Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 01.03.2016, 09:25   #1002
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 258

kroxus на форуме

IT-безопасность-свежие новости.


Отсутствие проверки подлинности обновлений подвергает риску безопасность пользователей

Преступник может обманом вынудить жертву установить вредоносную версию какого-либо ПО и получить контроль над системой.

Общим слабым звеном практически любого программного обеспечения, обладающего механизмом обновления, являются ключи шифрования, пишет ИБ-эксперт Лейф Ридж (Leif Ryge) в статье на портале ArsTechnica. При помощи вредоносного обновления злоумышленник может заполучить ключи и полностью скомпрометировать целевую систему.

По словам специалиста, атакующий может обманом заставить жертву установить вредоносную версию какого-либо ПО и получить контроль над системой. Успешное проведение атаки зависит от двух факторов: возможности отправки вредоносного обновления и способности убедить жертву в его подлинности. Проникнув в систему, атакующий может заполучить любые ключи шифрования или другую незашифрованную информацию, доступную для вредоносного приложения.

Как отмечает Ридж, бэкдоры позволяют злоумышленникам выполнять различные действия, к примеру, расшифровать зашифрованные данные или выполнить произвольный код на целевой системе. Успешное выполнение атаки возможно только при наличии определенных условий, однако в результате преступники могут завладеть любыми данными, в том числе ключами шифрования и записями с микрофона или камеры устройства.

По словам Риджа, данная проблема затрагивает практически все широко используемые системы обновления. Значительное количество производителей только в последние годы начали реализовывать проверку подлинности обновлений, однако даже алгоритмы компаний, применяющих подобную практику на протяжении десятилетий, являются ненадежными, отмечает эксперт.

Источник
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика