Мой основной сайт ZLONOV.ru (RSS-лента) | Ссылка на Twitter: @zlonov | Telegram-канал: @zlonovru

29 декабря 2016

[ZLONOV.ru] TOP-10 постов на ZLONOV.ru в 2016 году

ZLONOV.ru
Пост TOP-10 постов на ZLONOV.ru в 2016 году опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

21 декабря 2016

Google удвоит количество инженеров, работающих над созданием ИИ

Google увеличит число сотрудников принадлежащей ей британской компании DeepMind с 400 до тысячи человек, сообщает The Economist. DeepMind, специализирующаяся на разработках в области искусственного интеллекта, была куплена Google в 2014 году за $660 млн. На момент покупки в компании работало всего 70 сотрудников.

Google активно перекупает инженеров, специализирующихся на разработках в области ИИ у Facebook, а также нанимает перспективных выпускников Оксфорда и Кембриджа. Подразделение ИИ Google является создателем одного из наиболее эффективных в мире алгоритмов распознавания изображений на основе нейронных сетей. В октябре 2015 программа для игры в го AlphaGo, разработанная DeepMind, победила чемпиона Европы по го Фань Хуэя. Это первый в истории случай, когда ИИ выиграл в го у профессионала. Она же в марте 2016 победила чемпиона мира Ли Седоля.

Аналитики CB Insights отмечают рост интереса к технологиям ИИ со стороны инвесторов. В 2016 году общий объем вложений этом секторе превысил 1,5 млрд, на этом рынке проведено более 40 сделок.

Источник: Roem.ru — Все новости

15 декабря 2016

Новый голос в пользу планирования безопасности IoT

Базирующийся в Вашингтоне, округ Колумбия, аналитический центр, занимающийся вопросами защиты критически важных объектов, присоединился к призывам урегулировать обеспечение безопасности подключенных к Интернету устройств на государственном уровне.

В опубликованном на прошлой неделе отчете Института технологий критической инфраструктуры (Institute for Critical Infrastructure Technology, ICIT) сказано, что основной причиной недавних DDoS-атак с ботнета Mirai является нерадивость производителей IoT-устройств, которые не учитывают кибербезопасность на стадии разработки, по умолчанию задавая слабые или хорошо известные пароли в качестве защиты. Проблема тем более настоятельна, что слив исходного кода Mirai сильно упростил проведение мощных DDoS для злоумышленников; этот инструмент теперь в равной мере доступен всем злоумышленникам: и скрипт-кидди, и криминальным элементам, и спонсируемым государством хакерам.

Решение данной проблемы эксперты, как и Брюс Шнайер, видят в государственном регулировании, пусть даже ценой замедления инноваций в области Интернета вещей. «По нашему мнению, для обеспечения долговременного эффекта наиболее целесообразной мерой будет не изменение рынка, стремящегося избежать нормирования, но национальное регулирование, — пишут авторы отчета Джеймс Скотт (James Scott) и Дрю Спэниел (Drew Spaniel). — Регулирование на уровне государства может вызвать перекос или оказаться пагубным как для рынков, так и для потребителей. Регулирование в отношении IoT-устройств со стороны Соединенных Штатов окажет влияние на глобальные тренды и экономики в IoT-пространстве, так как все заинтересованные стороны ведут деловые операции в США, работают напрямую с американскими производителями или полагаются на экономику США».

Mirai — это зловред, отыскивающий IoT-устройства и приобщающий их к DDoS-ботнету посредством подбора паролей для получения доступа. Как отметили исследователи, риски повышает тот факт, что Mirai является простой в использовании платформой разработки, облегчающей кастомизацию атак.

«Ответственность за наличие уязвимостей в Интернете, в том числе Интернете вещей, несут поставщики услуг DNS, интернет-провайдеры и производители IoT-устройств, которые пренебрегают интеграцией безопасности в свои проекты за отсутствием экономических стимулов, — сказано в отчете ICIT. — Они предпочитают перекладывать риски и последствия на ничего не подозревающих пользователей. В результате IoT-ботнеты продолжают расти и эволюционировать».

Публикация ICIT почти совпала по времени с новой атакой Mirai. На сей раз жертвами заражения стали домашние роутеры, используемые в сети британского телеоператора TalkTalk. Компания Incapsula (дочка Imperva), клиент которой тоже пострадал в ходе этой кампании, зафиксировала резкий рост трафика на сайте своего подопечного — более 8,6 тыс. запросов в секунду. После скачка входящий поток снизился до устойчивых 200–1000 запросов в секунду. Как оказалось, мусорный трафик исходит с 2398 устройств (IP-адресов), размещенных на территории Великобритании.

«Такое распределение IP необычно для DDoS-ботнетов, — пишут эксперты в блоге. — Появление региональной бот-сети с большой долей вероятности указывает на то, что в каком-то устройстве, поставляемом местно и в розницу, имеется уязвимость. В данном случае быстрый скан обнаружил огромное количество зараженных домашних роутеров, 99% которых работают в сети TalkTalk Telecom. Таким образом, мы получили и искомое устройство, и дистрибьютора».

Эксперты Incapsula не смогли с уверенностью сказать, что столкнулись с тем же вариантом Mirai, который атаковал DSL-модемы Deutsche Telekom, но некоторые свидетельства говорят в пользу этого предположения. Так, например, на всех роутерах TalkTalk порт 7547 оказался закрытым, но поиск с помощью Shodan обнаружил, что этот порт везде был открыт за пару дней до начала DDoS-атаки. Тем временем атака на Deutsche Telekom показала, что Mirai после заражения устройства закрывает порт 7547, чтобы ввести в заблуждение аналитиков. «Это явный признак того, что перед нами тот же вариант Mirai, который проникает на устройство и закрывает за собой дверь», — пишут исследователи.

TalkTalk со своей стороны уже залатала брешь и произвела сброс настроек на всех своих роутерах.


Источник: Threatpost | Новости ИБ

Большие данные обезличиваются не до конца


Быстро растущий рынок больших массивов данных (big data) предлагает весьма привлекательный ресурс для компаний, управляющих активами. Накапливаемые компаниями сведения о загрузках пользователем приложений, покупках по кредитным картам, участии в социальных сетях и получении рецептов по электронной почте могут стать для инвестора полезным инструментом. Однако аналитики ряда хедж-фондов утверждают, что поставщики, продающие такие массивы данных, далеко не всегда очищают данные от всевозможных конфиденциальных деталей, по которым можно идентифицировать личность пользователя.

«Продавцы уверяют, что персональная информация удаляется из массивов данных, но мы неоднократно находили там телефонные номера, почтовые индексы и т. п., – говорит Мэттью Гранейд, директор по маркетингу фонда Point72 Asset Management. – Это настолько распространенное явление, что нам приходится нанимать на полную ставку двух сотрудников, которые очищают данные от таких деталей».

Руководитель другого фонда отмечает, что даже в случае удаления персональных деталей из массивов данных иногда бывает совсем несложно восстановить эти детали. «Мы поразились, насколько просто было раскрыть анонимность данных, – говорит руководитель. – Мой аналитик справился с подобной задачей всего за полчаса».

Сложные алгоритмы, основанные на методе машинного обучения, позволяют инвестиционным менеджерам находить в огромных информационных массивах полезные для бизнеса сведения. По оценкам консалтинговой компании Tabb Group, в США суммарные годовые расходы на покупку информационных массивов в ближайшие пять лет удвоятся и достигнут $400 млн. Компания CB Insights зафиксировала в последнее время порядка 30 стартапов, работающих в этой области.

Рост массивов информации, выставляемой на продажу, в сочетании с наличием в ней конфиденциальных деталей вызывает в сообществе озабоченность. Роберт Шошински, заместитель директора подразделения защиты частной жизни в Федеральной торговой комиссии США, заявил, что эта проблема находится в поле зрения его ведомства. Он отказался уточнить, ведется ли какое-то конкретное расследование случаев злоупотребления конфиденциальной информацией, сославшись на политику комиссии. Представители Федеральной комиссии по ценным бумагам и биржам (SEC) отказались комментировать проблему.

Хедж-фонды, обращая внимание на проблему, подчеркивают, что в большинстве случаев поставщики массивов данных действуют добросовестно. Таммер Кэмел, генеральный директор компании Quandl, продающей данные, утверждает, что его компания с максимальной ответственностью подходит к задаче очистки агрегируемых данных от любых персональных деталей. «В этом вопросе никому не хочется допустить промашку», – уверяет Кэмел.

Менеджер одного из хедж-фондов говорит, что при возникновении юридического конфликта в связи с утечкой персональных данных судебная ответственность с большей вероятностью легла бы на его фонд, а не на поставщика данных. «Мы с невероятной осторожностью относимся к вопросам лицензирования и защиты частной информации, потому что при возникновении проблем истцы стараются получить компенсацию от тех, у кого есть деньги», – поясняет менеджер.

В США нет всеобъемлющего закона о защите частной информации пользователей. По словам Альберта Джидари, директора подразделения приватности Стэнфордского центра интернета и общества, в разных штатах, отраслях и даже отдельных компаниях могут существовать свои подходы к проблеме. В обществе же пока особой обеспокоенности не наблюдается. «Люди готовы пожертвовать частью своей приватности ради удобства», – констатирует Джидари.
Перевел Александр Силонов

Источник: Ведомости

Нейронные сети вместо синоптиков: где узнать прогноз с точностью до минуты

Предсказание осадков для конкретного адреса в нужное вам время — это не фантастика, а новый сервис на основе искусственного интеллекта
Фото: Александр Щербак/ТАСС 

«Яндекс» начал прогнозировать осадки с точностью до минуты. Компания получила доступ к данным метеорадаров Росгидромета, и пользователи теперь могут узнавать в режиме реального времени, что произойдет в атмосфере в конкретном месте через десять минут.

Для точного прогноза погоды приложение «Яндекс.Погода» использует специальный алгоритм на основе так называемых нейронных сетей. Как это работает, объяснил руководитель группы метеопрогнозирования «Яндекс» Дмитрий Соломенцев:

Дмитрий Соломенцев руководитель группы метеопрогнозирования «Яндекс»:
«Теперь мы получили доступ к данным метеорологических радаров Росгидромета. Эта сеть покрывает достаточно большую территорию нашей страны, и информация, которая содержится в этих данных, позволяет нам строить очень точные карты осадков, с точностью до двух километров в пространственном разрешении. Дальше эти данные обрабатываются нашей командой метеорологов и алгоритмами машинного интеллекта, которые позволяют не только эти данные анализировать и строить текущее распределение осадков, но также делать прогноз на ближайшие два часа с разрешением десять минут. На данный момент алгоритм, который отвечает за прогноз, это сверточная нейронная сеть, обучавшаяся, в свою очередь, на огромном массиве данных, это выборка из более чем 800 тысяч радарных снимков».
Прогноз создается для конкретных координат. Сервис сможет предупредить пользователя, когда начнется или закончится снег и дождь в месте его нахождения. Чтобы получить данные для другой точки, потребуется просто указать нужный адрес.

12 декабря 2016

Британская полиция обнаружила, что автоворы пользуются генераторами помех

В начале декабря 2016 года на официальном сайте полиция долины Темзы (территориальное отделение полиции Великобритании в графствах Бакингемшир, Беркшир и Оксфордшир) появился пресс-релиз, в котором правоохранители просят граждан быть бдительнее, оставляя машины на парковке.

По данным правоохранительных органов, за период с конца ноября по начало декабря 2016 года предприимчивые воры обчистили уже 14 автомобилей, припаркованных возле заправок, расположенных вдоль автострады M4. «В большинстве случаев не было обнаружено никаких видимых признаков взлома, а транспортное средство не было повреждено», — пишут полицейские.

Как оказалось, британские преступники взяли на вооружение генераторы помех. Когда владелец автомобиля нажимает на своем брелоке удаленного доступа кнопку «lock», чтобы заблокировать двери авто, воры включают «глушилку», которая мешает сигналу дойти до автомобиля. В итоге машина остается незапертой, владелец уходит, а воры спокойно открывают двери авто и уносят все ценное, что смогут найти в салоне. Так, водители обращались в полицию с сообщениями о хищении бумажников, наличных, ноутбуков и так далее.

Полиция долины Темзы настоятельно рекомендует водителям вручную проверять, что машина заперта, а также не оставлять никаких ценных вещей в салоне. Кроме того, полицейские призвали всех владельцев видеорегистраторов, которые посещали перечисленные в пресс-релизе заправки в указанные дни, обратиться в правоохранительные органы и предоставить властям записи с видеорегистраторов. Вероятно, воры попали в объектив чьей-нибудь камеры.


Источник: «Хакер»

09 декабря 2016

Представлены рекомендации по усилению кибербезопасности ядерных объектов

Текущий подход к обеспечению кибербезопасности ядерных объектов недостаточно эффективен для борьбы с киберугрозами.

В последнее десятилетие наблюдается значительный прогресс в вопросе обеспечения физической безопасности предприятий атомной промышленности. Однако с развитием кибертехнологий ядерная индустрия столкнулась с серьезной угрозой - хакерскими атаками.

Киберпространство предоставляет новую возможность для атакующих удаленно вызывать сбои в работе ядерных объектов. Хакеры могут осуществлять различного рода кибератаки с целью хищения ядерных материалов, подрывной деятельности или саботажа. Операторы ядерных объектов и ряд национальных и международных организаций уже признали наличие проблемы и активизировали усилия по укреплению кибербезопасности предприятий атомной промышленности. Но, как показала практика, текущий подход к обеспечению кибербезопасности ядерных объектов недостаточно эффективен для борьбы с постоянно развивающимися киберугрозами.

Эксперты фонда «Инициатива по сокращению ядерной угрозы» (Nuclear Threat Initiative, NTI) разработали ряд рекомендаций, направленных на существенное снижение риска разрушительных кибератак на ядерные объекты. В их числе: установление практики обеспечения кибербезопасности, в рамках которой правительства и регуляторы должны сформировать нормативно-правовую базу в области обеспечения кибербезопасности на ядерных объектах; реализация активной защиты на ядерных предприятиях, предполагающая создание возможностей для обеспечения готовности и принятию мер по реагированию на киберинциденты. Рекомендации также включают минимизацию сложности используемых на ядерных объектах критических систем, идентификацию и отказ от ненужного функционала и переход на использование нецифровых систем, если это возможно и уместно.


Источник: Securitylab.ru

[ZLONOV.ru] Skolkovo Cybersecurity Challenge 2016

ZLONOV.ru
Пост Skolkovo Cybersecurity Challenge 2016 опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

08 декабря 2016

Sony закрыла бэкдоры в IP-камерах IPELA Engine

Sony обновила прошивки IP-камер, пользующихся популярностью у бизнес-структур и правоохранительных органов, устранив при этом бэкдоры удаленного администрирования. Их присутствие позволяло злоумышленникам приобщать такие устройства к ботнету, манипулировать изображениями и проникать в сети.

Новые прошивки для изделий линейки IPELA Engine были выпущены 28 ноября, через месяц с лишним после получения уведомления от эксперта SEC Consult Штефана Фибёка (Stefan Viehböck). Как поняли исследователи, бэкдоры были оставлены намеренно для административных нужд: отладки, функционального тестирования в заводских условиях.

«Злоумышленник может использовать камеры с тем, чтобы закрепиться в сети для продолжения атаки, нарушить функционирование камер, подменить изображения/видео, приобщить камеры к Mirai-подобному ботнету или просто шпионить за вами», — пишут исследователи в блоге. По свидетельству SEC Consult, бэкдоры присутствовали в 80 разных IP-камерах производства Sony; их можно эксплуатировать при дефолтных настройках в локальной сети либо удаленно, если веб-интерфейс доступен из Интернета.

Корнем зла являлись два прописанных в коде хэшированных пароля, позволявших подключиться к камере через последовательный порт, Telnet или SSH. Взломать один из паролей оказалось легко: по умолчанию идентификаторы были заданы как admin:admin. Второй пароль предназначался для пользователя root, он открывал возможность для расширения доступа к устройству и проникновения в сеть. Соответствующая учетная запись разрешала доступ к незадокументированной функции интерфейса CGI, запускающей Telnet для удаленного доступа. После этого можно было использовать другой бэкдор, уровня ОС, для доступа к шеллу Linux с root-привилегиями. «Автор атаки сможет получить полный контроль над IP-камерами IPELA Engine в сети», — заключают исследователи.

Уязвимость была протестирована на камере SNC-DH160 с прошивкой V1.82.01 и на Gen6 с прошивкой V2.7.0. Впоследствии разработчик предоставил SEC Consult полный список уязвимых продуктов.

Исследователи настоятельно рекомендуют установить новые прошивки и ограничить доступ к камерам путем использования VLAN или изменения правил сетевого экрана.


Источник: Threatpost | Новости ИБ

0day-уязвимости в IP-камерах позволяют превратить устройства в IoT-ботнеты

Проэксплуатировав проблемы, атакующий может получить полный контроль над устройством.

Сотни тысяч камер видеонаблюдения от ряда производителей подвержены двум 0day-уязвимостям, позволяющим злоумышленникам взломать устройства и использовать их для создания ботнетов или шпионажа за владельцами. Как выяснили исследователи из компании CyberReason Амит Серпер (Amit Serper) и Йоав Орот (Yoav Orot), камеры используют прошивку с устаревшей версией web-сервера, содержащей уязвимости. Проэксплуатировав данные проблемы, атакующий может получить полный контроль над устройством.

Первая уязвимость позволяет злоумышленнику обойти механизм аутентификации и получить доступ к файлу, содержащему пароль к устройству. Проэксплуатировав вторую, преступник может выполнить произвольный код с правами администратора.

По словам исследователей, проблемы затрагивают более 30 моделей IP-камер (возможно, больше), доступных в интернет-магазинах, таких как Amazon и eBay. Практически все из них - дешевые камеры, производители которых не заботятся об обновлении прошивки. Более того, большинство устройств невозможно пропатчить в основном в связи с тем, что их производитель неизвестен.

«Некоторые заказанные камеры были доставлены просто в белой упаковке без названия производителя или логотипа компании, а на самих камерах не имелось никаких опознавательных знаков», - говорит Серпер.

Исследователи не раскрывают подробности об обнаруженных уязвимостях и подверженных им моделям IP-камер из опасений, что злоумышленники могут воспользоваться информацией в неблаговидных целях. Тем не менее, Серпер опубликовал видео с демонстрацией атаки.

Эксперты рекомендуют обращать внимание на два признака, по которым можно определить, уязвима камера или нет. Первый - это установленный по умолчанию пароль 888888, а второй - серийный номер устройства. Если он начинается с MEYE, MCI, VST, XXC, 005*, J MTE, WEV, PIPCAM, SURE, NIP, EST, VIEW или PSD камера, скорее всего, является уязвимой.

Как стало известно ранее, более 35 моделей камер наблюдения можно взломать одним GET-запросом.


Источник: Securitylab.ru

03 декабря 2016

Кардиостимуляторы могут взломать даже неопытные хакеры

Имплантируемые медицинские устройства часто используют незащищенные протоколы коммуникации.

Незащищенные кардиостимуляторы и имплантируемые кардиовертеры-дефибрилляторы (ИКД) могут взломать даже неопытные хакеры с ограниченными ресурсами. К такому выводу пришли специалисты исследовательской группы ESAT-COSIC and iMinds и Бирмингемского университета в ходе проведенного исследования.

Эксперты использовали недорогое оборудование для реверс-инжиниринга коммуникационных протоколов, используемых устройствами. Как пояснили специалисты, имплантируемые медицинские устройства часто используют незащищенные или слабо защищенные проприетарные протоколы для беспроводной коммуникации с программатором.

В ходе анализа специалисты выявили ряд уязвимостей в протоколах и их реализации. В результате, исследователям удалось активировать ИКД путем обхода текущей процедуры активации, перехватить и модифицировать данные, а также отправить вредоносные инструкции на устройство.

Выявленные экспертами уязвимости затрагивают по меньшей мере 10 типов ИПК, представленных на рынке (названия торговых марок не разглашаются).

Эксплуатация проблем позволила исследователям собирать информацию о состоянии здоровья пациентов, их лечении, осуществить DoS-атаки на устройства, а также отправлять произвольные команды. Как отмечается, для успешной компрометации девайса злоумышленнику не обязательно находиться вблизи - все вышеуказанные атаки работают на расстоянии от 2 до 5 метров.


Источник: Securitylab.ru

29 ноября 2016

[ZLONOV.ru] PIM, PUM, PAM!

ZLONOV.ru
Пост PIM, PUM, PAM! опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

28 ноября 2016

AC&M: В России уже 10 млн SIM-карт используетcя в IoT

Компания AC&M опубликовала исследование российского рынка IoT-решений. На конец третьего квартала 2016 года в российских мобильных сетях функционирует по крайней мере 10 млн IoT устройств. За последний их число выросло более чем на 30%. Опрошенные агентством эксперты ожидают, что в 2017 сегмент увеличится еще на 40%.

В отраслевой структуре рынка доминируют транспорт и розничная торговля (беспроводные валидаторы безналичных платежей, кассовые аппараты и банкоматы). Значительная часть устройств используется в жилищно-коммунальном хозяйстве и энергетике. Более 40% SIM-карт, задействованных в различных IoT-решениях в России, по оценкам AC&M, работают в сети MTС. На втором месте «Мегафон» с долей сегмента в 35%. У «Выммпелкома» — 19% рынка. Остальное делят «Ростелеком», Tele2 и другие компании.

Большинство опрошенных аналитической компанией экспертов считают, что темпы роста в сегменте в очень значительной степени зависят от того, какую позицию займет государство и насколько активно оно будет способствовать продвижению различных проектов объективного контроля и мониторинга. Это касается и государственных программ мониторинга в области транспорта, и поддержки развития умных приборов учета тепла, электроэнергии, потребления воды и газа.


Источник: Roem.ru — Все новости

Автомобили Tesla можно угнать с помощью одного приложения

В прошлом эксперты не раз демонстрировали взлом автомобилей Tesla, однако на этот раз исследователям компании Promon удалось обнаружить машину, открыть и угнать с помощью всего лишь одного приложения для Android.

Для каждой модели Tesla существует соответствующее приложение для iOS- и Android-устройств, позволяющее ее владельцу узнавать местонахождение машины и уровень заряда ее аккумулятора, включать фары, чтобы найти ее на парковке и пр. Приложения существенно облегчают жизнь владельцам транспортных средств, но в то же время представляют собой угрозу. Злоумышленники могут взломать программу и использовать для угона автомобиля.

Осуществить атаку можно, только если пользователь загрузит и установит на своем смартфоне вредоносное приложение. С целью заставить жертву инсталлировать вредонос, злоумышленники используют методы социальной инженерии. Хакеры могут создать вблизи зарядной станции Tesla вредоносную точку доступа Wi-Fi и через нее отображать на подключившемся смартфоне рекламу приложения. За загрузку программы может предлагаться вознаграждение, например, бесплатный бургер.

Когда жертва установит вредоносное приложение, злоумышленники подключаются к ее смартфону и подготавливают почву для угона. По словам исследователей, при первом подключении к серверу с помощью логина и пароля приложение Tesla получает токен OAuth. Далее токен сохраняется в открытом виде в песочнице приложения и используется при каждом запуске программы.

Задача хакеров – сбросить токен и тем самым заставить пользователя снова ввести учетные данные. Удалив токен, злоумышленники могут перехватить вводимые жертвой логин и пароль и использовать их для авторизации в приложении. Таким образом, хакеры смогут узнать местоположение автомобиля, активировать режим вождения без ключа и угнать его.


Источник: Securitylab.ru

Модуль Schiaparelli упал на Марс из-за грубой программной ошибки

Официальное расследование Европейского космического агентства (ЕКА) показало, что марсианский лендер Schiaparelli упал из-за грубой ошибки в программном обеспечении. Некорректная обработка неверных показаний датчика вращения заставила аппарат считать, что он находится под поверхностью Марса, сообщил сайт космического агентства.

В среду, 19 октября, совместная российско-европейская миссия «ЭкзоМарс-TGO» прибыла к красной планете и попыталась решить две критически важных задачи – выход зонда TGO на стабильную орбиту у Марса и посадка демонстрационного посадочного модуля «Скиапарелли» на плато Меридиан у экватора красной планеты.

Посадка лендера прошла неудачно – его ПО решило, что модуль уже приземлился. Это заставило «Скиапарелли» отключить двигатели всего через 3-4 секунды после их включения. В результате он рухнул с высоты в 3-4 км ровно в ту точку, где он должен был сесть на Марс. Предположительной причиной был назван сбой в радаре-высотомере.

Инженеры ЕКА проанализировали часть данных телеметрии и выяснили, что история была несколько сложнее.

Приземление, установили ученые, проходило нормально на первых стадиях - «Скиапарелли» корректно провел аэродинамическое торможение и затем выбросил тормозные парашюты. На высоте в 7,8 км был корректно сброшен тепловой экран. Через некоторое время после этого произошло то, что погубило зонд.

Оказалось, что фатальная ошибка в работе ПО «Скиапарелли» произошла не из-за сбоя высотометра, а из-за проблем в работе другого навигационного прибора – так называемого «измерителя инерции» (IMU), устройства, измеряющего скорость вращения модуля вокруг своей оси.

Данные с этого прибора, как объясняют инженеры, учитывались при обработке данных о высоте полета, поступающих с радаров «Скиапарелли». В один момент в работе IMU произошел сбой, в результате чего он «измерил» аномально высокую скорость вращения лендера, которая выходила за пределы допустимых значений. Подобные сбои являются нормой в работе инерциальных датчиков, и обычно для их подавления ученые «сглаживают» сигнал и сравнивают данные за текущий момент с результатами, полученными в прошлые моменты времени.

Но в данном случае IMU передавал данные на главный компьютер «Скиапарелли» неожиданно долго, на протяжении секунды, что «обмануло» ПО модуля и заставило его считать эти измерения реальными данными, а не аномалией. Неправильные значения были учтены при расчете высоты модуля, в результате чего бортовой компьютер «Скиапарелли» получил отрицательные значения высоты.

Модуль посчитал, что он находится даже не на поверхности Марса, а под ней, что заставило его на высоте 3,7 км инициировать финальную стадию процедуры посадки, отделить парашюты и выключить двигатели.

Эта ошибка, как отмечают ученые, носит чисто программный характер и легко воспроизводится в компьютерных симуляциях приземления «Скиапарелли». Как отметил Дэвид Паркер, руководитель отдела пилотируемых полетов и роботизированного изучения космоса в ЕКА, эти данные и ошибка будут учтены при проектировании ПО для посадочной платформы марсохода «Пастер», которая разрабатывается в НПО Лавочкина.


Источник: Ведомости-2

Камеры видеонаблюдения Siemens потенциально уязвимы

Компания Vanderbilt Industries обновила прошивку IP-камер Siemens, запатчив серьезную уязвимость, потенциально подверженную удаленной эксплуатации.

Уязвимость CVE-2016-9155 позволяет хакеру получить администраторские права к устройствам посредством отправки специально созданных запросов.

«До применения патча лучше ограничить доступ к интегрированному веб-серверу», — уточнила Siemens в бюллетене.

Уязвимость содержится в следующих камерах:

  • CCMW3025: версии прошивки до 1.41_SP18_S1;
  • CVMW3025-IR: версии прошивки до 1.41_SP18_S1;
  • CFMW3025: версии прошивки до 1.41_SP18_S1;
  • CCPW3025: версии прошивки до 0.1.73_S1;
  • CCPW5025: версии прошивки до 0.1.73_S1;
  • CCMD3025-DN18: версии прошивки до v394_S1;
  • CCID1445-DN18: версии прошивки до v2635;
  • CCID1445-DN28: версии прошивки до v2635;
  • CCID1445-DN36: версии прошивки до v2635;
  • CFIS1425: версии прошивки до v2635;
  • CCIS1425: версии прошивки до v2635;
  • CFMS2025: версии прошивки до v2635;
  • CCMS2025: версии прошивки до v2635;
  • CVMS2025-IR: версии прошивки до v2635;
  • CFMW1025: версии прошивки до v2635;
  • CCMW1025: версии прошивки до v2635.

Компания Vanderbilt Industries закрыла сделку по поглощению бизнеса Siemens, связанного с продуктами в сфере безопасности. Камеры Siemens для видеонаблюдения используются в различных отраслях, в том числе в государственных организациях и учреждениях здравоохранения.

В Siemens заявили, что информацией о публичных эксплойтах не располагают, но предупреждают о том, что уязвимостью могут воспользоваться даже хакеры с очень низким уровнем навыков, при условии доступа к сети.

Компания призывает как можно быстрее залатать уязвимость в свете появления все новых проблем с безопасностью IoT-устройств. Недавно стало известно о нескольких масштабных DDoS-атаках, в которых участвовали IoT-устройства вроде камер и DVR-приставок, зараженные зловредом Mirai.

Mirai ищет незащищенные устройства и затем использует список слабых или дефолтных учетных записей, чтобы получить доступ. После этого зараженное устройство становится частью ботнета и может использоваться в DDoS-атаках.

Самые масштабные из подобных атак произошли в последние несколько месяцев. Жертвами становились сайт ИБ-эксперта Брайана Кребса — Krebs on Security, французский хостинговый сервис OVH и DNS-провайдер Dyn, на этой неделе купленный компанией Oracle.

Если проблема не решена наиболее эффективным образом — отзывом уязвимых устройств, операторы, по мнению экспертов, могут нивелировать угрозу, своевременно установив обновления или хотя бы изменив дефолтные учетные данные.


Источник: Threatpost | Новости ИБ

22 ноября 2016

В IP-камерах видеонаблюдения Siemens обнаружена уязвимость

Компания Siemens сообщила об уязвимости в IP-камерах видеонаблюдения торговой марки Siemens производства корпорации Vanderbilt Industries. Согласно предупреждению ICS-CERT, атакующий с доступом к сети может удаленно проэксплуатировать уязвимость и получить учетные данные администратора. Как отмечается, для эксплуатации проблемы не требуются особые технические навыки.

Проблема получила идентификатор CVE-2016-9155 и оценена в 9.8 баллов по шкале CVSS. Уязвимость затрагивает следующие продукты: CCMW3025 (версии до 1.41_SP18_S1), CVMW3025-IR (версии до 1.41_SP18_S1),CFMW3025 (до 1.41_SP18_S1), CCPW3025 (до 0.1.73_S1), CCPW5025 (до 0.1.73_S1), CCMD3025-DN18 (до1.394_S1), CCID1445-DN18 (до 2635), CCID1445-DN28 (до 2635), CCID1445-DN36 (до 2635), CFIS1425 (до 2635), CCIS1425 (до 2635), CFMS2025 (до 2635), CCMS2025 (до 26350), CVMS2025-IR (до 2635), CFMW1025 (до 2635) и CCMW1025 (до 2635).

Производитель уже выпустил корректирующие обновления, устраняющие вышеуказанную уязвимость.


Источник: Securitylab.ru

Безопасность IoT — задача регуляторов?

Регулирование отрасли государством считается чуть ли не угрозой, по мнению многих представителей ИТ-индустрии. Но недавние DDoS-атаки с крупных IoT-ботнетов обеспокоили ИБ-специалистов настолько, что они готовы признать: вмешательство законодателей может быть неизбежно.

В своем докладе подкомитету комитета энергетики и торговли Конгресса США в среду Брюс Шнайер (Bruce Schneier) заявил, что экономическое давление рынка не может в полной мере решить проблемы, связанные с уязвимостями в IoT-среде. Также он предположил, что, возможно, настал момент, когда отрасли нужно поступиться инновациями ради обеспечения надлежащего уровня безопасности при производстве и распространении подключаемых к Интернету устройств.

«Мне самому это не по душе, — сказал Шнайер. — Но мы живем в мире опасных вещей, поэтому, возможно, нам придется притормозить прогресс. Нельзя просто сконструировать самолет и сразу полететь на нем. Нам стоит признать, что эра, когда Интернет был местом для игр и развлечений, закончилась; Интернет превратился в опасное место. Регулирование может притормозить внедрение инноваций, но мы должны поступить так, если инновации связаны с рисками».

Шнайер и другие докладчики — профессор Университета Мичигана Кевин Фу (Kevin Fu) и директор Level 3 Communications по информационной безопасности Дейл Дрю (Dale Drew) — рассказали членам комитета, что проблема незащищенности IoT должна быть решена на уровне инженерной разработки компонентов, где должны быть встроены (а не внедрены поверх аппаратной части) технологии безопасности.

В качестве говорящего примера докладчики использовали недавнюю DDoS-атаку на DNS-провайдера Dyn: эта атака была не только масштабной и разрушительной, но и простой в исполнении. Фу предложил следовать опыту таких организаций, как NIST, которые превращают принципы безопасности в отраслевые стандарты, а не просто предлагают свои рекомендации. Дрю заявил, что нужно мотивировать производителей учитывать безопасность с самого начала, чтобы не допустить случаев, когда DVR-приставки и камеры поставляются на рынок, будучи защищенными откровенно слабыми или дефолтными паролями. Именно такой тип устройств использовался в ботнете Mirai, атаковавшем Dyn, французскую хостинговую компанию OVH и сайт ИБ-аналитика Брайана Кребса (Brian Krebs).

Шнайер предположил, что в этом может помочь создание нового правительственного агентства, которое будет отвечать за разработку и внедрение соответствующих регулятивных норм. Он также призвал законодателей и людей, ответственных за принятие решений, изменить свое представление об IoT-устройствах и думать о них как о компьютерах: компьютерах на колесах — в случае умных автомобилей, компьютерах для охлаждения продуктов — в случае умных холодильников и так далее.

«Нам нужно новое агентство, — ответил Шнайер на вопрос о том, как бы он решил проблему регулирования, если бы ему дали карт-бланш. — Мы не можем иметь различные правила по отношению к компьютерам, если они выглядят по-разному, то есть имеют колеса, пропеллеры или функционируют в человеческом теле. Это не сработает. Нам нужны универсальные правила».

На довод о том, что идея о создании нового агентства может быть не принята правительством, Шнайер ответил, что министерство внутренней безопасности было создано через 44 дня после атак 11 сентября. Он призвал законодателей не ждать катастрофы, а действовать сейчас: атака на Dyn была знаком, что время для этого настало.

«Выбор стоит между умным и глупым вмешательством правительства, — сказал Шнайер. — Когда случается что-то ужасное и население просит принять меры, нужно сделать нечто большее, чем просто сказать: «Давайте быстро разберемся с этим». Я сам не фанат правительственного регулирования, но мы живем в опасном мире».

Проблемы на пути обеспечения должного уровня безопасности IoT большей частью обусловлены экономическими причинами. Большинство IoT-устройств делают за рубежом без надлежащего надзора, чтобы снизить стоимость производства. Проблема не только в изменении парадигмы безопасности.

«Регулирование нужно, потому что рынок сам не способен справиться с ситуацией», — сказал Шнайер. По его мнению, пример США в сфере регулирования позитивно повлияет на безопасность IoT в глобальном масштабе. «Впервые Интернет начинает влиять на физический аспект. До этого считалось нормальным давать программистам Google и Facebook «свободу творчества» в написании кода. Но теперь, когда к Интернету подключены различные типы устройств, нам придется отказаться от такой практики. Мне это не нравится. Но я думаю, что у нас в текущих условиях нет другого выбора», — отметил эксперт.


Источник: Threatpost | Новости ИБ

Обнаружен бэкдор, нацеленный на российских производителей строительных кранов

21 ноября 2016

[ZLONOV.ru] Ко мне постучался косматый геолог…

ZLONOV.ru
Пост Ко мне постучался косматый геолог… опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

18 ноября 2016

[ZLONOV.ru] Самый простой способ обойти блокировку LinkedIn на смартфоне

ZLONOV.ru
Пост Самый простой способ обойти блокировку LinkedIn на смартфоне опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

17 ноября 2016

Администрация Обамы призвала обезопасить IoT-устройства от взлома

Подключенные к интернету устройства могут угрожать безопасности и экономике, поэтому специализированным компаниям следует производить продукты, надлежащим образом защищенные от взлома. Данный вывод содержится в докладе Департамента внутренней безопасности в администрации Барака Обамы, сообщает Daily Mail со ссылкой на Associated Press.

Как отметили авторы доклада, рискам подвержена техника, предназначенная для ежедневного использования - от фитнес-трекеров и медицинских имплантов до «умных» лампочек и радионянь. Правительство призвало производителей установить на каждое устройство уникальный пароль с тем, чтобы лишить хакеров возможности использовать похищенные пароли для создания и управления ботнетами.

«Растущая зависимость от подключенных к интернету устройств опережает средства защиты», - отметил министр внутренней безопасности США Дже Джонсон.

Курс на данную стратегию был взят министерством после того, как хакеры осуществили мощную DDoS-атаку на инфраструктуру DNS-провайдера Dyn при помощи ботнета, состоящего из порядка 100 тыс. IoT-устройств.

Источник: Securitylab.ru

Многочисленные утечки данных последних лет превратили брутфорс в эффективное оружие

Свoдная группа исследователей из Пекинского университета, педагогического университета Фуцзянь и университета Ланкастера продeмонстрировала на конференции ACM Conference of Communication and Systems Security (CCS) наглядный пример того, чем опасны мaссовые утечки пользовательских данных.

Исследователи создали фреймворк для напpавленного подбора паролей, получивший имя TarGuess. В качестве «словaря» были использованы открытые данные, почерпнутые из десятка крупных утечек пoследнего времени. Так, исследователи воспользoвались базами паролей с пяти англоязычных сайтов, в том числе Yahoo, и пяти китайских ресурсов, включая Dodonew. Результаты экcперимента в очередной раз доказали, что у большинства пользoвателей проблемы с безопасностью и созданием нaдежных паролей.

Атаки TarGuess оказались успешны в 73% случаев, если говорить о рядовых пользователях (на подбор такого пароля у системы уходит в среднeм 100 попыток). С подбором паролей от аккаунтов технически продвинутых граждaн дело обстоит заметно хуже: атаки были успешны лишь в 32% случаев.

«Полученные нами результаты свидетельствуют о том, что используемые сейчас мeханизмы безопасности в большинстве своем неэффективны против напpавленной атаки на подбор [пароля]. Данная угроза уже нанесла гораздо бoльше ущерба, чем ожидалось. Мы полагаем, что новый алгоритм и понимание эффективнoсти направленных брутфорс-угроз помогут пролить свет кaк на существующие парольные практики, так и на будущие изыскания в этой области», — пишут исследователи.

В доклaде (PDF), представленном группой, приведена весьма удpучающая статистика. Порядка 0,79-10,44% паролей, заданных самими пользователями, можно подобрать, просто вооружившись списком из дeсяти самых худших паролей, выявленных в ходе любой свежей утечки данных. В частности, популяpность комбинаций 12345 и password даже не думает снижаться. При этом процент людей, которые иcпользуют для создания паролей свои персональные данные, на удивление низок. К пpимеру, свое имя в состав пароля включают от 0,75% до 1,87% пользователей. А свою дату рождeния в пароле задействуют от 1% до 5,16% китайских пользователей.

Основнoй проблемой по-прежнему остается повторное иcпользование паролей (passwords reuse). То есть пользователи, очевидно, не читают новoстей и гайдов, написанных специалитами, и до сих пор предпочитают иметь пaру-тройку повторяющихся паролей для всех сайтов и сервисов, которыми пользуются. Именно на это «слабое звено» направлена атака TarGuess, котоpая в очередной раз доказывает, что публично доступные данные о человеке станут хорошим пoдспорьем в подборе пароля от его акаунтов. И не важно, если личная информaция просочилась в сеть в ходе какого-то массового взлома и утечки данных, или каким-то иным обpазом.

Исследователи создали для TarGuess четыре разных алгоритма, но лучше всего показал себя имeнно алгоритм подбора родственных паролей. То есть проблема passwords reuse пpоявила себя во всей красе, так как направленный подбор паролeй работает куда эффективнее, если атакующей стороне уже известен пароль от любого другого аккaунта жертвы. Впрочем, даже когда родственных паролей нет под рукoй, общая успешность атак TarGuess все равно составила 20% на 100 попыток подбора, и 50% на 106 попыток подбора.

Источник: «Хакер»

12 ноября 2016

Уязвимость повышения привилегий затрагивает продукты Siemens

Siemens выпустили обновления и временные решения для исправления бреши в безопасности, затрагивающей многие из их продуктов. Организации были предупреждены, что пользователи с локальным доступом, при определенных условиях, используя уязвимые приложения Siemens, могут повысить свои права на системах Windows.

«Если путь, по которому установлены уязвимые продукты отличается от пути по умолчанию (например, “C:\Program Files\*”), локальный пользователь может повысить свои права на системе Microsoft Windows» - говорится в сообщении Siemens, опубликованном на этой неделе.

Эта брешь отслеживается под идентификатором CVE-2016-7165. Ее нельзя проэксплуатировать при условии, что уязвимый продукт установлен по пути по умолчанию.

Брешь затрагивает несколько SCADA-систем Siemens, распределенные системы управления (DCS), инженерные инструменты и симуляторы, включая SIMATIC, SINEMA, TeleControl, SOFTNET, SIMIT.

Siemens выпустили обновления для некоторых продуктов, а для других посоветовали использовать временные решения вроде ограничения доступа к файловой системе.


Источник: Anti-Malware.ru

Придуман способ воровать пин-код смартфона без взлома и трянов

10 ноября 2016

Siemens исправила уязвимость в своих промышленных продуктах

Производитель пока выпустил обновления только для некоторых уязвимых продуктов.

Siemens выпустила обновления безопасности и временное исправление для уязвимости CVE-2016-7165, затрагивающей ряд промышленных продуктов компании. Злоумышленник может проэксплуатировать уязвимость и повысить свои привилегии в случае, если уязвимый продукт был установлен не по заданному по умолчанию пути (C:\Program Files\*).

