i-Safety 2009: итоги конференции

10 февраля 2009 г., в Международный День безопасного интернета, в Москве в конференц-центре гостиницы «Холидей Инн Сущевский» прошла вторая российская научно-практическая конференция по вопросам интернет-угроз и безопасного использования интернета i-Safety 2009. Организатором конференции выступил «Региональный общественный Центр интернет-технологий» (РОЦИТ). 

В рамках конференции обсуждались как общие вопросы интернет-безопасности, так и многие связанные с ними темы: ответственность за размещенный в интернете контент; новые технические и экономические угрозы с Сети; международные аспекты обеспечения интернет-безопасности, этические проблемы в Рунете и др. В ходе официального открытия конференции ведущий аналитик РОЦИТа Урван Парфентьев зачитал приветствие участникам i-Safety 2009 Председателя Совета Федерации РФ Сергея Миронова, далее с приветствиями выступили организаторы мероприятия и представители партнеров: Марк Твердынин (РОЦИТ), Андрей Воробьев (RU Center), Сергей Рыжиков («1С-Битрикс»), Андрей Ярных («Лаборатория Касперского»). 

Сразу после официального открытия конференция начала свою работу в три параллельных потока. На секции «Новые технологии и методы в киберпреступности – новые средства борьбы» обсуждались программно-технические и экономические угрозы, а также средства защиты от них. «Недавно при Министерстве Связи была создана группа по информационной безопасности, целью которой является борьба с различными проявлениями сетевой преступности, такими как DDoS-атаки, спам, распространение вирусов, кардинг. Мы принимаем самое активное участие в работе этой группы, а также пресекаем киберпреступления в своей ежедневной работе», - рассказал участникам конференции Михаил Горяйнов (Chronopay). 

В рамках секции «Личные «кодексы поведения» в интернете: проблемы совместимости», ведущим которой выступил Дмитрий Кравчук («Литклуб»), обсуждались этические нормы для интернет-среды, проблемы морали и культуры пользователей. Так, на пример, Екатерина Артюгина (HeadHunter) познакомила слушателей с кодексом поведения, созданным с точки зрения «работного сайта»: писать только то, что решились бы сказать в лицо; быть готовым предъявить доказательства, не допускать высказывания, унижающие достоинство человека. 

Секцию Антона Серго («Интернет и право») «Новые законы для Рунета: качество и перспективы» ждали многие, поскольку на ней обсуждалась вступившая в силу четвертая часть Гражданского Кодекса РФ. Ведущие юристы выразили озабоченность принятием новых поправок к IV части Гражданского кодекса, в части авторских прав (правки приняты во втором чтении). 

В ходе дополнительного обсуждения правовых вопросов развития Рунета, инициированных в ходе i-Safety 2009, многие эксперты также выразили озабоченность состоянием дел с авторским правом. Так, в новой редакции IV части ГК вводится ограничение возможности использования цифрового контента в личных целях (т.е. физическими лицами), добавилось неоднозначно трактуемое словосочетание «возможно использование авторских произведений в личных целях в случае необходимости», что может возложить на пользователя дополнительную ответственность и сужение его прав, так как придется доказывать, что была некая необходимость использования данного контента в личных целях. Введение дополнительного непонятного пока оценочного критерия «в случае необходимости» тут же ставит вопрос: кто будет оценивать, была ли необходимость в каждом конкретном случае, и не будет ли это использоваться для разнотолкований закона в каждом конкретном случае. 

В результате, участники конференции и правовой секции обратили внимание на следующие моменты, связанные напрямую и косвенно с IV частью ГК в новой редакции: на появление в новом тексте закона ограничений использования контента в личных целях (только «в случае необходимости» - понятие, которое никак не определено); на путаницу, которая сейчас уже возникла среди интернет-пользователей и даже в среде игроков рынка, связанную с попытками усиления ответственности сервис- и интернет-провайдеров. 

«РОЦИТ постоянно выступает за максимальную защиту прав интернет-пользователей и создание благоприятных условий для развития отечественного интернет-бизнеса. Еще в 2007 году одним из главных пунктов Итоговой резолюции РИФ-2007 содержались требования по пересмотру тогдашней редакции IV части ГК, и мы рады, что наши усилия привели к результату (доработки закона), и надеемся, что новая редакция закона не позволит ухудшить условия пользования интернета и условия для развития интернет-бизнеса из-за возможных проблем, о которых мы предупредили выше», - прокомментировал результаты конференции Марк Твердынин, председатель правления РОЦИТ. 

В секции «Ответственность за контент: гражданский долг или «зажим» свободы слова?..» Дмитрий Кравчук («Литклуб») рассказал о балансе между свободой слова и соблюдением законодательства, а также о регламентации правовых отношений с интернет- пользователями. Лариса Ефимова (РГСУ) выступила с докладом о зарубежном опыте обеспечения информационной безопасности детей на примере Европы и Америки. Андрей Воробьев (RU Center) и Сергей Копылов (Masterhost) рассказали о нормативных актах, о существующих регламентах оказания услуг, в которых есть основание закрывать интернет-ресурсы. 

Напомним, что конференция i-Safety проходила в рамках «Недели безопасного Рунета», которая в этом году получила официальный статус мероприятия, одобренного Еврокомиссией и включенного в реестр мероприятий «Международного Дня безопасного интернета».

Источник 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В TikTok обнаружены баги, позволяющие угнать аккаунт за один клик

Операторы видеосервиса TikTok устранили две уязвимости, которые в комбинации позволяют без особых трудозатрат захватить контроль над чужим аккаунтом. Одна из них присутствовала на сайте, другая объявилась в клиентском приложении. Соответствующие патчи вышли 18 сентября, информация о багах была опубликована в конце прошлой недели.

Обе проблемы обнаружил живущий в Берлине исследователь, использующий псевдоним milly. Отчет о находках молодой человек подал в рамках программы поиска багов, запущенной на платформе HackerOne, и в итоге был удостоен награды в размере 3860 долларов США.

Согласно записи milly на HackerOne, уязвимость на сайте TikTok возникла из-за неадекватной санации одного из параметров URL и классифицируется как «отраженный межсайтовый скриптинг». Эксплуатация в данном случае позволяет выполнить вредоносный код в браузере пользователя посредством проведения XSS-атаки. Степень опасности бреши оценена как высокая (8,2 балла по шкале CVSS); идентификатор CVE ей пока не присвоен.

Уязвимость в клиенте TikTok относится к классу «подделка межсайтовых запросов» (CSRF). Ее использование позволяет задать новый пароль для учетной записи, допускающей вход через сторонние приложения (по технологии единого входа — SSO, Single Sign-On), и совершать действия от имени законного владельца аккаунта.

Для демонстрации уязвимостей исследователь создал простейший JavaScript-эксплойт для CSRF и внедрил его в URL TikTok в качестве значения уязвимого параметра. Использование этой связки помогло milly эффективно перехватить контроль над аккаунтом.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru