С чего начнется четвертая промышленная революция в вашей компании?

�ак минимизировать риски и научиться извлекать максимальную прибыль? Как научиться идентифицировать все устройства в своих сетях? Как правильно управлять идентификацией и доступом? Зарегистрируйтесь, чтобы бесплатно скачать электронную книгу об безопасной интеграции ОТ- и ИТ-сетей прямо сейчас. × Как защитить критическую инфраструктуру от киберпреступников?

ОТ-системы, управляющие оборудованием в КИИ - под серьезной угрозой. В 85% случаев они беззащитны даже перед повторными атаками одних и тех же зловредов. Всему виной - цифровизация, которая вынуждает ОТ- и ИТ-сети интегрироваться. Данные становятся ближе к оборудованию КИИ, а хакеры - к данным.

Проблема с общим доступом к файлам в популярном корпоративном мессенджере Slack, получившем в прессе прозвище «убийца Skype» может привести к утечке данных. Внутри сервиса бывает очень сложно проконтролировать, кому именно предоставлен доступ к тем или иным документам.

Эксперты фирмы Polyrize обнаружили критическую уязвимость в сервисе Slack, которая позволяет посторонним получать доступ к файлам, выложенным в закрытых каналах для ограниченного круга лиц.

Slack является одним из самых популярных в мире мессенджеров и инструментов для осуществления совместной работы: им ежедневно пользуются до 10 млн человек из 600 тыс. организаций по всему миру.

Баг связан с тем, как реализован общий доступ («расшаривание») файлов внутри Slack. Публикации в так называемом «рабочем пространстве» (workspace) могут производиться в открытом канале («разговоре», conversation), доступном для всех, у кого в данном рабочем пространстве есть аккаунт. Существует также вариант публикации файла в приватном канале, куда доступ возможен только по приглашению его администраторов.

По идее, файлы, расшаренные внутри приватного канала, доступны только его текущим пользователям. На практике все обстоит несколько иначе. Эксперты Polyrize обнаружили, что если в приватном канале расшарен файл, опубликованный ранее в другом канале, или разговоре, ограничения на доступ на него не распространяются.

«Поскольку пользователи Slack обладают информацией только о тех приватных каналах, в которых они состоят, владельцы файлов никак не могут узнать, не опубликовали ли их файл в каком-то другом приватном разговоре», — цитирует представителей Polyrize издание TheRegister.

Эксперты отметили, что данную уязвимость можно подтвердить не только через графический интерфейс Slack, но и с помощью API-запросов к сервису относительно целевого файла.

В Slack, по-видимому, не считают проблему чем-то особо серьезным. «Мы понимаем, насколько важна безопасность файлов для пользователей Slack, — говорится в сообщении этой компании. — Описанное характерно только для двух типов файлов: сниппетов и постов (это два варианта обеспечения общего доступа и совместной работы над более крупным контентом в Slack). Большая часть файлов, которые расшариваются в Slack, к этим двум типам не относятся. При обеспечении общего доступа к сниппетам и постам в приватных каналах или прямых сообщениях, только участники каналов и адресаты сообщений могут видеть их или находить через поиск. При публикации сниппетов и постов в публичных каналах, все, кто подключен к рабочему пространству, могут видеть данные публикации или находить их через поиск. Это плановое поведение. Мы признаем, что присутствие кнопки "Unshare" (снятие общего доступа) может сбивать с толку с тех пор, как был изменен способ комментирования под сниппетами и постами. Мы признательны Polyrize за то, что обратили наше внимание на эту проблему. Мы планируем исправить интерфейс, однако модель безопасности при обеспечении общего доступа к сниппетам и постам останется без изменений».

«Судя по комментариям Slack, они не рассматривают это как проблему безопасности конфиденциальных данных, — указывает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Хотя по большому счету такое "плановое поведение" открывает весьма существенные возможности для утечек данных. И единственный вариант защититься от этого — жестко контролировать, кому именно предоставляется доступ к каким документам. Или не использовать Slack для этих целей».

Slack — это корпоративный мессенджер, созданный Стюартом Баттерфилдом (Stewart Butterfield) и запущенный в феврале 2014 г. Название Slack произошло от словосочетания «Searchable Log of All Conversation and Knowledge», то есть «Журнал бесед и данных с функцией поиска». Slack позволяет участникам команды общаться в каналах, приватных группах и непосредственно друг с другом, а также проводить поиск по содержимому бесед.

Может интегрироваться с такими сервисами как Google Drive, Trello, Dropbox, Box, Heroku, IBM Bluemix, Crashlytics, GitHub, Runscope и Zendesk. В марте 2016 г. в мессенджер были добавлены функции голосовых и видеозвонков, что усилило его позиции в конкуренции со Skype на рынке корпоративных средств коммуникации. В СМИ Slack называют «убийцей» Skype.

Неизвестные выводят из строя устройства Cisco с помощью старого «бага»

Сотрудник крупного оператора устроил распродажу персональных данных россиян и избежал тюрьмы

На «Госуслугах» масштабная утечка. Скомпрометированы данные десятков тысяч россиян

Впервые в мире проведена квантовая телепортация

Металлургов и химпром терроризируют с помощью легальных программ

Россияне получили от 10 до 13 лет тюрьмы за взлом РЖД и S7

Денис Терещенко

заместитель руководителя ФТС

Денис Терещенко

заместитель руководителя ФТС

Индексы «ИТ-тренды CNews 2020» и «ИТ-тренды CNews 2020 Реальный сектор».