Nowe polityki bezpieczeństwa Facebooka
W ogłoszonej w tym tygodniu nowej polityce bezpieczeństwa, potentat mediów społecznościowych daje niezależnym twórcom aplikacji trzy tygodnie na reagowanie na zgłoszenia luk i trzy miesiące na łatanie błędów przed ich publicznym ujawnieniem. Facebook twierdzi, że celem polityki jest upewnienie się, że zidentyfikowane problemy zostaną rozwiązane tak szybko, jak to możliwe, a osoby, których to dotyczy, zostaną o nich poinformowane, aby mogły załatać swoje systemy i zachować ochronę.
Platforma społecznościowa zauważa również, że poważne wady bezpieczeństwa będą wymagały większej uwagi, zanim zostaną ujawnione publicznie, a jej badacze będą ściśle współpracować z twórcami aplikacji, aby w razie potrzeby pomóc w procesie naprawy.
„Oczekujemy, że strona trzecia odpowie w ciągu 21 dni i poinformuje nas, w jaki sposób problem jest łagodzony, aby chronić osoby, których dotyczy. Jeśli nie otrzymamy odpowiedzi w ciągu 21 dni od zgłoszenia, Facebook zastrzega sobie prawo do ujawnienia luki. Jeśli w ciągu 90 dni od zgłoszenia nie będzie żadnej poprawki lub aktualizacji wskazującej, że problem został rozwiązany w rozsądny sposób, Facebook ujawni lukę” – mówi firma.
Facebook ujawnia również, że jeśli ustali, że ujawnienie luki w zabezpieczeniach przed ustalonym terminem przyniesie korzyści opinii publicznej, może to zrobić.
W ramach odpowiedzialnego procesu ujawniania informacji Facebook dołoży uzasadnionych starań, aby skontaktować się z osobą trzecią, której dotyczy problem, i przekaże jej informacje wymagane do zrozumienia zgłoszonego problemu. W razie potrzeby zostaną dostarczone dodatkowe informacje.
Firma twierdzi, że jest gotowa współpracować z firmą zewnętrzną nad poprawkami, ale oczekuje przejrzystości postępów w łagodzeniu skutków. Oczekuje się, że strona trzecia usunie zgłoszoną lukę w ciągu 90 dni, a jeśli nie zostaną zidentyfikowane żadne okoliczności łagodzące, Facebook jak najszybciej ujawni problem publicznie. Polityka Facebooka dotycząca ujawniania luk w zabezpieczeniach zawiera również szczegółowe informacje o ścieżkach ujawnienia, a także o potencjalnych scenariuszach, w których firma odejdzie od 90-dniowego wymogu aktualizacji, takich jak aktywna eksploatacja zidentyfikowanej luki w zabezpieczeniach lub niepotrzebne opóźnienia we wdrażaniu poprawki.
Facebook przedstawił również w tym tygodniu WhatsApp Security Advisories, zasób mający na celu zwiększenie przejrzystości poprzez dostarczanie informacji o wszystkich lukach w zabezpieczeniach, które zostały rozwiązane w usłudze przesyłania wiadomości i aplikacjach.
Ponadto Facebook twierdzi, że powiadomi programistów bibliotek zewnętrznych i dostawców mobilnych systemów operacyjnych, gdy zostaną wykryte problemy z bezpieczeństwem, które mają wpływ na ich kod.
Krytyczna luka w WordPressie
Bardzo popularna wtyczka WordPress File Manager otrzymała w tym tygodniu poprawkę usuwającą aktywnie wykorzystywaną lukę typu zero-day. Wtyczka została zaprojektowana, aby zapewnić administratorom witryny WordPress funkcje kopiowania i wklejania, edycji, usuwania, pobierania i wysyłania i archiwizacji zarówno plików, jak i folderów. Menedżer plików ma ponad 700 000 aktywnych instalacji.
Oceniany z wynikiem CVSS wynoszącym 10, niedawno zidentyfikowana krytyczna luka w zabezpieczeniach mogła pozwolić atakującemu na przesłanie plików i zdalne wykonanie kodu w zaatakowanej witrynie, ujawnia firma Seravo, która odkryła błąd. Problem dotyczy wersji Menedżera plików starszych niż 6.9, a wyłączenie wtyczki nie zapobiega wykorzystaniu.
„Pilnie doradzamy wszystkim, którzy używają czegokolwiek innego niż najnowsza wersja WP File Manager 6.9, aby zaktualizować do najnowszej wersji lub alternatywnie odinstalować wtyczkę” – mówią badacze z Seravo.
Po wykryciu luka w zabezpieczeniach została wykorzystana przez botnety, ujawnia Seravo.
Firma ujawnia również, że zaobserwowała prawie pół miliona prób wykorzystania tego błędu w ciągu ostatnich kilku dni, ale wydaje się, że są to próby sondowania, a złośliwe pliki są wstrzykiwane dopiero później.
Nowa siedziba Cyber Armii w Stanach
Ford Gordon w stanie Gorgia będzie nową siedzibą dowództwa armii zajmującego się obroną przed hakerami i innymi zagrożeniami internetowymi. Koszty nowego budynku to 366 milionów dolarów. Utworzone dziesięć lat temu Army Cyber Command było rozproszone po instalacjach w trzech stanach. Teraz skonsolidowano je w Fortitude Hall. Plany zebrania całego dowództwa pod jednym dachem trwały od siedmiu lat.
„To nie jest tylko fizyczny ruch. To nie tylko ładny nowy obiekt” – powiedział dziennikarzom generał broni Stephen Fogarty, dowódca Army Cyber Command. Nazywał kwaterę główną „specjalnie stworzonym systemem cyberbroni”. Do Fogarty’ego dołączyli podczas ceremonii otwarcia podsekretarz armii James McPherson i gen. Paul Nakasone, który służy jako dowódca amerykańskiego dowództwa cybernetycznego i dyrektor Agencji Bezpieczeństwa Narodowego.
Co ciekawe w Fort Gordon znajduje się również placówka NSA.
Wojsko USA utworzyło Army Cyber Command w 2010 roku po tym, jak Departament Obrony uznał cyberprzestrzeń za nową domenę działań wojennych, powołując się na rosnące zagrożenia ze strony hakerów wspieranych przez obce rządy i atakujących online działających niezależnie. Dowództwo nadzoruje około 16 500 żołnierzy, cywilów i pracowników kontraktowych na całym świecie.
Według armii dowództwo Cyber Command sprowadzi do Fort Gordon około 1200 dodatkowych żołnierzy i pracowników cywilnych. Fogarty powiedział, że wszystkie powinny zostać wprowadzone w ciągu następnego roku. Fortitude Hall zajmuje powierzchnię 31215 metrów kwadratowych i jest wyposażona w ponad 300 serwerów.
Przed konsolidacją elementy Army Cyber Command znajdowały się również w Fort Belvoir w Wirginii i Fort Meade w stanie Maryland. W Fort Gordon armia ma teraz swoje jednostki walki elektronicznej i obrony oparte na tej samej instalacji, która służy do szkolenia nowych cyber-żołnierzy i zapewniania im ustawicznego kształcenia.