Власти США займутся устранением проблем базы уязвимостей CVE

Власти США займутся устранением проблем базы уязвимостей CVE

Власти США займутся устранением проблем базы уязвимостей CVE

Правительство США хочет принять меры относительно базы данных общеизвестных уязвимостей информационной безопасности CVE (Common Vulnerabilities and Exposures). Известно, что в последнее время база страдает от различного рода проблем.

Напомним, что проект CVE был официально запущен для общественности в сентябре 1999 года. Над ее созданием работала корпорация MITRE, которая использовала средства правительства США.

Эта база содержит так называемые идентификаторы уязвимостей, с помощью которых легче отслеживать проблемы безопасности.

В большинстве современных программ кибербезопасности используются номера CVE для идентификации и отслеживания кибератак, которые используют определенные ошибки в программах (уязвимости). Эти система используется многими странами.

Однако за последние несколько лет система CVE испытывала ряд вполне определенных проблем. Наиболее очевидно это стало в конце 2015 и начале 2016 года. В частности, исследователи в области безопасности сообщали о больших задержках в присвоении идентификационных номеров тем или иным проблемам безопасности.

Некоторые эксперты даже объединились для создания альтернативной базы данных уязвимостей, которая получила название Distributed Weakness Filing (DWF). На тот момент MITRE объяснила задержки увеличением числа поставщиков программного обеспечения по сравнению с поздними 90-ми и ранними 2000-ми годами.

Также свою роль сыграло распространения систем SCADA и IoT.

Оба этих фактора поспособствовали значительному увеличению числа сообщений о новых уязвимостях, которые персонал CVE не был в состоянии оперативно обрабатывать. В конце 2016 года стало известно, что CVE не смогла присвоить идентификаторы 6 000 уязвимостям, которые были обнаружены еще в 2015 году.

После того как эти проблемы уже нельзя был игнорировать, Комитет Сената США по энергетике и торговле начал исследование системы с, это было в конце марта 2017 года. Сенат имеет право исследовать работу системы, так как та получает финансирование непосредственно от властей.

Теперь результаты исследования опубликованы, и Комитет готов предложить способы решения проблем CVE. В итоге был сделан следующий вывод — недостаточное финансирование Министерства внутренней безопасности (МВБ) США стало причиной того, что система CVE скатилась, накопив огромный список уязвимостей, которым не были присвоены идентфиикаторы.

Второй вывод — отсутствие должного надзора за программой CVE также повлекло за собой отставание системы идентификации.

Власти пообещали принять соответствующие меры, чтобы устранить все проблемы, которые в настоящее время мешают CVE быть на уровне.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ВТБ и НСПК представили средство противодействия кражам через NFCGate

Банк ВТБ совместно с Национальной системой платёжных карт (НСПК) разработал механизм противодействия хищениям средств с помощью мобильного зловреда NFCGate. Решение уже прошло успешное тестирование.

NFCGate представляет собой модифицированную версию легитимного приложения, использующего NFC-интерфейс на мобильных устройствах. Однако злоумышленники активно применяют его для «клонирования» банковских карт жертв, часто в связке с троянскими программами.

По данным «Лаборатории Касперского», NFCGate относится к числу наиболее опасных мобильных угроз, зафиксированных в России.

Специалисты ВТБ и НСПК обнаружили характерную особенность действия зловреда — замедленную реакцию смартфона при взаимодействии с банкоматом. Это позволило выработать эффективный способ обнаружения и нейтрализации атаки. Для реализации защиты потребовалась модернизация программного обеспечения банкоматов. ВТБ уже обновил ПО на 7 тысячах устройств и планирует модернизировать всю сеть в ближайшее время.

При этом НСПК и ВТБ подчёркивают важность установки мобильных приложений исключительно из официальных и проверенных источников. Также рекомендуется сохранять бдительность, если неизвестный собеседник проявляет чрезмерную настойчивость, торопит с принятием решений или требует совершить финансовую операцию под давлением — такие признаки могут указывать на мошеннические действия.

«Если фиксируется значительная задержка в ответе на команду, отправленную от банкомата к карте, и время отклика превышает установленный порог, такую транзакцию можно считать подозрительной и принимать дополнительные меры для предотвращения мошенничества. Мы рекомендовали банкам-эквайрерам реализовать этот механизм на стороне банкоматов. Со своей стороны мы продолжим исследовать поведение NFCGate и искать новые способы противодействия угрозе», — сообщил Георгий Дорофеев, заместитель операционно-технологического департамента НСПК.

«Уязвимость NFCGate, позволяющая создавать виртуальные клоны банковских карт и удалённо управлять чужим смартфоном, может использоваться для хищения средств клиента одного банка через банкомат другого. Поэтому крайне важно, чтобы все участники рынка как можно скорее внедрили новый механизм защиты в своей инфраструктуре. Только совместными усилиями мы сможем эффективно противостоять этой угрозе и обеспечить безопасность клиентов по всей банковской системе», — отметил Дмитрий Ревякин, вице-президент ВТБ, начальник управления защиты корпоративных интересов департамента по обеспечению безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru