Personal blog of Alexey Komarov about information security, especially — industrial cybersecurity.
31 августа 2017
[аутентификация] Биометрическая система BioTime внедрена в ресторане «Т-Студио»
Подробнее: TAdviser: Новости ИТ-рынка России
28 августа 2017
Сайты интернет-магазинов и промышленных компаний наиболее уязвимы для хакерских атак
Более половины современных сайтов содержат критически опасные уязвимости, которые позволяют злоумышленникам проводить различные атаки, включая отказ в обслуживании и кражу персональных данных. Такие выводы содержатся в
исследовании компании Positive Technologiesна основе работ по анализу защищенности веб-приложений за 2016 год.
Как следует из отчета, практически все исследованные веб-приложения (94%) позволяют осуществлять атаки на пользователей, и неудивительно ― половина уязвимостей, вошедших в десятку самых распространенных, используются именно для таких атак. Доступ к персональным данным был получен в 20% приложений, обрабатывающих такие данные (включая сайты банков и государственных организаций).
Больше всего веб-приложений с уязвимостями высокого уровня риска найдено среди сайтов телекоммуникационных компаний (74%). Если же оценивать уровень защищенности в зависимости от возможных последствий, то хуже всего ситуация в промышленности (43% сайтов отличаются крайне низкой степенью защищенности) и в электронной коммерции (34%).
Исследователи отмечают, что уязвимости публичных сайтов по-прежнему являются популярным способом проникновения во внутреннюю инфраструктуру компании: каждое четвертое веб-приложение позволяет проводить такие атаки. Кроме того, четверть веб-приложений содержат уязвимости, позволяющие стороннему злоумышленнику получить доступ к базам данных.
Еще одно важное наблюдение ― веб-приложения, находящиеся в процессе эксплуатации, оказались более уязвимыми, чем тестовые: критически опасные уязвимости выявлены в 55% продуктивных систем и в 50% тестовых систем. Это свидетельствует о том, что необходимо проводить анализ защищенности не только в процессе разработки, но и после внедрения в эксплуатацию. Для защиты уже эксплуатируемых приложений рекомендуется использовать межсетевые экраны уровня приложений (web application firewalls).
В исследовании также представлено сравнение эффективности различных методов анализа защищенности приложений («белый ящик» против «черного ящика») и приведены примеры выявления уязвимостей автоматизированным анализатором кода PT Application Inspector. Анализ исходного кода показывает намного более высокие результаты, чем исследование защищенности без доступа к коду приложения. Кроме того, тестирование исходного кода в процессе разработки позволяет значительно повысить защищенность конечного приложения. Для анализа исходного кода на различных стадиях разработки целесообразно применять автоматизированные средства, поскольку это позволяет выявить максимальное число ошибок в кратчайшее время.
Полная версия исследования: http://bit.ly/2vjYQrK<
Источник: Хабрахабр / Все публикации подряд / Информационная безопасность
Медоборудование Siemens Healthineers содержит критические уязвимости
Компания Siemens выпустила исправления для уязвимостей в Microsoft Windows SMBv1, затрагивающих медицинское оборудования Siemens Healthineers.
После глобальной волны атак WannaCry в мае нынешнего года компания сообщила , что проблема могла затронуть ее клиентов, поскольку некоторые устройства Siemens Healthineers содержат уязвимость в Windows SMBv1, которую эксплуатирует WannaCry. В настоящее время обновления доступны для такого лабораторного диагностического оборудования, как рентген аппараты и маммографы. Тем не менее, производитель до сих пор работает над исправлениями четырех других уязвимостей в оборудовании для молекулярной визуализации (КТ-сканерах, позитронно-эмиссионных и однофотонных эмиссионных томографах), эксплоиты для которых есть в открытом доступе.
Речь идет об уязвимости CVE-2015-1635 в web-сервере Microsoft, позволяющей внедрить вредоносный код, а также об уязвимостях CVE-2015-1497, CVE-2015-7860 и CVE-2015-7861 в сервисе автоматизации HP Client Automation, позволяющих внедрить код, вызвать переполнение буфера и повысить привилегии соответственно. С их помощью неавторизованный атакующий может удаленно выполнить произвольный код на уязвимых устройствах.
Судя по идентификаторам, уязвимости были обнаружены еще в 2015 году, однако до сих пор не исправлены. До выхода обновлений Siemens рекомендует пользователям отключить вышеупомянутое оборудование от интернета и эксплуатировать в offline-режиме.
Источник: Securitylab.ru
Ученые смогли обмануть беспилотный автомобиль, «подправив» дорожные знаки
Путем небольшой модификации дорожных знаков можно обмануть беспилотный автомобиль и заставить его систему машинного обучения неправильно классифицировать знаки и принимать неверные решения, что поставит под угрозу безопасность пассажиров. К такому выводу пришла группа американских ученых по итогам проведенного исследования .
Идея исследования заключалась в том, что атакующий может подменить изображения на дорожных знаках с помощью специально отпечатанных плакатов либо добавить небольшие стикеры на легитимные дорожные знаки. Используя первый сценарий, злоумышленник сможет обмануть не только системы беспилотного авто, но и людей, в том время как второй метод атаки будет эффективен только в случае беспилотного автомобиля.
В ходе эксперимента ученые использовали несколько дорожных знаков с различными типами надписей, стикеров и граффити. По словам исследователей, в 100% случаев, автомобили распознавали знак «Стоп» с надписями Love\Hate как знак «Ограничение скорости 45», второй и третий знаки также распознавались как «Ограничение скорости 45», но только в 67% случаев. Что касается четвертого знака, его система машинного обучения классифицировала как знак «Стоп» вместо «Правый поворот» в 100% случаев.
Ранее южнокорейские ученые разработали ряд методов атак, позволивших им обмануть датчики LIDAR (Light Detection and Ranging), используемые в беспилотных автомобилях.
Источник: Securitylab.ru
Хакеры атаковали национального оператора энергосетей Великобритании
Национальный оператор энергосетей Великобритании ирландская компания EirGrid подверглась атаке хакеров, спонсируемых иностранным правительством. Об этом сообщило издание Irish Independent.
По данным издания, инцидент произошел в апреле нынешнего года. В ходе первой атаки, которая продолжалась почти семь часов и производилась с IP-адресов в Гане и Болгарии, злоумышленникам удалось получить доступ к сети Vodafone, используемой EirGrid. Затем хакеры осуществили еще одну атаку, в результате которой скомпрометировали маршрутизаторы компании, расположенные в Уэльсе и Северной Ирландии, таким образом получив доступ к незашифрованным коммуникациям.
По словам источников издания, взлом был обнаружен в июле нынешнего года, но пока неизвестно, удалось ли злоумышленникам заразить компьютерную систему компании вредоносным ПО. Как полагают в компании Vodafone и Национальном центре кибербезопасности Великобритании, данная атака является делом рук хакеров, финансируемым иностранным правительством. О каком государстве идет речь, не уточняется.
Напомним, в июле текущего года стало известно о кибератаке на энергетические сети в составе национальной энергосистемы Великобритании. Злоумышленники атаковали ирландское Управление по поставкам электроэнергии (Ireland’s Electricity Supply Board, ESB) с целью получить контроль над системами управления сетями. Предполагается, что к атаке причастны хакеры, связанные с правительством РФ.
Источник: Securitylab.ru
Ведущие страны отказываются от GPS в пользу радиолокации из-за риска хакерских атак
Риск кибератак, направленных на спутниковые системы навигации морских судов, вынуждает ведущие страны вернуться к истории и приступить к созданию резервных систем, разработанных на основе радиотехнологий, использовавшихся во времена Второй мировой войны, пишет Reuters.
В настоящее время суда используют GPS (Global Positioning System - система глобального позиционирования) и другие подобные технологии, в основе которых лежит отправка и получения спутниковых сигналов. Как полагают эксперты, такие системы уязвимы к хакерским атакам.
Порядка 90% мировой торговли осуществляется через морские перевозки, причем в отличие от самолетов, на кораблях отсутствует резервная навигационная система и если их GPS перестанет работать, суда рискуют сесть на мель либо столкнуться с другими кораблями.
Сейчас Южная Корея разрабатывает альтернативную систему, использующую наземную навигационную технологию, известную как eLoran (наследница технологии Loran, применявшейся во время Второй мировой войны). В будущем опыт планируют перенять США. Великобритания и Россия также изучают возможность перехода на технологии, использующие радиосигналы. В частности РФ рассматривала возможность развертывания версии eLoran под названием eChayka для безопасной навигации в регионе Арктики, однако проект пока приостановлен в связи с недостатком финансирования.
Запуск eLoran считается надежным способом защиты национальной безопасности. Для создания сети радиопередающих станций или модернизации уже существующих потребуются значительные инвестиции, отмечает агентство.
По словам специалистов в области кибербезопасности, основная проблема GPS- и GNSS (Global Navigation Satellite Systems) систем заключается в слабых сигналах, которые передаются на высоте порядка 20 тыс. километров над Землей и могут глушиться хакерами с помощью дешевых и доступных «глушилок». С другой стороны, сигналы eLoran заглушить сложнее, так как в среднем они в 1,3 млн раз сильнее по сравнению с сигналами GPS.
В последние несколько лет неоднократно появлялись сообщения о сбоях в работе навигационных систем судов. В примеру, в прошлом году Южная Корея заявила, что сотни рыболовецких суден были вынуждены вернуться в порт после того, как сигналы GPS были заблокированы хакерами из КНДР.
Источник: Securitylab.ru
Британское правительство выпустило свод правил для производителей «умных» авто
В воскресенье, 6 июля, правительство Великобритании опубликовало новые руководства для производителей подключенных к интернету транспортных средств, призванные обеспечить их защиту от хакерских атак.
По мнению законодателей, «умные» автомобили, позволяющие получать доступ к картам и другой информации через интернет, могут стать мишенью для хакеров, охотящихся за персональными данными. Кроме того, транспортные средства, не предполагающие использование привычных замков и ключей, могут заинтересовать угонщиков, считают в правительстве. Новые руководства обязывают производителей при проектировании «умных» автомобилей учитывать все возможные киберугрозы.
«Превращаем ли мы транспортные средства в точки доступа Wi-Fi, или полностью автоматизируем с помощью миллионов строк кода, очень важно защитить их от кибератак. Наши ключевые принципы описывают, что должны делать организации и на что должны обращать внимание при проектировании и разработке», - цитирует Reuters заявление министра транспорта Великобритании Мартина Калланана (Martin Callanan).
Новые руководства предполагают создание систем, способных распознавать поврежденные, недействительные или вредоносные данные и команды, а также позволяющих пользователям удалять хранящуюся в них персонально идентифицируемую информацию. Документ обязывает производителей планировать поддержку безопасности транспортных средств на протяжении всего срока их эксплуатации.
Помимо руководств для производителей смарт-автомобилей, британское правительство намерено также утвердить новые законы в области страхования беспилотных транспортных средств.
Источник: Securitylab.ru
25 августа 2017
Обнародованы документы ЦРУ о программе по контролю за web-камерами
Организация WikiLeaks опубликовала документы ЦРУ, в которых идет речь о проекте Dumbo, предназначенном для контроля за использованием web-камер и микрофонов, а также манипуляций с видеозаписями.
Инструмент Dumbo способен идентифицировать, контролировать и манипулировать системами мониторинга и обнаружения на компьютерах под управлением Microsoft Windows. Программа идентифицирует установленные устройства, такие как web-камеры и микрофоны, подключенные с помощью проводов либо через Bluetooth или Wi-Fi. Все процессы, связанные с обнаруженными устройствами (запись, мониторинг или обнаружение видео/аудио/сетевых потоков) фиксируются и могут быть остановлены сотрудником ЦРУ. Удаляя или манипулируя записями, оператор может создавать фальшивые или уничтожать реальные доказательства своего вмешательства.
Для использования инструмента нужен физический доступ к целевому компьютеру. Dumbo загружается на устройство с USB-накопителя и требует наличия прав администратора. Программа работает на компьютерах под управлением 32-разрядных Windows XP, Windows Vista и более современных версий ОС Windows. 64-битная версия Windows XP и более ранние версии операционной системы не поддерживаются.
Ранее WikiLeaks обнародовала информацию о проекте Imperial, включающем три инструмента для кибершпионажа - Achilles, Aeris и SeaPea, которые позволяют незаметно для пользователя совершать манипуляции с его папками и файлами.
Источник: Securitylab.ru
Исследователь обнаружил критические уязвимости в голландских солнечных панелях
Исследователь кибербезопасности из ITsec Виллем Вестерхоф (Willem Westerhof) сообщил, что хакеры могут легко нарушить работу голландских солнечных панелей, поставив под угрозу европейское энергоснабжение.
Проблема состоит в том, что в большинстве голландских солнечных панелей SMA преобразователи плохо защищены и имеют «широкий диапазон уязвимостей». Панели защищены только заводским административным паролем, который легко подобрать, используя атаку грубой силы.
Обнаруженные уязвимости могут позволить хакерам отключить преобразователи удаленно, что приведет к нарушению энергоснабжения миллионов домов.
Пресс-секретарь Министерства экономики сообщил, что они связались с Вестерхофом по поводу его исследования и обсуждают необходимость улучшения безопасности солнечных батарей.
Источник: Securitylab.ru
Армия США отказалась от китайских дронов из соображений кибербезопасности
Армия США запретила своим подразделениям использовать беспилотные летательные аппараты производства китайской компании DJI в связи с проблемами безопасности.
Согласно меморандуму, опубликованному генерал-лейтенантом Джозефом Андерсоном (Joseph Anderson), эксперты Исследовательской лаборатории Армии США (Army Research Laboratory) обнаружили в дронах ряд уязвимостей, поэтому необходимо незамедлительно прекратить их использование. Как указано в меморандуме, военные обязаны прекратить использование дронов, вынуть из них батареи и съемные накопители информации, а также отказаться от всей остальной продукции DJI.
Штаб-квартира DJI (Da-Jiang Innovation Corporation) находится в Шэньчжэне, и по данным Goldman Sachs и Oppenheimer, в 2016 году компании принадлежали 70% всего рынка коммерческих беспилотных летательных аппаратов потребительского класса.
Руководство компании приняло решение Армии США с большим удивлением и разочарованием. Как сообщил изданию sUAS News директор отдела по связям с общественностью DJI Майкл Перри (Michael Perry), американские военные не согласовали свое внезапное решение с самим производителем. Компания намерена связаться с представителями Армии США и уточнить, о каких именно уязвимостях идет речь в меморандуме.
Напомним, в 2016 году DJI согласилась предоставлять полученные со своих дронов данные властям КНР. Речь шла об информации о местоположении, записях полетов и видеоматериалах, загруженных пользователями на серверы компании.
Источник: Securitylab.ru http://bit.ly/2wtHZ5k