Kaspersky помогла устранить бреши фреймворка для промышленных устройств

Kaspersky помогла устранить бреши фреймворка для промышленных устройств

Kaspersky помогла устранить бреши фреймворка для промышленных устройств

Эксперты Kaspersky ICS CERT обнаружили ряд уязвимостей в CODESYS Runtime — фреймворке для создания промышленных устройств и выполнения программ автоматизированного управления. CODESYS Runtime адаптирован более чем для 350 устройств различных типов и от различных вендоров. Некоторые из этих устройств используются в производственном, энергетическом секторах, инфраструктуре умных городов, транспорте и многих других критически важных сферах. «Лаборатория Касперского» сообщила разработчику об уязвимостях сразу после их обнаружения, и к настоящему моменту компания CODESYS полностью их устранила.

Эксплуатация уязвимостей, найденных «Лабораторией Касперского», могла позволить злоумышленникам незаметно для операторов и инженеров подменять данные команд управления и телеметрии, получать полный контроль над устройствами со средой исполнения CODESYS Runtime и, соответственно, влиять на технологический процесс и работу оборудования. Более того, они потенциально могли получить доступ к данным аутентификации и прочей конфиденциальной информации, в том числе интеллектуальной собственности предприятия и коммерческой тайне, например данным о реальных технических возможностях производства, состоянии оборудования, новых продуктах и т.п.

«Уязвимости, которые мы обнаружили, предоставляли злоумышленникам широкие возможности для совершения атаки, и, поскольку данный фреймворк весьма распространён, мы благодарны его производителю за быструю реакцию и исправление уязвимостей. Нам приятно осознавать, что наши исследования помогают усложнять жизнь злоумышленникам. Однако многие из этих уязвимостей могли быть обнаружены раньше, если бы сообщество экспертов по безопасности было вовлечено в разработку протокола сетевых коммуникаций на ранних стадиях. Мы считаем, что сотрудничество с сообществом экспертов по безопасности должно стать обычной практикой для разработчиков важных компонентов для промышленных систем, тем более что не за горами четвёртая промышленная революция, которая в большинстве своём основывается на современных технологиях автоматизации», — комментирует Александр Ночвай, исследователь Kaspersky ICS CERT.

«Мы в CODESYS Group серьёзно относимся к безопасности выпускаемых нами продуктов и поэтому высоко ценим результаты всестороннего исследования «Лаборатории Касперского», которые помогли нам сделать наш инструмент более защищённым. Из года в год мы прикладываем значительные технические и административные усилия, чтобы совершенствовать безопасность наших продуктов. Все обнаруженные уязвимости подвергаются немедленному изучению, оценке, приоритезации, затем мы публикуем данные о них. Патчи в виде обновлений ПО разрабатываются очень быстро и немедленно становятся доступны всем пользователям наших инструментов», — говорит Роланд Вагнер, руководитель отдела продуктового маркетинга, CODESYS Group.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Google запустила «доверенные контакты» для восстановления аккаунта

Google представила новый способ вернуть доступ к своему аккаунту, если вы забыли пароль или потеряли устройство с ключом входа. Функция называется Recovery Contacts — «доверенные контакты». Теперь в экстренной ситуации можно будет обратиться за помощью к друзьям или родственникам.

Раньше восстановить доступ можно было только через СМС или резервную почту, что становилось проблемой, если телефон потерян или номер давно не обновлялся.

Теперь всё проще: вы выбираете доверенное лицо на странице g.co/recovery-contacts, и в случае блокировки аккаунта Google отправит этому человеку уведомление или письмо.

Чтобы помочь вам восстановить доступ, доверенный контакт подтвердит специальный код — после этого вы сможете безопасно войти в свой аккаунт. При этом у человека не будет доступа ни к вашей почте, ни к личным данным — он лишь подтвердит, что обращаетесь именно вы.

В Google говорят, что функция станет ещё одним уровнем защиты наряду с ключами доступа и другими инструментами безопасности. Recovery Contacts уже начинает постепенно внедряться по всему миру.

Корпорация отмечает, что потеря доступа к аккаунту — стрессовая ситуация, и обещает продолжать работу над тем, чтобы процесс восстановления был проще и надёжнее, не снижая уровень конфиденциальности.

На днях мы писали о похожем нововведении, но уже на «Госуслугах»: появилась функция «Доверенный контакт» для защиты аккаунта. Это может быть, например, родственник или близкий друг. Он не получит доступ к вашему кабинету и не сможет что-то менять от вашего имени.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru