Новый законопроект запрещает правительству США внедрять бэкдоры

Новый законопроект запрещает правительству США внедрять бэкдоры

Американские законодатели обеих основных политических партий в четверг представили законопроект, который, если он будет принят, запретит правительству США принуждать производителей техники к внедрению бэкдора в шифрование.

Ранее этот законопроект (Secure Data Act) терпел неудачи в 2014 и 2015 годах. На самом деле, «Закон о безопасных данных» запрещает любому государственному органу требовать, чтобы «производитель, разработчик или продавец продуктов изменял функции безопасности с целью предоставить возможность наблюдения за любым пользователем такого продукта или услуги, а также предоставлял агентствам возможность физического поиска такого продукта».

По этому закону судам также запрещается выдавать распоряжения для выдачи принудительного доступа к данным. В перечень продуктов входят: компьютерное оборудование, программное обеспечение или электронные устройства, доступные для общественности.

Законопроект делает исключение для телекоммуникационных компаний, которые по-прежнему должны будут помогать правоохранительным органам получать доступ к их сетям. Кроме этого, закон предполагает защиту целостности систем шифрования.

Напомним, что спецслужбы уже вольно давно добиваются внедрения бэкдора в системы шифрования отдельных технологических продуктов, оправдывая это тем, что так правоохранителям будет проще проводить расследования и получать доступ к важной информации.

В начале этого месяца коалиция техногигантов Кремниевой долины (включает в себя представителей Microsoft, Apple, Facebook, Google, Verizon и материнской компании Yahoo Oath) в очередной раз высказалась против внедрения бэкдора в шифрование, которое власти хотят реализовать соответствующими законопроектами. Такой подход поможет правоохранительным органам получать доступ к заблокированным и зашифрованным устройствам.

Корпорации выступили с резкой критикой подобной инициативы, продолжая отстаивать позицию сильного шифрования и осуждать попытки подорвать технологию.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Supermicro и Pulse Secure защитили свои продукты от атак TrickBoot

Компания Supermicro выпустила новую версию BIOS для материнских плат, уязвимых к атакам TrickBoot — буткит-модуля TrickBot, способного скомпрометировать систему на уровне BIOS / UEFI. Соответствующие патчи вышли также для защитных решений Pulse Secure Appliance (PSA), использующих эти материнки Supermicro.

Возможность получения доступа к записи BIOS / UEFI была добавлена в арсенал модульльного зловреда в прошлом году. Новая функциональность обеспечивает TrickBot стойкое присутствие в системе и позволяет удаленно внести изменения в прошивку или превратить зараженный компьютер в бесполезный кирпич.

Атаки TrickBoot опасны для машин с отключенной или неправильно настроенной защитой BIOS на запись. Применение нового модуля пока ограничено анализом прошивки устройств на чипсетах Intel.

Как оказалось, используемая TrickBoot проблема актуальна для материнских плат X10 UP производства Supermicro, созданных на базе платформы Intel Denlow. Наличие уязвимости подтверждено для следующих продуктов:

  • X10SLH-F
  • X10SLL-F
  • X10SLM-F
  • X10SLL+-F
  • X10SLM+-F
  • X10SLM+-LN4F
  • X10SLA-F
  • X10SL7-F
  • X10SLL-S/-SF

Степень опасности уязвимости Supermicro оценила как высокую (в 8,2 балла по CVSS). Пропатченная версия BIOS (3.4) доступна лишь пользователям X10SLH-F. Остальные модели из перечня давно сняты с поддержки; доступ к обновлению таких продуктов предоставляется по запросу.

Связанная с TrickBoot проблема затронула также два защитных решения Pulse Secure — PSA5000 и PSA7000. Патчи выпущены для платформ Pulse Connect Secure (позволяет организовать VPN-доступ к корпоративной сети) и Pulse Policy Secure (реализует функции контроллера доступа к сети). Обновление для Pulse One выйдет позже.

Степень опасности TrickBoot для продуктов Pulse Secure разработчики оценили как низкий (2,3 балла). После установки заплатки система автоматически перезагрузится.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru