Мой основной сайт ZLONOV.ru (RSS-лента) | Ссылка на Twitter: @zlonov | Telegram-канал: @zlonovru

29 ноября 2016 г.

[ZLONOV.ru] PIM, PUM, PAM!

ZLONOV.ru
Пост PIM, PUM, PAM! опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

28 ноября 2016 г.

AC&M: В России уже 10 млн SIM-карт используетcя в IoT

Компания AC&M опубликовала исследование российского рынка IoT-решений. На конец третьего квартала 2016 года в российских мобильных сетях функционирует по крайней мере 10 млн IoT устройств. За последний их число выросло более чем на 30%. Опрошенные агентством эксперты ожидают, что в 2017 сегмент увеличится еще на 40%.

В отраслевой структуре рынка доминируют транспорт и розничная торговля (беспроводные валидаторы безналичных платежей, кассовые аппараты и банкоматы). Значительная часть устройств используется в жилищно-коммунальном хозяйстве и энергетике. Более 40% SIM-карт, задействованных в различных IoT-решениях в России, по оценкам AC&M, работают в сети MTС. На втором месте «Мегафон» с долей сегмента в 35%. У «Выммпелкома» — 19% рынка. Остальное делят «Ростелеком», Tele2 и другие компании.

Большинство опрошенных аналитической компанией экспертов считают, что темпы роста в сегменте в очень значительной степени зависят от того, какую позицию займет государство и насколько активно оно будет способствовать продвижению различных проектов объективного контроля и мониторинга. Это касается и государственных программ мониторинга в области транспорта, и поддержки развития умных приборов учета тепла, электроэнергии, потребления воды и газа.


Источник: Roem.ru — Все новости

Автомобили Tesla можно угнать с помощью одного приложения

В прошлом эксперты не раз демонстрировали взлом автомобилей Tesla, однако на этот раз исследователям компании Promon удалось обнаружить машину, открыть и угнать с помощью всего лишь одного приложения для Android.

Для каждой модели Tesla существует соответствующее приложение для iOS- и Android-устройств, позволяющее ее владельцу узнавать местонахождение машины и уровень заряда ее аккумулятора, включать фары, чтобы найти ее на парковке и пр. Приложения существенно облегчают жизнь владельцам транспортных средств, но в то же время представляют собой угрозу. Злоумышленники могут взломать программу и использовать для угона автомобиля.

Осуществить атаку можно, только если пользователь загрузит и установит на своем смартфоне вредоносное приложение. С целью заставить жертву инсталлировать вредонос, злоумышленники используют методы социальной инженерии. Хакеры могут создать вблизи зарядной станции Tesla вредоносную точку доступа Wi-Fi и через нее отображать на подключившемся смартфоне рекламу приложения. За загрузку программы может предлагаться вознаграждение, например, бесплатный бургер.

Когда жертва установит вредоносное приложение, злоумышленники подключаются к ее смартфону и подготавливают почву для угона. По словам исследователей, при первом подключении к серверу с помощью логина и пароля приложение Tesla получает токен OAuth. Далее токен сохраняется в открытом виде в песочнице приложения и используется при каждом запуске программы.

Задача хакеров – сбросить токен и тем самым заставить пользователя снова ввести учетные данные. Удалив токен, злоумышленники могут перехватить вводимые жертвой логин и пароль и использовать их для авторизации в приложении. Таким образом, хакеры смогут узнать местоположение автомобиля, активировать режим вождения без ключа и угнать его.


Источник: Securitylab.ru

Модуль Schiaparelli упал на Марс из-за грубой программной ошибки

Официальное расследование Европейского космического агентства (ЕКА) показало, что марсианский лендер Schiaparelli упал из-за грубой ошибки в программном обеспечении. Некорректная обработка неверных показаний датчика вращения заставила аппарат считать, что он находится под поверхностью Марса, сообщил сайт космического агентства.

В среду, 19 октября, совместная российско-европейская миссия «ЭкзоМарс-TGO» прибыла к красной планете и попыталась решить две критически важных задачи – выход зонда TGO на стабильную орбиту у Марса и посадка демонстрационного посадочного модуля «Скиапарелли» на плато Меридиан у экватора красной планеты.

Посадка лендера прошла неудачно – его ПО решило, что модуль уже приземлился. Это заставило «Скиапарелли» отключить двигатели всего через 3-4 секунды после их включения. В результате он рухнул с высоты в 3-4 км ровно в ту точку, где он должен был сесть на Марс. Предположительной причиной был назван сбой в радаре-высотомере.

Инженеры ЕКА проанализировали часть данных телеметрии и выяснили, что история была несколько сложнее.

Приземление, установили ученые, проходило нормально на первых стадиях - «Скиапарелли» корректно провел аэродинамическое торможение и затем выбросил тормозные парашюты. На высоте в 7,8 км был корректно сброшен тепловой экран. Через некоторое время после этого произошло то, что погубило зонд.

Оказалось, что фатальная ошибка в работе ПО «Скиапарелли» произошла не из-за сбоя высотометра, а из-за проблем в работе другого навигационного прибора – так называемого «измерителя инерции» (IMU), устройства, измеряющего скорость вращения модуля вокруг своей оси.

Данные с этого прибора, как объясняют инженеры, учитывались при обработке данных о высоте полета, поступающих с радаров «Скиапарелли». В один момент в работе IMU произошел сбой, в результате чего он «измерил» аномально высокую скорость вращения лендера, которая выходила за пределы допустимых значений. Подобные сбои являются нормой в работе инерциальных датчиков, и обычно для их подавления ученые «сглаживают» сигнал и сравнивают данные за текущий момент с результатами, полученными в прошлые моменты времени.

Но в данном случае IMU передавал данные на главный компьютер «Скиапарелли» неожиданно долго, на протяжении секунды, что «обмануло» ПО модуля и заставило его считать эти измерения реальными данными, а не аномалией. Неправильные значения были учтены при расчете высоты модуля, в результате чего бортовой компьютер «Скиапарелли» получил отрицательные значения высоты.

Модуль посчитал, что он находится даже не на поверхности Марса, а под ней, что заставило его на высоте 3,7 км инициировать финальную стадию процедуры посадки, отделить парашюты и выключить двигатели.

Эта ошибка, как отмечают ученые, носит чисто программный характер и легко воспроизводится в компьютерных симуляциях приземления «Скиапарелли». Как отметил Дэвид Паркер, руководитель отдела пилотируемых полетов и роботизированного изучения космоса в ЕКА, эти данные и ошибка будут учтены при проектировании ПО для посадочной платформы марсохода «Пастер», которая разрабатывается в НПО Лавочкина.


Источник: Ведомости-2

Камеры видеонаблюдения Siemens потенциально уязвимы

Компания Vanderbilt Industries обновила прошивку IP-камер Siemens, запатчив серьезную уязвимость, потенциально подверженную удаленной эксплуатации.

Уязвимость CVE-2016-9155 позволяет хакеру получить администраторские права к устройствам посредством отправки специально созданных запросов.

«До применения патча лучше ограничить доступ к интегрированному веб-серверу», — уточнила Siemens в бюллетене.

Уязвимость содержится в следующих камерах:

  • CCMW3025: версии прошивки до 1.41_SP18_S1;
  • CVMW3025-IR: версии прошивки до 1.41_SP18_S1;
  • CFMW3025: версии прошивки до 1.41_SP18_S1;
  • CCPW3025: версии прошивки до 0.1.73_S1;
  • CCPW5025: версии прошивки до 0.1.73_S1;
  • CCMD3025-DN18: версии прошивки до v394_S1;
  • CCID1445-DN18: версии прошивки до v2635;
  • CCID1445-DN28: версии прошивки до v2635;
  • CCID1445-DN36: версии прошивки до v2635;
  • CFIS1425: версии прошивки до v2635;
  • CCIS1425: версии прошивки до v2635;
  • CFMS2025: версии прошивки до v2635;
  • CCMS2025: версии прошивки до v2635;
  • CVMS2025-IR: версии прошивки до v2635;
  • CFMW1025: версии прошивки до v2635;
  • CCMW1025: версии прошивки до v2635.

Компания Vanderbilt Industries закрыла сделку по поглощению бизнеса Siemens, связанного с продуктами в сфере безопасности. Камеры Siemens для видеонаблюдения используются в различных отраслях, в том числе в государственных организациях и учреждениях здравоохранения.

В Siemens заявили, что информацией о публичных эксплойтах не располагают, но предупреждают о том, что уязвимостью могут воспользоваться даже хакеры с очень низким уровнем навыков, при условии доступа к сети.

Компания призывает как можно быстрее залатать уязвимость в свете появления все новых проблем с безопасностью IoT-устройств. Недавно стало известно о нескольких масштабных DDoS-атаках, в которых участвовали IoT-устройства вроде камер и DVR-приставок, зараженные зловредом Mirai.

Mirai ищет незащищенные устройства и затем использует список слабых или дефолтных учетных записей, чтобы получить доступ. После этого зараженное устройство становится частью ботнета и может использоваться в DDoS-атаках.

Самые масштабные из подобных атак произошли в последние несколько месяцев. Жертвами становились сайт ИБ-эксперта Брайана Кребса — Krebs on Security, французский хостинговый сервис OVH и DNS-провайдер Dyn, на этой неделе купленный компанией Oracle.

Если проблема не решена наиболее эффективным образом — отзывом уязвимых устройств, операторы, по мнению экспертов, могут нивелировать угрозу, своевременно установив обновления или хотя бы изменив дефолтные учетные данные.


Источник: Threatpost | Новости ИБ

22 ноября 2016 г.

В IP-камерах видеонаблюдения Siemens обнаружена уязвимость

Компания Siemens сообщила об уязвимости в IP-камерах видеонаблюдения торговой марки Siemens производства корпорации Vanderbilt Industries. Согласно предупреждению ICS-CERT, атакующий с доступом к сети может удаленно проэксплуатировать уязвимость и получить учетные данные администратора. Как отмечается, для эксплуатации проблемы не требуются особые технические навыки.

Проблема получила идентификатор CVE-2016-9155 и оценена в 9.8 баллов по шкале CVSS. Уязвимость затрагивает следующие продукты: CCMW3025 (версии до 1.41_SP18_S1), CVMW3025-IR (версии до 1.41_SP18_S1),CFMW3025 (до 1.41_SP18_S1), CCPW3025 (до 0.1.73_S1), CCPW5025 (до 0.1.73_S1), CCMD3025-DN18 (до1.394_S1), CCID1445-DN18 (до 2635), CCID1445-DN28 (до 2635), CCID1445-DN36 (до 2635), CFIS1425 (до 2635), CCIS1425 (до 2635), CFMS2025 (до 2635), CCMS2025 (до 26350), CVMS2025-IR (до 2635), CFMW1025 (до 2635) и CCMW1025 (до 2635).

Производитель уже выпустил корректирующие обновления, устраняющие вышеуказанную уязвимость.


Источник: Securitylab.ru

Безопасность IoT — задача регуляторов?

Регулирование отрасли государством считается чуть ли не угрозой, по мнению многих представителей ИТ-индустрии. Но недавние DDoS-атаки с крупных IoT-ботнетов обеспокоили ИБ-специалистов настолько, что они готовы признать: вмешательство законодателей может быть неизбежно.

В своем докладе подкомитету комитета энергетики и торговли Конгресса США в среду Брюс Шнайер (Bruce Schneier) заявил, что экономическое давление рынка не может в полной мере решить проблемы, связанные с уязвимостями в IoT-среде. Также он предположил, что, возможно, настал момент, когда отрасли нужно поступиться инновациями ради обеспечения надлежащего уровня безопасности при производстве и распространении подключаемых к Интернету устройств.

«Мне самому это не по душе, — сказал Шнайер. — Но мы живем в мире опасных вещей, поэтому, возможно, нам придется притормозить прогресс. Нельзя просто сконструировать самолет и сразу полететь на нем. Нам стоит признать, что эра, когда Интернет был местом для игр и развлечений, закончилась; Интернет превратился в опасное место. Регулирование может притормозить внедрение инноваций, но мы должны поступить так, если инновации связаны с рисками».

Шнайер и другие докладчики — профессор Университета Мичигана Кевин Фу (Kevin Fu) и директор Level 3 Communications по информационной безопасности Дейл Дрю (Dale Drew) — рассказали членам комитета, что проблема незащищенности IoT должна быть решена на уровне инженерной разработки компонентов, где должны быть встроены (а не внедрены поверх аппаратной части) технологии безопасности.

В качестве говорящего примера докладчики использовали недавнюю DDoS-атаку на DNS-провайдера Dyn: эта атака была не только масштабной и разрушительной, но и простой в исполнении. Фу предложил следовать опыту таких организаций, как NIST, которые превращают принципы безопасности в отраслевые стандарты, а не просто предлагают свои рекомендации. Дрю заявил, что нужно мотивировать производителей учитывать безопасность с самого начала, чтобы не допустить случаев, когда DVR-приставки и камеры поставляются на рынок, будучи защищенными откровенно слабыми или дефолтными паролями. Именно такой тип устройств использовался в ботнете Mirai, атаковавшем Dyn, французскую хостинговую компанию OVH и сайт ИБ-аналитика Брайана Кребса (Brian Krebs).

Шнайер предположил, что в этом может помочь создание нового правительственного агентства, которое будет отвечать за разработку и внедрение соответствующих регулятивных норм. Он также призвал законодателей и людей, ответственных за принятие решений, изменить свое представление об IoT-устройствах и думать о них как о компьютерах: компьютерах на колесах — в случае умных автомобилей, компьютерах для охлаждения продуктов — в случае умных холодильников и так далее.

«Нам нужно новое агентство, — ответил Шнайер на вопрос о том, как бы он решил проблему регулирования, если бы ему дали карт-бланш. — Мы не можем иметь различные правила по отношению к компьютерам, если они выглядят по-разному, то есть имеют колеса, пропеллеры или функционируют в человеческом теле. Это не сработает. Нам нужны универсальные правила».

На довод о том, что идея о создании нового агентства может быть не принята правительством, Шнайер ответил, что министерство внутренней безопасности было создано через 44 дня после атак 11 сентября. Он призвал законодателей не ждать катастрофы, а действовать сейчас: атака на Dyn была знаком, что время для этого настало.

«Выбор стоит между умным и глупым вмешательством правительства, — сказал Шнайер. — Когда случается что-то ужасное и население просит принять меры, нужно сделать нечто большее, чем просто сказать: «Давайте быстро разберемся с этим». Я сам не фанат правительственного регулирования, но мы живем в опасном мире».

Проблемы на пути обеспечения должного уровня безопасности IoT большей частью обусловлены экономическими причинами. Большинство IoT-устройств делают за рубежом без надлежащего надзора, чтобы снизить стоимость производства. Проблема не только в изменении парадигмы безопасности.

«Регулирование нужно, потому что рынок сам не способен справиться с ситуацией», — сказал Шнайер. По его мнению, пример США в сфере регулирования позитивно повлияет на безопасность IoT в глобальном масштабе. «Впервые Интернет начинает влиять на физический аспект. До этого считалось нормальным давать программистам Google и Facebook «свободу творчества» в написании кода. Но теперь, когда к Интернету подключены различные типы устройств, нам придется отказаться от такой практики. Мне это не нравится. Но я думаю, что у нас в текущих условиях нет другого выбора», — отметил эксперт.


Источник: Threatpost | Новости ИБ

Обнаружен бэкдор, нацеленный на российских производителей строительных кранов

21 ноября 2016 г.

[ZLONOV.ru] Ко мне постучался косматый геолог…

ZLONOV.ru
Пост Ко мне постучался косматый геолог… опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

18 ноября 2016 г.

[ZLONOV.ru] Самый простой способ обойти блокировку LinkedIn на смартфоне

ZLONOV.ru
Пост Самый простой способ обойти блокировку LinkedIn на смартфоне опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

17 ноября 2016 г.

Администрация Обамы призвала обезопасить IoT-устройства от взлома

Подключенные к интернету устройства могут угрожать безопасности и экономике, поэтому специализированным компаниям следует производить продукты, надлежащим образом защищенные от взлома. Данный вывод содержится в докладе Департамента внутренней безопасности в администрации Барака Обамы, сообщает Daily Mail со ссылкой на Associated Press.

Как отметили авторы доклада, рискам подвержена техника, предназначенная для ежедневного использования - от фитнес-трекеров и медицинских имплантов до «умных» лампочек и радионянь. Правительство призвало производителей установить на каждое устройство уникальный пароль с тем, чтобы лишить хакеров возможности использовать похищенные пароли для создания и управления ботнетами.

«Растущая зависимость от подключенных к интернету устройств опережает средства защиты», - отметил министр внутренней безопасности США Дже Джонсон.

Курс на данную стратегию был взят министерством после того, как хакеры осуществили мощную DDoS-атаку на инфраструктуру DNS-провайдера Dyn при помощи ботнета, состоящего из порядка 100 тыс. IoT-устройств.

Источник: Securitylab.ru

Многочисленные утечки данных последних лет превратили брутфорс в эффективное оружие

Свoдная группа исследователей из Пекинского университета, педагогического университета Фуцзянь и университета Ланкастера продeмонстрировала на конференции ACM Conference of Communication and Systems Security (CCS) наглядный пример того, чем опасны мaссовые утечки пользовательских данных.

Исследователи создали фреймворк для напpавленного подбора паролей, получивший имя TarGuess. В качестве «словaря» были использованы открытые данные, почерпнутые из десятка крупных утечек пoследнего времени. Так, исследователи воспользoвались базами паролей с пяти англоязычных сайтов, в том числе Yahoo, и пяти китайских ресурсов, включая Dodonew. Результаты экcперимента в очередной раз доказали, что у большинства пользoвателей проблемы с безопасностью и созданием нaдежных паролей.

Атаки TarGuess оказались успешны в 73% случаев, если говорить о рядовых пользователях (на подбор такого пароля у системы уходит в среднeм 100 попыток). С подбором паролей от аккаунтов технически продвинутых граждaн дело обстоит заметно хуже: атаки были успешны лишь в 32% случаев.

«Полученные нами результаты свидетельствуют о том, что используемые сейчас мeханизмы безопасности в большинстве своем неэффективны против напpавленной атаки на подбор [пароля]. Данная угроза уже нанесла гораздо бoльше ущерба, чем ожидалось. Мы полагаем, что новый алгоритм и понимание эффективнoсти направленных брутфорс-угроз помогут пролить свет кaк на существующие парольные практики, так и на будущие изыскания в этой области», — пишут исследователи.

В доклaде (PDF), представленном группой, приведена весьма удpучающая статистика. Порядка 0,79-10,44% паролей, заданных самими пользователями, можно подобрать, просто вооружившись списком из дeсяти самых худших паролей, выявленных в ходе любой свежей утечки данных. В частности, популяpность комбинаций 12345 и password даже не думает снижаться. При этом процент людей, которые иcпользуют для создания паролей свои персональные данные, на удивление низок. К пpимеру, свое имя в состав пароля включают от 0,75% до 1,87% пользователей. А свою дату рождeния в пароле задействуют от 1% до 5,16% китайских пользователей.

Основнoй проблемой по-прежнему остается повторное иcпользование паролей (passwords reuse). То есть пользователи, очевидно, не читают новoстей и гайдов, написанных специалитами, и до сих пор предпочитают иметь пaру-тройку повторяющихся паролей для всех сайтов и сервисов, которыми пользуются. Именно на это «слабое звено» направлена атака TarGuess, котоpая в очередной раз доказывает, что публично доступные данные о человеке станут хорошим пoдспорьем в подборе пароля от его акаунтов. И не важно, если личная информaция просочилась в сеть в ходе какого-то массового взлома и утечки данных, или каким-то иным обpазом.

Исследователи создали для TarGuess четыре разных алгоритма, но лучше всего показал себя имeнно алгоритм подбора родственных паролей. То есть проблема passwords reuse пpоявила себя во всей красе, так как направленный подбор паролeй работает куда эффективнее, если атакующей стороне уже известен пароль от любого другого аккaунта жертвы. Впрочем, даже когда родственных паролей нет под рукoй, общая успешность атак TarGuess все равно составила 20% на 100 попыток подбора, и 50% на 106 попыток подбора.

Источник: «Хакер»

12 ноября 2016 г.

Уязвимость повышения привилегий затрагивает продукты Siemens

Siemens выпустили обновления и временные решения для исправления бреши в безопасности, затрагивающей многие из их продуктов. Организации были предупреждены, что пользователи с локальным доступом, при определенных условиях, используя уязвимые приложения Siemens, могут повысить свои права на системах Windows.

«Если путь, по которому установлены уязвимые продукты отличается от пути по умолчанию (например, “C:\Program Files\*”), локальный пользователь может повысить свои права на системе Microsoft Windows» - говорится в сообщении Siemens, опубликованном на этой неделе.

Эта брешь отслеживается под идентификатором CVE-2016-7165. Ее нельзя проэксплуатировать при условии, что уязвимый продукт установлен по пути по умолчанию.

Брешь затрагивает несколько SCADA-систем Siemens, распределенные системы управления (DCS), инженерные инструменты и симуляторы, включая SIMATIC, SINEMA, TeleControl, SOFTNET, SIMIT.

Siemens выпустили обновления для некоторых продуктов, а для других посоветовали использовать временные решения вроде ограничения доступа к файловой системе.


Источник: Anti-Malware.ru

Придуман способ воровать пин-код смартфона без взлома и трянов

10 ноября 2016 г.

Siemens исправила уязвимость в своих промышленных продуктах

Производитель пока выпустил обновления только для некоторых уязвимых продуктов.

Siemens выпустила обновления безопасности и временное исправление для уязвимости CVE-2016-7165, затрагивающей ряд промышленных продуктов компании. Злоумышленник может проэксплуатировать уязвимость и повысить свои привилегии в случае, если уязвимый продукт был установлен не по заданному по умолчанию пути (C:\Program Files\*).

Как сообщается в уведомлении производителя, пользователи с локальным доступом к ОС Windows, установленной на одном устройстве с уязвимым приложением Siemens, может при определенных условиях повысить свои привилегии. Затронутые данной уязвимостью продукты широко используются на многих предприятиях, а последствия  от ее эксплуатации варьируются в зависимости от реализации каждого конкретного продукта.

Проблема касается систем Siemens SCADA и DCS, а также инженерных инструментов и симуляторов SIMATIC, SINEMA, TeleControl, SOFTNET, SIMIT, Security Configuration Tool (SCT) и Primary Setup Tool (PST). Siemens пока выпустила обновления безопасности только для некоторых продуктов, а для остальных доступно временное исправление.


Источник: Securitylab.ru

Эксперты объяснили, почему роботы представляют угрозу ИБ

Использующие роботов предприятия испытывают ложное чувство защищенности.

Армия шагающих в ногу роботов, готовых атаковать невинных граждан, больше напоминает кадр из научно-фантастического фильма, чем реальность. Однако, по мнению экспертов, широкое использование роботов на производствах, а также в сферах торговли и здравоохранения может представлять угрозу кибербезопасности.

Как сообщил эксперт международной юридической компании Foley & Lardner Майкл Оверли (Michael Overly), есть две основные проблемы, связанные с робототехникой и безопасностью. Прежде всего, на производствах роботы, как правило, являются неотъемлемой частью сборочных линий, и кибератака на них может серьезно подорвать производственный процесс, тем самым причинив ущерб компании.

В качестве примера Оверли привел атаку с использованием вымогательского ПО на роботизированные сборочные механизмы на одном из заводов в Мексике. Вредоносная программа заблокировала файлы, предоставлявшие роботам необходимые для работы параметры, и остановила производство.

Во-вторых, если злоумышленник получит контроль над роботом, он сможет использовать его не по назначению. В основном подобные машины достаточно крупные и мощные, чтобы причинить ущерб материальной собственности, а также жизни и здоровью человека.

Многие организации, использующие роботов в производственных процессах, ошибочно полагают, будто они не представляют интерес для хакеров, поскольку не содержат никаких персональных или финансовых данных. Точно так же заблуждаются и сами производители роботов, что приводит к недостаточному уровню безопасности.

Оверли рекомендовал предприятиям, где используются роботы, пользоваться услугами сторонних аудиторов, специализирующихся непосредственно на безопасности производственных и автоматизированных процессов. Соответствующие меры безопасности должны приниматься на основании результатов аудита.

По мнению специалиста Университета Ольстера (Северная Ирландия) Кевина Керрана (Kevin Curran), производители роботов должны заботиться о безопасности еще на стадии их разработки. «Каждое подключаемое к Сети устройство должно быть защищено паролем. Устройство нельзя подключать, используя заводской пароль. Нужно устанавливать длинный сложный пароль. Как ПК и планшеты, все устройства должны получать доступные обновления сразу же после их релиза», - отметил Керран.


Источник: Securitylab.ru

[ZLONOV.ru] Solar JSOC 2.0: Лучший сантехник — тот, который будет потом вместе с вами жить

ZLONOV.ru
Пост Solar JSOC 2.0: Лучший сантехник — тот, который будет потом вместе с вами жить опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

DDoS-атака вывела из строя систему теплоснабжения в небольшом финском городе

Соглaсно сообщениям финских СМИ, на прошлой неделе несколько многоквартирных домов в финском городе Лаппеэнранта осталиcь без теплоснабжения в результате DDoS-атаки.

Обслуживанием пострадавших зданий зaнимается местная компания Valtia. Глава фирмы подтвердил англоязычнoму изданию Metropolitan.fi, что здания лишись горячего водоснабжения, тепла и вентиляции, так как DDoS-атака вывeла из строя контролирующее оборудование (сообщается, что речь идет о девайcах компании Fidelix). Атаки начались еще в конце октября и прекратились 3 ноябpя 2016 года.

По словам представителя Valtia, атаку заметили не сразу, но она вызвала сбои в работе DNS-сеpверов, которые использовала компания, в результате чего системы упpавления умными домом потеряли связь с серверами. Так как удаленнoго доступа не было, инженеры компании выехали на место, чтобы лично устранить проблему. На месте выяснилось, что из-за сбоя системы попытались перегрузиться, в результате чего автоматика вошла в бeсконечный цикл, перезагружаясь каждые пять минут и отказываяcь возобновлять работу в штатном режиме. В итоге проблему удалось решить только отключением сиcтем от интернета.

Хотя среднесуточная температура в городке Лаппеэнранта в это время года уже опускaется ниже нулевой отметки, представители Valtia заверили, что никто из жителей не пострадал и дaже не ощутил дискомфорта из-за случившегося. И хотя на этот раз ничего по-настоящему страшного не произошло, данный инцидент яpко иллюстрирует, как DDoS-атаки могут напрямую влиять на реальную жизнь, ведь подобных «умных систем» в гoродах становится все больше.


Источник: «Хакер»

9 ноября 2016 г.

Исследователи взломали IoT-лампочки Philips Hue, заставив их сигналить SOS морзянкой

Свoдная группа исследователей из Института имени Вейцмана в Реховоте и Университета Далхаузи в Канаде опубликовала интересный доклaд, озаглавленный «Взрываем IoT: создание цепной реакции ZegBee» (PDF). Исследовaтели в очередной раз доказали, что интернет вещей – это одна большая проблeма, а с последствиями небезопасности IoT-устройств экспeртам со всего мира предстоит разбираться еще очень долго.

Группа ученых создала экспериментальнoго саморазмножающегося IoT-червя и эффектно продемонстрировaла его работу. Данный эксперимент показал, что малварь можeт посеять настоящий хаос в современном «умном» городе, глуша сигналы Wi-Fi, мешая рабoте электросетей и выводя из строя критически важные для городской инфраструктуры устройcтва.

В качестве примера исследователи выбрали IoT-лампочки Philips Hue, которые, в частности, используются для подсветки здaний и при работе уличного освещения, а также общаются друг с другом по протоколу ZigBee. Спeциалисты эксплуатировали брешь в протоколе и сумели обойти вcтроенные механизмы безопасности, защищающие устройства от несанкциониpованного удаленного доступа. Исследователи пишут, что им удалoсь извлечь глобальный ключ AES-CCM, при помощи которого производитель шифрует свoи прошивки и через который осуществляет их аутентификацию. «Мы использoвали только доступное оборудование, стоимостью пару сотен долларов, и сумeли найти этот ключ [AES-CCM], не видев ни одного фактического обновления», — говорят экспeрты.

«Вредоносная прошивка может отключить дополнительные закачки [и скачивание обновлений], а значит эффект, произведенный червем (отключение элeктроэнергии, мерцание ламп и так далее) будет перманентным», — пишут исслeдователи.

Более того, червь способен переходить с одного устройства на дpугое, распространяя заражение дальше. Начавшись с одной инфицировaнной лампочки, «эпидемия» может распространиться по всему гoроду «за считанные минуты», согласно представленному докладу. Исследователи гoворят, что перепрограммировать такие пострадавшие устройства невoзможно, поможет только полный демонтаж, что далеко не всегда вoзможно.

В качестве наглядной демонстрации ученые представили два видeоролика, которые можно увидеть ниже. Одна команда ездила на машине по городу (вардрайвинг) и вызвала сбои умных ламп на расстоянии 70 метров, а вторая команда запустила в пoлет оснащенного червем дрона, который, с расстояния 350 мeтров, вывел из строя лампы Philips Hue, установленные на офисном здании. Когда контроль над лампaми был полностью перехвачен, их заставили подавать сигнал SOS азбукoй Морзе.

Компания Philips уже выпустила обновленную прошивку для своих ламп, которая должна была зaкрыть «дыры», использованные исследователями.


Источник: «Хакер»

8 ноября 2016 г.

Schneider предложила временный фикс для Magelis

Спустя неделю после выпуска патча для критической уязвимости в Unity Pro разработчик этой инструментальной системы столкнулся с новой проблемой: в ряде HMI-продуктов семейства Magelis объявились две серьезные бреши. Их эксплуатация может повлечь сбой производственного процесса, который на критически важных объектах — энерго-, водоснабжения — может обернуться угрозой для жизни.

Обе уязвимости, нареченные PanelShock, обнаружили исследователи из профильного стартапа Critifence, соответствующий отчет был направлен в Schneider Electric в апреле. В блоге Critifence технический директор Эран Гольдштейн (Eran Goldstein) отметил, что уязвимости CVE-2016-8367 и CVE-2016-8374 присутствуют в графических терминалах Magelis серий GTO, GTU, STO, STU и XBT. Schneider предлагает разные временные решения проблемы, а патч операторам панелей управления GTO Advanced Optimum и GTU Universal придется ждать до марта, когда будет произведен общий апгрейд.

На запрос Threatpost о комментарии Schneider пока не ответила.

«Используя уязвимости PanelShock, злоумышленник сможет удаленно «подвесить» панель, нарушив соединение средств человеко-машинного интерфейса с сетью SCADA и прервав коммуникации этого терминала с ПЛК и другими устройствами, — гласит блог-запись Critifence. — В итоге действия диспетчера или оператора окажутся неверными, и ущерб для завода или фабрики возрастет».

Обе уязвимости, по свидетельству Critifence, вызваны некорректной реализацией методов подачи HTTP-запросов и механизма управления потреблением ресурсов. Schneider со своей стороны отметила, что успешная эксплуатация требует, чтобы шлюзовый сервер, по умолчанию отключенный, был активным.

«Идентифицированные способы использования показали возможность создания условия зависания на HMI, которое может повлечь отказ в обслуживании из-за неполной обработки ошибок в HTTP-запросах на Web Gate Server, — пишет разработчик в бюллетене. — В ходе атаки посредством вредоносного HTTP-запроса HMI может потерять способность управлять коммуникациями из-за большого расхода ресурсов. Это может привести к потере связи с устройствами, такими как программируемые логические контроллеры (ПЛК); для ее восстановления потребуется перезапуск HMI».

Во избежание неприятностей Schneider советует ограничить интернет-доступ к уязвимым HMI и отключить Web Gate Server. Также рекомендуется изолировать сеть систем управления от бизнес-сетей и защитить ее экраном. Если нужен удаленный доступ, его лучше осуществлять через VPN-соединение; также следует удостовериться, что все системы надлежащим образом пропатчены.


Источник: Threatpost | Новости ИБ

Червь для «умных» ламп заражает тысячи устройств за несколько минут

Вредонос эксплуатирует уязвимость в беспроводном протоколе связи ZigBee.

Команда специалистов из Научно-исследовательского института им. Х. Вайцмана (Израиль) и Университета Далхаузи (Канада) продемонстрировали новый метод атаки на устройства из сферы «Интернета вещей» (IoT), в частности, «умные» системы освещения.

В качестве платформы для распространения разработанного ими червя эксперты использовали популярные «умные» лампы Philips Hue. Инфицирование одной лампы позволяет атакующему получить удаленный контроль над всей системой.

Для дальнейшей атаки червь эксплуатирует уязвимость в беспроводном протоколе связи ZigBee, позволяющей создавать целые сети из взломанных устройств. Речь идет об уязвимости ZigBee Light Link. Специалистам удалось извлечь AES-CCM ключ, используемый компанией Philips для шифрования и защиты прошивки своих ламп. Отметим, данный протокол также реализован в термостатах Nest и системах Logitech Harmony Ultimate.

По словам исследователей, вредоносное ПО распространяется «по воздуху» и за считанные минуты может заразить другие устройства Philips Hue. Таким образом злоумышленник получает возможность включать или выключать лампы, вывести их из строя или организовать ботнет для осуществления DDoS-атак.

В ходе экспериментальной атаки специалисты использовали недорогое доступное оборудование стоимостью в несколько сотен долларов. Для инфицирования ламп эксперты организовали загрузку вредоносного обновления, что стало возможно при помощи вышеупомянутого AES-CCM ключа. По их словам, для того, чтобы обнаружить ключ, даже не потребовалось настоящее обновление.

В качестве примера, исследователи опубликовали видео с демонстрацией атаки на «умные» лампы, установленные в институте Вайцмана.


Источник: Securitylab.ru

[ZLONOV.ru] Использование токенов в качестве Средств ЭП

ZLONOV.ru
Пост Использование токенов в качестве Средств ЭП опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

2 ноября 2016 г.

В среде разработки Schneider найдена серьезная брешь

Schneider Electric пропатчила критическую уязвимость в Unity Pro — флагманском продукте компании, обеспечивающем единую среду для программирования промышленных контроллеров. Обнаружившие брешь эксперты ИБ-компании Indegy предупреждают, что она открывает возможность для удаленного исполнения кода в производственных сетях с автоматизированным управлением.

Представляя неприятную находку в блоге, исполнительный директор Indegy Милле Гандельсман (Mille Gandelsman) подчеркнул, что это «серьезная проблема», и призвал пользователей Unity Pro обновить систему до новейшей версии. Unity Pro предназначена для работы на компьютерах Windows и используется для управления миллионами контроллеров по всему миру.

«Если IP-адрес ПК Windows, на котором установлено ПО Unity Pro, доступен из Интернета, кто угодно может воспользоваться уязвимостью и запустить код на аппаратуре, — пояснил Гандельсман журналистам Threatpost. — Такой доступ представляет большую ценность для атакующих, ибо они смогут делать с контроллерами все, что пожелают».

Уязвимость кроется в компоненте Unity Pro, называемом Unity Pro PLC Simulator, — программе моделирования ПЛК, используемой для тестирования таких продуктов. «Это заветная цель для злоумышленника, так как он сможет влиять на производственный процесс в реальном, физическом АСУ ТП-окружении, — комментирует Гандельсман, — в том числе на работу клапанов, турбин, центрифуг и интеллектуальных счетчиков. Используя подобный доступ, атакующий сможет изменить состав лекарственных препаратов, изготавливаемых автоматизированными средствами, или отключить городскую электросеть».

Выступая на конференции по кибербезопасности АСУ ТП, состоявшейся на прошлой неделе в Атланте, штат Джорджия, Гандельсман рассказал, что данная уязвимость была обнаружена полгода назад и Schneider Electric была тогда же поставлена в известность. За истекший период разработчик подготовил и выпустил патч. В соответствующей нотификации для пользователей сказано: «Данная уязвимость позволяет выполнить произвольный код посредством удаленной загрузки пропатченного проектного файла на Unity Simulator».

Согласно Indegy, эта брешь возникла из-за того, что «Unity Pro позволяет любому пользователю удаленно выполнить код непосредственно на компьютере с установленным продуктом (Unity Pro), причем с правами отладчика». Компрометация отдельных участников сети при этом не составит труда, так как промышленные контроллеры не используют аутентификацию, а протоколы передачи данных в таких сетях не предусматривают шифрование. «Независимо от используемых приложений контроля и управления/сбора данных при наличии контроллеров от Schneider Electric этот софт будет использоваться на инженерных АРМ, поэтому атака возможна практически на любой процесс, контролируемый этими ПЛК», — констатируют исследователи.

Согласно Schneider Electric, уязвимость проявляется в ходе компиляции Unity-проекта в виде набора инструкций x86 и загрузки его на имитатор ПЛК. «Существует возможность заставить систему моделирования исполнить вредоносный код посредством перенаправления потоков управления: внедрением шелл-кода в свободную область проекта Unity Pro, загрузкой патченого проекта на имитатор и его исполнением».

Исследователи предупреждают, что баг присутствует во всех версиях единой инструментальной системы. Schneider Electric со своей стороны отметила, что новейшая версия, Unity Pro 11.1, данной уязвимости не подвержена.

На вопрос, эксплуатируется ли данная уязвимость itw, Гандельсман ответил так: «Я не в состоянии дать ответ. Вот уязвимость, которую мы обнаружили. Это все, что я могу сказать». «Это большая проблема, хуже некуда», — добавил он. Schneider Electric на запросы Threatpost о комментарии не ответила.

В прошлом году Группа экстренного реагирования на киберинциденты в АСУ ТП (ICS-CERT) опубликовала предупреждение об уязвимостях в модулях производства Schneider Electric, поддерживающих функцию Factory Cast Modbus. Несколько ранее в системе аутентификации HMI-продуктов этой компании были обнаружены баги, позволяющие исполнить произвольный код. Месяц назад ICS-CERT выпустила годовой отчет, свидетельствующий о том, что в системах АСУ ТП по-прежнему содержится огромное количество уязвимостей, в основном связанных с нарушением прав доступа, низким качеством программного кода, а также со слабой криптозащитой сети и коммуникаций.


Источник: Threatpost | Новости ИБ

[ZLONOV.ru] Виды электронных подписей в России и требования к Средствам ЭП

ZLONOV.ru
Пост Виды электронных подписей в России и требования к Средствам ЭП опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov