Частные компании получили доступ к государственной кибер-защите Индии

Кибер-безопасность Индии открыли для частных компаний

Кирилл Токарев 17 Октября 2012 - 19:54

...

Советник по вопросам национальной безопасности Шившанкар Менон совершил невероятную реформу в современной индийской IT-индустрии, открыв национальную безопасность для частного сектора. Была запущена новая инициатива под названием «Recommendations of Joint Working Group on Engagement With Private Sector On Cyber Security».

«Невероятный потенциал для возможных атак сделал кибер-безопасность одним из самых важных вопросов для индийского правительства. Не вызывает сомнений то, что правительство и частный сектор должны работать вместе. Ранее у нас попросту не было подобного опыта», – говорит Менон.

Вспоминая недавние волнения в Ассаме и Мумбае, Менон подчеркнул важность налаживания надежной компьютерной системы безопасности: «Мы видим, как социальные сети могут использоваться для разжигания розни и нарушения коммунальной гармонии. Крайне важно создать надежную систему безопасности, но при этом сохранять демократические права и свободы наших граждан».

Шившанкар Менон

Заместитель советника Виджай Ласа Редди – автор новой концепции, придумавший начать совместную работу с частными компаниями. Всего несколько месяцев назад он заявлял: «Необходимо создать надежный механизм для партнерства с частным сектором в области кибер-безопасности. Это позволит в дальнейшем сделать Индию мировым центром для новых кибер-сервисов, защитных продуктов и привлечения ведущих специалистов в этой сфере».

Согласно данным специального секретаря Министерства иностранных дел Асоке Мукерджи, Индия уже начала инициировать диалог с США, Великобританией, Японией, Россией и ЕС, чтобы разработать нормы для сокращения критических рисков безопасности в сети.

Согласно официальным документам, сотрудничество с частным сектором будет проводиться по нескольким вопросам. Для их обсуждения требуется установить постоянную совместную рабочую группу под эгидой Совета национальной безопасности. В группу будут входить представители от правительства и различных компаний. Также будет организован комитет под названием «Joint Committee on International Cooperation and Advocacy», который будет защищать интересы Индии на международной арене. В рамках этой же инициативы рассчитывают открыть несколько центров для налаживания сотрудничества с командами быстрого реагирования на компьютерные взломы или атаки. Составление этих групп будет проходить под руководством ведущих промышленных ассоциаций региона.

совершил невероятную реформу в современной индийской IT-индустрии, открыв национальную безопасность для частного сектора. Была запущена новая инициатива под названием «Recommendations of Joint Working Group on Engagement With Private Sector On Cyber Security».

" />

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 21 Января 2026 - 09:50

Linux Уязвимости программ Малый и средний бизнес Корпорации

Критическая уязвимость в telnetd жила почти 10 лет и давала root-доступ

Исследователь по информационной безопасности Саймон Йозефссон обнаружил критическую уязвимость в компоненте telnetd, входящем в состав GNU InetUtils. Брешь незаметно существовала почти десять лет — с мая 2015 года — и позволяла удалённо входить в систему без аутентификации, сразу под пользователем root.

Проблема затрагивает все версии GNU InetUtils с 1.9.3 по 2.7 включительно. По сути, любой злоумышленник при определённых условиях мог получить полный контроль над системой, даже не зная пароля.

Как поясняет Йозефссон, сервер telnetd запускает системную утилиту /usr/bin/login, обычно от имени root, и передаёт ей имя пользователя. В уязвимой реализации это имя можно получить из переменной окружения, переданной клиентом.

Если клиент подсовывает значение -f root и подключается к серверу с опцией telnet -a (режим автологина), происходит следующее:

telnetd передаёт значение переменной окружения USER напрямую в login(1);
никакой проверки или экранирования не выполняется;
login(1) воспринимает -f root как служебный параметр;
а параметр -f означает вход без проверки пароля.

В итоге сервер автоматически аутентифицирует подключение как root — полностью обходя процесс валидации.

Обычное подключение по telnet не позволяет указать имя пользователя в таком виде. Однако в режиме автологина (-a) имя пользователя берётся не из командной строки, а именно из переменной окружения USER.

Именно здесь и кроется корень проблемы: telnetd доверял содержимому USER без какой-либо валидации. Достаточно было установить переменную окружения в значение -f root, и система сама открывала дверь.

Йозефссон показал рабочий пример атаки на системе Trisquel GNU/Linux 11, где после одной команды пользователь моментально получал root-доступ.

Как выяснилось, уязвимость появилась в коммите от 19 марта 2015 года и попала в релиз GNU InetUtils 1.9.3 от 12 мая того же года. Изначально изменение задумывалось как исправление проблемы с автологином в средах с Kerberos — разработчики добавили передачу имени пользователя через переменную окружения, но забыли проверить её содержимое.

Саймон Йозефссон рекомендует как можно скорее ограничить сетевой доступ к telnet-порту только для доверенных клиентов; установить патч или обновиться до версии GNU InetUtils, в которой уязвимости нет; в идеале — ещё раз задуматься, нужен ли telnet в инфраструктуре вообще.

Напомним, в этом месяце мы сообщали об опасной уязвимости в GNU Wget2, которая позволяет удалённо перезаписывать файлы.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »