Altirix Systems

Новости

Microsoft исправила 0-day и более 50 других багов в своих продуктах

Компания Microsoft исправила 56 различных багов в своих продуктах, а также предупредила о трех опасных уязвимостях в Windows-стеке TCP/IP.

https://xakep.ru/2021/02/10/feb-patch-tuesday-2/

@xakep_ru
Cross-Site WebSocket Hijacking. Разбираемся, как работает атака на WebSocket #csrf #websocket #cswsh #подписчикам

В этой статье мы разберем протокол WebSocket и подробно остановимся на уязвимости CSWSH — насколько она распространена в открытом интернете. Для тех, кто дочитает до конца, я приготовил бонус в виде утилиты cswsh-scanner, с помощью которой ты можешь проверить свои приложения и попытать удачи на баг-баунти.

https://xakep.ru/2021/02/10/websocket-csrf/

@xakep_ru
​​Конференция «Актуальные вопросы защиты информации». Д. Шевцов (ФСТЭК России). Основные тезисы выступления:

📍 ФСТЭК России было поручено разработать Требования к средствам обеспечения безопасной дистанционной работы, результатом чего стал проект Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах. Документ ограниченного доступа и ориентирован на применение разработчиками.
📍 Готовятся изменения в приказ ФСТЭК России № 17 и методический документ «Меры защиты в государственных информационных системах» в части применения средств, обеспечивающих безопасную дистанционную работу в информационной системе с использованием средств вычислительной техники, не входящих в ее состав.
—————————————————————
Продвигается идея использования LiveUSB.

@bureaucraticsecurity
​​Конференция «Актуальные вопросы защиты информации». В. Лютиков (ФСТЭК России) тезисы выступления:

📍Перспективных планов рассказываться больше не будет, так как много упреков, что обещания не выполняются.
📍 И снова о порядке аттестации (вспоминаем недавний Инфофорум-2021). Заявлено:
- включение ИСПДн в сферу регулирования данного документа;
- усиление контроля за лицензиатами ФСТЭК России, осуществляющих аттестацию объектов информатизации.
📍 Усиление требований к уровню доверия.
📍 Утверждена новая методика выявления уязвимостей и НДВ в программном коде (название может отличаться, но скоро будет официальное информационное сообщение по этому поводу).
📍 И снова о Методике моделирования угроз безопасности (вспоминаем недавний Инфофорум-2021).
📍 «Полноценная оценка рисков в организациях не приживается». (разъяснение одного из высказываний на недавнем Инфофоруме-2021).
📍 И снова напоминание о перспективных административных штрафах за нарушения в области КИИ (вспоминаем недавний Инфофорум-2021).
📍 О проблемах, что нет достоверной информации о внесении изменений в действующие модели угроз в связи с массовым переходом на дистанционный режим работы.

@bureaucraticsecurity
Программа конференции "Актуальные вопросы защиты информации" в рамках ТБ Форум"

https://www.tbforum.ru/2021/program/information-security

@ruscadasecnews
Мы используем файлы cookie, чтобы сделать наш веб-сайт удобнее для вас. Продолжая просматривать данный веб-сайт и его разделы, вы соглашаетесь с Политикой конфиденциальности