Bsi критикует приложение luca

Bsi критикует приложение luca

BSI объявила

Федеральное управление информационной безопасности Германии (BSI) раскритиковало дыру в системе безопасности в приложении Luca, которая с тех пор была закрыта. Ранее эксперт по ИТ-безопасности Маркус Менгс продемонстрировал в видео на YouTube, как он теоретически может парализовать офис здравоохранения, подключенный к приложению Luca. Менгс, как пользователь Luca, ввел определенные специальные символы в поля ввода для своих собственных данных, например, в поле для почтового индекса своего адреса. Эти специальные символы могли быть интерпретированы как программный код системой Microsoft Office в департаменте здравоохранения. Этот метод атаки известен как «Инъекция кода».

BSI объявила через Twitter : «Мы оцениваем сценарий атаки с внедрением кода через систему Luca как вероятный в зависимости от конкретной среды развертывания». Таким образом, они подтверждают оценку безопасности heise. Создатели приложения Luca запретили вводить специальные символы в поля имени и контактов после того, как появилась информация о Lucke, и теперь разрешают вводить только буквы и цифры. По данным BSI, не известно ни одного случая использования уязвимости.

Ответственность лежит на создателях Luca

В то же время BSI ясно дал понять, что Лука должен позаботиться о проблеме, а не органы здравоохранения. "Мы считаем, что операторы приложения несут ответственность за целостность передаваемых данных". Сценарий атаки Менгса включал контактные данные в системе Luca, которые передаются в виде так называемых CSV-файлов для Microsoft Excel. Вместо обычных имен в определенные поля данных был помещен исполняемый вредоносный код. Culture4Life, компания, стоящая за Luca, заявила, что ответственность лежит на сотрудниках Microsoft и департамента здравоохранения, а не на ее собственном приложении.

В конфиденциальных средах, таких как государственные учреждения, эксперты по безопасности рекомендуют настраивать программы Microsoft Office для предотвращения выполнения программного кода в документах извне компании. Однако этого недостаточно для BSI: «Меры защиты третьих сторон, такие как дополнительное предотвращение макро-экспорта, на наш взгляд, не являются достаточными мерами безопасности. Мы считаем, что очевидные уязвимости должны быть немедленно и последовательно устранены операторами приложений».

Приложение Luca, которое продвигал хип-хоп певец Смудо из группы Fantastischen Vier, уже используется во многих штатах Германии. Но приложение вызывает споры среди ученых и экспертов по защите данных.

Bsi критикует приложение luca: “Сценарий атаки правдоподобен”. BSI объявила через Twitter Мы оцениваем сценарий атаки с внедрением кода через систему Luca как вероятный в зависимости от конкретной среды развертывания.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector