Das, was in der Informationssicherheitsbranche ausreicht, ist Drama. Die neuesten Hacking-Tools, grandiose Fehler in Software- und Hardwareschutzsystemen - oder das völlige Fehlen derselben Systeme. Die tägliche Routine von Spam mit böswilligen Add-Ons und Phishing, Kryptographen und anderem Unsinn - diese sind nicht so interessant wie die komplexesten Cyber-Angriffe, müssen aber am häufigsten behandelt werden.
Wenn Sie herausfinden, dass das Passwort nicht mit Ihrem Router übereinstimmt, können Sie ein defektes Schloss in der Vordertür erkennen. Und doch, obwohl Cyberthreats ernst genommen werden sollten, beginnt die eigentliche Arbeit an der Sicherheit in dem Moment, in dem alle aufhörten zu winken und nicht druckbare Worte zu sagen und sich an die Arbeit machten. Wir haben den Router aktualisiert, eine Schulung zum Thema Phishing mit Mitarbeitern durchgeführt und einen Schutz gegen Kryptographen eingerichtet. Selbst in dem Moment, in dem mit IS alles schlecht ist, ist es sinnvoll, sich vorzustellen, wie es gut sein sollte, und sich nicht auf eine schöne Zukunft zu beeilen. Heute ist eine gute Zusammenfassung: Google hat die Android-Sicherheit behoben, Cisco hat Webex behoben, Wordpress hat Wordpress behoben.
Beginnen wir mit den einfachen
Neuigkeiten : Laut
The Verge hat Google die vertraglichen Verpflichtungen der Hersteller von Smartphones, die auf dem Android-Betriebssystem basieren, durch einen separaten Absatz zur Sicherheit ergänzt. Ab dem 31. Januar 2019 sollten alle neuen Telefone, die mehr als hunderttausend Exemplare verkauft werden, nach der Veröffentlichung zwei Jahre lang regelmäßig Sicherheitspatches erhalten. Dementsprechend müssen Hersteller mehr oder weniger beliebter Telefone diese Patches vorbereiten und vertreiben.
Die Praxis, Patches zur Abdeckung von Sicherheitsproblemen bereitzustellen, wurde 2015 eingeführt - zunächst für Googles eigene Telefone, später für andere Hersteller. Vor drei Jahren begann Google, sich von dem traditionellen Schema zur Vorbereitung von Updates für Smartphones zu entfernen, als neuen Funktionen Vorrang eingeräumt wurde und Sicherheitslücken "als Glückspilz" behoben wurden. Project Treble wurde
in Android 8.0 Oreo eingeführt, um die Situation durch Fragmentierung der Codebasis zu verbessern. Wenn die Anbieter zuvor keine Eile hatten, Patches zu rollen, weil sie Konflikte mit ihrem eigenen Code befürchteten, wurden jetzt Funktionalität (und Sicherheit) endgültig (oder so ähnlich) getrennt. Das Schließen von Sicherheitslücken ist einfacher geworden.
Nicht jeder hat diese Vorteile genutzt. Erstens sind aktive Geräte, die auf der achten (oder höheren) Version von Android basieren, immer noch in der Minderheit. Zweitens senden nicht alle Anbieter regelmäßig monatliche Sicherheitspatches, wie Security Research Labs im April
herausfand . Es ist Zeit für organisatorische Maßnahmen. Der ideale Weg, um die Sicherheit zu erhöhen, besteht natürlich darin, eine Technologie so zu entwickeln, dass sie mehr oder weniger eigenständig funktioniert. Dies funktioniert jedoch nicht immer, sodass die Anbieter das Gerät jetzt mindestens zwei Jahre lang unterstützen müssen. Eine weitere gute Nachricht zu Android: Der Kampf gegen bösartige Anwendungen bei Google Play geht weiter. Fast
drei Dutzend Anwendungen wurden mit relativ nützlichen Funktionen und einem Anhang in Form von SMS-Interception aus dem offiziellen Google Store entfernt.
