• Adrians,
  • Ārija,
  • Rigonda,
  • Геннадий,
  • Никифор,
  • Панкрат
Гороскоп
Подписка
Поиск ПоискRSSFacebook InstagramЛента новостей
Люблю! ЛЮБЛЮlife
Видео Видео
telegraf.bb.lv Telegraf
Программа Программа
Reklama.lv Reklama.lv


Гороскоп Погода
Подписка Конкурс сочинений Люблю! Люблю! Reklama.lv Reklama.lv telegraf.bb.lv Telegraf Программа Программа Видео Видео Facebook Facebook Instagram Instagram


В Windows 10 обнаружилась крайне серьезная брешь безопасности. Чем она грозит?

Размер текста Aa Aa
Техно / Интернет
inoСМИ.Ru 16:03, 16 января, 2020 2

Агентство национальной безопасности объявило об ошибке, которая грозит 900 миллионам компьютеров по всему земному шару. Об этом пишет Wired (США). Перевод - InoSMI.



"Сегодня, после того как Агентство национальной безопасности обнаружило и обнародовало серьезную уязвимость, Microsoft выпустила патч для Windows 10 и Server 2016. Этот редкий, но не беспрецедентный случай, подчеркивает серьезность изъяна и — кто знает?— может быть, раскрывает новые приоритеты АНБ.

Брешь обнаружилась в механизме Windows для подтверждения легитимности программного обеспечения и установления безопасных веб-соединений. Если доверия не заслуживает сама проверка, злоумышленники могут этим воспользоваться для удаленного распространения вредоносных программ или перехвата конфиденциальных данных.

«Мы рекомендуем владельцам сетей принять безотлагательные меры по установлению обновлений. Сами мы этим уже занимаемся», — сказала во вторник глава управления АНБ по кибербезопасности Энн Нойбергер (Anne Neuberger,). «Стоит нам выявить масштабную криптографическую уязвимость, подобную этой, как мы тут же обращаемся к компании-разработчнику — чтобы хоть как-то смягчить ущерб».

Изъян особенно касается интерфейса Microsoft CryptoAPI, который помогает разработчикам криптографически «подписывать» программное обеспечение и данные и генерирует цифровые сертификаты, используемые при аутентификации, — эти меры доказывают надежность и достоверность при проверках Windows на пользовательских устройствах. Злоумышленникам же брешь позволяет обойти важные средства защиты — и в конечном итоге заполучить контроль над устройствами.

«Представьте себе, что у вредоносного ПО будет сертификат доверия Microsoft и зашифрованный трафик будет перехватываться», — говорит Дэвид Кеннеди (David Kennedy), генеральный директор компании TrustedSec по оценке корпоративной безопасности, в прошлом сотрудник АНБ. «Это поможет обойти целый ряд заслонов».

Когда к уязвимости присмотрятся исследователи и киберпреступники и разработают соответствующие хакерские инструменты, масштаб проблемы для пользователей станет яснее. Но брешь в важнейшем криптографическом компоненте Windows — бесспорная проблема, ведь Windows 10 — популярнейшая операционная система в мире и установлена более чем на 900 миллионов персональных компьютеров.

«Это базовый низкоуровневый компонент операционной системы Windows, который устанавливает доверие между администраторами, обычными пользователями и другими компьютерами как в локальной сети, так и в интернете», — объясняет Кенн Уайт, руководитель отдела безопасности в компании MongoDB и директор проекта «Открытый криптоаудит». «Брешь в технологии, обеспечивающей доверие, может привести к катастрофическим последствиям. Какие именно для этого потребуются сценарии и предварительные условия — мы пока анализируем. Администраторам Windows по всему миру предстоит трудный день».

Решение АНБ обнародовать ошибку напоминает об EternalBlue — эта разработанная АНБ хакерская программа несколько лет эксплуатировала ошибку Windows, пока ее исправили в начале 2017 года. Баг этот присутствовал во всех тогдашних версиях Windows. В АНБ о нем знали — и пользовались для цифрового шпионажа в течение пяти лет. Кончилось тем, что программа из-под контроля АНБ вышла. Через несколько недель после того, как Microsoft выпустила исправление, программу выложила в сеть загадочная хакерская группа «Теневые брокеры» (Shadow Brokers). Пока по всему миру не установили нужные заплатки, преступники и хакеры на государственной службе развлекались как могли.

Быть может, сообщение об ошибке проверки в Windows 10 — это попытка АНБ избежать аналогичного провала. Нойбергер заверила, что в отличие от Eternal Blue, этой уязвимостью АНБ не воспользовалось.

Нойбергер назвала раскрытие ошибки проверки сотрудникам Microsoft и широкой общественности частью новой инициативы АНБ, в рамках которой агентство намерено делиться данными об изъянах безопасности чаще и оперативнее. Эти усилия заработают параллельно с существующим Процессом справедливого раскрытия уязвимостей — эту программу ведет Совет национальной безопасности, нащупывая баланс между государственной тайной в отношении хакерских программ и гласностью.

Вот почему АНБ не только раскрыло уязвимость, но и подчеркнуло свою роль. «Организациям трудно поверить, что мы действительно относимся к этому серьезно, — сказала Нойбергер, — и устранение уязвимостей — наш абсолютный приоритет».

Еще до фиаско с Eternal Blue АНБ широко критиковали за то, что организация собирает данные об уязвимостях ради собственной выгоды — а не рассказывает о них публично, чтобы исправить их как можно скорее.

В октябре Нойбергер возглавила недавно созданное Управление кибербезопасности АНБ, чтобы усилить внутреннюю безопасность ведомства и укрепить сотрудничество между департаментами. Агентство, организация молчаливая и скрытная, предприняло ряд других шагов по взаимодействию с исследовательским сообществом в области кибербезопасности — например, обнародовав в прошлом году исходный код аналитического инструмента Ghidra.

Раскрытие конкретной ошибки вовсе не означает, что АНБ откажется от своего арсенала хакерских утилит — ему и не надо. Но стремление к прозрачности — долгожданный шаг, особенно если он послужит реабилитации его имиджа".

Комментарии (2)


Читайте также


Также в категории

Техно «Адмиралу Кузнецову» придётся нелегко: в России думают как жить без авианосцев

Россия изучает вопрос о строительстве атомных авианосцев, которые должны прийти на смену устаревшему «Адмиралу Кузнецову». Как пишет Forbes, сейчас рассматриваются два проекта нового корабля, однако время появления нового российского авианосца пока не определено, поэтому «Адмирал Кузнецов» будет вынужден оставаться в строю ещё какое-то время.

Техно Австралия поможет NASA построить космическую станцию на лунной орбите

В стране создадут роботов, которые будут собирать конструкцию в космосе на дистанционном управлении с Земли

Техно В «проклятой» египетской гробнице совершили революционное открытие

Египетские археологи совершили важное открытие в гробнице египетского фараона Тутанхамона. Они нашли подтверждение гипотезе, согласно которой тайная гробница египетской царицы Нефертити, возможно, находится за стенами гробницы. Об этом сообщает издание Science Alert.

Техно "Дрон с пилотом". МиГ-35 получили патент на систему беспилотной посадки

Новейшие российские истребители МиГ-35 смогут выполнять посадку в беспилотном режиме, соответствующая технология уже создана, сообщили РИА Новости в пресс-службе корпорации "МиГ" (входит в Объединенную авиастроительную корпорацию).

Читайте еще

Спорт Чемпион мира по футболу стал игроком худшего клуба РПЛ
Рубен Хавьер Косо Руиз, агент французского защитника Адиля Рами, заявил, что его клиент стал игроком «Сочи». «Все хорошо, переговоры завершены. Теперь он игрок "Сочи"», — подтвердил Руиз ранее появившуюся информацию о том, что Рами перейдет в стан худшего клуба Российской премьер-лиги (РПЛ).
Культпросвет Начался 70-й Берлинский кинофестиваль

Начался 70-й Берлинский кинофестиваль — он продлится с 20 февраля по 1 марта. В этом году в программе много изменений и неожиданных решений. Часто упоминается и Россия: в основном конкурсе участвует «Дау. Наташа» Ильи Хржановского и «Гунда» Виктора Косаковского, вне конкурса покажут «Уроки фарси» американского режиссера украинского происхождения Вадима Перельмана и российского продюсера Ильи Стюарта, а также документальный фильм Андрея Грязева «Котлован», собранный из обращений россиян к Путину. О том, как фестиваль обретает новое лицо, рассказывает кинокритик «Медузы» Антон Долин.

В мире Лидеры Евросоюза не договорились по многолетнему бюджету ЕС

Главы государств и правительств Евросоюза не смогли достичь договоренности по многолетнему бюджету ЕС на 2021-2027 годы. Об этом сообщает ТАСС, ссылаясь на источник в делегации одного из государств ЕС.