Isso é o suficiente no setor de segurança da informação, é drama. As mais recentes ferramentas de hackers, falhas grandiosas nos sistemas de proteção de software e hardware - ou a completa ausência desses mesmos sistemas. A rotina diária de spam com complementos e phishing maliciosos, criptografadores e outras bobagens - eles não são tão interessantes quanto os ataques cibernéticos mais complexos, mas precisam ser tratados com mais frequência.
Descobrir que a senha não corresponde ao seu roteador é sobre como detectar uma trava quebrada na porta da frente. E, no entanto, embora as ameaças cibernéticas devam ser levadas a sério, o verdadeiro trabalho de segurança começa no momento em que todo mundo parou de acenar e dizer palavras imprimíveis e começou a trabalhar. Atualizamos o roteador, realizamos um treinamento em phishing com funcionários e estabelecemos proteção contra criptografadores. Mesmo no momento em que tudo está ruim com o EI, faz sentido imaginar como deve ser bom, e não se apressando em avançar em direção a um futuro bonito. Hoje é uma boa notícia: o Google corrigiu a segurança do Android, o Cisco fixou o Webex, o Wordpress corrigiu o Wordpress.
Vamos começar com as
notícias diretas: de acordo com o
The Verge , o Google complementou as obrigações contratuais dos fabricantes de smartphones baseados no sistema operacional Android com um parágrafo separado sobre segurança. A partir de 31 de janeiro de 2019, todos os novos telefones vendidos com mais de cem mil cópias deverão receber patches de segurança regularmente por dois anos após o lançamento. Consequentemente, os fabricantes de telefones mais ou menos populares deverão preparar e distribuir esses patches.
A prática de fornecer patches para cobrir problemas de segurança foi
introduzida em 2015 - primeiro para os telefones do Google e, posteriormente, outros fabricantes. Há três anos, o Google começou a se afastar do esquema tradicional de preparação de atualizações para smartphones, quando era dada prioridade a novos recursos, e as falhas de segurança eram corrigidas "com a mesma sorte". O Projeto Treble foi
introduzido no Android 8.0 Oreo para melhorar a situação com a fragmentação da base de código. Se antes os fornecedores não tinham pressa em lançar patches, temendo conflitos com seu próprio código, agora a funcionalidade e a segurança eram finalmente (ou algo parecido) finalmente separadas. Fechar vulnerabilidades ficou mais fácil.
Nem todo mundo se aproveitou desses benefícios. Em primeiro lugar, os dispositivos ativos baseados na oitava versão (ou superior) do Android ainda são minoria. Em segundo lugar, nem todos os fornecedores enviam regularmente correções de segurança mensais, como os Laboratórios de Pesquisa de Segurança
descobriram em abril. Chegou a hora da ação organizacional. Obviamente, a maneira ideal de aumentar a segurança é desenvolver uma tecnologia para que ela funcione mais ou menos por conta própria. Mas isso nem sempre dá certo; portanto, agora os fornecedores deverão oferecer suporte ao dispositivo por pelo menos dois anos. Outra boa notícia sobre o Android: a luta contra aplicativos maliciosos no Google Play continua. Quase
três dezenas de aplicativos foram removidos da loja oficial do Google com funcionalidades relativamente úteis e um recurso adicional na forma de interceptação de SMS.
Mais boas notícias. A Cisco
corrigiu um bug perigoso no sistema de teleconferência Webex. O Webex geralmente requer a instalação de software cliente, que intercepta solicitações do navegador e garante a transferência para o computador do usuário do fluxo de vídeo, o conteúdo do alto-falante da área de trabalho e muito mais. O cliente trabalha constantemente, mesmo quando você não está usando chamadas em conferência, e foi
descoberto repetidamente que ele pode adicionar alguns vetores de ataque extras ao sistema. Em setembro, uma vulnerabilidade foi descoberta e fechada, na qual o processo WebExService.exe foi usado para aumentar os privilégios (se já havia acesso ao sistema como usuário comum). E na semana passada, um pesquisador conhecido como SkullSecurity encontrou um bug semelhante. Ele estudou como o WebExService inicia o processo de atualização do cliente e conseguiu redirecionar essa funcionalidade para iniciar qualquer processo com privilégios do sistema e mesmo com a possibilidade teórica de operação remota. Eu recomendo a leitura do
estudo original, que descreve detalhadamente o processo de pesquisa de código usando o IDA Pro, cheio de lágrimas e decepções, mas com o lançamento bem-sucedido da calculadora no final.
Finalmente, boas notícias sobre o Wordpress: 96% dos sites nesse mecanismo
usam uma versão moderna do software. Na semana passada,
analisamos as estatísticas da versão do Wordpress e chegamos a conclusões semelhantes. Ou não veio. 96% dos sites do Wordpress realmente usam a versão 4.x, mas a versão mais atual 4.9 usa pouco mais de 70%, e esta versão, por um minuto, já tem um ano. Na conferência DerbyCon, os desenvolvedores do Wordpress aparentemente decidiram também se concentrar no positivo e contaram como conseguiram esse (em qualquer caso) indicador muito bom. O sistema de atualização automática do mecanismo (que não funciona normalmente em todas as implementações, ajudou, depende do usuário administrador), as notificações de segurança no Google Search Console e a classificação
Tide .
Tide é um conjunto de testes automatizados que avaliam a segurança de um plug-in. Supõe-se que a classificação Tide será mostrada ao lado da classificação do usuário do plug-in (como na captura de tela), o que motiva os desenvolvedores a
codificar com mais confiabilidade . Até o momento, a classificação não foi demonstrada, o sistema está em desenvolvimento e, a julgar pelas notas no site do projeto, a versão 1.0 está pendente. Os testes automatizados, por definição, não conseguem encontrar todas as vulnerabilidades, mas essa não é sua tarefa. Avaliar rapidamente seu código para problemas de segurança conhecidos já é um bom ponto de partida. Além disso, casos reais de sites de hackers no Wordpress costumam ocorrer precisamente através de extensões vulneráveis. Além disso, o Wordpress agora alertará os usuários se o site usar
uma versão
não suportada da linguagem PHP 5.6. Recurso útil para clientes de empresas que fornecem "Wordpress pronto para uso". E tópico: de
acordo com a W3Techs, no momento da publicação, a quinta versão do PHP era usada por mais de 60% dos sites.
Bom para todos!
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.