• Alita,
  • Elita,
  • Liesma,
  • Глеб,
  • Максим,
  • Раиса
Гороскоп
Поиск ПоискRSSFacebook Youtube InstagramЛента новостей
Люблю! ЛЮБЛЮlife
Видео Видео
telegraf.bb.lv Telegraf
Программа Программа
Reklama.lv Reklama.lv


Гороскоп Погода
Подписка Конкурс сочинений Люблю! Люблю! Reklama.lv Reklama.lv telegraf.bb.lv Telegraf Программа Программа Видео Видео Facebook Facebook Instagram Instagram

В Windows 10 обнаружилась крайне серьезная брешь безопасности. Чем она грозит?

Размер текста Aa Aa
Техно / Интернет
inoСМИ.Ru 16:03, 16 января, 2020 2

Агентство национальной безопасности объявило об ошибке, которая грозит 900 миллионам компьютеров по всему земному шару. Об этом пишет Wired (США). Перевод - InoSMI.



"Сегодня, после того как Агентство национальной безопасности обнаружило и обнародовало серьезную уязвимость, Microsoft выпустила патч для Windows 10 и Server 2016. Этот редкий, но не беспрецедентный случай, подчеркивает серьезность изъяна и — кто знает?— может быть, раскрывает новые приоритеты АНБ.

Брешь обнаружилась в механизме Windows для подтверждения легитимности программного обеспечения и установления безопасных веб-соединений. Если доверия не заслуживает сама проверка, злоумышленники могут этим воспользоваться для удаленного распространения вредоносных программ или перехвата конфиденциальных данных.

«Мы рекомендуем владельцам сетей принять безотлагательные меры по установлению обновлений. Сами мы этим уже занимаемся», — сказала во вторник глава управления АНБ по кибербезопасности Энн Нойбергер (Anne Neuberger,). «Стоит нам выявить масштабную криптографическую уязвимость, подобную этой, как мы тут же обращаемся к компании-разработчнику — чтобы хоть как-то смягчить ущерб».

Изъян особенно касается интерфейса Microsoft CryptoAPI, который помогает разработчикам криптографически «подписывать» программное обеспечение и данные и генерирует цифровые сертификаты, используемые при аутентификации, — эти меры доказывают надежность и достоверность при проверках Windows на пользовательских устройствах. Злоумышленникам же брешь позволяет обойти важные средства защиты — и в конечном итоге заполучить контроль над устройствами.

«Представьте себе, что у вредоносного ПО будет сертификат доверия Microsoft и зашифрованный трафик будет перехватываться», — говорит Дэвид Кеннеди (David Kennedy), генеральный директор компании TrustedSec по оценке корпоративной безопасности, в прошлом сотрудник АНБ. «Это поможет обойти целый ряд заслонов».

Когда к уязвимости присмотрятся исследователи и киберпреступники и разработают соответствующие хакерские инструменты, масштаб проблемы для пользователей станет яснее. Но брешь в важнейшем криптографическом компоненте Windows — бесспорная проблема, ведь Windows 10 — популярнейшая операционная система в мире и установлена более чем на 900 миллионов персональных компьютеров.

«Это базовый низкоуровневый компонент операционной системы Windows, который устанавливает доверие между администраторами, обычными пользователями и другими компьютерами как в локальной сети, так и в интернете», — объясняет Кенн Уайт, руководитель отдела безопасности в компании MongoDB и директор проекта «Открытый криптоаудит». «Брешь в технологии, обеспечивающей доверие, может привести к катастрофическим последствиям. Какие именно для этого потребуются сценарии и предварительные условия — мы пока анализируем. Администраторам Windows по всему миру предстоит трудный день».

Решение АНБ обнародовать ошибку напоминает об EternalBlue — эта разработанная АНБ хакерская программа несколько лет эксплуатировала ошибку Windows, пока ее исправили в начале 2017 года. Баг этот присутствовал во всех тогдашних версиях Windows. В АНБ о нем знали — и пользовались для цифрового шпионажа в течение пяти лет. Кончилось тем, что программа из-под контроля АНБ вышла. Через несколько недель после того, как Microsoft выпустила исправление, программу выложила в сеть загадочная хакерская группа «Теневые брокеры» (Shadow Brokers). Пока по всему миру не установили нужные заплатки, преступники и хакеры на государственной службе развлекались как могли.

