C’est ce qui suffit dans l’industrie de la sécurité de l’information, c’est le drame. Les derniers outils de piratage, les défaillances grandioses des systèmes de protection logicielle et matérielle - ou l'absence totale de ces mêmes systèmes. La routine quotidienne du spam avec des add-ons malveillants et du phishing, des cryptographes et autres bêtises - ceux-ci ne sont pas aussi intéressants que les cyberattaques les plus complexes, mais ils doivent être traités le plus souvent.
Découvrir que le mot de passe ne correspond pas à votre routeur consiste à détecter un verrou cassé dans la porte avant. Et pourtant, bien que les cybermenaces doivent être prises au sérieux, le vrai travail sur la sécurité commence au moment où tout le monde a cessé de saluer et de dire des mots non imprimables et s'est mis au travail. Nous avons mis à jour le routeur, organisé une formation sur le phishing avec les employés et mis en place une protection contre les cryptographes. Même au moment où tout va mal avec l'EI, il est logique d'imaginer comment cela devrait être bon, et de ne pas se précipiter pour aller vers un bel avenir. Aujourd'hui est une bonne nouvelle: Google fixe la sécurité Android, Cisco fixe Webex, Wordpress fixe Wordpress.
Commençons par la
nouvelle simple: selon
The Verge , Google a complété les obligations contractuelles des fabricants de smartphones basés sur le système d'exploitation Android par un paragraphe séparé sur la sécurité. À compter du 31 janvier 2019, tous les nouveaux téléphones vendus à plus de cent mille exemplaires devraient recevoir régulièrement des correctifs de sécurité pendant deux ans après leur sortie. En conséquence, les fabricants de téléphones plus ou moins populaires devront préparer et distribuer ces correctifs.
La pratique de fournir des correctifs pour couvrir les problèmes de sécurité a été
introduite en 2015 - d'abord pour les propres téléphones de Google, puis d'autres fabricants se sont retirés. Il y a trois ans, Google a commencé à s'éloigner du schéma traditionnel de préparation des mises à jour pour smartphones, lorsque la priorité a été donnée aux nouvelles fonctionnalités et que les failles de sécurité ont été corrigées "comme chanceux". Project Treble a été
introduit dans Android 8.0 Oreo pour améliorer la situation avec la fragmentation de la base de code. Si auparavant les vendeurs n'étaient pas pressés de lancer des correctifs, craignant des conflits avec leur propre code, maintenant la fonctionnalité et la sécurité étaient enfin (ou quelque chose comme ça) séparées. La fermeture des vulnérabilités est devenue plus facile.
Tout le monde n'a pas profité de ces avantages. Premièrement, les appareils actifs basés sur la huitième (ou supérieure) version d'Android sont toujours minoritaires. Deuxièmement, tous les fournisseurs n'envoient pas régulièrement de correctifs de sécurité mensuels, comme l'a
découvert Security Research Labs en avril. Le temps est venu pour l'action organisationnelle. Bien sûr, le moyen idéal pour augmenter la sécurité est de développer une technologie pour qu'elle fonctionne plus ou moins seule. Mais cela ne fonctionne pas toujours, alors les fournisseurs devront désormais prendre en charge l'appareil pendant au moins deux ans. Autre bonne nouvelle sur Android: la lutte contre les applications malveillantes sur Google Play se poursuit. Près de
trois douzaines d' applications ont été supprimées de la boutique officielle de Google avec des fonctionnalités relativement utiles et une fonctionnalité supplémentaire sous forme d'interception de SMS.
Encore de bonnes nouvelles. Cisco a
corrigé un bug dangereux dans le système de téléconférence Webex. Webex nécessite généralement l'installation d'un logiciel client, qui intercepte les demandes du navigateur et assure le transfert vers l'ordinateur de l'utilisateur du flux vidéo, du contenu du haut-parleur de bureau et plus encore. Le client travaille en permanence, même lorsque vous n'utilisez pas de conférence téléphonique, et il a été
constaté à plusieurs reprises qu'il peut ajouter quelques vecteurs d'attaque supplémentaires au système. En septembre dernier, une vulnérabilité a été découverte et corrigée dans laquelle le processus WebExService.exe a été utilisé pour augmenter les privilèges (s'il existait déjà un accès au système en tant qu'utilisateur normal). Et la semaine dernière, un chercheur connu sous le nom de SkullSecurity a trouvé un bug similaire. Il a étudié comment WebExService démarre le processus de mise à jour du client et a pu rediriger cette fonctionnalité pour démarrer n'importe quel processus avec des privilèges système, et même avec la possibilité théorique d'une opération à distance. Je recommande de lire l'
étude originale, elle décrit en détail le processus de recherche de code à l'aide d'IDA Pro, plein de larmes et de déceptions, mais avec le lancement réussi de la calculatrice à la fin.
Enfin, bonne nouvelle sur Wordpress: 96% des sites sur ce moteur
utilisent une version moderne du logiciel. La semaine dernière, nous avons
examiné les statistiques de version de Wordpress et sommes arrivés à des conclusions similaires. Ou n'est pas venu. 96% des sites Wordpress utilisent réellement la version 4.x, mais la version 4.9 la plus récente en utilise un peu plus de 70%, et cette version, pendant une minute, a déjà un an. Lors de la conférence DerbyCon, les développeurs de Wordpress ont apparemment décidé de se concentrer également sur le positif et ont expliqué comment ils avaient atteint ce (en tout cas) très bon indicateur. Le système de mise à jour automatique du moteur (qui ne fonctionne pas normalement dans toutes les implémentations, cela a aidé, dépend de l'utilisateur administrateur), et les notifications de sécurité dans la Google Search Console, et le classement
Tide .
Tide est une suite de tests automatisés qui évaluent la sécurité d'un plugin. Il est supposé que le classement Tide sera éventuellement affiché à côté du classement utilisateur du plugin (comme dans la capture d'écran), ce qui motive les développeurs à
coder de manière plus fiable . Jusqu'à présent, la notation n'a pas été démontrée, le système est en cours de développement, et à en juger par les notes sur le site Web du projet, la version 1.0 est en attente. Les tests automatisés, par définition, ne peuvent pas trouver toutes les vulnérabilités, mais ce n'est pas leur tâche. L'évaluation rapide de votre code pour des problèmes de sécurité bien connus est déjà un bon point de départ. De plus, les cas réels de piratage de sites sur Wordpress se produisent le plus souvent précisément via des extensions vulnérables. De plus, Wordpress avertira désormais les utilisateurs si leur site utilise
une version
non prise en charge du langage PHP 5.6. Fonction utile pour les clients des entreprises qui fournissent "Wordpress prêt à l'emploi". Et d'actualité:
selon W3Techs, au moment de la publication, la cinquième version de PHP était utilisée par plus de 60% des sites.
Bon à tous!
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.