Барак Обама подписал указ, направленный на повышение кибербезопасности США

 После многочисленных задержек и дебатов, президент США Барак Обама, наконец, подписал долгожданный президентский указ, призванный законодательно обеспечить повышение уровня кибербезопасности стратегически важных информационных сетей страны.

В указе отмечается, что количество киберугроз, угрожающих стратегически важным информационным системам США, постоянно растёт (при этом, они становятся всё более сложными), а национальная и экономическая безопасность страны напрямую зависит от надежного функционирования этих систем.

Ожидается, что в соответствии с вышеупомянутым указом, Министерству внутренней безопасности США будет поручено разработать специальную программу обмена (на добровольной основе) конфиденциальной информацией о киберинцидентах и киберугрозах между правительственными органами и частными компаниями, обеспечивающими работу стратегически важных информационных сетей страны и/или отвечающими за их безопасность.

Согласно информационному бюллетеню, опубликованному на сайте Белого дома, правительство США планирует активизировать деятельность на трёх стратегических направлениях: чёткое разграничение функций федеральных органов, отвечающих за кибербезопастность страны, в частности, организация эффективного обмена информацией о киберугрозах и киберинцидентах; стуктурирование и анализ получаемой информации, с целью обеспечения максимального уровня безопасности, и эффективной работы стратегической инфраструктуры.

Все поставленные задачи планируется выполнить в 6 этапов. При этом, для выполнения каждого из них Белый дом даёт ответственным органам строго определённые сроки.

Например, на разграничение функций федеральных органов, отвечающих за кибербезопастность страны, отводится не более чем 120 дней.

В течение 150 дней соответствующие органы должны проанализировать существующую модель взаимодействия государственных и частных структур в вопросах кибербезопастности, и представить рекомендации, позволяющие повысить эффективность такого взаимодействия.

На разработку плана исследований защищённости и устойчивости (способности к восстановлению функций) стратегической инфраструктуры страны отводится 2 года.

При этом, Барак Обама настаивает на том, что принимаемые меры не должны представлять угрозу для гражданских свобод и неприкосновенности частной жизни. Поэтому, уполномоченным сотрудникам Министерства внутренней безопасности США (уполномоченному по гражданским правам и свободам, и директору по конфиденциальности информации) поручено оценить соответствующие риски от реализации программ и мер, предпринимаемых ведомством. В течение года они должны представить отчет, который правительство США намерено обнародовать.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google устранила опасную уязвимость в Java-клиенте OAuth

В прошлом месяце Google выпустила новую сборку клиентской Java-библиотеки, обеспечивающей авторизацию по протоколу OAuth. В продукте закрыта уязвимость, эксплуатация которой позволяет подменить токен для доступа к API и развернуть на атакуемой платформе полезную нагрузку по своему выбору.

Степень опасности проблемы CVE-2021-22573 в Google оценили в 8,7 балла по шкале CVSS. Автору находки было выплачено $5 тыс. в рамках программы bug bounty.

Согласно официальному описанию, причиной появления уязвимости является неадекватная верификация криптографической подписи токенов — удостоверения провайдера полезной нагрузки. В результате автор атаки сможет предъявить скомпрометированный токен с кастомным пейлоадом, и тот успешно пройдет проверку на стороне клиента.

Использование кода OAuth-библиотеки Google позволяет приложению или юзеру войти в любой веб-сервис, поддерживающий этот протокол авторизации. Во избежание неприятностей пользователям рекомендуется обновить пакет google-oauth-java-client до версии 1.33.3.

OAuth-авторизация пользуется большой популярностью у веб-серферов. Протокол избавляет от необходимости доверять приложению логин и пароль, а также позволяет сократить число аккаунтов в Сети, то есть аудиторию с доступом к персональным данным.

К сожалению, спецификации OAuth не предусматривают обязательных функций безопасности, и надежность в этом плане всецело зависит от усилий разработчика, реализующего эту технологию. Небрежная защита клиентского приложения или сервиса с поддержкой OAuth провоцирует атаки и грозит утечкой конфиденциальных данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru