27 июня 2017

Атака WannaCry захлестнула российские и украинские компании энергетического сектора

Во вторник, 27 июня, компания «Роснефть» подверглась мощной хакерской атаке. Представители компании сделали соответствующее заявление в Twitter и выразили надежду на то, что инцидент не связан с текущими судебными процедурами.

«Роснефть» не уточняет характер атаки. Как сообщил источник, близкий к одной из структур «Роснефти», в какой-то момент все компьютеры на нефтеперерабатывающем заводе «Башнефть», а также в «Башнефть-добыче» и управлении «Башнефти» перезагрузились и скачали неизвестное ПО, после чего на экранах появилось уведомление с требованием выкупа.

Согласно уведомлению, вредонос зашифровал всю хранящуюся на серверах компании информацию, и для ее восстановления на указанный биткойн-кошелек нужно перевести $300.

В прошлом месяце «Роснефть» и «Башнефть» подали в суд на АФК «Система» за убыток, причиненный действиями АФК «Система» по реорганизации компании три года назад. Сегодня, 27 июня, в Арбитражном суде Башкирии проходит основное судебное заседание по данному делу. Размер компенсации, требуемой нефтяной компанией, составляет 170,6 млрд. руб.

Помимо российской нефтяной компании, 27 июня кибератаке с использованием вымогателя подвергся ряд украинских компаний электроэнергетического сектора. Атака на сети «Укрэнерго» и ДТЭК была осуществлена точно таким же образом, как и на «Роснефть» - компьютеры одновременно перезагрузились, проверили жесткий диск и вывели на экран требование выкупа.

Из строя в Украине вышли компьютерная сеть кабинета министров, ПО в аэропорту "Борисполь", Украпочта, Киевский метрополитен, некоторые банки, включая "Ощадбанк". Также прекратил работу сайт МВД Украины.

От вымогателя также пострадала Киберполиция Украины, банки ТАСкомбанк, Пивденый, ОТП, прекратило вещение "Радио 10", сеть магазинов "Эпицентр", сеть заправок ТНК и много-много других предприятий и организаций.

По информации Group-IB речь идет о вымогателе Petya.A, недавно оснащенным функционалом эксплоита ETERNALBLUE - точно таким же, какой использовал вымогатель WannaCry.

Источник: Новости - SecurityLab.ru

Ученые научились обманывать системы LIDAR в беспилотных автомобилях

Группа южнокорейских ученых представила исследование, в котором описываются два метода атаки на датчики LIDAR (Light Detection and Ranging), используемые в беспилотных автомобилях.

LIDAR представляет собой лазерную технологию, способную измерять расстояние с помощью лазерного света, в результате чего формируется трехмерная карта всего, что окружает транспортное средство.

Описанные исследователями методы, так называемые «подмена» и «поглощение», позволяют обмануть датчик и «ослепить» автомобиль. По словам ученых, данные атаки могут привести к серьезным последствиям, например, поставить под угрозу окружающие транспортные средства при экстренном торможении беспилотного авто.

Эксперты продемонстрировали атаки на примере лазерного датчика Velodyne VLP-16. Первая атака довольно проста: если направить на лидар сильный луч света с той же длиной волны, что и у датчика, возможно заставить автомобиль «не замечать» существующие объекты.

Вторая атака несколько сложнее и требует эксплуатации двух уязвимостей, одна из которых связана непосредственно с технологией LIDAR, а вторая с ее реализацией.

Вместо того, чтобы фиксировать объект полностью, LIDAR захватывает облако точек (набор данных, состоящий из данных трехмерных точек) для определения объекта в зоне видимости. Для того чтобы подменить объект, атакующим потребуется заставить датчики реагировать на световые точки, имитирующие облако точек объекта. Более подробное описание атак можно найти здесь.


Источник: Новости - SecurityLab.ru

Компьютеры «Роснефти» атакованы хакерами

Серверы «Роснефти» находятся под хакерской атакой, сообщила компания в Twitter.

Источник, близкий к одной из структур компании, отмечает, что все компьютеры в НПЗ «Башнефти», «Башнефть-добыче» и управлении «Башнефти» «единомоментно перезагрузились, после чего скачали неустановленное программное обеспечение и вывели на экран заставку вируса WannaCry». На экране пользователям было предложено перевести $300 в биткоинах по указанному адресу, после чего пользователям будет выслан ключ для разблокировки компьютеров на e-mail. Вирус, судя из описания, зашифровал все данные на пользовательских компьютерах.

«Роснефть» пишет, что обратилась в правоохранительные органы по факту кибератаки. Также в «Роснефти» заверили, что включили резервные системы управления нефтедобычей, и серьёзного ущерба вирус не причинил.[vedomosti.ru]


Источник: Цифровая подстанция

Энергетические компании Украины атаковал аналог WannaCry

За полгода число вредоносов для IoT-устройств возросло в два раза

Число вредоносного ПО для атак на устройства категории «Интернета вещей» (Internet of Things, IoT) превысило 7 тысяч, причем половина из них появилась в первые 6 месяцев 2017 года. Такие цифры приводят специалисты «Лаборатории Касперского». В настоящее время по всему миру работают более 6 млрд подключенных к интернету устройств. Получив доступ к гаджетам, злоумышленники могут следить за пользователями, шантажировать их, а также использовать устройства для организации различных атак.

Эксперты «ЛК» провели эксперимент, в ходе которого настроили ловушки, так называемые «ханипоты», имитирующие различные «умные» устройства. Уже через несколько секунд были зафиксированы первые попытки несанкционированного подключения. За сутки таких обращений насчитывались десятки тысяч.

63% устройств, с которых совершались атаки, составляли IP-камеры, 16% - различные сетевые устройства и маршрутизаторы, 1% - Wi-Fi-ретрансляторы, TV-приставки, устройства IP-телефонии, выходные узлы Tor, принтеры и устройства «умного дома». Оставшиеся 20% устройств специалистам точно распознать не удалось. В большинстве зафиксированных случаев использовался протокол Telnet, остальная часть пришлась на долю SSH.

В тройку стран-лидеров по числу атакующих устройств вошли Китай (13,95%), Вьетнам (12,26%) и Россия (6,92%). За ними следуют Бразилия (6,21%) и Турция (5,97%).

Эксперты объясняют рост числа атак незащищенностью сферы «Интернета вещей» от киберугроз, отсутствием защитных решений на IoT-гаджетах и нерегулярным выпуском производителями обновлений безопасности и новых версий прошивки.


Источник: Новости - SecurityLab.ru

26 июня 2017

Siemens латает SIMATIC CP и XHQ

На прошлой неделе Siemens выпустила патчи для двух уязвимостей в продуктах, широко используемых в системах управления производственными процессами. Эксплуатация этих брешей позволит автору атаки выполнять административные действия или получить доступ на чтение критически важных данных в уязвимой системе.

Соответствующие бюллетени компании появились во вторник и четверг. В пятницу аналогичную информацию опубликовала американская Группа быстрого реагирования на киберинциденты в сфере управления производственными процессами (ICS-CERT).

Более опасной признана брешь в SIMATIC CP 44x-1 RNA, коммуникационном модуле, обеспечивающем связь контроллеров вроде SIMATIC S7-400 с промышленной сетью Ethernet. Такие процессоры обычно используются на обогатительных фабриках, на предприятиях с упаковочным оборудованием, в текстильном производстве и на промышленных объектах широкого профиля.

Данная уязвимость оценена в 9.8 балла по шкале CVSS v3.0. Она возникла из-за недочетов в процедуре аутентификации и присутствует во всех версиях процессорных модулей серии RNA. Базирующийся в Берлине разработчик подчеркивает, что в случае эксплойта удаленный злоумышленник сможет без аутентификации выполнять функции администратора, «если открыт доступ к сети (порт 102/TCP) и конфигурационный файл для CP сохранен на ЦП RNA». Пользователям настоятельно рекомендуется обновить прошивку коммуникационных процессоров до выпуска 1.4.1.

Обновление продуктов линейки XHQ Operations Intelligence корректирует управление доступом к серверам, осуществляющим сбор, обработку и представление операционных и бизнес-данных, необходимых для управления качеством функционирования и принятия решений в реальном времени. Согласно бюллетеню, наличие уязвимости позволяет непривилегированному пользователю получить удаленный доступ на чтение данных в XHQ в обход заданных разрешений.

Уязвимости подвержены все сборки XHQ 4 и 5. Патчи включены в состав релизов XHQ V4.7.1.3 и XHQ V5.0.0.2.


Источник: Threatpost | Новости информационной безопасности

США готовили дистанционные «кибербомбы» против России

Санкции против России, введенные 29 декабря 2016 года Бараком Обамой в ответ на предполагаемое вмешательство РФ в выборы в США, не ограничивались только высылкой российских дипломатов и мерами в отношении ФСБ и ГРУ Минобороны РФ, пишет The Washington Post.

По данным издания, в числе прочих санкций Обама также одобрил специальную секретную программу по разработке и внедрению «киберимплантов» в российскую электронную инфраструктуру, которые могли бы быть активированы в случае эскалации конфликта между США и Москвой.

К тому времени, как Обама покинул пост президента, разработка проекта находилась на начальных стадиях. Решение о его дальнейшей судьбе должен принять нынешний президент Дональд Трамп, отмечает The Washington Post.

Созданием «имплантов» занималось Агентство национальной безопасности США. Кибероружие может быть активировано дистанционно в качестве ответной меры на кибертаки со стороны России, будь то атака на энергосистему США или вмешательство в будущую президентскую гонку.

По словам знакомых с ситуацией источников издания, чиновники в администрации президента выразили обеспокоенность тем, что ущерб, нанесенный кибероружием, будет трудно контролировать.

Тайная операция описывается как «долгосрочная» - на внедрение имплантов и их последующую поддержку потребуются месяцы. Для проведения операции американским разведслужбам не требуется разрешение Трампа и для ее прекращения президент должен подписать соответствующее распоряжение. Пока такого приказа не поступало, отмечает издание.

Согласно публикации, в августе 2016 года директор ЦРУ Джон Бреннан передал администрации Белого дома секретный доклад, в котором утверждалось, что киберкампания против США проводились по приказу лично президента РФ Владимира Путина. Вероятной целью называлась попытка помешать кандидату от Демократической партии Хиллари Клинтов победить в президентских выборах.


Источник: Новости - SecurityLab.ru

В приборах радиационного контроля обнаружены серьезные уязвимости

Конструктивные дефекты в приборах радиационного контроля, используемых на атомных электростанциях, в больницах, морских портах и на постах пограничной службы, могут быть проэксплуатированы для подмены данных об уровне радиации, выяснил специалист компании IOActive Рубен Сантамарта (Ruben Santamarta).

Эксперт провел реверс-инжиниринг прошивок устройств для измерения уровня радиации двух торговых марок, а также изучил их аппаратное обеспечение и радио-протокол, используемый для обмена данными между устройствами, и выявил ряд серьезных уязвимостей, открывающих злоумышленникам доступ к устройству. По его словам, проблема заключается в том, что исправить обнаруженные уязвимости невозможно, так как они связаны с конструкцией приборов.

Свои находки Сантамарта намерен представить в рамках выступления на конференции Black Hat USA, которая пройдет в июле нынешнего года, а до тех пор эксперт отказался раскрывать подробности об уязвимостях и о том, устройства каких производителей они затрагивают.

Проблемы связаны с отсутствием шифрования в радио-протоколах, применяемых для коммуникации между устройствами, или реализацией ненадежных криптоалгоритмов, если шифрование все же присутствует. Для осуществления атаки необязательно нужно находиться рядом с целевым объектом, она возможна с расстояния в 20 км. Использование ненадежных протоколов и уязвимости в прошивке позволяют злоумышленникам подменить данные приборов, пояснил Сантамарта.


Источник: Новости - SecurityLab.ru

[ZLONOV.ru] Летние квадраты Гартнера

ZLONOV.ru
Пост Летние квадраты Гартнера опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

23 июня 2017

WannaCry заразил 55 дорожных камер в Австралии

Ранее на этой неделе мы рассказывали о том, что нашумевший шифровальщик WannaCry почти на сутки парализовал работу одной из фабрик Honda, расположенной в японском городе Саяма. Теперь правоохранительные органы австралийского штата Виктория тоже сообщили об атаке WannaCry, которая вывела из строя 55 дорожных камер, фиксирующих превышения скорости и проезд на красный сигнал светофора.

Инцидент произошел еще на прошлой неделе, и о нем стало известно благодаря сообщению местной радиостанции, после чего правоохранители официально подтвердили факт заражения.  Согласно имеющейся информации, заражение спровоцировал оператор, когда во время запланированного обслуживания подключил зараженный USB-накопитель к системе, которая, очевидно, работала под управлением Windows.

Все пострадавшие камеры принадлежали компании RedFlex, правительственному подрядчику, которая поставляет властям Виктории дорожные системы наблюдения. Так как камеры не были подключены к интернету и соединены между собой, дальше них самих инфекция не распространилась.

При этом устройства даже продолжали функционировать, хотя и перезагружались каждые несколько минут. Власти уже заявили, что, не считая этих ребутов, работоспособность камер не пострадала (окончательно избавиться от вируса планируют в ближайшие два дня), так что все зафиксированные во время заражения нарушения и выписанные штрафы останутся в силе.


Источник: «Хакер»

[ZLONOV.ru] [промокод] Код ИБ ПРОФИ в Сочи

ZLONOV.ru
Пост [промокод] Код ИБ ПРОФИ в Сочи опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

22 июня 2017

WannaCry заблокировал работу дорожных камер в Австралии

Нашумевшее вымогательское ПО WannaCry продолжает свое победоносное шествие по планете. На этот раз вредонос атаковал светофоры и камеры, измеряющие скорость автомобилей в Австралии.

Как известно, 12 мая текущего года мир накрыла волна атак с использованием шифровальщика WannaCry. Вредонос распространяется подобно червю, шифрует файлы на зараженных компьютерах и требует выкуп за их восстановление. Жертвами WannaCry стали свыше 200 тыс. систем в 150 странах. Несмотря на то, что эксплуатируемая вредоносом уязвимость в Windows уже исправлена, многие системы по-прежнему остаются уязвимыми.

По данным австралийских СМИ, инцидент произошел по вине человека, случайно подключившего к компьютеру зараженный USB-флеш-накопитель. В результате 55 дорожных камер вышли из строя. Инженеры уже связались с производителем устройств Redflex Traffic Systems для устранения инфекции и установки обновлений. Когда именно произошел инцидент, СМИ не уточняют, однако заявляют, что он имел место на днях. Коснулось ли происшествие каких-либо других важных систем, пока неизвестно.


Источник: Новости - SecurityLab.ru

Компания Honda была вынуждена приостановить работу фабрики из-за атаки WannaCry

Reuters сообщает, что в минувшие выходные компания Honda была вынуждена почти на сутки остановить работу своей фабрики, расположенной в японском городе Саяма, так как системы фабрики были атакованы шифровальщиком WannaCry. Стоит отметить, что это не первый автопроизводитель, пострадавший от WannaCry: в мае 2017 года малварь также проникла в сети Nissan и Renault.

Не совсем понятно, как именно WannaCry смог заразить компьютеры Honda. Ведь распространение шифровальщика почти прекратилось в мае 2017 года, после того как ИБ-специалист, известный под псевдонимом MalwareTech, обнаружил в коде малвари своеобразный «аварийный рубильник»: перед началом работы вымогатель обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинает шифровать файлы. Однако если домен существует, вымогатель останавливает процесс заражения. Исследователь поспешил зарегистрировать домен, чем практически остановил распространения угрозы.

Заражение систем Honda можно объяснить по-разному. Во-первых, кто-то в компании мог блокировать доступ к домену-«рубильнику», что позволило вредоносу нормально работать. Во-вторых, компания могла стала жертвой одного из многочисленных имитаторов WannaCry. В-третьих, возможно, появилась новая версия шифровальщика, для которой «рубильник» уже не работает. Впрочем, пока исследователи не сообщали об обнаружении новых версий WannaCry.

Представители Honda почти не разглашают детали случившегося. Известно, что заражение сильнее всего ударило по фабрике в Саяме, но также пострадали компьютеры в Китае, Северной Америке и Европе, просто там сотрудникам Honda не пришлось идти на крайние меры и останавливать работу.

Эксперты уже строят теории о произошедшем. Так, MalwareTech полагает, что кто-то из сотрудников Honda мог принести на работу зараженный ноутбук, на котором WannaCry не смог сработать до конца и не зашифровал файлы, однако механизм распространения через SMB функционировал, и вымогатель распространился по сети компании. MalwareTech отмечает, что до сих пор ежедневно наблюдает порядка 200 000 обращений к домену-«рубильнику», то есть малварь регулярно заражает новые устройства, просто не шифрует файлы на них.

Согласно другой теории, Honda может пропускать трафик через прокси, а WannaCry не поддерживает прокси-соединения, из-за чего домен-«рубильник» оказался недоступен и не остановил заражение.


Источник: «Хакер»

Завод Honda Motor остановил работу в результате новой атаки WannaCry

Компания Honda Motor была вынуждена на день остановить работу одного из своих заводов в Японии в связи с обнаружением в его сетях вымогательского ПО WannaCry. Производство было прекращено в понедельник, 19 июня, на заводе в городе Саяма, где производятся такие модели Honda, как Accord, Odyssey и Step Wagon. За день завод выпускает порядка 1 тыс. автомобилей.

Как сообщает Reuters, 18 июня в сетях компании в Японии, Северной Америке, Европе, Китае и других регионах был обнаружен шифровальщик WannaCry, несмотря на меры по усилению безопасности, предпринятые в середине прошлого месяца после волны атак WannaCry. Как оказалось, предпринятых шагов оказалось недостаточно для предотвращения новой атаки.

Производственные процессы на других 29 заводах Honda не были затронуты атакой. Во вторник, 20 июня, завод в Саяме возобновил свою работу.

Волна атак с применением WannaCry захлестнула мир 12 мая текущего года. Вымогатель заблокировал работу более 200 тыс. компьютеров в 150 странах мира. В отличие от большинства шифровальщиков WannaCry распространяется подобно червю без участия пользователя. В качестве механизма самораспространения вредонос использует эксплоит Агентства национальной безопасности США EternalBlue, попавший в открытый доступ в апреле текущего года.


Источник: Новости - SecurityLab.ru

21 июня 2017

Дрель с интернет-доступом продемонстрировала достойную защиту Интернета вещей

Беспроводная дрель с доступом в Интернет? По мнению Марка Лавлеса, это настоящее олицетворение кошмара в кибербезопасности. Когда дело доходит до «Интернета вещей», то находится множество примеров, подкрепляющих скептицизм экспертов.

Исследователь из Duo Security думал, что «умные» дрели скорее являются маркетинговой уловкой производителя, которая в конечном счете превращает преимущество продукта в мишень для противников. Но протестировав дрель Milwaukee Tool, он был приятно удивлен, обнаружив, что «мозг» устройства реализован безопасно и ответственно.

«Я не надеялся, что «умная» дрель окажется безопасной. Но после проверки у меня зародилась надежда, что потребительский Интернет вещей может быть реализован правильно», — признался Лавлес.

Дрель, о которой идет речь, называется Milwaukee Tool ONE-KEY M18 Fuel 1/2″ Drill/ Driver, а ее система управления базируется на платформе под названием One-Key. One-Key позволяет владельцам инструментов, используя приложение или веб-сайт, отслеживать местонахождение дрели благодаря технологии GPS, дистанционно настраивать конфигурацию оборудования (например, крутящий момент сверла) или отключать инструмент, если он был украден.

После того, как Лавлес внимательно изучил инструмент, он был впечатлен, обнаружив, что производитель выполнил всестороннее моделирование угроз устройству, использовал надежные криптобиблиотеки с открытым исходным кодом и встроил стойкое SSL-шифрование . «Если бы производители камер видеонаблюдения сделали то же самое, у ботнета Mirai не было бы шансов», — сказал он.

«Это не значит, что всё было идеально», — говорит Лавлес. Он обнаружил «незначительные уязвимости». Одна из них заключалась в том, что пароли были жестко прописаны в приложении для смартфонов. Другая брешь давала возможность потенциальному вору легко разыскать дрель через Bluetooth-сканирование.

