Профессионалов не хватает
Компания Trustwave провела опрос компаний на предмет оценки качества работы специалистов по информационной безопасности [1]. Обнаружилась не очень приятная история — более половины опрошенных (точнее 57%) оценили качество работы своих сотрудников по ИБ как плохое или очень плохое. Компания даже изложила свои рекомендации в документе «Как минимизировать влияние нехватки навыков кибербезопасности». При этом более 90% опрошенных считают, что киберпреступники превосходят их по оборудованию и навыкам, и каждый девятый (11%) находится в «постоянном стрессе», и этот стресс только увеличивается. Основные рекомендации сводятся к трем направлениям: автоматизация, где это возможно и эффективно сделать, продуманный дизайн бизнес-процессов информационной безопасности и постоянное совершенствование компетенций сотрудников служб ИБ, желательно без отрыва от производства.
Ноябрьские обновления
В ноябре досталось компании VMware, которой пришлось исправлять целых три уязвимости, которые к тому же уже начали использовать. В начале ноября [2] компании пришлось заново латать дыру в VMware ESXi, которая уже была исправлена 20 октября, но с ней возникли проблемы — предложенное исправление не полностью решало проблему. Однако уже к 20 ноября [3] китайские исследователи кодов обнаружили еще две уязвимости в продуктах компании: в контроллере XHCI USB, которая позволяла выполнить вредоносный код на уязвимой системе (уровень CVSS — 9.3) и в работе VMX-режима, что позволяло поднять полномочия в гипервизоре (опасность пониже — CVSS 8.8). Однако уже через несколько дней [4] обнаружилась не менее опасная уязвимость (рейтинг CVSS 9.1) еще в шести продуктах компании, включая Workspace One, Identity Manager, Cloud Foundation и vRealize Suite Lifecycle Manager. Причем исправления для этой уязвимости уже не было. Впрочем, проблемы возникали и у других компаний: у Citrix было обнаружено три ошибки [5] в ее программно-определяемом контроллере SD-WAN Center, и у Cisco в его Security Manager [6], в AnyConnect Secure Mobility Client Software [7] и в Webex [8].
Впрочем, лидером по количеству исправлений стала компания Microsoft, которая в ноябре выпустила исправления для 112 своих ошибок [9], 17 из которых относятся к категории «критические» и всего 2 — к категории с низким рейтингом опасности. Эти ошибки были исправлены в 15 продуктах компании: Microsoft Windows, Office, Internet Explorer, Edge (как в EdgeHTML, так и в Chromium), ChakraCore, Exchange Server, Dynamics, Windows Codecs Library, Azure Sphere, Windows Defender, Teams, Azure SDK, Azure DevOps и даже в Visual Studio. Кумулятивные исправления своих программных продуктов выпустила также компания Adobe [10], где исправлены 14 уязвимостей в Adobe Acrobat и его младшем брате Reader. Oracle также отличилась исправив критическую уязвимость в WebLogic [11]. А эксперты из Университета Бирмингема в Великобритании обнаружили еще один способ обойти защиту Intel Software Guard Extensions (SGX) [12].
Осенние утечки
Осенью не повезло авиационным компаниям. Крупнейшая утечка была обнаружена в французской компании Airbus [13], у которой данные о сотрудниках были обнаружены в «темной паутине» под названием «Collections #2-5». Компания заявила, что инцидент привел к несанкционированному доступу к данным сотрудников, но не повлиял на коммерческие операции или интеллектуальную собственность Airbus. Впрочем, взломанным также оказался и сайт, отслеживающий перемещение самолетов по миру Flightradar24 — данные его пользователей в количестве более 230 тыс. также были обнаружены на просторах «темной паутины». Впрочем, утечка в сервиса произошла в марте во время пандемии, но стало известно о ней только сейчас.
Впрочем, другие индустрии не остались в стороне. Так в ноябре была зафиксирована утечка 100 тыс. пользователей социальной сети Facebook [15] в виде базы данных ElasticSearch — она продавалась по цене 150 евро на черном рынке. Также зафиксирована утечка данных индийского супермаркета BigBasket [16], у которого утекли контактные данные 20 млн клиентов — база данных также продается за 40 тыс. долл. в «темной паутине». Ограблена также компания 123RF [17], которая специализировалась на продаже качественных изображений — у нее утекли данные о 8,3 млн. пользователей. Предполагается, что набег на фирму совершила группировка инфоворов ShinyHunters, которая в этом году уже атаковала более десятка других компаний. Утекли даже данные 10 млн верующих, которые пользуются сервисом Pray.com [19]. Впрочем, инфоворы уже занимаются консолидацией данных, полученных от утечек из различных компаний. В частности, была обнаружена база данных [19], содержащая сведения о 34 млн человек собранная из утечек из 17 различных компаний.
Кибербезопасность выборов
Центральным событием ноября стали выборы президента США, а безопасность предыдущих уже была ранее оспорена. Однако в этот раз, когда победил конкурент Дональда Трампа Джо Байден, вмешательство в выборы со стороны хакеров замечено не было. «Выборы 3 ноября были самыми безопасными в истории Америки «, — говорится в совместном заявлении [20] исполнительных комитетов Координационного совета правительства по избирательной инфраструктуре и Координационного совета сектора избирательной инфраструктуры. Этот вывод поддержали и профессионалы в области информационной безопасности [21]: Electronic Frontier Foundation, Center for Democracy & Technology и даже известный эксперт по кибербезопасности Брюс Шнайер. Это при том, что сам Дональд Трамп даже случайно опубликовал утечку данных собственных избирателей в количестве 162 тыс. с сайта dontpressthegreenbutton.com [23]. В интерфейсе этого сайта была обнаружена возможность для SQL-инъекции, которая позволила злоумышленникам скачать указанные сведения. Дональд Трамп даже уволил высокопоставленного сотрудника службы безопасности на выборах Кристофера Кребса якобы за то, что тот отказался признавать выборы неблагонадежными по причине вмешательства внешних хакеров. Так кибербезопасность, где сильны экспертные мнения и официальные заявления, тесно переплетается с политикой.
На страже ВВС
А тем временем во Флориде, в городке Тиндалл, где располагается 325-я эскадрилья ВВС США, на патрулирование заступили роботы-собаки. Военные уже целый год тестировали этих роботов в деле с помощью специального приложения «3D Virtual Ops Center». Теперь же эта база будет охраняться роботами-собаками, которые будут патрулировать ее территорию, прерывая это занятие только для подзарядки. «Эти роботы-собаки будут использоваться в качестве дополнительного источника сведений для повышения ситуационной осведомленности при патрулировании участков, которые нежелательны для посещения людей и транспорта», — пояснил майор ВВС США Джордан Крисс, командир 325-й эскадрильи сил безопасности. Боевых функций в этих роботах не предусмотрены — только разведывательные.
[1] https://threatpost.com/cybersecurity-skills-shortage-survey/160866/
[2] https://threatpost.com/vmware-updated-fix-critical-esxi-flaw/160944/
[3] https://www.theregister.com/2020/11/20/vmware_esxi_flaws/
[4] https://threatpost.com/vmware-zero-day-patch-pending/161523/
[5] https://threatpost.com/citrix-sd-wan-bugs-remote-code-execution/161274/
[6] https://threatpost.com/critical-cisco-flaw-sensitive-data/161305/
[7] https://threatpost.com/cisco-zero-day-anyconnect-secure-patch/160988/
[8] https://threatpost.com/cisco-webex-flaw-snooping/161355/
[9] https://www.theregister.com/2020/11/11/patch_tuesday_updates/
[10] https://threatpost.com/adobe-windows-macos-critical-acrobat-reader-flaws/160903/
[11] https://threatpost.com/oracle-update-weblogic-server-flaw/160889/
[12] https://www.theregister.com/2020/11/14/intel_sgx_physical_security/
[13] https://threatpost.com/airbus-data-breach/141368/
[14] https://www.hackread.com/flight-tracking-service-flightradar24-hacked/
[15] https://threatpost.com/exposed-database-100k-facebook-accounts/161247/
[16] https://www.hackread.com/bigbasket-data-breach-data-sold-on-dark-web/
[17] https://www.hackread.com/123rf-hacked-user-database-leaked/
[18] https://threatpost.com/10m-impacted-pray-com-data-exposure/161459/
[19] https://threatpost.com/34m-records-17-companies-cybercrime-forum/160923/
[20] https://www.theregister.com/2020/11/13/us_election_security_fears_doused/
[21] https://www.darkreading.com/threat-intelligence/eff-security-experts-condemn-politicization-of-election-security-/d/d-id/1339468
[22] https://threatpost.com/trump-site-alleging-az-election-fraud-exposes-voter-data/161068/
[23] https://krebsonsecurity.com/2020/11/trump-fires-security-chief-christopher-krebs/
[24] https://www.theregister.com/2020/11/23/in_brief_security/
