Корпоративные ноутбуки и другие устройства, которые используются сотрудниками компаний за пределами офиса, могут стать средством злоумышленников для компрометации всей корпоративной инфраструктуры. Один из таких случаев описали специалисты компании Crowdstrike в своем отчете Cyber Intrusion Services Casebook 2018.    
Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети

Морские суда становятся жертвами кибератак гораздо чаще, чем можно себе представить. Корабли сталкиваются с теми же проблемами с кибербезопасностью, что и представители других отраслей. В связи с этим было выпущено специальное руководство по обеспечению кибербезопасности на борту кораблей.    
Морские суда часто подвергаются кибератакам

В пятницу, 14 декабря, в Госдуму РФ был внесен законопроект об обеспечении автономной работы Рунета на случай отключения от глобальной инфраструктуры интернета. Одной из причин подготовки документа послужил «агрессивный характер принятой в сентябре 2018 года стратегии национальной кибербезопасности США». В частности, его авторов насторожил принцип «сохранения мира силой», а отношения между США и Россией в киберпространстве весьма напряженные.    
Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети

Компания Facebook сообщила об ошибке в программном интерфейсе, из-за которой сторонние разработчики могли получить доступ к личным фотографиям порядка 6,8 млн пользователей. Ошибка присутствовала в коде Photo API в период с 13 по 25 сентября 2018 года.    
Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей

Системы противоракетной обороны США не защищены должным образом от кибератак. Такие данные приводятся в опубликованном на этой неделе отчете Главного инспектора Министерства обороны США.


Системы ПРО США уязвимы к кибератакам

В течение последних 18 месяцев участились случаи кибератак китайских хакеров на американских военных подрядчиков с целью похищения информации, связанной с военными технологиями. Киберпреступники атакуют все подразделения Вооруженных сил США, но больше всего их интересуют подрядчики военно-воздушных и военно-морских сил.    
Китайские кибершпионы похитили у ВМС США секретные военные технологии

До 2021 года российские государственные компании должны разработать план поэтапного перехода на преимущественно отечественное программное обеспечение (доля российского ПО должна превысить 50%). Данное требование содержится в директиве госпредставителям в советах директоров, подписанной первым зампредом правительства и главой Министерства финансов РФ Антоном Силуановым, сообщают «Ведомости». Факт подписания документа подтвердил представитель вице-премьера Андрей Лавров.    
Глава Минфина подписал директиву о переходе госкомпаний на российское ПО

Уязвимость в популярной встраиваемой СУБД SQLite ставит под угрозу тысячи десктопных и мобильных приложений. Проблема, обнаруженная исследователями из Tencent Blade, позволяет запускать на атакуемом компьютере вредоносный код. Менее опасные сценарии предполагают утечку памяти приложения и аварийное завершение его работы.    
В SQLite исправлена критическая уязвимость

Тысячи, а то и больше, серверов Jenkins уязвимы к атакам с целью захвата контроля, похищения данных и майнинга криптовалюты. Атаки возможны благодаря двум уязвимостям, позволяющим повысить привилегии до администратора или авторизоваться на сервере с недействительными учетными данными.    
Тысячи серверов Jenkins уязвимы к кибератакам

Компания Microsoft запустила программу по разработке алгоритма, который сможет предсказывать, какие типы компьютеров на базе Windows вероятнее всего могут быть заражены вредоносным ПО. Проект запущен совместными усилиями исследовательской команды Microsoft, Северо-Восточного университета и Технологического института штата Джоджия, а его призовой фонд составляет $25 тыс.    
Microsoft задумалась о создании ИИ, способного прогнозировать риск заражения ПК

В социальной сети Twitter устранена ошибка, раскрывавшая личную переписку пользователей сторонним лицам. Проблема проявлялась при использовании приложений, запрашивающих PIN-код для завершения процесса авторизации, вместо применения протокола Oauth. В результате, некоторые разрешения, например, на доступ к личным сообщениям, оставались скрытыми для пользователей Twitter.    
Ошибка в Twitter предоставляла доступ к личным сообщениям пользователей

Исследователь безопасности из SANS ICS Ксавье Мертенс (Xavier Mertens) обнаружил новую фишинговую кампанию, входе которой злоумышленники рассылают поддельные уведомления якобы от Office 365 о невозможности доставить сообщение.    
Мошенники рассылают фишинговые уведомления о невозможности доставить письмо

Создатель магазина приложений для взломанных iPhone Джей Фримен (Jay Freeman), более известный как Saurik, объявил о закрытии проекта Cydia. Saurik намеревался полностью прекратить поддержку сервиса в конце текущего года, однако передвинул сроки в связи с обнаружением серьезной уязвимости, которая могла поставить под угрозу пользователей.  

 
Создатель Cydia ускорит закрытие магазина из-за опасной уязвимости

На минувшей неделе сразу две крупные технологические компании сообщили об ошибках в API своих социальных платформ, которые стали причиной утечки данных пользователей. 10 декабря компания Google опубликовала пресс-релиз, в котором призналась в наличии ошибки в Google+ API, позволявшей сторонним разработчикам получить доступ к некоторым персональным данным пользователей соцсети. В общей сложности инцидент затронул 52,5 млн человек. В результате Google приняла решение перенести срок закрытия социальной платформы с августа 2019 года на апрель.    
Обзор инцидентов безопасности за период с 10 по 16 декабря 2018 года

Журналисту удалось успешно обойти систему распознавания лица на нескольких высококлассных смартфонах под управлением ОС Android с помощью напечатанной на 3D-принтере модели головы.    
Журналист разблокировал четыре Android-смартфона с помощью гипсовой головы

В связи с появлением новых угроз информационной безопасности Министерства иностранных дел РФ в ведомстве будет создан новый отдел, занимающийся вопросами ИБ. Об этом в понедельник, 17 декабря, заявил постпред РФ в Вене Михаил Ульянов в эфире видеомоста в МИА «Россия сегодня».    
В МИД РФ будет создан новый департамент по вопросам ИБ

Поклонники популярного видеоблогера PewDiePie снова заставили чужие принтеры печатать листовки с рекламой своего кумира.    
Фанаты PewDiePie атаковали 250 тыс. принтеров

Twitter сообщила об атаке на социальную платформу, в организации которой подозреваются проправительственные киберпреступники. Согласно информации на странице поддержки, 15 ноября текущего года компания заметила «большое число запросов, поступающих с частных IP-адресов, расположенных в Китае и Саудовской Аравии».    
Twitter атаковали правительственные киберпреступники

Исследователи безопасности mdm и rgod из 9SG Security Team обнаружили в ПО Eurotherm от Schneider Electric GUIcon три опасные уязвимости. Успешная эксплуатация уязвимостей может привести к выполнению кода в контексте приложения.    
В Eurotherm от Schneider Electric GUIcon исправлены три опасные уязвимости

В начале декабря компания Microsoft официально подтвердила перевод своего браузера Edge на движок Chromium. Как тогда отметили в компании, переход на Chromium позволит улучшить совместимость с web-сайтами и упростить задачу разработчикам приложений. Однако бывший стажер команды Microsoft Edge Джошуа Бакита (Joshua Bakita) утверждает обратное. По его словам, одна из причин перехода обусловлена тем, что Google постоянно вносила изменения в свои web-приложения, что приводило к их некорректной работе в других браузерах. В результате Microsoft просто не поспевала за Google.    
Google обвинили в саботаже Microsoft Edge