Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

9 декабря 2016 г.

Представлены рекомендации по усилению кибербезопасности ядерных объектов

Текущий подход к обеспечению кибербезопасности ядерных объектов недостаточно эффективен для борьбы с киберугрозами.

В последнее десятилетие наблюдается значительный прогресс в вопросе обеспечения физической безопасности предприятий атомной промышленности. Однако с развитием кибертехнологий ядерная индустрия столкнулась с серьезной угрозой - хакерскими атаками.

Киберпространство предоставляет новую возможность для атакующих удаленно вызывать сбои в работе ядерных объектов. Хакеры могут осуществлять различного рода кибератаки с целью хищения ядерных материалов, подрывной деятельности или саботажа. Операторы ядерных объектов и ряд национальных и международных организаций уже признали наличие проблемы и активизировали усилия по укреплению кибербезопасности предприятий атомной промышленности. Но, как показала практика, текущий подход к обеспечению кибербезопасности ядерных объектов недостаточно эффективен для борьбы с постоянно развивающимися киберугрозами.

Эксперты фонда «Инициатива по сокращению ядерной угрозы» (Nuclear Threat Initiative, NTI) разработали ряд рекомендаций, направленных на существенное снижение риска разрушительных кибератак на ядерные объекты. В их числе: установление практики обеспечения кибербезопасности, в рамках которой правительства и регуляторы должны сформировать нормативно-правовую базу в области обеспечения кибербезопасности на ядерных объектах; реализация активной защиты на ядерных предприятиях, предполагающая создание возможностей для обеспечения готовности и принятию мер по реагированию на киберинциденты. Рекомендации также включают минимизацию сложности используемых на ядерных объектах критических систем, идентификацию и отказ от ненужного функционала и переход на использование нецифровых систем, если это возможно и уместно.


Источник: Securitylab.ru

[ZLONOV.ru] Skolkovo Cybersecurity Challenge 2016

ZLONOV.ru
Пост Skolkovo Cybersecurity Challenge 2016 опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

8 декабря 2016 г.

Sony закрыла бэкдоры в IP-камерах IPELA Engine

Sony обновила прошивки IP-камер, пользующихся популярностью у бизнес-структур и правоохранительных органов, устранив при этом бэкдоры удаленного администрирования. Их присутствие позволяло злоумышленникам приобщать такие устройства к ботнету, манипулировать изображениями и проникать в сети.

Новые прошивки для изделий линейки IPELA Engine были выпущены 28 ноября, через месяц с лишним после получения уведомления от эксперта SEC Consult Штефана Фибёка (Stefan Viehböck). Как поняли исследователи, бэкдоры были оставлены намеренно для административных нужд: отладки, функционального тестирования в заводских условиях.

«Злоумышленник может использовать камеры с тем, чтобы закрепиться в сети для продолжения атаки, нарушить функционирование камер, подменить изображения/видео, приобщить камеры к Mirai-подобному ботнету или просто шпионить за вами», — пишут исследователи в блоге. По свидетельству SEC Consult, бэкдоры присутствовали в 80 разных IP-камерах производства Sony; их можно эксплуатировать при дефолтных настройках в локальной сети либо удаленно, если веб-интерфейс доступен из Интернета.

Корнем зла являлись два прописанных в коде хэшированных пароля, позволявших подключиться к камере через последовательный порт, Telnet или SSH. Взломать один из паролей оказалось легко: по умолчанию идентификаторы были заданы как admin:admin. Второй пароль предназначался для пользователя root, он открывал возможность для расширения доступа к устройству и проникновения в сеть. Соответствующая учетная запись разрешала доступ к незадокументированной функции интерфейса CGI, запускающей Telnet для удаленного доступа. После этого можно было использовать другой бэкдор, уровня ОС, для доступа к шеллу Linux с root-привилегиями. «Автор атаки сможет получить полный контроль над IP-камерами IPELA Engine в сети», — заключают исследователи.

Уязвимость была протестирована на камере SNC-DH160 с прошивкой V1.82.01 и на Gen6 с прошивкой V2.7.0. Впоследствии разработчик предоставил SEC Consult полный список уязвимых продуктов.

Исследователи настоятельно рекомендуют установить новые прошивки и ограничить доступ к камерам путем использования VLAN или изменения правил сетевого экрана.


Источник: Threatpost | Новости ИБ

0day-уязвимости в IP-камерах позволяют превратить устройства в IoT-ботнеты

Проэксплуатировав проблемы, атакующий может получить полный контроль над устройством.

Сотни тысяч камер видеонаблюдения от ряда производителей подвержены двум 0day-уязвимостям, позволяющим злоумышленникам взломать устройства и использовать их для создания ботнетов или шпионажа за владельцами. Как выяснили исследователи из компании CyberReason Амит Серпер (Amit Serper) и Йоав Орот (Yoav Orot), камеры используют прошивку с устаревшей версией web-сервера, содержащей уязвимости. Проэксплуатировав данные проблемы, атакующий может получить полный контроль над устройством.

Первая уязвимость позволяет злоумышленнику обойти механизм аутентификации и получить доступ к файлу, содержащему пароль к устройству. Проэксплуатировав вторую, преступник может выполнить произвольный код с правами администратора.

По словам исследователей, проблемы затрагивают более 30 моделей IP-камер (возможно, больше), доступных в интернет-магазинах, таких как Amazon и eBay. Практически все из них - дешевые камеры, производители которых не заботятся об обновлении прошивки. Более того, большинство устройств невозможно пропатчить в основном в связи с тем, что их производитель неизвестен.

«Некоторые заказанные камеры были доставлены просто в белой упаковке без названия производителя или логотипа компании, а на самих камерах не имелось никаких опознавательных знаков», - говорит Серпер.

Исследователи не раскрывают подробности об обнаруженных уязвимостях и подверженных им моделям IP-камер из опасений, что злоумышленники могут воспользоваться информацией в неблаговидных целях. Тем не менее, Серпер опубликовал видео с демонстрацией атаки.

Эксперты рекомендуют обращать внимание на два признака, по которым можно определить, уязвима камера или нет. Первый - это установленный по умолчанию пароль 888888, а второй - серийный номер устройства. Если он начинается с MEYE, MCI, VST, XXC, 005*, J MTE, WEV, PIPCAM, SURE, NIP, EST, VIEW или PSD камера, скорее всего, является уязвимой.

Как стало известно ранее, более 35 моделей камер наблюдения можно взломать одним GET-запросом.


Источник: Securitylab.ru

3 декабря 2016 г.

Кардиостимуляторы могут взломать даже неопытные хакеры

Имплантируемые медицинские устройства часто используют незащищенные протоколы коммуникации.

Незащищенные кардиостимуляторы и имплантируемые кардиовертеры-дефибрилляторы (ИКД) могут взломать даже неопытные хакеры с ограниченными ресурсами. К такому выводу пришли специалисты исследовательской группы ESAT-COSIC and iMinds и Бирмингемского университета в ходе проведенного исследования.

Эксперты использовали недорогое оборудование для реверс-инжиниринга коммуникационных протоколов, используемых устройствами. Как пояснили специалисты, имплантируемые медицинские устройства часто используют незащищенные или слабо защищенные проприетарные протоколы для беспроводной коммуникации с программатором.

В ходе анализа специалисты выявили ряд уязвимостей в протоколах и их реализации. В результате, исследователям удалось активировать ИКД путем обхода текущей процедуры активации, перехватить и модифицировать данные, а также отправить вредоносные инструкции на устройство.

Выявленные экспертами уязвимости затрагивают по меньшей мере 10 типов ИПК, представленных на рынке (названия торговых марок не разглашаются).

Эксплуатация проблем позволила исследователям собирать информацию о состоянии здоровья пациентов, их лечении, осуществить DoS-атаки на устройства, а также отправлять произвольные команды. Как отмечается, для успешной компрометации девайса злоумышленнику не обязательно находиться вблизи - все вышеуказанные атаки работают на расстоянии от 2 до 5 метров.


Источник: Securitylab.ru

29 ноября 2016 г.

[ZLONOV.ru] PIM, PUM, PAM!

ZLONOV.ru
Пост PIM, PUM, PAM! опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

28 ноября 2016 г.

AC&M: В России уже 10 млн SIM-карт используетcя в IoT

Компания AC&M опубликовала исследование российского рынка IoT-решений. На конец третьего квартала 2016 года в российских мобильных сетях функционирует по крайней мере 10 млн IoT устройств. За последний их число выросло более чем на 30%. Опрошенные агентством эксперты ожидают, что в 2017 сегмент увеличится еще на 40%.

В отраслевой структуре рынка доминируют транспорт и розничная торговля (беспроводные валидаторы безналичных платежей, кассовые аппараты и банкоматы). Значительная часть устройств используется в жилищно-коммунальном хозяйстве и энергетике. Более 40% SIM-карт, задействованных в различных IoT-решениях в России, по оценкам AC&M, работают в сети MTС. На втором месте «Мегафон» с долей сегмента в 35%. У «Выммпелкома» — 19% рынка. Остальное делят «Ростелеком», Tele2 и другие компании.

Большинство опрошенных аналитической компанией экспертов считают, что темпы роста в сегменте в очень значительной степени зависят от того, какую позицию займет государство и насколько активно оно будет способствовать продвижению различных проектов объективного контроля и мониторинга. Это касается и государственных программ мониторинга в области транспорта, и поддержки развития умных приборов учета тепла, электроэнергии, потребления воды и газа.


Источник: Roem.ru — Все новости

Автомобили Tesla можно угнать с помощью одного приложения

В прошлом эксперты не раз демонстрировали взлом автомобилей Tesla, однако на этот раз исследователям компании Promon удалось обнаружить машину, открыть и угнать с помощью всего лишь одного приложения для Android.

Для каждой модели Tesla существует соответствующее приложение для iOS- и Android-устройств, позволяющее ее владельцу узнавать местонахождение машины и уровень заряда ее аккумулятора, включать фары, чтобы найти ее на парковке и пр. Приложения существенно облегчают жизнь владельцам транспортных средств, но в то же время представляют собой угрозу. Злоумышленники могут взломать программу и использовать для угона автомобиля.

Осуществить атаку можно, только если пользователь загрузит и установит на своем смартфоне вредоносное приложение. С целью заставить жертву инсталлировать вредонос, злоумышленники используют методы социальной инженерии. Хакеры могут создать вблизи зарядной станции Tesla вредоносную точку доступа Wi-Fi и через нее отображать на подключившемся смартфоне рекламу приложения. За загрузку программы может предлагаться вознаграждение, например, бесплатный бургер.

Когда жертва установит вредоносное приложение, злоумышленники подключаются к ее смартфону и подготавливают почву для угона. По словам исследователей, при первом подключении к серверу с помощью логина и пароля приложение Tesla получает токен OAuth. Далее токен сохраняется в открытом виде в песочнице приложения и используется при каждом запуске программы.

Задача хакеров – сбросить токен и тем самым заставить пользователя снова ввести учетные данные. Удалив токен, злоумышленники могут перехватить вводимые жертвой логин и пароль и использовать их для авторизации в приложении. Таким образом, хакеры смогут узнать местоположение автомобиля, активировать режим вождения без ключа и угнать его.


Источник: Securitylab.ru

Модуль Schiaparelli упал на Марс из-за грубой программной ошибки

Официальное расследование Европейского космического агентства (ЕКА) показало, что марсианский лендер Schiaparelli упал из-за грубой ошибки в программном обеспечении. Некорректная обработка неверных показаний датчика вращения заставила аппарат считать, что он находится под поверхностью Марса, сообщил сайт космического агентства.

В среду, 19 октября, совместная российско-европейская миссия «ЭкзоМарс-TGO» прибыла к красной планете и попыталась решить две критически важных задачи – выход зонда TGO на стабильную орбиту у Марса и посадка демонстрационного посадочного модуля «Скиапарелли» на плато Меридиан у экватора красной планеты.

Посадка лендера прошла неудачно – его ПО решило, что модуль уже приземлился. Это заставило «Скиапарелли» отключить двигатели всего через 3-4 секунды после их включения. В результате он рухнул с высоты в 3-4 км ровно в ту точку, где он должен был сесть на Марс. Предположительной причиной был назван сбой в радаре-высотомере.

Инженеры ЕКА проанализировали часть данных телеметрии и выяснили, что история была несколько сложнее.

Приземление, установили ученые, проходило нормально на первых стадиях - «Скиапарелли» корректно провел аэродинамическое торможение и затем выбросил тормозные парашюты. На высоте в 7,8 км был корректно сброшен тепловой экран. Через некоторое время после этого произошло то, что погубило зонд.

Оказалось, что фатальная ошибка в работе ПО «Скиапарелли» произошла не из-за сбоя высотометра, а из-за проблем в работе другого навигационного прибора – так называемого «измерителя инерции» (IMU), устройства, измеряющего скорость вращения модуля вокруг своей оси.

Данные с этого прибора, как объясняют инженеры, учитывались при обработке данных о высоте полета, поступающих с радаров «Скиапарелли». В один момент в работе IMU произошел сбой, в результате чего он «измерил» аномально высокую скорость вращения лендера, которая выходила за пределы допустимых значений. Подобные сбои являются нормой в работе инерциальных датчиков, и обычно для их подавления ученые «сглаживают» сигнал и сравнивают данные за текущий момент с результатами, полученными в прошлые моменты времени.

Но в данном случае IMU передавал данные на главный компьютер «Скиапарелли» неожиданно долго, на протяжении секунды, что «обмануло» ПО модуля и заставило его считать эти измерения реальными данными, а не аномалией. Неправильные значения были учтены при расчете высоты модуля, в результате чего бортовой компьютер «Скиапарелли» получил отрицательные значения высоты.

Модуль посчитал, что он находится даже не на поверхности Марса, а под ней, что заставило его на высоте 3,7 км инициировать финальную стадию процедуры посадки, отделить парашюты и выключить двигатели.

Эта ошибка, как отмечают ученые, носит чисто программный характер и легко воспроизводится в компьютерных симуляциях приземления «Скиапарелли». Как отметил Дэвид Паркер, руководитель отдела пилотируемых полетов и роботизированного изучения космоса в ЕКА, эти данные и ошибка будут учтены при проектировании ПО для посадочной платформы марсохода «Пастер», которая разрабатывается в НПО Лавочкина.


Источник: Ведомости-2

Камеры видеонаблюдения Siemens потенциально уязвимы

Компания Vanderbilt Industries обновила прошивку IP-камер Siemens, запатчив серьезную уязвимость, потенциально подверженную удаленной эксплуатации.

Уязвимость CVE-2016-9155 позволяет хакеру получить администраторские права к устройствам посредством отправки специально созданных запросов.

«До применения патча лучше ограничить доступ к интегрированному веб-серверу», — уточнила Siemens в бюллетене.

Уязвимость содержится в следующих камерах:

  • CCMW3025: версии прошивки до 1.41_SP18_S1;
  • CVMW3025-IR: версии прошивки до 1.41_SP18_S1;
  • CFMW3025: версии прошивки до 1.41_SP18_S1;
  • CCPW3025: версии прошивки до 0.1.73_S1;
  • CCPW5025: версии прошивки до 0.1.73_S1;
  • CCMD3025-DN18: версии прошивки до v394_S1;
  • CCID1445-DN18: версии прошивки до v2635;
  • CCID1445-DN28: версии прошивки до v2635;
  • CCID1445-DN36: версии прошивки до v2635;
  • CFIS1425: версии прошивки до v2635;
  • CCIS1425: версии прошивки до v2635;
  • CFMS2025: версии прошивки до v2635;
  • CCMS2025: версии прошивки до v2635;
  • CVMS2025-IR: версии прошивки до v2635;
  • CFMW1025: версии прошивки до v2635;
  • CCMW1025: версии прошивки до v2635.

Компания Vanderbilt Industries закрыла сделку по поглощению бизнеса Siemens, связанного с продуктами в сфере безопасности. Камеры Siemens для видеонаблюдения используются в различных отраслях, в том числе в государственных организациях и учреждениях здравоохранения.

В Siemens заявили, что информацией о публичных эксплойтах не располагают, но предупреждают о том, что уязвимостью могут воспользоваться даже хакеры с очень низким уровнем навыков, при условии доступа к сети.

Компания призывает как можно быстрее залатать уязвимость в свете появления все новых проблем с безопасностью IoT-устройств. Недавно стало известно о нескольких масштабных DDoS-атаках, в которых участвовали IoT-устройства вроде камер и DVR-приставок, зараженные зловредом Mirai.

Mirai ищет незащищенные устройства и затем использует список слабых или дефолтных учетных записей, чтобы получить доступ. После этого зараженное устройство становится частью ботнета и может использоваться в DDoS-атаках.

Самые масштабные из подобных атак произошли в последние несколько месяцев. Жертвами становились сайт ИБ-эксперта Брайана Кребса — Krebs on Security, французский хостинговый сервис OVH и DNS-провайдер Dyn, на этой неделе купленный компанией Oracle.

Если проблема не решена наиболее эффективным образом — отзывом уязвимых устройств, операторы, по мнению экспертов, могут нивелировать угрозу, своевременно установив обновления или хотя бы изменив дефолтные учетные данные.


Источник: Threatpost | Новости ИБ

22 ноября 2016 г.

В IP-камерах видеонаблюдения Siemens обнаружена уязвимость

Компания Siemens сообщила об уязвимости в IP-камерах видеонаблюдения торговой марки Siemens производства корпорации Vanderbilt Industries. Согласно предупреждению ICS-CERT, атакующий с доступом к сети может удаленно проэксплуатировать уязвимость и получить учетные данные администратора. Как отмечается, для эксплуатации проблемы не требуются особые технические навыки.

Проблема получила идентификатор CVE-2016-9155 и оценена в 9.8 баллов по шкале CVSS. Уязвимость затрагивает следующие продукты: CCMW3025 (версии до 1.41_SP18_S1), CVMW3025-IR (версии до 1.41_SP18_S1),CFMW3025 (до 1.41_SP18_S1), CCPW3025 (до 0.1.73_S1), CCPW5025 (до 0.1.73_S1), CCMD3025-DN18 (до1.394_S1), CCID1445-DN18 (до 2635), CCID1445-DN28 (до 2635), CCID1445-DN36 (до 2635), CFIS1425 (до 2635), CCIS1425 (до 2635), CFMS2025 (до 2635), CCMS2025 (до 26350), CVMS2025-IR (до 2635), CFMW1025 (до 2635) и CCMW1025 (до 2635).

Производитель уже выпустил корректирующие обновления, устраняющие вышеуказанную уязвимость.


Источник: Securitylab.ru

Безопасность IoT — задача регуляторов?

Регулирование отрасли государством считается чуть ли не угрозой, по мнению многих представителей ИТ-индустрии. Но недавние DDoS-атаки с крупных IoT-ботнетов обеспокоили ИБ-специалистов настолько, что они готовы признать: вмешательство законодателей может быть неизбежно.

В своем докладе подкомитету комитета энергетики и торговли Конгресса США в среду Брюс Шнайер (Bruce Schneier) заявил, что экономическое давление рынка не может в полной мере решить проблемы, связанные с уязвимостями в IoT-среде. Также он предположил, что, возможно, настал момент, когда отрасли нужно поступиться инновациями ради обеспечения надлежащего уровня безопасности при производстве и распространении подключаемых к Интернету устройств.

«Мне самому это не по душе, — сказал Шнайер. — Но мы живем в мире опасных вещей, поэтому, возможно, нам придется притормозить прогресс. Нельзя просто сконструировать самолет и сразу полететь на нем. Нам стоит признать, что эра, когда Интернет был местом для игр и развлечений, закончилась; Интернет превратился в опасное место. Регулирование может притормозить внедрение инноваций, но мы должны поступить так, если инновации связаны с рисками».

Шнайер и другие докладчики — профессор Университета Мичигана Кевин Фу (Kevin Fu) и директор Level 3 Communications по информационной безопасности Дейл Дрю (Dale Drew) — рассказали членам комитета, что проблема незащищенности IoT должна быть решена на уровне инженерной разработки компонентов, где должны быть встроены (а не внедрены поверх аппаратной части) технологии безопасности.

В качестве говорящего примера докладчики использовали недавнюю DDoS-атаку на DNS-провайдера Dyn: эта атака была не только масштабной и разрушительной, но и простой в исполнении. Фу предложил следовать опыту таких организаций, как NIST, которые превращают принципы безопасности в отраслевые стандарты, а не просто предлагают свои рекомендации. Дрю заявил, что нужно мотивировать производителей учитывать безопасность с самого начала, чтобы не допустить случаев, когда DVR-приставки и камеры поставляются на рынок, будучи защищенными откровенно слабыми или дефолтными паролями. Именно такой тип устройств использовался в ботнете Mirai, атаковавшем Dyn, французскую хостинговую компанию OVH и сайт ИБ-аналитика Брайана Кребса (Brian Krebs).

Шнайер предположил, что в этом может помочь создание нового правительственного агентства, которое будет отвечать за разработку и внедрение соответствующих регулятивных норм. Он также призвал законодателей и людей, ответственных за принятие решений, изменить свое представление об IoT-устройствах и думать о них как о компьютерах: компьютерах на колесах — в случае умных автомобилей, компьютерах для охлаждения продуктов — в случае умных холодильников и так далее.

«Нам нужно новое агентство, — ответил Шнайер на вопрос о том, как бы он решил проблему регулирования, если бы ему дали карт-бланш. — Мы не можем иметь различные правила по отношению к компьютерам, если они выглядят по-разному, то есть имеют колеса, пропеллеры или функционируют в человеческом теле. Это не сработает. Нам нужны универсальные правила».

На довод о том, что идея о создании нового агентства может быть не принята правительством, Шнайер ответил, что министерство внутренней безопасности было создано через 44 дня после атак 11 сентября. Он призвал законодателей не ждать катастрофы, а действовать сейчас: атака на Dyn была знаком, что время для этого настало.

«Выбор стоит между умным и глупым вмешательством правительства, — сказал Шнайер. — Когда случается что-то ужасное и население просит принять меры, нужно сделать нечто большее, чем просто сказать: «Давайте быстро разберемся с этим». Я сам не фанат правительственного регулирования, но мы живем в опасном мире».

Проблемы на пути обеспечения должного уровня безопасности IoT большей частью обусловлены экономическими причинами. Большинство IoT-устройств делают за рубежом без надлежащего надзора, чтобы снизить стоимость производства. Проблема не только в изменении парадигмы безопасности.

«Регулирование нужно, потому что рынок сам не способен справиться с ситуацией», — сказал Шнайер. По его мнению, пример США в сфере регулирования позитивно повлияет на безопасность IoT в глобальном масштабе. «Впервые Интернет начинает влиять на физический аспект. До этого считалось нормальным давать программистам Google и Facebook «свободу творчества» в написании кода. Но теперь, когда к Интернету подключены различные типы устройств, нам придется отказаться от такой практики. Мне это не нравится. Но я думаю, что у нас в текущих условиях нет другого выбора», — отметил эксперт.


Источник: Threatpost | Новости ИБ

Обнаружен бэкдор, нацеленный на российских производителей строительных кранов

21 ноября 2016 г.

[ZLONOV.ru] Ко мне постучался косматый геолог…

ZLONOV.ru
Пост Ко мне постучался косматый геолог… опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

18 ноября 2016 г.

[ZLONOV.ru] Самый простой способ обойти блокировку LinkedIn на смартфоне

ZLONOV.ru
Пост Самый простой способ обойти блокировку LinkedIn на смартфоне опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov