2019 год отметился ростом случаев криптоджекинга и развитием дипфейков

2019 год отметился ростом случаев криптоджекинга и развитием дипфейков

Международная антивирусная компания ESET представила отчет о трендах информационной безопасности, которые определят развитие мирового киберландшафта в 2020 году.

В начале 2019 года одним из трендов был рост случаев криптоджекинга — скрытого майнинга криптовалюты на зараженных устройствах — а также рост числа кибератак с использованием умных гаджетов.

На данный момент одним из главных трендов является развитие и повсеместное внедрение машинного обучения. Хотя до создания полноценного искусственного интеллекта еще далеко, машинное обучение становится одним из ключевых технологических достижений современности. Но стоит помнить, что злоумышленники также будут использовать машинное обучение для совершенствования кибератак.

Также впечатляют темпы развития дипфейков — технологий, позволяющих при помощи искусственного интеллекта подделывать голоса и лица людей на видео. По мнению экспертов ESET, именно эта технология в 2020 году станет одной из наиболее востребованных среди киберпреступников.

В будущем дипфейки могут способствовать еще более широкому распространению фальшивых новостей, поэтому следует скептически относиться даже к самым реалистичным видео- или аудиозаписям.

Еще один тренд 2020 года — создание умных зданий и целых умных городов. Более чем в 80% новых построек используются элементы интернета вещей. При этом эксперты обеспокоены тем, что умные города активно разрастаются, а их системы защиты по-прежнему недостаточно развиты. Во многих умных гаджетах нет достаточно надежного протокола аутентификации, а в некоторых и вовсе отсутствует какое-либо решение для информационной безопасности.

Кроме того, в 2020 году компаниям придется адаптироваться к цифровизации бизнеса и повсеместному использованию мобильных устройств. Эксперты ESET отмечают, что возможность постоянно оставаться на связи и подключаться к сетям вне зависимости от местоположения повышает риск кибератаки на организацию. Компании активно внедряют мобильные устройства в свою работу, не уделяя должного внимания их безопасности.

Наконец, во всем мире продолжится совершенствование законодательства, регулирующего порядок работы с персональными данными. По мнению экспертов ESET, проблема защиты данных пользователей останется актуальной до тех пор, пока размер штрафа за нарушение конфиденциальности не будут соизмеримы со значительной частью доходов мегакорпораций.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Нераскрытая XSS в Apache Velocity Tools опасна для сайтов в зоне .GOV

Эксплуатация уязвимости в библиотеке Apache Velocity Tools не требует аутентификации и позволяет провести атаку по методу межсайтового скриптинга (XSS) на правительственные сайты в TLD-домене .gov, в том числе против НАСА и госучреждений Австралии. Брешь устранили более 2,5 месяцев назад, однако соответствующее обновление до сих пор не вышло.

Как стало известно BleepingComputer, проблемным является один из Java-классов коллекции Apache Velocity Tools — подпроекта Apache Velocity, основанного на Java движка шаблонов. Последний разработчики используют для разделения данных приложения, пользовательского интерфейса и управляющей логики на три компонента. Такая схема разделения (MVC, Model-View-Controller, модель-представление-контроллер) упрощает привнесение изменений в проект.

Уязвимый Java-класс VelocityViewServlet, по данным BleepingComputer, используют более 2,6 тыс. бинарников, доступных в npm, PyPI, Maven Central и других хранилищах продуктов с открытым исходным кодом. Баг, классифицируемый как «отраженный XSS», связан с рендерингом страниц ошибок (таких как template not found — «шаблон не найден») и при использовании позволяет заманить пользователя на фишинговый сайт или угнать его сессию.

 

Проблема затрагивает все версии Apache Velocity Tools и особенно опасна для правительственных порталов, на которых регистрируются служащие и подрядчики.  

Уязвимость обнаружил в начале октября участник команды этичных хакеров Sakura Samurai. Разработчики Apache Velocity Tools удостоверились в наличии ошибки и втихую ее исправили, опубликовав соответствующий коммит в своем репозитории на GitHub.

На запрос BleepingComputer о комментарии представители  Apache Software Foundation (ASF) пояснили, что XSS-баг, кулуарно идентифицируемый как CVE-2020-13959, некритичен, поэтому патч для него будет официально выпущен вместе с другими в составе очередной сборки Apache Velocity Tools (ее дата выпуска пока не определена). Те, кого тревожит отсутствие заплатки, могут самостоятельно загрузить ее с GitHub.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru