Itu yang cukup di industri keamanan informasi adalah drama. Alat peretasan terbaru, kegagalan besar dalam perangkat lunak dan sistem perlindungan perangkat keras - atau ketiadaan sama sekali dari sistem yang sama ini. Rutinitas harian spam dengan add-ons berbahaya dan phishing, cryptographers, dan omong kosong lainnya - ini tidak semenarik serangan cyber paling kompleks, tetapi harus ditangani paling sering.
Mengetahui bahwa kata sandi tidak cocok dengan router Anda adalah tentang cara mendeteksi kunci yang rusak di pintu depan. Namun, meskipun ancaman cyber harus ditanggapi dengan serius, pekerjaan keamanan yang sebenarnya dimulai pada saat semua orang berhenti melambai dan mengucapkan kata-kata yang tidak patut dan mulai berbisnis. Kami memperbarui router, melakukan pelatihan tentang phishing dengan karyawan, dan membangun perlindungan terhadap kriptografi. Bahkan pada saat semuanya buruk dengan IS, masuk akal untuk membayangkan bagaimana itu harus baik, dan tidak terburu-buru untuk bergerak menuju masa depan yang indah. Hari ini adalah berita bagus: Google memperbaiki keamanan Android, Cisco memperbaiki Webex, Wordpress memperbaiki Wordpress.
Mari kita mulai dengan
berita langsung: menurut
The Verge , Google telah melengkapi kewajiban kontrak produsen ponsel pintar berdasarkan sistem operasi Android dengan paragraf terpisah tentang keamanan. Mulai 31 Januari 2019, semua ponsel baru yang terjual lebih dari seratus ribu kopi harus secara teratur menerima patch keamanan selama dua tahun setelah dirilis. Dengan demikian, produsen ponsel yang kurang lebih populer akan diminta untuk menyiapkan dan mendistribusikan tambalan ini.
Praktik memberikan tambalan untuk mengatasi masalah keamanan
diperkenalkan pada 2015 - pertama untuk ponsel Google sendiri, dan kemudian pabrikan lain menarik diri. Tiga tahun lalu, Google mulai menjauh dari skema tradisional untuk menyiapkan pembaruan untuk ponsel cerdas, ketika prioritas diberikan pada fitur-fitur baru, dan lubang keamanan ditambal "seberuntung". Di Android 8.0 Oreo, Project Treble
diperkenalkan untuk meningkatkan fragmentasi basis kode. Jika sebelumnya para vendor tidak terburu-buru untuk menggulung tambalan, takut konflik dengan kode mereka sendiri, sekarang fungsi dan keamanan akhirnya (atau sesuatu seperti itu) dipisahkan. Menutup kerentanan menjadi lebih mudah.
Tidak semua orang memanfaatkan manfaat ini. Pertama, perangkat aktif berdasarkan Android versi kedelapan (atau lebih tinggi) masih minoritas. Kedua, tidak semua vendor secara teratur mengirim tambalan keamanan bulanan, seperti yang
ditemukan Lab Penelitian Keamanan pada bulan April. Waktunya telah tiba untuk tindakan organisasi. Tentu saja, cara ideal untuk meningkatkan keamanan adalah dengan mengembangkan teknologi sehingga bisa berfungsi sendiri. Tapi ini tidak selalu berhasil, jadi sekarang vendor akan diminta untuk mendukung perangkat setidaknya selama dua tahun. Berita baik lainnya tentang Android: perang melawan aplikasi jahat di Google Play berlanjut. Hampir
tiga lusin aplikasi dihapus dari toko Google resmi dengan fungsi yang relatif bermanfaat dan fitur tambahan dalam bentuk intersepsi SMS.
Lebih banyak berita baik. Cisco telah
memperbaiki bug yang berbahaya dalam sistem telekonferensi Webex. Webex biasanya memerlukan instalasi perangkat lunak klien, yang memotong permintaan dari browser dan memastikan transfer ke komputer pengguna dari aliran video, isi speaker desktop dan banyak lagi. Klien bekerja terus-menerus, bahkan ketika Anda tidak menggunakan panggilan konferensi, dan telah berulang kali
diketahui bahwa ia dapat menambahkan beberapa vektor serangan tambahan ke sistem. Kembali pada bulan September, kerentanan ditemukan dan ditutup di mana proses WebExService.exe digunakan untuk meningkatkan hak istimewa (jika sudah ada akses ke sistem sebagai pengguna biasa). Dan minggu lalu, seorang peneliti yang dikenal sebagai SkullSecurity menemukan bug serupa. Dia mempelajari bagaimana WebExService memulai proses pembaruan klien, dan dapat mengarahkan fungsi ini untuk memulai proses apa pun dengan hak istimewa sistem, dan bahkan dengan kemungkinan teoritis operasi jarak jauh. Saya merekomendasikan membaca
studi asli, itu menjelaskan secara rinci proses
memilih penelitian kode menggunakan IDA Pro, penuh air mata dan kekecewaan, tetapi dengan peluncuran kalkulator yang sukses di akhir.
Akhirnya, berita baik tentang Wordpress: 96% situs di mesin ini
menggunakan perangkat lunak versi modern. Baru minggu lalu, kami
melihat statistik versi Wordpress dan sampai pada kesimpulan yang sama. Atau tidak datang. 96% dari situs Wordpress sebenarnya menggunakan versi 4.x, tetapi versi terbaru 4.9 menggunakan sedikit lebih dari 70%, dan rilis ini, sebentar, sudah berumur satu tahun. Pada konferensi DerbyCon, para pengembang Wordpress tampaknya memutuskan untuk juga fokus pada hal positif dan mengatakan bagaimana mereka mencapai indikator yang sangat baik ini. Sistem pembaruan mesin otomatis (yang tidak berfungsi normal di semua implementasi, ini membantu, tergantung pada pengguna admin), dan pemberitahuan keamanan di Google Search Console, dan peringkat
Tide .
Tide adalah serangkaian pengujian otomatis yang mengevaluasi keamanan sebuah plugin. Diasumsikan bahwa peringkat Tide pada akhirnya akan ditampilkan di sebelah peringkat pengguna plugin (seperti pada tangkapan layar), yang memotivasi pengembang untuk membuat
kode lebih andal . Sejauh ini, peringkat belum diperlihatkan, sistem sedang dalam pengembangan, dan dilihat dari catatan di situs web proyek, rilis 1.0 masih tertunda. Tes otomatis, menurut definisi, tidak dapat menemukan semua kerentanan, tetapi itu bukan tugas mereka. Mengevaluasi kode Anda dengan cepat untuk masalah keamanan yang terkenal sudah merupakan tempat yang baik untuk memulai. Selain itu, kasus nyata situs peretasan di Wordpress paling sering terjadi justru melalui ekstensi yang rentan. Selain itu, Wordpress sekarang akan memperingatkan pengguna jika situs mereka menggunakan versi bahasa PHP 5.6 yang
tidak lagi didukung . Fitur yang berguna untuk pelanggan perusahaan yang menyediakan "Wordpress out of the box." Dan topikal:
menurut W3Techs, pada saat publikasi, versi kelima PHP digunakan oleh lebih dari 60% situs.
Baik untuk semua!
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.