По следам слушаний в американском конгрессе с участием CEO Facebook англоязычный Threatpost развернутое описание возможных законодательных инициатив, преследующих цель именно что большей прозрачности сбора и передачи персональных данных. Причем в тех же США уже есть определение Федеральной Торговой Комиссии о том, что соцсети должны спрашивать разрешения пользователя, если хотят передать информацию о нем третьей стороне. Так они и предупреждают, но кто читает эти предупреждения? К условно неработающим конструкциям можно отнести и инициативу , и европейский закон . Очевидно, что по мотивам суеты вокруг Facebook инициатив станет больше, и, возможно, операторы больших данных станут сговорчивее. Несмотря на мощный новостной фон, политическими методами эта проблема решаться будет долго, там всегда так. Технологий на замену существующему статус кво тоже пока не предвидится, разве что какой-нибудь децентрализованный социальный Интернет с толстым слоем блокчейна. Типа , но лучше. Гораздо, гораздо лучше.
На тему: — история скандала в деталях в блоге ЛК.
Почти 40% кибератак на бизнес приходится на трояны-шифровальщики
Отчет телекоммуникационной компании Verizon об угрозах для бизнеса построен нестандартно. Компаний в выборке всего 67 (они представляют 65 стран), зато каждая, судя по всему, предоставила подробную информацию об инцидентах за год. Всего было проанализировано 53 000 инцидентов и 2216 успешных атак — английское breaches можно трактовать и как утечку данных, и как получение злоумышленником контроля над частью корпоративной инфраструктуры. 39% успешных атак с использованием вредоносного ПО так или иначе относится к заражению трояном-шифровальщиком. В Verizon отмечают, что сложность и масштаб атак растет: под ударом оказываются не только рабочие станции, но и — все чаще — файловые серверы. Причина понятна — чем больше данных «взято в плен», тем больше потенциальный выкуп.
Еще немного интересных фактов из исследования. Электронная почта остается основным способом проникновения. Фишинг, рассылка вредоносных программ под видом финансовых документов — в зависимости от метода подсчета до 93% успешных атак приходится именно на эти инструменты. Можно сделать вывод, что индустрия вредоносного ПО стремительно монетизируется. Для развития этого криминального бизнеса даже не обязательно использовать новейшие методы взлома. Например, в отчете компании Kryptos Logic о 2,7 млн компьютеров, все еще зараженных шифровальщиком WannaCry. Эта атака была хоть и нестандартной, но произошла уже почти год назад, была моментально остановлена и с тех пор, казалось бы, должна без проблем пресекаться. Несмотря на это, в марте инцидент, связанный с WannaCry, в сети компании Boeing, и, как мы видим, миллионы компьютеров по-прежнему заражены этим трояном.
Одной строкой
AMD патчи для защиты от уязвимости Spectre. Заплатки актуальны для процессоров, выпущенных начиная с 2001 года, но обновления микрокода недостаточно: полностью закрыть уязвимость можно только в комбинации с самой последней версией Windows (обновление для Windows 10 также выпущено на этой неделе) или с актуальным ядром ОС Linux, патч для которой уже доступен некоторое время.
Апрельский выпуск заплаток от Microsoft 66 уязвимостей, включая 24 критических. Среди них — XSS-уязвимость в сервере Sharepoint, позволяющая немного повысить привилегии.
Если кто-то еще пользуется Adobe Flash Player, в нем тоже .
Schneider Electric ПО для промышленных систем, устранив в том числе серьезную уязвимость, позволяющую перехватить контроль удаленно. Набор проблем ничем не отличается от такового для домашнего компьютера: уязвимость в Samba, SQL-инъекция и тому подобное.
Disclaimer: Дайджест подготовлен при поддержке волшебных фей, мнение которых не всегда совпадает с официальной позицией «Лаборатории Касперского».
