هذا ما يكفي في صناعة أمن المعلومات هو الدراما. أحدث أدوات القرصنة أو الأعطال الفادحة في أنظمة حماية البرامج والأجهزة - أو الغياب التام لهذه الأنظمة نفسها. الروتين اليومي للرسائل غير المرغوب فيها مع الإضافات الخبيثة والتصيّد والتشفير وغيرها من الهراء - هذه ليست مثيرة للاهتمام مثل الهجمات السيبرانية الأكثر تعقيدًا ، ولكن يجب التعامل معها في أغلب الأحيان.
معرفة أن كلمة المرور لا تتطابق مع جهاز التوجيه الخاص بك هو كيفية اكتشاف قفل مكسور في الباب الأمامي. ومع ذلك ، على الرغم من أنه ينبغي أخذ التهديدات السيبرانية على محمل الجد ، إلا أن العمل الحقيقي على الأمن يبدأ في اللحظة التي توقف فيها الجميع عن التلويح وقول كلمات غير محتملة والبدء في العمل. قمنا بتحديث جهاز التوجيه ، وأجرينا تدريبًا على التصيد الاحتيالي مع الموظفين ، وأقامنا حماية ضد المبرمجين. حتى في الوقت الذي يكون فيه كل شيء سيئًا مع داعش ، فمن المنطقي أن نتخيل كيف يجب أن يكون جيدًا ، ولا تتسرع في التحرك نحو مستقبل جميل. اليوم هو ملخص للأخبار الجيدة: أمان Google الثابت للأندرويد ، Cisco fix Webex ، Wordpress fix Wordpress.
لنبدأ
بالأخبار المباشرة: وفقًا لـ
The Verge ، فقد
أكملت Google الالتزامات التعاقدية لمصنعي الهواتف الذكية استنادًا إلى نظام التشغيل Android مع فقرة منفصلة حول الأمان. اعتبارًا من 31 يناير 2019 ، يجب أن تتلقى جميع الهواتف الجديدة التي تم بيعها بما يزيد عن مائة ألف نسخة بانتظام تصحيحات أمان لمدة عامين بعد الإصدار. وبناءً على ذلك ، سيُطلب من مصنعي الهواتف الأكثر أو الأقل شعبية إعداد هذه التصحيحات وتوزيعها.
تم تقديم ممارسة تسليم التصحيحات لتغطية المشكلات الأمنية في عام 2015 - أولاً للهواتف الخاصة بشركة Google ، وبعد ذلك قامت الشركات المصنعة الأخرى برفع نفسها. قبل ثلاث سنوات ، بدأت Google في الابتعاد عن المخطط التقليدي لإعداد التحديثات للهواتف الذكية ، عندما تم منح الأولوية للميزات الجديدة ، وتم إصلاح الثغرات الأمنية "على أنها محظوظة". تم
تقديم Project Treble
في Android 8.0 Oreo لتحسين الوضع مع تجزئة قاعدة التعليمات البرمجية. إذا لم يكن البائعون قبل ذلك في عجلة من أمرهم لتدوير التصحيحات ، خوفًا من التعارض مع التعليمات البرمجية الخاصة بهم ، فقد تم فصل الوظائف والأمان أخيرًا (أو شيء من هذا القبيل). أصبح إغلاق نقاط الضعف أسهل.
لم يستفد الجميع من هذه الفوائد. أولاً ، لا تزال الأجهزة النشطة المستندة إلى الإصدار الثامن (أو الأحدث) من Android في الأقلية. ثانيًا ، لا يرسل جميع البائعين بانتظام تصحيحات أمنية شهرية ، كما
اكتشفت معامل أبحاث الأمان في أبريل. لقد حان الوقت للعمل التنظيمي. بالطبع ، الطريقة المثلى لزيادة الأمان هي تطوير تقنية بحيث تعمل بشكل أو بآخر بشكل مستقل. ولكن هذا لا ينجح دائمًا ، لذا سيُطلب من البائعين الآن دعم الأجهزة لمدة عامين على الأقل. أخبار أخرى جيدة عن Android: تستمر مكافحة التطبيقات الضارة على Google Play. تمت إزالة ما يقرب من
اثني عشر تطبيقًا من متجر Google الرسمي مع وظائف مفيدة نسبيًا وميزة إضافية في شكل اعتراض الرسائل القصيرة.