Weitere gute Nachrichten. Cisco hat
einen gefährlichen Fehler im Webex-Telefonkonferenzsystem
behoben . Webex erfordert normalerweise die Installation von Client-Software, die Anforderungen vom Browser abfängt und die Übertragung des Videostreams, des Inhalts des Desktop-Lautsprechers und mehr auf den Computer des Benutzers sicherstellt. Der Client arbeitet ständig, auch wenn Sie keine Konferenzgespräche führen, und es wurde wiederholt
festgestellt, dass er dem System einige zusätzliche Angriffsmethoden hinzufügen kann. Bereits im September wurde eine Sicherheitsanfälligkeit entdeckt und geschlossen, bei der der Prozess WebExService.exe verwendet wurde, um die Berechtigungen zu erhöhen (sofern bereits als regulärer Benutzer Zugriff auf das System vorhanden war). Und letzte Woche hat ein Forscher namens SkullSecurity einen ähnlichen Fehler gefunden. Er untersuchte, wie WebExService den Clientaktualisierungsprozess startet, und konnte diese Funktionalität umleiten, um jeden Prozess mit Systemberechtigungen und sogar mit der theoretischen Möglichkeit des Remote-Betriebs zu starten. Ich empfehle, die Originalstudie zu lesen. Sie beschreibt detailliert den Prozess der
Auswahl des Codes mit IDA Pro, voller Tränen und Enttäuschungen, aber mit dem erfolgreichen Start des Rechners am Ende.
Endlich eine gute Nachricht zu Wordpress: 96% der Websites dieser Engine
verwenden eine moderne Version der Software. Erst letzte Woche haben wir uns
die Versionsstatistik von Wordpress angesehen und sind zu ähnlichen Ergebnissen gekommen. Oder nicht gekommen. 96% der Wordpress-Websites verwenden tatsächlich Version 4.x, aber die aktuellste Version 4.9 verwendet etwas mehr als 70%, und diese Version ist für eine Minute bereits ein Jahr alt. Auf der DerbyCon-Konferenz haben die Wordpress-Entwickler offenbar beschlossen, sich auch auf das Positive zu konzentrieren, und erklärt, wie sie diesen (auf jeden Fall) sehr guten Indikator erreicht haben. Das automatische Engine-Update-System (das nicht in allen Implementierungen normal funktioniert, hängt vom Administrator ab) sowie Sicherheitsbenachrichtigungen in der Google Search Console und die
Tide- Bewertung.
Tide ist eine Reihe automatisierter Tests, die die Sicherheit eines Plugins bewerten. Es wird davon ausgegangen, dass die Tide-Bewertung möglicherweise neben der Benutzerbewertung des Plugins angezeigt wird (wie im Screenshot), was Entwickler dazu motiviert,
zuverlässiger zu
codieren . Bisher wurde die Bewertung nicht nachgewiesen, das System befindet sich in der Entwicklung und nach den Hinweisen auf der Projektwebsite steht Release 1.0 noch aus. Automatisierte Tests können per Definition nicht alle Schwachstellen finden, aber das ist nicht ihre Aufgabe. Das schnelle Auswerten Ihres Codes auf bekannte Sicherheitsprobleme ist bereits ein guter Anfang. Darüber hinaus treten reale Fälle von Hacking-Sites in Wordpress meist genau durch anfällige Erweiterungen auf. Außerdem benachrichtigt Wordpress Benutzer jetzt, wenn ihre Site
eine nicht mehr unterstützte Version der PHP 5.6-Sprache verwendet. Nützliche Funktion für Kunden von Unternehmen, die "Wordpress out of the box" anbieten. Und aktuell:
Laut W3Techs wurde zum Zeitpunkt der Veröffentlichung die fünfte Version von PHP von mehr als 60% der Websites verwendet.
Gut zu allen!
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.