Информационная безопасность 2009: откуда ждать угрозы?

Информационная безопасность 2009: откуда ждать угрозы?

Rainbow Technologies - ведущий российский дистрибьютор систем информационной безопасности от всемирноизвестных производителей, сообщает о том, что компания WatchGuard Technologies анонсировала пятерку ключевых тенденций информационных угроз в компьютерных сетях в 2009 году.
Картина сетевой безопасности меняется с каждым годом. Важно понимать, откуда ждать угроз и как их предупредить. Вице-президент компании WatchGuard Technologies Eric Aarrestad сформулировал пятерку основных областей, которые станут опасными источниками угроз информационной безопасности в 2009 году.

1. Сеть ставит под угрозу всех. Раньше зонами риска распространения вредоносных кодов и других шпионских атак злоумышленников считались порно сайты и развлекательные порталы. Теперь атаки на пользователей будут направлены c привычных и не вызывающих подозрений сайтов, которые незаметно заражаются SQL инъекциями. Автоматизированные атаки с легкостью распространятся по сети и находят уязвимые места в защите компьютеров, благодаря беспечности пользователей, не желающим признать вероятность такой угрозы.


2. Увеличение числа угроз через использование SSL и HTTPS. С увеличением степени защиты сетей и качеством борьбы с вредоносными шпионскими атаками злоумышленники стремятся нанести ущерб через известные безопасные протоколы SSL и HTTPS, ставя тем самым их надежность под сомнение. Для современных Интернет злоумышленников это новое и благодатное поле для деятельности. WatchGuard рекомендует использовать решения для строгой аутентификации и надежно защищенные VPN-соединения.


3. Социальные сети не безопасны. Всеми любимые и известные социальные веб-ресурсы тоже станут объектом угрозы. Желание любыми путями выяснить личную информацию пользователя приведет к тому, что социальные сайты станут платформами для организации фишинговых атак и других способов мошенничества в Интернет. WatchGuard рекомендует сетевым администраторам блокировать доступ к таким сайтам, если необходимость их использования для работы минимальна.


4. Ботнеты станут тайным. В мире информационной безопасности 2008 год прошел под знаком ботнетов, способов их обнаружения и предотвращения заражения компьютера-жертвы. Извлекая уроки прошлого года, создатели ботов в 2009 году приложат максимум усилий, чтоб их продукт стал незаметным и еще более опасным, так как создание и распространение ботов станет прибыльным делом. Лучшая защита против ботнетов - решение полностью интегрированное, многоуровневое и объединяющее широкий спектр вопросов информационной безопасности.


5. Безопасность и законность. Учитывая увеличивающуюся динамику краж денег с пластиковых карт, счетов, необходимо придирчиво отнестись к уровню защиты, прежде всего тем организациям, которые связаны с электронной коммерцией. Внимательное и серьезное отношение к стандартам безопасности, например PCI DSS станет залогом защищенности. Кроме соблюдения необходимых мер и стандартов безопасности, важно, чтобы на уровне законодательства произошли изменения и ужесточились наказания виртуальных злоумышленников.

«Преступникам не важно, планируется ли сокращение вашего ИТ бюджета в этом году. У них единственная цель – заполучить ваши данные или получить доступ к серверам и сетевым ресурсам вашей компании. Уже сейчас мы понимаем, откуда ждать угрозы, и способны уберечь компании даже в шаге от беды» - сказал Eric Aarrestad, вице-президент WatchGuard Technologies.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Фитнес-приложение Fitify слило138 тысяч фото юзеров в неглиже

В облаке Google в открытом доступе был обнаружен сервер Fitify, содержащий 373 тыс. файлов, в том числе 138 тыс. отчетов о прогрессе, сохраненных в виде фото и 3D-сканов фигуры полураздетого владельца фитнес-приложения.

Исследователи из Cybernews предупредили разработчика софта о своей находке, и тот вывел незащищенное хранилище из паблика. Однако оказалось, что в само приложение вшиты ключи, которые тоже открывают доступ к данным пользователей.

В Google Play за Fitify числится более 10 млн загрузок, популярное фитнес-приложение также доступно в Apple App Store. Суммарно на его долю, по оценкам, приходится 25 установок.

Большинство файлов, обнаруженных в открытом хранилище, содержат видео с руководством, персонализированные планы тренировок и аватары из профилей. Фотоотчеты о прогрессе сохранялись лишь в тех случаях, когда пользователь делился ими с ИИ-коучем.

Просмотр слитых в паблик данных также показал, что описание Fitify в магазине Google не соответствует действительности: там утверждается, что все данные при передаче на сервер шифруются.

 

Анализ среды разработки и производственной среды Fitify выявил жестко прописанные секреты, в том числе:

  • Android Client ID;
  • Google Client ID;
  • ключи к Google API;
  • Firebase URL;
  • Google App ID;
  • Project ID;
  • Facebook App ID;
  • токены Facebook Client;
  • привязанные к Firebase кастомные домены;
  • ключи к Algolia API.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru