Мой основной сайт ZLONOV.ru (RSS-лента) | Ссылка на Twitter: @zlonov | Telegram-канал: @zlonovru

27 октября 2016

В межсетевом экране Schneider Electric обнаружена критическая уязвимость

Проблема позволяет выполнить произвольный код на целевой системе.

В рамках выступления на конференции ICS Cyber Security 2016 эксперты компании CyberX раскрыли информацию о критической уязвимости в промышленный межсетевых экранах производства Schneider Electric.

Проблема затрагивает продукты семейства Schneider Electric ConneXium TCSEFEC, предназначенных для обеспечения защиты промышленных сетей, SCADA-систем и систем автоматизации от внешних угроз.

Уязвимость переполнения буфера содержится в административной web-панели межсетевых экранов ConneXium и позволяет выполнить произвольный код на целевой системе. В результате злоумышленники могут изменить настройки межсетевого экрана, перехватывать сетевой трафик, внедрять вредоносные пакеты и пр. Как отметили исследователи, эксплуатация проблемы не требует серьезных технических навыков.

Эксплуатация уязвимости также может предоставить возможность манипуляций с системами управления. В худшем случае может привести к физическим повреждениям. Как правило, программируемые логические контроллеры не имеют механизмов аутентификации благодаря чему злоумышленники легко могут получить доступ и проэксплуатировать известные проблемы или уязвимости нулевого дня, пояснили эксперты в интервью SecurityWeek.

Как показал осуществленный при помощи Shodan поиск, некоторые уязвимые межсетевые экраны ConneXium доступны online, что позволяет злоумышленникам осуществить атаку напрямую из интернета.

В настоящее время инженеры Schneider Electric завершают работу над патчем, устраняющим данную уязвимость. Обновление безопасности будет доступно в течение последующих нескольких недель.


Источник: Securitylab.ru

На атомных станциях все еще используют незащищенную пейджинговую связь

Специалисты компании Trend Micro представили новый отчет, посвященный довольно странной проблеме, которая, как оказалась, широко распространена в промышленном секторе. По данным аналитиков, на незащищенную беспроводную связь, посредством пейджинговых сетей, до сих пор полагаются сотрудники многих ключевых объектов инфраструктуры в США и Канаде. Среди них предприятия химической промышленности, атомные и электростанции, а также военные подрядчики, производители чипов и так далее.

Исследователи пишут, что использование незашифрованных каналов связи и пейджинговых сообщений несет большой риск. Злоумышленники могут перехватывать такие сообщения без особенного труда, воспользовавшись донглом за $20 и изучив азы работы с software defined radio.

«К сожалению, мы пришли к выводу, что пейджинговая связь не защищена вовсе. Так как пейджинговые сообщения, как правило, не зашифрованы, атакующие могут просматривать их даже на расстоянии, всё, что для этого понадобится: комбинация из software-defined radio и донгл за 20 долларов», — пишут специалисты.

Перехваченные таким способом сообщения могут содержать самую разную информацию: имена и коды персонала, email-адреса, коды проектов, сообщения или сигналы тревоги, уведомляющие персонал о сбоях, утечках и отклонениях показателей, диагностическую информацию, и даже данные о настройках ICS или SCADA-систем и различные сетевые настройки. Разумеется, все это может стать настоящим кладом для злоумышленников и шпионов, которые могут воспользоваться собранными данными как для последующих адресных атак, так и для прямого саботажа работы критических объектов инфраструктуры. Дело в том, что осуществить спуфинг таких сообщений и отправить, к примеру, сотрудникам атомной станции, фальшивый сигнал тревоги, совсем нетрудно.

Специалисты Trend Micro полагают, что организациям давно пора переходить на использование пейджинговых систем, хотя бы использующих шифрование и ассиметричные ключи.


Источник: «Хакер»

26 октября 2016

[ZLONOV.ru] Почему я не считаю КИБ Серчинформ иностранным?

ZLONOV.ru
Пост Почему я не считаю КИБ Серчинформ иностранным? опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

25 октября 2016

Эксперт обнаружил простой способ обхода 2FA-механизма в PayPal

Метод предполагает перехват и модификацию HTTP-запросов сервера PayPal.

Исследователь из Великобритании Генри Хоггард (Henry Hoggard) рассказал об очень простом способе обхода механизма двухфакторной аутентификации в PayPal, позволяющем в считанные минуты получить доступ к учетной записи в платежном сервисе.

Хоггард обнаружил данный способ, находясь в гостиничном номере, где отсутствовал сотовый сигнал и, соответственно, возможность получить по SMS код верификации PayPal.

По его словам, проблема заключается в опции «Попробуйте другой способ» (Try another way), расположенной под секцией двухфакторной аутентификации на странице авторизации. PayPal предлагает воспользоваться данной опцией в ситуации, когда пользователь не имеет телефон при себе или при отсутствии сигнала. В таких случаях для того, чтобы получить доступ к учетной записи, пользователь должен ответить на секретные вопросы.

Как выяснил Хоггард, при наличии прокси-сервера, способного перехватывать запросы сервера PayPal, атакующий может модифицировать HTTP-запросы и получить доступ к аккаунту. Для этого требуется всего лишь удалить параметры "securityQuestion0" и "securityQuestion1" из HTTP-запроса.

В начале октября нынешнего года исследователь проинформировал PayPal о проблеме. В настоящее время уязвимость уже устранена.


Источник: Securitylab.ru

Интернет вещей атаковал Америку

Одна из самых мощных атак на интернет-инфраструктуру на время вывела из строя десятки глобальных интернет-сервисов. Первый удар по американскому сегменту сети пришелся на утро пятницы, причем пострадало в первую очередь восточное побережье.

Испытывали перебои в работе или оказались недоступными вообще такие службы как Twitter, видео-сервис Netflix, платежная система Paypal, музыкальные сервисы Spotify и SoundCloud, сайты The New York Times и CNN. Пострадал крупнейший интернет-магазин, а также облачный провайдер Amazon.

Это был очень мощный DDoS — атака на отказ обслуживания, когда сервера не справляются с потоком ложных, мусорных запросов. Но били не по площадкам — главной целью была выбрана компания Dyn. Это инфраструктурный для сети бизнес, который обслуживает службу доменных имен — DNS, переводя IP-адреса в понятные нам имена доменов.

Выведя из строя Dyn, атакующие ударили и по всем его клиентам. За два часа сотрудники Dyn смогли справиться с проблемой, но потом последовала вторая волна атак, а через некоторое время и третья, причем последствия почувствовало уже и западное побережье, где сосредоточены интернет-проекты Силиконовой долины, пишет hitech.vesti.ru.

Природа атаки оказалась довольно необычной — почти всегда используются так называемые ботнеты, сети из сотен тысяч, а порою и миллионов зараженных вирусом зомби-компьютеров, которые по команде и засыпают цель мусорными запросами. Здесь же место пользовательских компьютеров занял Интернет вещей: огромное количество сетевых роутеров, веб-камер и других устройств, которые обычно подключены к скоростным каналам связи.

На превращении этого не слишком умного железа в ботнет специализируется вирус Mirai. Ирония в том, что заражение происходит простым подбором паролей. Дело в том, что очень часто, подключая к сети оборудование, люди не меняют заводские настройки, и вирус пользуется нехитрым словарем для подбора: admin-admin, root-deafult или даже 1111.

Чего хотели добиться атакующие и кто они — пока неясно. Точнее, существуют разные версии. Дело в том, что несколько DDoS той же природы месяц назад пережил блог известного специалиста по безопасности Брайана Кребса — он расследовал деятельность уже арестованных израильских DDoS вымогателей и роль в раскрытии этой группы американской компании Backconnect, которая устала бороться с хакерами и просто вскрыла их сама.

20 октября Кребс совместно с сотрудниками Dyn выпустил исследование на эту тему. С другой стороны, объявилась уже какая-то группировка хакеров "Новый порядок", которая утверждает, что последняя атака — проба сил на американцах, но главная их цель — Россия. Еще одна малоправдоподобная версия — месть неких сил, поддерживающих Джулиана Ассанжа, за то, что ему отключили доступ в Интернет в эквадорском посольстве, где он скрывается.


Источник: Anti-Malware.ru

Российские военные получат антихакерский комплекс

Объекты Минобороны РФ защитят от компьютерных атак при помощи новейшей системы обнаружения угроз, заявили в Объединенной приборостроительной корпорации (ОПК). По их словам, разработкой системы занимается Центральный научно-исследовательский институт экономики, информатики и систем управления (ЦНИИ ЭИСУ).

Собеседник агентства отметил, что с помощью специальных сенсоров система анализирует сетевой трафик и состояние защищаемых устройств, оценивает уровень атаки и выявляет точку, откуда ведется вторжение.

"Элементы системы уже развернуты более чем на 500 объектах, в том числе в Национальном центре управления обороной Российской Федерации (НЦУО). "Антихакерский" комплекс способен обнаруживать компьютерные атаки в режиме реального времени и предотвращать возникающие угрозы", - сообщил "Интерфаксу" в понедельник представитель ОПК.

"Тестовая эксплуатация системы велась больше двух лет. За это время она была значительно доработана и усилена",- отметил сотрудник ОПК. 

Подобные разработки особенно актуальны в свете угроз о кибератаках против России. Недавно американский телеканал NBC сообщил со ссылкой на неназванных представителей разведки США, что администрация США отдала распоряжение ЦРУ готовится к беспрецедентным кибератакам против РФ в ответ на якобы имевшее место вмешательство России в предвыборную кампанию в США. Отмечалось, что ведомство уже проводит подготовку к операции и разрабатывает методы взлома, передает vestifinance.ru.

"Действующие и бывшие чиновники, осведомленные о данной ситуации, говорят, что ЦРУ попросили предоставить Белому дому возможности для проведения широкой тайной кибероперации с целью преследования и "приведения в замешательства" лидеров в Кремле", - сообщила NBC.

Вице-президент США Джо Байден заявил в интервью NBC, что США ответят на кибератаки, которые, по утверждению Вашингтона, осуществляет Россия. "Ответ будет сделан по нашему выбору и при обстоятельствах, оказывающих самое сильное влияние", - отметил он.

Чиновники из США ранее обвиняли Россию в причастности к кибератакам на ресурсы выборного штаба кандидата в президенты от Демократической партии Хиллари Клинтон, а некоторые американские эксперты заявляли, что российские хакеры намерены дискредитировать избирательную систему США. Москва неоднократно отвергала подобные подозрения и просила предоставить доказательства, чего сделано не было.


Источник: Anti-Malware.ru

Исследователи продемонстрировали новый метод взлома 3D-принтеров

Атака позволяет подкорректировать процесс печати и запустить производство дефектных компонентов.

С развитием сферы «Интернета вещей» угроза кибератак стала актуальной не только для виртуальных систем, но и физических объектов, подключенных к Сети - от холодильников и кофеварок до кардиостимуляторов.

Команда специалистов из Университета им. Давида Бен-Гуриона, Университета Южной Алабамы и Сингапурского университета технологий и дизайна представили новый метод атаки на 3D-принтеры, позволяющей подкорректировать процесс печати и запустить производство дефектных компонентов. Изменения практически не видны глазу, однако впоследствии приводят к разрушению изделия в процессе эксплуатации.

В исследовании под названием dr0wned – Cyber-Physical Attack with Additive Manufacturing эксперты описали процесс взлома персонального компьютера с подключенным к нему 3D-принтером. Ученым удалось получить доступ и внести изменения в файлы моделей комплектующих пропеллера беспилотного летательного аппарата, печатавшихся на 3D-принтере. В результате всего через две минуты полета квадрокоптер падал на землю с большой высоты из-за разрушения лопастей.

Эксперты получили доступ к компьютеру, проэксплуатировав уязвимость в WinRAR, позволяющую скрыть имя и расширение сжатого файла. В ходе эксперимента при помощи фреймоворка Metassploit исследователи создали вредоносный файл, замаскировали его под PDF-документ и отправили жертве. После того запуска файла специалисты получили доступ к компьютеру.

На устройстве хранились .STL-файлы, представляющие собой готовые модели пропеллеров БПЛА. Используя ПО SolidWork, исследователи модифицировали один из файлов. В результате таких манипуляций одна из деталей лопастей аппарата стала более уязвимой к физическим воздействиям. Далее эксперты заменили «настоящий» файл на компьютере жертвы измененным.

Ранее команда исследователей из Университета штата Нью-Йорк в Буффало продемонстрировала метод извлечения данных с 3D-принтера при помощи обычного смартфона. Для этого атакующему потребуется всего лишь запрограммировать встроенные датчики смартфона на считывание звуковых и электромагнитных волн, исходящих от 3D-принтера во время печати.


Источник: Securitylab.ru

24 октября 2016

[ZLONOV.ru] Обойти ограничение на закупку иностранного ПО? Легко!

ZLONOV.ru
Пост Обойти ограничение на закупку иностранного ПО? Легко! опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

22 октября 2016

Обнаружен новый опасный червь для IoT-устройств

Hajime похож на Mirai, но является более сложным.

Исследователи безопасности из компании Rapidity Networks Сэм Эдвардс (Sam Edwards) и Иоаннис Профетис (Ioannis Profetis) обнаружили новый червь для устройств «Интернета вещей» (IoT) Hajime. Вредонос действует подобно известному трояну Mirai, однако является гораздо более сложным. Поскольку «Mirai» в переводе с японского языка означает «будущее», исследователи решили также дать новому вредоносу японское название (яп. «hajime» - «начало»).

Эдвардс и Профетис обнаружили червь, когда занялись изучением Mirai (исходный код трояна был опубликован в общем доступе в начале текущего месяца). Надеясь на то, что после публикации исходного кода появятся новые ботнеты Mirai, они создали несколько серверов-ловушек (honeypot), расположенных по всему миру. Спустя три дня после публикации исходного кода исследователи зафиксировали нечто похожее на Mirai, однако при более детальном анализе оказалось, что это совсем другой вредонос.

Процесс заражения Hajime состоит из трех фаз. На нулевом этапе вредонос устанавливается на систему жертвы и начинает сканировать произвольные IPv4 адреса. Червь осуществляет брутфорс-атаку на порт 23, пытаясь авторизоваться путем ввода комбинаций логинов и паролей, вшитых в его исходный код. В случае отсутствия открытого порта 23 или неудачной брутфорс-атаки Hajime переходит к другому адресу.

Если червю удалось авторизоваться, он выполняет следующую команду:

    enable
system
shell
sh
/bin/busybox ECCHI

С ее помощью вредонос определяет, инфицировал ли он Linux-систему. Hajime может атаковать платформы ARMv5, ARMv7, Intel x86-64, MIPS и little-endian. Отсюда начинается первая стадия. Вредонос загружает и запускает двоичный файл ELF, предназначенный для установки соединения с подконтрольным злоумышленникам сервером, получения от него кода и выполнения этого кода.

На второй стадии вредонос подключается к P2P-ботнету по DHT-протоколу и получает дополнительные коды и модули по протоколу uTP. Оба эти протокола являются ключевыми для BitTorrent-клиентов. Hajime атакует маршрутизаторы, видеорегистраторы и системы видеонаблюдения.


Источник: Securitylab.ru

В России обеспечат законодательное регулирование в сфере IoT

Сфера «Интернета вещей» в России может получить свою нормативно-правовую базу к лету следующего года.

К середине 2017 года «Интернет вещей» (IoT) и индустриальный интернет в России могут получить свою нормативно-правовую базу, сообщает информагентство «Интерфакс» со ссылкой на проект дорожной карты «Интернет + Город».

Документ предусматривает подготовку корректив в базовый ИКТ-закон «Об информации, информационных технологиях и защите информации» к началу лета следующего года. Изменения предполагают внесение понятий «технологические данные» и «инфраструктура технологических данных», а также определение состава такой инфраструктуры на уровне оборудования и ПО. Помимо прочего, предлагается утвердить требования к операторам инфраструктуры технологических данных и правила сбора, обработки и хранения данных исключительно на территории РФ.

Также авторы предусматривают проведение анализа действующего отраслевого законодательства с целью выявления норм и правил, мешающих реализации технологий «Интернета вещей» и индустриального интернета в соответствующих сферах.

Как отмечается, предложения дорожной карты направлены на подготовку нормативно-правовой базы, обеспечивающей регулирование в области «Интернета вещей» в России, рост использования технологий IoT, а также разработку отраслевых и платформенных решений.


Источник: Securitylab.ru

19 октября 2016

[ZLONOV.ru] Статистика посещаемости ИБ блогов

ZLONOV.ru
Пост Статистика посещаемости ИБ блогов опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

18 октября 2016

[уязвимость] Троян Mirai атакует оборудование Sierra Wireless, предназначенное для сетей сотовой связи

Канадский производитель оборудования для сетей сотовой связи Sierra Wireless, являющийся одним из крупнейших игроков на рынке мобильной аппаратуры, предупредил своих клиентов об опасности, исходящей от трояна Mirai.

Представители Sierra Wireless сообщают, что роутеры и шлюзы AirLink, используемые в сетях 3G и 4G LTE по всему миру, уязвимы перед атаками Mirai. В начале октября 2016 года компания выпустила бюллетень безопасности (PDF), в котором перечислила модели LS300, GX400, GX/ES440, GX/ES450 и RV50 как уязвимые.

Впрочем, разработчики пишут, что поводов для паники нет. Напомню, что основное оружие Mirai – это брутфорс, и под угрозой заражения находятся лишь те устройства, которые используют учетные данные по умолчанию. Тем не менее, очевидно клиенты Sierra Wireless часто оставляют дефолтные логин и пароль в ACEmanager, в противном случае компания вряд ли выступила бы с официальным предостережением.

«Так как вредоносное ПО базируется только в памяти, перезагрузка устройства поможет избавиться от заражения. Однако если устройство после этого продолжит использовать пароль, назначенный ACEmanager по умолчанию, скорее всего, вскоре произойдет повторное заражение», — пишут представители Sierra Wireless.

При этом заражение аппаратуры сотовых сетей малварью, подобной Mirai, может привести к катастрофическим последствиям. Устройства AirLink выступают настоящим «хребтом» сети и имеют огромную полосу пропускания, к тому же через них злоумышленники могут получить доступ к другим компонентам сети. Для организаторов DDoS-атак такая аппаратура может стать настоящей находкой.

Напомню, что троян Mirai получил широкую известность в конце сентября 2016 года. Тогда ботнет из IoT-устройств атаковал сайт известного ИБ-журналиста Брайана Кребса, а также крупнейшего в Европе хостинг-провайдера OVH. Пиковая мощность этих атак достигала 620 Гбит/с и более 1 Тб/с.

Вскоре после этого автор трояна, известный под псевдонимом Anna-senpai, опубликовал исходные коды своего детища в открытом доступе, на портале Hack Forums. Тогда Брайн Кребс писал, что это вполне логичный шаг для вирусописателя: «Публикация кодов в онлайне, где любой может увидеть их и скачать, гарантирует, что автор – не единственный, кто обладает исходниками, на тот случай, если к нему придут представители властей с ордером».

Исследователи компании Flashpoint уже предупредили, что перед Mirai уязвимо более 500 000 устройств, а специалисты Search-Lab обнаружили, что малварь представляет опасность более чем для 130 000 устройств тайваньского производителя Avtech.


Источник: «Хакер»

17 октября 2016

[ZLONOV.ru] Алгоритмы в токенах с поддержкой ГОСТ

ZLONOV.ru
Пост Алгоритмы в токенах с поддержкой ГОСТ опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

15 октября 2016

[уязвимость] Старая SSH-уязвимость используется для атак на IoT-устройства

Еще в 2004 году эксперты обнаружили проблему CVE-2004-1653, которая тогда скрылась в дефолтной конфигурации OpenSSH (sshd). Патч для уязвимости был представлен в 2005 году, однако теперь исследователи компании Akamai сообщают, что старая проблема по-прежнему сохраняет актуальность и используется для атак на IoT-устройства.

Эксперты Akamai предупреждают (PDF), что проблема, которой дали имя SSHowDowN Proxy, может использоваться для превращения IoT-девайсов в прокси. Уязвимость уже используют злоумышленники, которые компрометируют с ее помощью камеры видеонаблюдения, NVR- и DVR-системы, оборудование для работы спутниковых антенн и так далее.

Как известно, основная слабость многих IoT-устройств – это учетные данные администратора по умолчанию (к примеру, admin/admin или root/root). Но в нормальных обстоятельствах атакующие не могут воспользоваться аккаунтом администратора, подключиться к устройству посредством SSH и выполнять какие-либо команды. Однако есть устройство позволяет устанавливать удаленные SSH-соединения, на помощь атакующим приходит уязвимость CVE-2004-1653 и TCP форвардинг. Специалисты Akamai наблюдали атаки, в ходе которых хакеры создавали SSH-туннель и создавали впечатление, что вредоносный трафик исходит непосредственно с IP-адреса скомпрометированного устройства.

Исследователи подчеркивают, что в ходе атак SSHowDowN Proxy не используются никакие новые баги. Вся проблема состоит лишь в том, что многие производители поставляют свои продукты с небезопасными дефолтными настройками, изменить которые пользователь зачастую просто не может.

Для защиты от подобных атак исследователи рекомендуют отключать SSH вовсе, удалить все незадокументированные аккаунты, запретить TCP форвардинг и, разумеется, поменять логин и пароль по умолчанию.


Источник: «Хакер»

[уязвимость] Проблемы безопасности IoT: исследователь обнаружил серьезные уязвимости в MatrixSSL

SSL — основной инструмент обеспечения безопасности в интернете, позволяющий организовывать защищенный обмен данными даже в недоверенной сети. Однако реализация устойчивого SSL — не такая уж и легкая задача, ошибки в решении которой могут приводить к масштабным проблемам, таким, как уязвимость Heartbleed.

В сфере интернета вещей существует собственная реализация SSL — MatrixSSL, и как показывает практика, с уровнем ее защищенности не все хорошо.

В чем проблема


Подобные масштабные уязвимости поднимают вопросы реализации подходов безопасной разработки и недостатков процессов проектирования, применявшихся создателями многих реализаций SSL. В разгар скандала с Heartbleed даже звучали призывы отказаться от использования OpenSSL в пользу NSS, GnuTLS и Polar SSL. Что касается устройств так называемого интернета вещей (Internet of Things, IoT), то в этом случае многие эксперты по безопасности рекомендовали использовать MatrixSSL — компактный SSL/TLS стек, разработанный специально для применения в сфере IoT.

Однако в 2015 году было опубликовано исследование SEC Consult, авторы которого сумели обнаружить более 80000 подключенных к сети устройств, которые использовали одни и те же ключи шифрования, опубликованные в домашнем репозитории MatrixSSL. Еще десятки тысяч устройств на базе MatrixSSL можно найти с помощью поисковика Shodan.

Такие устройства часто — это сетевое оборудования вроде WiMAX-шлюзов или кабельных модемов интернет-провайдеров. Это значит, что наличие критических уязвимостей в софте, использующимся этими устройствами, может приводить к масштабным инцидентам информационной безопасности.

И подобные уязвимости были обнаружены исследователями — в 2016 году Флориан Ваймер (Florian Weimer) и Ханно Бёк (Hanno Böck) раскрыли информацию о криптографических проблемах MatrixSSL — помимо прочего была обнаружена возможность похищения частных ключей шифрования. После общения с Бёком, ИБ-исследователь компании Tripwire Крейг Янг (Craig Young) решил внимательнее изучить уровень защищенности сертификата X.509 MatrixSSL.

С помощью инструмента American Fuzzy Lop (AFL) ему удалось обнаружить сразу несколько серьезных уязвимостей. Среди найденных проблем, переполнение буфера, приводящее к выполнению кода (CVE-2016-6890), уязвимость buffer over-read (CVE-2016-6891) и некорректная работа механизма освобождения памяти в модуле x509FreeExtensions() (CVE-2016-6892).

Данные ошибки могут приводить к серьезным проблемам. К примеру, в том случае, если система на базе MatrixSSL используется для обработки недоверенных сертификатов X.509 — частая ситуация при аутентификации клиентского приложения, то атакующий может получить возможность осуществления удаленного выполнения кода. Для роутер или IoT-устройств это означает практически гарантированный полный доступ с привилегиями root-пользователя.

Как защититься

По словам Янга, производители, использующие в своих продуктах MatrixSSL, были уведомлены об обнаруженных уязвимостях в сентябре, и уже работают над патчами. Вендоры и частные пользователи MatrixSSL могут скачать обновленную прошивку из официального GitHub-репозитория Matrix SSL. Исправления найденных ошибок включены в коммит b8dcfd875923da5a65ecfdbbe790ed63b1d33de3 для релиза 3.8.6.

К сожалению, многие устройства на базе MatrixSSL, использующиеся в корпоративных сетях, никогда не будут обновлены — не все IoT-производители в итоге выпустят патчи, а в случае отсутствия автоматического обновления сами пользователи вряд ли будут этим заниматься.

Все это поднимает важный вопрос — вместо обсуждения более надежных инструментов обеспечения защиты в интернете и необходимости поиска их замены, гораздо перспективнее думать о реализации более продвинутых механизмов распространения обновлений и внедрения подходов безопасной разработки софта.


Источник: Хабрахабр / Информационная безопасность / Интересные публикации

[инцидент] Кибератака вмешалась в работу АЭС

Глава международного консорциума по мирному использованию атомной энергии сказал, что за последние годы одна АЭС испытала «перебои в работе» в результате кибератаки.

Юкия Амано (Yukiya Amano), глава МАГАТЭ, не стал вдаваться в подробности, но предупредил об опасности подобных атак в будущем, так как кибератаки, совершенные с целью подорвать работу АЭС, – это «объективная реальность», а не надуманная проблема.

«Кибератаки на объекты атомной энергетики нужно воспринимать очень серьезно. Возможно, мы знаем обо всех инцидентах, а возможно, это только вершина айсберга – нельзя определить точно», – заявил Амано журналистам.

Он отказался предоставить какие-либо подробности об атаке, в том числе время и место инцидента, но подтвердил, что атака спровоцировала сбои на объекте. Хотя системы АЭС не были отключены, персоналу пришлось принять «меры предосторожности», чтобы нивелировать последствия.

Пока не известно, собирается ли Амано рассказать всю правду об инциденте; в интервью «Рейтер» глава МАГАТЭ упомянул, что атака произошла 2-3 года назад, и не стал комментировать тему.

Деван Чаудхури (Dewan Chowdhury), основатель и глава MalCrawler – компании, специализирующейся на защите систем АСУТП и SCADA, склонен считать, что отсутствие каких-либо подробностей не позволяет сделать сколь-либо точные выводы.

«Это могло быть что угодно: вымогатель, вредоносная программа, целевая атака», – сказал Чаудхури. Эксперт надеется, что МАГАТЭ официально подтвердит информацию о киберинциденте, даже если он произошел несколько лет назад, так как это будет способствовать росту осведомленности о кибербезопасности атомной отрасли в будущем. При этом он признался, что заявление Амано его не удивило.

«Неудивительно, что такое происходит, – сказал Чаудхури. – Я считаю, что об этом просто не говорят, так что такие инциденты, вполне возможно, случаются намного чаще».

Чаудхури сослался на показатели из ежегодного отчета ICS-CERT, посвященного безопасности систем АСУТП и SCADA и критических инфраструктур в целом. В 2015 году государственные организации доложили о 295 киберинцидентах; за ними по количеству известных атак идет отрасль электроэнергетики с показателем в 46 инцидентов.

Также специалист отметил, что недостатки регулирования в области энергетики в других странах могли сказаться на результатах исследования.

«Если атака произошла в США, пострадавший объект обязан доложить регулятору, – сказал Чаудхури. – В других странах инциденты могут происходить все время, но предприятия не станут выносить сор из избы, если у них нет соответствующего требования».

«Есть проблема: ввиду очевидных причин отрасль абсолютно непрозрачна, и когда дело касается расследования инцидентов, данные по АЭС за рубежом недоступны», – добавил он.

Расследование сбоев электросети в Украине заняло несколько месяцев, но в феврале эксперты ICS-CERT официально подтвердили, что в инциденте замешан зловред BlackEnergy. Хакеры получили доступ к легитимным учетным записям сотрудников трех украинских региональных поставщиков электроэнергии через фишинговые письма, содержащие BlackEnergy. В результате атаки электричества лишились около 225 тыс человек.

Институт Chatham House в Лондоне предупредил еще прошлой осенью, до инцидента с электроснабжением в Украине, что растет риск кибератак, направленных на атомную отрасль. В 52-страничном отчете эксперты подчеркнули, что этому способствует наличие множества уязвимостей в оборудовании, а также характерный для энергетики низкий уровень осведомленности и навыков в области кибербезопасности.

Амано утверждает, что МАГАТЭ обеспечивает сотрудников возможностью проходить дополнительные тренинги по кибербезопасности наряду со счетчиками Гейгера и полной информацией о 131 стране с атомной энергетикой.

Не так давно МАГАТЭ провело в Вене саммит, посвященный проблеме кибербезопасности, на котором обсудило насущные проблемы отрасли. По словам Амано, кибербезопасность станет основной темой следующего саммита в декабре.


Источник: Threatpost | Новости ИБ

[уязвимость] Уязвимость в OpenSSH позволяет использовать IoT в качестве прокси

В настройках старых версий клиентов OpenSSH по умолчанию активирована функция TCP-перенаправления.

С помощью конфигурационной опции в демонах SSH хакеры используют устройства «Интернета вещей» (IoT) в качестве прокси при передаче вредоносного трафика. Для этого они эксплуатируют уязвимость в OpenSSH 12-летней давности.

CVE-2004-1653 была обнаружена в 2004 году и исправлена в начале 2005 года. Уязвимость затрагивала конфигурацию по умолчанию в OpenSSH (sshd). Дело в том, что в заводских настройках старых версий клиентов OpenSSH была активирована функция TCP-перенаправления, благодаря чему удаленные аутентифицированные пользователи могли осуществлять проброс портов.

Уязвимость не считалась опасной, поскольку для ее эксплуатации у атакующего должен быть доступ к устройству по SSH. Тем не менее, если злоумышленнику удастся получить доступ к системе с помощью брутфорс-атаки (путем подбора учетных данных из списка незащищенных паролей), он может использовать ее в качестве прокси.

Вышеупомянутая функция уже в течение многих лет отсутствует в OpenSSH, однако данное ПО используется во многих устройствах «Интернета вещей» по всему миру. Поскольку функции их аппаратного обеспечения весьма ограниченны, ботнеты из IoT-устройств используются только для осуществления брутфорс- и DDoS-атак, а также для передачи трафика.

Согласно отчету Akamai, опубликованному 12 октября текущего года, эксперты зафиксировали большой объем вредоносного трафика, источником которого являются IoT-устройства. Злоумышленники осуществляют брутфорс-атаки на гаджеты «Интернета вещей», изменяют настройки конфигурации SSH, активировав опцию «AllowTcpForwarding», а затем используют эти устройства в качестве прокси для передачи трафика. Таким образом хакерам удается скрыть истинный источник любой атаки, будь то брутфорс или DDoS.


Источник: Securitylab.ru

Военные США намерены использовать блокчейн для защиты ядерного оружия

Технология может найти широкое применение в сфере военных технологий.  

Использование блокчейна нефинансовыми организациями – явление весьма редкое, однако он может найти широкое применение в сфере военных технологий. Как сообщает издание Quartz, в настоящее время DARPA спонсирует исследование возможного применения блокчейна для защиты секретной информации в самых различных сферах, начиная от ядерного оружия и заканчивая военными спутниками.

Блокчейн – выстроенная по определенным правилам цепочка из формируемых блоков транзакций (специальных структур для записи группы транзакций). Технология лежит в основе криптовалюты Bitcoin. Блокчейн хранит сведения обо всех изменениях, когда-либо внесенных в систему или данные.

Специалист DARPA, изучающий вопрос применения блокчейна, Тимоти Бухер (Timothy Booher) провел интересную аналогию: «Для того чтобы защититься от вторжения, не так важно построить крепость с максимально высокими стенами, как знать, кто проник в нее и что делает». Другими словами, блокчейн поможет военным узнавать, вносили ли хакеры какие-либо изменения в секретные базы данных и какая именно информация их интересовала.

В прошлом месяце DARPA подписало контракт на $1,8 млн с ИБ-фирмой Galois на проведение проверки (наподобие аудита кода) специальной технологии на основе блокчейна, разработанной компанией Guardtime. Если проверка пройдет удачно, DARPA приблизится к тому, чтобы предоставить военным специальную форму блокчейна, применяемую в самых различных сферах.

DARPA – агентство Министерства обороны США, отвечающее за разработку новых технологий для использования в вооруженных силах.


Источник: Securitylab.ru

14 октября 2016

[ZLONOV.ru] Выступления заказчиков (и не только) на Код ИБ Екатеринбург

ZLONOV.ru
Пост Выступления заказчиков (и не только) на Код ИБ Екатеринбург опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

12 октября 2016

10 октября 2016

[аналитика] NIST: люди перестали волноваться из-за кибербезопаcности

Сведения о плачевном состоянии кибербезопасности на предприятиях критической инфраструктуры, в государственных организациях, компаниях всех размеров, а также на пользовательских устройствах не на шутку волнуют аналитиков, правоохранителей, ИБ-экспертов. Однако сами пользователи относятся к угрозам весьма флегматично. Национальный институт стандартов и технологий США (NIST) опубликовал исследование об отношении людей к киберрискам. Как выяснилось, сообщения о постоянно возникающих киберугрозах так «забили эфир», что пользователи решили просто перестать волноваться.

Это очень тревожный индикатор того, что пользователи приближаются к стадии «усталости» от проблем безопасности. Опрос показал, что участники настолько привыкли к постоянным угрозам, что относятся к ним с неким фатализмом. Один из участников сказал по этому поводу: «Это не конец света. Если что-то должно произойти, оно произойдет».

Такое отношение к серьезной проблеме волнует ИБ-экспертов. Например, автор отчета, научный сотрудник NIST Мэри Теофанос (Mary Theofanos) сказала, что в рамках подготовки исследования ее коллеги опросили около 40 человек, не имеющих отношения к миру кибербезопасности, чтобы понять уровень осведомленности о рисках среди «обывателей». Хотя выборка весьма небольшая, опрос каждого участника был подробным и длился около 45 минут. Как пояснила Теофанос, нужно было установить ориентир и задать реалистичные цели в рамках Национальной инициативы по образованию в сфере кибербезопасности (NICE).

Фатализм и безразличие респондентов потрясли исследователей. По словам Теофанос, люди, не успевающие за быстрыми темпами мира ИТ-безопасности, решили, что им уже ничто не поможет. Вопросы кибербезопасности становятся сложнее день ото дня, и многим людям, чтобы поспевать за трендом, требуются слишком серьезные усилия, и кибероборона для них теряет всякий смысл.

