Microsoft na Black Hat 2021 z Pwnie Awards!
Nagrody Pwnie są uznaniem zarówno za doskonałość, jak i niekompetencję w dziedzinie bezpieczeństwa. Zwycięzcy są wybierani przez komisję specjalistów z branży bezpieczeństwa spośród nominacji zebranych przez społeczność zajmującą się bezpieczeństwem informacji. Nagrody wręczane są corocznie na konferencji Black Hat Security.
Nazwa Pwnie Award opiera się na słowie „pwn”, które jest hackerskim slangiem oznaczającym „kompromitacje” lub „kontrolę” na podstawie wcześniejszego użycia słowa „own” (czyli: własny, w posiadaniu) i jest ono wymawiane podobnie. Nazwa „The Pwnie Awards”, wymawiana jako „Pony”, ma brzmieć jak Tony Awards, ceremonia rozdania nagród dla teatru na Broadwayu w Nowym Jorku.
Zdecydowanie nie był to rok Microsoftu. Tasiemcowa epopeja łatania PrintNightmare, błędy Exchange Server, znalezienie i ujawnienie przez NSA poważnego błędu w rdzeniu kryptografii Windows. Zwycięzca wydarzenia, które drwi z niekompetencji w cyberbezpieczeństwie mógł być jeden.
Najgorsza z tegorocznych nagród – Most Epic Fail – trafiła do Microsoftu za rozwiązanie luki PrintNightmare Print Spooler, błędu, który doprowadził do problematycznej poprawki i większej liczby pytań dotyczących potencjalnie podatnego kodu.
Poniżej przytaczamy opis Pwnies podsumowuje to wątpliwe zwycięstwo (w wolnym tłumaczeniu):
„Microsoft próbował to naprawić, ale nie powiodło się. Następnie próbował ponownie to naprawić, ale ponownie nie powiodło się. Miejmy nadzieję, że nadal próbują. 2 łatki i wciąż się kręci! Nie trzeba dodawać, że Microsoft zidentyfikował CVE-2021-34527 jako LPE; odrobina siły woli i dramat na Twitterze sprawiły, że Microsoft wymyślił kolejną łatkę (poza oficjalnym programem) na RCE, która nie naprawia poprawnie wektora RCE i nawet nie próbuje już naprawiać LPE.”
WSA oddalił skargę SGGW na decyzję Prezesa UODO o karze!
4 sierpnia br. Na stronie Urzędu Ochrony Danych Osobowych pojawił się komunikat dotyczący orzeczenia Wojewódzkiego Sądu Administracyjnego, który informuje, że SGGW nie wdrożył wystarczających środków technicznych i organizacyjnych, by zapewnić bezpieczeństwo danym osobowych kandydatów na studia – potwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 13 maja 2021 roku. WSA podtrzymał decyzję Prezesa UODO nakładającą 50 tys. zł kary na uczelnię.
Sprawa, którą zajmował się WSA dotyczy decyzji Prezesa UODO związanej z naruszeniem ochrony danych osobowych kandydatów na studia w SGGW z listopada 2019 roku. Doszło wówczas do kradzieży prywatnego laptopa pracownika uczelni, na którym zostały zapisane dane osobowe kandydatów na studia. Późniejsza kontrola, jak i postepowanie administracyjne UODO wykazało nieprawidłowości po stronie administratora danych, co skończyło się nałożeniem kary pieniężnej.
Przed sądem uczelnia próbowała wykazać, że to nie ona była w istocie administratorem danych, jakie znajdowały się w skradzionym prywatnym komputerze jej pracownika. Jej zdaniem to pracownik był administratorem tych danych, ponieważ bez wiedzy administratora, jak i z naruszeniem wewnętrznych procedur, przetwarzał dane rekrutacyjne studentów z okresu pięciu lat na prywatnym sprzęcie. Uczelnia w wewnętrznych regulacjach określiła, że dane kandydatów na studia mają być przetwarzane maksymalnie przez okres trzech miesięcy.
Wojewódzki Sąd Administracyjny nie zgodził się z uczelnią i wskazał, że UODO słusznie uznał SGGW jako administratora tych danych. Sąd zaznaczył, że w myśl definicji administratora zawartej w RODO, to uczelnia pełniła tę rolę, gdyż decydowała o celach i sposobach przetwarzania danych osobowych kandydatów na studia. Pracownik, któremu skradziono laptopa z danymi, nie był zaś podmiotem, który samodzielnie decydował o celach i sposobach ich przetwarzania. Czynności przetwarzania wykonywał, ponieważ był pracownikiem tej uczelni, zaangażowanym w proces rekrutacji na studia.
Sąd zwrócił uwagę, że pracownik uczelni nie występuje jako odrębny podmiot prawa. Jego działania są tym samym działaniami pracodawcy, który ponosi za nie odpowiedzialność, zachowując w stosunku do zatrudnionej osoby możliwość egzekucji odpowiedzialności odszkodowawczej, porządkowej i dyscyplinarnej. Oceny tej sytuacji nie zmienił fakt, że działania pracownika wykraczały poza powierzone mu obowiązki.
Sąd zgodził się z organem nadzoru, że uczelnia nie kontrolowała w sposób dostateczny procesu przetwarzania danych, w którym uczestniczył jej pracownik, jak i nie weryfikowała prawidłowości jego działań.
WSA potwierdził też, że UODO prawidłowo nałożył karę na uczelnię, uwzględniając wszystkie okoliczności zawarte w art. 83 ust., 2 RODO.
Atak ransomware na Włoską firmę z koncernu ERG
Włoska firma energetyczna ERG informuje o „tylko kilku niewielkich zakłóceniach” wpływających na jej infrastrukturę technologii informacyjno-komunikacyjnych (ICT) po ataku ransomware na jej systemy.
Podczas gdy włoska grupa zajmująca się energią odnawialną nazwała ten incydent jedynie atakiem hakerskim, La Repubblica poinformowała, że atak był koordynowany przez grupę zajmującą się oprogramowaniem ransomware LockBit 2.0.
Gang oprogramowania ransomware LockBit rozpoczął działalność we wrześniu 2019 r. i ogłosił wprowadzenie oprogramowania ransomware jako usługi LockBit 2.0 w czerwcu 2021 r.
Brak przestojów po ataku
„Jeśli chodzi o niedawne pogłoski w mediach o atakach hakerskich na instytucje i firmy, ERG informuje, że doświadczyło tylko kilku drobnych zakłóceń w swojej infrastrukturze teleinformatycznej, które obecnie są przezwyciężane, również dzięki szybkiemu wdrożeniu wewnętrznych procedur cyberbezpieczeństwa,” powiedział dzisiaj firma.
“Firma potwierdza, że wszystkie jej zakłady działają sprawnie i nie doświadczyły żadnych przestojów, zapewniając tym samym ciągłość działalności biznesowej.”
ERG jest wiodącym włoskim operatorem energetyki wiatrowej i jednym z dziesięciu największych operatorów lądowych na rynku europejskim, z rosnącą obecnością we Francji, Niemczech, Polsce, Rumunii, Bułgarii i Wielkiej Brytanii.
Grupa działa w sektorach energetyki wiatrowej, hydroelektrycznej, słonecznej oraz wysokowydajnej kogeneracji termoelektrycznej.
W poniedziałek Enel, największa firma energetyczna w Europie, zgodziła się na zakup portfela aktywów hydroelektrycznych ERG w ramach transakcji o wartości 1 miliarda euro (1,18 miliarda dolarów).