В России протестируют «чистый Интернет»

Провайдеры одного из российских регионов станут пускать своих абонентов только к «проверенным» сайтам. Об этом газете «Известия» сообщил директор «Лиги безопасного Интернета» Денис Давыдов. Эксперимент, получивший название «чистый Интернет», будет проводиться по инициативе «Лиги» с февраля по апрель 2013 года. Давыдов не уточняет, в каком регионе пройдет эксперимент, но утверждает, что его организации удалось договориться со всеми 29 местными интернет-провайдерами.

О желании получить доступ к сайтам вне «чистого Интернета» пользователи должны будут дополнительно оповестить своего провайдера. Давыдов отмечает, что сделать это можно будет, к примеру, заключив отдельный договор или поставив галочку в личном кабинете, передает Lenta.ru.

Список «чистых» сайтов будут формировать эксперты «Лиги». Владельцы интернет-ресурсов смогут подать заявку на включение в список, дав обязательство, что информация на их сайтах не причинит вреда здоровью и развитию детей. Критерии определения подходящих сайтов Давыдов не уточнил, но заметил, что заявку на выход за пределы «чистого Интернета» пользователю придется подавать, к примеру, при желании получить доступ к порнографии и сценам жестокости.

Сейчас, по уверениям Давыдова, «белый список» включает в себя 500 тысяч сайтов, а к февралю его планируют расширить до миллиона адресов.

«Лига безопасного Интернета» известна в Рунете активной борьбой с информацией, способной причинить вред детям. Для этого под началом «Лиги» действуют несколько тысяч «кибердружинников», выявляющих педофилов в соцсетях и сообщающих о них в правоохранительные органы.

Кроме того, в декабре 2011 года организация участвовала в разработке законопроекта о создании в России реестра запрещенных сайтов. Реестр, начавший действовать в ноябре 2012 года, заявлен как средство борьбы с детской порнографией, а также пропагандой наркотиков и суицидов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В EcoStruxure-продуктах Schneider Electric найдены шесть багов 0-day

В продуктах семейства EcoStruxure Building Operation (EBO) производства Schneider Electric за полгода были выявлены шесть уязвимостей нулевого дня. Патчи для них уже вышли, а подробная информация стала доступной только на днях.

Набор инструментов EcoStruxure Building Operation (ранее StruxureWare Building Operation) предназначен для мониторинга, контроля и управления функциями жизнеобеспечения умных зданий — такими как энергоснабжение, освещение, пожарная безопасность, отопление, вентиляция и кондиционирование.

Не известные ранее бреши обнаружили исследователи из компании TIM (Telecom Italia), лидера итальянского рынка телекоммуникаций. Отчеты о находках были своевременно направлены разработчику, и тот решал проблемы по мере поступления информации в период с апреля по ноябрь.

Уязвимости, найденные в EBO, характеризуются следующим образом:

  • CVE-2020-7569 — неограниченная загрузка файлов опасного типа; позволяет выполнить вредоносный код; 8,8 балла по CVSS;
  • CVE-2020-7572 — некорректное ограничение ссылок на внешние сущности XML; грозит раскрытием конфиденциальной информации через инъекцию XML-кода (атаку XXE); 8,8 балла;
  • CVE-2020-28209 — путь поиска файлов на Windows не заключен в кавычки; при определенных условиях позволяет повысить привилегии в системе; 7 баллов;
  • CVE-2020-7570 — хранимая XSS; грозит внедрением стороннего скрипта или кода HTML в веб-страницу; 5,4 балла;
  • CVE-2020-7571 — отраженная XSS; грозит инъекцией вредоносного кода; 5,4 балла;
  • CVE-2020-7573 — неадекватный контроль доступа; позволяет добраться до веб-ресурсов ограниченного пользования; 6,5 балла.

Краткие описания уязвимостей 0-day в EcoStruxure-продуктах приведены на сайте спецподразделения TIM и в профильном бюллетене Schneider Electric (PDF).

При отсутствии возможности установить патч в обозримом будущем разработчик рекомендует принять меры защиты, позволяющие снизить риск эксплойта:

  1. Запретить доступ к серверу EBO из недоверенных сетей.
  2. Поместить EBO-систему за экраном в изолированной сети и разрешить внешний доступ только на определенных портах и к конкретным машинам.
  3. Протестировать и развернуть систему белых списков для приложений на серверных машинах.
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru