A fost publicată lista auditorilor atestați de securitate cibernetică. Accesați aici lista

Știrile săptămânii din cybersecurity (14.10.2021)

2021/10/14
Popularitate 1000

Probleme de confidențialitate la dispozitivele Android

O echipă de cercetători din mediul universitar britanic a analizat dispozitive Android de la Samsung, Xiaomi, Realme și Huawei, precum și LineageOS și /e/OS, două sisteme de operare bazate pe Android, care își propun să furnizeze un nivel crescut al confidențialității.

Concluzia studiului este că toate variantele Android studiate, cu excepția /e/OS, transmit cantități importante de date către firmele de la care provin dispozitivele și către entități terțe, precum Google, Microsoft, Linkedin, Facebook, etc. Printre datele transmise se află informații despre dispozitiv, detalii despre utilizarea aplicațiilor și informații telemetrice.

Utilizatorii de dispozitive Android nu au la dispoziție măsuri pentru stoparea colectării datelor. Conform declarației unui purtător de cuvânt de la Google, „comportamentul nu este surprinzător – așa funcționează smartphone-urile moderne.” Reprezentatul Google a adaugat că datele colectate sunt necesare pentru servicii de bază precum actualizări pentru software.

Directoratul Național de Securitate Cibernetică, Poliția Română și Asociația Română a Băncilor lansează #SiguranțaOnline, o campanie de informare despre cum să ne protejăm de fraudele online

Poliția Română, Directoratul Național de Securitate Cibernetică (DNSC) și Asociația Română a Băncilor (ARB) lansează campania #SiguranțaOnline pentru informarea cetățenilor în vederea protejării împotriva fraudelor online prin accesarea platformei sigurantaonline.ro.

Campania de educație digitală a cetățenilor este menită să ofere cele mai bune practici de securitate cibernetică, prin accesarea platformei sigurantaonline.ro, pentru a evita  ca românii să devină victimele atacurilor cibernetice. România se clasează în topul țărilor europene cu cele mai bune și rapide conexiuni de internet potrivit rapoartelor privind Indicele Economiei și Societății Digitale (DESI), dar cu un nivel scăzut al educației digitale. Astfel, 49% dintre locuințele din România sunt abonate la servicii de bandă largă de foarte mare viteză, România situându-se astfel pe locul 5 în UE. Cu toate acestea, mai puțin de o treime dintre cetățeni au competențe digitale cel puțin elementare. Potrivit statisticilor DNSC, 90% din atacurile cibernetice sunt îndreptate asupra utilizatorului obișnuit. Factorul predominant ce facilitează aceste atacuri este eroarea umană, lipsa informației sau a pregătirii adecvate.

Actualizare Apple pentru o nouă vulnerabilitate a iOS

La 11 octombrie 2021, Apple a lansat versiunea 15.0.2 a iOS, prin care este reparată o vulnerabilitate potențial exploatată activ de către atacatori. CVE-2021-30883 implică un bug al unei extensii a iOS kernel, numită IOMobileFrameBuffer, care generează probleme „memory corruption” și prin care poate fi executat cod pe un iPhone, având privilegii kernel.

Vulnerabilitatea poate afecta și modele de iPad, începând de la iPad Air 2 și iPad 5, la modele mai noi.

Google va activa autentificarea prin doi pași pentru aproximativ 150 de milioane de utilizatori

Ca parte a eforturilor de prevenire a accesului neautorizat la conturile utilizatorilor, Google a anunțat că, până la sfârșitul anului, va activa automat autentificarea în doi pași (2FA) pentru aproximativ 150 de milioane de utilizatori. În plus, Google va cere creatorilor de conținut de pe YouTube să activeze setarea „two-step verification (2SV)”, pentru protejarea canalelor acestora de potențiale atacuri.

UE pregătește o directivă pentru interzicerea înregistrării anonime de domenii

Prin viitoarea directivă, Uniunea Europeană intenționează să-i oblige pe cei care solicită înregistrarea unui nou domeniu pe internet să furnizeze o serie informații valide: numele, adresa fizică și cea de email și un număr de telefon.

Măsura va contribui la limitarea activităților ilegale desfășurate de operatorii anumitor platforme, precum propagarea de malware sau distribuirea fără licență a produselor cu drepturi de autor. Prin posibilitatea actuală de a rămâne anonimi, responsabilii pentru acțiunile indicate evită adesea insituțiile pentru impunerea legii.

Totuși, conform perspectivei DENIC, registrul top-level domain al Germaniei, securitatea cibernetică nu va fi îmbunătățită prin noua directivă. Conform opiniei lui Patrick Breyer, membru al Parlamentului European, vor fi consecințe pentru libera circulație a informației, directiva reprezentând o amenințare pentru activiști sau whistleblowers.

