Компания Aveksa обнародовала результаты недавнего исследования, проведенного с целью изучить множество разных граней IT-безопасности, включая:

• обеспокоенность, связанную с переходом конфиденциальных приложений и данных к внешним облачным провайдерам;
• важность наличия прозрачности и контроля за тем, кто имеет допуск к критически важным IT-активам в информационном центре;
• потенциальные издержки компаний, связанные с нарушениями системы безопасности.

Респондентов, состоявших из руководителей IT-отделов крупных компаний на различных ступенях производства, спросили, в чем заключается их главная обеспокоенность в связи с переходом конфиденциальных приложений и данных к внешним облачным провайдерам. 49% респондентов ответили, что, главным образом, в этой сфере их беспокоит несанкционированный доступ к приложениям.

Респондентам также был задан вопрос о том, насколько важно иметь детальную поуровневую видимость и контроль за тем, кто имеет допуск к критически важным IT-активам в информационном центре (например, операционные системы, гипервизоры, базы данных, межплатформенное программное обеспечение, веб-серверы и приложения системного администрирования). 98% респондентов заявили, что строгий контроль доступа к активам информационного центра либо очень важен или чрезвычайно важен.

Наконец, респондентам задали вопрос о том, в какую сумму, по их мнению, компаниям обходится нарушение системы безопасности за каждую дискредитированную запись. 42% респондентов ответили, что, по их мнению, расходы составляют меньше чем $200 за скомпрометированную запись, причем многие считали, что сумма составляет меньше $100 за запись.

Согласно недавнему исследованию института Ponemon, стоимость нарушения безопасности составляет $214 за скомпрометированную запись. Например, издержки Sony по устранению последствий недавней утечки данных в Playstation оцениваются в $171 миллионов.

"Хотя среда распредёленных вычислений предоставляет новый уровень качества для IT, это также приводит к росту беспокойства о безопасности, особенно в связи с Access Governance, что продемонстрировало наше исследование", - заявил Вик Вайшнави, президент и генеральный директор Aveksa.

"Будь то переход приложений и данных к облаку или достижение большей видимости и контроля над доступом к информационному центру, респонденты, участвовавшие в нашем исследовании четко указали на то, что Access Governance – это одна из главных проблем систем безопасности. Исследование также показало, что многие компании недооценивают серьезность расходов, связанных с очисткой записей пользователей после утечки данных. Чтобы уменьшить риск нарушений, предприятия должны выполнять больше превентивных процессов и иметь более строгую систему управления доступом к приложениям и данным".

Источник: Хакер

Следственный комитет России, министерство внутренних дел и ФСБ занялись расследованием обстоятельств появления в поисковых системах личных данных пользователей различных сервисов и интернет-магазинов, пишет газета "Коммерсантъ" со ссылкой на источник в правоохранительных органах.

По словам собеседника агентства, является очевидным тот факт, что эти данные "достали" из поисковых систем (в частности, из "Яндекса") с некой определенной целью. Источник "Коммерсанта" отметил, что сообщения об утечке личных данных поступили накануне подписания президентом РФ Дмитрием Медведевым поправок к закону "О персональных данных", которое состоялось 26 июля. Уголовная ответственность в случае возбуждения дела по факту утечек будет грозить лицам, способствовавшим появлению личных данных пользователей интернет-магазинов и клиентов сотовых операторов, пишет газета. Пока решения о возбуждении дела принято не было, однако собеседник "Коммерсанта" предположил, что оно будет заведено по статье 138 УК РФ ("Нарушение тайны переписки"). Сообщения о том, что в поисковую выдачу "Яндекса" стала попадать не предназначенная для разглашения информация, поступили в конце июля. Первоначально речь шла о текстах SMS-сообщений и номерах телефонов небольшого количества клиентов сотового оператора "Мегафон", однако уже в понедельник, 25 июля, стало известно, что с помощью специального запроса через поиск "Яндекса" можно обнаружить личные данные клиентов ряда интернет-магазинов. На следующий день в СМИ появились сообщения об аналогичной утечке с сайтов для заказа железнодорожных и авиабилетов TuTu.Ru и Railwayticket.Ru. В сообщении пресс-службы TuTu.Ru говорится, что утечка коснулась лишь клиентов сервиса бронирования авиабилетов - в открытый доступ попали обрывочные сведения примерно 70 покупателей. Компания "Яндекс" объяснила, что утечка данных произошла по вине создателей сайтов, некорректно заполнивших файл robots.txt, который дает сигнал поисковику, какая информация с той или иной страницы сайта не подлежит индексации. Стоит отметить, что частично личные данные попали в поисковую выдачу не только "Яндекса", но и других поисковиков, таких как Google и Mail.Ru. Глава союза потребителей России Петр Шелищ ранее заявил, что возглавляемая им организация готовит общий иск к интернет-компаниям, допустившим утечку личных данных своих клиентов.

