SeoNews.com.ua - SEO & Search Engine News
Поисковая оптимизация
Популяризация токенов способна значительно повысить уровень безопасности в сфере электронной коммерции
Эксперты предлагают заменить передаваемые на торговые серверы финансовые данные электронными идентификаторами, не имеющими ценности для злоумышленников.

Как сообщает издание Network World со ссылкой на доклад одного из крупнейших производителей токенов безопасности, широкомасштабное внедрение такой меры, как дополнительные этапы идентификации, способно в значительной степени сократить количество успешных хакерских атак в сфере электронной коммерции.


Персональные данные граждан РФ будут храниться на российских серверах
Депутаты предлагают изменить дату вступления в силу закона «О персональных данных», согласно которому соцсети и сервисы электронной почты будут обязаны хранить личную информацию пользователей на российских серверах.

Как сообщает издание "Известия", депутаты Госдумы РФ выступили с предложением внести некоторые коррективы в закон «О персональных данных», согласно которому социальные сети и сервисы электронной почты будут обязаны сохранять информацию о конфиденциальных данных граждан РФ на серверах, которые располагаются на территории России. Указ был подписан В. Путиным в июле текущего года, и вступает в действие 1 сентября 2016 года. Тем не менее, госчиновники предлагают ускорить процесс и узаконить перенос личной информации пользователей уже с 1 января следующего года.

Пользователям Wi-Fi в московском метро скоро придется регистрироваться
По просьбе руководства столичного метрополитена компания «Максима Телеком» разработала программное обеспечение, посредством которого будет происходить аутентификация пользователей.

В скором времени все желающие воспользоваться услугами Wi-Fi в Московской подземке смогут сделать это только по регистрации. По просьбе администрации метро компания «Максима Телеком» разработала ПО для аутентификации пассажиров. Новая система будет распознавать посетителей подземки по IMEI-номерам их девайсов, пишут «Известия».

Зарубежным компаниям могут ограничить доступ к российским гостайнам
По предварительным данным, лишиться соответствующей лицензии могут четыре крупнейших аудитора - Deloitte, EY, KPMG и PwC.

Как сообщает издание «Ведомости» со ссылкой на собственных информаторов в двух компаниях из четверки крупнейших зарубежных аудиторов в РФ, отечественные силовые структуры усилили давление на компании и в перспективе могут лишить их возможности работать с данными, представляющими собой государственную тайну.
Началась последняя неделя льготной регистрации на конференцию CEE-SECR «Разработка ПО»
На конференции рассмотрят все аспекты разработки программного обеспечения.

Стартовала последняя неделя льготных летних цен на конференцию CEE-SECR «Разработка ПО» — одно из важнейших событий ИТ-индустрии в России.

До 31 августа регистрационный взнос будет ниже финальной цены на более чем 37%. Кроме того, продолжают действовать специальные предложения для студентов, аспирантов и групп от трех человек. Все скидки суммируются


Seo News
Facebook готовит исправление уязвимости, заставляющей iPhone совершать звонки
Разработчики социальной сети намерены устранить брешь в ближайшем обновлении мобильного приложения для iOS.

Как сообщают представители социальной сети

Facebook, разработчики компании намерены в ближайшее время выпустить обновление безопасности для своего мобильного приложения для iOS-устройств. Речь идет об опасной уязвимости, эксплуатация которой позволяет злоумышленникам удаленно совершать звонки со смартфонов iPhone, принадлежащих жертвам атаки. Для этого достаточно вынудить пользователя перейти по специально сформированной вредоносной ссылке.
95% электронных уведомлений от Facebook успешно шифруются

В Facebook отметили рост количества провайдеров, развертывающих шифрование с помощью STARTTLS.

95% посылаемых Facebook по электронной почте уведомлений, являются зашифрованными. Электронные письма шифруются с помощью свойства протоколов под названием «Совершенная прямая секретность» (Perfect Forward Secrecy, PFS) и строгой проверки подлинности сертификата. Об этом сообщил инженер Facebook Майкл Эдкинс (Michael Adkins), занимающийся вопросами неприкосновенности сообщений пользователей.

Microsoft представит Windows 9 в конце сентября

В ранней версии Windows 9 будет добавлено переработанное меню "Пуск" и, возможно, голосовой помощник Cortana.