Быть может, сообщение об ошибке проверки в Windows 10 — это попытка АНБ избежать аналогичного провала. Нойбергер заверила, что в отличие от Eternal Blue, этой уязвимостью АНБ не воспользовалось.

Нойбергер назвала раскрытие ошибки проверки сотрудникам Microsoft и широкой общественности частью новой инициативы АНБ, в рамках которой агентство намерено делиться данными об изъянах безопасности чаще и оперативнее. Эти усилия заработают параллельно с существующим Процессом справедливого раскрытия уязвимостей — эту программу ведет Совет национальной безопасности, нащупывая баланс между государственной тайной в отношении хакерских программ и гласностью.

Вот почему АНБ не только раскрыло уязвимость, но и подчеркнуло свою роль. «Организациям трудно поверить, что мы действительно относимся к этому серьезно, — сказала Нойбергер, — и устранение уязвимостей — наш абсолютный приоритет».

Еще до фиаско с Eternal Blue АНБ широко критиковали за то, что организация собирает данные об уязвимостях ради собственной выгоды — а не рассказывает о них публично, чтобы исправить их как можно скорее.

В октябре Нойбергер возглавила недавно созданное Управление кибербезопасности АНБ, чтобы усилить внутреннюю безопасность ведомства и укрепить сотрудничество между департаментами. Агентство, организация молчаливая и скрытная, предприняло ряд других шагов по взаимодействию с исследовательским сообществом в области кибербезопасности — например, обнародовав в прошлом году исходный код аналитического инструмента Ghidra.

Раскрытие конкретной ошибки вовсе не означает, что АНБ откажется от своего арсенала хакерских утилит — ему и не надо. Но стремление к прозрачности — долгожданный шаг, особенно если он послужит реабилитации его имиджа".

Подписывайтесь на Телеграм-канал BB.LV! Заглядывайте на страницу BB.LV на Facebook! И читайте главные новости о Латвии и мире!
Комментарии (2)


Читайте также


Также в категории

Техно ВВС США назвали главное оружие против Москвы

Глава Командования глобальных ударов Военно-воздушных сил (ВВС) США Тимоти Рэй в письме изданию Air Force Times заявил, что война будущего, которую страна, вероятнее всего, будет вести с Китаем или Россией, угрожает выживанию американской нации. Военный также назвал главное оружие будущего, которое Вашингтон может направить против Москвы.

Техно Обнародованы девять научно доказанных плюсов секса

Сексолог из Силезского медицинского университета Беата Врубель назвала девять наиболее значимых и доказанных наукой плюсов от занятий сексом. Об этом пишет Newsweek.

Техно СМИ: С-500 обесценит наступательный потенциал США

C-500 существенно обесценит военный потенциал США, так как система может работать по гиперзвуковым целям, причем на очень больших высотах. Как уверяет китайское издание Sina, у ракеты LGM-30G Minuteman-3 просто нет шансов преодолеть оборону "Прометея".

Техно На МКС обнаружена утечка аммиака

На американском сегменте Международной космической станции (МКС) обнаружена утечка аммиака. Об этом сообщил РИА Новости представитель пресс-службы Роскосмоса.

Читайте еще

Техно В США показали самый засекреченный беспилотник-шпион RQ-170 (ФОТО)

В США выложили новые снимки самого засекреченного беспилотника-шпиона RQ-170, за которым фотографы устроили настоящую охоту в Калифорнии. На этот раз возвращающийся на завод Lockheed Martin в Палмдейле дрон запечатлел фотограф Джереми Смит, а затем и выложил в "Инстаграм".

Политика Гобземс: защищая мозги, мы защитим язык и страну, но, нет - мы против ленточек

Депутат Сейма Алдис Гобземс заявил с трибуны Сейма о том, что все голосования по запретам георгиевских лент и прочих несущественных, но, как утверждают националисты, крайне патриотических вопросов, всегда происходит в тот момент, когда Сейм голосует против людей – русских и латышей разом.

Lifenews Spotify обвинил Apple в неконкурентном поведении из-за выпуска единой подписки

Spotify заявил, что Apple злоупотребила доминирующим положением на рынке, выпустив единую подписку на свои сервисы Apple One. Об этом пишет The Verge.

COVID-19 COVID-19: тесты, справки, больничные

В сентябре стало намного больше латвийцев, кому приходится делать анализы и брать справки, что они НЕ больны коронавирусом. Оно и понятно: расширился список «карантинных стран», появились новые требования в учебных заведениях и медучреждениях, и не только.