Источник: uinC Новости

4 августа на крупнейшей международной конференции по взлому и защите компьютерных систем – BlackHat USA 2011, которая пройдет в Лас Вегасе, технический директор Александр Поляков из российской компании Digital Security покажет, как любой злоумышленник сможет получить доступ к системам под управлением SAP из сети Интернет, используя новый класс уязвимостей.

Системы SAP используются в более чем ста тысячах крупнейших мировых компаний для обработки критичных для бизнеса данных и процессов. Практически в каждой компании из Forbes 500 установлены данные системы для обработки любого процесса, начиная от закупки и управления персоналом и заканчивая финансовой отчетностью и связью с другими бизнес-системами. Таким образом, получение злоумышленником доступа к данной системе влечет за собой полный контроль над финансовыми потоками компании, что может быть использовано для шпионажа, саботажа и мошеннических действий в отношении взломанной компании.

Данный взлом возможен из–за особо опасной уязвимости нового типа, обнаруженной Александром Поляковым в JAVA-движке программного обеспечения SAP, которая позволяет с помощью двух запросов к системе создать в ней пользователя и назначить ему права администратора. Опасность также заключается в том, что атака возможна даже на системы, защищенные системами двухфакторной аутентификации, в которых для доступа нужно знать секретный ключ и пароль.

Для доказательства исследователями из компании Digital Security была написана программа, которая обнаруживает серверы SAP в Интернет при помощи секретной поисковой строки в Google и проверяет обнаруженные серверы на опасную уязвимость. В результате этого оказалось, что более половины из доступных серверов   можно взломать при помощи обнаруженной уязвимости.

“Опасность заключается еще и в том, что это не просто новая уязвимость, а целый класс уязвимостей, и нами пока обнаружено только несколько примеров в стандартной конфигурации системы, но так как каждая компания кастомизирует систему под свои бизнес-процессы, то новые примеры уязвимостей данного класса могут быть потенциально обнаружены в будущем у каждой компании. Мы разработали программу, которая является модулем нашего продукта ERPScan сканер безопасности SAP, которая может обнаруживать уникальные уязвимости данного типа для того, чтобы компании могли вовремя защититься. Данный модуль будет также отдельно доступен бесплатно на сайте компании”,– отметил Поляков.

Источник: Cybersecurity

Попытка крупнейшего Интернет-мошенничества была пресечена сотрудниками национального организатора лотерей в РФ ("Золотой Ключ" и "Код Удачи"), совместно со специалистами обслуживающей платежной системы "Монета.ру". Подобный вид Интернет-мошенничества является очень близким к фроду в букмекерских конторах, предлагающих зафиксировать ставки на спортивные мероприятия в онлайне, используя незаконно полученные учетные записи популярных платежных систем и сведения кредитных карт, а в последствии получить выигрыш.

Используя специальное вредоносное программное обеспечение и заражая им тысячи русскоязычных пользователей, хакеры искали учетные записи популярных интернет-лотерей, пытаясь использовать их для нелегальной покупки билетов на краденные денежные средства с кредитных карт Visa/Mastercard. Полученные выигрыши от обильного числа закупленных лотерейных билетов, злоумышленники выводили на расчетные счета известных электронных платежных систем.

Сотрудники лотерейного оператора "Интерлот", являющегося официальным аккредитованным участником Мировой ассоциации лотерей (WLA), и электронной платежной системы "Монета.ру" своевременно зафиксировали инцидент и оповестили об этом пострадавших, вернув все денежные средства.

Индустрия лотерей набирает в Интернете все больший вес и становится одним из лакомых объектов интереса для хакеров. За минувший год было зафиксировано более 50 инцидентов хакерских атак на ресурсы онлайн-казино, букмекерских контор и Интернет-лотерей.

Источник: Пресс-служба НЦБ Интерпола при МВД России