Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

19 января 2017 г.

Касперский предрек рост числа атак на российские промышленные объекты

В нынешнем году в России ожидается рост числа хакерских атак. Киберпреступники будут атаковать самые разнообразные компьютеризированные устройства, в том числе объекты критической инфраструктуры и производства. Об этом в среду, 18 января, сообщает издание «РИА Новости» со ссылкой на главу «Лаборатории Касперского» Евгения Касперского.

Как рассказал Касперский в кулуарах Всемирного экономического форума в Давосе, исследователи его компании уже несколько лет подряд наблюдают усиление вредоносной активности в «нетрадиционных сегментах». Речь идет об устройствах «Интернета вещей» (IoT), таких как камеры видеонаблюдения, ставших излюбленной целью хакеров наряду с компьютерами и мобильными телефонами. Напомним, в прошлом году проблема безопасности IoT-устройств всколыхнула общественность после появления опасного ботнета Mirai.

Отвечая на вопрос о главных киберугрозах в 2017 году, Касперский выразил беспокойство по поводу усиления в России кибератак на промышленные объекты, представляющие собой сложные компьютеризированные системы.


Источник: Securitylab.ru

17 января 2017 г.

Rakos строит ботнет из устройств интернета вещей

Специалисты ESET обнаружили вредоносную программу Linux/Rakos, атакующую устройства интернета вещей. По аналогии с известными червями для Linux, Rakos ищет встроенные устройства и серверы с открытым SSH-портом и слабыми или заводскими паролями. Зараженные устройства используются для дальнейшего распространения программы. 

Атака начинается с небольшого списка IP-адресов, затем число целей увеличивается. В настоящее время заражение угрожает только слабо защищенным устройствам. Есть информация о пострадавших в результате сброса до заводских настроек и установки паролей по умолчанию. 

Если заражение успешно, Linux/Rakos разворачивает на устройстве локальный НТТР-сервер. Он позволяет новым версиям программы закрывать процессы старых версий и преобразовать URL-запросы.

Бот также разворачивает веб-сервер, который прослушивает входящие соединения на случайных ТСР-портах – порт выбирается случайным образом в диапазоне от 20 000 до 60 000. 

Далее программа направляет НТТР-запрос, содержащий информацию о зараженном устройстве, включая логин и пароль, на командный сервер злоумышленников. 

Пока Rakos строит ботнет из незащищенных устройств и не используется для злонамеренных действий. В будущем можно ожидать появления новых функций – от проведения DDoS-атак до рассылки спама. С другой стороны, специалисты ESET не исключают, что программа представляет собой результат неудачного эксперимента.


Источник: Anti-Malware.ru

16 января 2017 г.

[ZLONOV.ru] Проект постановления правительства о требованиях к ИБ АСУ ТП

ZLONOV.ru
Пост Проект постановления правительства о требованиях к ИБ АСУ ТП опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

13 января 2017 г.

С помощью селфи можно снять отпечатки пальцев, предупреждают эксперты

С помощью селфи можно снять отпечатки пальцев, предупреждают эксперты

Исследователи из Национального Института Информатики в Японии утверждают, что отпечатки пальцев могут быть извлечены из фотографий. Эксперт Исао Эчизен (Isao Echizen) рассказал, что отпечатки пальцев могут быть скопированы с фотографий, сделанных с расстояния до трех метров. При этом снимки должны быть четкими и сделанными при хорошем освещении. Технология, необходимая для репликации отпечатков пальцев не считается передовой, но для завершения ее разработки потребуется около двух лет. 

«Если пользователь, например, покажет жест «виктория» (распространенный жест, означающий победу или мир) перед камерой, то его отпечатки пальцев вполне могут стать широкодоступными. Рисунок отпечатков пальцев может быть воссоздан, если они находятся в фокусе с сильным освещением в кадре» - говорит Эчизен. 

Требуемое расстояние (не менее трех метров), по словам исследователя, позволит охватить отпечатки всех, кто увлекается так называемыми селфи-фото. Исследовательская группа создала прозрачную пленку оксида титана, которая маскирует отпечатки в фотографиях. Полученные результаты представляют особый интерес для Японии, так как в культуре азиатских стран жест «виктория» очень популярен и имеет особое значение.

Источник: Anti-Malware.ru

12 января 2017 г.

Кардиостимуляторы St. Jude Medical оказались уязвимы для атак, компания выпустила патч

В конце августа 2016 года исследователи стартапа MedSec и представители инвестиционной фирмы Muddy Waters Capital выступили со смелым заявлением: якобы медицинское оборудование компании St. Jude Medical содержит многочисленные уязвимости и представляет опасность для пациентов. Тогда исследователи и инвесторы представили совместный аналитический отчет (PDF), который содержал мало конкретных данных о найденных уязвимостях, но все равно спровоцировал стремительное падение акций St. Jude Medical.

Представители St. Jude Medical, в свою очередь, ответили на совместный доклад двух компаний развернутым опровержением. Компания подчеркивала, что многие обвинения MedSec и Muddy Waters попросту невозможно проверить, а другие обвинения и вовсе были названы ложью. К примеру, в докладе исследователи заявляют, что удаленная атака на кардиооборудование возможна с расстояния пятнадцати метров, и отмечают, что расстояние, на котором можно получить доступ к девайсу, крайне желательно сократить. Представители St. Jude Medical сообщают, что эти заявления ложны, так как доступ к прибору можно получить лишь на расстоянии, не превышающем два метра.

В итоге St. Jude Medical подала на MedSec и Muddy Waters в суд, и разбирательство продолжается до сих пор. Представители St. Jude Medical обвинили исследователей и инвесторов в том, что те преследовали финансовую выгоду, намеренно опубликовав доклад и спровоцировав падение стоимости акций компаний. Напомню, что сами MedSec и Muddy Waters не отрицали своей финансовой выгоды, но также заявляли, что если бы они обратились к разработчику уязвимых устройств напрямую, то представители St. Jude Medical просто «замели бы проблему под ковер», а исследователи MedSec хотели привлечь внимание к происходящему.

Но оставим за скобками правовые и финансовые аспекты. Куда более интересен тот факт, что уязвимости в оборудовании St. Jude Medical оказались настоящими и весьма опасными. Данным инцидентом еще осенью прошлого года заинтересовалось Управление по контролю за продуктами и лекарствами США (Food and Drug Administration, FDA), которое инициировало расследование случившегося. В октябре 2016 года независимые исследователи подтвердили выводы исследователей MedSec, то есть обнаружили уязвимости в медицинском оборудовании производителя. Представители FDA сообщили, что до эксплуатации проблем злоумышленниками дело, к счастью, не дошло, однако они не стали приуменьшать важность проблемы:

«Эксплуатация данных уязвимостей позволяет неавторизованному пользователю получить удаленный доступ к имплантированному пациенту RF-кадиоустройству, подменив передатчик Merlin@home. Такой передатчик Merlin@home может использоваться для модификации программных команд имплантированного устройства, что может привести к истощению заряда его батареи, а также к установлению некорректного сердечного ритма или некорректной подаче разряда», — гласит отчет FDA.

В начале января 2017 года St. Jude Medical завершила сделку с Abbott Laboratories, запланированную еще в прошлом году, и практически сразу после этого компания сообщила о выпуске обновлений для серии устройств Merlin, которые работают с кардиостимуляторами и кардиодефибрилляторами компании. Согласно официальному пресс-релизу St. Jude Medical, с выходом обновлений были устранены «незначительные проблемы с кибербезопасностью».

На выпуск патчей уже отреагировали представители MedSec и Muddy Waters, которые, как ни странно, по-прежнему недовольны действиями St. Jude Medical:

«Сначала St. Jude яро отрицали тот факт, что их медицинские устройства страдают от уязвимостей и подали на нас в суд, а теперь St. Jude выпустили заявление, которое, по сути, подтверждает правоту исследования, ранее опубликованного MedSec и Muddy Waters.

Это признание назревало давно, а тот факт, что оно было сделано спустя считанные дни после продажи St. Jude компании Abbott Laboratories, лишний раз убеждает нас в том, что компания ставит свои прибыли выше пациентов. Также это убеждает нас в том, что если бы мы не заявили об этих [проблемах] публично, в St. Jude не стали бы исправлять уязвимости.

Как бы то ни было, не похоже, чтобы анонсированные исправления решали другие, куда более серьезные проблемы, включая наличие универсального кода, который может помочь хакерам перехватить контроль над имплантатами».

Представители FDA пообещали продолжить оценку деятельности St. Jude Medical, а также высказались о безопасности подобных медицинских приборов в целом. По мнению FDA «плюсы для здоровья пациентов, которые несет использование таких приборов, перевешивают риски, связанные с кибербезопасностью».


Источник: «Хакер»

Турецкий министр обвинил хакеров из США во взломе энергосистемы

Турецкий министр обвинил хакеров из США во взломе энергосистемы

Министр энергетики и природных ресурсов Турции Берат Албайрак, комментируя недавние перебои с подачей электричества в Стамбул и его пригороды, заявил, что они возникли из-за американских кибератак, сообщает turkishminute.com

"Мы столкнулись с интенсивными, инициированными со стороны США кибератаками. Они проводились систематически на различные объекты министерства энергетики, но мы отразили их все", - заявил Берат Албайрак во время программы, вышедшей в эфире телеканала A Haber. 

Он добавил, что в результате "акта саботажа" были атакованы подземные линии электропередач в трех районах Стамбула. "В данный момент нет никакой угрозы для энергоснабжения Турции", - заявил турецкий министр, который на днях подвергся резкой критике в турецких СМИ из-за отключений электроэнергии в Стамбуле на протяжении нескольких последних дней, передает rg.ru.

Источник: Anti-Malware.ru

Число атак на АСУ ТП в 2016 году выросло на 110%

По данным экспертов IBM Managed Security Services, по сравнению с прошлым годом в 2016 году число атак на автоматизированные системы управления технологическими процессами (АСУ ТП) увеличилось на 110%. Столь существенный всплеск исследователи связывают с ростом количества брутфорс-атак на SCADA-системы.

Вероятно, хакеры используют фреймворк для тестирования на проникновение smod, опубликованный на GitHub в январе текущего года. Данный инструмент может использоваться для оценки безопасности коммуникационного протокола Modbus и включает возможности для брутфорса. По словам эксперта IBM Managed Security Services Дэйва Макмиллена (Dave McMillen), к росту атак на АСУ ТП привела публикация и дальнейшее использование smod неизвестными исследователями.

С января по ноябрь 2016 года главным источником, как и главной целью подобных атак являлись США. По словам экспертов, это связано с наличием в стране большого числа подключенных к интернету АСУ ТП. 60% зафиксированных IBM атак исходили из США. Далее следуют Пакистан (26%), Китай (12%), Нидерланды (5%) и Индия (4%). 90% всех атак были направлены на предприятия в США. Кроме того, в список жертв хакеров входят Китай, Израиль, Пакистан и Канада.


Источник: Securitylab.ru

IBM: критическая инфраструктура под прицелом хакеров

Согласно статистике подразделения IBM по ИБ-услугам, количество кибератак на объекты критической инфраструктуры за год выросло на 110% за счет участившихся брутфорс-атак на SCADA-системы.

Хакеры использовали для этого инструмент пентестинга smod, который доступен на GitHub с января 2016 года. Утилита проверяет степень безопасности протоколов Modbus, а также умеет проводить брутфорс-атаки. Доступность инструмента, по мнению исследователей, и стала косвенной причиной активизации хакеров, атакующих критическую инфраструктуру.

По данным IBM, основной целью хакеров с начала 2016 года являлись объекты критической инфраструктуры на территории США (90% от общего количества). Парадоксально, что именно США стали основным источником таких атак (60% от общего количества). Эксперты связывают это с тем, что США являются страной с самым большим количеством систем управления критической инфраструктуры.

Среди основных источников атак специалисты выделили Пакистан (20%), Китай (12%), Нидерланды (5%) и Индию (4%). Хотя США в абсолютном большинстве случаев становятся мишенью атак, в список наиболее атакуемых стран вошли также Китай, Израиль, Пакистан и Канада.

Последние годы показали, что объекты критической инфраструктуры становятся самыми желанными целями кибератак, что уже отметили ИБ-эксперты. «Лаборатория Касперского» назвала атаки на объекты критической инфраструктуры одним из основных трендов 2017 года; также безопасность критической инфраструктуры заявлена как одно из самых приоритетных направлений ИБ-доктрины РФ.

В 2013 году группа иранских хакеров скомпрометировала системы управления нью-йоркской плотиной. Тогда США впервые предъявили обвинения в атаке на национальную инфраструктуру лицам, действующим по заказу правительства иностранного государства. В декабре 2015 года троянец Black Energy был замечен в нескольких атаках на энергетический сектор Украины, в частности на компанию «Прикарпатьеоблэнерго». В июле IBM зарегистрировала атаку вредоносной программы-дроппера SFG как минимум на одну европейскую компанию, специализирующуюся в сфере электроэнергетики. Анализ образца якобы показал, что зловред используется в спонсируемых государством целевых кибератаках, хотя позднее эксперты опровергли этот вывод.


Источник: Threatpost | Новости ИБ

Siemens исправила недостаточную энтропию в ICS-системах

Siemens выпустила обновление прошивки, устраняющее уязвимость в популярных контроллерах линейки Desigo PX, которые используются, в частности, для автоматизированного управления теплохладотехникой в зданиях промышленного назначения.

В минувшую среду вышел соответствующий информационный бюллетень ICS-CERT, посвященный так называемой уязвимости недостаточной энтропии (insufficient entropy), допускающей в данном случае удаленный эксплойт. «В случае успеха эксплуатация этой уязвимости позволит атакующему получить закрытые ключи, используемые интегрированным сервером для HTTPS-связи», – предупреждают эксперты.

Список затронутых веб-модулей включает PXA40-W0, PXA40-W1 и PXA40-W2 для Desigo-контроллеров PXC00-E.D, PXC50-E.D, PXC100-E.D, и PXC200-E.D, а также модулей PXA30-W0, PXA30-W1 и PXA30-W2 в устройствах моделей PXC00-U, PXC64-U и PXC128-U. Уязвимости подвержены все версии прошивки ниже V6.00.046.

Брешь, которой присвоен идентификатор CVE-2016-9154, открывает возможность для угона веб-сессий без дополнительной аутентификации. «Уязвимые устройства используют генератор псевдослучайных чисел, который создает сертификаты для HTTPS с недостаточной степенью непредсказуемости, что потенциально позволяет удаленному злоумышленнику воссоздать соответствующий приватный ключ», – так характеризуют Siemens и ICS-CERT эту брешь.

Согласно OWASP, причиной таких уязвимостей является недостаток энтропии в результатах ГПСЧ. «Генераторы псевдослучайных чисел обычно страдают от недостаточной энтропии при запуске, так как данные энтропии в этот момент могут быть еще не доступны», – поясняет OWASP.

Обновление прошивки V6.00.046 от Siemens устранит эту уязвимость в модулях Desigo PX. Данных об активной эксплуатации нет, и разработчик убежден, что использовать CVE-2016-9154 на практике будет трудно.

Информационный бюллетень ICS-CERT был составлен при участии Siemens и группы исследователей из университета штата Пенсильвания.


Источник: Threatpost | Новости ИБ

11 января 2017 г.

В системах управления электроподстанциями обнаружены уязвимости

Специалисты компании Positive Technologies Илья Карпов и Дмитрий Скляров выявили уязвимости в программном обеспечении Siemens SICAM PAS (Power Automation System), предназначенном для построения АСУ ТП в энергетике.

Данное ПО используется на подстанциях различных классов напряжения в России, странах Европы и на других континентах. Производитель подтвердил наличие брешей и выпустил рекомендации по их устранению. 

Уязвимости связаны с ненадежным хранением паролей и разглашением чувствительной информации. Наибольшую опасность представляет ошибка безопасности CVE-2016-8567, получившая оценку 9,8 по 10-балльной шкале CVSSv3, что соответствует высокому уровню опасности. Злоумышленники могут удаленно получить привилегированный доступ к базе данных SICAM PAS, используя стандартную возможность дистанционного конфигурирования через TCP-порт 2638 и жестко закодированные пароли в заводских учетных записях. 

Вторая обнаруженная Positive Technologies уязвимость CVE-2016-8566 с оценкой 7,8 позволяет узнать учетные записи пользователей и восстановить к ним пароли (после получения доступа к базе данных SICAM PAS). Причина — в слабых алгоритмах хеширования паролей. 

«Критический уровень опасности этих уязвимостей обусловлен возможностью удаленно переконфигурировать SICAM PAS на энергетическом объекте, блокировать работу системы диспетчеризации или вызвать различные аварии, включая системные», — отметил руководитель отдела исследований и аудита промышленных систем управления Positive Technologies Илья Карпов.   

Для устранения этих уязвимостей производитель рекомендует обновить SICAM PAS до версии 8.0. Необходимо также заблокировать доступ к портам 19235/TCP и 19234/TCP с помощью, например, брандмауэра Windows, что позволит до выпуска дополнительных патчей закрыть две другие описанные в бюллетене безопасности бреши.   

Это не первая совместная работа двух компаний в 2016 году. Летом Siemens сообщил о двух уязвимостях CVE-2016-5848 и CVE-2016-5849, обнаруженных также Ильей Карповым и Дмитрием Скляровым. Данные уязвимости получили низкий уровень опасности, так как ими нельзя воспользоваться удаленно (оценка 2,5 по шкале CVSSv3). Для их устранения надо обновить SICAM PAS до версии 8.08.   

В октябре 2016 года Siemens опубликовал информацию также о двух уязвимостях (CVE-2016-7959 и CVE-2016-7960) в интегрированной среде разработки программного обеспечения SIMATIC STEP 7 (TIA Portal), найденных руководителем отдела анализа приложений Positive Technologies Дмитрием Скляровым. В частности, злоумышленник, имея локальный доступ к проектам SIMATIC STEP 7 и TIA Portal, может разобрать алгоритм скрытия хешей паролей и узнать используемые пароли в проекте для ПЛК Simatic S7. 


Источник: Anti-Malware.ru

С помощью метаданных можно определить профессию человека

Когда в 2013 году Эдвард Сноуден раскрыл секретные программы слежения, проводимые Агентством национальной безопасности США, спецслужба заверяла, что не занимается прослушкой, а только собирает метаданные. Тем не менее, как показало исследование экспертов Массачусетского технологического института, норвежской телекоммуникационной компании Telenor и компании Flowminder, метаданные из телефона могут многое рассказать о пользователях.

По словам исследователей, проанализировав метаданные из мобильных устройств, можно узнать, работает ли человек, а если работает, то кем. В своем отчете эксперты подробно рассказали, как им удалось получить метаданные 76 тыс. пользователей одного из азиатских операторов связи и на основании этих сведений определить их род деятельности. Точность определения составила 67,5%, а в случае с профессией «клерк» - 73,5%.

В ходе исследования эксперты использовали такие метаданные, как модель устройства, степень взаимодействия при каждом его использовании, используемая базовая станция и время, когда осуществлялось подключение к ней, количество полученных и отправленных текстовых сообщений и пр.

Целью исследователей являлось создание системы для вычисления статистики по профессиям в странах, где отсутствуют большие базы данных. Если в систему загрузить отформатированные метаданные с телефона, она определит, соответствует ли его владелец одной из 18 предусмотренных категорий (студент, аграрий, землевладелец и т.д.).


Источник: Securitylab.ru

9 января 2017 г.

Загадочный ботнет Rakos атакует IoT-устройства

Исследователи ESET сообщили о растущем ботнете из устройств «Интернета вещей» (IoT) и Linux-серверов, инфицированных новым вредоносным ПО Rakos. Угроза была обнаружена летом текущего года и, по словам экспертов, в теперешнем своем виде является малоопасной.

В настоящее время злоумышленники используют Rakos для осуществления брутфорс-атак на IoT-устройства с целью заражения их вредоносом и включения в ботнет. По существу, зараженный гаджет просто передает инфекцию дальше, способствуя росту ботнета, но это пока все. Никаких свидетельств вредоносной активности ботнета, такой как рассылка спама или осуществление DDoS-атак, обнаружено не было. Тем не менее, вскоре она может проявиться.

Текущая версия Rakos способна выполнять лишь ограниченное число операций – инфицировать устройства, устанавливать соединение с C&C-серверами и получать от них конфигурационный файл со списком комбинаций из паролей и логинов. Вредонос запрашивает у управляющего сервера IP-адрес, а затем пытается авторизоваться через порт SSH с помощью одной из комбинаций учетных данных. Печально известный вредонос Mirai работает по такому же принципу, однако вместо SSH использует Telnet.

Если Rakos удалось авторизоваться, вредонос загружает свой код на новый хост, а также загружает и запускает локальный web-сервер с использованием порта 61314. Через определенные интервалы времени Rakos передает на C&C-сервер такие данные о хосте, как архитектура процессора, номер версии, IP-адрес, подробности об аппаратном обеспечении и пр.

В любой момент C&C-сервер может отправить боту обновления с новыми функциями. Сейчас Rakos не является персистентным и удаляется после перезагрузки системы. Тем не менее, если устройство не защищено надежным паролем, в считанные минуты оно снова заражается вредоносным ПО.


Источник: Securitylab.ru

Развлекательные системы позволяют перехватить управление самолетом

Уязвимость в мультимедийной системе Panasonic Avionics, используемой на борту самолетов 13 крупных авиакомпаний, в том числе Air France и American Airlines, позволяет хакерам удаленно перехватить контроль над самолетом, сообщает The Telegraph со ссылкой на исследование специалиста компании IOActive Рубена Сантамарты (Ruben Santamarta).

Проэксплуатировав проблему, Сантамарта смог взломать бортовой информационный дисплей и изменить данные о высоте и местоположении, управлять освещением кабины, взломать систему оповещения, а также в некоторых случаях получить доступ к данным о кредитных картах постоянных авиапассажиров, содержащимся в автоматизированной системе оплаты. По словам эксперта, данная уязвимость может быть использована для получения доступа к управлению самолетом.

«Я не думаю, что эти системы могут противостоять атакам квалифицированных хакеров. Это зависит только от решительности и намерений атакующего, с технической точки зрения атаки вполне осуществимы», - отметил Сантамарта.

Масштаб ущерба, нанесенного взломом, зависит от того, насколько авиакомпания изолировала свои системы. Например, бортовая развлекательная система не должна быть подключена к устройствам пассажиров или системе управления самолетом, но не все авиаперевозчики соблюдают это правило, говорит Сантамарта.

Как отмечает The Telegraph, исследователи проинформировали компанию Panasonic об уязвимостях в марте прошлого года. В настоящее время неясно, предпринял ли производитель какие-либо меры по устранению проблем.


Источник: Securitylab.ru

29 декабря 2016 г.

[ZLONOV.ru] TOP-10 постов на ZLONOV.ru в 2016 году

ZLONOV.ru
Пост TOP-10 постов на ZLONOV.ru в 2016 году опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov