსელში არსებული მრავალი კომპიუტერი. შეღწევისას გამოყენებული ვირუსი ე.წ. ტურლას ოჯახიდანაა, რის გამოც ეჭვები რუსეთისკენ წავიდა.

http://www.theregister.co.uk/2016/05/24/anatomy_of_a_breach_swiss_cert_publishes_analysis_of_ruag_attack/

ბოლო 10 წლის უსაფრთხოების ყველაზე დიდი ჩავარდნები

ბოლო 10 წელში ბევრი რამ შეიცვალა, მათ შორის უსაფრთხოებისადმი მიდგომა, რამაც ძველი მოდელის დავიწყება და ახალი სისტემების დანერგვა გამოიწვია, მაგრამ ახალი სისტემები არც თუ იშვიათად მარცხისთვის იყო განწირული. მათ შორისაა პერიმეტრის უსაფრთხოება და ფაიერვოლით დაცვა, ციფრულ ხელმოწერაზე დაფუძნებული ტექნოლოგიები, მომხმარებლები, პაროლები, POS სისტემები, დაცვის პროტოკოლი SSL, ღია პორტები, ჯავა და ფლეში, ონლაინ რეკლამა, კანონდამცველები და კანონმდებლობა.

http://www.darkreading.com/threat-intelligence/epic-security–fails-of-the-past-10-years/d/d-id/1325595

ჰაკერები საპრეზიდენტო კამპანიებს უტევენ

ამერიკის ნაციონალური დაზვერვის დირექტორის, ჯეიმს კლაპერის თქმით, ჰაკერები საპრეზიდენტო კამპანიებს უტევენ. შეტევები სხვადასხვა მოტივებით ხორციელდება და დამანგრეველი ძალის მიხედვითაც განსხვავდება. შეტევებში გვხვდება მარტივი დიფეისიც და სისტემაზე კონტროლის მოპოვება ან მცდელობაც. სახელმწიფო უსაფრთხოების სამსახური, გამოძიებათა ფედერალური ბიურო და საიდუმლო სამსახური აქტიურად მუშაობენ მათ გამოვლენასა და დაცვაზე. ამასთან, საიდუმლო სამსახური კანდიდატებს ატყობინებს უკვე განხორციელებული შეტევებისა და შესაძლო შეტევების შესახებ და აწვდის ინფორმაციას მონაცემთა დაცვისა და უსაფრთხო კავშირის შესახებ.

https://hacked.com/us-spy-chief-hackers-targeting-presidential-campaigns/