В компании Microsoft планируют представить следующую версию ОС Windows во время специального события для прессы, которое состоится в конце сентября. Как сообщает издание The Verge, ссылаясь на собственные источники, в настоящее время представители корпорации собираются рассказать об изменениях в новой версии Windows, получившей кодовое наименование «Threshold» («Предел»), 30 сентября этого года. Напомним, что следующая версия Windows в настоящее время находится в разработке, и в Microsoft планируют выпустить предварительную версию ОС для разработчиков (Developer Preview) 30 сентября или позже.

Google AdWords забанит пейнтбольное и прочее оружие
Менее чем через месяц Google запретит рекламу оружия для страйкбола и пейнтбола, пневматических пистолетов, боеприпасов, обойм и портупей. Жалобы на такую рекламу ранее поступали в Google AdWords Help.

Google опубликовал предварительную версию изменения политики, которая в настоящее время позволяет рекламировать такие товары на AdWords.

Вот образец письма, отправленного рекламодателям AdWords:

«Уважаемый рекламодатель AdWords,

Мы извещаем вас об изменении правил размещения рекламы Google, которые могут повлиять на ваш аккаунт AdWords.


Уязвимость в Windows продолжает создавать опасность для пользователей
Наиболее часто уязвимость CVE-2010-2568 эксплуатировали на ОС Windows XP.

Согласно документу, опубликованному Лабораторией Касперского, злоумышленники продолжают эксплуатировать уязвимость CVE-2010-2568 , несмотря на “возраст” бреши. Недавно Лаборатория Касперского обнаружила десятки миллионов эксплоитов, направленных на устранение ошибки в период с ноября 2013 по июнь 2014 года, которые не устранили ее. Жертвами кибератаки стали 19 миллионов пользователей по всему миру.

Search Engine News
Подпишись на рассылку и будь всегда в курсе наших новостей.

Более половины киберинцидентов в крупных компаниях приводят к серьезным последствиям

Более половины киберинцидентов в крупных компаниях приводят к серьезным последствиям
Об этом свидетельствуют результаты опроса, проведенного организатором международного форума по практической безопасности PHDays IV, стартовавшего 21 мая в Москве.

Абсолютное большинство российских системообразующих компаний, промышленных предприятий и организаций в 2013 году сталкивались с хакерскими атаками и заражением вредоносным ПО. При этом свыше половины таких инцидентов привели к существенным проблемам.

Об этом свидетельствуют результаты опроса, проведенного организатором международного форума по практической безопасности PHDays IV, стартовавшего 21 мая в Москве. Опрос проводился в апреле и мае 2014 года среди руководителей служб информационной безопасности 63 ведущих российских компаний, большая часть которых входит в рейтинг ТОП-100 по капитализации компаний России — 2013 (по оценкам «РИА Рейтинг»).
В анкетировании участвовали представители банковской (42%), телекоммуникационной (17%), топливно-энергетической (13%), транспортной (4%) и других отраслей, а также государственных организаций и ведомств (12%). Примерно половина (45%) компаний-участников опроса обладает крайне разветвлённой сетевой инфраструктурой и насчитывает свыше 50 000 узлов; еще у 25% —от 20 до 50 тыс. узлов. Цели исследования — выяснить, как представители различных отраслей оценивают состояние информационной защищенности (ИБ) своих предприятий, с какими угрозами ИБ они чаще всего сталкиваются, и как оценивают их последствия.

Согласно полученным данным, в минувшем году инциденты информационной безопасности были зарегистрированы в каждой из 63 компаний, участвующей в исследовании. Опрос Positive Technologies показал, что несмотря на выстроенные процессы обеспечения информационной безопасности, 58% всех эпизодов прямо или косвенно приводили к нарушениям доступности внутренней инфраструктуры или сервисов. При этом к финансовым потерям привели 15% инцидентов, к репутационным издержкам — 12%, к нарушению функционирования IТ-инфраструктуры — 31%.

Статистика инцидентов

В целом опрос о состоянии защищенности системообразующих предприятий показал, что в среднем на каждое крупное предприятие за год может приходиться до 100 ИБ-инцидентов различного типа.

В число наиболее распространенных инцидентов вошли DoS/DDoS-атаки (23%), хакерские атаки на внешние веб-приложения (21%), заражение вредоносным ПО (14%) - что, как правило, вызвано недостатками управления уязвимостями, а также злоупотреблениями со стороны сотрудников (14%). Рост внутренних угроз подтверждается еще одним аналитическим отчетом исследовательского центра Positive Technologies: если раньше получение контроля над критически важными ресурсами из внутренней сети было возможно в 84% исследованных систем, то в 2013 году это оказалось возможным для всех исследованных систем.

Довольно часто (7%) респонденты отмечали внутренние атаки на бизнес-критичные информационные системы (ИС), что говорит о легкости, с которой злоумышленники могут преодолеть периметр корпоративных сетей. Лишь 2% компаний-участников опроса отметили, что проблемы информационной безопасности возникли из-за утери мобильных устройств персоналом.

Киберпреступность и злоупотребления

В качестве источников основных угроз большинство участников опроса отмечают киберпреступность (31%). На втором и третьих местах — злоупотребления администраторов ИС (23%) и сотрудников компаний (17%). Интересно, что не так много респондентов включают в число возможных угроз поставщиков услуг (11%). Те же, кто включил поставщиков, в основном связали это с расширением IТ-аутсорсинга. Что касается деятельности спецслужб, то на угрозы информационной безопасности со стороны этой категории указали как специалисты государственных организаций и ведомств, так и представители одного из ведущих перевозчиков и крупного медиа-канала.

Как быстро устраняют критические уязвимости?

Уязвимости высокого уровня риска способны доставить множество неприятностей как самой компании, так и ее клиентам. Согласно данным опроса, чуть больше половины компаний (60%) устраняют такие ошибки в течение нескольких дней, каждая пятая тратит на этот процесс недели, а у 15% на «залатывание дыр» уходят месяцы. Наилучшие результаты в опросе показывали банки, что несколько расходится с результатами реальных проверок на уязвимость. По данным отчета Positive Technologies 37% систем дистанционного банковского обслуживания не защищены от несанкционированных транзакций, и в половине систем ДБО присутствуют критические уязвимости.

«Несколько дней на устранение уязвимости — это фантастический результат. Однако исследования Positive Technologies, основанные на результатах работ по тестированию на проникновение, рисуют менее радужную картину, — говорит Борис Симис, заместитель генерального директора Positive Technologies. — По нашему опыту, на практике критические недостатки устраняются гораздо дольше. Мы находили уязвимости, которым 9 лет! В целом, 57% систем, исследованных в 2013 году, содержали критические ошибки, связанные с использованием устаревших версий программного обеспечения. При этом средний возраст наиболее устаревших неустановленных обновлений составляет 32 месяца. В ходе нашего опроса многие участники проведенного опроса отмечали сложность своевременного реагирования на инциденты, которое невозможно без грамотной политики управления уязвимостями. Отмечу, что санкционированные атаки экспертных групп Positive Technologies, проводимые в ходе пентестов, крайне редко фиксируются службами ИБ компаний, что напрямую связано с наличием уязвимостей. По нашим данным, для преодоления периметра корпоративной сети в 2013 году в среднем требуется использовать всего две уязвимости, тогда как в предыдущие годы требовалось три».

Причины, препятствующие эффективной ИБ-защите

Основными причинами, препятствующими эффективному обеспечению защиты IT-систем системообразующих компаний России, участники опроса назвали нехватку профессионалов, знакомых и с вопросами информационной безопасности, и с производственными процессами (37%), а также несовершенство нормативно-законодательной базы (26%).

Увидеть уязвимости своими глазами

На PHDays IV состоится конкурс Critical Infrastructure Attack, который позволит участникам изучить безопасность реальных систем АСУ ТП (SCADA), используемых на заводах и электростанциях, для управления городским транспортом и освещением, в нефтяной и газовой промышленности. В этом году участники проверят защиту ТЭЦ, систем городского освещения и транспорта, кранов и промышленных роботов-манипуляторов, а победителем станет тот, кто найдет больше уязвимостей и продемонстрирует их использование на живом макете умного города.

Кроме того, с реальными уязвимостями приложений интернет-банкинга, которые были выявлены специалистами компании Positive Technologies при анализе защищенности подобных систем, можно будет познакомиться в ходе конкурса «Большой ку$h». Участникам предстоит воспользоваться найденными уязвимостями для вывода денежных средств.