В кампусе московской школы СКОЛКОВО прошел форум Safety Leaders

3 июня 2016 года в кампусе московской школы управления СКОЛКОВО состоялось уникальное  событие, посвященное вопросам безопасности человека и общества – Форум Safety Leaders. Форум инициирован с целью создания площадки для обсуждения остросоциальных вопросов, касающихся безопасности каждого россиянина.

Также выявления и поощрения лучших практик по повышению уровня безопасности человека и общества в различных сферах. Ключевая часть мероприятия – дебаты Safety Leaders – включила в себя шесть тематических секций по различным аспектам безопасности. Спикерами дебатов выступили: Александр Зарецкий, президент Ассоциации Страховщиков Жизни; Анна Зеленцова, координатор проекта по финансовой грамотности населения Министерства финансов; Павел Головлев, бизнес-партнер по информационной безопасности Сбербанка России;  Александр Поляков, заместитель руководителя Центра организации дорожного движения Правительства Москвы; Сергей Елпатьевский, директор департамента управления, поддержки и внедрения мобильных и фиксированных услуг ПАО «МТС»; Александр Бражников, председатель НП «Союз защитников информации»; Георгий Грицай, эксперт «Открытые сети»; Александр Евсин, начальник ситуационного центра ЦООД Правительства Москвы и др.

Обсуждались различные остросоциальные вопросы: управление рисками в здоровье, транспортные технологии, финансовая грамотность потребителя, безопасность дорожного движения, информацоннная безопасность и безопасность российской экономики в ключе импортозамещения и др. Формат дебатов позволил участникам открыто обсуждать различные позиции относительно поставленного вопроса секции.

Одним из наиболее ярких мнений поделился Президент страховой компании «МетЛайф», Президент Ассоциации Страховщиков Жизни, Александр Зарецкий: «В последние годы заметен рост продолжительности жизни россиян. Для того, чтобы жить долго и мало болеть, необходимо: во-первых, вести здоровый образ жизни и заниматься спортом, во-вторых, регулярно проходить медицинское обследование или диспансеризацию, и, в-третьих, формировать личный капитал, чтобы иметь финансовую подушку безопасности, если произойдет несчастный случай, либо диагностируется какое-либо серьезное заболевание, требующее дорогостоящего лечения. Медицина сейчас может творить чудеса, но она дорого стоит. Для этого как раз и существует медицинское страхование, страхование от несчастных случаев и болезней».

Приятным дополнением к деловой части стала Церемония подведения итогов Премии Safety Leaders 2016. Премия позволила выявить и поощрить лучшие практики повышения уровня безопасности человека и общества в различных областях. Организации-победители и их проекты были удостоены наград в восьми основных категориях: «Безопасность жизни и здоровья», «Финансовая безопасность», «Информационная безопасность», «Экологическая безопасность», «Защита имущества и объектов», «Безопасность дорожного движения», «Безопасность на транспорте» и «Безопасность труда и производства».

Несколькими наградами были удостоены проекты организаций – Страховой компании МетЛайф, ПАО «МТС», Экспертного центра «Движение без опасности». Среди Лауреатов Премии Safety Leaders следующие компании: Министерство финансов РФ, АО «Мерседес-Бенц РУС», ООО «Роберт Бош», ESET Russia, Sochi Autodrom, ЗАО «Шиндлер», АО «Сибирская Угольная Энергетическая Компания», ООО «Альфа ЛЭД», ПАО «МГТС», ООО «Пивоваренная компания «Балтика», ЗАО «Нева металл посуда», Транспортная компания «ГрузовичкоФ», Служба такси «ТаксовичкоФ», ООО «Бест Брендс Электроникс» (бренд EnBe), «MyBioFood» Co LTD. (бренд Tibet), PayQR, Телеканал «Безопасность», журнал «RUБеж», Общественно-политический портал «Русская планета»  и др.

Личностных номинаций удостоились: Наталья Агре - Президент АНО «Центр по пропаганде безопасности движения на транспорте «Движение без опасности», Денис Калугин - Руководитель Общественной организации «Россия без долгов», Диана Гуц - Президент Ассоциации участников в сфере информационно-коммуникационных технологий.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

11-летняя уязвимость в Linux-команде wall позволяла утащить sudo-пароли

Последние 11 лет в команде «wall» пакета «util-linux», являющегося частью операционной системы Linux, присутствовала уязвимость, позволяющая атакующему без высоких прав утащить пароли пользователя или изменить содержимое буфера обмена.

Проблему отслеживают под идентификатором CVE-2024-28085, эксперты дали ей имя WallEscape. Согласно описанию, брешь можно найти во всех версиях пакета за последние 11 лет, вплоть до выпущенной на днях 2.40.

К счастью, эксплуатация бага возможна только при определённых сценариях, однако она демонстрирует незаурядный способ кражи учётных данных целевого пользователя.

У атакующего должен быть доступ к Linux-серверу, на котором уже сидят несколько юзеров, подключившись в терминале. Такое бывает, например, когда студенты выполняют задания в режиме онлайн.

На WallEscape указал исследователь в области кибербезопасности Скайлер Ферранте (TXT). По его словам, это проблема некорректной нейтрализации escape-последовательностей команды «wall».

Это команда используется в Linux для передачи сообщений на терминалы всех пользователей, вошедших в одну систему (например, тот же сервер). Из-за некорректной фильтрации при обработке ввода неаутентифицированный злоумышленник может использовать escape-символы для создания фейкового запроса SUDO.

Если целевой пользователь клюнет на уловку и введёт пароль в запрос, атакующий спокойно получит его. Следует учитывать, что эксплуатация возможна только в том случае, если утилита «mesg» активна и у команды «wall» есть права на setgid.

Код демонстрационного эксплойта доступен на GitHub. Чтобы устранить уязвимость, администраторам достаточно забрать права на setgid у команды «wall» или же урезать функциональность передачи сообщений в терминал (использовать флаг «n» с командой «mesg»).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru