50% организаций не модернизировали свои стратегии безопасности более 3 лет


Ugroza bezopasnostiСпециалисты компании AT&T, по итогам проведенного исследования пришли к выводу, что значительное количество компаний не заботятся об эффективной защите данных. Несмотря на то, что новые киберугрозы появляются ежедневно, 50% организаций не модернизировали свои стратегии безопасности в течение свыше трех лет. Как результат, такие угрозы, как спам или фишинговые атаки, являются существенной проблемой для предприятий.

Подробнее...

Обновлено (04.03.2017 17:51)

 

В GSM-шлюзах DblTek GoIP обнаружен скрытый бэкдор


Trustwave-SpuderLabsИсследователями из Trustwave был обнаружен скрытый бэкдор в прошивке GSM-шлюзов DblTek GoIP от китайского производителя DBL Technology. DblTek GoIP представляет собой межсетевой шлюз, используемый телекоммуникационными компаниями для подключения к сетям GSM и IP.

Согласно отчету Trustwave, устройства DblTek GoIP содержат скрытый бэкдор, который предоставляет удаленный доступ к шлюзам по протоколу Telnet через учетную запись суперпользователя dbladm. Интересно то, что в отличие от ctlcmd и limitsh, аккаунт dbladm не указан в документации на продукт. И если для двух первых учетных записей пароль устанавливает сам пользователь, то dbladm использует способ аутентификации вызов-ответ. Пользователю предлагается строка, где он должен проделать несколько операций и только тогда получить пароль.

Подробнее...

Обновлено (04.03.2017 17:46)

 

Эксперты исправляют критическую уязвимость в тысячах проектах


OpenSourceКоманда из 50 сотрудников Google устранила критическую уязвимость в тысячах опубликованных на GitHub проектов с открытым исходным кодом. Все исправленные проекты использовали популярную Java-библиотеку Apache Commons Collections (ACC).

Уязвимость (CVE-2015-6420) назвали Mad Gadget. Она содержится в компоненте Collections библиотеки Apache Commons, включающей широко применяемые элементы Java, поддержку которых осуществляет Apache Software Foundation. Проэксплуатировав уязвимость, неавторизованный атакующий может удаленно выполнить произвольный код на целевой системе.

Подробнее...

Обновлено (04.03.2017 17:42)

 

Обнаружен метод обхода reCAPTCHA


Google reCAPTCHAИсследователь безопасности под псевдонимом East-EE, обнаружил так называемую "логическую уязвимость". Эксплуатация данной бреши позволила ему обойти алгоритм Google reCAPTCHA с помощью другого сервиса компании - API для распознавания речи. Написанный на Python PoC-код, позволяющий автоматизировать процесс обхода reCAPTCHA, уже опубликован на портале для разработчиков GitHub.

Уязвимость была обнаружена еще в 2016 году, и до настоящего времени проблема все еще остается неисправленной.

Подробнее...

Обновлено (03.03.2017 01:19)

 

Менеджеры паролей представляют угрозу безопасности данных


TeamSIKКоманда исследователей TeamSIK Института безопасных информационных технологий Фраунгофера (Германия) провела анализ популярных менеджеров паролей (программы для генерирования и хранения паролей) на уязвимости. Результаты показали, что большинство из них представляют угрозу безопасности данных. Так, например, девять популярных менеджеров паролей для Android-устройств из магазина Google Play содержат одну или более уязвимостей.

Специалистами были проанализированы:

Подробнее...

Обновлено (03.03.2017 01:12)