Yahoo просит главу Национальной разведки США о большей прозрачности

Yahoo просит главу Национальной разведки США о большей прозрачности

Yahoo просит главу Национальной разведки США о большей прозрачности

В начале октября 2016 года компания Yahoo оказалась в центре скандала, который не утихает до сих пор. Тогда журналисты Reuters, со ссылкой на собственные источники, сообщили, что Yahoo с 2015 года шпионила за своими пользователями.

По данным агентства, еще в начале 2015 года спецслужбы США приказали руководству компании создать инструмент, при помощи которого можно было бы проверять все входящие письма на предмет «последовательностей символов, которыми пользуются шпионы». Затем подозрительные сообщения предписывалось сохранять для дальнейшего удаленного изучения. Reuters пишет, что соответственное предписание было получено компанией от ФБР или АНБ, и руководство компании предпочло безропотно его исполнить.

После первоначального сообщения эта история продолжила обрастать теориями и подробностями. В частности, издание Vice Motherboard сообщало, что всю почту пользователей проверял не просто некий сканер, но спецслужбы внедрили на серверы Yahoo мощный руткит.

Но пока СМИ и пользователи упражнялись в построении все более жутких теорий заговора, Yahoo почти не защищалась и хранила практически полное молчание. Лишь в самом начале скандала представители Yahoo заявили, что компания «не нарушила никаких законов», а также кратко сообщили, что почтового сканера, описанного Reuters, не существует.

19 октября 2016 года главный юрисконсульт Yahoo Рон Белл (Ron Bell) опубликовал в интернете письмо (PDF), которое компания, в его лице, направила лично Джеймсу Клэпперу (James Clapper), главе Национальной разведки США.

В письме Yahoo просит американское правительство «внести ясность» и рассказать гражданам о том, какие именно приказы отдавали интернет-компаниями представители органов госбезопасности. Белл подчеркивает, что хотя письмо в основном сконцентрировано вокруг Yahoo и обвинений, которые в последнее время выдвигают против компании, на самом деле, обращение Yahoo имеет более широкий смысл. По сути, это просьба к властям работать прозрачнее и предоставлять информацию гражданами и пользователям, особенно если их личные данные могли быть частью неких правительственных запросов, пишет xakep.ru.

«Ваше ведомство находится в идеальном положении, подходящем для прояснения данного вопроса и удовлетворения общественного интереса. Таким образом, мы призываем ваше ведомство рассмотреть следующие шаги для прояснения ситуации: подтвердите, существовало ли предписание, описываемое средствами массовой информации; снимите гриф секретности с данного предписания или его части, если таковое существует; предоставьте достаточно подробный публичный комментарий, проливающий свет на все предполагаемые факты и обстоятельства этого дела», — гласит документ.

Стоит отметить, что ранее письмо похожего содержания Джеймсу Клэпперу направили и члены Палаты представителей, которые так же очень хотят узнать, что на самом деле произошло между компанией Yahoo и спецслужбами, и на самом ли деле компания читала всю корреспонденцию миллионов пользователей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В BI.ZONE CPT добавили метрика EPSS для приоритизации уязвимостей

Согласно исследованию Threat Zone 2025, около 13% атак на организации в России и СНГ начинаются с эксплуатации уязвимостей в общедоступных приложениях. Однако, по данным BI.ZONE Threat Intelligence, в реальных атаках используется менее 1% всех известных брешей.

Теперь в BI.ZONE CPT добавили метрику EPSS для приоритизации уязвимостей. С ее помощью организации смогут определять наиболее опасные для них уязвимости, которые нужно устранять в первую очередь.

Традиционно уровень серьёзности уязвимости оценивают по метрике CVSS, но она показывает лишь техническую «тяжесть» проблемы, не отражая, насколько активно ей пользуются злоумышленники.

Для этого существует дополнительная метрика — EPSS (Exploit Prediction Scoring System). Она помогает понять, как велика вероятность того, что уязвимость будет эксплуатироваться в ближайшие 30 дней.

По словам руководителя направления анализа защищённости BI.ZONE Павла Загуменнова, высокий балл CVSS не всегда означает высокий риск. Некоторые уязвимости с формально «критическим» уровнем опасности сложно использовать на практике — они требуют специфических условий или глубоких знаний. Поэтому атакующие чаще выбирают простые и массово эксплуатируемые уязвимости.

EPSS строится на основе алгоритмов машинного обучения и учитывает множество факторов:

  • производителя и тип ПО, где обнаружена уязвимость;
  • наличие эксплойтов и PoC;
  • включение в список Known Exploited Vulnerabilities (KEV);
  • наличие детектов в популярных инструментах безопасности.

Как использовать EPSS на практике:

BI.ZONE предлагает ориентироваться на следующие уровни риска:

  • EPSS ниже 0,3 — низкий приоритет, вероятность эксплуатации мала;
  • EPSS 0,3–0,7 — средний риск, стоит запланировать устранение;
  • EPSS выше 0,7 — высокий риск, уязвимость нужно закрыть в первую очередь.

Ранее специалисты также отмечали, что злоумышленники всё чаще покупают эксплойты на теневых форумах. Например, участники кластера Paper Werewolf использовали уязвимость в архиваторе WinRAR, эксплойт для которой, по данным экспертов, стоил около 80 тысяч долларов.

В итоге ключевой вывод исследования прост: не все критические уязвимости одинаково опасны, и приоритизация по EPSS помогает сосредоточиться именно на тех, которые реальны для атаки — здесь и сейчас.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru