[ad_1]

هشدار برای کاربران Microsoft Power Apps ، آسیب پذیری پمپ های پزشکی و موارد دیگر.

به امنیت سایبری امروز خوش آمدید. چهارشنبه ، 25 آگوست ، من هوارد سلیمان هستم ، نویسنده موضوع امنیت سایبری برای ITWorldCanada.com.

برخی بی تجربه توسعه دهندگان وب سایت ها و برنامه های کاربردی که از پلتفرم Power Apps مایکروسافت استفاده می کنند ، به طور ناخواسته اطلاعات شخصی را در اختیار هرکسی که معتقد است محافظت می شود ، قرار می دهند. این به این دلیل است که تنظیمات پیش فرض رابط های برنامه نویسی برنامه بر روی پلت فرم ، داده های ذخیره شده را به صورت عمومی در دسترس قرار داده است ، مگر اینکه توسعه دهنده روش دیگری را انتخاب کرده باشد. این یک مثال کامل از دادن گزینه اشتباه به افراد است. مایکروسافت و دیگران اقدامات هشداردهنده ای انجام داده اند. با این حال ، ما نمی دانیم چه تعداد از شرکت کنندگان در تهدید داده های شخصی ده ها هزار نفر را یافته و کپی کرده اند. آنچه ما می دانیم این است که محققان شرکت امنیتی استرالیایی UpGuard این اشکال را در ماه مه کشف کرده و در ماه ژوئن به مایکروسافت گزارش کردند. برخی از پورتال های وب آسیب پذیر یافت شده توسط دولت ها یا مقامات بهداشتی برای ردیابی تماس ها و واکسیناسیون برای COVID-19 استفاده شده است. سایر وب سایت ها شامل شماره های تامین اجتماعی برای متقاضیان کار بودند. UpGuard به 47 سازمانی که داده های آنها باز مانده بود ، از جمله برخی ایالت های ایالات متحده ، شرکت فورد موتور ، خطوط هوایی آمریکا و مایکروسافت اطلاع داد. یک شرکت بهداشتی بیش از 50،000 پرونده با نام و تاریخ آزمایش دارو داشت. برخی از افراد ممکن است مایل نباشند به طور عمومی بدانند که در حال آزمایش یک آزمایش دارویی هستند. Upguard تخمین می زند که 38 میلیون قطعه اطلاعات باز مانده است.

مایکروسافت در اسناد خود به درستی به توسعه دهندگان در مورد مشکل پیکربندی نادرست برنامه هشدار داده است. اما بسیاری بدیهی است که آن را نخوانده اند یا آن را با دقت کافی نخوانده اند. Power Apps به گونه ای طراحی شده است که برنامه نویسی را برای افراد غیر فناوری اطلاعات آسان کند.

مایکروسافت قبلاً ابزاری را منتشر کرده است که توسعه دهندگان می توانند از آنها برای آزمایش پورتال های توسعه یافته با Power Apps استفاده کنند. این ابزار لیستی را شناسایی می کند که اجازه دسترسی ناشناس به داده ها را می دهد. پورتالهای Power Apps که به تازگی ایجاد شده اند برای دسترسی به جداول داده به اجازه پیش فرض نیاز دارند. اگر شما یا سازمان شما یک پورتال یا برنامه ای با Power Apps ایجاد کرده اید ، باید از ابزار اعتبارسنجی پورتال برای تأیید امنیت داده های خود استفاده کنید.

کارشناسان نگران هستند برای برخی در مورد آسیب پذیری دستگاه های حساس شبکه فناوری اطلاعات در صنعت که کنترل امنیت سایبری دقیق ندارند. آخرین نمونه از این مشکل توسط محققان مک آفی و کولیندا کشف شد که پنج آسیب پذیری را در پمپ تزریق پزشکی ساخته شده توسط شرکتی به نام B.Braun کشف کردند. با استفاده از این مشکلات ، یک مهاجم از راه دور می تواند عملکرد پمپ را برای تحویل دوز غیر منتظره دارو استفاده کند. مک آفی به این نتیجه رسید که این دستگاه برای جلوگیری از حمله مخرب طراحی نشده است. درست است که مهاجم برای دسترسی به این دستگاه باید به شبکه فناوری اطلاعات داخلی بیمارستان دسترسی داشته باشد. اما مک آفی می گوید این مطالعه نشان می دهد که تولید کنندگان دستگاه های صنعتی باید بیشتر در مورد امنیت سایبری فکر کنند. B.Bruan برای نرم کردن این دستگاه کار می کند. بیمارستان ها و کلینیک هایی که از آن استفاده می کنند باید پیشرفت را زیر نظر داشته باشند.

هفته گذشته گزارش دادم اخبار مربوط به مشکلات مربوط به کیت های توسعه نرم افزار این هفته موارد بیشتری وجود دارد. تعدادی آسیب پذیری در کیت توسعه نرم افزار جاوا در IBM Security Directory Suite و App Connect Enterprise شناسایی شده است. مدیران برای برطرف کردن این مشکلات باید به بولتن های امنیتی IBM مراجعه کنند. همچنین توجه داشته باشید که در حال حاضر یک راه حل برای عیب یابی زبان Golang Go در IBM Cloud Pak برای نظارت بر مدیریت چند ابر وجود دارد.

سرانجام، هیچ کمبودی وجود ندارد که مهاجمان بتوانند از رایانه شخصی ضعیف محافظت شده استفاده کنند. یک راه می تواند از طریق نرم افزار پیکربندی مورد استفاده برای نصب صفحه کلید ، ماوس یا سایر لوازم جانبی باشد. محققان دریافتند که برنامه Razer Synapse ، که با روشن کردن صفحه کلیدها و موش های Razer به طور خودکار بارگیری می شود ، به طور خودکار – و غیر ضروری – حقوق سیستم کاربر را در ویندوز می دهد. با داشتن امتیازات سیستم ، می توان همه کارها را در رایانه انجام داد. به گزارش سایت خبری Bleeping Computer ، ریزر تصحیح خواهد کرد. با این حال ، این سایت همچنین گزارش می دهد که محقق دیگری برنامه ای را برای نصب صفحه کلید ، موش و هدفون از شرکتی به نام SteelSeries پیدا کرده است که به آنها دسترسی به ویندوز را نیز می دهد. با توجه به اثبات مفهوم ، مهاجم به برنامه و دسترسی به رایانه نیاز دارد – بدون نیاز به وسایل جانبی. در زمان ضبط این پادکست ، SteelSeries این گزارش را نادیده گرفته بود.

یک درس: هنگام نصب چیزی مراقب باشید که ببینید آیا نرم افزار نیاز به دسترسی ممتاز غیر ضروری به ویندوز یا هر سیستم عامل دارد.

این در حال حاضر است. به یاد داشته باشید که پیوندها به جزئیات داستان پادکست در نسخه متنی ITWorldCanada.com است. در آنجا داستانهای دیگر من را خواهید یافت.

امنیت سایبری را امروز در پادکست های Apple ، Google Podcasts دنبال کنید یا ما را در بلندگوی هوشمند خود به Flash Briefing خود اضافه کنید.

[ad_2]

منبع: night-sky.ir