Также данные GPS о местонахождении дрели могут быть подделаны. «В принципе, если бы я украл вашу дрель, то мог бы подделать данные GPS так, будто это сосед украл инструмент», — привел пример исследователь.

В конечном счете Duo Security идентифицировала четыре уязвимости, две из которых получили уникальные номера CVE.

Брешь CVE-2017-3214 относится к тому, что «приложение ONE-KEY содержит учетные данные в формате base-64, которые необходимы для получения метки (токена). Метка позволяет читать и записывать информацию, хранящуюся на веб-сайте Milwaukee Tool».

Уязвимость CVE-2017-3215 состоит в том, что приложение One-Key использует метки, которые имеют избыточно большой срок годности – 1 год вместо типичных 1-2 часов, поэтому при краже или компроментации телефона, атакующий может похитить метку и использовать ее, — указано в отчете DUO Security.

«Стоит отметить, что сейчас мы говорим о дрели. Но если бы речь шла о инсулиновой помпе, кардиостимуляторе или охранной сигнализации, то эти уязвимости были бы восприняты более серьезно», — говорит Лавлес.

Лавлес также заключил, что, по его мнению, «умная» дрель Milwaukee Tool является скорее исключением, а не правилом в контексте безопасности IoT/Интернета вещей. «Поскольку конкуренты Milwaukee наступают на пятки, они решили поднять планку и подумали о безопасности ещё при разработке, а не впопыхах после выпуска продукта».


Источник: Threatpost | Новости информационной безопасности

Positive Technologies: владельцы 15% IoT-устройств никогда не меняли дефолтный пароль

Специалисты компаний Positive Technologies и «Лаборатории Касперского» опубликовали отчеты, главной темой которых стала безопасность IoT-устройств. Изыскания обеих компаний наглядно демонстрируют, что безопасность «умных» устройств пока и не думает улучшаться. К примеру, знания всего пяти простых паролей будет достаточно для взлома 10% всех доступных в онлайне IoT-девайсов.

Исследователи Positive Technologies пишут, что владельцы примерно 15% устройств никогда не меняли логин и пароль по умолчанию, которые присвоены гаджету «из коробки». Именно эта особенность помогает авторам малвари (к примеру, Mirai или BrickerBot) с такой легкостью взламывать устройства, обращая их в очередной «винтик», в составе очередного ботнета.

Просканировав интернет, специалисты пришли к неутешительному выводу: зная всего пять комбинаций логина и пароля можно взломать множество камер, DVR-систем, роутеров, стиральных машин и так далее. Это комбинации:

  • support/support;
  • admin/admin;
  • admin/0000;
  • user/user;
  • root/12345.

Данный список можно расширить и другими «популярными» учетными данными по умолчанию, как и поступили разработчики Mirai. Напомню, что в коде малвари закодированы 62 комбинации логинов и паролей, и этот список используют и активно дополняют все известные на сегодня IoT-вредоносы.

Исследование, представленное «Лабораторией Касперского», перекликается с отчетом Positive Technologies. Специалисты пишут, что количество «умных» и потенциально уязвимых устройств продолжает расти, и пропорционально этому росту увеличивается интерес злоумышленников к данной области. Так, по данным на май 2017 года в коллекции «Лаборатории Касперского» находилось несколько тысяч различных образцов вредоносного ПО для «умных» устройств, причем около половины из них были добавлены в 2017 году.

Одной из основных проблем интернета вещей является не только халатное отношение пользователей к собственной безопасности, но и тот факт, что производители тоже мало тревожатся о защите своих устройств и их будущих владельцев. В лучшем случае, производители выпускают обновления ПО для своих устройств с опозданием (по данным Positive Technologies, в среднем девайсы остаются уязвимыми 3-4 года) . В худшем и наиболее частом случае — прошивка не обновляется вовсе. Во многих устройствах попросту не предусмотрена возможность установки обновлений.

Еще одной проблемой можно назвать сервисы, подобные Shodan, Censys и ZoomEye, с помощью которых злоумышленники с легкостью обнаруживают все новые уязвимые устройства. Так, при помощи Shodan исследователи Positive Technologies идентифицировали миллионы уязвимых роутеров и обнаружили множество открытых портов (см. ниже).

Эксперты «Лаборатории Касперского» также отмечают, что значительная часть «умных» устройств «светит» наружу портами Telnet и SSH. Когда исследователи настроили несколько ловушек, которые имитировали различные устройства под управлением ОС Linux, за сутки было зарегистрировано несколько десятков тысяч обращений с уникальных IP-адресов.  В большинстве зарегистрированных случаев использовался протокол telnet (85%), остальная часть пришлась на долю SSH (15%).

В атаках на ханипоты участвовали самые разные устройства: более 63% удалось определить, как DVR-сервисы или IP-камеры, еще около 20% — как различные сетевые устройства, маршрутизаторы практически всех основных производителей. 1% пришелся на Wi-Fi-репитеры и прочее сетевое оборудование, TV-приставки, IP-телефонию, выходные ноды Tor, принтеры, устройства «умного дома». Еще около 20% устройств однозначно опознать не удалось.

Специалисты обеих компаний в очередной раз рекомендует менять пароли по умолчанию, своевременно обновлять ПО (если такая возможность есть),а также отключать неиспользуемые порты и сервисы (Telnet, SSH, FTP и так далее).


Источник: «Хакер»

19 июня 2017

0-day уязвимость с потенциалом червя угрожает миллиону DVR-устройств

Исследователи компании Pen Test Partners давно наблюдают за интернетом вещей в целом и DVR-устройствами в частности, изучать эту область они начали еще в феврале 2016 года, задолго до первых атак Mirai.

Специалисты пишут, что в последние несколько месяцев они занимались изучением аппаратной и софтверной составляющей устройств более 30 производителей DVR-систем. В итоге им удалось выявить уязвимости, которые еще не использует малварь Mirai и ее многочисленные подражатели, причем эти проблемы распространяются более чем на миллион устройств, если верить статистике Shodan.

По данным Pen Test Partners, корнем проблемы является китайский производитель XiongMai, предоставляющий на рынок white label решения. Фактически из-за этого многие уязвимые устройства являются в буквальном безымянными, а также ничего конкретного нельзя сказать о версии уязвимой прошивки, – девайсы попросту не сообщают информацию о версии ПО.

Софт XiongMai, установленный на множестве устройств, содержит целый ряд уязвимостей, включая опасный RCE-баг, позволяющий спровоцировать неавторизованное переполнение буфера в веб-сервисе (порт 80). Уязвимость не только допускает удаленное выполнение произвольного кода, но и обладает потенциалом червя, то есть, эксплуатируя данный баг, угроза может размножаться самостоятельно.

Проблема осложняется тем, что в DVR-системах 80 порт, как правило, открыт для входящих соединений, так как через него можно получить удаленный доступ к видеопотоку. Исследователи предупреждают, что хотя после прошлогодних атак Telnet все же закрыт у многих устройств, 80 порт продолжает работать, и ботнет из таких уязвимых DVR-девайсов может получиться крупнее и мощнее, чем ботнеты на базе Mirai.

Хуже того, по данным аналитиков, продукцию XiongMai используют более различных 50 брендов, но логистические цепочки столь запутаны, что большинство вендоров, скорее всего, даже не подозревают о том, что пользуются решениями XiongMai.

Источник: «Хакер»

Нигерийские мошенники атакуют промышленные компании

1 млн видеорегистраторов готовы стать новым ботнетом

Порядка 1 млн цифровых видеорегистраторов содержат неисправленную уязвимость, которая может привести к появлению нового мощного ботнета наподобие печально известного Mirai. По словам экспертов британской компании Pen Test Partners, уязвимость присутствует в сетевом ПО от китайского производителя XiongMai.

Исследователи начали изучать проблемы безопасности видеорегистраторов в феврале 2016 года, задолго до появления Mirai. Эксперты обнаружили в web-интерфейсе ПО от XiongMai уязвимость, позволяющую вызвать переполнение буфера и ставящую под угрозу около 1 млн устройств. По словам исследователей, проэксплуатировав уязвимость, злоумышленник может удаленно выполнить код. «По данным Shodan, на сегодняшний день доступны порядка 1 млн устройств, из которых можно построить прекрасный ботнет», - сообщили исследователи.

По подсчетам экспертов, на базе ПО от XiongMai работают видеорегистраторы, продающиеся под 50 различными торговыми марками. Поскольку устройства от одного производителя могут продаваться под множеством всевозможных брендов, вендоры и не догадываются о том, что их устройства работают с уязвимым ПО XiongMai.

Помимо прочего, исследователи обнаружили нестандартный telnet-порт (12323), предоставляющий возможность осуществлять брутфорс-атаки с использованием паролей по умолчанию.

Shodan – первая в мире поисковая система для обнаружения подключенных к интернету устройств.


Источник: Новости - SecurityLab.ru

14 июня 2017

Малварь Industroyer используется для атак на электроэнергетические компании

В 2016 году украинские энергетические компании «Прикарпатьеоблэнерго» и «Киевоблэнерго» подверглись атаке хакеров, и тогда внедрение вредоносного ПО в промышленные системы закончилось масштабным отключением электроэнергии на западе страны. Позже специалисты обнаружили еще одну атаку на украинские энергосети, в ходе которой злоумышленники распространяли вредоноса BlackEnergy.

Теперь специалисты компаний ESET и Dragos изучили еще одну похожу малварь, Industroyer. Эта сложная и опасная вредоносная программа, предназначенная для нарушения критических процессов в промышленных системах управления, в частности, в энергокомпаниях. Исследователи пишут, что подобное ПО могло послужить причиной сбоя энергоснабжения в Киеве в декабре 2016 года.

Industroyer позволяет хакерам напрямую управлять выключателями и прерывателями цепи на электрических подстанциях. Ущерб от атаки Industroyer может обернуться как простым отключением подачи электроэнергии, так и повреждением оборудования.

Вредонос использует четыре промышленных протокола связи, распространенных в электроэнергетике, управлении транспортом, водоснабжении и других критических инфраструктурах:  IEC 60870-5-101IEC 60870-5-104IEC 61850, и OLE for Process Control Data Access (OPC DA). Данные протоколы создавались десятки лет назад, без учета современных требований безопасности. Фактически злоумышленникам даже не пришлось искать в них уязвимости, достаточно было «научить» Industroyer использовать эти протоколы. Как следствие, любое вмешательство злоумышленников в работу промышленной сети может привести к фатальным последствиям.

Исследователи пишут, что Industroyer имеет модульную структуру. В его составе присутствуют  основной и дополнительный бэкдоры, четыре модуля для работы с коммуникационными протоколами, стиратель данных и DoS-инструмент для атак типа «отказ в обслуживании». Часть компонентов разработана с прицелом на конкретные марки электрооборудования. К примеру, вредонос эксплуатирует уязвимость CVE-2015-5374 для DoS-атак на Siemens SIPROTEC.

По мнению специалистов, возможности Industroyer указывают на высокую квалификацию авторов и глубокое понимание устройства промышленных систем управления. Маловероятно, что подобная угроза была создана без доступа к оборудованию, которое используется в целевой среде. Более того, группировка, стоящая за разработкой Industroyer, может перенастроить программу, чтобы атаковать любую промышленную среду, где используются целевые протоколы связи.

«Недавняя атака на украинские энергокомпании должна послужить сигналом для всех ИБ-специалистов, отвечающих за критические системы, – комментирует Антон Черепанов, старший вирусный аналитик ESET. – Устойчивость Industroyer в системе и его способность напрямую влиять на работу промышленного оборудования делает его наиболее опасной угрозой со времен Stuxnet, нанесшего урон ядерной программе Ирана».


Источник: «Хакер»

Автомобили Mazda можно взломать с помощью простой «флэшки»

Автомобили Mazda с информационно-развлекательной системой Mazda MZD Connect нового поколения можно взломать, лишь подключив к приборной панели USB флэш-накопитель. Об уязвимостях стало известно еще в 2014 году, и с тех пор они активно используются владельцами Mazda для кастомизации информационно-развлекательной системы, установки новых настроек и приложений.

Как сообщает издание Bleeping Computer, инженер ИБ-компании Bugcrowd Джей Турла (Jay Turla) запустил проект mazda_getInfo, автоматизирующий процесс взлома информационно-развлекательной системы Mazda. Турла начал работу над проектом после того, как сам приобрел автомобиль. «Я просто хотел выяснить возможные векторы атак на мою машину», - заявил инженер.

На прошлой неделе Турла опубликовал исходный код mazda_getInfo на GitHub. Проект позволяет любому желающему скопировать набор скриптов на «флэшку», подключить ее к приборной панели Mazda и выполнить вредоносный код на прошивке MZD Connect. Во время тестирования инженер осуществил простые атаки наподобие печати текста на приборной панели. Поскольку MZD Connect базируется на основе UNIX, кто угодно может написать вредоносный скрипт и осуществить более серьезную атаку.

После подключения к приборной панели USB флэш-накопителя с разработанными Турлой скриптами атаки осуществляются автоматически без какого-либо участия со стороны пользователя. Тем не менее, атаки возможны только при включенной нейтральной передаче или запущенном двигателе. То есть, уязвимости в информационно-развлекательной системе не позволяют завести и угнать машину. Однако не стоит недооценивать проблему. По словам инженера, злоумышленники могут проэксплуатировать уязвимости для создания ботнета из автомобилей Mazda или установить троян для удаленного доступа.


Источник: Новости - SecurityLab.ru

Обнаружено новое вредоносное ПО для атак на электросети

В декабре минувшего года ряд районов северной части правобережья Киева был отключен от электричества, из-за хакерской атаки на подстанцию «Северная». Эксперты компаний ESET и Dragos выяснили, кто стоит за данными кибератаками.

Специалисты обнаружили новый вид вредоносного ПО, которое окрестили как Industroyer и CrashOverRide, предназначенное для атак на критические промышленные системы и способное вызывать сбой в работе энергосетей. По их словам, скорее всего, именно эти вредоносы были использованы в атаках на компьютерную сеть компании «Укрэнерго» в декабре 2016 года.

Для выполнения вредоносных действий CrashOverRide не эксплуатирует уязвимости нулевого дня в программном обеспечении, вместо этого полагаясь на промышленные коммуникационные протоколы передачи данных, используемые в критических инфраструктурах, в том числе энергетической и транспортной, по всему миру.

CrashOverRide может управлять переключателями трансформаторных подстанций и рубильниками, позволяя атакующим просто отключить подачу электроэнергии или повредить оборудование. Вредоносное ПО имеет модульную структуру, которую хакеры могут модифицировать в зависимости от поставленных задач, например, для атак на транспортную инфраструктуру, газопроводы, системы водоснабжения и т.д.

Industroyer - бэкдор, который сначала устанавливает четыре вредоносных модуля для перехвата управления переключателями и рубильниками, а затем подключается к управляющему серверу злоумышленников для получения дальнейших команд.

Ранее эксперты связали атаки на украинскую энергосистему в декабре 2016 и 2015 годов с российской кибергруппировкой Sandworm. Как полагают специалисты Dragos, оператором CrashOverRide является группа Electrum, непосредственно связанная с Sandworm.


Источник: Новости - SecurityLab.ru

В прошивке IP-камер Foscam обнаружены 18 уязвимостей

Эксперты финской ИБ-компании F-Secure обнаружили уязвимости в прошивке IP-камер китайского производителя Fosscam, позволяющие злоумышленникам получить контроль над устройствами и проникнуть в компьютерные сети. Исследователи уведомили вендора о проблемах, однако ответа так и не дождались, поэтому решили опубликовать подробности об уязвимостях.

В общей сложности эксперты обнаружили 18 уязвимостей. Среди них можно отметить выбранные неслучайным образом учетные данные по умолчанию, пустой пароль для авторизации на FTP-сервере, неизменяемый пароль для авторизации на FTP-сервере, неизменяемые учетные данные для доступа к резервному конфигурационному файлу, скрытые неизменяемые учетные данные пользовательского интерфейса, отсутствие ограничений по количеству попыток неправильного ввода учетных данных и т.д.

Проэксплуатировав уязвимости, злоумышленники могут просматривать записываемое камерами видео, управлять ими, загружать с/на встроенный FTP-сервер различные файлы, остановить трансляцию видео, использовать взломанное устройство для осуществления DDoS-атак и пр. Проблемы затрагивают модели камер Fosscam C2 и Opticam i5, а также устройства производства Fosscam, продаваемые под другими торговыми марками.

Исследователи идентифицировали 14 вендоров, поставляющих камеры Fosscam под различными торговыми марками, однако пока не протестировали их на наличие уязвимостей. В числе уязвимых могут оказаться устройства Chacon, Thomson, 7links, Opticam, Netis, Turbox, Novodio, Ambientcam, Nexxt, Technaxx, Qcam, Ivue, Ebode и Sab.


Источник: Новости - SecurityLab.ru

Опыт защиты технологической сети в компании ЕВРАЗ

Эксперты подготовят определение «больших пользовательских данных» к осени

Рабочая группа при администрации президента РФ к осени подготовит определение термина «большие пользовательские данные». Об этом в интервью РБК рассказал президент фонда развития информационной демократии и участник рабочей группы Илья Массух.

«Необходимо ввести определение в федеральный закон «Об информации, информационных технологиях и защите информации». После этого будем разрабатывать правила работы с этим видом данных», - отметил он.

Минувшей осенью глава Роскомнадзора Александр Жаров заявлял о необходимости регулирования «больших пользовательских данных». Тогда он говорил, что соответствующие изменения в законодательство разрабатывает рабочая группа при АП во главе с Игорем Щеголевым. По словам представителя группы, под такими данными можно понимать всю информацию о пользователе, собираемую информсистемами и устройствами. Речь идет о сведениях о геолокации, биометрии, пользовательском поведении на интернет-ресурсах и пр.

В середине мая стало известно о возможном создании в РФ единого госоператора, который будет собирать данные со всех операторов - госорганов, юридических и физлиц. Предполагалось, что финансирование организации будет осуществляться из фонда, сформированного за счет отчислений операторов больших пользовательских данных.

В начале июня глава Фонда развития интернет-инициатив (ФРИИ) Кирилл Варламов раскритиковал инициативу, указав, что внимание нужно обращать не только на пользовательские данные, поскольку основной массив информации формируется «Интернетом вещей», то есть приборами, датчиками и механизмами. По его словам, ФРИИ готовит альтернативный законопроект по использованию и регулированию «больших данных» (big data). Его разработку планируют закончить примерно в течение полугода.

В свою очередь, Илья Массух отметил, что его рабочая группа не связана с документом, на который ссылается Варламов. Он не согласен с точкой зрения главы ФРИИ о том, что личность пользователя можно определить через технические аспекты.

«Если турбина электростанции передает данные, не очень понятно, как через них можно определить личность пользователя, который потребляет электроэнергию этой станции. Поэтому мы считаем, что это совсем разные понятия и не надо их обобщать, «большие данные» - которые можно отнести к чему угодно и «большие пользовательские данные» - которые напрямую затрагивают права личности, ее личное пространство к использованию которых, конечно, надо прописать правила для использования», - отметил Массух.

Концепция big data или «большие данные» - серия подходов, инструментов и методов обработки структурированных, слабо структурированных и неструктурированных данных огромных объемов для получения воспринимаемых человеком результатов. В качестве определяющих характеристик для больших данных отмечают «три V» - volume (объем), velocity (скорость), variety (многообразие).


Источник: Новости - SecurityLab.ru

Подлодки с ракетами Trident уязвимы к кибератакам

Согласно отчету лондонской научной организации British American Security Information Council (BASIC), размещенные на подводных лодках баллистические ракеты Trident уязвимы к кибератакам. Как сообщается в документе под названием «Hacking UK Trident, A Growing Threat», подобные атаки могут повлечь за собой «катастрофические» последствия, в том числе человеческие жертвы.

По мнению военных, Trident защищены от хакерских атак с помощью физической изоляции, однако ученые с этим не согласны. Во время нахождения подлодки в море при обычных обстоятельствах ракеты действительно неуязвимы к вредоносному ПО, однако оно может попасть в системы в другое время, например, при прохождении техобслуживания на военно-морской базе.

На подлодках используется та же ОС Windows, что и в Министерстве внутренней безопасности США, пострадавшем от недавних атак с использованием вымогательского ПО WannaCry. Авторы отчета описывают несколько векторов атак на Trident, способных сорвать операции и поставить под угрозу человеческие жизни. Тем не менее, как отмечают исследователи, для эксплуатации уязвимостей в удаленных подсистемах подлодок потребуется много ресурсов и навыков.

Trident («Трайдент») – семейство американских трехступенчатых баллистических ракет, размещаемых на подводных лодках.


Источник: Новости - SecurityLab.ru

«Никаких новых инструментов». Как использовать Big Data, чтобы экономить

Еще пять лет назад Big Data воспринималась как экзотика, что было обусловлено, в основном использованием технологий с открытым кодом. Для создания моделей по работе с данными требовалось приложить немало усилий. И это логично приводило к ряду сложностей, как при внедрении, так и при эксплуатации, ведь российский бизнес раньше имел неистребимую привычку к коробочным решениям известных зарубежных вендоров. Людям хотелось купить готовый продукт от SAP или Oracle, получить «упакованный» результат под конкретным брендом. Часто внедрялись решения Amdocs или IBM TDW, стоящие приличных денег.

Но сегодня мы видим, что ситуация меняется: появляются всевозможные коннекторы при обновлении существующего ПО, разрабатываются новые визуальные инструменты, предназначенные для руководителей и конечных пользователей, формируется инфраструктура для работы с массивами данных. Решения развиваются, и у пользователей постепенно появляется возможность обновить софт, сделать его удобным и комфортным для использования Больших Данных. При этом не нужно быть суперпрограммистом — для большинства ситуаций уже созданы готовые рецепты, и это способствует повсеместному применению новых технологий. Например, одна телекоммуникационная компания собрала кластер серверов Big Data (на базе Hadoop) из того, буквально было куплено на Савеловском рынке — в непосредственной близости к офису оператора. У них получился интересный набор решений для маркетинга, продаж и розничной сети.

В 2015 году аналогичный проект был запущен в одном из крупнейших розничных банков. Переломный момент заключался в том, что кредитная организация не стала связываться с консалтингом и решениями крупных вендоров, но специалисты банка собрали решение самостоятельно, причем более зрелое и комплексное, чем предложение крупных игроков по состоянию на 2014 — 2015 годы, когда происходило построение системы.

Рост популярности Big Data подтверждают и прогнозы аналитиков. IDC ожидает, что в 2017 году мировой рынок больших данных вырастет на 12,4%, причем основным драйвером будут выступать финансовые и производственные организации, а также компании, работающие в сфере профессиональных услуг. Такая ситуация невольно заставляет задуматься: раз растет спрос на Big Data, что и каким образом получают от внедрения этих технологий ваши конкуренты?

Смотрим вглубь

Если рассмотреть концепцию Big Data с точки зрения информационных технологий, то мы обнаружим, что никаких принципиально новых инструментов она в себе не несет. Сегодня ее стоит рассматривать больше как маркетинговый термин, который нашел глубокий отклик в кругах топ-менеджмента благодаря активной работе маркетологов.

Тем временем, грамотное использование ИТ-инструментов, лежащих в основе машинного обучения (Machine Learning) и глубокого обучения (Deep Learning), помогает экономить деньги и эффективно решать сложные задачи, когда традиционные подходы оказываются очень дорогими или сложными. Например, решение коллекторских задач получается весьма непростым на базе классических технологий: необходимо собирать огромное количество информации, хранить ее где-то, выделять процессорные мощности на анализ. Но Big Data позволяет не сохранять все необходимые данные, затрачивая на это значительные средства, анализируя источники, «как они есть» — прямо в социальных сетях, протоколах сотовых операторов и других неструктурированных массивах данных.

Классическая структура Big Data подразумевает наличие аналитического движка с тщательно настроенными алгоритмами, собственного хранилища информации (например, данных о клиентах или о транзакциях), коннекторов к внешним источникам, включая социальные сети и Интернет, а также инфраструктуры сбора данных, которая чаще всего оказывается представленной множеством датчиков, объединенных в Интернет Вещей (IoT). Чтобы решить эту задачу в реальных условиях нужно работать с различными инструментами. Сегодня мы видим необходимость поддержки таких платформ, как Cloudera и Hortonworks (самые популярные в России дистрибутивы Hadoop — базы данных для работы с Big Data). Для загрузки и обработки данных подойдут специальные инструменты, например, Informatica — самый популярный в России софт для управления потоками данных внутри кластера. Анализ и прогнозирование можно реализовать в RapidMiner. Впрочем, можно использовать и другие разработки — главное, чтобы задачи сбора и анализа данных решались эффективно.

Миллион факторов — миллион денег

Самое важное при реализации подхода Big Data заключается в том, чтобы разобраться, что вам нужно анализировать и какие параметры могут привести к реальной экономии или заработкам. Для этого можно использовать любые цифровые источники — данные о погоде, статистические выкладки (например, индексы потребительских цен), открытые данные о котировках или, например, документы с портала госзакупок с последующим разбором неструктурированного текста для учета количества и характеристик требуемой продукции. Фактически, ограничений нет — важна лишь целесообразность извлечения и анализа данных для бизнеса.

В практике КРОК был очень интересный проект для ближневосточной компании, предоставляющий коммунальный сервис охлаждения — для граждан и предприятий. Как и в любой сфере, связанной с генерацией, компания всегда имеет избыточные мощности, которые оказываются не потребленными в реальности. Как сократить их? Более того, холодильное оборудование нельзя моментально выключить или включить, как электрический тумблер — система имеет инерцию, и нередко включенные резервные мощности выходят на нужный уровень работы тогда, когда пиковая нагрузка уже прошла, и ресурсы тратятся впустую.

В случае с холодом, необходимо учесть массу факторов — динамику средних температур, паттерны потребления населением, расписание работы предприятий, график национальных выходных и праздников, историю потребления и так далее. Чтобы проанализировать все элементы потребовались бы десятки аналитиков, но внедрив решение, анализирующее все эти факторы, компания смогла свести на нет форс-мажорные ситуации и сократить энергопотребление на 6% - а это миллионы долларов.

Установка многочисленных датчиков и моделирование процессов в промышленности тоже дает очень хорошие результаты. Например, оперативный расчет производственных параметров в реальном времени позволяет экономить реальные деньги. В одной генерирующей компании наши специалисты внедрили решение Big Data, учитывающее параметры потребления и генерации, и только за счет перераспределения нагрузок добились 1,2% экономии топлива и еще 1% за счет краткосрочного планирования. В масштабах производства речь опять же идет о крупных суммах, а окупаемость системы составила 1,5 года. Вообще, как показывает практика, серьезный бизнес-результат от применения Big Data становится виден примерно через 3−4 месяца.

Эффект от применения Big Data хорошо виден в финансовой сфере, когда речь идет об оценке кредитоспособности клиента. Каждый бит дополнительных данных позволяет сделать более точный прогноз, и, например, сотрудничество российских кредитных организаций с сотовыми операторами, которое стало масштабным в последние два года, позволяет говорить о качественном улучшении скоринга — вплоть до 7 п.п. Джини (коэффициент, позволяющий определить, насколько хороша и точна скоринговая модель). Big Data позволяет учитывать такие факторы, как количество сим-карт, пополнения счета, география их использования и легче выявлять мошенников, которые точно не вернут полученный кредит.

Большой интерес представляют и широко известные кейсы. В компании United Parcel Service была внедрена система управления транспортом, которая учитывает, пожалуй, максимальное количество факторов — от картографии и ситуации на дорогах, до особенностей грузов, сроков их доставки и расписания работы пунктов доставки вместе с пожеланиями клиентов. Постоянно работающая система Big Data корректирует движение транспорта в реальном времени и уже позволила UPS экономить 6 миллионов литров топлива в год. Умножив эту цифру на стоимость бензина, несложно получить результат в миллионы долларов США.

Дешёвый стандарт

Конечно, размер экономии или заработка на Big Data зависит от масштабов деятельности компании, но общая парадигма говорит о результате в 1−5% от общего оборота компании. Но современные технологии позволяют легко реализовать систему нужного масштаба и практически без капитальных затрат. Многие считают, что Big Data — это дорого, но ситуация сильно изменилась с развитием облачных технологий, и теперь Big Data доступны практически любой компании.

Все мы помним, когда в России было принято тратить огромнейшие деньги на СУБД, СХД и сервера, но сегодня все прекрасно знают, что можно купить все системы стандартной архитектуры, и бренд не имеет значения. То же самое можно сказать сегодня и про Big Data: с открытыми технологиями и стандартными платформами данные стало обрабатывать действительно дешево. Вы можете потратить минимум средств на оборудование или даже взять вычислительные мощности в аренду. Главное, чтобы у вас были специалисты, которые смогут определить, что нужно анализировать и какие параметры просчитывать. Тогда можно будет запустить проект с любым количеством данных и получить отдачу в кратчайшей перспективе.


Источник: Roem.ru — Все новости

Кибератаки на ЕЭС во время олимпиады Сочи-2014

Через 10-20 лет «большие данные» будут не менее важны, чем электроэнергия

«Большие данные» (big data) в скором времени будут играть не менее важную роль в жизни общества, чем сейчас электричество. Такую точку зрения высказал помощник президента РФ Андрей Белоусов в ходе обсуждения на Петербургском экономическом форуме.

По его мнению, «большие данные» станут основным средством капитализации и от работы с ними будет зависеть цифровая экономика. Белоусов представил цифровую экономику в виде сложной трехуровневой структуры, включающей новые бизнес-процессы, рынки (беспилотники, промышленный интернет), инфраструктуру и регуляторику, которая сейчас замедляет развитие интернет-торговли.

На той же сессии глава Роскомнадзора Александр Жаров отметил необходимость государственного регулирования в сфере «больших данных» и определения органа, который будет заниматься данной деятельностью.

По его словам, регулирование требуется в следующих аспектах: соблюдении права на неприкосновенность частной жизни, правовой регламентации обработки больших данных, а также государственном контроле за большими данными.

«Сегодня значительное число интернет-компаний предоставляют приложения бесплатно, но при этом забирают наши большие пользовательские данные. Очевидно, этот момент ставит вопрос о том, как это должно регулироваться. Сегодня в национальном законодательстве РФ и в международном законодательстве нет кодификации понятия больших данных […] Необходима кодификация подходов к обработке больших пользовательских данных, условий их хранения, передачи и вторичного использования», - приводит «ТАСС» мнение главы Роскомнадзора.

Как отметил чиновник, закон о big data может появиться в конце 2018 - начале 2019 года.

Концепция big data или «большие данные» - серия подходов, инструментов и методов обработки структурированных, слабо структурированных и неструктурированных данных огромных объемов для получения воспринимаемых человеком результатов. В качестве определяющих характеристик для больших данных отмечают «три V» - volume (объем), velocity (скорость), variety (многообразие).


Источник: Новости - SecurityLab.ru

Банда байкеров взломала и угнала 150 джипов Jeep Wrangler

Сотрудники ФБР арестовали членов мексиканской банды мотоциклистов по обвинению во взломе и угоне более 150 автомобилей Jeep Wrangler. Согласно обвинительному акту и сопутствующему ордеру на обыск, с помощью старых и новых техник взлома участники байкерского клуба Hooligans Motorcycle Club в Тихуане (Мексика) умело скрывали кражи.

У каждого члена банды была строго отведенная ему роль. Все кражи осуществлялись по одной и той же схеме. Сначала участники группировки, так называемые «разведчики», находили в районе Южной Калифорнии подходящий автомобиль. Угон Jeep Wrangler не предполагает использование ключа зажигания, и для обхода выключателя зажигания преступники использовали целый ряд сложных техник и высокотехнологическое оборудование.

Выбрав подходящий автомобиль, «разведчики» записывали его идентификационный номер (VIN), обычно указанный на панели управления, и передавали его лидеру банды, который затем через Facebook отправлял код слесарям. Согласно судебным материалам, слесари каким-то образом получили доступ к проприетарной базе данных, содержащей коды для замены ключей от различных моделей Jeep Wrangler.

Зная VIN нужной модели машины, слесари загружали из базы данных два кода. Первый из них использовался для получения инструкций по изготовлению физического ключа зажигания. Слесари изготавливали ключ и вместе со вторым кодом отправляли его главарю банды. Руководитель группировки раздавал ключи и коды остальным членам группировки, которые затем угоняли транспортные средства.

База данных принадлежала одному из мексиканских дилеров Jeep. Каким образом она попала в руки преступников, неизвестно. Тем не менее, наличие физического ключа не упрощало задачу преступникам, так как чип внутри него не подключался к системе машины. Злоумышленники отключали систему сигнализации, однако все равно срабатывали задние сигнальные огни. С помощью физического ключа угонщики открывали кабину, подключали к диагностическому порту портативный компьютер и с помощью второго кода перепрограммировали ключ для синхронизации его с машиной. Затем преступники отключали сигнализацию и уезжали на автомобиле в Мексику.

Выключатель зажигания (замок зажигания) – механическое или электрическое контактное устройство подачи напряжения на систему зажигания. Как правило, выполняет две функции: подачи напряжения на бортовую сеть и систему зажигания, подачи напряжения на втягивающее реле стартера автомобиля.


Источник: Новости - SecurityLab.ru

11 июня 2017

IoT-устройства компрометируют своих владельцев, даже если трафик зашифрован

Группа исследователей из Принстонского университета, в которую вошли  Ной Апторп (Noah Apthorpe), Диллон Рейсман (Dillon Reisman) и Ник Фиамстер (Nick Feamster), представила интересный доклад, который в очередной раз ярко иллюстрирует небезопасность IoT-устройств.

Специалисты подошли к проблеме с довольно необычной стороны: они не стали искать баги и уязвимости, но занялись анализом трафика, который  генерируют различные «умные» девайсы. Дело в том, что индивидуальные профили трафика у таких устройств сильно отличаются и, к примеру, термостат нельзя спутать с лампочкой, а лампочку с автоматической дверью гаража.

В своем докладе эксперты пишут, что они внимательно изучили работу трекера сна Sense, камеры наблюдения Nest Cam Indoor, свитча WeMo, а также Amazon Echo. Как оказалось, все устройства оставляют за собой настолько узнаваемый след в виде трафика, что не помогает даже шифрование. Любому, кто наблюдает за такой активностью со стороны, все равно будет ясно, что происходит.

Так, устройства Sense позволят третьим лицам узнать о циклах сна пользователя; через камеры Nest можно понять, когда за атакующим наблюдают, и среагировало ли устройство на движение; наблюдая за WeMo, можно отслеживать включение и выключение устройств; а трафик Amazon Echo явственно сигнализирует о том, когда пользователь говорит с гаджетом. По сути, атакующим достаточно лишь найти способ перехватывать или мониторить трафик жертвы, а затем можно отслеживать в нем характерные паттерны IoT-девайсов.

Исследователи признают, что подобные атаки и слежка, реализованная таким образом, будут включать «множество допущений». К примеру, предполагается, что все объекты наблюдения ложатся спать примерно в одно время, не используют устройства друг друга, а также не оставляют девайсы включенными на ночь для загрузки обновлений или выполнения каких-то других задач, подразумевающих интенсивное использование сети. Так, проще всего отследить активность трекеров Sense, так как эти устройства предназначены только для одной цели и используются в одно и то же время.

Тем не менее, специалисты пишут, что производителям IoT-устройств стоит прекратить излишний сбор данных о пользователях, так как подобное поведение устройств в итоге может скомпрометировать владельцев. Также специалисты сообщают, что работают над собственным, дружественным для пользователей решением, которое позволит хозяевам умных домов значительно сократить утечки метаданных и лучше контролировать трафик.


Источник: «Хакер»

Сбой в компьютерных системах на три дня парализовал работу British Airways

Британская авиакомпания British Airways третий день подряд страдает от сбоев в работе своих компьютерных систем после их масштабного выхода из строя на прошлых выходных.

В субботу, 27 мая, из-за перебоев с электроснабжением IT-системы British Airways вышли из строя, и авиакомпания была вынуждена отменить ряд рейсов. В результате тысячи пассажиров оказались на сутки запертыми в залах ожидания в двух самых загруженных аэропортах Великобритании Хитроу и Гатвик. Перебои с электричеством также затронули работу колл-центров и web-сайтов.

В воскресенье проблемы с компьютерными системами продолжались. В понедельник компания заявила о возобновлении полетов из аэропортов Хитроу и Гатвик, однако некоторые ближние рейсы по-прежнему были отменены. По словам экспертов, IT-системы British Airways стали работать с перебоями с 2016 года, когда компания уволила ряд сотрудников и перенесла часть операций в Индию.

Как сообщает информагентство Reuters со ссылкой на аналитика компании Davy Стивена Фарлонга (Stephen Furlong), один день простоя обходится авиакомпании в $38,5 млн. Кроме того, British Airways выплатит компенсацию пассажирам, чьи рейсы были отменены.


Источник: Новости - SecurityLab.ru

08 июня 2017

В госуслугах появится биометрическая идентификация

На портал госуслуг в скором времени будет добавлена национальная биометрическая платформа (НБП). Банки проведут испытание новой программы во второй половине 2017 года, сообщают «Известия» со ссылкой на главу Минкомсвязи Николая Никифорова.

По его словам, основная задача платформы заключается в предоставлении пользователям возможности без предъявления паспорта совершать юридически значимые операции, например, открывать счет в банке.

«Сейчас пытаемся дополнить идентификацию на портале госуслуг биометрией. Поскольку у нас нет национальных электронных карт, мы пытаемся использовать современную технологию биометрии - голос, видео лица человека. И такое технологическое решение есть. Нужно будет всего один раз подойти в банк или многофункциональный центр. Это пока прорабатывается, собираем «пилот», смотрим, как все будет работать. Думаю, ко второй половине года сможем уже протестировать», - пояснил Никифоров.

Министр также добавил, что интеграция НБП расширит спектр юридически значимых сложных услуг, которые можно оказывать online. В первую очередь в данной технологии заинтересованы банки, которые смогут идентифицировать клиентов через камеру смартфона.

В настояще время Минкомсвязи готовит постановление правительства, разрешающее использование биометрических данных для идентификации пользователей.


Источник: Новости - SecurityLab.ru

Сканер радужной оболочки глаза в Samsung Galaxy S8 обманули с помощью фото

Первые сообщения о «взломе» биометрических систем защиты флагманских смартфонов компании Samsung (Galaxy S8 и S8+) появились фактически в день их презентации, в конце марта 2017 года. Напомню, что тогда испанский испанский обозреватель MarcianoTech вел прямую Periscope-трансляцию с мероприятия Samsung и обманул систему распознавания лиц в прямом эфире. Он сделал селфи на собственный телефон и продемонстрировал полученное фото Galaxy S8. Как это ни странно, этот простейший трюк сработал, и смартфон был разблокирован.

Однако флагманы Samsung комплектуются сразу несколькими биометрическими системами: сканером отпечатков пальцев, системой распознавания радужной оболочки глаза и системой распознавания лиц. Казалось бы, сканеры отпечатков и радужной оболочки должны быть надежнее? По всей видимости, нет.

Исследователи Chaos Computer Club (CCC) сообщают, что им удалось обмануть сканер радужной оболочки глаза с помощью обыкновенной фотографии, сделанной со средней дистанции. Так, известный специалист Ян «Starbug» Криссер (Jan Krissler) пишет, что достаточно сфотографировать владельца Galaxy S8 таким образом, чтобы его глаза были видны в кадре. Затем нужно распечатать полученное фото и продемонстрировать его фронтальной камере устройства.

Единственная сложность заключается в том, что современные сканеры радужной оболочки глаза (равно как и системы распознавания лиц) умеют отличать 2D-изображения от реального человеческого глаза или лица в 3D. Но Starbug с легкостью преодолел и эту сложность: он попросту приклеил контактную линзу поверх фотографии глаза, и этого оказалось достаточно.

Для достижения наилучшего результата специалист советует делать фото в режиме ночной съемки, так как это позволит уловить больше деталей, особенно если глаза жертвы темного цвета. Также Крисслер пишет, что распечатывать фотографии лучше на лазерных принтерах компании Samsung (какая ирония).

«Хорошей цифровой камеры с линзой 200 мм будет вполне достаточно, чтобы с расстояния до пяти метров захватить изображение, пригодное для обмана системы распознавания радужной оболочки глаза», — резюмирует Крисслер.

Данная атака может оказаться куда опаснее, чем банальный обман системы распознавания лиц, ведь если последнюю нельзя использовать для подтверждения платежей в Samsung Pay, то радужную оболочку глаза для этого использовать как раз можно. Найти качественную фотографию жертвы в наши дни явно не составит труда, и в итоге атакующий сможет не просто разблокировать устройство и получить доступ к информации пользователя, но и похитить средства из чужого кошелька Samsung Pay.

Специалисты Chaos Computer Club предупреждают пользователей, что не стоит доверять биометрическим системам защиты сверх меры и рекомендуют применять старые добрые PIN-коды и графические пароли.

Видеоролик ниже пошагово иллюстрирует все этапы создания фальшивого «глаза» и демонстрирует последующий обман Samsung Galaxy S8.


Источник: «Хакер»

Производители не спешат устранять уязвимости в SCADA-системах

Системы автоматического контроля и сбора информации (SCADA) активно используются для диспетчерского контроля в промышленности и энергетике, поэтому атаки на SCADA-системы могут представлять существенную угрозу для различных объектов критической инфраструктуры. Человеко-машинный интерфейс (Human Machine Interface, HMI) является одним из важных компонентов SCADA и его компрометация позволит злоумышленникам получить доступ к критической инфорастурктуре. Эксперты компании Trend Micro проанализировали предупреждения ICS-CERT за период с 2015 по 2016 годы, связанные с HMI уязвимостями, и пришли к неутешительным выводам.

Как выяснилось, 20% исследованных уязвимостей возникали по причине повреждения памяти (переполнение буфера, уязвимости чтения\записи за пределами поля (out-of-bounds read/write) и т.д.); 19% проблем были связаны с учетными данными (вшитые пароли, скрытые учетные записи с полными правами, хранение паролей в открытом виде); 23% уязвимостей возникали в связи с отсутствием механизмов авторизации; 9% проблем позволяли внедрение кода.

Примечательно, что за последние четыре года оперативность устранения уязвимостей осталась практически на прежнем уровне - порядка 140 дней. Как отмечается, производители SCADA-систем основное внимание уделяют промышленному оборудованию, а не программному обеспечению, поскольку именно аппаратные средства приносят им большую прибыль.

Доклад также указывает на ошибки, которые совершают компании. К примеру, многие из них устраняют только определенные уязвимости (заменяют уязвимые API, отключают проблемные функции и т.д.), но не более того.

«Производителям HMI и SCADA-решений следует принять во внимание практики безопасности жизненного цикла, реализованные разработчиками ОС и приложений за последние десять лет. К тому же им стоит ожидать, что их продукты будут использоваться не по назначению, например, будут подключены к публичной сети. С учетом наихудших сценариев, разработчики могут реализовать комплексные меры по обеспечению безопасности»,- отмечается в отчете исследователей.

SCADA (Supervisory Control And Data Acquisition, диспетчерское управление и сбор данных) - программный пакет, предназначенный для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления. SCADA-системы используются во всех отраслях хозяйства, где требуется обеспечивать автоматическое управление технологическими процессами в режиме реального времени.


Источник: Новости - SecurityLab.ru

Анализ трафика IoT-устройств помогает узнать частную информацию о пользователе

Большинство устройств категории «Интернета вещей» (Internet of Things, IoT), используемых в «умных» домах, шифруют трафик, однако пассивный наблюдатель (например, интернет-провайдер или некто с доступом к Wi-Fi сети) может узнать конфиденциальную информацию о пользователе или его потребительском поведении, проанализировав метаданные, связанные с трафиком IoT-устройства.

Для подтверждения этой теории группа исследователей из Принстонского университета (США) провела эксперимент, в ходе которого проанализировала интенсивность трафика четырех IoT-гаджетов для «умных» домов - монитор потребления электроэнергии Sense, домашней видеокамеры Nest Cam, «умной» розетки WeMo и смарт-колонки Amazon Echo.

По словам ученых, разделить записанный трафик на потоки и ассоциировать каждый из них с определенным устройством не так сложно. На основе полученной информации злоумышленник может определить режим сна пользователя, когда он бывает дома или как часто использует виртуальный ассистент Amazon Alexa.

Использование одного лишь шифрования нельзя считать адекватной мерой защиты конфиденциальности владельцев «умных» домов. «Систематическое решение для защиты неприкосновенности частной жизни потребителей потребует обфускации или формирования всего трафика умного дома для маскировки вариаций, по которым можно определить настоящее поведение», - отметили ученые, добавив, что такое решение не должно негативно влиять на производительность IoT-устройства и не требовать модификации его программного обеспечения.

Исследователи также предложили ряд мер безопасности, которые производители могут реализовать для обеспечения защиты конфиденциальности пользователей. В их числе: блокировка исходящих соединений для предотвращения доступа посторонних к данным устройств; шифрование DNS-запросов, чтобы злоумышленник не смог идентифицировать гаджеты; маршрутизация трафика через VPN; маскировка трафика.

«Интернет вещей» (Internet of Things, IoT) - широкая сеть устройств, подключенных к интернету, в том числе смартфоны, планшеты и практически любые «вещи», оснащенные датчиками: автомобили, промышленное оборудование, реактивные двигатели, нефтяные вышки, носимые устройства и многое другое.


Источник: Новости - SecurityLab.ru

1С создает продукт, позволяющий использовать электронную подпись на смартфоне

Дочернее предприятие фирмы 1С, «1С-СП», разрабатывает продукт, который позволит владельцам смартфонов и планшетов пользоваться электронной подписью (ЭП), рассказал газете «Ведомости» директор по развитию бизнеса «1С-СП» Сергей Химаныч. Для этого будут использоваться специализированные sim-карты — 1С-sim, подключенные к мобильной платформе виртуального оператора МТТ, работающего на сетях МТС и «Т2 РТК холдинга». Сервис планируется запустить летом 2017 года.

Потенциальной аудиторией своего сервиса «1С-СП» считает компании, заинтересованные в обеспечении безопасного доступа к личным кабинетам пользователей или возможности подписания каких-либо документов в электронном виде с помощью ЭП. Сервис может вызвать интерес у банков, клиенты которых пользуются системами дистанционного обслуживания, страховым компаниям, ритейлу, транспортным компаниям и т. д.

МТТ — первый оператор, с которым сотрудничает «1С-СП», но компания заинтересована в расширении их круга, в частности компания успешно протестировала ЭП на sim-картах «Вымпелкома». По данным удостоверяющего центра СКБ «Контур», занимающегося выдачей и обслуживанием электронных подписей, сейчас в России около 3,5 млн владельцев ЭП, из них только 5% - физические лица. Ежегодно количество пользователей ЭП в среднем растет на 30%.


Источник: Roem.ru — Все новости

Медицинское оборудование впервые было инфицировано вымогательским ПО

Похоже, волна атак с использованием вымогательского ПО WannaCry затронула в медучреждениях не только компьютеры, но и непосредственно медицинское оборудование. В распоряжении журналистов издания Forbes оказался снимок экрана устройства производства Bayer Medrad, предназначенного для введения в тело пациента контрастного вещества при проведении магнитно-резонансного исследования.

Вредонос инфицировал систему, поскольку устройство работало под управлением Windows Embedded и поддерживало уязвимый протокол SMBv1. Согласно сообщению Forbes, данный случай является первым в истории примером заражения программой-вымогателем непосредственно медицинского оборудования.

Какие именно продукты и в каких больницах были инфицированы WannaCry, неизвестно. По словам представителя Bayer Medrad, компания получила два сообщения о заражении своих продуктов на территории США. Работа инфицированного оборудования была восстановлена в течение 24 часов. Как пояснил представитель, зараженными могли оказаться устройства, подключенные к скомпрометированным сетям медучреждений. Выпущенный Microsoft патч для уязвимости в SMBv1 будет разослан больницам «в скором времени».

Уведомления о потенциальной угрозе также опубликовали производители медицинского оборудования Smiths Medical, Medtronic и Johnson & Johnson, хотя сообщений об атаках на них пока не поступало.


Источник: Новости - SecurityLab.ru

06 июня 2017

Эксперты обнаружили уязвимости в «умных» домашних системах безопасности

Исследователи компании Rapid7 обнаружили десять уязвимостей в трех домашних системах безопасности – Comcast XFINITY, ADT и AT&T Digital Life. С их помощью злоумышленник может взломать систему видеонаблюдения, отключить датчики на входных дверях, получить доступ к маршрутизатору, внедрить вредоносное ПО и перенаправить DNS-трафик на другой сервер. Проэксплуатировать уязвимости можно, только находясь вблизи от дома. Удаленная эксплуатация невозможна.

Проблемы связаны со сбоем в работе дверных и оконных датчиков, слабыми паролями для доступа к Wi-Fi и отсутствием шифрования передаваемых по сети данных. Вышеописанные проблемы не являются чем-то новым и весьма распространены среди устройств «Интернета вещей» (IoT). К примеру, еще два года назад исследователи компании Tripwire обнаружили аналогичные уязвимости в устройствах для управления «умным» домом Wink Hub, Vera и SmartThings Hub.

За последние несколько месяцев представители Rapid7 связались с производителями уязвимых систем и сообщили им о проблемах. В настоящее время все уязвимости уже исправлены, поэтому исследователи раскрыли подробности о них публично.

«Умный» дом – система домашних устройств, способных выполнять действия и решать определенные повседневные задачи без участия человека. Домашняя автоматизация рассматривается как частный случай «Интернета вещей», она включает доступные через интернет домашние устройства, в то время как IoT включает любые связанные через интернет устройства.


Источник: Новости - SecurityLab.ru

11-летний хакер показал, как превратить в оружие любое IoT-устройство

11-летний школьник из Остина (штат Техас, США) Рубен Пол (Reuben Paul) продемонстрировала на конференции по кибербезопасности в Нидерландах, что любое устройство из категории «Интернета вещей» можно превратить в оружие, сообщает The Guardian.

«От самолетов до автомобилей, от смартфонов до умных домов - любое устройство и любая игрушка могут быть частью «Интернета вещей». От терминаторов до плюшевых мишек, любой предмет или игрушка могут быть превращены в оружие», - заявил маленький докладчик.

Свое заявление Рубен подкрепил демонстрацией, в ходе которой, подключив к ноутбуку устройство Raspberry Pi просканировал помещение на наличие доступных Bluetooth-устройств и скачал несколько десятков телефонных номеров присутствующих в зале экспертов по кибербезопасности. Затем с помощью одного из этих номеров школьник взломал своего плюшевого мишку, заставив его мигать лампочками и воспроизводить аудиозапись.

«Большинство подключенных к интернету устройств поддерживают подключение по Bluetooth ... Фактически я продемонстрировал, как смог подключиться к устройству и отправить команды», - пояснил Рубен Пол.

Отец мальчика Мано Пол (Mano Paul) отметил, что был шокирован числом уязвимостей в детских игрушках. «Это значит, мои дети играют с бомбами замедленного действия, которые со временем может проэксплуатировать некто злонамеренный», - подчернул он.

«Интернет вещей» (Internet of Things, IoT) - сеть связанных через Интернет объектов, способных собирать данные и обмениваться данными, поступающими со встроенных сервисов.


Источник: Новости - SecurityLab.ru

Хакеры взломали табло железнодорожного вокзала в Вашингтоне

В результате взлома неизвестными хакерами информационного табло железнодорожного вокзала Юнион-Стейшн в Вашингтоне на экране вместо расписания поездов появилась видеозапись непристойного содержания.

По данным телеканала Fox 5, инцидент произошел в понедельник, 15 мая, в вечерний час пик. Спустя несколько минут после запуска видео информационное табло было отключено. Согласно словам представителей службы безопасности вокзала, табло взломали хакеры. По свидетельствам очевидцев, в последнее время подобные инциденты случались уже дважды. Сейчас власти пытаются разобраться, как злоумышленникам удалось получить доступ к информационному табло.

Напомним, в начале апреля нынешнего года хакеры взломали систему оповещения о чрезвычайных ситуациях в Далласе (Техас, США) и на полтора часа включили все 156 тревожных сирен.


Источник: Новости - SecurityLab.ru

Microsoft выпустила рекомендации по улучшению безопасности IoT

Компания Microsoft опубликовала отчет, посвященный вопросу безопасности «Интернета вещей» (IoT). В частности, в документе идет речь о том, что технологические компании не смогут решить проблемы безопасности IoT-устройств в одиночку без участия государства. Как минимум, правительство должно участвовать в разработке соответствующих стандартов и рекомендаций.

Эксперты Microsoft выделили три области, где необходимо участие государства. Во-первых, правительство должно служить катализатором для реализации высоких стандартов безопасности IoT. Во-вторых, оно может построить междисциплинарное партнерство для поощрения сотрудничества между государственным и частным секторами, а также совместной работы госслужб. В-третьих, государство должно поддерживать инициативы по улучшению безопасности IoT за границей.

Как считает Microsoft, правительства стран мира должны инвестировать в обучающие программы в области IoT, образование и общественную осведомленность о безопасности «Интернета вещей».

Что касается производителей, то Microsoft рекомендует вместо устройств общего назначения выпускать устройства с ограниченным функционалом, обеспечивать их защиту от взломов, реализовывать защиту в виде зашифрованных хранилищ данных и криптографических ключей, а также предоставлять регулярные обновления.

Помимо правительства и производителей, Microsoft дала рекомендации специалистам, занимающимся разработкой, интеграцией и развертыванием IoT-продуктов, в зависимости от выполняемых ими задач.

В отчете компании также затронута тема ПО с открытым исходным кодом. Microsoft не предлагает отказаться от него, а наоборот, рекомендует избегать неподдерживаемых сообществом неактивных компонентов и библиотек, уязвимости в которых вряд ли кто-то будет исправлять.


Источник: Новости - SecurityLab.ru

Произошла утечка кодов доступа к кабине пилотов в самолетах United Airlines

Бортпроводник компании United Airlines случайно стал причиной утечки кодов, открывающих дверь в кабину пилотов самолета. Как сообщает издание Wall Street Journal со ссылкой на уведомление, разосланное авиакомпанией своим сотрудникам, коды доступа по ошибке оказались опубликованными на общедоступном сайте.

До террористических атак 11 сентября 2001 года дверь кабины пилотов не закрывалась на кодовый замок, однако с тех пор были реализованы дополнительные меры безопасности. Для того чтобы открыть дверь, недостаточно просто ввести код доступа извне. После введения кода дверь не открывается автоматически – пилоту в кабине дается сигнал о том, что нужно открыть, и тогда он должен ввести еще один код.

Периодически коды меняются, но это не значит, что они подлежат разглашению. Из-за утечки до следующей смены кодов существует большая вероятность проникновения в кабину пилотов United Airlines посторонних. Авиакомпания уведомила об инциденте Федеральное управление гражданской авиации и отметила, что причиной утечки не является кибератака.

Скомпрометированные коды, скорее всего, будут изменены вручную авторизованным персоналом авиакомпании. По заверению United Airlines, до смены кодов будут применены дополнительные меры безопасности.


Источник: Новости - SecurityLab.ru

03 июня 2017

Более 160 тысяч компонентов АСУ ТП доступны для атак из Интернета — отчет Positive Technologies

В 2016 году в компонентах, применяемых для управления технологическими процессами на промышленных объектах, были обнаружены 115 уязвимостей. Используя общедоступные поисковые системы, потенциальные злоумышленники могут удаленно получить доступ к 162 0391 компонентам АСУ ТП, в том числе к 4,5 тысячам устройств, обеспечивающих работу энергетических объектов. Под угрозой также здания (38 тысяч доступных компонентов систем Smart House) и другие объекты. Такие данные приводятся в аналитическом отчете «Безопасность АСУ ТП: Итоги 2016 года», опубликованном сегодня компанией Positive Technologies.

Как выяснили эксперты Positive Technologies, наибольшее количество компонентов АСУ ТП, имеющих подключение к сети Интернет, приходится на США (31%), Германию (8%) и Китай (5%). Большое число найденных компонентов АСУ ТП в этих странах, среди прочего, связано с широким распространением современных автоматизированных систем управления зданиями. Россия сохранила 31 место с 591 компонентом АСУ ТП, что составляет менее 1% от общего числа доступных в сети Интернет компонентов.

Самыми распространенными компонентами АСУ ТП в глобальной сети являются системы автоматизации зданий компании Tridium, системы мониторинга и управления электроэнергией SMA Solar Technology, а также устройство IPC@CHIP немецкой компании Beck IPC, популярность которого объясняется его относительно низкой ценой, многофункциональностью и наличием встроенного контроллера Ethernet с поддержкой стека TCP/IP и встроенного веб-сервера.

Авторы исследования обращают внимание на значительный рост встречаемости конвертеров интерфейсов и сетевых устройств, которые представляют наибольший интерес для злоумышленников. Атаки на подобные устройства не требуют понимания технологического процесса и могут привести к его нарушениям и даже к серьезным авариям.

Количество выявленных компонентов АСУ ТП, доступных в сети Интернет, за год выросло незначительно: по состоянию на март 2016 года было обнаружено 158 087 компонентов, а в марте 2017 года — 162 039 компонентов.

Среди обнаруженных 115 уязвимостей свыше половины (60%) имеют критическую и высокую степень риска, и большинство из них могут эксплуатироваться удаленно без необходимости получения каких-либо привилегий. Наиболее распространенными типами брешей стали «Удаленное выполнение кода», «Отказ в обслуживании» и «Раскрытие информации». При этом большая часть уязвимостей приходится на устройства диспетчеризации и мониторинга (ЧМИ/SCADA).

Лидерами в рейтинге наиболее уязвимых компонентов АСУ ТП являются продукты компаний Siemens, Advantech, Schneider Electric, а также производителя промышленного сетевого оборудования компании Moxa. Стоит отметить, что количество опубликованных уязвимостей напрямую зависит от распространенности продукта и от того, придерживается ли производитель политики ответственного разглашения. Поэтому эти данные не свидетельствуют напрямую о слабой защищенности этих решений.

«Производители АСУ ТП стали уделять больше внимания выявлению и устранению уязвимостей в своих продуктах, что позволило приостановить рост числа выявляемых недостатков безопасности, — отмечает руководитель отдела безопасности промышленных систем управления Владимир Назаров. — Однако не менее важная проблема связана с ежегодным увеличением количества компонентов АСУ ТП, доступных в сети Интернет.

Для удаленного доступа к промышленным системам часто используются словарные или сервисные пароли, что позволяет любому злоумышленнику без труда перехватить управление над системой. Сейчас промышленные системы применяются в самых разных областях, от АЭС до персональных систем «умных домов», и киберпреступник получает возможность в комфортных условиях отыскать уязвимость в одной АСУ ТП для проведения атак на множество объектов во всем мире».

Специалисты по безопасности АСУ ТП Positive Technologies в 2016 году выявили и помогли устранить 11 уязвимостей в продуктах таких компаний, как Siemens, Advantech, Schneider Electric, General Electric, Rockwell Automation, а также направили производителям систем АСУ ТП информацию о 13 других уязвимостях. Среди обнаруженных недостатков есть и уязвимости, связанные с хранением паролей пользователей в открытом виде, которые могут привести к перехвату контроля над SCADA-системой.

Для повышения общего уровня безопасности эксперты Positive Technologies рекомендуют предпринимать минимальные превентивные меры защиты, такие как отключение компонентов АСУ ТП от сети Интернет и использование сложных паролей, которые позволяют в значительной степени снизить вероятность проведения атак. Также необходимо проводить регулярный анализ защищенности АСУ ТП с целью выявления возможных векторов атак и разработки эффективной системы защиты.

Скачать полную версию отчета «Безопасность АСУ ТП: итоги 2016 года» можно здесь.


Источник: Новости - SecurityLab.ru