Информационный портал nnIT

Оригинал документа: http://nnit.ru/tciweekly/tc148487/


ТЦИ Weekly

5 -11 августа 2013 г.: Уязвимые пароли, спам и «домены без точки»

11.08.2013 18:46
Главная тема минувшей недели – уязвимость паролей. Так, выяснилось, что механизм хранения паролей в Google Chrome крайне уязвим. В «группе риска» утерянные ноутбуки и компьютеры в публичном доступе: с их помощью любой может узнать пользовательские пароли, сохраненные в Chrome.

Британский разработчик ПО Эллиот Кембер опубликовал в своем блоге простой способ получения доступа к ним: открыть настройки браузера, выбрать опцию «дополнительные настройки» и далее раздел «пароли и формы», где по умолчанию активирована функция «предлагать сохранение паролей». Ссылка «управление паролями» открывает окно со списком сайтов, пароли к которым сохранены. Они отображаются в виде звездочек, но достаточно нажать на имя конкретного сайта, и браузер предложит показать пароль. Кембер резко раскритиковал Google за недостаточную заботу о безопасности. Представители Google выступили с ответным заявлением, что защищать следует учетную запись, а если посторонним лицам удалось получить к ней доступ, дальнейшие меры защиты бессмысленны. Большинство экспертов приняли сторону Кембера. В дискуссию включился даже «создатель интернета» Тим Бернерс-Ли, отметив, что реакция Google «вызывает недоумение».

Тем временем «Лаборатория Касперского» опубликовала отчет о спаме в интернете за второй квартал 2013 года. Основная тенденция – рассылка офисным пользователям писем с вредоносными вложениями. Все они замаскированы под автоматические уведомления: сообщения о недоставке/получении письма, о пришедшем факсе или скане, - и рассчитаны на то, что погруженный в работу сотрудник не обратит внимания на детали и откроет вложенный файл с вредоносной программой. Возродилась и почти забытая рассылка открыток с вредоносными вложениями – эксплуатируется бренд известного производителя открыток Hallmark. По-прежнему преобладают очень короткие письма, размер которых не превышает 1Kb, среди вложений лидируют фишинговые HTML-страницы, цель которых – кража данных для доступа к аккаунтам пользователя (логинов и паролей), в частности – к онлайн-банкингу.

Угроза для безопасности пользователей усматривается и в актуальной концепции «доменов без точки». Их исследовала компания Carve Systems по заказу ICANN. Идея «домена без точки» предполагает, что пользователь вводит определенное слово в строке браузера без точек или префиксов и попадает на определенный веб-сайт. Исследование выявило 25 потенциальных угроз безопасности, при этом 10 отнесены к категории «серьезных». Самая серьезная проблема – возможный конфликт имен в локальных сетях. Имена без точек обычно используют для внутренней инфраструктуры сети, и они обладают высоким уровнем доверия и привилегий. Это может привести к серьезным утечкам конфиденциальных данных. Поэтому Carve Systems рекомендует ICANN не делегировать такие «домены без точки», как «mail» и «local»: они используются в домашних и корпоративных сетях наиболее часто. Что до других «доменов без точек», их появление потребует просветительской работы и обновления технической базы. Учитывая масштаб задачи и потенциальные инвестиции, наблюдатели уверены, что о «доменах без точек» можно забыть на ближайшие десять лет. На данный момент единственной крупной компанией, которая официально заявила, что хотела бы владеть «доменом без точки», является Google, претендующий на домен «search».

Тем временем, игроки рынка кибербезопасности все активнее присматриваются к новым рынкам. По их мнению, вслед за компьютерами, смартфонами и планшетами целью хакерских атак могут в ближайшее время стать автомобили, холодильники и даже унитазы. Так, компания AVG Technologies заключила соглашение с концерном Renault и работает над системами безопасности для нового поколения «умных» автомобилей, а также изучает рынок бытовой техники: «умные» телевизоры получают широкое распространение, а в Южной Корее уже используют подключенные к интернету холодильники. А компания Trustwave сообщила о потенциальной киберуязвимости… унитаза. Речь о модели премиальной категории Satis от компании Lixil. Им можно управлять со смартфона с помощью приложения My Satis, которое позволяет дистанционно спускать воду, открывать и закрывать крышку и воспроизводить музыкальные композиции. Унитаз стоимостью $2400 соединяется со смартфоном посредством Bluetooth, и эксперты выяснили, что в его настройках предустановлен неизменяемый код доступа (0000). Так что, злоумышленник с помощью смартфона может взять под полный контроль унитаз, например, своих соседей.

Неудивительно, что расширение индустрии кибербезопасности приобретает глобальные масштабы. Так, администрация США работает над концепцией национальной кибербезопасности для защиты критической инфраструктуры страны от масштабных кибератак. Концепция предполагает ряд технических регламентов и процедур для энергетических и транспортных компаний, водопроводных сетей и других предприятий критической инфраструктуры, чтобы защитить компьютерные системы от хакерских атак и минимизировать возможный ущерб. В обмен на присоединение к этой программе Белый дом предоставит им ряд привилегий. Среди них – страхование от ущерба при кибератаках, первоочередное право получения правительственных грантов и упрощенная процедура рассмотрения конфликтных ситуаций.

Редактор раздела: Тимофей Белосельцев (info@mskit.ru)

Рубрики: ПО, Web, Безопасность

 

Свежие комментарии


Copyright 2004 nnIT. Все права защищены
Перепечатка материалов приветствуется при ссылке на www.nnIT.nnit.ru
Ресурс разработан и поддерживается компанией Peterlink Web