Как сообщается в уведомлении производителя, пользователи с локальным доступом к ОС Windows, установленной на одном устройстве с уязвимым приложением Siemens, может при определенных условиях повысить свои привилегии. Затронутые данной уязвимостью продукты широко используются на многих предприятиях, а последствия  от ее эксплуатации варьируются в зависимости от реализации каждого конкретного продукта.

Проблема касается систем Siemens SCADA и DCS, а также инженерных инструментов и симуляторов SIMATIC, SINEMA, TeleControl, SOFTNET, SIMIT, Security Configuration Tool (SCT) и Primary Setup Tool (PST). Siemens пока выпустила обновления безопасности только для некоторых продуктов, а для остальных доступно временное исправление.


Источник: Securitylab.ru

Эксперты объяснили, почему роботы представляют угрозу ИБ

Использующие роботов предприятия испытывают ложное чувство защищенности.

Армия шагающих в ногу роботов, готовых атаковать невинных граждан, больше напоминает кадр из научно-фантастического фильма, чем реальность. Однако, по мнению экспертов, широкое использование роботов на производствах, а также в сферах торговли и здравоохранения может представлять угрозу кибербезопасности.

Как сообщил эксперт международной юридической компании Foley & Lardner Майкл Оверли (Michael Overly), есть две основные проблемы, связанные с робототехникой и безопасностью. Прежде всего, на производствах роботы, как правило, являются неотъемлемой частью сборочных линий, и кибератака на них может серьезно подорвать производственный процесс, тем самым причинив ущерб компании.

В качестве примера Оверли привел атаку с использованием вымогательского ПО на роботизированные сборочные механизмы на одном из заводов в Мексике. Вредоносная программа заблокировала файлы, предоставлявшие роботам необходимые для работы параметры, и остановила производство.

Во-вторых, если злоумышленник получит контроль над роботом, он сможет использовать его не по назначению. В основном подобные машины достаточно крупные и мощные, чтобы причинить ущерб материальной собственности, а также жизни и здоровью человека.

Многие организации, использующие роботов в производственных процессах, ошибочно полагают, будто они не представляют интерес для хакеров, поскольку не содержат никаких персональных или финансовых данных. Точно так же заблуждаются и сами производители роботов, что приводит к недостаточному уровню безопасности.

Оверли рекомендовал предприятиям, где используются роботы, пользоваться услугами сторонних аудиторов, специализирующихся непосредственно на безопасности производственных и автоматизированных процессов. Соответствующие меры безопасности должны приниматься на основании результатов аудита.

По мнению специалиста Университета Ольстера (Северная Ирландия) Кевина Керрана (Kevin Curran), производители роботов должны заботиться о безопасности еще на стадии их разработки. «Каждое подключаемое к Сети устройство должно быть защищено паролем. Устройство нельзя подключать, используя заводской пароль. Нужно устанавливать длинный сложный пароль. Как ПК и планшеты, все устройства должны получать доступные обновления сразу же после их релиза», - отметил Керран.


Источник: Securitylab.ru

[ZLONOV.ru] Solar JSOC 2.0: Лучший сантехник — тот, который будет потом вместе с вами жить

ZLONOV.ru
Пост Solar JSOC 2.0: Лучший сантехник — тот, который будет потом вместе с вами жить опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

DDoS-атака вывела из строя систему теплоснабжения в небольшом финском городе

Соглaсно сообщениям финских СМИ, на прошлой неделе несколько многоквартирных домов в финском городе Лаппеэнранта осталиcь без теплоснабжения в результате DDoS-атаки.

Обслуживанием пострадавших зданий зaнимается местная компания Valtia. Глава фирмы подтвердил англоязычнoму изданию Metropolitan.fi, что здания лишись горячего водоснабжения, тепла и вентиляции, так как DDoS-атака вывeла из строя контролирующее оборудование (сообщается, что речь идет о девайcах компании Fidelix). Атаки начались еще в конце октября и прекратились 3 ноябpя 2016 года.

По словам представителя Valtia, атаку заметили не сразу, но она вызвала сбои в работе DNS-сеpверов, которые использовала компания, в результате чего системы упpавления умными домом потеряли связь с серверами. Так как удаленнoго доступа не было, инженеры компании выехали на место, чтобы лично устранить проблему. На месте выяснилось, что из-за сбоя системы попытались перегрузиться, в результате чего автоматика вошла в бeсконечный цикл, перезагружаясь каждые пять минут и отказываяcь возобновлять работу в штатном режиме. В итоге проблему удалось решить только отключением сиcтем от интернета.

Хотя среднесуточная температура в городке Лаппеэнранта в это время года уже опускaется ниже нулевой отметки, представители Valtia заверили, что никто из жителей не пострадал и дaже не ощутил дискомфорта из-за случившегося. И хотя на этот раз ничего по-настоящему страшного не произошло, данный инцидент яpко иллюстрирует, как DDoS-атаки могут напрямую влиять на реальную жизнь, ведь подобных «умных систем» в гoродах становится все больше.


Источник: «Хакер»

09 ноября 2016

Исследователи взломали IoT-лампочки Philips Hue, заставив их сигналить SOS морзянкой

Свoдная группа исследователей из Института имени Вейцмана в Реховоте и Университета Далхаузи в Канаде опубликовала интересный доклaд, озаглавленный «Взрываем IoT: создание цепной реакции ZegBee» (PDF). Исследовaтели в очередной раз доказали, что интернет вещей – это одна большая проблeма, а с последствиями небезопасности IoT-устройств экспeртам со всего мира предстоит разбираться еще очень долго.

Группа ученых создала экспериментальнoго саморазмножающегося IoT-червя и эффектно продемонстрировaла его работу. Данный эксперимент показал, что малварь можeт посеять настоящий хаос в современном «умном» городе, глуша сигналы Wi-Fi, мешая рабoте электросетей и выводя из строя критически важные для городской инфраструктуры устройcтва.

В качестве примера исследователи выбрали IoT-лампочки Philips Hue, которые, в частности, используются для подсветки здaний и при работе уличного освещения, а также общаются друг с другом по протоколу ZigBee. Спeциалисты эксплуатировали брешь в протоколе и сумели обойти вcтроенные механизмы безопасности, защищающие устройства от несанкциониpованного удаленного доступа. Исследователи пишут, что им удалoсь извлечь глобальный ключ AES-CCM, при помощи которого производитель шифрует свoи прошивки и через который осуществляет их аутентификацию. «Мы использoвали только доступное оборудование, стоимостью пару сотен долларов, и сумeли найти этот ключ [AES-CCM], не видев ни одного фактического обновления», — говорят экспeрты.

«Вредоносная прошивка может отключить дополнительные закачки [и скачивание обновлений], а значит эффект, произведенный червем (отключение элeктроэнергии, мерцание ламп и так далее) будет перманентным», — пишут исслeдователи.

Более того, червь способен переходить с одного устройства на дpугое, распространяя заражение дальше. Начавшись с одной инфицировaнной лампочки, «эпидемия» может распространиться по всему гoроду «за считанные минуты», согласно представленному докладу. Исследователи гoворят, что перепрограммировать такие пострадавшие устройства невoзможно, поможет только полный демонтаж, что далеко не всегда вoзможно.

В качестве наглядной демонстрации ученые представили два видeоролика, которые можно увидеть ниже. Одна команда ездила на машине по городу (вардрайвинг) и вызвала сбои умных ламп на расстоянии 70 метров, а вторая команда запустила в пoлет оснащенного червем дрона, который, с расстояния 350 мeтров, вывел из строя лампы Philips Hue, установленные на офисном здании. Когда контроль над лампaми был полностью перехвачен, их заставили подавать сигнал SOS азбукoй Морзе.

Компания Philips уже выпустила обновленную прошивку для своих ламп, которая должна была зaкрыть «дыры», использованные исследователями.


Источник: «Хакер»

08 ноября 2016

Schneider предложила временный фикс для Magelis

Спустя неделю после выпуска патча для критической уязвимости в Unity Pro разработчик этой инструментальной системы столкнулся с новой проблемой: в ряде HMI-продуктов семейства Magelis объявились две серьезные бреши. Их эксплуатация может повлечь сбой производственного процесса, который на критически важных объектах — энерго-, водоснабжения — может обернуться угрозой для жизни.

Обе уязвимости, нареченные PanelShock, обнаружили исследователи из профильного стартапа Critifence, соответствующий отчет был направлен в Schneider Electric в апреле. В блоге Critifence технический директор Эран Гольдштейн (Eran Goldstein) отметил, что уязвимости CVE-2016-8367 и CVE-2016-8374 присутствуют в графических терминалах Magelis серий GTO, GTU, STO, STU и XBT. Schneider предлагает разные временные решения проблемы, а патч операторам панелей управления GTO Advanced Optimum и GTU Universal придется ждать до марта, когда будет произведен общий апгрейд.

На запрос Threatpost о комментарии Schneider пока не ответила.

«Используя уязвимости PanelShock, злоумышленник сможет удаленно «подвесить» панель, нарушив соединение средств человеко-машинного интерфейса с сетью SCADA и прервав коммуникации этого терминала с ПЛК и другими устройствами, — гласит блог-запись Critifence. — В итоге действия диспетчера или оператора окажутся неверными, и ущерб для завода или фабрики возрастет».

Обе уязвимости, по свидетельству Critifence, вызваны некорректной реализацией методов подачи HTTP-запросов и механизма управления потреблением ресурсов. Schneider со своей стороны отметила, что успешная эксплуатация требует, чтобы шлюзовый сервер, по умолчанию отключенный, был активным.

«Идентифицированные способы использования показали возможность создания условия зависания на HMI, которое может повлечь отказ в обслуживании из-за неполной обработки ошибок в HTTP-запросах на Web Gate Server, — пишет разработчик в бюллетене. — В ходе атаки посредством вредоносного HTTP-запроса HMI может потерять способность управлять коммуникациями из-за большого расхода ресурсов. Это может привести к потере связи с устройствами, такими как программируемые логические контроллеры (ПЛК); для ее восстановления потребуется перезапуск HMI».

Во избежание неприятностей Schneider советует ограничить интернет-доступ к уязвимым HMI и отключить Web Gate Server. Также рекомендуется изолировать сеть систем управления от бизнес-сетей и защитить ее экраном. Если нужен удаленный доступ, его лучше осуществлять через VPN-соединение; также следует удостовериться, что все системы надлежащим образом пропатчены.


Источник: Threatpost | Новости ИБ

Червь для «умных» ламп заражает тысячи устройств за несколько минут

Вредонос эксплуатирует уязвимость в беспроводном протоколе связи ZigBee.

Команда специалистов из Научно-исследовательского института им. Х. Вайцмана (Израиль) и Университета Далхаузи (Канада) продемонстрировали новый метод атаки на устройства из сферы «Интернета вещей» (IoT), в частности, «умные» системы освещения.

В качестве платформы для распространения разработанного ими червя эксперты использовали популярные «умные» лампы Philips Hue. Инфицирование одной лампы позволяет атакующему получить удаленный контроль над всей системой.

Для дальнейшей атаки червь эксплуатирует уязвимость в беспроводном протоколе связи ZigBee, позволяющей создавать целые сети из взломанных устройств. Речь идет об уязвимости ZigBee Light Link. Специалистам удалось извлечь AES-CCM ключ, используемый компанией Philips для шифрования и защиты прошивки своих ламп. Отметим, данный протокол также реализован в термостатах Nest и системах Logitech Harmony Ultimate.

По словам исследователей, вредоносное ПО распространяется «по воздуху» и за считанные минуты может заразить другие устройства Philips Hue. Таким образом злоумышленник получает возможность включать или выключать лампы, вывести их из строя или организовать ботнет для осуществления DDoS-атак.

В ходе экспериментальной атаки специалисты использовали недорогое доступное оборудование стоимостью в несколько сотен долларов. Для инфицирования ламп эксперты организовали загрузку вредоносного обновления, что стало возможно при помощи вышеупомянутого AES-CCM ключа. По их словам, для того, чтобы обнаружить ключ, даже не потребовалось настоящее обновление.

В качестве примера, исследователи опубликовали видео с демонстрацией атаки на «умные» лампы, установленные в институте Вайцмана.


Источник: Securitylab.ru

[ZLONOV.ru] Использование токенов в качестве Средств ЭП

ZLONOV.ru
Пост Использование токенов в качестве Средств ЭП опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

02 ноября 2016

В среде разработки Schneider найдена серьезная брешь

Schneider Electric пропатчила критическую уязвимость в Unity Pro — флагманском продукте компании, обеспечивающем единую среду для программирования промышленных контроллеров. Обнаружившие брешь эксперты ИБ-компании Indegy предупреждают, что она открывает возможность для удаленного исполнения кода в производственных сетях с автоматизированным управлением.

Представляя неприятную находку в блоге, исполнительный директор Indegy Милле Гандельсман (Mille Gandelsman) подчеркнул, что это «серьезная проблема», и призвал пользователей Unity Pro обновить систему до новейшей версии. Unity Pro предназначена для работы на компьютерах Windows и используется для управления миллионами контроллеров по всему миру.

«Если IP-адрес ПК Windows, на котором установлено ПО Unity Pro, доступен из Интернета, кто угодно может воспользоваться уязвимостью и запустить код на аппаратуре, — пояснил Гандельсман журналистам Threatpost. — Такой доступ представляет большую ценность для атакующих, ибо они смогут делать с контроллерами все, что пожелают».

Уязвимость кроется в компоненте Unity Pro, называемом Unity Pro PLC Simulator, — программе моделирования ПЛК, используемой для тестирования таких продуктов. «Это заветная цель для злоумышленника, так как он сможет влиять на производственный процесс в реальном, физическом АСУ ТП-окружении, — комментирует Гандельсман, — в том числе на работу клапанов, турбин, центрифуг и интеллектуальных счетчиков. Используя подобный доступ, атакующий сможет изменить состав лекарственных препаратов, изготавливаемых автоматизированными средствами, или отключить городскую электросеть».

Выступая на конференции по кибербезопасности АСУ ТП, состоявшейся на прошлой неделе в Атланте, штат Джорджия, Гандельсман рассказал, что данная уязвимость была обнаружена полгода назад и Schneider Electric была тогда же поставлена в известность. За истекший период разработчик подготовил и выпустил патч. В соответствующей нотификации для пользователей сказано: «Данная уязвимость позволяет выполнить произвольный код посредством удаленной загрузки пропатченного проектного файла на Unity Simulator».

Согласно Indegy, эта брешь возникла из-за того, что «Unity Pro позволяет любому пользователю удаленно выполнить код непосредственно на компьютере с установленным продуктом (Unity Pro), причем с правами отладчика». Компрометация отдельных участников сети при этом не составит труда, так как промышленные контроллеры не используют аутентификацию, а протоколы передачи данных в таких сетях не предусматривают шифрование. «Независимо от используемых приложений контроля и управления/сбора данных при наличии контроллеров от Schneider Electric этот софт будет использоваться на инженерных АРМ, поэтому атака возможна практически на любой процесс, контролируемый этими ПЛК», — констатируют исследователи.

Согласно Schneider Electric, уязвимость проявляется в ходе компиляции Unity-проекта в виде набора инструкций x86 и загрузки его на имитатор ПЛК. «Существует возможность заставить систему моделирования исполнить вредоносный код посредством перенаправления потоков управления: внедрением шелл-кода в свободную область проекта Unity Pro, загрузкой патченого проекта на имитатор и его исполнением».

Исследователи предупреждают, что баг присутствует во всех версиях единой инструментальной системы. Schneider Electric со своей стороны отметила, что новейшая версия, Unity Pro 11.1, данной уязвимости не подвержена.

На вопрос, эксплуатируется ли данная уязвимость itw, Гандельсман ответил так: «Я не в состоянии дать ответ. Вот уязвимость, которую мы обнаружили. Это все, что я могу сказать». «Это большая проблема, хуже некуда», — добавил он. Schneider Electric на запросы Threatpost о комментарии не ответила.

В прошлом году Группа экстренного реагирования на киберинциденты в АСУ ТП (ICS-CERT) опубликовала предупреждение об уязвимостях в модулях производства Schneider Electric, поддерживающих функцию Factory Cast Modbus. Несколько ранее в системе аутентификации HMI-продуктов этой компании были обнаружены баги, позволяющие исполнить произвольный код. Месяц назад ICS-CERT выпустила годовой отчет, свидетельствующий о том, что в системах АСУ ТП по-прежнему содержится огромное количество уязвимостей, в основном связанных с нарушением прав доступа, низким качеством программного кода, а также со слабой криптозащитой сети и коммуникаций.


Источник: Threatpost | Новости ИБ

[ZLONOV.ru] Виды электронных подписей в России и требования к Средствам ЭП

ZLONOV.ru
Пост Виды электронных подписей в России и требования к Средствам ЭП опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

27 октября 2016

В межсетевом экране Schneider Electric обнаружена критическая уязвимость

Проблема позволяет выполнить произвольный код на целевой системе.

В рамках выступления на конференции ICS Cyber Security 2016 эксперты компании CyberX раскрыли информацию о критической уязвимости в промышленный межсетевых экранах производства Schneider Electric.

Проблема затрагивает продукты семейства Schneider Electric ConneXium TCSEFEC, предназначенных для обеспечения защиты промышленных сетей, SCADA-систем и систем автоматизации от внешних угроз.

Уязвимость переполнения буфера содержится в административной web-панели межсетевых экранов ConneXium и позволяет выполнить произвольный код на целевой системе. В результате злоумышленники могут изменить настройки межсетевого экрана, перехватывать сетевой трафик, внедрять вредоносные пакеты и пр. Как отметили исследователи, эксплуатация проблемы не требует серьезных технических навыков.

Эксплуатация уязвимости также может предоставить возможность манипуляций с системами управления. В худшем случае может привести к физическим повреждениям. Как правило, программируемые логические контроллеры не имеют механизмов аутентификации благодаря чему злоумышленники легко могут получить доступ и проэксплуатировать известные проблемы или уязвимости нулевого дня, пояснили эксперты в интервью SecurityWeek.

Как показал осуществленный при помощи Shodan поиск, некоторые уязвимые межсетевые экраны ConneXium доступны online, что позволяет злоумышленникам осуществить атаку напрямую из интернета.

В настоящее время инженеры Schneider Electric завершают работу над патчем, устраняющим данную уязвимость. Обновление безопасности будет доступно в течение последующих нескольких недель.


Источник: Securitylab.ru

На атомных станциях все еще используют незащищенную пейджинговую связь

Специалисты компании Trend Micro представили новый отчет, посвященный довольно странной проблеме, которая, как оказалась, широко распространена в промышленном секторе. По данным аналитиков, на незащищенную беспроводную связь, посредством пейджинговых сетей, до сих пор полагаются сотрудники многих ключевых объектов инфраструктуры в США и Канаде. Среди них предприятия химической промышленности, атомные и электростанции, а также военные подрядчики, производители чипов и так далее.

Исследователи пишут, что использование незашифрованных каналов связи и пейджинговых сообщений несет большой риск. Злоумышленники могут перехватывать такие сообщения без особенного труда, воспользовавшись донглом за $20 и изучив азы работы с software defined radio.

«К сожалению, мы пришли к выводу, что пейджинговая связь не защищена вовсе. Так как пейджинговые сообщения, как правило, не зашифрованы, атакующие могут просматривать их даже на расстоянии, всё, что для этого понадобится: комбинация из software-defined radio и донгл за 20 долларов», — пишут специалисты.

Перехваченные таким способом сообщения могут содержать самую разную информацию: имена и коды персонала, email-адреса, коды проектов, сообщения или сигналы тревоги, уведомляющие персонал о сбоях, утечках и отклонениях показателей, диагностическую информацию, и даже данные о настройках ICS или SCADA-систем и различные сетевые настройки. Разумеется, все это может стать настоящим кладом для злоумышленников и шпионов, которые могут воспользоваться собранными данными как для последующих адресных атак, так и для прямого саботажа работы критических объектов инфраструктуры. Дело в том, что осуществить спуфинг таких сообщений и отправить, к примеру, сотрудникам атомной станции, фальшивый сигнал тревоги, совсем нетрудно.

Специалисты Trend Micro полагают, что организациям давно пора переходить на использование пейджинговых систем, хотя бы использующих шифрование и ассиметричные ключи.


Источник: «Хакер»

26 октября 2016

[ZLONOV.ru] Почему я не считаю КИБ Серчинформ иностранным?

ZLONOV.ru
Пост Почему я не считаю КИБ Серчинформ иностранным? опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

25 октября 2016

Эксперт обнаружил простой способ обхода 2FA-механизма в PayPal

Метод предполагает перехват и модификацию HTTP-запросов сервера PayPal.

Исследователь из Великобритании Генри Хоггард (Henry Hoggard) рассказал об очень простом способе обхода механизма двухфакторной аутентификации в PayPal, позволяющем в считанные минуты получить доступ к учетной записи в платежном сервисе.

Хоггард обнаружил данный способ, находясь в гостиничном номере, где отсутствовал сотовый сигнал и, соответственно, возможность получить по SMS код верификации PayPal.

По его словам, проблема заключается в опции «Попробуйте другой способ» (Try another way), расположенной под секцией двухфакторной аутентификации на странице авторизации. PayPal предлагает воспользоваться данной опцией в ситуации, когда пользователь не имеет телефон при себе или при отсутствии сигнала. В таких случаях для того, чтобы получить доступ к учетной записи, пользователь должен ответить на секретные вопросы.

Как выяснил Хоггард, при наличии прокси-сервера, способного перехватывать запросы сервера PayPal, атакующий может модифицировать HTTP-запросы и получить доступ к аккаунту. Для этого требуется всего лишь удалить параметры "securityQuestion0" и "securityQuestion1" из HTTP-запроса.

В начале октября нынешнего года исследователь проинформировал PayPal о проблеме. В настоящее время уязвимость уже устранена.


Источник: Securitylab.ru

Интернет вещей атаковал Америку

Одна из самых мощных атак на интернет-инфраструктуру на время вывела из строя десятки глобальных интернет-сервисов. Первый удар по американскому сегменту сети пришелся на утро пятницы, причем пострадало в первую очередь восточное побережье.

Испытывали перебои в работе или оказались недоступными вообще такие службы как Twitter, видео-сервис Netflix, платежная система Paypal, музыкальные сервисы Spotify и SoundCloud, сайты The New York Times и CNN. Пострадал крупнейший интернет-магазин, а также облачный провайдер Amazon.

Это был очень мощный DDoS — атака на отказ обслуживания, когда сервера не справляются с потоком ложных, мусорных запросов. Но били не по площадкам — главной целью была выбрана компания Dyn. Это инфраструктурный для сети бизнес, который обслуживает службу доменных имен — DNS, переводя IP-адреса в понятные нам имена доменов.

Выведя из строя Dyn, атакующие ударили и по всем его клиентам. За два часа сотрудники Dyn смогли справиться с проблемой, но потом последовала вторая волна атак, а через некоторое время и третья, причем последствия почувствовало уже и западное побережье, где сосредоточены интернет-проекты Силиконовой долины, пишет hitech.vesti.ru.

Природа атаки оказалась довольно необычной — почти всегда используются так называемые ботнеты, сети из сотен тысяч, а порою и миллионов зараженных вирусом зомби-компьютеров, которые по команде и засыпают цель мусорными запросами. Здесь же место пользовательских компьютеров занял Интернет вещей: огромное количество сетевых роутеров, веб-камер и других устройств, которые обычно подключены к скоростным каналам связи.

На превращении этого не слишком умного железа в ботнет специализируется вирус Mirai. Ирония в том, что заражение происходит простым подбором паролей. Дело в том, что очень часто, подключая к сети оборудование, люди не меняют заводские настройки, и вирус пользуется нехитрым словарем для подбора: admin-admin, root-deafult или даже 1111.

Чего хотели добиться атакующие и кто они — пока неясно. Точнее, существуют разные версии. Дело в том, что несколько DDoS той же природы месяц назад пережил блог известного специалиста по безопасности Брайана Кребса — он расследовал деятельность уже арестованных израильских DDoS вымогателей и роль в раскрытии этой группы американской компании Backconnect, которая устала бороться с хакерами и просто вскрыла их сама.

20 октября Кребс совместно с сотрудниками Dyn выпустил исследование на эту тему. С другой стороны, объявилась уже какая-то группировка хакеров "Новый порядок", которая утверждает, что последняя атака — проба сил на американцах, но главная их цель — Россия. Еще одна малоправдоподобная версия — месть неких сил, поддерживающих Джулиана Ассанжа, за то, что ему отключили доступ в Интернет в эквадорском посольстве, где он скрывается.


Источник: Anti-Malware.ru

Российские военные получат антихакерский комплекс

Объекты Минобороны РФ защитят от компьютерных атак при помощи новейшей системы обнаружения угроз, заявили в Объединенной приборостроительной корпорации (ОПК). По их словам, разработкой системы занимается Центральный научно-исследовательский институт экономики, информатики и систем управления (ЦНИИ ЭИСУ).

Собеседник агентства отметил, что с помощью специальных сенсоров система анализирует сетевой трафик и состояние защищаемых устройств, оценивает уровень атаки и выявляет точку, откуда ведется вторжение.

"Элементы системы уже развернуты более чем на 500 объектах, в том числе в Национальном центре управления обороной Российской Федерации (НЦУО). "Антихакерский" комплекс способен обнаруживать компьютерные атаки в режиме реального времени и предотвращать возникающие угрозы", - сообщил "Интерфаксу" в понедельник представитель ОПК.

"Тестовая эксплуатация системы велась больше двух лет. За это время она была значительно доработана и усилена",- отметил сотрудник ОПК. 

Подобные разработки особенно актуальны в свете угроз о кибератаках против России. Недавно американский телеканал NBC сообщил со ссылкой на неназванных представителей разведки США, что администрация США отдала распоряжение ЦРУ готовится к беспрецедентным кибератакам против РФ в ответ на якобы имевшее место вмешательство России в предвыборную кампанию в США. Отмечалось, что ведомство уже проводит подготовку к операции и разрабатывает методы взлома, передает vestifinance.ru.

"Действующие и бывшие чиновники, осведомленные о данной ситуации, говорят, что ЦРУ попросили предоставить Белому дому возможности для проведения широкой тайной кибероперации с целью преследования и "приведения в замешательства" лидеров в Кремле", - сообщила NBC.

Вице-президент США Джо Байден заявил в интервью NBC, что США ответят на кибератаки, которые, по утверждению Вашингтона, осуществляет Россия. "Ответ будет сделан по нашему выбору и при обстоятельствах, оказывающих самое сильное влияние", - отметил он.

Чиновники из США ранее обвиняли Россию в причастности к кибератакам на ресурсы выборного штаба кандидата в президенты от Демократической партии Хиллари Клинтон, а некоторые американские эксперты заявляли, что российские хакеры намерены дискредитировать избирательную систему США. Москва неоднократно отвергала подобные подозрения и просила предоставить доказательства, чего сделано не было.


Источник: Anti-Malware.ru

Исследователи продемонстрировали новый метод взлома 3D-принтеров

Атака позволяет подкорректировать процесс печати и запустить производство дефектных компонентов.

С развитием сферы «Интернета вещей» угроза кибератак стала актуальной не только для виртуальных систем, но и физических объектов, подключенных к Сети - от холодильников и кофеварок до кардиостимуляторов.

Команда специалистов из Университета им. Давида Бен-Гуриона, Университета Южной Алабамы и Сингапурского университета технологий и дизайна представили новый метод атаки на 3D-принтеры, позволяющей подкорректировать процесс печати и запустить производство дефектных компонентов. Изменения практически не видны глазу, однако впоследствии приводят к разрушению изделия в процессе эксплуатации.

В исследовании под названием dr0wned – Cyber-Physical Attack with Additive Manufacturing эксперты описали процесс взлома персонального компьютера с подключенным к нему 3D-принтером. Ученым удалось получить доступ и внести изменения в файлы моделей комплектующих пропеллера беспилотного летательного аппарата, печатавшихся на 3D-принтере. В результате всего через две минуты полета квадрокоптер падал на землю с большой высоты из-за разрушения лопастей.

Эксперты получили доступ к компьютеру, проэксплуатировав уязвимость в WinRAR, позволяющую скрыть имя и расширение сжатого файла. В ходе эксперимента при помощи фреймоворка Metassploit исследователи создали вредоносный файл, замаскировали его под PDF-документ и отправили жертве. После того запуска файла специалисты получили доступ к компьютеру.

На устройстве хранились .STL-файлы, представляющие собой готовые модели пропеллеров БПЛА. Используя ПО SolidWork, исследователи модифицировали один из файлов. В результате таких манипуляций одна из деталей лопастей аппарата стала более уязвимой к физическим воздействиям. Далее эксперты заменили «настоящий» файл на компьютере жертвы измененным.

Ранее команда исследователей из Университета штата Нью-Йорк в Буффало продемонстрировала метод извлечения данных с 3D-принтера при помощи обычного смартфона. Для этого атакующему потребуется всего лишь запрограммировать встроенные датчики смартфона на считывание звуковых и электромагнитных волн, исходящих от 3D-принтера во время печати.


Источник: Securitylab.ru

24 октября 2016

[ZLONOV.ru] Обойти ограничение на закупку иностранного ПО? Легко!

ZLONOV.ru
Пост Обойти ограничение на закупку иностранного ПО? Легко! опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

22 октября 2016

Обнаружен новый опасный червь для IoT-устройств

Hajime похож на Mirai, но является более сложным.

Исследователи безопасности из компании Rapidity Networks Сэм Эдвардс (Sam Edwards) и Иоаннис Профетис (Ioannis Profetis) обнаружили новый червь для устройств «Интернета вещей» (IoT) Hajime. Вредонос действует подобно известному трояну Mirai, однако является гораздо более сложным. Поскольку «Mirai» в переводе с японского языка означает «будущее», исследователи решили также дать новому вредоносу японское название (яп. «hajime» - «начало»).

Эдвардс и Профетис обнаружили червь, когда занялись изучением Mirai (исходный код трояна был опубликован в общем доступе в начале текущего месяца). Надеясь на то, что после публикации исходного кода появятся новые ботнеты Mirai, они создали несколько серверов-ловушек (honeypot), расположенных по всему миру. Спустя три дня после публикации исходного кода исследователи зафиксировали нечто похожее на Mirai, однако при более детальном анализе оказалось, что это совсем другой вредонос.

Процесс заражения Hajime состоит из трех фаз. На нулевом этапе вредонос устанавливается на систему жертвы и начинает сканировать произвольные IPv4 адреса. Червь осуществляет брутфорс-атаку на порт 23, пытаясь авторизоваться путем ввода комбинаций логинов и паролей, вшитых в его исходный код. В случае отсутствия открытого порта 23 или неудачной брутфорс-атаки Hajime переходит к другому адресу.

Если червю удалось авторизоваться, он выполняет следующую команду:

    enable
system
shell
sh
/bin/busybox ECCHI

С ее помощью вредонос определяет, инфицировал ли он Linux-систему. Hajime может атаковать платформы ARMv5, ARMv7, Intel x86-64, MIPS и little-endian. Отсюда начинается первая стадия. Вредонос загружает и запускает двоичный файл ELF, предназначенный для установки соединения с подконтрольным злоумышленникам сервером, получения от него кода и выполнения этого кода.

На второй стадии вредонос подключается к P2P-ботнету по DHT-протоколу и получает дополнительные коды и модули по протоколу uTP. Оба эти протокола являются ключевыми для BitTorrent-клиентов. Hajime атакует маршрутизаторы, видеорегистраторы и системы видеонаблюдения.


Источник: Securitylab.ru

В России обеспечат законодательное регулирование в сфере IoT

Сфера «Интернета вещей» в России может получить свою нормативно-правовую базу к лету следующего года.

К середине 2017 года «Интернет вещей» (IoT) и индустриальный интернет в России могут получить свою нормативно-правовую базу, сообщает информагентство «Интерфакс» со ссылкой на проект дорожной карты «Интернет + Город».

Документ предусматривает подготовку корректив в базовый ИКТ-закон «Об информации, информационных технологиях и защите информации» к началу лета следующего года. Изменения предполагают внесение понятий «технологические данные» и «инфраструктура технологических данных», а также определение состава такой инфраструктуры на уровне оборудования и ПО. Помимо прочего, предлагается утвердить требования к операторам инфраструктуры технологических данных и правила сбора, обработки и хранения данных исключительно на территории РФ.

Также авторы предусматривают проведение анализа действующего отраслевого законодательства с целью выявления норм и правил, мешающих реализации технологий «Интернета вещей» и индустриального интернета в соответствующих сферах.

Как отмечается, предложения дорожной карты направлены на подготовку нормативно-правовой базы, обеспечивающей регулирование в области «Интернета вещей» в России, рост использования технологий IoT, а также разработку отраслевых и платформенных решений.


Источник: Securitylab.ru

19 октября 2016

[ZLONOV.ru] Статистика посещаемости ИБ блогов

ZLONOV.ru
Пост Статистика посещаемости ИБ блогов опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

18 октября 2016

[уязвимость] Троян Mirai атакует оборудование Sierra Wireless, предназначенное для сетей сотовой связи

Канадский производитель оборудования для сетей сотовой связи Sierra Wireless, являющийся одним из крупнейших игроков на рынке мобильной аппаратуры, предупредил своих клиентов об опасности, исходящей от трояна Mirai.

Представители Sierra Wireless сообщают, что роутеры и шлюзы AirLink, используемые в сетях 3G и 4G LTE по всему миру, уязвимы перед атаками Mirai. В начале октября 2016 года компания выпустила бюллетень безопасности (PDF), в котором перечислила модели LS300, GX400, GX/ES440, GX/ES450 и RV50 как уязвимые.

Впрочем, разработчики пишут, что поводов для паники нет. Напомню, что основное оружие Mirai – это брутфорс, и под угрозой заражения находятся лишь те устройства, которые используют учетные данные по умолчанию. Тем не менее, очевидно клиенты Sierra Wireless часто оставляют дефолтные логин и пароль в ACEmanager, в противном случае компания вряд ли выступила бы с официальным предостережением.

«Так как вредоносное ПО базируется только в памяти, перезагрузка устройства поможет избавиться от заражения. Однако если устройство после этого продолжит использовать пароль, назначенный ACEmanager по умолчанию, скорее всего, вскоре произойдет повторное заражение», — пишут представители Sierra Wireless.

При этом заражение аппаратуры сотовых сетей малварью, подобной Mirai, может привести к катастрофическим последствиям. Устройства AirLink выступают настоящим «хребтом» сети и имеют огромную полосу пропускания, к тому же через них злоумышленники могут получить доступ к другим компонентам сети. Для организаторов DDoS-атак такая аппаратура может стать настоящей находкой.

Напомню, что троян Mirai получил широкую известность в конце сентября 2016 года. Тогда ботнет из IoT-устройств атаковал сайт известного ИБ-журналиста Брайана Кребса, а также крупнейшего в Европе хостинг-провайдера OVH. Пиковая мощность этих атак достигала 620 Гбит/с и более 1 Тб/с.

Вскоре после этого автор трояна, известный под псевдонимом Anna-senpai, опубликовал исходные коды своего детища в открытом доступе, на портале Hack Forums. Тогда Брайн Кребс писал, что это вполне логичный шаг для вирусописателя: «Публикация кодов в онлайне, где любой может увидеть их и скачать, гарантирует, что автор – не единственный, кто обладает исходниками, на тот случай, если к нему придут представители властей с ордером».

Исследователи компании Flashpoint уже предупредили, что перед Mirai уязвимо более 500 000 устройств, а специалисты Search-Lab обнаружили, что малварь представляет опасность более чем для 130 000 устройств тайваньского производителя Avtech.


Источник: «Хакер»

17 октября 2016

[ZLONOV.ru] Алгоритмы в токенах с поддержкой ГОСТ

ZLONOV.ru
Пост Алгоритмы в токенах с поддержкой ГОСТ опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

15 октября 2016

[уязвимость] Старая SSH-уязвимость используется для атак на IoT-устройства

Еще в 2004 году эксперты обнаружили проблему CVE-2004-1653, которая тогда скрылась в дефолтной конфигурации OpenSSH (sshd). Патч для уязвимости был представлен в 2005 году, однако теперь исследователи компании Akamai сообщают, что старая проблема по-прежнему сохраняет актуальность и используется для атак на IoT-устройства.

Эксперты Akamai предупреждают (PDF), что проблема, которой дали имя SSHowDowN Proxy, может использоваться для превращения IoT-девайсов в прокси. Уязвимость уже используют злоумышленники, которые компрометируют с ее помощью камеры видеонаблюдения, NVR- и DVR-системы, оборудование для работы спутниковых антенн и так далее.

Как известно, основная слабость многих IoT-устройств – это учетные данные администратора по умолчанию (к примеру, admin/admin или root/root). Но в нормальных обстоятельствах атакующие не могут воспользоваться аккаунтом администратора, подключиться к устройству посредством SSH и выполнять какие-либо команды. Однако есть устройство позволяет устанавливать удаленные SSH-соединения, на помощь атакующим приходит уязвимость CVE-2004-1653 и TCP форвардинг. Специалисты Akamai наблюдали атаки, в ходе которых хакеры создавали SSH-туннель и создавали впечатление, что вредоносный трафик исходит непосредственно с IP-адреса скомпрометированного устройства.

Исследователи подчеркивают, что в ходе атак SSHowDowN Proxy не используются никакие новые баги. Вся проблема состоит лишь в том, что многие производители поставляют свои продукты с небезопасными дефолтными настройками, изменить которые пользователь зачастую просто не может.

Для защиты от подобных атак исследователи рекомендуют отключать SSH вовсе, удалить все незадокументированные аккаунты, запретить TCP форвардинг и, разумеется, поменять логин и пароль по умолчанию.


Источник: «Хакер»

[уязвимость] Проблемы безопасности IoT: исследователь обнаружил серьезные уязвимости в MatrixSSL

SSL — основной инструмент обеспечения безопасности в интернете, позволяющий организовывать защищенный обмен данными даже в недоверенной сети. Однако реализация устойчивого SSL — не такая уж и легкая задача, ошибки в решении которой могут приводить к масштабным проблемам, таким, как уязвимость Heartbleed.

В сфере интернета вещей существует собственная реализация SSL — MatrixSSL, и как показывает практика, с уровнем ее защищенности не все хорошо.

В чем проблема


Подобные масштабные уязвимости поднимают вопросы реализации подходов безопасной разработки и недостатков процессов проектирования, применявшихся создателями многих реализаций SSL. В разгар скандала с Heartbleed даже звучали призывы отказаться от использования OpenSSL в пользу NSS, GnuTLS и Polar SSL. Что касается устройств так называемого интернета вещей (Internet of Things, IoT), то в этом случае многие эксперты по безопасности рекомендовали использовать MatrixSSL — компактный SSL/TLS стек, разработанный специально для применения в сфере IoT.

Однако в 2015 году было опубликовано исследование SEC Consult, авторы которого сумели обнаружить более 80000 подключенных к сети устройств, которые использовали одни и те же ключи шифрования, опубликованные в домашнем репозитории MatrixSSL. Еще десятки тысяч устройств на базе MatrixSSL можно найти с помощью поисковика Shodan.

Такие устройства часто — это сетевое оборудования вроде WiMAX-шлюзов или кабельных модемов интернет-провайдеров. Это значит, что наличие критических уязвимостей в софте, использующимся этими устройствами, может приводить к масштабным инцидентам информационной безопасности.

И подобные уязвимости были обнаружены исследователями — в 2016 году Флориан Ваймер (Florian Weimer) и Ханно Бёк (Hanno Böck) раскрыли информацию о криптографических проблемах MatrixSSL — помимо прочего была обнаружена возможность похищения частных ключей шифрования. После общения с Бёком, ИБ-исследователь компании Tripwire Крейг Янг (Craig Young) решил внимательнее изучить уровень защищенности сертификата X.509 MatrixSSL.

С помощью инструмента American Fuzzy Lop (AFL) ему удалось обнаружить сразу несколько серьезных уязвимостей. Среди найденных проблем, переполнение буфера, приводящее к выполнению кода (CVE-2016-6890), уязвимость buffer over-read (CVE-2016-6891) и некорректная работа механизма освобождения памяти в модуле x509FreeExtensions() (CVE-2016-6892).

Данные ошибки могут приводить к серьезным проблемам. К примеру, в том случае, если система на базе MatrixSSL используется для обработки недоверенных сертификатов X.509 — частая ситуация при аутентификации клиентского приложения, то атакующий может получить возможность осуществления удаленного выполнения кода. Для роутер или IoT-устройств это означает практически гарантированный полный доступ с привилегиями root-пользователя.

Как защититься

По словам Янга, производители, использующие в своих продуктах MatrixSSL, были уведомлены об обнаруженных уязвимостях в сентябре, и уже работают над патчами. Вендоры и частные пользователи MatrixSSL могут скачать обновленную прошивку из официального GitHub-репозитория Matrix SSL. Исправления найденных ошибок включены в коммит b8dcfd875923da5a65ecfdbbe790ed63b1d33de3 для релиза 3.8.6.

К сожалению, многие устройства на базе MatrixSSL, использующиеся в корпоративных сетях, никогда не будут обновлены — не все IoT-производители в итоге выпустят патчи, а в случае отсутствия автоматического обновления сами пользователи вряд ли будут этим заниматься.

Все это поднимает важный вопрос — вместо обсуждения более надежных инструментов обеспечения защиты в интернете и необходимости поиска их замены, гораздо перспективнее думать о реализации более продвинутых механизмов распространения обновлений и внедрения подходов безопасной разработки софта.


Источник: Хабрахабр / Информационная безопасность / Интересные публикации