المزيد من الأخبار الجيدة. قامت Cisco
بإصلاح الخلل الخطير في نظام مؤتمرات Webex. يتطلب Webex عادة تثبيت برنامج العميل ، الذي يعترض الطلبات من المتصفح ويضمن نقل دفق الفيديو ومحتويات مكبر صوت سطح المكتب إلى كمبيوتر المستخدم والمزيد. يعمل العميل باستمرار ، حتى عندما لا تستخدم مكالمة جماعية ، وقد تم
اكتشافه مرارًا وتكرارًا أنه يمكنه إضافة بضعة نواقل هجوم إضافية إلى النظام. في سبتمبر ، تم اكتشاف ثغرة أمنية وإغلاقها حيث تم استخدام عملية WebExService.exe لزيادة الامتيازات (إذا كان هناك بالفعل وصول إلى النظام كمستخدم عادي). وفي الأسبوع الماضي ، وجد باحث معروف باسم SkullSecurity خطأًا مشابهًا. درس كيف يبدأ WebExService عملية تحديث العميل ، وكان قادرًا على إعادة توجيه هذه الوظيفة لبدء أي عملية بامتيازات النظام ، وحتى مع الاحتمال النظري للتشغيل عن بُعد. أوصي بقراءة
الدراسة الأصلية ، وهي تصف بالتفصيل عملية
اختيار بحث الكود باستخدام IDA Pro ، المليء بالدموع وخيبات الأمل ، ولكن مع الإطلاق الناجح للحاسبة في النهاية.
أخيرًا ، أخبار جيدة عن Wordpress: تستخدم 96٪ من المواقع على هذا المحرك إصدارًا حديثًا من البرامج. في الأسبوع الماضي فقط ،
نظرنا في إحصاءات إصدار Wordpress وتوصلنا إلى استنتاجات مماثلة. أو لم تأت. تستخدم 96٪ من مواقع Wordpress الإصدار 4.x فعليًا ، ولكن الإصدار الأحدث 4.9 يستخدم أكثر قليلاً من 70٪ ، وهذا الإصدار ، لمدة دقيقة ، قد مضى عليه عام بالفعل. في مؤتمر DerbyCon ، قرر مطورو Wordpress على ما يبدو التركيز أيضًا على الإيجابيات وأخبروا كيف حققوا هذا (على أي حال) مؤشر جيد جدًا. يعتمد نظام تحديث المحرك التلقائي (الذي لا يعمل بشكل طبيعي في جميع عمليات التنفيذ ، على المستخدم المسؤول) ، وإشعارات الأمان في Google Search Console ، وتقييم
Tide .
Tide عبارة عن مجموعة من الاختبارات المؤتمتة التي تقيم أمان المكون الإضافي. من المفترض أن يظهر تصنيف Tide في النهاية بجوار تصنيف المستخدم للمكون الإضافي (كما في الصورة) ، مما يحفز المطورين على
الترميز بشكل أكثر موثوقية . حتى الآن ، لم يتم إثبات التصنيف ، والنظام قيد التطوير ، والحكم من خلال الملاحظات على موقع المشروع على الإنترنت ، الإصدار 1.0 معلق. لا تستطيع الاختبارات المؤتمتة ، بحكم تعريفها ، العثور على جميع الثغرات الأمنية ، لكن هذه ليست مهمتها. يعد تقييم الشفرة الخاصة بك سريعًا للتعرف على مشكلات الأمان المعروفة مكانًا جيدًا للبدء. علاوة على ذلك ، غالبًا ما تحدث حالات حقيقية من مواقع القرصنة على Wordpress بدقة من خلال الملحقات الضعيفة. بالإضافة إلى ذلك ، سيقوم Wordpress الآن بتنبيه المستخدمين إذا كان موقعهم يستخدم إصدارًا غير
مدعوم من لغة PHP 5.6. ميزة مفيدة لعملاء الشركات التي توفر "Wordpress out of the box". والموضوعي:
وفقًا لـ W3Techs ، في وقت النشر ، تم استخدام الإصدار الخامس من PHP من قبل أكثر من 60٪ من المواقع.
جيد للجميع!
إخلاء المسؤولية: قد لا تتوافق الآراء الواردة في هذا الملخص دائمًا مع الموقع الرسمي لـ Kaspersky Lab. يوصي المحررون الأعزاء بشكل عام بمعالجة أي آراء مع شك صحي.