Забележителни новини за сигурността за седмицата, приключваща на 9 октомври 2015 г. Обхваща корпоративна сигурност, сигурност на приложения и мобилни устройства, отчети и др.
Добре дошли в Седмицата на нулевия ден в сигурността, обобщението на ZDNet със забележителни новини за сигурността за седмицата, приключваща на 9 октомври 2015 г.
от Хълмът: Демократите в Сената натискат T-Mobile за нарушаване на данните „Трима демократи в Сената търсят отговори от кредитната агенция Experian относно скорошното нарушение на данните, което разкри до 15 милиона клиенти на T-Mobile. Sens. Ричард Блументал (D-Conn.), Бил Нелсън (D-Fla.) и Брайън Шац (D-Хавай) – всички водещи демократи в Сената Commerce Committee - писаха двете компании в сряда, като поискаха информация за това как двете фирми се справят с последиците от хакът. „Неотдавнашният инцидент с Experian и T-Mobile демонстрира необходимостта от законодателство“, се казва в писмото.“ Вижте също: Вследствие на хакване групата срещу CISA се насочва към Experian (Хълмът)
от Ройтерс: Ексклузивно: Uber проверява връзките между хакер и Lyft „Осем месеца след разкриването на голямо нарушение на сигурността на данните, услугата за превози Uber [UBER.UL] фокусира своите правни усилия за научаване на повече за интернет адрес, който е убедил съда, може да доведе до идентифициране на хакер. Този адрес, твърдят два източника, запознати с въпроса, може да бъде проследен до шефа на технологиите на основния американски съперник, Lyft."
от CNET: Новият закон в Калифорния изисква от полицията да получава заповеди за онлайн данни „Ако полицията иска да погледне имейла ви, сега ще трябва да получи заповед. Поне в Калифорния. управител Джери Браун подписа законопроект за поверителността в закон в четвъртък, който изисква правоприлагащите органи в Калифорния да получат заповед за онлайн данни. Законопроектът имаше подкрепата на Силиконовата долина и защитниците на неприкосновеността на личния живот, показвайки, че технологичните фирми са съпротива срещу правителственото събиране на клиентски данни след наблюдението на Едуард Сноудън разкрития. Очаква се федерален закон с подобни ограничения. Засега федералните правоприлагащи органи не се нуждаят от заповед за достъп до онлайн данни, дори в Калифорния."
от ZDNet: HTC казва, че месечните актуализации за сигурност на Android са „нереалистични“ „Неотдавнашната уязвимост на Stagefright, която може да засегне стотици милиони телефони с Android, може да е била прикрита благословия. В отговор на ситуацията, през август Google обяви наличност на месечна актуализация на защитата за своите телефони Nexus. Samsung също се ангажира с "почти месечни" актуализации и LG последва примера. HTC обаче не го направи. Президентът на HTC America, Джейсън Макензи, написа в Туитър през уикенда, че компанията „ще настоява за тях, но е нереалистично някой да каже гарантирано всеки месец.“
от Хълмът: Хаусът приема законопроект, който задължава DHS стратегията за киберсигурност „Във вторник Камарата прие законопроект, изискващ Министерството на вътрешната сигурност да разработи официална стратегия за киберсигурност. „Това законодателство е доказателство, че има двупартийна подкрепа за намирането на ефективни решения на този проблем и че не сме доволни да оставим сигурността на импровизацията“, заяви вносителят на законопроекта представител. Седрик Ричмънд (D-La.) се казва в изявление."
от ZDNet: Цената на киберпрестъпленията се покачва до 6,8 милиона долара на фирма в Япония, 3,4 милиона долара в Австралия „Средните разходи за киберпрестъпления на организация годишно в седем държави са се увеличили до 7,7 милиона долара през 2015 г., като на компаниите са били необходими 46 дни, за да разрешат кибератака. Според проучване, поръчано от Hewlett-Packard и проведено от Ponemon Institute, средната годишните разходи за киберпрестъпления в Япония, например, се покачиха с 14 процента до приблизително 6,81 долара милиона. В Австралия тази цифра се е увеличила с 13 процента до 3,47 милиона долара, разкрива годишното проучване, което включва 60 респонденти на двата пазара.
от Ars Technica: Докладът установява, че много системи на ядрени електроцентрали са „несигурни по дизайн“ „Проучване на мерките за информационна сигурност в цивилни съоръжения за ядрена енергия по света установи широк спектър от проблеми в много съоръжения, които може да ги направи уязвими за атаки срещу индустриални контролни системи - потенциално причинявайки прекъсвания на електрическото захранване или дори повреда на реакторите себе си. Проучването установи, че системите на много атомни електроцентрали са „несигурни по дизайн“ и уязвими на атаки, които биха могли да имат широкообхватни въздействия в физическия свят - включително прекъсване на електрическата мрежа и освобождаване на "значителни количества йонизиращо лъчение." Вж. също: Ядрен кошмар: Индустриалните контролни превключватели се нуждаят от поправка веднага (ZDNet)
от ZDNet: Google коригира Stagefright 2.0 в Nexus, поправя земята в „нощните“ компилации на CyanogenMod „В тандем с пускането на Android Marshmallow 6.0 за телефони Nexus, Google също достави критична актуализация на сигурността за устройства Nexus, уязвими към най-новите грешки на Stagefright. Разкрит миналия петък, Stagefright 2.0, подобно на своя предшественик, остави почти всяко Android устройство в природата изложено на опасна атака срещу двигателя на медийния плейър на операционната система, която може да бъде задействана след получаване на злонамерен MP3 или MP4 носител файл."
от ZDNet: Тревожите се за Stagefright на Galaxy S5? Стабилната версия на CyanogenMod има корекция „CyanogenMod пусна стабилни компилации за около 50 телефона и включва корекциите за сигурност от октомври, които Google пусна тази седмица за устройства Nexus. За потребителите на Android, загрижени за лесно експлоатирани грешки като Stagefright 1.0 и 2.0, изглежда, че най-бързият начин да получите критични актуализации за сигурност е да замените съществуващия фърмуер на устройството с CyanogenMod. Досега единствените устройства, които са получили октомврийската актуализация на сигурността на Google за Android, която съдържа корекции за десетки критични уязвимости, включително Stagefright 2.0, са устройства Nexus. Корекциите са включени и в Android Marshmallow 6.0, но отново това е достъпно само за устройства Nexus засега."
от CNET: Samsung казва, че данните за плащане на клиенти не са засегнати от хакерска атака „Клиентите, които използват системата за мобилни разплащания Samsung Pay, не са пострадали от хакерска атака срещу LoopPay, компания, която Samsung придоби, за да подпомогне захранването на услугата, съобщиха от компанията в четвъртък. Свързана с правителството китайска хакерска група, известна като Codoso Group или Sunshock Group, е отговорна за атаката, каза The New York Times. LoopPay вярва, че са се опитвали да откраднат технологията за магнитна лента на компанията - основната причина Samsung да купи компанията."
от ZDNet: Зловреден софтуер Kemoge: Още една причина да не използвате неофициални инсталации на приложения за Android „Фирмата за сигурност и кибератаки FireEye обяви в сряда, че е проследила нова заплаха за мобилен злонамерен софтуер в повече от 20 държави в световен мащаб, включително в САЩ, наречен Kemoge, заплахата представлява стандартни, лесно достъпни приложения за Android, но подмамва потребителите да ги инсталират чрез реклами. На пръв поглед приложенията са дубликати на софтуер, който може да се намери в Google Play Store; основната разлика е, че те атакуват устройството на потребителя след инсталиране."