Появление чёрного рынка 0day-уязвимостей для спецслужб привело к ряду побочных эффектов, пишет Брюс Шнайер в своей ежемесячной почтовой рассылке Crypto-Gram. Критика Брюса Шнайера направлена на деятельность компаний Vupen, Netragard, Endgame и других брокеров, которые покупают эксплойты у независимых хакеров и перепродают их спецслужбам западных стран. Компания Vupen к тому же имеет в штате ряд высокопрофессиональных специалистов, которые сами занимаются аудитом безопасности популярных браузеров и операционных систем, так что у них всегда есть на продажу эксклюзивные 0day-уязвимости для программ типа Flame.
Уязвимости программ
Новости
В минувшую среду Министерство внутренней безопасности США заявило о намерении представить компаниям и ИТ-специалистам, работающим над реализациией федеральных программ, специально разработанные стандарты, в соответствии с которыми все киберугрозы должны выявляться и устраняться в течение 72-х часов. Эти стандарты призваны воплотить в жизнь принципы т.н. "непрерывного автоматизированного контроля", о которых представители администрации Барака Обамы говорили еще в 2010 году. Непрерывный мониторинг потенциальных сетевых угроз позволит быстрее выявить слабые места информационных сетей, а также снизить затраты и избежать серьезных последствий кибератак.
17.06.2012
US-CERT распространила экстренное предупреждение, согласно которому многие 64-битные современные операционные системы и программы для виртуализации подвержены атакам типа локального подъема привилегий, когда софт работает на базе процессоров компании Intel. По классификации US-CERT уязвимость получила номер CVE-2012-0217 и она связана с тем, как в чипах Intel реализована инструкция SYSRET.
15.06.2012
Как известно, на сегодняшний день львиная доля кибератак приходится на корпоративные сети коммерческих структур. Большинство экспертов сходится во мнении, что главной причиной успешных кибератак на информационные сети коммерческих структур является, так называемая, «внутрикорпоративная небрежность». По мнению специалистов компании Quest Software, внутрикорпоративная небрежность проявляется в нарушениях элементарных правил информационной безопасности, например, когда сотрудник игнорирует или забывает проверить сообщения систем защиты корпоративных сетей о подозрительном поведении каких–либо программ или процессов.
14.06.2012
Эксперт компьютерной безопасности Нильс Джунман (Nils Junemann) опубликовал техническую информацию о трех XSS-уязвимостях в почтовом сервисе Gmail. В результате успешного использования XSS-уязвимостей злоумышленникам удается скомпрометировать информацию о текущем сеансе пользователя, а при проведение целевой многоуровневой атаки, и вовсе, получить контроль над учетной записью.
14.06.2012