Многие участники опроса считают, что они неинтересны киберпреступникам, так как у них «нечего украсть». Одна респондентка отметила: «Если хакеры хотят украсть мой рецепт черничных маффинов — пожалуйста». Люди уверены, что стоящей целью для киберпреступников являются, к примеру, сотрудники спецслужб, но никак не обычные пользователи. Примечательно, что отношение к данной проблеме совершенно противоположно у людей, ставших тем или иным образом жертвой киберпреступлений. «Те, кто столкнулся с подделкой их личности, смотрят на проблему кибербезопасности совершенно по-другому», — отметила автор исследования.

Как считает Теофанос, ситуацию можно исправить, только изменив образ мышления пользователей. Технологическим компаниям стоит создавать продукты, больше ориентированные на обычных людей, не обладающих глубокими познаниями в области информационной безопасности. «Нам нужно максимально облегчить обеспечение безопасности для пользователей и превратить соблюдение требований ИБ в привычку, доведенную до автоматизма», — сказала Теофанос. По ее словам, если пользователям приходится принимать слишком много решений, они не чувствуют себя в силах изменить ситуацию.


Источник: Threatpost | Новости ИБ

08 октября 2016

Критическая инфраструктура не в лучшем состоянии

Предприятия критической инфраструктуры США получили еще одно предупреждение о необходимости срочных действий, направленных на защиту от кибератак: правительство США выпустило ежегодный отчет о состоянии объектов критической инфраструктуры.

Ежегодный отчет NCCIC/ICS-CERT за 2015 финансовый год подтверждает, что в системах АСУ ТП (SCADA) по-прежнему содержится огромное количество уязвимостей. Большей частью это проблемы, связанные с нарушением прав доступа, низким качеством программного кода, а также со слабой криптозащитой сети и коммуникаций (или ее полным отсутствием).

Отчет подготовлен Командой экстренного реагирования на кибератаки на системы промышленного управления США (U.S. Industrial Control Systems Cyber Emergency Response Team, ICS-CERT); в нем содержится анализ данных, предоставленных частными и публичными организациями, работающими на рынке систем управления промышленными процессами в 2015 году. Самыми уязвимыми для кибератак оказались системы предприятий, представляющих отрасли энергетики, производства критически важного оборудования, водоснабжения и водоотведения, а также пищевую и сельскохозяйственную отрасли.

«Отчет выявил, что в области критической инфраструктуры нам приходится иметь дело с теми же системными проблемами, что и 20–30 лет назад, — сказал Джастин Харви (Justin Harvey), глава по стратегии информационной безопасности в компании Gigamon. — Мы не можем оставить все как есть, когда дело касается безопасности систем АСУ ТП».

Согласно ICS-CERT, 52% уязвимостей, о которых стало известно в 2015 году, связаны с несовершенствами в процессах валидации ввода и контроля прав доступа. В то же время эксперты предполагают, что «популярность» этого типа уязвимостей связана с тем, что именно о них в основном докладывали исследователи в 2015 году.

Крис Энг (Chris Eng), вице-президент по исследованиям в Veracode, отметил, что проблема безопасности систем управления процессами применима и к другим секторам экономики: «Мы наблюдаем такой же (если не больший) масштаб проблемы в областях помимо критической инфраструктуры. Это можно объяснить тем, что системы АСУ ТП, которые используются сегодня в области предприятий критической инфраструктуры, были разработаны в те времена, когда программисты даже не закладывали в код функции безопасности».

Также многих экспертов волнует еще один обозначенный в отчете ICS-CERT тренд — резкий рост количества известных уязвимостей, связанных с криптографией, по сравнению с данными отчета за предыдущие годы. Количество систем АСУ ТП, не шифрующих конфиденциальные данные, выросло с 3% в 2010–2014 годах до 14% в 2015 году. Согласно отчету, с 2010 по 2014 год проблемы с устойчивостью шифрования наблюдались в 7% систем АСУ ТП, а в 2015 году их доля выросла до 25%.

Алекс Ротакер (Alex Rothacker), директор по исследованию безопасности в SpiderLabs Team компании Trustwave, сказал, что продолжительный эффект от Heartbleed, POODLE и других уязвимостей криптографии еще будет наблюдаться в системах управления промышленными процессами. «Этот скачок можно объяснить более активным использованием этих библиотек в системах АСУ ТП», — пояснил он.

По данным ICS-CERT, проблемы в области криптографии, с которыми регулярно сталкиваются частные и публичные операторы объектов критической инфраструктуры, связаны с еще более масштабной проблемой — низким качеством программного кода. Половина уязвимостей в АСУ ТП проистекает из ошибок в программировании.

«Низкое качество кода в масштабе всей отрасли — головная боль для предприятий, использующих системы управления технологическими процессами, — отметила Энн Бэррон-ДиКамилло (Ann Barron-DiCamillo), главный технический директор в Strategic Cyber Ventures и бывшая глава US-CERT. — Существует целое движение за проверку качества кода и обучение программистов АСУ ТП лучшим методам, чтобы положить конец проблеме уязвимостей, которыми активно пользуются злоумышленники».

Среди других тенденций, отмеченных в отчете, — повышение общего количества известных уязвимостей с 2010 по 2015 год, сокращение времени, необходимого на обработку заявок в ICS-CERT, а также снижение степени критичности уязвимостей. Тем не менее отраслевые эксперты предостерегли от скоропалительных выводов: ввиду специфики отчета выборка ICS-CERT слишком мала для того, чтобы обрисовать адекватную картину. В 2015 году ICS-CERT получила отчеты о 427 уязвимостях и выпустила 197 бюллетеней. Информация об уязвимостях поступила от различных организаций, связанных с АСУ ТП, — федерального правительства, а также органов местного самоуправления на уровне штата или более мелких административных единиц; также составлению отчета способствовали владельцы и операторы предприятий частного сектора и производители.


Источник: Threatpost | Новости ИБ

[инцидент] Проблема “admin:password”: стандартные пароли помогли создать ботнет из почти 400 000 IoT-устройств

В начале октября в сети был опубликован код составляющих крупного IoT-ботнета Mirai. Сообщалось, что в ботнет главным образом входят IoT-устройства, в том числе видеокамеры и DVR, а общий его размер на пике достигал почти 400 000 девайсов, c помощью которых злоумышленники могут осуществлять крайне мощные DDoS-атаки.

Скриншот форума Hackforums, на котором было опубликовано сообщение со ссылками на исходный код ботнета

Известно как минимум о двух крупных атаках с применением Mirai — сначала жертвой атакующих стал журналист Брайан Кребс, сайт которого подвергся DDoS мощностью около 620 Гбит/с, а затем французский хостинг-провайдер OVH испытал еще более мощный DDoS мощностью 1 Тб/с.

При этом логика распространения ботнета и заражения устройств, проанализированная экспертами Positive Technologies, говорит о том, что целью его создателей были не цифровые камеры или IoT. Вместо этого, они фокусировались на поиске подключенных к интернету устройств с установленными стандартными паролями — в итоге в ботнет легко могли попасть и обычные домашние компьютеры, серверы и роутеры.

Этот факт подтверждается наличием в коде ботнета 61 стандартных паролей, с помощью которых создателям и удалось собрать настолько внушительную сеть зараженных устройств. Логика работы Mirai проста — система сканирует доступные в интернете устройства по telnet, а затем использует пароли из списка для получения доступа к девайсу с помощью брутфорса.

В списке использующихся Mirai стандартных паролей были многие популярные комбинации вроде “admin:admin” или “admin: password”. Как правило подобные пароли используются в устройствах и предполагается их смена пользователем, однако очень часто люди забывают или ленятся сделать это.

Кроме того, в некоторых случаях устройства поставляются с «зашитыми» в коде сервисными учетными записями, к которым у пользователей нет доступа, и которые нигде не документируются. Довольно часто подобные случаи встречаются при релизах продуктов крупных вендоров — по ошибке специалисты компаний могут забыть убрать из выпускаемой версии софта вшитые учетные записи, использовавшиеся для откладки или нужд разработки. Пример подобной ошибки — уязвимость операционной системы NX-OS, использующейся в коммутаторах Cisco Nexus 3000 Series и 3500 Platform. Исследователи обнаружили в ней зашитый пароль для доступа по Telnet с правами root-пользователя, который нельзя отключить.

При этом, сфера интернета вещей (IoT) в настоящий момент активно развивается, и далеко не все компании, занимающиеся созданием подобных продуктов внедрили подходы к безопасности разработки (SSDLC), как это сделали, к примеру, вендоры телеоммуникационного оборудования.

Таким образом специфичность ботнета Mirai заключается лишь в том, что его создатели смогли создать зловредный софт для различных архитектур.

Источник: Хабрахабр / Информационная безопасность / Интересные публикации

[уязвимость] Johnson & Johnson предупредила об уязвимости в своей инсулиновой помпе

Беспроводное соединение с пультом ДУ не шифруется и потенциально может использоваться для кибератак.

Американская компания Johnson & Johnson сообщила о наличии уязвимости в инсулиновых помпах OneTouch Ping, позволяющей удаленно изменить дозировку инсулина. Как пояснил производитель, система OneTouch Ping не подключена к интернету или внешней сети, однако беспроводное соединение с пультом дистанционного управления не шифруется и потенциально может использоваться для хакерских атак.

Компания оценила вероятность несанкционированного доступа как крайне низкую, поскольку такая атака требует наличия технических навыков, сложного оборудования и возможна с только с близкого расстояния от помпы. По данным Johnson & Johnson, попыток атак на системы зафиксировано не было.

В качестве возможной меры предотвращения атак компания рекомендует отказаться от пульта дистанционного управления и запрограммировать помпу на ограничение максимальной дозы инсулина.

Напомним, в августе нынешнего года компания Muddy Waters Capital заявила о необходимости отзыва и повторной установки кардиостимуляторов, ICD (вживляемых дефибрилляторов) и CRT (сердечных терапевтических устройств пересинхронизации) торговой марки St. Jude Medical в связи с наличием в данных устройствах уязвимостей, которые могут привести к сбою в работе оборудования.


Источник: Securitylab.ru

04 октября 2016

Эксперты научились передавать пароли через тело человека

Передача данных через тело человека обезопасит их от MITM-атак.

Похищение учетных данных является одной из главных проблем в сфере информационной безопасности, и специалисты упорно работают над ее решением. Команда исследователей Вашингтонского университета разработала систему, способную предотвратить перехват данных в процессе их передачи. Вместо того, чтобы передавать информацию привычным путем («по воздуху»), ученые предложили использовать для этого тело самого пользователя.

Человеческое тело является отличным проводником определенных видов волн, и исследователи решили использовать данное свойство для передачи паролей непосредственно со смартфонов, например, на медицинские устройства или дверные замки. Для воплощения идеи в жизнь ученым понадобилось разработать систему, которая могла бы контактировать с телом пользователя и генерировать электромагнитные волны с частотой ниже 10 МГц. Кроме того, система должна быть собрана из доступных деталей, иначе могут возникнуть сложности с ее массовым производством.

Исследователи воспользовались датчиком отпечатков пальцев iPhone, тачпадом ноутбуков Lenovo, а также сканером отпечатков пальцев и тачпадом Adafruit. Идея очень проста – сгенерировать электромагнитный сигнал от датчика или тачпада и передать его через человеческое тело на нужное устройство. Сигнал может содержать в себе пароль или даже ключ шифрования.  

«Просто прикоснувшись к дверному замку, пользователь может через свое тело передать секретные аутентификационные данные со смартфона и открыть деверь, не опасаясь, что они будут перехвачены по воздуху», - говорится в отчете исследователей. 


Источник: Securitylab.ru