Clasarea cazului 2019/2214 împotriva României de încălcare a dreptului UE (infringement) privind neîndeplinirea obligațiilor din Directiva (UE) 2016/1148 (Directiva NIS)

În anul 2019 Comisia Europeană a demarat procedurile de infringement împotriva României, ca urmare a neîndeplinirii de către țara noastră a obligațiilor prevăzute de art. 5 alin. (7) din Directiva (UE) 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (Directiva NIS).

Infringement-ul a fost legat de întârzierile privind înregistrarea Operatorilor de Servicii Esențiale (OES) așa cum sunt definiți de Legea 362/2018, de stabilirea criteriilor sectoriale specifice, precum și a valorilor de prag privind incidentele de securitate cibernetică. La o analiză recentă a cazului, Comisia Europeană a apreciat în mod favorabil eforturile României pentru remedierea problemei și, considerând că motivele declanșării procedurii de infringement nu mai există, în data de 23 septembrie 2021 a decis clasarea Cauzei 2019/2214 împotriva României.

Campanie frauduloasă sprijinită prin aplicații de pe Apple AppStore

Persoane din Ungaria, Franția, UK, SUA și mai multe țări din Asia au fost victime ale unei campanii frauduloase care a generat cel puțin $1.4 milioane. Campania, numită „CrytpoRom”, utilizează o combinație între inginerie socială și aplicații periculoase de pe AppStore.

Victimele sunt contactate de escroci pe site-uri sau aplicații de dating precum Bumble, Tinder, Facebook dating sau Grindr, și sunt convinse să instaleze aplicații false de trading (ex. Fleeceware) și să investească în diverse produse financiare. În cazurile în care vicitma devine suspicioasă, i se blochează accesul la cont, iar posibilitatea de recuperare a fondurilor este extrem de scăzută.

Fraude pe TikTok cu jocuri „gratis”

Cercetătorii de la Malwarebytes Labs atrag atenția cu privire la conturile de pe TikTok care promovează conținut în domeniul gaming și oferă adesea jocuri sau iteme gratis. Un exemplu este un cont ce promovează un site care ar trebui să ofere gratis jocul „Among Us” pe Steam, dar și o versiune „hacked”, prin care utilizatorul ar avea avantaje în joc. Conform verificărilor cercetătorilor conținutul de pe site este, în realitate, asociat cu malvertising.

Blue OLEx 2021: Testarea răspunsului UE la crize de securitate cibernetică transfrontaliere

Directoratul Național de Securitate Cibernetică (DNSC), împreună cu Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) a organizat cea de-a treia ediție a exercițiului Blue OLEx, inițiativă la nivel european dedicată testării procedurilor operaționale ale rețelei CyCLONe (The Cyber Crises Liaison Organisation Network).

Exercițiul Blue OLEx 2021 a avut loc la Palatul Parlamentului din București pe 12 octombrie. Scenariul exercițiului a fost conceput pentru a testa procedurile standard de operare (SOP) ale CyCLONe la nivel executiv, în cazul unei crize cibernetice transfrontaliere la scară largă sau al unui incident care afectează cetățeni și organizații din UE. Găzduit de DNSC cu sprijinul ENISA, evenimentul a fost unul hibrid, cu prezență fizică la București, dar și online.

Actualizare de securitate de la SAP

La 12 octombrie 2021, SAP a lansat 13 „note de securitate” și o actualizare pentru o notă mai veche. Dintre acestea, sunt de notat CVE-2020-10683 și CVE-2021-23926, două vulnerabilități critice „XML external entity injection issues”, ale SAP Environmental Compliance.

Alte bug-uri importante reparate de SAP sunt CVE-2021-38178, o vulnerabilitate „critical improper authorization” a NetWeaver AS ABAP și ABAP Platform, și CVE-2021-40498, o vulnerabilitate „denial of service” pentru SuccessFactors Mobile Application pentru dispozitivele Android.

RESURSE

Săptămâna aceasta avem plăcerea să vă semnalăm lansarea unui volum excelent din domeniul cybersecurity, realizat de ISACA România și susținut de Directoratul Național de Securitate Cibernetică:  Keep your Information System Safe (KISS): Practical Steps for Implementation Best Practices and Legal Considerations. Materialul poate fi accesat, partajat și decărcat gratis online, de pe site-ul dnsc.ro.

Scopul cărții este de a oferi cititorilor abordări practice care pot fi puse în aplicare de organizații (mici, mijlocii sau mari) prin luarea în considerare a standardelor și a celor mai bune practici pentru red teaming, blue teaming și al testelor de penetrare. Volumul subliniază aspectele practice ale punerii în aplicare și punctele specifice care trebuie luate în considerare pentru anumite sectoare (de exemplu, sectorul sănătății).

'Știrile săptămânii din cybersecurity' este un material realizat de Ciprian Buzatu, voluntar DNSC


Postat în: stiri awareness

Vizualizat de 1580 ori